加密可以从信息系统的多个环节,分别以多种方式进行,以加密装置可分为硬件加密或软件加密,以执行加密的环节则可区分为主机层(Host-base)、网络层(Network-base)与储存层(Storage-base)。
1. 硬件加密与软件加密
软件加密的优点是使用方便,只要安装软件,开启选项即能自动执行。但软件加密的缺点是加密运算将会增加系统负担,拖累效能。而且密钥档的保管也相当麻烦,如果密钥存放在服务器上,则有可能遭到黑客的复制或盗取;如果将密钥转出并交由管理人员保管,则又有容易遗失的问题。另外一旦密钥文件损毁,则还原资料就会遇到许多困难。这时候硬件加密装置就成为另一种选择。
硬件加密则是可通过独立的加密硬件来进行加密运算,因此不会拖累系统效能。另外密钥管理也是通过独立硬件进行,不会受到前端服务器损毁的影响,而且还可结合IC卡提供更进阶的保护机制。当然反过来说硬件加密装置也有价格较高,以及需要额外布建装置的麻烦。 表1 是硬件加密与软件加密对比
2. 主机、网络与储存媒体加密
主机层,即加密存储的管理软件安装在主机上,如卷管理器,卷复制器。主机层加密的做法,是在前端欲加密的主机上安装加密软件,当数据从服务器输出时就已是加密状态;
网络层是指数据在数据于储存网络上流通时加密,而储存层则是由储存媒体自身来加密。网络层加密则是通过在储存网络中插入特殊加密硬件,或是在欲加密的服务器上安装加密软件。而储存层加密则通过使用某些带有身分认证与加密机制的硬盘或磁带机就能达成。理论上,自身附带加密机制的储存设备在部署上较为方便,用户无须再购买任何特殊软硬件。但就管理来说,由于企业通常拥有数十台甚至上百、上千台储存装置,如果加密是依靠这许多的储存装置自身分别执行,显然会给管理人员带来许多困难。相较下主机层与网络层加密就有统一管理的好处,可藉由整合的监控台来统一控管,不过在主机层加密有损耗服务器运算效能的缺点,而网络层虽不会耗损服务器资源,但会影响网络带宽。
