加密的方法分為如下幾種：

1、文件級(jí)加密

文件級(jí)加密可以在主機(jī)上實(shí)現(xiàn)，也可以在網(wǎng)絡(luò)附加存儲(chǔ)NAS這一層以嵌入式實(shí)現(xiàn)。對(duì)于某些應(yīng)用來(lái)講，這種加密方法也會(huì)引起性能問(wèn)題;在執(zhí)行數(shù)據(jù)備份操作時(shí)，會(huì)帶來(lái)某些局限性，對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份時(shí)更是如此。特別是，文件級(jí)加密會(huì)導(dǎo)致密鑰管理相當(dāng)困難，從而添加了另外一層管理：需要根據(jù)文件級(jí)目錄位置來(lái)識(shí)別相關(guān)密鑰，并進(jìn)行關(guān)聯(lián)。

在文件層進(jìn)行加密也有其不足的一面，因?yàn)槠髽I(yè)所加密的數(shù)據(jù)仍然比企業(yè)可能需要使用的數(shù)據(jù)要多得多。如果企業(yè)關(guān)心的是無(wú)結(jié)構(gòu)數(shù)據(jù)，如法律文檔、工程文檔、報(bào)告文件或其他不屬于組織嚴(yán)密的應(yīng)用數(shù)據(jù)庫(kù)中的文件，那么文件層加密是一種理想的方法。如果數(shù)據(jù)在文件層被加密，當(dāng)其寫(xiě)回存儲(chǔ)介質(zhì)時(shí)，寫(xiě)入的數(shù)據(jù)都是經(jīng)過(guò)加密的。任何獲得存儲(chǔ)介質(zhì)訪問(wèn)權(quán)的人都不可能找到有用的信息。對(duì)這些數(shù)據(jù)進(jìn)行解密的唯一方法就是使用文件層的加密/解密機(jī)制。

2、數(shù)據(jù)庫(kù)級(jí)加密

當(dāng)數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)里面時(shí)，數(shù)據(jù)庫(kù)級(jí)加密就能實(shí)現(xiàn)對(duì)數(shù)據(jù)字段進(jìn)行加密。這種部署機(jī)制又叫列級(jí)加密，因?yàn)樗窃跀?shù)據(jù)庫(kù)表中的列這一級(jí)來(lái)進(jìn)行加密的。對(duì)于敏感數(shù)據(jù)全部放在數(shù)據(jù)庫(kù)中一列或者可能兩列的公司而言，數(shù)據(jù)庫(kù)級(jí)加密比較經(jīng)濟(jì)。不過(guò)，因?yàn)榧用芎徒饷芤话阌绍浖皇怯布?lái)執(zhí)行，所以這個(gè)過(guò)程會(huì)導(dǎo)致整個(gè)系統(tǒng)的性能出現(xiàn)讓人無(wú)法承受的下降。

由于數(shù)據(jù)庫(kù)中數(shù)據(jù)的結(jié)構(gòu)和組織都非常明確，因此對(duì)特定數(shù)據(jù)條目進(jìn)行控制也就更加容易。用戶(hù)可以對(duì)一個(gè)具體的列進(jìn)行加密，如國(guó)家識(shí)別符列或工資列，而且每個(gè)列都會(huì)有自己的密鑰。根據(jù)數(shù)據(jù)庫(kù)用戶(hù)的不同，企業(yè)可以有效地控制其密鑰，因而能夠控制誰(shuí)有權(quán)對(duì)該數(shù)據(jù)條目進(jìn)行解密。通過(guò)這種方式，企業(yè)只需要對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密即可。

這種加密方法所面臨的挑戰(zhàn)是，用戶(hù)希望加密的許多數(shù)據(jù)條目在應(yīng)用查詢(xún)中可能也具備同樣的值。因此系統(tǒng)設(shè)計(jì)師應(yīng)當(dāng)確保加密數(shù)據(jù)不參加查詢(xún)，防止加密對(duì)數(shù)據(jù)庫(kù)的性能造成負(fù)面影響。例如，如果賬戶(hù)編號(hào)已經(jīng)加密，而用戶(hù)希望查找一系列的編號(hào)，那么應(yīng)用就必須讀取整個(gè)表，解密并對(duì)其中的值進(jìn)行對(duì)比。如果不使用數(shù)據(jù)庫(kù)索引，這種原本只需要三秒鐘就可執(zhí)行完畢的任務(wù)

可能會(huì)變成一個(gè)三小時(shí)的漫長(zhǎng)查詢(xún)。但這種方法也有積極的方面，數(shù)據(jù)庫(kù)廠商已經(jīng)在其新版產(chǎn)品中加入了一些服務(wù)，能夠幫助企業(yè)解決這一問(wèn)題。

3、介質(zhì)級(jí)加密

介質(zhì)級(jí)加密是一種新出現(xiàn)的方法，它涉及對(duì)存儲(chǔ)設(shè)備包括硬盤(pán)和磁帶上的靜態(tài)數(shù)據(jù)進(jìn)行加密。雖然介質(zhì)級(jí)加密為用戶(hù)和應(yīng)用提供了很高的透明度，但提供的保護(hù)作用非常有限：數(shù)據(jù)在傳輸過(guò)程中沒(méi)有經(jīng)過(guò)加密。

只有到達(dá)了存儲(chǔ)設(shè)備，數(shù)據(jù)才進(jìn)行加密，所以介質(zhì)級(jí)加密只能防范有人竊取物理存儲(chǔ)介質(zhì)。另外，要是在異構(gòu)環(huán)境使用這項(xiàng)技術(shù)，可能需要使用多個(gè)密鑰管理應(yīng)用軟件，這就增加了密鑰管理過(guò)程的復(fù)雜性，從而加大了數(shù)據(jù)恢復(fù)面臨的風(fēng)險(xiǎn)。

4、嵌入式加密設(shè)備

嵌入式加密設(shè)備放在存儲(chǔ)區(qū)域網(wǎng)SAN中，介于存儲(chǔ)設(shè)備和請(qǐng)求加密數(shù)據(jù)的服務(wù)器之間。這種專(zhuān)用設(shè)備可以對(duì)通過(guò)上述這些設(shè)備、一路傳送到存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行加密，可以保護(hù)靜態(tài)數(shù)據(jù)，然后對(duì)返回到應(yīng)用的數(shù)據(jù)進(jìn)行解密。

嵌入式加密設(shè)備很容易安裝成點(diǎn)對(duì)點(diǎn)解決方案，但擴(kuò)展起來(lái)難度大，或者成本高。如果部署在端口數(shù)量多的企業(yè)環(huán)境，或者多個(gè)站點(diǎn)需要加以保護(hù)，就會(huì)出現(xiàn)問(wèn)題。這種情況下，跨分布式存儲(chǔ)環(huán)境安裝成批硬件設(shè)備所需的成本會(huì)高得驚人。此外，每個(gè)設(shè)備必須單獨(dú)或者分成小批進(jìn)行配置及管理，這給管理添加了沉重負(fù)擔(dān)。

5、應(yīng)用加密

***一種方法可能也是最安全的方法。將加密技術(shù)集成在商業(yè)應(yīng)用中是加密級(jí)別的***境界，也是最接近“端對(duì)端”加密解決方案的方法。在這一層，企業(yè)能夠明確地知道誰(shuí)是用戶(hù)，以及這些用戶(hù)的典型訪問(wèn)范圍。

企業(yè)可以將密鑰的訪問(wèn)控制與應(yīng)用本身緊密地集成在一起。這樣就可以確保只有特定的用戶(hù)能夠通過(guò)特定的應(yīng)用訪問(wèn)數(shù)據(jù)，從而獲得關(guān)鍵數(shù)據(jù)的訪問(wèn)權(quán)。任何試圖在該點(diǎn)下游訪問(wèn)數(shù)據(jù)的人都無(wú)法達(dá)到自己的目的。

在這一層，集成加密技術(shù)確實(shí)有助于避免數(shù)據(jù)庫(kù)層的性能受到影響，因?yàn)橛脩?hù)可以改變查詢(xún)的類(lèi)型。然而，雖然這種方法是最安全的，但許多數(shù)據(jù)條目需要通過(guò)被多種不同的應(yīng)用訪問(wèn)，企業(yè)對(duì)這種應(yīng)用，甚至不同用戶(hù)群的變化要進(jìn)行及時(shí)的管理。事實(shí)上，如果企業(yè)使用廠商提供的打包應(yīng)用，它們很可能根本無(wú)法實(shí)施這一層的解決方案，因?yàn)槠髽I(yè)不可能獲得這些應(yīng)用的源代碼。

數(shù)據(jù)中心的數(shù)據(jù)加密形式的敘述請(qǐng)讀者閱讀：

數(shù)據(jù)中心密碼學(xué)之加密形式

【編輯推薦】

1. 生成和交換預(yù)共享密鑰
2. PKI基礎(chǔ)內(nèi)容介紹（1）
3. 破解你的密碼需要多長(zhǎng)時(shí)間？
4. 信息安全的核心之密碼技術(shù) 上
5. 揭露維基解密竊取機(jī)密信息新手段
6. 防御網(wǎng)絡(luò)威脅UTM技術(shù)解密（圖示）