储存加密指的是当数据从前端服务器输出，或在写进储存媒体之前通过系统为数据加密，以确保存放在储存媒体上的数据只有经过授权才能读取。

一、存储加密问题的提出

    长久以来，储存系统的安全是企业信息系统中较容易受到忽略的环节，由于过去的储存设备都是采用DAS架构，直接与前端的主机连接，外界要存取储存设备的唯一通道是经由前端的主机，因此只要主机安全，则后端的储存设备也是安全的。 然而许多大型企业的储存架构，多半已改用储存局域网络（SAN）或网络储存系统（NAS），通过光纤信道（FC）或IP网络的连接，整合整个企业的储存资源，以提高运用效率。但由于含有许多交换器或网关器的储存网络可允许用户从多个接入点存取储存资源，因此储存资源遭受攻击或非授权存取的机率也就大为提高。

    不过企业本地端的SAN或NAS毕竟是由企业自行掌控，因此问题相对较小，除非遭遇企业内鬼。但如果是将数据送到远程供作异地备援时，所会遭遇的风险程度就会完全不同。 在不同数据中心的SAN之间，只要通过主机端、网关器端或储存设备端的复制软件，就能将数据以同步或异步的方式复制数据。然而由于数据离开数据中心后，所经过的线路设备所有权并不是企业所拥有，而多是固网业者提供给企业租用。即使这些线路是由企业所自行建置，但管理单位也与SAN的管理单位不同，因此在数据传输的同时，也会面临在黑客从网络上任一节点撷取数据，导致数据外泄的风险。

    所以企业数据的保护可分为3个层级：第一层为网络防护，这部分包括防火墙、防毒软件、入侵侦测软件或VPN等；第二层为身份认证，也就是对不同身份的人员分别建立不同存取权限，也可搭配辨识系统使用；第三层则是数据保护，即储存加密，对写入储存媒体系统的数据进行加密编码，就算数据遗失也无法被解读出有意义的内容，从而减轻数据遗失造成的损失，所以说加密是数据安全的最后一道关卡。

二、储存加密的分类

    加密可以从信息系统的多个环节，分别以多种方式进行，以加密装置可分为硬件加密或软件加密，以执行加密的环节则可区分为主机层（Host-base）、网络层（Network-base）与储存层（Storage-base）。

    1. 硬件加密与软件加密

    软件加密的优点是使用方便，只要安装软件，开启选项即能自动执行。但软件加密的缺点是加密运算将会增加系统负担，拖累效能。而且密钥档的保管也相当麻烦，如果密钥存放在服务器上，则有可能遭到黑客的复制或盗取；如果将密钥转出并交由管理人员保管，则又有容易遗失的问题。另外一旦密钥文件损毁，则还原资料就会遇到许多困难。这时候硬件加密装置就成为另一种选择。

    硬件加密则是可通过独立的加密硬件来进行加密运算，因此不会拖累系统效能。另外密钥管理也是通过独立硬件进行，不会受到前端服务器损毁的影响，而且还可结合IC卡提供更进阶的保护机制。当然反过来说硬件加密装置也有价格较高，以及需要额外布建装置的麻烦。 表1 是硬件加密与软件加密对比

    2. 主机、网络与储存媒体加密

    主机层，即加密存储的管理软件安装在主机上，如卷管理器，卷复制器。主机层加密的做法，是在前端欲加密的主机上安装加密软件，当数据从服务器输出时就已是加密状态；

    网络层是指数据在数据于储存网络上流通时加密，而储存层则是由储存媒体自身来加密。网络层加密则是通过在储存网络中插入特殊加密硬件，或是在欲加密的服务器上安装加密软件。而储存层加密则通过使用某些带有身分认证与加密机制的硬盘或磁带机就能达成。理论上，自身附带加密机制的储存设备在部署上较为方便，用户无须再购买任何特殊软硬件。但就管理来说，由于企业通常拥有数十台甚至上百、上千台储存装置，如果加密是依靠这许多的储存装置自身分别执行，显然会给管理人员带来许多困难。相较下主机层与网络层加密就有统一管理的好处，可藉由整合的监控台来统一控管，不过在主机层加密有损耗服务器运算效能的缺点，而网络层虽不会耗损服务器资源，但会影响网络带宽。

[1] [2] 下一页  

【责编:Peng】