【IT168 专稿】关于数据安全，目前更多的谈论的是备份和容灾。大多数企业设立了多重数据保护机制给那些宝贵的数据加上了一层又一层的防护，但是这样就真的安全了么？存储安全的疏漏五花八门，其中技术含量最高的是黑客侵入，最没有技术含量，但是却频繁发生的是失窃。只注重业务连续性，不注意数据安全的备份方式有点象重兵守城，却无人看库的保护方式。

    存储安全指在数据保存上确保完整、可靠和有效调用，既包括存储设备自身的可靠性和可用性（设备安全），也包括保存在存储设备上数据的逻辑安全（应用安全）。由于存储厂商已经在设备安全、安全厂商已经在网络安全方面都下了不少的功夫，但还有相当多的安全细节需要引起重视。备份加密就是其中一个有效的手段。

    现在很多备份软件都提供加密功能，因此如何应用这些备份软件进行加密备份变得十分重要。本文将重点讲述如何用Veritas NBU实现数据加密备份。在介绍具体操作前，我们先来看一些相关概念：

关于加密的相关概念
    DES加密算法与密码文件
    DES加密算法是一个国际标准算法，据说当密码长达512位时，一个人穷尽一生也无法破解。对于加密/解密，并不是我专长。但需要知道的是，生成加密文件所使用的密码，决定了加密文件的最终状态。因此，在相同计算机上生成的加密文件，可以分给不同的计算机来使用。这使得我们得到了一个穿越防火墙的极好办法。这个问题在后面还会有叙述。

    密钥的长度
    40位，56位，128位都是不同的密钥长度。很明显，选择长度越大的密钥则破解难度越高。在Netbackup 5.0中提供了40和56两种密钥。而5.1则增加了128位密钥。在6.0则再次增加了256位密钥。

    密码
    在创建密码文件时，需要输入一个密码。请注意，这并不是加密算法的密码，因此没必要把他设定到256位。这个密码决定了密码文件中的数据，而密码文件才最后生成DES密码。

    加密备份的设定
    在策略中，可以选择加密还是不加密。同时，还有一个CRYPT_OPTION参数在起作用。
    当CRYPT_OPTION的值为allow的时候，策略选择加密或者不加密都可以通过
    当CRYPT_OPTION的值为required的时候，策略必须选择加密才能通过
    当CRYPT_OPTION的值为denied的时候，策略则不能进行加密备份

    恢复的过程
    服务器首先根据映像确认该备份是否被加密。然后，服务器连接客户端的bpcd启动恢复。加密与解密过程都是在客户端上完成的，服务器本身不参与数据的加密与解密。因此，不管是备份还是恢复，其数据流都是被加密的。

    加密备份与恢复的理论过程
    当主服务器根据日程表发起备份后，bpcd接受备份发起指令后，利用密码文件为即将发送的数据加密。因此，从客户端到服务器的数据流是已经加密的。而服务器端则完全按照标准的方法来保存加密数据流。而当得到恢复请求后，服务器端不会进行解密处理，而是直接将数据发送给客户端。当客户端收到数据后，再通过密码文件对数据进行解密。因此，恢复的数据流也同样是加密的。