应用分析:如何实现企业级数据加密技术
数据加密产品有其应用领域的特殊性,很多行业出于安全考虑都会有一些相应的产品属性限制,比如限制产品所申请的技术专利或加密算法必须属于本国或通过相应的认证。这在一定程度上影响了数据安全技术的普及和规模市场效应。然而,随着国内外安全事件的日益增多,数据加密产品正处于发展阶段。
部署或应用数据安全策略时,一般加密技术及其优缺点如下:
1、磁盘/磁带级加密或介质级加密。这种加密方法是在存储阵列上实现的,一般是在控制器或磁盘柜的数据控制器上实现静态数据加密算法。它旨在保护存储在硬件介质中的数据不被物理窃取而泄露,但除了数组或磁带之外,所有数据都是明文处理、传输和存储的。因此,媒体级加密方法一般只作为一种附加的安全策略,为一些特殊的应用提供数据安全,比如通过物理磁盘/磁带运输的数据备份。
2.嵌入式加密。这种加密产品部署在存储阵列和交换设备之间,通过专门的产品进行加密和解密算法。虽然在性能上有所提升,但其加密范围仍然局限在媒体层面,在应用端仍然是明文访问数据,因此这种方式在很多地方被视为媒体加密的另一种形式。
上述两种方法的应用受到限制。毕竟对于想要窃取数据的一方来说,通过物理手段进入机房窃取存储介质然后读取数据的场景只会出现在电影场景中。
3.文档安全系统,或者文件级加密,属于文件级DLP(防数据泄露)。这种非结构化数据保护方法通常嵌入在网络连接存储NAS层中。因为加密算法是在NAS头实现的,这种实现方式带来的最大问题在于对性能的影响。而且很多产品都提供了终端数据不留痕迹,后台分发大量应用数据等功能。因此,大多数文件级加密方案都支持水平扩展,以便为大型用户或大型文件应用程序提供高吞吐量支持。
4.数据库加密,也称为安全存储网关。
。与文件级加密类似,数据库加密对结构化数据实施加密保护,并部署在数据库的前端。由于数据库操作中涉及到大量的查询修改语句,数据库加密会对整个数据库系统产生很大的影响。
5.主机使用加密,加密部署在主机端。目前,这些产品大多集成到备份产品中,作为实现数据备份安全策略的功能组件之一。主机应用的加密负载由主机自身承担,对网络和后台存储影响不大,但面对海量数据加密处理,主机的性能会吃紧。
数据加密只是企业信息安全的一部分,旨在企业内数据生命周期的安全访问。在考虑部署数据加密技术时,要综合考虑企业现有的IT规模和数据安全目标。不同类型的数据采用不同的数据加密策略。例如,可以通过物理隔离的文档安全系统访问机密文档,而需要分配单独的数据库系统来存储机密结构化信息。
信息安全永远是一个战略先行的系统工程,它只是实现这个系统工程的工具。在信息安全策略的规划中,需要对各种信息进行归档和分类,制定不同的保护策略。当然,我们也可以参考国内现行的法律法规以及分类保护、等级保护等行业标准和规范。