最近，NIST(美國國家標準與技術(shù)研究所)出版了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡安全框架改善》白皮書。該框架的核心包括五個功能：識別，保護，檢測，響應和恢復。

數(shù)據(jù)中心管理人員，系統(tǒng)管理員和首席信息安全官們都知道，如果在數(shù)據(jù)“保護”方面花費更多的時間，那么，在“響應”和“恢復”方面的時間必然將會有所減少。在本文中，我們將為大家介紹有一些方法，以加強對于您不斷變化的數(shù)據(jù)中心的安全程序的保護的同時，又不會損失數(shù)據(jù)的有效性。

數(shù)據(jù)保護的層次

很大一部分的數(shù)據(jù)“保護”工作都涉及到數(shù)據(jù)加密。在數(shù)據(jù)中心中，數(shù)據(jù)可以有三種狀態(tài)：休息，運行和被使用。最常見的加密是在設(shè)備層面的加密，以便保護那些處于休息和運行狀態(tài)的數(shù)據(jù)。通常，設(shè)備層面進行加密相對容易實現(xiàn)，但其也只是提供了最低水平的數(shù)據(jù)保護。

大多數(shù)人認為，當數(shù)據(jù)保護是實現(xiàn)全磁盤加密(包括磁盤驅(qū)動器本身的加密或者文件系統(tǒng)的加密)就自然實現(xiàn)了對處于休息狀態(tài)的數(shù)據(jù)加密。但我們將這種方法僅僅視為對設(shè)備的保護，因為如果您拔出磁盤驅(qū)動器，所有磁盤上的數(shù)據(jù)固然均是加密的，只有那些有私人密鑰能夠解密數(shù)據(jù)的才可以訪問。但當磁盤被操作時，整盤加密或加密文件系統(tǒng)沒有提供任何保護。當文件被讀取或復制，其會自動解密，而當這些數(shù)據(jù)被轉(zhuǎn)移到另一個平臺，加密并不會同時隨之轉(zhuǎn)移。

運行中的數(shù)據(jù)加密通常被認為是通過協(xié)議，如SSL/TLS保障的。在運行中的數(shù)據(jù)保護是通過這些協(xié)議的嗅探。而沒有私人密鑰，將無法解密數(shù)據(jù)。

另一種考慮對休息和運行狀態(tài)數(shù)據(jù)保護的互補的方案是以數(shù)據(jù)為中心，而非以設(shè)備為中心的加密。如果對單個文件進行了加密，那么，就算某人刪除了驅(qū)動設(shè)備或試圖在傳輸過程中攔截敏感數(shù)據(jù)數(shù)據(jù)仍然是受保護的。只要在休息和運行狀態(tài)的數(shù)據(jù)被鎖定，那么你將不再依賴于單個設(shè)備或傳輸協(xié)議來為加密的數(shù)據(jù)提供保護，因為無論到哪里，以何種傳輸方式，其在本地存儲，SAN或NAS，或云中均是受保護的。

以數(shù)據(jù)為中心的方法?

以數(shù)據(jù)為中心的保護方法在技術(shù)上并不比設(shè)備加密更難。在過去，有關(guān)加密障礙和以數(shù)據(jù)為中心的保護的某些誤解主要是由于諸如企業(yè)缺乏有實力可以處理或加密大型機的內(nèi)部人員等因素造成的。因此首先，我們將向大家介紹有關(guān)于以數(shù)據(jù)為中心的加密和設(shè)備級加密之間的差異的一些基本知識。

對于設(shè)備級加密，通常需要X.509證書以便在加密操作中提供密鑰，通常用很少的配置。從這點上看，既然已經(jīng)對整體進行了加密，就沒有必要選擇對個別證書進行加密了，因為該設(shè)備已經(jīng)采用了相同的通用加密。其執(zhí)行是很容易的，也并非完全沒有價值，但其越來越受到高級攻擊或不必要的“訪客”威脅。

而另一方面，以數(shù)據(jù)為中心的加密保護單個文件，利用特定的認證確保每個文件只有那些具有特定訪問權(quán)限的人才能訪問。以數(shù)據(jù)為中心的安全性要求以一個經(jīng)紀人協(xié)商的身份組合應用程序，密鑰和加密算法。身份驗證，要求您首先告知應用程序您是誰，然后關(guān)聯(lián)相應的密鑰認證您的身份。接下來，應用程序利用密鑰與適當?shù)募用芩惴ㄍㄟ^使用平臺，并利用相應的密鑰對數(shù)據(jù)進行加密解密。以數(shù)據(jù)為中心的加密解決方案都能夠使用多種鍵控源，以及聯(lián)系特定的鍵進行身份識別。他們還可以利用硬件加密的優(yōu)勢，這將盡可能高效地進行數(shù)據(jù)加密。如主鍵訪問等功能使密鑰管理更加容易，并且能夠在非常大的規(guī)模來實現(xiàn)。

在實踐中的保護

安全就是縱深防御。以數(shù)據(jù)為中心的加密是對以設(shè)備為中心的加密的互補，但鑒于當今世界數(shù)據(jù)移動的大趨勢，我們必須著眼于數(shù)據(jù)第一，然后才是設(shè)備。因此，在數(shù)據(jù)傳輸過程中的數(shù)據(jù)保護遠比單純確保設(shè)備的安全更有效。

了解一些以數(shù)據(jù)為中心的安全的級聯(lián)效應，如從存儲的角度來看到影響是非常重要的。一個鮮為人知的事實是，壓縮加密數(shù)據(jù)是不可能。根據(jù)定義，加密數(shù)據(jù)是高度隨機的，因此其不能被壓縮。如果你要對數(shù)據(jù)進行加密，最好是在加密的同時進行壓縮，因為除此之外你就沒有壓縮加密數(shù)據(jù)的機會了。

值得一提的是，加密應該從您企業(yè)的敏感數(shù)據(jù)開始。實施更廣泛的加密方法固然有價值，但要煮沸一大片海水可能會錯過某些精致(和現(xiàn)實)業(yè)務數(shù)據(jù)的安全性。例如，您可以實施數(shù)據(jù)分類或?qū)⑵渑c一個SAN和NAS上批量數(shù)據(jù)的DLP解決方案結(jié)合使用。但你會希望把重點放在敏感數(shù)據(jù)處理方面，并確保對休息和運行狀態(tài)數(shù)據(jù)的加密。

以層為出發(fā)點

新的NIST框架的第一個版本，避免陷入數(shù)據(jù)安全的紛爭，如建議加密類型。然而，在固體的方面之一：“層”系統(tǒng)，能夠讓企業(yè)和數(shù)據(jù)管理人員評估他們的風險偏好和分層的安全需求。較之許多其他的安全措施，其只是努力減少數(shù)據(jù)安全的預期，這是一個起點。而隨著密碼學作為“分層”的安全方法的一部分，數(shù)據(jù)中心管理人員可以建立自己的框架來保護敏感的商業(yè)信息安全。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡基礎(chǔ)服務，另有網(wǎng)總管、名片俠網(wǎng)絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網(wǎng)絡版權(quán)侵權(quán)舉報電話：0371-60135995
服務熱線：0371-60135900