隨著全球信息化水平不斷提高和對(duì)各行各業(yè)的覆蓋不斷擴(kuò)大，重要信息和數(shù)據(jù)的備份及存儲(chǔ)安全問(wèn)題日益突出，各種數(shù)據(jù)丟失和外泄、失密案件頻頻發(fā)生。越來(lái)越多的用戶十分重視并積極探索IT應(yīng)用過(guò)程中重要信息和數(shù)據(jù)備份工作。完整的災(zāi)備系統(tǒng)應(yīng)該具備可用性、完整性和機(jī)密性3個(gè)特性。但目前國(guó)內(nèi)災(zāi)備系統(tǒng)往往只將視線集中在可用性和完整性上，對(duì)機(jī)密性缺乏關(guān)注。

一、加密技術(shù)在災(zāi)備系統(tǒng)中的應(yīng)用

首先從備份數(shù)據(jù)傳輸是否安全的角度來(lái)考慮，備份數(shù)據(jù)如果在網(wǎng)絡(luò)傳輸過(guò)程中以明文方式傳輸，容易通過(guò)數(shù)據(jù)包截取等手段造成備份數(shù)據(jù)泄露。可見(jiàn)，備份數(shù)據(jù)在傳輸過(guò)程中的安全性非常重要。從備份數(shù)據(jù)存儲(chǔ)是否安全的角度考慮，備份數(shù)據(jù)如果在存儲(chǔ)介質(zhì)上以明文方式存放，也容易造成數(shù)據(jù)外泄。特別是當(dāng)前正在提倡建設(shè)集約型災(zāi)備系統(tǒng)，提出共享災(zāi)備的概念，在這種場(chǎng)合中，數(shù)據(jù)災(zāi)備場(chǎng)地往往是多部門(mén)、多單位甚至是跨系統(tǒng)的災(zāi)備平臺(tái)，備份數(shù)據(jù)在存儲(chǔ)介質(zhì)上的安全性問(wèn)題更加突出。為解決上述兩個(gè)安全性問(wèn)題，提出如下兩個(gè)系統(tǒng)模型。

1、系統(tǒng)模型

系統(tǒng)模型一、在備份數(shù)據(jù)發(fā)起端與備份介質(zhì)之間串聯(lián)一個(gè)數(shù)據(jù)加密網(wǎng)關(guān)，備份數(shù)據(jù)發(fā)起端先與加密網(wǎng)關(guān)建立安全隧道，備份數(shù)據(jù)通過(guò)安全隧道以保證傳輸安全。同時(shí)加密網(wǎng)關(guān)以完全透明的方式讓數(shù)據(jù)在備份傳輸過(guò)程中實(shí)時(shí)被加密。系統(tǒng)模型如圖1所示。

系統(tǒng)模型二、存儲(chǔ)設(shè)備帶數(shù)據(jù)文件加密功能并能夠提供安全隧道服務(wù)。備份數(shù)據(jù)發(fā)起端先與加密網(wǎng)關(guān)建立安全隧道，備份數(shù)據(jù)通過(guò)安全隧道進(jìn)行以保證傳輸安全。同時(shí)在
備份數(shù)據(jù)落地到存儲(chǔ)介質(zhì)前，先對(duì)備份數(shù)據(jù)文件進(jìn)行加密，保證存儲(chǔ)介質(zhì)上存放的都是密文數(shù)據(jù)。系統(tǒng)模型如圖2所示。

2、災(zāi)備系統(tǒng)的組成及加密方法

災(zāi)備系統(tǒng)組成如圖3所示。

災(zāi)備系統(tǒng)通過(guò)加密引擎為待加密數(shù)據(jù)文件生成一個(gè)數(shù)據(jù)文件密鑰，并用數(shù)據(jù)文件密鑰對(duì)文件進(jìn)行密碼分組鏈接(CBC)模式的SMI算法（國(guó)密算法）加密，數(shù)據(jù)文件加密完成后，用數(shù)據(jù)總密鑰加密數(shù)據(jù)密鑰，最后把已經(jīng)加密的數(shù)據(jù)文件密鑰和數(shù)據(jù)文件一起保存，如圖4所示。

二、加密技術(shù)在災(zāi)備系統(tǒng)中的應(yīng)用案例

1、案例一（使用系統(tǒng)模型一）

城市商業(yè)銀行異地共享災(zāi)備方案。某城市商業(yè)銀行把需要備份的數(shù)據(jù)上傳至運(yùn)營(yíng)級(jí)災(zāi)備中心的口存儲(chǔ)設(shè)備上。各備份節(jié)點(diǎn)在備份網(wǎng)絡(luò)中串聯(lián)一個(gè)JM-CC-1000+（中間加密設(shè)備），所有備份數(shù)據(jù)都經(jīng)過(guò)中間加密設(shè)備以完全透明的加密方式最終落到災(zāi)備中心的IP存儲(chǔ)設(shè)備上，如圖5所示。

2、案例二（使用系統(tǒng)模型二）

人民銀行某中心支行全省各地中支的會(huì)計(jì)核算系統(tǒng)(ABS)、國(guó)庫(kù)核算系統(tǒng)(TBS)以及郵件系統(tǒng)的災(zāi)備方案介紹如下：

（1）部署拓?fù)湟唬ㄖ苯哟娣女惖兀?/strong>

如圖6所示，方案中每個(gè)市行放置一臺(tái)JM-CC-1000x安全存儲(chǔ)服務(wù)器，而每個(gè)市行及其轄下的縣行數(shù)據(jù)都備份到其他市行的JM-CC-1000x安全存儲(chǔ)服務(wù)器上。

方案優(yōu)點(diǎn)：該方案各地市行的數(shù)據(jù)均能實(shí)現(xiàn)異地安全災(zāi)備。利用傳輸加密軟件既實(shí)現(xiàn)了加密傳輸，也通過(guò)系統(tǒng)的數(shù)據(jù)文件加密實(shí)現(xiàn)了文件加密存儲(chǔ)。

（2）部署拓?fù)涠ㄏ缺镜禺惖兀?/strong>

如圖7所示，每個(gè)市行放置一臺(tái)JM-CC-1000x以及JM-CC-1000安全存儲(chǔ)服務(wù)器，每個(gè)縣行放置一臺(tái)JM-CC-1000安全存儲(chǔ)服務(wù)器。所有行的備份數(shù)據(jù)首先備份到本地的JM-CC-1000安全存儲(chǔ)服務(wù)器上，然后通過(guò)系統(tǒng)的自動(dòng)備份模塊把本地?cái)?shù)據(jù)按照一定的計(jì)劃上傳到異地JM-CC-1000x安全存儲(chǔ)服務(wù)器上。

方案優(yōu)點(diǎn)：該方案各地市行的數(shù)據(jù)文件均能實(shí)現(xiàn)異地安全災(zāi)備。由于備份數(shù)據(jù)都只上傳到本地，異地備份工作由系統(tǒng)自動(dòng)完成，人工干預(yù)的時(shí)間大大減少。系統(tǒng)的自動(dòng)備份可以有效排程，盡量錯(cuò)開(kāi)各行的異地備份時(shí)間，更有效地利用帶寬。

小知識(shí)之國(guó)密 SM1 算法

國(guó)密 SM1 算法是由國(guó)家密碼管理局編制的一種商用密碼分組標(biāo)準(zhǔn)對(duì)稱加密算法。

該加密算法是國(guó)家密碼管理部門(mén)審批的 SM1 分組加密算法 , 分組長(zhǎng)度和密鑰長(zhǎng)度都為 128 比特，算法安全保密強(qiáng)度及相關(guān)軟硬件實(shí)現(xiàn)性能與 AES 相當(dāng)，該算法不公開(kāi)，僅以 IP 核的形式存在于芯片中。采用該算法已經(jīng)研制了系列芯片、智能 IC 卡、智能密碼鑰匙、加密卡、加 密機(jī)等安全產(chǎn)品，廣泛應(yīng)用于電子政務(wù)、電子商務(wù)及國(guó)民經(jīng)濟(jì)的各個(gè)應(yīng)用領(lǐng)域（包括國(guó)家政 務(wù)通、警務(wù)通等重要領(lǐng)域）。

聲明：本站所有文章，如無(wú)特殊說(shuō)明或標(biāo)注，均為本站原創(chuàng)發(fā)布。任何個(gè)人或組織，在未征得本站同意時(shí)，禁止復(fù)制、盜用、采集、發(fā)布本站內(nèi)容到任何網(wǎng)站、書(shū)籍等各類媒體平臺(tái)。如若本站內(nèi)容侵犯了原著者的合法權(quán)益，可聯(lián)系我們進(jìn)行處理。

加密技術(shù) 災(zāi)備系統(tǒng)

admin

收藏 海報(bào)分享