如今，互联网普及，越来越多的企业随着规模扩张，需要安全高速网络来连接各个分支机构与企业总部的数据通信。早期，很多企业为了解决这个问题，需要租用电信运营商的专线，形成一个覆盖全企业范围并完全“私有”的网络。通过引入专线，有效地解决了企业总部及各个地区分支机构的数据安全传输问题。但是该方案往往伴随着高额的网络设备投入，以及高昂的网络带宽租金。为了满足一般企业的数据安全传输需要，降低初次部署和日常维护成本，VPN（Virtual Private Network虚拟专用网）技术应运而生。VPN技术安全协议规范实现在OSI（Open System Interconnection: 开放系统互联）七层模型的第三层和第七层的基础上，其中第三层实现的是IPSEC协议，第七层实现的是SSL协议。所有符合安全协议标准的设备，均可用于构建大范围互联互通的VPN，实现企业数据安全传输。

　　企业除了需要解决数据安全传输的问题， 还需要面对企业内部网络安全的挑战，特别是企业运营维护的核心—数据中心的安全保护问题。而实现对企业数据中心的安全保护，目前主要的方式是对存储在数据中心物理媒介中的敏感数据进行安全管理，即采用各种静态数据加密技术。

　　静态数据加密涉及到物理存储介质包括硬盘和磁带，以及移动存储媒介譬如光盘、USB存储介质、存储卡等。企业海量数据存储和归档主要还是使用硬盘和磁带，因此静态数据加密主要围绕这两种存储介质展开。

　　实现静态数据加密的最大挑战在于密匙管理，网络安全传输过程中加密数据的存在往往只有几毫秒到几秒的时间， 但是存储系统中的加密数据需要保存的时间可以到几年甚至上百年，如果加密系统的实现方式不当，或者加密算法的强度不够，会导致攻击者有充裕的时间用于尝试不同的攻击手段，极大增加存储系统的风险。

　　国际电气电子工程师协会正积极筹划制定的IEEE 1619静态数据安全标准，就是针对磁盘存储系统缺乏统一标准， 各个厂家的产品无法互操作，密匙管理机制参差不齐，以及难以实现对企业海量数据长期安全存储的要求而提出的。下图就是基于IEEE 1619.3 标准的磁盘加密系统结构图。

　　从图一我们可以看出，在业务数据流之外，增加了认证数据流，用于对每一次加解密过程中的密匙进行统一管理。所有符合IEEE 1619安全标准的存储安全设备，均可以通过这种统一的方式进行集中管理。

　　除了硬盘的安全，还可以通过引入独立的加密设备，对公司已有的磁带归档系统添加安全特性，Hifn公司的Sypher系列磁带加密机产品就属于这类。

图二 磁带归档系统实现方式对比

图二 磁带归档系统实现方式对比

　　图二左边是企业现有磁带归档系统的一般结构，右边是采用了Hifn公司Sypher 磁带加密机产品实现安全归档的部署结构，用于对企业的磁带归档系统添加安全加密功能。 Sypher磁带加密机产品对备份服务器提供千兆以太网接口，支持iSCSI协议，企业存储网络内的备份服务器和其他应用服务器可以直接访问到物理磁带，进行归档和恢复操作。业务数据流在经过磁带加密机设备时，磁带加密机依据用户设置的规则生成随机的机密密匙，使用Hifn公司专业的硬件加密技术，将数据流进行加密之后，将加密数据存储到物理磁带库或者是VTL(Virtual Tape Library: 虚拟磁带库)上，同时把加密数据所用的密匙存储于备份服务器上的共享位置。

　　在进行数据恢复时，只需要确保密匙处于磁带加密机可以访问的位置，加密数据流在经过磁带加密机时被自动解密，并将解密之后的数据发送到备份服务器，实现对加密磁带的恢复。

　　总之，静态数据加密可以有效地防止信息泄漏，降低企业经营风险，提升企业信息安全水平，对于企业持续健康发展，将起到非常积极的推动作用。

　　马剑杰---汉帆（杭州）信息技术有限公司 现场应用工程师