近日，Arrow Electronics對美國的200家中型企業(yè)進行了一項調(diào)查，結(jié)果顯示，與降低經(jīng)營成本相比，大多數(shù)企業(yè)都會把信息安全看得更為重要。其中，近80%的公司都將信息安全看成最關(guān)注的商業(yè)問題，有69%的公司則首選降低成本。

　　政府、企業(yè)的客戶隱私信息、公司機密數(shù)據(jù)、財務信息的急速增長，以及國家和各行業(yè)的信息安全監(jiān)管制度的健全，正在驅(qū)使著各個組織對它們在磁盤和磁帶上的敏感數(shù)據(jù)做更安全的存儲。同時，存儲和安全廠商間也加快了融合和并購的腳步。用戶在采購和招標中，也把存儲安全放在越來越重要的位置。安全與存儲融合的趨勢不容置疑，但在存儲安全的實現(xiàn)手段和方式以及標準上，各個廠商卻有不同的看法。本文將著重分析存儲安全的方展趨勢和方向。

　　安全存儲有章要循

　　存儲和安全本是兩個不相關(guān)的行業(yè)。但隨著美國時代華納公司保存公司60萬名在職和離職員工個人信息的40盤磁帶在運輸途中丟失，華旗集團一批記錄著390萬客戶賬戶及個人信息的備份磁帶在運送過程中神秘失蹤……還有企業(yè)中懷有惡意的員工、不道德的內(nèi)部人員以及黑客對企業(yè)內(nèi)保存客戶數(shù)據(jù)的盜用，存儲廠商每年收回大量的返修驅(qū)動器上面的敏感數(shù)據(jù)等數(shù)據(jù)丟失問題的出現(xiàn)，人們越來越重視在企業(yè) SAN存儲局域網(wǎng)中的數(shù)據(jù)安全問題了。ESG創(chuàng)始人Steve Duplessie表示：“大多數(shù)公司處理信息數(shù)據(jù)的流程均存在漏洞。這是因為企業(yè)對信息安全缺乏足夠的重視。”

　　相應的法律法規(guī)也不斷涌現(xiàn)，比如零售業(yè)的信用卡服務公司要遵循的PCI- DSS（Payment Card Industry Data Security Standard）法規(guī)要求防止個人信息被盜、數(shù)據(jù)安全加密等。金融系統(tǒng)的GLBA（Gramm-Leach-Bliley Act）和美國34個州的數(shù)據(jù)安全法案、醫(yī)療系統(tǒng)的HIPAA（Health Insurance Portability & Accountability Act）、美國聯(lián)邦政府的DOD 5015.2（Department of Defense 5015.2），以及對存儲服務提供商的SAS 70，都要求數(shù)據(jù)外包的安全管理和安全容災VTL的服務。此外還有大家熟知的SOX（ Sarbanes-Oxley）等。

　　相關(guān)標準機構(gòu)也將目光集中到了這個領(lǐng)域，存儲安全標準似乎正在以前所未有的速度發(fā)展著。以下是幾種不同的標準：執(zhí)行嵌入式AES 256位加密技術(shù)的LTO技術(shù)聯(lián)盟（LTO Consortium）；T10委員會正在致力于SCSI存儲接口標準的制定；電氣及電子工程師學會（Institute of Electrical and Electronics Engineers，IEEE）1619.3委員會正在著眼于密鑰管理領(lǐng)域；Trusted Computing Group（TCG）有他們自己的可信任安全技術(shù)；存儲網(wǎng)絡工業(yè)協(xié)會（Storage Networking Industry Association，SNIA）的存儲安全論壇SSIF則正在研究一種長期的整體安全架構(gòu)。其中比較重要的是IEEE1619.3將可以獲得廣泛的支持，形成各家統(tǒng)一支持的標準。

　　數(shù)據(jù)加密的四種途徑

　　廠商對數(shù)據(jù)加密相當關(guān)注，無論是通過收購或是新產(chǎn)品的研發(fā)，都希望在數(shù)據(jù)加密領(lǐng)域占得先機。

　　對企業(yè)而言，如何選擇適合自己企業(yè)的加密技術(shù)和產(chǎn)品的前提是了解目前存在的加密方法。數(shù)據(jù)加密有各種分類方法，按照實現(xiàn)手段可以分為四種：主機軟件加密、加密存儲安全交換機、嵌入式專門加密設(shè)備以及基于存儲層的存儲設(shè)備。

　　主機軟件加密已經(jīng)推出很多年，其優(yōu)缺點都比較明顯。

　　其優(yōu)點是：成本低，只要有備份軟件，不需要購買額外產(chǎn)品，只需付服務費用；對現(xiàn)有系統(tǒng)改動小。其缺點是：性能影響，對主機和備份的性能影響。當我們對一個企業(yè)的數(shù)據(jù)加密時，面對TB級別的數(shù)據(jù)容量，我們需要考慮的是性能和管理是否能滿足我們的需要；基于備份軟件的加密方式目前只支持磁帶加密，無法做到磁盤存儲加密，同時也沒有壓縮的功能；對操作系統(tǒng)有一定的依賴性。

　　主機軟件加密的代表產(chǎn)品主要包括Symantec Veritas NetBackup、IBM TSM、EMC Legato Networker等。

　　加密存儲安全交換機連接在存儲設(shè)備和主機之間，不改變原有的IT結(jié)構(gòu)，本身也可以做光纖交換機使用，同時具有加密功能，也可以同原有交換機互聯(lián)。

　　加密存儲安全交換機的優(yōu)點是：擴展性好，目前加密交換機有16口到256口的不同型號，適合企業(yè)客戶；高性能，由交換機本身完成加密功能，對主機和存儲沒有影響，同時又提高磁帶壓縮功能；異構(gòu)的支持，加密存儲交換機支持各個廠商的存儲，同時也支持磁盤、磁帶、VTL等各種設(shè)備，同時也可以支持原有設(shè)備；管理型，加密交換機方式支持單獨的統(tǒng)一的密鑰管理工具，管理簡單。

　　加密存儲安全交換機的不足之處主要表現(xiàn)在，對已經(jīng)有存儲交換機的用戶來說，需要額外單獨購買加密交換機。

　　加密存儲安全交換機的代表產(chǎn)品主要包括CipherMax CM系列、思科的MDS系列等。

　　嵌入式專門加密設(shè)備是單獨的一個加密設(shè)備，需要連接在存儲和交換機之間。這種加密產(chǎn)品的優(yōu)點是：靈活性，此類產(chǎn)品可以提供端口的加密，可以隨時一對一連接到存儲上；對主機性能影響小，設(shè)備本身提供加密功能，同主機和存儲無關(guān)；支持異構(gòu)存儲。

　　嵌入式專門加密設(shè)備的缺點在于兩方面：擴展性，此類設(shè)備多是點對點解決方案，但如果是單一的一對一加密產(chǎn)品，擴展起來難度大，或者成本高。如果部署在端口數(shù)量多的企業(yè)環(huán)境，或者多個站點需要加以保護，就會出現(xiàn)問題；在企業(yè)環(huán)境中，如果對多端口的存儲設(shè)備，需安裝多臺硬件設(shè)備所需的成本會高得驚人，這給管理增加了沉重負擔。

　　基于存儲層的存儲設(shè)備本身加密方式，由存儲本身提供加密功能。這類產(chǎn)品的優(yōu)點是：擴展性好，由存儲本身提供的功能擴展性可以得到保障；投資低，存儲本身具備的功能，不需另外購買設(shè)備；對主機的性能沒有影響，由存儲本身完成。

　　但是這類產(chǎn)品也有缺點：可用性——目前各個存儲廠商只推出了具有加密功能的磁帶產(chǎn)品，具有加密功能的磁盤和虛擬磁帶庫還在研發(fā)過程中；投資保護——只能保證具有加密功能的設(shè)備本身的安全，無法對用戶原有環(huán)境中的所有存儲設(shè)備進行加密，無法利舊；管理性——各個廠商各有各的密鑰管理軟件，系統(tǒng)中會出現(xiàn)很多的加密密鑰管理軟件，無法做統(tǒng)一管理，而且目前各廠商提供的密鑰管理軟件都不夠成熟。這是用戶最關(guān)注的問題；性能——存儲設(shè)備本身加入加密功能對性能有一定的影響。加密存儲產(chǎn)品的代表是LTO-4磁帶機和Sun T10000磁帶驅(qū)動器等。

　　法規(guī)遵從是促進因素

　　公司一旦發(fā)生數(shù)據(jù)失竊，就可能違犯法律、身纏官司、股價下跌，從而失去客戶、供應商及合作伙伴的信任。法規(guī)遵從與存儲安全的關(guān)系正變得更緊密。市場分析家不約而同地認為，存儲加密市場蘊藏著無限商機，市場總額以數(shù)億美元計算。 Gartner的報告也指出，到2007年底，財富1000強企業(yè)中有八成為靜態(tài)關(guān)鍵數(shù)據(jù)加密，構(gòu)建安全存儲架構(gòu)，由此可見存儲加密受到了全球企業(yè)的廣泛關(guān)注。以前談及法規(guī)遵從問題，大多數(shù)企業(yè)將注意力集中在數(shù)據(jù)保留方面，即怎樣長期存儲數(shù)據(jù)這樣的事情，但是對這些數(shù)據(jù)是否安全以及如何保證數(shù)據(jù)的安全則忽略了。隨著法規(guī)遵從的進一步發(fā)展，社會對于企業(yè)數(shù)據(jù)安全的要求將增加。

　　我們相信，不久的將來，隨著法規(guī)的逐漸健全，中國企業(yè)未來也將面臨嚴峻的法規(guī)遵從挑戰(zhàn)。數(shù)據(jù)安全存儲有可能成為用戶IT招標中要考慮的重要的必選因素。企業(yè)也應提前做好迎接新的挑戰(zhàn)的準備。