Chinaunix首页 | 论坛 | 博客
  • 博客访问: 11681342
  • 博文数量: 8065
  • 博客积分: 10002
  • 博客等级: 中将
  • 技术积分: 96708
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-16 17:06
文章分类

全部博文(8065)

文章存档

2008年(8065)

分类: 服务器与存储

2008-07-29 11:57:18


企业用户在使用加密技术或设备,对存档数据实施加密处理的过程中,应当注意哪些问题?本文中将会一一指出……查看本文国际来源
  近一段时期,给存档数据加密的话题再次浮出水面,这主要得归功于前不久遭遇小偷“光顾”的某知名银行。在这次失窃事件中,该银行丢失了4台服务器,上面存放数千名抵押贷款及助学贷款客户的姓名、住址、社保号码等私人信息资料。你可千万不要小看了这类小偷小摸的盗窃事件,根据美国总检察署提供的统计数据表明,美国国内的商业机构每年因此蒙受的损失高达500亿美元,多么惊人的数字!
  使用存储加密技术,是最有效的解决办法之一。不过,在对存档数据进行加密处理时,用户必须对IT系统做一些必要的设置,以满足以下几点条件:
用于解锁加密存档数据的密钥一定要保管好,并且定期整理,维护它的可用性,密钥的保管期有时候可能长达10年以上;

不允许对存档数据做未经授权的更改,如果出现这样的更改,系统能够自动监测到;

维护数据解密工具的高可用性,保管期与加密工具相同。如果是通过软件解密,最初用于加密数据的算法代码一定要保管好。为了确保当前所使用的解密工具在5~10年后仍然能够发挥效用,用户一定要定期进行测试。
  接下来,让我们具体回顾一下以上3点吧。第一点是维护密钥的高可用性。弱肉强食,这是自然发展的规律,商界也不例外,在当今社会中,企业合并与收购是稀疏平常的事情。用于解锁加密数据的密钥,一般都由企业的系统管理员统一进行管理,在企业重组的过程当中,管理员们有可能跳槽,有可能被辞退,服务器得由其它人接手管理。在这种情况下,最简单的解决办法就是将密钥存放在服务器上。但是,这样一来,密钥也就失去了原来的作用,小偷会将服务器、密钥和加密数据一起带走,然后慢慢解密,反正锁与钥匙都在他的手中,时间有的是,怎么试都可以。有鉴于此,IBM公司推出的集成加密服务工具(ICSF)采用了一种另类的处理方法,它将“主密钥”存放在大型主机服务器的一个安全硬件模块内,如果有人试图以未经授权的方式强行调用主密钥的话,该模块将会自动销毁它。所谓主密钥,指的是用来解锁其它密钥的钥匙。

企业用户在使用加密技术或设备,对存档数据实施加密处理的过程中,应当注意哪些问题?本文中将会一一指出……
  第二点比较简单,只要与数据完整性验证机制同步部署就可以了。相比之下,第三点实施起来就困难多了。加密技术更新换代的速度非常快。所谓道高一尺,魔高一丈,新的加密算法往往推出后没多久,网络黑客就会研究出破解它的办法,这样一来,这套算法就不能继续使用了。去年7月份,美国国家标准和技术学会(NIST)曾宣布DES算法存在缺陷,不适合应用于政府机构专用的软件产品。加密算法的老化问题,将会间接影响到解密软件的可用性。
  所以说,选择合适的加密工具,对于各企业的IT管理者们而言,确实是一项棘手的工作。在对业务关键信息实施加密处理之前,企业内部首先得制订一套完善的存储加密解密管理策略。如果加密的数据日后无法解密的话,那么,加密也就失去了原有的意义。不具备该条件的企业用户可参照以下两点执行:
根据上文的描述,尽量采取各种有效的办法来调整企业内部的安全管理策略,并严格按步骤执行,填补数据管理流程中存在的安全漏洞。如果置身于数据密集型行业(如金融服务机构),或者,数据的业务敏感度比较高的话,建议用户务必要想办法完善企业自身的安全管理策略;

依照行业最佳实践范例,对未经加密的纯文本数据实施有效的安全保护。所谓最佳实践范例,指的是更严格的数据存取访问控制和身份验证机制。如果用户觉得购买加密技术会对企业的预算开支造成过重的负担,而且内部存档的文件数据大多属于敏感度较低的信息资料,此时,用户可考虑使用最佳实践范例来替代加密技术。
阅读(644) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~