硬體安全靜態資料加密 阻截信息保護漏洞

【賽迪網-IT技術報道】如今，互聯網普及，越來越多的企業隨著規模擴張，需要安全高速網絡來連接各個分支機構與企業總部的資料通信。早期，很多企業為了解決這個問題，需要租用電信運營商的專線，形成一個覆蓋全企業範圍並完全「私有」的網絡。通過引入專線，有效地解決了企業總部及各個地區分支機構的資料安全傳輸問題。但是該方案往往伴隨著高額的網絡設備投入，以及高昂的網絡帶寬租金。為了滿足一般企業的資料安全傳輸需要，降低初次部署和日常維護成本，VPN（Virtual Private Network虛擬專用網）技術應運而生。VPN技術安全協議規範實現在OSI（Open System Interconnection: 開放系統互聯）七層模型的第三層和第七層的基礎上，其中第三層實現的是IPSEC協議，第七層實現的是SSL協議。所有符合安全協議標準的設備，均可用於構建大範圍互聯互通的VPN，實現企業資料安全傳輸。

企業除了需要解決資料安全傳輸的問題， 還需要面對企業內部網絡安全的挑戰，特別是企業運營維護的核心－資料中心的安全保護問題。而實現對企業資料中心的安全保護，目前主要的方式是對儲存在資料中心物理媒介中的敏感資料進行安全管理，即採用各種靜態資料加密技術。

靜態資料加密涉及到物理儲存介質包括硬碟和磁帶，以及移動儲存媒介譬如光盤、USB儲存介質、儲存卡等。企業海量資料儲存和歸檔主要還是使用硬碟和磁帶，因此靜態資料加密主要圍繞這兩種儲存介質展開。

實現靜態資料加密的最大挑戰在於密匙管理，網絡安全傳輸過程中加密資料的存在往往只有幾毫秒到幾秒的時間， 但是儲存系統中的加密資料需要保存的時間可以到幾年甚至上百年，如果加密系統的實現方式不當，或者加密算法的強度不夠，會導致攻擊者有充裕的時間用於嘗試不同的攻擊手段，極大增加儲存系統的風險。

國際電氣電子工程師協會正積極籌劃制定的IEEE 1619靜態資料安全標準，就是針對硬碟儲存系統缺乏統一標準， 各個廠家的產品無法互操作，密匙管理機制參差不齊，以及難以實現對企業海量資料長期安全儲存的要求而提出的。下圖就是基於IEEE 1619.3 標準的硬碟加密系統結構圖。

從圖一我們可以看出，在業務資料流之外，增加了認證資料流，用於對每一次加解密過程中的密匙進行統一管理。所有符合IEEE 1619安全標準的儲存安全設備，均可以通過這種統一的方式進行集中管理。

除了硬碟的安全，還可以通過引入獨立的加密設備，對公司已有的磁帶歸檔系統添加安全特性，Hifn公司的Sypher系列磁帶加密機產品就屬於這類。

圖二左邊是企業現有磁帶歸檔系統的一般結構，右邊是採用了Hifn公司Sypher 磁帶加密機產品實現安全歸檔的部署結構，用於對企業的磁帶歸檔系統添加安全加密功能。 Sypher磁帶加密機產品對備份伺服器提供千兆以太網接口，支持iSCSI協議，企業儲存網絡內的備份伺服器和其他應用伺服器可以直接訪問到物理磁帶，進行歸檔和恢復操作。業務資料流在經過磁帶加密機設備時，磁帶加密機依據用戶設置的規則生成隨機的機密密匙，使用Hifn公司專業的硬體加密技術，將資料流進行加密之後，將加密資料儲存到物理磁帶庫或者是VTL(Virtual Tape Library: 虛擬磁帶庫)上，同時把加密資料所用的密匙儲存於備份伺服器上的共享位置。

在進行資料救援時，只需要確保密匙處於磁帶加密機可以訪問的位置，加密資料流在經過磁帶加密機時被自動解密，並將解密之後的資料發送到備份伺服器，實現對加密磁帶的恢復。

總之，靜態資料加密可以有效地防止信息洩漏，降低企業經營風險，提升企業信息安全水平，對於企業持續健康發展，將起到非常積極的推動作用。Hifn公司作為業界領先的信息安全與儲存技術提供商，研發出的高性能硬體加速的安全與儲存優化產品，一直以來都受到世界範圍內各大網絡通信設備與儲存系統製造商的肯定和採用。為滿足企業對信息傳輸和儲存安全不斷增長的需求，Hifn會不懈努力，推出更高性能，更經濟，更加綠色環保的安全解決方案。

(