随着计算机应用的普及,计算机数据安全问题成为了日益突出的问题,特别是在网络环境下,数据的安全问题不仅涉及到系统数据和用户数据遭到逻辑级别或物理级别的损坏威胁,而且涉及到敏感数据通过网络泄漏的威胁。如何保护计算机数据安全已经是重大的战略问题。从目前来看,对计算机数据安全构成威胁的主要来源有:
1. 用户误操作引起的数据丢失、系统崩溃等。
2. 病毒等恶意程序对数据的破坏。
3. 敏感数据(如财务报表等)和各种账号(如邮箱账号和密码;网上银行的账号和密码、网上股票交易的账号和密码等)的安全。
这些问题的完整解决需要多个部分的配合,是目前单纯的杀毒软件、防火墙或其它数据防护产品难以胜任的,因此迫切需要研发一种具有综合防护能力的计算机数据安全系统。
一、数据保护的基本原理
对于数据的保护,本质上是通过数据冗余方式来实现的,但不同的保护算法,产生的数据冗余程度会有很大的差别,如基于文件的备份方式,如果不使用压缩算法,文件的每个备份就会额外需要和原文件相同大小的存储空间。
在现代操作系统中,数据的逻辑存储方式是以文件形式进行组织和存放的,文件在存储介质上的组织和结构依赖于具体的文件系统,不同的文件系统在存储介质上的组织和结构会有不同的形式。
在计算机中,数据的访问方式主要以文件的形式进行,但也可绕过文件系统直接存取存储介质上的数据,其具体结构参见图1。
图1
计算机中数据的组织和存放形式决定了在计算机上实现数据保护的基本原理和方法,从实现的层次上,大致可以分为两大类:
1. 基于文件级的数据保护
目前市场上主流的加密软件多数是文件集的数据保护。以北京亿赛通文档安全管理系统CDG为代表。
基于文件级的数据保护,其算法的实现主要通过软件进行实现,具体实现的层次一般位于文件系统的内部或外部,一般以文件为单位对数据进行备份处理,参见图2。
图2
按照对文件的不同处理方式,可进一步划分为:
1) 文件同步备份方式
该保护方式是指在写文件时, 同时写两份或以上,达到实时备份的目的,如双机热备份就属于这种方式。
该方式在实现上一般位于文件系统的内部,它的主要特点是数据的可靠性高,但实现的难度比大。
2) 文件异步备份方式
该保护方式是指在操作系统已经完成文件的写入后,立即或以后将文件拷贝到其它的地方将数据保存起来的方式,是最常用的数据保护方式,如同常使用的数据备份方式就属于这种方式。
该方式在实现上一般位于文件系统的外部,它的主要特点是方便灵活,实现简单。
2. 基于存储介质的数据保护
市场上磁盘级加密软件,以北京亿赛通磁盘全盘加密系统DiskSec为代表。
基于存储介质的数据保护,其算法的实现可通过纯软件或硬件实现,也可软硬件结合进行实现,如常用的磁盘冗余阵列磁盘RAID,其实现方式有基于硬件的RAID卡,也有软件实现的软RAID。具体实现的层次一般位于存储介质控制器或存储介质驱动程序层中, 由于在这一级别难以获得文件的有关概念,因此其实现基本上均以存储介质的基本单位为单位进行数据备份,参见图3。
图3
基于这一级别现实的算法主要有以容错为主的RAID0-RAID5,以系统保护为主的磁盘双工等。
