1 介绍
加密基于加密技术,是目前实现数据安全最有效的方法之一。要读取加密的文件,必须获取用于解密文件的密钥。
灾难恢复 (disaster recovery, DR) 是为发生自然或人为灾难后在组织中恢复或延续业务关键信息做准备的相关流程、策略和过程。
灾难恢复是一个名为业务持续性计划 (business continuity planning, BCP) 的大型流程的一个子集,应该包括更换硬件、重建网络、恢复应用程序和数据。
业务持续性计划还包括非 IT 相关的方面,例如关键人员、设备以及用于恢复名誉和业务持续性的沟通活动。
Oracle Key Manager (OKM) 提供了一个综合的密钥管理平台解决方案,用于满足企业快速增长的对基于存储的数据加密的需求。OKM 融合了多种开放安全标准并为集中地管理分布在各地的异构存储基础结构上的加密密钥提供了相应的容量、可伸缩性和互操作性。
OKM 特别设计用于应对存储密钥管理的独有挑战,包括:
-
密钥长期保留-在整个数据生命周期(可能会超过十年)内安全保留加密密钥。例如,某些站点将密钥保持期设置为超过 50 年。
-
互操作性-提供的互操作性级别应该支持在单一存储密钥管理系统下可连接到大型机或开放系统平台的各种存储设备。
-
高可用性-使用主动的 N 节点群集、动态负载平衡和自动故障转移提供高可用性,而不管设备是位于同一个房间中还是分布在世界各地。
-
大容量-管理大量的存储设备以及更多的存储密钥。单一群集的设备对可以为数千个存储设备和以百万计的存储密钥提供密钥管理服务。
-
最先进的技术-支持 StorageTek T 系列、Hewlett Packard (HP) 和 International Business Machines (IBM) LTOx 加密功能磁带机。
本章将概述用于启用和禁用加密以进行恢复的组件、用户角色和方法。
体系结构
OKM 加密解决方案的体系结构包括:
-
密钥管理设备 (Key Management Appliance, KMA)-一个安全性得到强化的双核处理器,使用 Solaris 10(用于 X2100 M2、X2200 M2、X4170 M2)和 Solaris 11(用于 Netra SPARC T4-1)操作系统提供基于策略的密钥管理和密钥置备服务。
注:
安装 KMA 时可以包含 SCA 6000 卡,该卡符合 FIPS 级别 3。 -
OKM 图形用户界面 (Graphical User Interface, GUI)-一个独立应用程序,用户可在自己的系统上使用基于 Windows 或基于 Solaris 的平台运行。
-
OKM 群集-系统中 KMA 的全集。群集中的所有 KMA 均可识别系统中的其他 KMA 并复制此信息(主动/主动)。
这样,如果任一 KMA 出现故障,加密操作仍可继续。
基于角色的操作
OKM 定义并使用以下角色。完成和分配角色是客户的任务,服务代表只应提供建议。
| 安全官 | 管理安全设置、用户、站点和传输伙伴 |
| 合规官 | 管理密钥策略和密钥组,并确定哪些代理和传输伙伴可使用密钥组 |
| 操作员 | 管理代理、数据单元和密钥 |
| 备份操作员 | 执行备份 |
| 审计员 | 查看有关 OKM 群集的信息 |
| 法定成员 | 查看和批准暂挂法定操作 |
注:
每个人或用户可以实现以上角色中的一种或多种。KMA 根据角色确认请求用户是否具有执行操作的权限。不可用的操作通常表示角色错误。每个用户/角色可以执行多个基本操作。其中包括:创建、删除、修改和查看。
图 1-2 显示了 "User Details" 屏幕的示例。
磁带机和介质比较
| 规格 |
T10K-A | T10K-B | T10K-C | T10K-D | T9840D | HP LTO4 | HP LTO5 | HP LTO6 | IBM LTO4 | IBM LTO5 | IBM LTO6 |
|---|---|---|---|---|---|---|---|---|---|---|---|
|
容量(本机) |
500 GB |
1 TB |
5 TB |
8 TB |
75 GB |
800 GB |
1.5 TB |
2.5 TB |
800 GB |
1.5 TB |
2.5 TB |
|
传输速率(本机) |
120 MB/s |
120 MB/s |
252 MB/s |
252 MB/s |
30 MB/s |
120 MB/s |
140 MB/s |
160 MB/s |
120 MB/s |
140 MB/s |
160 MB/s |
|
缓冲区大小 |
256 MB |
256 MB |
2 GB |
2 GB |
64 MB |
256 MB |
256 MB |
512 MB |
256 MB |
256 MB |
512 MB |
|
装入时间(秒) |
16 |
16 |
13.1 |
13 |
8.5 |
19 |
12 |
22 |
15 |
12 |
12 |
|
访问时间(秒) |
46 |
46 |
57 |
50 |
8 |
72 |
60 |
50 |
46 |
60 |
96 |
|
磁带速度 (m/s) |
2-4.95 |
2-3.74 |
5.62 |
4.75 |
3.4 |
7.0 |
— |
7.12 |
7.0 |
— |
6.8 |
|
重绕时间(秒) |
90 |
90 |
10-13 |
10-13 |
16/8 |
106/54 |
96/78 |
98/51 |
106/54 |
96/78 |
42 |
|
卸载时间(秒) |
23 |
23 |
23 |
23 |
12 |
22 |
17 |
19 |
22 |
17 |
17 |
|
接口 |
|||||||||||
|
光纤通道 |
2 Gb/s 和 4 Gb/s |
4 Gb/s |
4 Gb/s |
16 Gb/s |
4 Gb/s |
4 Gb/s |
8 Gb/s |
8 Gb/s |
4 Gb/s |
8 Gb/s |
8 Gb/s |
|
SCSI/SAS |
n/a |
n/a |
n/a |
n/a |
n/a |
Ultra-320 |
n/a |
6 Gb/s |
Ultra-320 |
n/a |
6 Gb/s |
|
FICON FCoE |
2 Gb/s |
2 Gb/s |
4 Gb/s |
8 Gb/s 10 Gb/s |
2 Gb/s |
n/a |
n/a |
n/a |
n/a |
n/a |
n/a |
|
ESCON |
否 |
否 |
否 |
否 |
2 Gb/s |
n/a |
n/a |
n/a |
n/a |
n/a |
n/a |
|
兼容性 |
|||||||||||
|
磁轨 |
768 |
1152 |
3,584 |
4,608 |
576 |
896 |
1,280 |
2,176 |
896 |
1,280 |
2,176 |
|
可用长度 |
855 米(2805 英尺) |
855 米(2805 英尺) |
1,107 米(3,632 英尺) |
1,107 米(3,632 英尺) |
251 米(889 英尺) |
820 米(2690 英尺) |
850 米(2789 英尺) |
846 米(2776 英尺) |
820 米(2690 英尺) |
850 米(2789 英尺) |
846 米(2776 英尺) |
|
VolSafe-WORM |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
是 |
启用和禁用加密
以下是适用于加密的要求:
-
T10000 磁带机的固件级别最低必须为 1.37.114。
-
服务代表必须已为磁带机安装了硬件激活密钥,并且有所需的虚拟操作面板 (Virtual Operator Panel, VOP) 级别。
-
客户、合作伙伴和灾难恢复 (disaster recovery, DR) 站点必须使用虚拟操作面板 (virtual operator panel, VOP) 1.0.12 或更高版本的当前 Customer 版本。
