欢迎来到天天文库
浏览记录
ID:46750900
大小:60.50 KB
页数:3页
时间:2019-11-27
《浅谈加强数据中心安全程序保护的方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、浅谈加强数据中心安全程序保护的方法最近,NIST(美国国家标准与技术研究所)出版了《关键基础设施网络安全框架改善》门皮书。距离奥巴马总统签署网络安全行政令正好-年。AD:最近,NIST(美国国家标准与技术研究所)出版了《关键基础设施网络女全框架改善》口皮书。距离奥巴马总统签署网络安全行政令止好一年。现在,数据中心的每一位基础设施和破件的管理人员都在正试图确定该标准将会对他们的工作产牛什么样的影响,以及他们所在数据中心的框架到底属于那一层面。该框架的核心包括五个功能:识别,保护,检测,响应和恢复。数据中心管理人员,系统管理员和首席信息安全官们都知
2、道,如果在数据保护方而花费更多的时间,那么,在响应和恢复方而的时间必然将会有所减少。本着这一粘神,在本文中,我们将为人家介绍有一些方法,以加强对丁您不断变化的数据屮心的女全程序的保护的同时,乂不会损失数据的有效性。数据保护的层次很大一部分的数据保护工作都涉及到数据加密。在数据中心中,数据可以有三种状态:休息,运行和被使用。最常见的加密是在设备层面的加密,以便保护那些处于休息和运行状态的数据。通常,设备层面进行加密相对容易实现,但其也只是提供了最低水平的数据保护。大多数人认为,当数据保护是实现全磁盘加密(包括磁盘驱动器木身的加密或者文件系统的加密
3、)就自然实现了对处于休息状态的数据加密。但我们将这种方法仅仅视为对设备的保护,I大I为如果您拔出磁盘瓠动器,所有磁盘上的数据固然均是加密的,只有那些有私人密傍能够解密数据的才可以访问。但当磁盘被操作时,整盘加密或加密文件系统没有提供任何保护。当文件被读取或复制,其会自动解密,而半这些玛瑙mmvg.net数据被转移到另一个平台,加密并不会同时随之转移。运行屮的数据加密通常被认为是通过协议,如SSLTLS保障的。在运行屮的数据保护是通过这些协议的嗅探。而没有私人密钥,将无法解密数据。另一种考虑对休息和运行状态数据保护的互补的方案杲以数据为屮心,而非
4、以设备为屮心的加密。如果对单个文件进行了加密,那么,就算某人删除了驱动设备或试图在传输过程中拦截敏感数据数据仍然是受保护的。只要在休息和运行状态的数据被锁定,那么你将不再依赖于单个设备或传输协议来为加密的数据提供保护,因为无论到哪里,以何种传输方式,其在本地存储,SAN或NAS,或云中均是受保护的。以数据为屮心的方法?以数据为中心的保护方法在技术上并不比设备加密更难。在过去,有关加密障碍和以数据为中心的保护的某些误解主姜是由于诸如企台湾高山茶eupai.net业缺乏有实力可以处理或加密大型机的内部人员等因索造成的。因此首先,我们将向大家介绍有关
5、于以数据为中心的加密和设备级加密之间的差异的一些基本知识。对于设备级加密,通常需要X.509证书以便在加密操作中提供密钥,通常用很少的配置。从这点上看,既然已经对整体进行了加密,就没有必要选择対个别证书进行加密了,因为该设备已经采用了相同的通用加密。其执行是很容易的,也并非完全没有价值,但其越來越受到高级攻击或不必要的访客威胁。而另--方面,以数据为中心的加密保护单个文件,利用特定的认证确保每个文件只有-那些具有特定访问权限的人才能访问。以数据为中心的安全性要求以一个经纪人协商的身份纽合应用程序,密钥和加密算法。身份验证,要求您首先告知应用程序
6、您是谁,然后关联相应的密钥认证您的身份。接下來,应用程序利用密钥与适当的加密算法通过使用平台,并利用相应的密钥对数据进行加密解密。以数据为屮心的加密解决方案都能够使用多种键控源,以及联系特足的键进行身份识别。他们还可以利用便件加密的优势,这将尽可能高效地进行数据加密。如主键访问等功能使密钥管理更加容易,并且能够在非常大的规模来实现。在实践中的保护安全就是纵深防御。以数据为中心的加密是对以设备为中心的加密的互补,但鉴于当今世界数据移动的人趋势,我们必须着眼于数据第一,然后才杲设备。因此,在数据传输过程屮的数据保护远比单纯确保设备的安全更有效。了解
7、一些以数据为中心的安全的级联效应,如从存储的角度来看到影响是非常重要的。一个鲜为人知的事实是,压缩加密数据是不可能。根据定义,加密数据是高度随机的,因此其不能被压缩。如果你要对数据进行加密,最好是在加密的同吋进行压缩,因为除此之外你就没有压缩加密数据的机会了。值得一提的是,加密应该从您企业的敏感数据开始。实施更广泛的加密方法固然有价值,但要煮沸-人片海水可能会错过某些粘致(和现实)业务数据的女全性。例如,您可以实施数据分类或将苴与一个SAN和NAS上批量数据的DLP解决方案结合使用。但你会希望把重点放在敏感数据处理方面,并确保对休息和运行状态数
8、据的加密。以层为岀发点新的NIST框架的第一个版本,避免陷入数据安全的纷争,如建议加密类世。然而,在固体的方U/Z—:层系统,能够让企业和数据管理人员
此文档下载收益归作者所有