数据中心存储服务器数据保护方案

多年以来，信息安全行业主要的着眼点在信息传输保护和攻击防御方面，产生了防火墙、VPN、IPS、UTM等众多网络安全设备，但忽视了信息安全的重要领域——信息存储安全。信息存储安全在信息储存的过程和信息生命周期内，保障信息的真实性、机密性、完整性、可用性、可靠性、不可抵赖性等特性，是信息安全的主要基础之一。

人们对数据的存储的安全性提出了更高的要求。除了对通信的安全信道的保护外，对于存储的介质，数据存储的形式也极度关注。很多用户往往习惯于将文件以明文形式存储，一旦文件被窃取将造成不可逆的损失。尤其是在云环境下，用户信息如果裸露的存储在云端，及容易受到黑客的攻击，造成不可挽回的损失。

存储加密需求

加密技术用来保护数据在存储和传输(链路加密技术)过程中的安全性，对做存储的技术人员来说，平常遇到的加密方案和技术主要是存储后端支持加密，如加密盘或存储加密。但加密技术从数据加密位置一般分为应用层加密(如备份软件，数据库)，网关层加密(如加密服务器，加密交换机等)，存储系统加密和加密硬盘技术。

合规性需求

（1）GM/T  0054-2018信息系统密码应用基本要求

在GM/T 0054-2018中应用和数据安全提出对数据加密的生命周期解决方案，针对数据在存储过程中的安全提出以下要求：

应采用密码技术保证重要数据在存储过程中的机密性、完整性；

宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。

（2）等级保护

《信息安全等级保护测评指南》“第3级安全控制测评”的数据保密性评测要求中，提到“网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据采用加密或其他保护措施实现存储保密性；当使用便携式和移动式设备时，采用可移动磁盘或加密存储敏感信息。”

文件存储加密

SecStorage文件加密模块实现了对文件/文件系统（Windows/Linux）上的非结构化数据的安全加密保护，将非结构化数据文件（对linux中文件夹，对windows中文件、文件夹/目录、文件夹内制定扩展名文件）加密存储，可有效防止非授权的访问造成的数据泄密风险。SecStorage采用集中的密钥管理及配套的安全策略保护密钥整个生命周期的安全。

SecStorage文件存储加密采用代理方式，安装在用户文件系统中，结合SecKMS系统产品，包括SecKMS上的SecStorage服务模块和安装到文件服务器操作系统的客户端程序。SecStorage服务模块主要实现文件或者目录管理、加密目录管理、文件服务器的管理等功能。Agent与SecKMS连接，实现密钥通信以及文件系统目录和文件的加解密功能。

块存储加密

块存储主要以DAS、SAN架构的方式存在于用户数据中心/云中心。SecStorage磁盘加密模块提供块级的加密服务，支持国密算法，可有效防止第三方对磁盘内容窃取的行为。对Linux系统磁盘进行全盘加密。 SecStorage不改变用户应用程序的架构以及用户使用习惯，整个加密过程对用户透明。每个磁盘使用独立的密钥进行加密，防止一个加密磁盘泄密影响其他加密磁盘的安全性。SecStorage连接SecKMS获取密钥。SecKMS实现对SecStorage密钥的全生命周期管理，并且可以对所有主机的SecStorage进行密钥的统一管理。

对象存储加密

SecStorage对象存储加密模块采用API接口方式实现用户对上传文件的加/解密的处理，通过调用SecKMS密钥，SecKMS实现对SecStorage密钥的全生命周期管理，并且可以对所有主机的SecStorage进行密钥的统一管理。

密钥管理系统

针对存储加密，三未信安采用密钥管理系统SecKMS实现对存储解决方案中密钥的生命周期管理。