摘要：随着数据中心安全体系结构格局发生变化，数据中心安全体系结构上逐渐演变的更为平稳，我们希望能看到应用工具(无论是主动的还是被动的)与专用服务子网络结合在一起。由于服务器的虚拟化和整合，数据中心安全体系结构开始进行改变。

第1页:保住你的秘密 数据中心密码学(1) 第2页:保住你的秘密 数据中心密码学(2)

　　数据加密又称密码学，它是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。
　　
　　数据中心安全体系
　　
　　随着数据中心安全体系结构格局发生变化，数据中心安全体系结构上逐渐演变的更为平稳，我们希望能看到应用工具(无论是主动的还是被动的)与专用服务子网络结合在一起。由于服务器的虚拟化和整合，数据中心安全体系结构开始进行改变。
　　
　　显然，对硬盘驱动器和磁带进行加密是保护数据的关键。那么为什么企业机构并不急于这么做呢?管理密钥的复杂性是阻碍加密技术普及的最主要因素。毕竟，加密的方法有很多种，但是对密钥的管理要么成功要么失败。而且失败极有可能是几年之后才会发生的，这时候存在的漏洞已经很深了。一些信息必须保存数十年之久，而要成功保存密钥10年或者20年的确是一个严峻的挑战。
　　
　　所幸的是，现在那些降低丢失密钥几率的密钥管理技术不断升级，越来越多确保备份流程每个步骤加密数据的新技术选择也层出不穷。大多数厂商都意识到了这个问题，并且积极致力于解决它。例如，RSA的KeyManagementSuite能够兼容RSA合作伙伴的加密产品，为IT用户提供一个管理所有密钥的统一平台。
　　
　　加密厂商也开始将密钥管理技术集成到他们的产品中，或者将其作为一项选配功能提供给那些并不急于应用这项技术的用户。
　　
　　数据中心加密方法
　　
　　以下是目前市面上比较流行的几种存储加密方法：
　　
　　1、文件级加密
　　
　　文件级加密可以在主机上实现，也可以在网络附加存储NAS这一层以嵌入式实现。对于某些应用来讲，这种加密方法也会引起性能问题;在执行数据备份操作时，会带来某些局限性，对数据库进行备份时更是如此。特别是，文件级加密会导致密钥管理相当困难，从而添加了另外一层管理：需要根据文件级目录位置来识别相关密钥，并进行关联。
　　
　　在文件层进行加密也有其不足的一面，因为企业所加密的数据仍然比企业可能需要使用的数据要多得多。如果企业关心的是无结构数据，如法律文档、工程文档、报告文件或其他不属于组织严密的应用数据库中的文件，那么文件层加密是一种理想的方法。如果数据在文件层被加密，当其写回存储介质时，写入的数据都是经过加密的。任何获得存储介质访问权的人都不可能找到有用的信息。对这些数据进行解密的唯一方法就是使用文件层的加密/解密机制。
　　
　　2、数据库级加密
　　
　　当数据存储在数据库里面时，数据库级加密就能实现对数据字段进行加密。这种部署机制又叫列级加密，因为它是在数据库表中的列这一级来进行加密的。对于敏感数据全部放在数据库中一列或者可能两列的公司而言，数据库级加密比较经济。不过，因为加密和解密一般由软件而不是硬件来执行，所以这个过程会导致整个系统的性能出现让人无法承受的下降。
　　
　　由于数据库中数据的结构和组织都非常明确，因此对特定数据条目进行控制也就更加容易。用户可以对一个具体的列进行加密，如国家识别符列或工资列，而且每个列都会有自己的密钥。根据数据库用户的不同，企业可以有效地控制其密钥，因而能够控制谁有权对该数据条目进行解密。通过这种方式，企业只需要对关键数据进行加密即可。
　　
　　这种加密方法所面临的挑战是，用户希望加密的许多数据条目在应用查询中可能也具备同样的值。因此系统设计师应当确保加密数据不参加查询，防止加密对数据库的性能造成负面影响。例如，如果账户编号已经加密，而用户希望查找一系列的编号，那么应用就必须读取整个表，解密并对其中的值进行对比。如果不使用数据库索引，这种原本只需要三秒钟就可执行完毕的任务可能会变成一个三小时的漫长查询。但这种方法也有积极的方面，数据库厂商已经在其新版产品中加入了一些服务，能够帮助企业解决这一问题。