张　磊

企业的数据管理需求正日益增长。因此在数据存储领域,保证关键信息的安全是首先要考虑的问题。最早的存储加密方式有两种:一种是硬件加密,另一种是在备份软件中内嵌加密功能。目前,用户正逐渐将加密操作从备份软件产品中剥离出来,因为硬件加密产品有更好的性能表现,而且操作更简单。

终端加密产品

1.磁盘驱动器加密

富士通全盘加密技术 富士通公司的全盘加密(Full-Disk Encryption,FDE)是一种基于硬件的且不依赖操作系统进行密钥安全管理和访问验证的技术。富士通公司宣称,FDE驱动器在执行加密任务时对系统性能没有影响。该产品是富士通与Wave Syetems公司合作的产物。

希捷安全技术(Seagate Secure Technology) Seagate Secure磁盘驱动器使用一个封装在驱动器内的芯片来加密数据。Seagate Secure磁盘驱动器可与工作站相匹配,并可在驱动器上设置不可见的安全分区。通过使用McAfee公司的ePolicy Orchestrator安全管理软件,用户可以在公司总部对Seagate Secure磁盘驱动器进行远程管理,并为打开这些加密驱动器的操作提供认证功能,同时支持生物识别技术和安全令牌。戴尔公司在其Latitude系列笔记本电脑、Precision系列移动工作站和OptiPlex系列台式机中采用了希捷的Momentus桌面级自加密驱动器。

2.磁带驱动器加密

在不断萎缩的高端专用磁带市场上,IBM和Sun是硕果仅存的两个厂商。几年前,它们就开始在高容量、高性能、自我加密的磁带驱动器上展开较量。

IBM在其磁带驱动器中内置了一个加密许可,并收取费用。惠普预计在2009年推出内置加密功能的DAT 320驱动器。戴尔、惠普、IBM、Overland Storage、昆腾、Spectra Logic和腾保数据等公司仍在LTO(线性磁带开放协议)磁带驱动器方面进行投资。

LTO已经成为企业存储市场上的磁带技术标准。DLT等磁带技术正逐渐被替代。LTO-4磁带中引入了固化在驱动器硬件中的AES-256加密功能。当所有的磁带驱动器都可以执行加密功能时,系统必须拥有独立的密钥管理程序。

基于SAN/网络的加密产品

1.基于交换机的加密

博科(Brocade)公司的加密交换机是一个32端口、8Gb/s的光纤通道交换机。FS8-18加密刀片是一个16端口的刀片,可以插入博科的DCX骨干网交换机。博科宣称,其交换机和刀片都可以扩展到96Gb/s的加密处理能力。NetApp公司也转售博科公司的加密交换机。

CipherMax公司推出了CM100系列1U光纤通道交换机。CipherMax宣称,该交换机可支持4个全带宽磁盘阵列目标端口和上百个加密流。CipherMax的所有交换机都配备了SANCruiser光纤管理软件和KeyCruiser密钥管理软件。KeyCruiser密钥管理软件为系统中的所有设备创建了一个中心密钥存储库,可对密钥进行备份和离线归档。Cisco的用户可以通过如下方式在SAN导向器或交换机上增加加密功能:在MDS9500及MDS9200系列机架上增加刀片,或者为MDS9200增加交换机模块。MDS9500具有自动负载平衡和集群刀片的功能。为导向器增加加密功能不需要对SAN进行重新布线。交换机可对磁盘阵列和以磁盘为基础的备份产品,如虚拟磁带库(VTL)实行在线加密。

2.基于磁盘阵列的加密

SAN硬件厂商希望在数据安全领域分一杯羹。能够提供企业级磁盘阵列加密功能的厂商包括EMC、富士通、HDS、IBM、LSI等。

3.基于网络的加密

被Exar收购之前,Hifn公司就已经开发出一系列芯片板,具有重复数据删除、压缩和加密处理功能,目的是消除伴随软件加密方式产生的性能问题。Hifn的Express DR 250/255比1600系列卡的速度慢。Hifn宣称,1600系列卡的性能可达1800 MB/s。Hifn希望通过存储硬件OEM的方式销售这些卡。Hifn还为Windows系统提供BitWackr主存储重复数据删除软件。BitWackr软件可与Hifn的DR卡集成在一起。

4.密钥管理产品

加密是用长字符串对数据进行编码,因此解密时必须有匹配的密钥。密钥管理是一个存储、保护、备份和跟踪密钥轨迹的过程。没有密钥,加密的数据就会因无法访问而成为垃圾信息。密钥管理是一个非常复杂的过程。目前,密钥管理产品可以简单划分成两大类:硬件设备和纯软件。美国科罗拉多州Evaluator集团公司负责管理合作伙伴的Russ Fellows表示:“一般情况下,我更喜欢使用硬件加密设备。虽然软件可以进行多种配置和调优,但是软件的设置不像硬件设备那样简单。目前,妨碍密钥管理发展的最大障碍是缺乏一个业界统一的标准,不同的密钥管理产品的互操作性较差。”