策略先行 怎样使数据备份更安全

企业时常丢失含有客户敏感信息的备份磁带，这绝对是一个安全界的灾难。这个问题困扰着每一个行业，包括已经意识到安全问题的金融服务行业。

存储加密的风险

当你考虑对备份磁带加密的时候，你也要考虑存储加密的风险。这些风险跟运行中的数据加密的风险有很大不同。如果你运行加密数据的时候出现了问题，你会立刻知道并进行修复。比如，如果一个应用程序通过一个加密的通道发送数据，一旦加密发生了什么事，应用程序也会崩溃。分析其根本原因则会知道起因是加密失败。

然而，如果存放起来的加密数据出现了问题，你可能好几个星期、好几个月甚至好几年都不知道，当到了最后知道的时候可能已经太晚了。这是因为你只有在验证或者重新存储磁带的时候才会读取磁带。因此，除了你完成写入磁带过程后对磁带进行验证那一次，进行重新存储是你唯一测试加密系统的机会，而此时会出现最糟情况是你发现加密系统瘫痪了。

对备份磁带进行加密最大的风险是你把数据弄的太安全了，以至于连你自己都无法读取了。如果你丢失了密钥，或者程序损坏了，那么最后你所面对的只是一些不能读取的磁带，其他什么事情你都不能做。不幸的是，到你确实需要读取磁带的时候，你才可能意识到这个问题早已发生了。

这就是为什么密钥管理如此重要的原因。任何时候你想读取加密数据都需要密钥，比如进行再次存储的时候。另外，如果密钥被错误的人得到，可能会让你的加密系统失去作用。

因此，保管好用来加密数据的密钥是极为重要的。建立一个密钥数据库很关键，因为它可以记录密钥用在什么上、哪一天加密了什么数据等。当你改变密钥的任何时候，也必须相应地更新数据库。你必须对密钥数据库的访问进行控制和监视，以防止那些未经授权的访问。

尽管已经有了运行数据加密技术的密钥管理系统，但在单一系统上它们并不支持多个密钥，也不支持磁带驱动在不同时期拥有多个密钥。因此，为加密存储数据而设计的密钥管理系统往往是很不成熟的。

另外一个对备份磁带进行加密的风险是，没有取得安全性和可用性的平衡。这个问题是安全领域的难题。如果你把一个系统弄的很安全，它会变得不可用或者管理起来很困难；如果易于管理，它又往往不是很安全。在这上面的目标就是要寻找一个平衡点：既让系统变得尽量安全，又不会显著的增加管理成本或改变用户体验。

有三种加密备份数据的基本方法：

·源加密（Source encryption）

·备份软件加密

·内置（In-line）硬件加密

在数据可能发生丢失之前，所有的这三个方法都会对它进行加密。然而，每种方法都会对系统的可用性和成本造成不同的影响，这些都需要考虑。比如，有的方法会引起备份速度慢40%，有的方法会100%的降低磁带库的存贮容量，有的方法会对可用性产生很大的影响导致不可行，我们需要权衡这些特点。

源加密

源加密系统是对数据的源头进行加密。一个文件系统（比如Windows加密文件系统）或者一个数据库对存储在里面的数据进行加密。如果数据存储时加密了，备份的时候也相应的加密了，这样不会违反各种泄漏通知法律（breach notification laws）的要求；如果带有个人信息的磁带丢失了，你也不用告知你的客户。如果你担心存在泄密的内部人员，那么这种加密方式是个不错的选择。

源加密系统有若干弊端。首先，他们通常会影响还没完成的文件系统或者数据库的性能。每个文件或者数据库记录必须在写入的时候加密，在读取的时候解密，但这样会严重影响性能。

另外一个挑战是密钥管理，因为每个文件系统或者数据库类型通常都有自己的加密系统和一套密钥管理规定。由于密钥管理在存储静态数据时是要最优先考虑的因素，所以这是个大问题。如果你有几种数据类型需要加密，这可能会成为一个很大的障碍。管理一个密钥系统已经够有挑战性了，管理几个密钥系统将更为艰难。

最后，在源头加密数据抹掉了所有备份系统的压缩功能，因为加密的数据不能被压缩。这在Unix, Windows和MacOS备份环境中将导致百分之二十五到百分之五十的容量损失和性能损失（硬件压缩能提高性能是因为它减少了实际写入到磁带的字节数）。

因此，源加密技术主要应用在少量数据的加密上，比如单个文件系统或者存放个人信息的数据库。如果你考虑在数据通过一个不安全的网络之前对其进行加密，那么源加密也比较合适。

备份软件加密

对于备份软件加密，备份应用程序会在数据存储在磁带上的时候对其进行加密。大多数备份软件产品都有加密选项，在最近几个月内，一些供应商已经加强了这些功能。

虽然，这解决了采用单个密钥管理系统的源加密方式很难处理的多个密钥问题，但很多备份软件应用程序采用的密钥管理系统都还比较陈旧。少数几个供应商已经更新了他们的密钥管理技术，有些还已经跟其他的公司进行了合作。然而，大多数供应商还停留在80年代的技术水平上，他们采用的系统很容易被击溃。

举个例子，他们采用的是没有访问控制概念的单个密钥；如果你有那个密钥，你就能读取磁带。如果一个有恶意的雇员得到了磁带和密钥，他或她就能读取磁带。如果你因为那个雇员而改变了密钥，他还是能读取偷来的、用旧密钥加密的磁带，但是你却不能读取在改变密钥之前写的备份磁带，你必须暂时在适当的位置重新输入旧密钥来读取旧磁带。

备份软件加密也会影响备份性能，因为用软件进行加密非常慢。尽管越来越快的CPU和更有效的指令能够缓解这种情况，但是软件加密可能还是会因为速度的原因而失去竞争力。像源加密一样，备份软件加密也会抹掉大多数备份系统的压缩功能，除非用户用客户端软件压缩，但是这样会让备份更加缓慢。

因此，像源加密一样，备份软件加密也主要用在加密少量数据上。比如，如果你有一个用于存储个人信息的数据库，你可以只加密这个数据库的备份。然而，对所有存储个人信息的数据库和文件系统进行区分可能会非常困难。如果你不确定自己能辨认所有的这些数据库，你必须对所有的备份都