储存加密指的是当数据从前端服务器输出,或在写进储存媒体之前通过系统为数据加密,以确保存放在储存媒体上的数据只有经过授权才能读取。
一、存储加密问题的提出
长久以来,储存系统的安全是企业信息系统中较容易受到忽略的环节,由于过去的储存设备都是采用DAS架构,直接与前端的主机连接,外界要存取储存设备的唯一通道是经由前端的主机,因此只要主机安全,则后端的储存设备也是安全的。 然而许多大型企业的储存架构,多半已改用储存局域网络(SAN)或网络储存系统(NAS),通过光纤信道(FC)或IP网络的连接,整合整个企业的储存资源,以提高运用效率。但由于含有许多交换器或网关器的储存网络可允许用户从多个接入点存取储存资源,因此储存资源遭受攻击或非授权存取的机率也就大为提高。
不过企业本地端的SAN或NAS毕竟是由企业自行掌控,因此问题相对较小,除非遭遇企业内鬼。但如果是将数据送到远程供作异地备援时,所会遭遇的风险程度就会完全不同。 在不同数据中心的SAN之间,只要通过主机端、网关器端或储存设备端的复制软件,就能将数据以同步或异步的方式复制数据。然而由于数据离开数据中心后,所经过的线路设备所有权并不是企业所拥有,而多是固网业者提供给企业租用。即使这些线路是由企业所自行建置,但管理单位也与SAN的管理单位不同,因此在数据传输的同时,也会面临在黑客从网络上任一节点撷取数据,导致数据外泄的风险。
所以企业数据的保护可分为3个层级:第一层为网络防护,这部分包括防火墙、防毒软件、入侵侦测软件或VPN等;第二层为身份认证,也就是对不同身份的人员分别建立不同存取权限,也可搭配辨识系统使用;第三层则是数据保护,即储存加密,对写入储存媒体系统的数据进行加密编码,就算数据遗失也无法被解读出有意义的内容,从而减轻数据遗失造成的损失,所以说加密是数据安全的最后一道关卡。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!