CA向银行提供备份磁带加密方案

最近几年安全漏洞的出现似乎不计其数。虽然其中一些，例如违法入侵Web服务器和数据库等行为可以归咎于黑客本身，但是其他一些涉及丢失用户数据的事件，如果采用完善的防范措施的话其实是完全可以避免的。其中最常用的措施就是对备份磁带进行加密。一旦磁带经过加密，即使丢失或者落在违法犯罪者手中也是无法被读取的。

回想一下2005年，就在那一年，在线交易公司Ameritrade透露说，处理他们备份磁带的厂商弄丢了一个涉及大约200000名用户信息的磁带。美国花旗集团也承认一个包含将近400万零售用户信息数据的备份磁带已经丢失。那一年还发生了多起存储设备丢失的事件，也就是在这一年位于美国康涅狄格州州Bridgeport的People's United Bank银行开始寻找一种能够确保不在丢失任何未经加密磁带的方法。

People's United Bank高级架构工程师Mark Depathy表示：“我们的董事会决定应该做点什么来确保备份的安全性，而且必须马上着手这件事。我们知道，如果这些磁带经过加密以后丢失的话，那些发现这些磁带的人只能得到一堆没用的塑料。”

然而在当时并没有加密大型主机备份磁带的有效方法。Depathy表示：“市场中没有可以满足我们需求的产品。最初我们期望的是得到一种能够在我们所有平台之间集中加密和管理所有备份磁带的功能，而实际上并没有符合我们要求的产品。”

Depathy负责管理这家银行的z/OS大型主机，他评估了市场中现有的多个产品选择。其中大多数是位于大型主机和备份设备之间的应用，在磁带经过这些设备过程中对其进行加密。但是Depathy看到了这种方法存在的缺点。

他说：“密码被保存在硬件中。一旦发生火灾的话，你真的希望冲进即将倒塌的建筑内抢出那些设备吗？从安全和恢复的角度考虑，我们每天都将备份磁带设置离线。”当时CA公司为Depathy提供了一个使用他们最新CA Tape Encryption加密软件beta版本的机会。这款软件的起价为27295美元。

与磁带加密应用不同的是，CA的这款软件为People's United Bank提供了在线下无缝管理密钥的方法。作为一个附加的安全层，密钥基于使用这个硬件用户数所产生的。备份磁带只保留一个指向密钥的指针，同时密钥还通过离线方式被写入到银行的灾难恢复站点。他说：“一旦磁带经过加密就产生密钥，你不仅需要拥有密钥，而且密钥还必须能够匹配硬件。”

现在许多厂商头提供备份磁带加密技术，例如Sun、IBM、惠普和昆腾等厂商都已经将加密功能集成到他们的系统产品中。这对小型企业用户来说也许是个好消息，他们就不必再使用一个密钥，从而确保离线备份。但大型企业通常需要分离数据，这就意味着将产生多个密钥。这些用户可以使用CA的Tape Encryption，或者选择NetApp、nCipher以及Spectra Logic的企业级密钥管理系统。

结果证明这家银行在CA beta软件上所下的赌注是值得的，不过也出现了另外一个问题。Depathy表示：“我们有成堆的磁带没有经过加密。”具体来说这包括30000个磁带，对所有这些磁带进行加密是一个非常艰巨的任务。因为他们内部的策略，银行不可能将任何一盘磁带在线超过24小时。他说：“每隔大约3个月我们就要对300盘磁带进行加密。”

那么他们的努力值得吗？至少这家银行认为是值得的。现在，如果一盘磁带从运输卡车上掉落或者是被盗的话，只有银行需要担心，监察人员还有更重要的用户都不必为此担心。Depathy表示：“现在我们所有磁带都是经过加密的。”