企业机构每时每刻所产生的数据资料，可以随着手指在鼠标上随意的点击，通过网络中的服务器、磁盘、光盘、磁带以及小巧轻便的U盘，在极短的时间里传遍全世界。这些数据流落到哪里去了，产生这些数据的人可能根本无法预知，对其最终的流向也毫无所悉。

    进入数字时代，传统的物理防护措施已经毫无用武之地了。对于黑客和带有不满情绪的内部员工来说，门锁已经毫无意义。甚至，一个员工无意之间犯下的人为错误，都可能因为几次鼠标点击而使企业的资料公开在全世界所有的人面前。

    数据资料本身是被动的、可以到处流动的，但是通过一定的加密手段，数据的访问权限就可以得到控制和管理。不管这些数据流到哪里，只有拥有密钥的人才可以使用。

    许多全球瞩目的案例已经告诉我们，数字化的资料常常处在极高的风险之中，甚至造成全球性的震荡。不过，已经报道出来的灾难事件只是冰山的一角而已。

    敏感信息总是难免误入不良分子的手中。防范的手段之一就是对存储装置之中的数据进行加密，这样即便这些保存着敏感信息的装置遗失、遭窃或者放在不适当的地方，只要你的密钥没有泄露，其中的信息还不至于太危险。

    目前，这种基于设备的加密措施仍然具有一定的安全度。但是随着数字化信息的数量不断增加，以及解密技术的迅速发展，很可能就有人有办法破解出存放在设备之中的信息。因此，单一的数据加密方法并不是万无一失的。数据加密必须从整个企业及其长期战略的高度来筹划。

    Sun公司的全面加密策略

    经过对企业数据现状的深入研究，Sun公司认为，通过严谨、完备的数据加密解决方案，不仅能解决好目前的企业信息安全问题，而且可以通过建立一套基于规则的密钥管理体系来为企业长期的数据管理奠定一个良好的基础。

    有意思的是，实现密钥管理并不困难，而且也花不了多少钱。只要引入一些不同层级的自动化工具，就可以减少甚至免除自己去取舍哪些数据应该加密以及各类数据应该分配什么密钥的麻烦。

    Sun公司已经形成了完备的策略，采用多种加密方法来帮助企业把自己的数据牢牢掌握在手中。这些策略可以满足企业数据在产生、传递和存放三种不同状态下的安全需求。与这些策略相配套的技术可以确保企业自由地选择在何时、何地以记忆怎样的方式来实施数据加密。

三种基本加密方式

    从基本原理来看，在数据的产生、传输和存储三个不同的阶段都可实施加密，分别称为基于主机加密（host-based encryption)、带内加密（in-band encryption)和基于设备加密（device-based encryp tion)。每种方式都有其特别的优势和缺陷。以下是简要的分析：

    产生阶段：基于主机加密（host-based encryption）

    基于主机加密也称为基于服务器加密（server-based encryption）。使数据在产生的同时就得到加密，这就避免了任何受到拦截或者被泄露的可能性，因此可以提供最高等级的数据安全。如果数据在加密之前就被别人拦截，此后的加密也就没有多大的意义了。

    基于主机加密非常适合处于活动状态的数据库，这种数据总是处在不断的变化之中。尽管这种方式具有最高的安全性，但是仍然有些因素不可忽视。

    第一，为了使用这种方式，必须修改现行的信息系统架构。如果采用带内加密或者基于设备加密的方式，加密工作是由网络或者存储设备来实现的，就不需要对主机或者服务器的运行架构做任何变更。

    第二，一旦数据被主机或者服务器加密，就不能被压缩，因此随着数据量的增加，在主机上进行加密将会使得整体存储空间占用跟着增加。

    第三，在主机上进行加密运算，一定会增加主机的工作负载，增加的幅度有可能达到40%，这就需要为企业数据中心增加新的处理能力，以便保证达到原有的性能。因此，这种方式将会增加数据中心的成本。已经上市的加密运算加速器以及迅速发展的网格计算平台（grid computing platform）有助于解决这个问题。

    第四，当从存储设备中提取数据的时候，必须由主机或者服务器运行解密软件，因此还必须同时对数据和解密软件进行维护。由于软件总是在不断地更新，所以这也将会增加系统维护的成本与复杂度。

    总评：基于服务器加密具有很高的安全性，比较适合活动的数据（active data）。

    传输阶段：带内加密（In-band encryption）

    在带内加密方式中，数据是在从产生地向目的地传送的时候被加密的。这种方式在网络的层级上对数据进行保护，通过为网络设备或者存储网络（SAN）设备配备加密装置来实现。数据在离开主机或者服务器的时候并没有被加密，当进入网络的时候由专用的加密装置来加密。在网络上传输以及在存储设备中存储的数据都是经过加密的。