数据加密的优劣简析分享

tina002 · 发表于 2012-4-20 14:23:34

   随着国内外日益增多的安全事件，数据加密产品正处于百花齐放的发展阶段。数据加密产品有其应用领域的特殊性，许多行业出于安全性的考虑会有一些相应的产品属性限制，比如限制产品所应用的技术专利或加密算法应当归属在本国国内或通过相应认证。这在一定程度上影响了数据安全类技术的通用性和规模市场效应。那么部署或应用数据安全策略时，一般的加密技术以及其优劣又如何？
      1、嵌入式加密。
   这种加密产品部署在存储阵列和交换机设备之间，通过专用产品进行加解密算法。虽然提升了性能，但其加密范围仍然只限于介质级别，在应用端仍以明文方式存取数据，因此很多地方也将这种方式视为另一种形式的介质加密。
　　以上两种方式的应用较为有限，毕竟对于想要盗取数据的一方，采用物理手段进入机房，偷取存储媒介再读取数据的场景只会出现在电影场景之中。、
   2、文档安全系统.
   这种针对非结构化的数据保护方式一般在网络附加存储NAS这一层嵌入实现，由于加密算法在NAS机头内实现，这种实现方式所带来的最大问题在于其对于性能的影响。并且许多产品提供诸如终端数据不留痕，将大量的应用数据并发放在后台。因此文件级加密方案大多支持横向扩展方式，以针对大用户或大文件的应用提供高吞吐量支持。
   3、数据库加密。
   和文件级加密类似，数据库加密针对结构化数据实现加密保护，部署在数据库前端。由于数据库操作中涉及到大量查询修改语句，因此数据库加密会对整个数据库系统造成重大影响。
   4、主机应用加密。
      这类产品部署在主机端，目前大多整合在备份产品之中，作为其中的一项功能件实现数据备份的安全策略。主机应用的加密负载由主机自身承担，对网络及后台存储的影响较小，但主机在面对海量数据的加密处理时性能会比较吃紧。
   5、介质级加密。
　　这类加密方式在存储阵列上实现，一般通过在控制器或磁盘柜的数据控制器上实现静态的数据加密算法。其旨在保护存储在硬件介质上的数据不会因为物理盗取而泄露数据，但是在阵列或磁带以外，所有的数据均以明文处理、传输和存储。因此介质级加密方式一般只是作为一种附加的安全策略，并为一些特殊应用，比如通过物理磁盘/磁带运输实现数据备份，提供数据安全性保障。
　  数据加密只是企业信息安全的一部分，针对数据生命周期在企业内部这一过程中的安全存取。在考虑部署数据加密技术时，应当综合考虑企业现有IT规模和数据保障目标。对于不同类型的数据采用不同的数据加密策略。例如对于机要文档的存取可以通过物理隔离的文档安全系统，而对于机密结构化信息的存放需要分配单独的数据库系统。