存储安全介绍及实现存储安全的方法

核心提示： 数据在数据中心内部传输绝大多数数据中心的安全计划都建立了一个安全边界，人们觉得在数据中心内部受到窃听器的威胁的几率是很小的，存储安全介绍及实现存储安全的方法(8)，但是，威胁依然存在，一旦某个专业政府组织确实想要“破译”他们的磁盘上究竟有些什么东西，那没有一家商业机

数据在数据中心内部传输

绝大多数数据中心的安全计划都建立了一个安全边界，人们觉得在数据中心内部受到窃听器的威胁的几率是很小的。但是，威胁依然存在。所以，在数据中心内部对数据进行加密也是非常有必要的。目前，数据中心内部的加密设备只能支持FC。

光纤通道安全协议

光纤通道安全协议标准不仅包括认证，还包括Encapsulating Security Payload (ESP)加密，Encapsulating Security Payload (ESP)加密，ESP加密为FC设备提供一种改变密码的方法，然后可以对FC设备间的数据进行加密。

iSCSI

尽管iSCSI对很难满足存储的性能要求，但是现在取得了普遍的应用。随着以太网接口内置的数据加密越来越通用也比较经济，在数据中心对存储实现加密将有可能成为现实。不过，这至少还需几年的时间。

磁盘上的数据(在线存储)

近来，数据中心机密客户数据丢失事件屡见报端。现在的加密方法通常是利用一个密匙，以一种特殊的方法来转换数据。在数据被加密后，必须破译密匙，才能利用数据。目前业内有多种数据加密运算法则，比如数据加密标准(Data Encryption Standard，DES)、三重DES(Triple-DES)、高级加密标准(Advanced Encryption Standard，AES)

加密很重要的一点是密码的长度。如果一个密码很短，假如只有10位，那就只有1024种可能性。利用一台PC机，可能只需要一秒钟的时间就能将1024种可能的密码全部试一遍，然后找到正确的密码。这就是所谓的“破解”密码。如果密码很长，比如说有1000位，那就有2^1000可能性，那么，用现有所有的计算机算一百万年也无法都试一遍。

然而，以现在磁盘的I/O速度，用1000位的密码加密是完全不切实际的。从实际出发，加密算法和密码的长度必须根据现有的高速加密/破译VLSI设备来选择。这就是说，如果密码太复杂，一旦某个专业政府组织确实想要“破译”他们的磁盘上究竟有些什么东西，那没有一家商业机构可以破译，更不用提黑客了。