Network-attached storage Storage Area Network Wear Leveling 網路附加儲存 儲存區域網路 Novell 快閃記憶體 Flash 資料安全 資料防護 儲存安全 RAID Tape 隨身碟 NAS SAN 怡敏信 IBM SSD 加密 備份 複製 銷毀 硬碟 磁帶 創見 WD

高強度資料加密防護 避免儲存媒介遺失風險

2014-03-05
相較於資安重大事件,儲存安全的重要性往往很容易被忽略,儘管遺失一台筆記型電腦、一顆硬碟或一卷磁帶看似只是企業內部小小的疏失,但如果企業忽略而不去管控安全,同樣也可能危及整個企業形象以及營運服務,甚至有可能觸法。
資訊安全的議題持續不斷發燒。近年來,進階持續性滲透攻擊(Advanced Persistent Threat,APT)幾乎已讓IT業界聞之色變,為了抵禦駭客以不正當的手法竊取資料,企業紛紛採取各種資安機制,從網路端防範非法入侵與資料傳輸,或者針對端點系統阻擋惡意程式與社交工程。

防範流程潛在漏洞

但這些措施都只能針對入侵或惡意程式進行防護,卻無法保證資料儲存的安全性。就算企業採用網路附加儲存(NAS)或是儲存區域網路(SAN)這類主流技術,並且做足RAID、備份與備援機制,但仍無法避免資料遭受未經授權的存取、誤用或是儲存媒體發生失誤所造成的風險。例如硬碟/磁帶在運送過程中不慎遺失,或是維修過程中,委外業者得以輕易取得內部資料的案例也都時有所聞。

▲IBM全球資訊科技服務事業部經理莊士逸指出,相較於資安重大事件,儲存安全的重要性往往很容易被忽略。
而另一方面,行動工作的趨勢愈益普及,再加上行動工作者透過隨身裝置執行各種工作上的應用已經愈來愈普遍,存放在行動裝置內的資料很有可能是企業內部的機密訊息,當這些實體裝置不慎遺失,機密資料外洩的風險也大為增加。

IBM全球資訊科技服務事業部經理莊士逸便指出,相較於資安重大事件,儲存安全的重要性往往很容易被忽略,儘管遺失一台筆記型電腦、一顆硬碟或一卷磁帶看似只是企業內部小小的疏失,但如果企業忽略而不去管控安全,同樣也可能危及整個企業形象以及營運服務,甚至有可能觸法。

資料加密避免外洩

解決這些潛在可能漏洞的方法,資料加密是其中一種方式。透過加密演算法來保護資料,目的就是不希望讓人一眼就看到明碼資料,洞悉文字與字串的內容,由於資料在讀取之前都必須先取得金鑰(密碼),方能被核可通行,安全性上無疑提高了一級。再加上加密技術發展已相對成熟,以目前加密技術中普遍常見的演算法之一的進階加密標準(Advanced Encryption Standards,AES)為例,在256 bit加密強度破解仍有其難度,因此相對仍頗為安全。


依照金鑰的公開與否,加密技術大致上可分為對稱式加密(Symmetric Key)與非對稱式加密(Asymmetric Key)。對稱式加密只有一把金鑰,無論加密或解密都是使用同一把金鑰,典型的演算法包括AES、DES(Data Encryption Standard)、Triple DES以及IDEA(International Data Encryption Algorithm,國際資料加密演算法)等。

而非對稱式加密則會產生一把公鑰(Public Key)與私鑰(Private Key)。公鑰與私鑰是相互對應的關係,亦即用公鑰加密的資料必須使用私鑰才能解開。RSA便是其中一項代表。一般來說,對稱性加密在效能表現相對較為突出,而非對稱性加密則是安全等級較高,為了兼取兩者的優點,目前一些加密解決方案中,也有混用的方式來進行加密保護。例如先採用對稱式加密來加密資料,而加密過程中產生的金鑰則另外再以非對稱式加密來保護。

而在執行加密的方法上,也可分為軟體式加密與硬體式加密兩種方式,以AES-256演算法來說,這兩種方式都有業者採用。一般而言,軟體式加密的缺點主要是在效能的影響上。由於加解密演算法的執行是透過電腦或伺服器的處理器來運算,因而對CPU資源的耗用較大,對效能也會有所影響。

▲台灣網威總經理黃成弘不諱言,採用軟體式加密技術的宿命就是多少會影響效能,但事先良好規劃可以有效減輕影響。
台灣網威總經理黃成弘不諱言,採用軟體式加密技術的宿命就是多少會對效能產生影響,「這並無法改變,也因此,我們會建議,執行加密機制最好的時機就是在儲存媒介還沒有存放資料前先啟用,例如筆記型電腦內建的硬碟在使用了兩、三年之後,才打算執行加密,恐怕就需要耐心等上一段時間。」不過,他也強調,這個等待時間只會是一次性的影響,在第一次加密完成後,使用者再寫入的資料加密速度就會快上很多。

而硬體式加密,顧名思義就是透過專屬的晶片來運算,由於加密的工作負載已經從CPU移轉給專屬晶片來執行,自然對效能影響不大。包括隨身碟、伺服器與磁帶機都可見到加入專屬晶片來執行加密的作法。

標準規範掛保證

為了強化安全性,在資料加密之外,多數的解決方案中也遵照美國聯邦資訊處理標準(Federal Information Processing Standards,FIPS)的密碼模組安全要求,目前以第二版FIPS 140-2為主。在這項規範中,可分為四個安全等級Security Level 1至Security Level 4,其中最低等級為Level 1,最高等級為Level 4。

簡單地說,Level 1是最基本的安全要求,在這個層級中,可允許在單人使用模式中以軟體實現密碼模組功能,並可在個人電腦上執行。此等級之密碼模組並不要求有實體安全機制。而Level 2則是Level 1的安全進階,增加破壞存跡塗層(Tamper Evident Coatings)或彌封(Seals)、抗拆鎖(Pick-resistant Lock)等實體安全要求。

至於Level 3的安全等級更高,開始加入自我毀滅機制,新增了防止侵入者存取到模組內的重要安全參數。一旦發現有侵入者,重要安全參數的歸零機制便會啟動。至於Level 4則是對安全性要求最高,除了實體破壞侵入之外,若是所處的環境有異動,例如超出模組工作電壓與溫度範圍的環境條件或是外在變動,就會啟動重要安全參數的歸零機制。以目前市場上的加密解決方案來看,多數採用Level 2為主,少數則可到Level 3層級。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!