数据加密深层探讨 四种手段孰优孰劣？

       信息时代，人们对于数据和信息特别的关心，其主要原因是在这个时代，掌握价值数据和信息的个人、企业甚至国家将占据时代发展的主导地位。但或许也是由于这一点，使得数据和信息的安全问题不断产生。而这些问题的产生让人们逐渐开始关注信息时代的另一面，信息与数据安全防护的问题。

       在这个领域，存在许多对于信息、数据和与其相关的技术和设备的防护方法，其中数据加密最值得人们关注。其主要原因是由于，数据加密技术能直接作用于数据本身，使得数据即使遭遇了各种危机，只要其核心的算法不被破译，数据仍然可以看做是安全的。而或许也正是由于这一点，随着信息时代的不断发展，加密技术正被越来越多领域，尤其是企业范畴所关注。

       同时，也正由于“时代的关注”，使得加密技术本身也产生了多种多样的发展和变化，那这些发展变化所产生数据加密手段和方法到底哪个才是最好的？它们各自的优缺点又在哪呢？下面就让信息安全领域的专家山丽网安从手段和技术本身两方面为您来对比和分析一下吧。

       从加密手段看：主要存在四种加密途径

       数据加密有各种分类方法，按照实现手段可以分为四种：主机软件加密、加密存储安全交换机、嵌入式专门加密设备以及基于存储层的存储设备。

       1、主机软件加密

       主机软件加密已经推出很多年，其优缺点都比较明显

       其优点是：成本低，只要有备份软件，不需要购买额外产品，只需付服务费用;对现有系统改动小。其缺点是：性能影响，对主机和备份的性能影响。

       当我们对一个企业的数据加密时，面对TB级别的数据容量，我们需要考虑的是性能和管理是否能满足我们的需要;基于备份软件的加密方式目前只支持磁带加密，无法做到磁盘存储加密，同时也没有压缩的功能;对操作系统有一定的依赖性。

       加密存储安全交换机连接在存储设备和主机之间，不改变原有的IT结构，本身也可以做光纤交换机使用，同时具有加密功能，也可以同原有交换机互联。

       2、加密存储安全交换

       加密存储安全交换机的优点是：扩展性好，目前加密交换机有16口到256口的不同型号，适合企业客户;高性能，由交换机本身完成加密功能，对主机和存储没有影响，同时又提高磁带压缩功能;异构的支持，加密存储交换机支持各个厂商的存储，同时也支持磁盘、磁带、VTL等各种设备，同时也可以支持原有设备;管理型，加密交换机方式支持单独的统一的密钥管理工具，管理简单。

       加密存储安全交换机的不足之处主要表现在，对已经有存储交换机的用户来说，需要额外单独购买加密交换机。

       3、嵌入式专门加密设备

       嵌入式专门加密设备是单独的一个加密设备，需要连接在存储和交换机之间。

       这种加密产品的优点是：灵活性，此类产品可以提供端口的加密，可以随时一对一连接到存储上;对主机性能影响小，设备本身提供加密功能，同主机和存储无关;支持异构存储。

       嵌入式专门加密设备的缺点在于两方面：扩展性，此类设备多是点对点解决方案，但如果是单一的一对一加密产品，扩展起来难度大，或者成本高。如果部署在端口数量多的企业环境，或者多个站点需要加以保护，就会出现问题;在企业环境中，如果对多端口的存储设备，需安装多台硬件设备所需的成本会高得惊人，这给管理增加了沉重负担。

       4、基于存储层的存储设备

       基于存储层的存储设备本身加密方式，由存储本身提供加密功能。

       这类产品的优点是：扩展性好，由存储本身提供的功能扩展性可以得到保障;投资低，存储本身具备的功能，不需另外购买设备;对主机的性能没有影响，由存储本身完成。

       但是这类产品也有缺点：可用性——目前各个存储厂商只推出了具有加密功能的磁带产品，具有加密功能的磁盘和虚拟磁带库还在研发过程中;投资保护——只能保证具有加密功能的设备本身的安全，无法对用户原有环境中的所有存储设备进行加密，无法利旧;管理性——各个厂商各有各的密钥管理软件，系统中会出现很多的加密密钥管理软件，无法做统一管理，而且目前各厂商提供的密钥管理软件都不够成熟。这是用户最关注的问题;性能——存储设备本身加入加密功能对性能有一定的影响。

       从加密技术发展角度看：历史的变化决定了加密需朝多元化发展

       数据加密技术已经有两千多年的历史了，古埃及人就用过象形文字来表述自己想要表达的意愿，但是随着时代的进步，古巴比伦和希腊都在用一些方法来开始保护他们的古文明和古文化。由于科技的进步，加密技术也被用于军事，例如第二次世界大战及美国内战都运用过此技术。随着计算机不断地变化，计算能力也在增强，所以加密技术也逐渐变得高深难。

       而数据加密技术也没有因为“黄金时代”的到来而停止发展的脚步，在信息化的时代中，信息化的数据加密也经历了三个阶段的变化。

       在最初，环境加密让人们初尝加密防护的效果，但防护的不严密和未触及数据核心的防护使得它很快被历史所淘汰了。而随着人们对于不同格式数据防护的需求的产生，格式加密出现在人们的眼前，但初期的格式加密却只能做到每次防护时只能选择特定的几个格式，这样也让格式加密渐渐被时代所淘汰埋下了伏笔。

       而如今，最先进同时也在不断发展的多模加密则改变了之前所有加密的弱点，对于环境加密来说，多模加密可以采用更严格的全盘加密来保证“整个环境”下数据的安全，因为这这种加密模式下，所有的数据都会被加密。同时在基于系统内核的透明加密技术的支持下，格式加密也发生了脱胎换骨的变化，现在已不是过去特定几种格式可以加密，而是支持所有格式的加密，更极限的是在多模加密中，加密可以做到与格式无关。其实，多模加密技术的优势远不止前面两点，根据企业不同的防护需求，加密模式也会有更多的选择，如目录加密、网络加密等。

       而作为这种技术的典型使用代表，山丽防水墙多模加密模块的特色也还远不止以上提到的几点，在确保了用户有多样的加密模式选择的同时，山丽的多模加密还有一文一密钥的特点，而这个特点对于现代那些拥有所谓“超强”破/解技术的黑客来说无疑是一个噩梦，因为他们会发现，当他们费尽千辛万苦破译了一个文件之后，第二个文件对于他们来说又是一场新的挑战。这也是山丽防水墙为什么在加密防护效果中这么出色的根本原因之一。

       因为手段是多样的，所以存在着优劣之分，但技术发展是不断前进和完善的，最领先、最符合时代的需求的技术总是最好的选择。而在信息时代，想要应对日趋严重和复杂的数据安全威胁，加密技术也必须灵活多样，在这个时刻，采用多模加密技术及其软件无疑正确的选择！