如何才能使数据备份更安全

企业经常丢失包含客户敏感信息的备份磁带，这绝对是安全领域的灾难。这个问题困扰着每一个行业，包括已经意识到安全问题的金融服务业。

去年，纽约梅隆银行表示，第三方邮政企业两次丢失未加密的备份存储磁带，可能暴露了约450万人的信息。几乎在同一时间，总部位于波士顿的道富公司(State Street Company)表示，一家做产品数据分析的承包商丢失了一个硬盘，其中包含5500名员工的个人信息和4万名用户的账户信息。数据起初是加密的，但承包商将信息解密并存储在计算机设备上，结果信息从设备中被盗。

在纽约梅隆银行，数据泄露事故迫使公司提高安全措施，要求必须将机密数据写入磁带或光盘进行加密传输，或者在传输过程中进行严格控制。

加密很关键，可以避免数据泄露的严重后果，包括告知客户数据泄露造成的直接损失和品牌受损的间接损失。无论您的供应商告诉您什么，所有未加密的备份磁带都可能被恶意的罪犯读取。有些供应商会说他们的备份格式是公司自己的格式，备份数据没有他们的数据库和软件是无法解读的等等。请不要听这样的言论。备份格式与法律无关(如加州SB 1386)，但如果你失去了对未加密私人信息的控制，你必须通知受影响的客户。如果数据是加密的，大多数州的数据泄露法律不要求您通知客户。

对那些要运出公司物理位置的磁带进行加密是一个明确的业务选择。当磁带丢失时，保护备份数据可以为您的企业节省数百万美元，并确保品牌遭受的损失最小。

加密的风险

当您考虑加密备份磁带时，还应该考虑存储加密的风险。这些风险与操作中的数据加密有很大不同。如果运行加密数据时出现问题，您会立即知道并修复它。例如，如果应用程序通过加密通道发送数据，一旦加密发生问题，应用程序就会崩溃。对根本原因的分析表明，原因是加密失败。

但是，如果存储的加密数据有问题，你可能几周、几个月甚至几年都不知道，最后知道的时候可能已经太晚了。这是因为您只在验证或重新存储磁带时才读取磁带。所以，除了你在完成写入磁带的过程后验证磁带的时候，重新存储是你测试加密系统的唯一机会，这个时候最糟糕的情况就是你发现加密系统瘫痪了。

加密备份磁带的最大风险是，您将数据变得如此安全，以至于您自己都无法读取。如果你丢失了密钥，或者程序损坏了，那么到最后，你面对的只会是一些无法读取的磁带，其他的什么都做不了。不幸的是，直到你真的需要看磁带的时候，你才可能意识到这个问题已经发生了。

这就是密钥管理如此重要的原因。任何时候你想读取加密的数据，都需要一个密钥，比如再次存储的时候。此外，如果密钥被错误的人获得，它可能会使您的加密系统失效。

因此，保存用于加密数据的密钥极其重要。建立密钥数据库至关重要，因为它可以记录密钥的用途、哪一天加密了哪些数据等等。无论何时更改密钥，都必须相应地更新数据库。您必须控制和监控对密钥数据库的访问，以防止未经授权的访问。

虽然有运行数据加密技术的密钥管理系统，但它们不支持在单个系统上有多个密钥，也不支持在不同时期有多个密钥的磁带驱动器。因此，为加密和存储数据而设计的密钥管理系统往往是不成熟的。

加密备份磁带的另一个风险是安全性和可用性之间没有平衡。这个问题是安全领域的一个难题。如果你使一个系统安全，它将变得不可用或难以管理；如果很容易管理，往往不是很安全。上面的目标是找到一个平衡点:在不显著增加管理成本或者不改变用户体验的前提下，让系统尽可能的安全。

加密备份数据有三种基本方法:

源加密(源加密)

备份软件加密

在线硬件加密

这三种方法都会在数据丢失之前对其进行加密。但是，每种方法都会对系统的可用性和成本产生不同的影响，这是需要考虑的。比如有些方法会让备份速度变慢40%，有些方法会让磁带库的存储容量减少100%，有些方法会对可用性造成很大影响，导致不可行。我们需要权衡这些特征。

源加密

#p#

源加密系统加密数据源。文件系统(如Windows加密文件系统)或数据库对存储在其中的数据进行加密。如果数据存储时加密，备份时也会加密，这样就不会违反各种违反通知法的要求；如果带有个人信息的磁带丢失，您不必通知您的客户。如果你担心存在泄密的知情者，那么这种加密方式是个不错的选择。

源加密系统有几个缺点。首先，它们通常会影响未完成的文件系统或数据库的性能。每个文件或数据库记录在写入时必须加密，在读取时必须解密，但这会严重影响性能。

另一个挑战是密钥管理，因为每个文件系统或数据库类型通常都有自己的加密系统和一套密钥管理规则。因为在存储静态数据时，密钥管理是最高优先级的，所以这是一个大问题。如果您有几种需要加密的数据类型，这可能是一个很大的障碍。管理一个关键系统已经够有挑战性了，但是管理几个关键系统会更加困难。

最后，在源位置加密数据会擦除所有备份系统的压缩功能，因为加密的数据无法压缩。这将导致Unix、Windows和MacOS备份环境中25%至50%的容量损失和性能损失(硬件压缩可以提高性能，因为它减少了实际写入磁带的字节数)。

因此，源加密技术主要应用于少量数据的加密，如单个文件系统或存储个人信息的数据库。如果您考虑在数据通过不安全的网络之前对其进行加密，那么源加密也更合适。

备份软件加密

对于备份软件加密，备份应用程序会在数据存储在磁带上时对其进行加密。大多数备份软件产品都有加密选项，最近几个月，一些供应商增强了这些功能。

虽然这解决了单个密钥管理系统的源加密方法难以处理的多个密钥的问题，但是许多备份软件应用所采用的密钥管理系统仍然相对较旧。一些供应商更新了他们的关键管理技术，一些供应商与其他公司合作。但是大部分供应商还停留在80年代的技术水平，采用的系统很容易被打败。

例如，他们使用单个密钥，没有访问控制的概念；如果你有那把钥匙，你可以读那卷带子。如果恶意员工得到了磁带和密钥，他或她就可以读取磁带。如果你因为那个员工换了密钥，他还是可以读取用旧密钥加密的被盗磁带，但是你不能读取换密钥前写的备份磁带。您必须在适当的位置临时重新输入旧密钥才能读取旧磁带。

备份软件加密也会影响备份性能，因为用软件加密很慢。虽然越来越快的CPU和更有效的指令可以缓解这种情况，但软件加密仍然可能因为速度而失去竞争力。和源加密一样，备份软件加密也会擦除大部分备份系统的压缩功能，除非用户用客户端软件压缩，但这样会使备份变慢。

所以备份软件加密和源加密一样，主要是用来加密少量的数据。例如，如果您有一个用于存储个人信息的数据库，则只能对该数据库的备份进行加密。但是，区分存储个人信息的所有数据库和文件系统可能非常困难。如果您不确定是否能识别所有这些数据库，则必须加密所有备份，以确保在丢失一盘磁带时不必通知所有用户。如果是这样的话，这个选项可能不可行，因为它对系统性能和容量影响很大。但是，对于不安全网络之间的备份系统，备份软件加密更为合适。

硬件加密

硬件加密是一个比较新的选择，增加了人们对加密技术的兴趣。硬件对物理链路之间的数据进行加密。因为加密是硬件做的，可以很快，不会让备份慢。此外，加密设备设计用于在加密之前压缩磁带上的数据。

这些硬件加密系统通常有一个非常好的密钥管理系统，不会被一个恶意的员工破坏。例如，它们通常将用于加密数据的密钥与用于验证和授权系统和人员的密钥分开。它们还提供了确保密钥永远不会丢失的功能，例如复制和密钥保险存储。这些系统非常先进，因为它们是在过去五年中开发的，充分吸收了数据安全领域几十年的经验和教训。

第一批可用的加密设备是具有几个输入和输出端口的专用设备。到去年年底，这些系统占据了大多数备份加密的市场份额。同时，加密功能现在可以放在磁带库、智能交换机和磁带机中。这就会引出这样一个问题:硬件加密应该在哪里进行？只要硬件系统有压缩加密功能和强大的密钥管理系统，这个问题就不是很重要。

要加密任何大量数据，硬件加密是最佳选择。用户可以压缩他们的备份数据，而不会损失任何性能和容量；他们只需要购买足够的设备来满足备份带宽需求。加密的唯一缺点是成本高。这些设备至少需要支付2万美元。但是，这个成本和数据泄露造成的损失相比，只是九牛一毛。

如何选择？

对你的企业来说最重要的是什么？你想解决什么问题？回答这些问题将帮助你决定哪种方法是最好的。如果你总是加密敏感数据，那么你应该选择源加密；如果您只想确保数据在离开系统进行备份时被加密，那么您应该选择备份软件加密。但是，请记住，这两种方法都会对性能和容量产生严重的负面影响。如果你不想知道到底要加密什么，而只想加密存储在磁带上的所有数据，又不想看到备份系统的任何性能或容量损失，那么你正确的选择应该是硬件加密。

无论你选择什么加密方式，备份磁带丢失的时候，你都会感到一丝欣慰。毕竟，在这样一个数据隐私合法的时代，任何企业都不能不对存储的数据进行加密。