加密技術主要應用在少量數據的加密上，比如單個文件系統或者存放個人信息的數據庫。如果你考慮在數據通過一個不安全的網絡之前對其進行加密，那么源加密也比較合適。

在數據可能發生丟失之前，所有的這三個方法都會對它進行加密。然而，每種方法都會對系統的可用性和成本造成不同的影響，這些都需要考慮。比如，有的方法會引起備份速度慢40%，有的方法會100%的降低磁帶庫的存貯容量，有的方法會對可用性產生很大的影響導致不可行，我們需要權衡這些特點。

源加密

源加密系統是對數據的源頭進行加密。一個文件系統（比如Windows加密文件系統）或者一個數據庫對存儲在里面的數據進行加密。如果數據存儲時加密了，備份的時候也相應的加密了，這樣不會違反各種泄漏通知法律（breach notification laws）的要求；如果帶有個人信息的磁帶丟失了，你也不用告知你的客戶。如果你擔心存在泄密的內部人員，那么這種加密方式是個不錯的選擇。

源加密系統有若干弊端。首先，他們通常會影響還沒完成的文件系統或者數據庫的性能。每個文件或者數據庫記錄必須在寫入的時候加密，在讀取的時候解密，但這樣會嚴重影響性能。

另外一個挑戰是密鑰管理，因為每個文件系統或者數據庫類型通常都有自己的加密系統和一套密鑰管理規定。由于密鑰管理在存儲靜態數據時是要最優先考慮的因素，所以這是個大問題。如果你有幾種數據類型需要加密，這可能會成為一個很大的障礙。管理一個密鑰系統已經夠有挑戰性了，管理幾個密鑰系統將更為艱難。

最后，在源頭加密數據抹掉了所有備份系統的壓縮功能，因為加密的數據不能被壓縮。這在Unix， Windows和MacOS備份環境中將導致百分之二十五到百分之五十的容量損失和性能損失（硬件壓縮能提高性能是因為它減少了實際寫入到磁帶的字節數）。

因此，源加密技術主要應用在少量數據的加密上，比如單個文件系統或者存放個人信息的數據庫。如果你考慮在數據通過一個不安全的網絡之前對其進行加密，那么源加密也比較合適。

備份軟件加密

對于備份軟件加密，備份應用程序會在數據存儲在磁帶上的時候對其進行加密。大多數備份軟件產品都有加密選項，在最近幾個月內，一些供應商已經加強了這些功能。

雖然，這解決了采用單個密鑰管理系統的源加密方式很難處理的多個密鑰問題，但很多備份軟件應用程序采用的密鑰管理系統都還比較陳舊。少數幾個供應商已經更新了他們的密鑰管理技術，有些還已經跟其他的公司進行了合作。然而，大多數供應商還停留在80年代的技術水平上，他們采用的系統很容易被擊潰。

備份軟件加密也會影響備份性能，因為用軟件進行加密非常慢。盡管越來越快的CPU和更有效的指令能夠緩解這種情況，但是軟件加密可能還是會因為速度的原因而失去競爭力。像源加密一樣，備份軟件加密也會抹掉大多數備份系統的壓縮功能，除非用戶用客戶端軟件壓縮，但是這樣會讓備份更加緩慢。

因此，像源加密一樣，備份軟件加密也主要用在加密少量數據上。比如，如果你有一個用于存儲個人信息的數據庫，你可以只加密這個數據庫的備份。然而，對所有存儲個人信息的數據庫和文件系統進行區分可能會非常困難。如果你不確定自己能辨認所有的這些數據庫，你必須對所有的備份都進行加密，從而確保如果你只丟失其中一個磁帶可以不必告知所有的用戶。如果真是那樣的話，這個選擇可能是不可行的，因為它對系統性能和容量的影響很大。然而，對處在不安全網絡之間的備份系統來說，備份軟件加密還是比較合適的。

硬件加密

硬件設備加密是相對較新的選擇，它增加了人們對于加密技術的興趣。硬件設備是在物理鏈路之間對數據進行加密。因為加密是用硬件進行的，其速度可以很快，而且不會讓備份變得緩慢。此外，加密設備被設計成先對數據進行磁帶壓縮，然后再加密。

這些硬件加密系統通常有非常好的密鑰管理系統，不會被某個懷有惡意的雇員所破壞。比如，它們通常會把用于加密數據的密鑰跟用于系統與人員的鑒別、授權的密鑰分別開來。他們還提供了保證密鑰永不丟失的功能，比如復制和密鑰跳躍（key vaulting）。這些系統很先進，因為它們都是在近五年內開發出來的，充分吸取了數據安全領域幾十年的經驗教訓。

第一批可用的加密設備是擁有幾個輸入和輸出端口的單一用途設備。截至去年年底，這些系統擁有了絕大部分備份加密的市場份額。同時，加密功能現在可以放在磁帶庫、智能開關內部和磁帶驅動器的內部。這會導致這樣一個問題：硬件加密到底應該在哪里進行呢？只要硬件系統具有壓縮、加密功能，并有一個很強的密鑰管理系統，那么這個問題其實不是很重要。

對任何大量數據進行加密，硬件加密方式都是可行的最佳選擇。用戶能壓縮他們的備份數據又不會導致任何性能和容量上的損失；他們只需要購買足夠的設備用以處理他們的備份帶寬需求。硬件加密唯一的缺點是成本高，這些設備最起碼需要支付2萬美元。然而，這個成本比起數據泄漏引起的損失來說只不過是小巫見大巫。

如何抉擇？

對你的業務來說最重要的事情是什么？你想要解決的又是哪些問題？回答好了這些問題有助于幫你決定選擇哪一種辦法是最好的。如果你始終是對敏感數據進行加密，那么你應該選擇源加密；如果你只想確保數據在離開系統、進行備份的時候是加了密的，那么你應該選擇備份軟件加密。但請記住，這兩個方法都會在性能和容量上帶來嚴重的不良影響。如果你不愿意搞清楚究竟對什么進行加密，而只是對所有存儲到磁帶上的數據加密，又不愿意看見備份系統出現任何性能或者容量上的損失，那么你正確的選擇應該是采用硬件加密的方式。

不管你選擇的加密方法是什么，當備份磁帶丟失的時候你心里面都會稍微寬慰一點。畢竟，在這樣一個數據隱私法制時代，任何一個企業都不能不對存儲數據進行加密處理。

文章來源于縱橫數據（