存儲(chǔ)安全從數(shù)據(jù)加密起步

　　近日，Arrow Electronics對(duì)美國(guó)的200家中型企業(yè)進(jìn)行了一項(xiàng)調(diào)查，結(jié)果顯示，與降低經(jīng)營(yíng)成本相比，大多數(shù)企業(yè)都會(huì)把信息安全看得更為重要。其中，近80%的公司都將信息安全看成最關(guān)注的商業(yè)問(wèn)題，有69%的公司則首選降低成本。

　　政府、企業(yè)的客戶隱私信息、公司機(jī)密數(shù)據(jù)、財(cái)務(wù)信息的急速增長(zhǎng)，以及國(guó)家和各行業(yè)的信息安全監(jiān)管制度的健全，正在驅(qū)使著各個(gè)組織對(duì)它們?cè)诖疟P和磁帶上的敏感數(shù)據(jù)做更安全的存儲(chǔ)。同時(shí)，存儲(chǔ)和安全廠商間也加快了融合和并購(gòu)的腳步。用戶在采購(gòu)和招標(biāo)中，也把存儲(chǔ)安全放在越來(lái)越重要的位置。安全與存儲(chǔ)融合的趨勢(shì)不容置疑，但在存儲(chǔ)安全的實(shí)現(xiàn)手段和方式以及標(biāo)準(zhǔn)上，各個(gè)廠商卻有不同的看法。本文將著重分析存儲(chǔ)安全的方展趨勢(shì)和方向。

　　安全存儲(chǔ)有章要循

　　存儲(chǔ)和安全本是兩個(gè)不相關(guān)的行業(yè)。但隨著美國(guó)時(shí)代華納公司保存公司60萬(wàn)名在職和離職員工個(gè)人信息的40盤磁帶在運(yùn)輸途中丟失，華旗集團(tuán)一批記錄著390萬(wàn)客戶賬戶及個(gè)人信息的備份磁帶在運(yùn)送過(guò)程中神秘失蹤……還有企業(yè)中懷有惡意的員工、不道德的內(nèi)部人員以及黑客對(duì)企業(yè)內(nèi)保存客戶數(shù)據(jù)的盜用，存儲(chǔ)廠商每年收回大量的返修驅(qū)動(dòng)器上面的敏感數(shù)據(jù)等數(shù)據(jù)丟失問(wèn)題的出現(xiàn)，人們?cè)絹?lái)越重視在企業(yè) SAN存儲(chǔ)局域網(wǎng)中的數(shù)據(jù)安全問(wèn)題了。ESG創(chuàng)始人Steve Duplessie表示：“大多數(shù)公司處理信息數(shù)據(jù)的流程均存在漏洞。這是因?yàn)槠髽I(yè)對(duì)信息安全缺乏足夠的重視。”

　　相應(yīng)的法律法規(guī)也不斷涌現(xiàn)，比如零售業(yè)的信用卡服務(wù)公司要遵循的PCI- DSS（Payment Card Industry Data Security Standard）法規(guī)要求防止個(gè)人信息被盜、數(shù)據(jù)安全加密等。金融系統(tǒng)的GLBA（Gramm-Leach-Bliley Act）和美國(guó)34個(gè)州的數(shù)據(jù)安全法案、醫(yī)療系統(tǒng)的HIPAA（Health Insurance Portability & Accountability Act）、美國(guó)聯(lián)邦政府的DOD 5015.2（Department of Defense 5015.2），以及對(duì)存儲(chǔ)服務(wù)提供商的SAS 70，都要求數(shù)據(jù)外包的安全管理和安全容災(zāi)VTL的服務(wù)。此外還有大家熟知的SOX（ Sarbanes-Oxley）等。

　　相關(guān)標(biāo)準(zhǔn)機(jī)構(gòu)也將目光集中到了這個(gè)領(lǐng)域，存儲(chǔ)安全標(biāo)準(zhǔn)似乎正在以前所未有的速度發(fā)展著。以下是幾種不同的標(biāo)準(zhǔn)：執(zhí)行嵌入式AES 256位加密技術(shù)的LTO技術(shù)聯(lián)盟（LTO Consortium）；T10委員會(huì)正在致力于SCSI存儲(chǔ)接口標(biāo)準(zhǔn)的制定；電氣及電子工程師學(xué)會(huì)（Institute of Electrical and Electronics Engineers，IEEE）1619.3委員會(huì)正在著眼于密鑰管理領(lǐng)域；Trusted Computing Group（TCG）有他們自己的可信任安全技術(shù)；存儲(chǔ)網(wǎng)絡(luò)工業(yè)協(xié)會(huì)（Storage Networking Industry Association，SNIA）的存儲(chǔ)安全論壇SSIF則正在研究一種長(zhǎng)期的整體安全架構(gòu)。其中比較重要的是IEEE1619.3將可以獲得廣泛的支持，形成各家統(tǒng)一支持的標(biāo)準(zhǔn)。

　　數(shù)據(jù)加密的四種途徑

　　廠商對(duì)數(shù)據(jù)加密相當(dāng)關(guān)注，無(wú)論是通過(guò)收購(gòu)或是新產(chǎn)品的研發(fā)，都希望在數(shù)據(jù)加密領(lǐng)域占得先機(jī)。

　　對(duì)企業(yè)而言，如何選擇適合自己企業(yè)的加密技術(shù)和產(chǎn)品的前提是了解目前存在的加密方法。數(shù)據(jù)加密有各種分類方法，按照實(shí)現(xiàn)手段可以分為四種：主機(jī)軟件加密、加密存儲(chǔ)安全交換機(jī)、嵌入式專門加密設(shè)備以及基于存儲(chǔ)層的存儲(chǔ)設(shè)備。

　　主機(jī)軟件加密已經(jīng)推出很多年，其優(yōu)缺點(diǎn)都比較明顯。

　　其優(yōu)點(diǎn)是：成本低，只要有備份軟件，不需要購(gòu)買額外產(chǎn)品，只需付服務(wù)費(fèi)用；對(duì)現(xiàn)有系統(tǒng)改動(dòng)小。其缺點(diǎn)是：性能影響，對(duì)主機(jī)和備份的性能影響。當(dāng)我們對(duì)一個(gè)企業(yè)的數(shù)據(jù)加密時(shí)，面對(duì)TB級(jí)別的數(shù)據(jù)容量，我們需要考慮的是性能和管理是否能滿足我們的需要；基于備份軟件的加密方式目前只支持磁帶加密，無(wú)法做到磁盤存儲(chǔ)加密，同時(shí)也沒(méi)有壓縮的功能；對(duì)操作系統(tǒng)有一定的依賴性。

　　主機(jī)軟件加密的代表產(chǎn)品主要包括Symantec Veritas NetBackup、IBM TSM、EMC Legato Networker等。

　　加密存儲(chǔ)安全交換機(jī)連接在存儲(chǔ)設(shè)備和主機(jī)之間，不改變?cè)械腎T結(jié)構(gòu)，本身也可以做光纖交換機(jī)使用，同時(shí)具有加密功能，也可以同原有交換機(jī)互聯(lián)。

　　加密存儲(chǔ)安全交換機(jī)的優(yōu)點(diǎn)是：擴(kuò)展性好，目前加密交換機(jī)有16口到256口的不同型號(hào)，適合企業(yè)客戶；高性能，由交換機(jī)本身完成加密功能，對(duì)主機(jī)和存儲(chǔ)沒(méi)有影響，同時(shí)又提高磁帶壓縮功能；異構(gòu)的支持，加密存儲(chǔ)交換機(jī)支持各個(gè)廠商的存儲(chǔ)，同時(shí)也支持磁盤、磁帶、VTL等各種設(shè)備，同時(shí)也可以支持原有設(shè)備；管理型，加密交換機(jī)方式支持單獨(dú)的統(tǒng)一的密鑰管理工具，管理簡(jiǎn)單。

　　加密存儲(chǔ)安全交換機(jī)的不足之處主要表現(xiàn)在，對(duì)已經(jīng)有存儲(chǔ)交換機(jī)的用戶來(lái)說(shuō)，需要額外單獨(dú)購(gòu)買加密交換機(jī)。

　　加密存儲(chǔ)安全交換機(jī)的代表產(chǎn)品主要包括CipherMax CM系列、思科的MDS系列等。

　　嵌入式專門加密設(shè)備是單獨(dú)的一個(gè)加密設(shè)備，需要連接在存儲(chǔ)和交換機(jī)之間。這種加密產(chǎn)品的優(yōu)點(diǎn)是：靈活性，此類產(chǎn)品可以提供端口的加密，可以隨時(shí)一對(duì)一連接到存儲(chǔ)上；對(duì)主機(jī)性能影響小，設(shè)備本身提供加密功能，同主機(jī)和存儲(chǔ)無(wú)關(guān)；支持異構(gòu)存儲(chǔ)。

　　嵌入式專門加密設(shè)備的缺點(diǎn)在于兩方面：擴(kuò)展性，此類設(shè)備多是點(diǎn)對(duì)點(diǎn)解決方案，但如果是單一的一對(duì)一加密產(chǎn)品，擴(kuò)展起來(lái)難度大，或者成本高。如果部署在端口數(shù)量多的企業(yè)環(huán)境，或者多個(gè)站點(diǎn)需要加以保護(hù)，就會(huì)出現(xiàn)問(wèn)題；在企業(yè)環(huán)境中，如果對(duì)多端口的存儲(chǔ)設(shè)備，需安裝多臺(tái)硬件設(shè)備所需的成本會(huì)高得驚人，這給管理增加了沉重負(fù)擔(dān)。

　　基于存儲(chǔ)層的存儲(chǔ)設(shè)備本身加密方式，由存儲(chǔ)本身提供加密功能。這類產(chǎn)品的優(yōu)點(diǎn)是：擴(kuò)展性好，由存儲(chǔ)本身提供的功能擴(kuò)展性可以得到保障；投資低，存儲(chǔ)本身具備的功能，不需另外購(gòu)買設(shè)備；對(duì)主機(jī)的性能沒(méi)有影響，由存儲(chǔ)本身完成。

　　但是這類產(chǎn)品也有缺點(diǎn)：可用性——目前各個(gè)存儲(chǔ)廠商只推出了具有加密功能的磁帶產(chǎn)品，具有加密功能的磁盤和虛擬磁帶庫(kù)還在研發(fā)過(guò)程中；投資保護(hù)——只能保證具有加密功能的設(shè)備本身的安全，無(wú)法對(duì)用戶原有環(huán)境中的所有存儲(chǔ)設(shè)備進(jìn)行加密，無(wú)法利舊；管理性——各個(gè)廠商各有各的密鑰管理軟件，系統(tǒng)中會(huì)出現(xiàn)很多的加密密鑰管理軟件，無(wú)法做統(tǒng)一管理，而且目前各廠商提供的密鑰管理軟件都不夠成熟。這是用戶最關(guān)注的問(wèn)題；性能——存儲(chǔ)設(shè)備本身加入加密功能對(duì)性能有一定的影響。加密存儲(chǔ)產(chǎn)品的代表是LTO-4磁帶機(jī)和Sun T10000磁帶驅(qū)動(dòng)器等。

　　法規(guī)遵從是促進(jìn)因素

　　公司一旦發(fā)生數(shù)據(jù)失竊，就可能違犯法律、身纏官司、股價(jià)下跌，從而失去客戶、供應(yīng)商及合作伙伴的信任。法規(guī)遵從與存儲(chǔ)安全的關(guān)系正變得更緊密。市場(chǎng)分析家不約而同地認(rèn)為，存儲(chǔ)加密市場(chǎng)蘊(yùn)藏著無(wú)限商機(jī)，市場(chǎng)總額以數(shù)億美元計(jì)算。 Gartner的報(bào)告也指出，到2007年底，財(cái)富1000強(qiáng)企業(yè)中有八成為靜態(tài)關(guān)鍵數(shù)據(jù)加密，構(gòu)建安全存儲(chǔ)架構(gòu)，由此可見(jiàn)存儲(chǔ)加密受到了全球企業(yè)的廣泛關(guān)注。以前談及法規(guī)遵從問(wèn)題，大多數(shù)企業(yè)將注意力集中在數(shù)據(jù)保留方面，即怎樣長(zhǎng)期存儲(chǔ)數(shù)據(jù)這樣的事情，但是對(duì)這些數(shù)據(jù)是否安全以及如何保證數(shù)據(jù)的安全則忽略了。隨著法規(guī)遵從的進(jìn)一步發(fā)展，社會(huì)對(duì)于企業(yè)數(shù)據(jù)安全的要求將增加。

　　我們相信，不久的將來(lái)，隨著法規(guī)的逐漸健全，中國(guó)企業(yè)未來(lái)也將面臨嚴(yán)峻的法規(guī)遵從挑戰(zhàn)。數(shù)據(jù)安全存儲(chǔ)有可能成為用戶IT招標(biāo)中要考慮的重要的必選因素。企業(yè)也應(yīng)提前做好迎接新的挑戰(zhàn)的準(zhǔn)備。