加密软件采购建议

    1、考虑加密给性能带来的影响。所有的基于备份软件的加密功能都需要以牺牲备份服务器性能作为代价。据专家论证说，这种加密处理工作对备份服务器性能损耗高于40%，很多种复杂的加密计划及其附属的工作都会在这台服务器上执行。所以在您购买之前测试这个软件在真实负载环境下的使用情况和确认在您特殊的环境下其真实的性能影响是非常重要的。而有一些服务器可以通过升级的方式来保证性能的要求，例如升级你的处理器类型或者把一个单核CPU换成一个双核CPU都能够减缓一些对服务器性能的损耗。

    2、考虑软件加密与目标设备的兼容性。自从加密功能作为一个典型的特性融入到备份管理软件之后，我们选择的备份管理软件能否成功的传输这些加密的数据到现有的和未来预计建设的存储系统是非常重要的。我们需要检验这些软件能否支持目前的磁带驱动器、磁带库系统、虚拟磁带库系统、磁盘阵列或者其他存储系统。还有这些产品是否经过广泛的实验室测试，是否评估分析过一些潜在的问题，这些是我们在购买前期需要注意的。

    3、考虑加密内容设置的局限性。记得现在的加密已经不再局限于全部都加密或者全部都不加密的阶段，因为只有最危急的或者最敏感的备份数据才需要加密，例如法规的要求或者保密规则的规定。限制加密的范围从而确定一些文件或数据类型需要加密，这可以减少很多备份服务器需要的开销，也将减缓加密工作对其性能的影响。例如，你现在的备份窗口是12个小时，如果你加密全部的数据，40%的性能损耗将使你12小时的备份窗口增加4.8个小时，使得你的一个全备份周期变成16.8小时，这或许是无法忍受的。然而，如果你需要加密的数据只是整个备份周期中1小时的数据量，那么其性能损耗将使你的全备份窗口增加23分钟，而这部分数据正是其有法规或者保密要求限制的数据。这样，通过调整加密的内容减缓加密对性能的影响。在此，我们要注意备份软件的功能性，看是否可以做这种加密内容的选择，如果不能的话，那我们就要着重考虑一下40%的性损耗到底会使我们的备份窗口增加多少。

    4、考虑加密的类型和算法强度。当LTO-4磁带驱动器使用AES 256位加密算法时，备份管理软件也相继提供了各种各样的加密方法，有的是AES、有的是三位DES算法，还有的是Blowfish算法。每一种加密方式都支持多种不同的密钥算法强度，密钥的长度越长则加密强度越大。例如，三倍DES加密算法使用168位的密钥，而AES使用256位密钥，Blowfish使用448位密钥。密钥的长度越长则其安全系数越高，但是对于处理这些长密钥工作对备份服务器的性能影响也是相应的越大。将来，我觉得一些特殊的行业会制定一些加密类型和密钥长度的最小标准，通过这样来确保软件提供简单的加密功能，满足一些数据的最小加密要求，甚至不是官方的要求。

    5、考虑是否支持介质的WORM功能。由于很多法规的要求和诉讼的目的，数据作为一个长期归档的记录或许会要求其真实性，如果一旦写入就要确保这些数据不会被删除或者被替换。当我们选择一个基于备份软件的加密特性的时候，我们要考虑其是否支持一些光驱动器，例如CD-R、DVD-R，甚至一些全手写介质，当然还有具备WORM功能的磁带驱动器。

    6、考虑密钥是如何保存和使用的。密钥是用来加密数据的，但同时密钥是用来恢复数据的。这也就使得密钥的存储、管理非常重要。在一些案例中，数据的加密和解密使用一个单一的密钥，或者在一次传输过程中使用唯一的一个密钥。在许多其他案例中，也可以设置一些列的密钥，它允许通过持有密钥的很多人（一些特定团体）来进行解密。所以你要考虑这个密钥是如何管理系统，帮助我们的组织增加安全性的，也要评估这个密钥的复杂度、成本以及对当系统硬件的改变或发生灾难时密钥的管理过程等诸多因素。