磁带加密方法优缺点对比――基于主机加密 vs. 基于设备加密

   对大型企业用户而言，文件加密和硬盘加密的使用范围还比较小。针对其实际的网络环境，存储介质加密则可以分为基于主机的加密，基于网络的加密，以及基于存储设备的加密。基于主机的加密主要通过软件加密来实现;基于网络的加密，实际上就是在设备I/O的端口外接一个硬件加密装置;基于存储设备的加密，就是传统磁带厂商通过磁带机、磁带库这样的存储设备加密。三种加密方式都有各自的优势与劣势，但由于长期归档和法规遵从的需求，市场上更多的是使用磁带加密，这也是用户更倾向的加密技术。本文将对基于主机磁带加密与基于设备磁带加密的优缺点进行比较。

 

     基于主机磁带加密的优缺点
优点：基于主机（host-based）磁带加密的好处在于现有的绝大多数备份软件都提供了加密功能（如，CA ARCserve， Symantec的Backup Exec等等），不用单独购买加密功能。

缺点：如果你需要进行加密的数据量比较大，基于主机加密的管理将会比较困难。通常，磁带备份的速度本身就非常慢，再加上加密的过程，会使备份时间更加漫长。此外，由于加密数据后无法进行数据压缩，这会带来额外的存储介质成本，除非你先用软件压缩数据然后再加密。不过，这样可能不是一个好的选择，因为这会浪费更多的时间。

  

     此外，还有一个容易被大家忽视的安全隐患是：加密密钥通常被保存在主机上，这可能会导致密钥被未被授权的访问者访问或滥用。如果有恶意的内部用户（甚至是外部攻击者）通过密码破解等手段获得备份软件的访问权，可能会导致严重的后果。这种获得访问权限的方法比很多人想象的容易得多。最后，基于主机磁带加密还依赖于系统，可能需要本地操作系统更新后才能执行加密。

     总之，基于主机/软件的加密的确能用，但会带来一些额外的工作。如果你能接受这些缺点，对于磁带数量不大的小型企业来说它也不失为一个绝好的加密方法。

     基于设备磁带加密的优缺点

  优点：首先，基于设备（appliance-based）加密解决方案对于操作系统来说是透明的，因此易于管理。第二，设备可以在数据加密之前对其进行压缩，因此可以优化备份性能和磁带存储空间的利用率。第三，加密密钥保存在硬件上可以获得更高的安全性，而且可以使用企业蜜月管理应用进行密钥管理。最后，内置的审核日志、报告以及厂商（如，Crossroads Systems）的一些相关产品有助于满足企业级法规遵从和安全管理需求。

  缺点：遗憾的是，基于设备的加密解决方案价格比较昂贵。而且，还必需进行一定的前期规划以确保该方案在所有磁带系统中得到正确地部署。设备也可能成为攻击的目标。如果设备有开关和一个IP地址，就有可能受到攻击。因此，设备本身也应该是安全评估的对象之一。

  总之，如果你的环境比较大，而且需要一个可以接入你的存储网络的高性能解决方案，那么基于设备的磁带加密就是你的最佳选择。

      磁带库内置加密
  如果基于主机和基于设备的磁带加密方法都不太适合你，那么你可以购买内置加密功能的磁带库系统。以我个人经验来看，这些解决方案不如基于主机或设备加密那么灵活，而且价格也不低。现有的某些磁带库系统可能可以升级获得磁带加密功能。如果你已有磁带库，当然可以尝试这种方法。

  如果你已有大批的磁带需要加密，一定不能忽视蜜月管理的重要性。否则，你的备份磁带将“永远的安全掉”――密钥丢失，谁也访问不了磁带的数据。