您的企業(yè)是否已經(jīng)在使用磁帶數(shù)據(jù)加密技術？在過去的幾年中磁帶已死的說法不攻自破，在許多企業(yè)，磁帶仍作為備份和歸檔應用。不過由于其便攜性，磁帶所帶來的安全風險正日益凸顯。在今天的市場環(huán)境中，任何企業(yè)的數(shù)據(jù)如果丟失、被盜或無意泄露，都會給企業(yè)造成巨大災難，而解決這方面的風險也成為IT部門的第一要務。通過本篇，你可以了解到不同的磁帶備份加密方式，以及各種方式的優(yōu)劣。

    磁帶備份加密方式

    目前市場上磁帶備份的加密方式主要有這三種：

    ·主機端加密方案

    ·帶內加密設備或交換機

    ·介質端加密方案（其中包含磁帶驅動器加密）

    主機端加密或許是最為有用的方式，其中只需在一套系統(tǒng)或一定數(shù)量的系統(tǒng)上部署加密技術。除了主機端加密方式以外，沒有其它方案可以加密從一臺主機發(fā)出的所有數(shù)據(jù)。市場上有許多不同種類的主機端加密方式，并且可以通過應用技術（諸如數(shù)據(jù)庫列項加密軟件）、主機端腳本或具備加密功能的特定存儲或網(wǎng)絡適配卡進行部署。幾乎每家主流的適配器廠商、提供多路徑方案或其它帶內互操作腳本的存儲廠商、存儲虛擬化供應商以及其他許多供應商都提供這類產品。

    帶內設備加密的工作原理也頗為類似，設備將通過這段鏈路的數(shù)據(jù)進行加密，由于其位于存儲互聯(lián)之間，這種設備可以被許多不同應用和主機所共享。主機和設備間的數(shù)據(jù)傳輸通常是非加密的。該方式是在多臺主機和多種類型的存儲，包括主存儲、歸檔層、甚至磁帶之間同時部署加密最為容易的方式。而且，帶內設備加密方式可以對某一類存儲層進行選擇性的加密。這類方案的廠商和產品有Brocade的Encryption Switch、Cisco系統(tǒng)公司的MDS Storage Media Encryption和NetApp的DataFort。

    介質端加密使用各種不同技術在特定的媒介格式中進行數(shù)據(jù)加密。這種技術可以集成在存儲陣列之中，這樣陣列中的每塊驅動器都可以被加密。而更為典型的是磁帶加密，備份介質服務器、磁帶庫、虛擬磁帶庫（VTL）或單獨的磁帶驅動器（LTO-4或LTO-5驅動器）會在數(shù)據(jù)寫入到磁盤或磁帶時進行加密。例如，IBM公司的DS8000系列陣列利用全加密驅動器提供驅動器級別的加密。Quantum公司的Scalar系列應用LTO-5驅動器的ATL磁帶庫以及其他各大磁帶庫生產商，都已可以提供加密技術。

    備份磁帶加密最佳實踐

    各種方式都有其風險，這使得選擇備份磁帶加密方式變得極其復雜。以下列出了磁帶備份加密的最佳實踐：

    1、確保所有的磁帶都被加密。企業(yè)應當尋求一種解決方案來確保所有的磁帶都被加密，而且在管理多路徑至磁帶的過程中（諸如多歸檔和備份系統(tǒng)），避免激活加密鏈路或引起不必要的麻煩。

    2、加密操作應盡可能靠近目標端。理想的產品能夠在合適的體系架構層級中加密數(shù)據(jù)，而不影響容量優(yōu)化和其它類型的數(shù)據(jù)管理解決方案。一般說來，所有的磁帶都必須加密，不過假如加密操作太接近于數(shù)據(jù)源端，數(shù)據(jù)靈活性和高效性就無從談起了。舉例而言，如果不能在磁盤或跨越WAN進行數(shù)據(jù)重復刪除或壓縮，諸如重復文件在內的掃描就會變得異常困難。同樣，接近主機端的加密要求可以通過完全不同于全面磁帶加密的解決方案來滿足。

    3、基于每塊介質進行加密。磁帶媒介上的加密用于降低風險并降低處理每件事故的工作量。在每塊介質損壞或丟失時都需要小心處理。這就表示每盤磁帶，或者至少是每一組備份磁帶或數(shù)據(jù)集合，都必須要有一把唯一的密鑰進行加密。在這一前提下，密鑰和介質都能被最好保存，丟失密鑰和丟失一塊單獨的磁帶所帶來的損失相當，并且也無需太多的管理工作來管理磁帶過期或磁帶丟失時的密鑰處理工作。

    介質端加密的優(yōu)勢

    介質端加密在特定市場上有著其獨一無二的優(yōu)勢。主機端加密和設備加密不同于介質端加密，它們是應用于不同目的的磁帶媒介加密。主機端的方式隨著規(guī)模變大會帶來巨大的管理開銷，同時可能會消耗寶貴的主機資源。設備的方式可能產生加密系統(tǒng)無法識別磁帶格式的情況，并且任何的密鑰過期都需要對大量的介質進行重新加密，其過程相當痛苦。解決多層存儲的設備加密方式可能將磁帶加密變成各種技術的大雜燴并將備份過程變得復雜化。此外，設備方式同樣會要求工程師仔細地逐一檢查企業(yè)內部所有磁帶的寫數(shù)據(jù)通道。同樣，隨著規(guī)模增長，管理每一臺主機的主機端加密也會變得難以操作。

    由于上述原因使得介質端加密似乎是不錯的選擇。但是選擇介質端加密也有一些關鍵點需要注意。備份介質服務器通常并不是加密的最好位置。介質服務器通常有著不小的性能壓力，因此或許并沒有足夠的資源加密磁帶。此外，磁帶加密管理中也需要有一些其它組件，包括較為重要的密鑰管理服務器，負責分配、保密和管理各磁帶介質的密鑰。對于市場上的許多備份產品，其內置的密鑰管理或許并不是高度自動化的，也或者是無法支持上千磁帶的擴展性。

    雖然介質端加密通常是個普遍的方式，但是記住對于一些特定業(yè)務需求也有以外。加密通常以許可證的形式出現(xiàn)，并且要求額外的密鑰管理系統(tǒng)。這種成本或許意味著帶內加密設備在有些時候更具成本效益。此外，您的企業(yè)中或許是使用虛擬磁帶庫系統(tǒng)，具備內置加密，或集成第三方加密引擎，能夠更簡單地進行加密。

    密鑰管理系統(tǒng)的重要性

    任何加密產品都需要密鑰管理系統(tǒng)，這是加密方式中一項非常重要的元素，但卻經(jīng)常被忽視。今天的市場上各種密鑰管理系統(tǒng)和不同廠商的密鑰產品之間互不相同。密鑰管理一般從磁帶或設備供應商處獲得。不過記住，目前介質端加密方式中的密鑰管理系統(tǒng)較為獨立，即便在企業(yè)中已經(jīng)有其它加密方式。未來的標準，比如密鑰管理互操作性協(xié)議（KMIP）標準或許有一天能夠使得所有的企業(yè)級系統(tǒng)共享一個單獨的密鑰管理成為可能。作為磁帶加密最佳實踐的關鍵，企業(yè)應當在選擇磁帶系統(tǒng)投資時仔細評估磁帶供應商的密鑰管理系統(tǒng)。

    最后，基礎的磁帶數(shù)據(jù)加密并不能解決所有企業(yè)的需求，或許需要利用一些額外的技術。當前市場上大量的選擇意味著企業(yè)可以簡便地構建起一種分層的模式，利用更多加密手段保護更關鍵的數(shù)據(jù)，并和磁帶加密協(xié)同工作。只要有了正確的密鑰管理，就能大幅縮小管理開銷并降低企業(yè)的風險。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標題：磁帶備份加密的最佳實踐

本文網(wǎng)址：http://www.lukmueng.com/html/support/1112188515.html