1、 客户端或称为用户端,是指与服务器相对应,为客户提供本地服务的程序。除了一些只在本地运行的应用程序之外,一般安装在普通的客户机上,需要与服务端互相配合运行。
终端也称终端设备,是计算机网络中处于网络最的设备,主要用于用户信息的输入以及处理结果的输出等。
2、 客户端一般指的软件的使用方,终端指设备的使用方。
3、 客户端可以是一个游戏程序,终端就是手机、笔记本等实物。
利用路由器或交换机或集线器(选其一) 组网结构图 当共享电脑超过3台(一般是多家庭共享),我们建议大家取如下方案: 1.路由器方案 这种方案是指仅通过宽带路由器来实现,因为现在的宽带路由器所提供的交换端口基本上都为4口,所以最多只能直接连接4台电脑,这样这种共享方案也就只适用于4台电脑的情况。 所需设备如下: 4块10100Mbps以太网卡(宽带设备直接连接在宽带路由器的WAN端口); 含4口以上的宽带路由器 5条五类以上直通双绞线,每条长度限为100米(原购买宽带设备时提供的网线为交叉的,仅适用于与电脑直连,不能用于与交换机或路由器直连)。 在这种方案中,就无需单独一台电脑长期开启,当各用户需要上网时,只需打开路由器即可上网,非常方便。 网络连接好后,可以在浏览器中直接输入路由器的默认IP地址和用户帐号、密码(通常为192.168.1.1,用户帐号和密码通常都为“admin”,可查看相应路由器的使用手册得知,然后在Web界面中配置路由器各协议,添加用户(可用路由器的DHCP服务自动分配IP地址);如果是PPPOE虚拟拨号用户,则还可配置路由器的PPPOE协议,使它能自动或手动拨号,代替计算机用户直接拨号。各种用户访问权限的配置也可以在路由器中通过Web配置界面进行详细配置,由此实现“代理型”共享功能。 2.集线器路由器方案 如果用户数超过4个,主要是多家庭或者小型企业共享使用,因为宽带路由器只有4个交换式LAN端口,所以先要求对部分用户用集线器集中连接起来,然后再用直通双绞线与路由器LAN端口连接。所需设备如下: n块(相应用户数)10100Mbps以太网卡; 桌面型集线器; 含4个交换端口的宽带路由器; n1条五类以上直通双绞线,其中一条用于宽带设备与路由器的连接。1条五类以上交叉双绞线,用于集线器的普通端与路由器的普通端口连接,如果是用集线器的UPLink端口与路由器普通端口连接,则需要一条直通五类以上双绞线,而不用交叉线。 同样,在这种方案中,当各用户需要上网时,只需打开路由器,接上集线器,即可轻松上网,非常方便。 3.集线器+(路由器)+交换机方案 如果用户数目更多,如网吧或者中等企业等,这时就要用交换机了。如果认为没必要用路由共享方式,也就没必要购买宽带路由器,此时可以用集线器或者交换机集中连接即可,用其中一台性能最好,连接方便的计算机担当***服务器或者代理服务器,通过代理服务器软件为各用户配置具体的访问权限和互联网应用,***型不可配置访问权限。这种方案所需设备如下: 桌面型集线器或交换机; n块10100Mbps以太网卡; n(用户数)1条五类以上直通双绞线,其中一条用于宽带设备与集线器或者交换机相连,因为购买宽带设备时所提供的网线仅适用于直接连接电脑用,不是交叉线,不能用于连接交换机或集线器的普通端口上。 当然宽带终端设备也可以通过在其中一台计算机上安装两块网卡,而直接连接在其中担当***或者代理服务器的计算机上。 优点:各机可以单独上网,没有服务器的麻烦 缺点:需添置一定的硬件设备。稳定性受中间设备影响。
云桌面是一种软件技术,又称桌面虚拟化,是替代传统电脑的一种新模式。在终端设备(云终端、传统PC、平板电脑、手机等)中安装云桌面客户端后,主机所包含的CPU、内存、硬盘等全部在后端的服务器中虚拟出来,通过特定通讯协议访问后端服务器上的虚拟主机来实现交互操作,而终端设备则作为前端设备,将交互结果显示到前端(也就是云终端)来。所以这种模式对终端设备的性能要求不高,而终端设备也不仅限于云终端。
云终端可以理解为比传统主机体积更小的迷你主机,可以作为PC单独运行,但是相较于传统主机,有功耗低、体积小和易维护的特点,像是一些主流的英雄联盟、DOTA之类大型游戏都可以带动,而且价格比一般的电脑主机要便宜。
同时,也可以和云桌面结合使用。云终端可以分为胖客户机和瘦客户机,胖客户机比瘦客户机的性能更强,在这种硬件设备更新迭代快的时代,云终端比传统主机来说性价比更高,与云桌面相结合,可以节约主机的部署成本,可以做到“一人管千台”的集中式管理和部署,能够大幅提升运维效率,如果针对于那种需要部署很多台电脑的需求的话,用云终端+云桌面的形式可能会比传统主机电脑更有优势。
1、在电脑点击“开始”菜单,在弹出来的菜单中选择“控制面板”。
2、点击“用户账户和家庭安全”下列表中的“添加或删除用户账户”。
3、然后点击管理员Administrator账户,如图所示 。
4、然后在“更改账户”目录下,点击“创建密码”。
5、然后在“创建密码”目录下,在密码框中两次输入相同的密码,点击“创建密码”,这样就创建密码完成啦。
6、现在我们回到自己的电脑,重新连接B电脑,输入账号管理员名称administratort和密码,再勾选“记住我的凭证”,然后点击“确定”。
7、这样就可以连接成功啦,可以连接B电脑的打印机、共享文件夹。
在思科模拟器中搭建web服务器和ftp服务器的方法如下:
准备材料:Cisco Packet Tracer
1、打开Cisco Packet Tracer,点击终端设备,选择一台电脑和服务器,按住鼠标左键拖动到工作区。
2、用一台服务器和终端电脑相连接,之间用交叉线。现在终端设备直接相连无需交叉线了,直接用直通线就可以了。
3、双击打开服务器的属性窗口,找到FTP选项卡。
4、开启FTP功能,并新增一个账户admin,附予所有读写权限。
5、打开客户端主机,在属性窗口里面,选择命令行窗口。
6、在黑色窗口中输入:ftp 192.168.1.100,admin(用户名) ,123456(密码),如图所示成功登陆了FTP。
7、输入:dir(可以显示FTP目录)。
这款产品可以通过局域网来虚拟一台电脑,一台服务器可以带30台这样的设备,而每一台插上显示器与键鼠就可以正常使用了。节省空间、节省电力、减少设备成本,让办公环境变得井井有条,别看它小,这些都是它可以解决的。
产品体积十分小,只有手掌那么大,但是什么都不缺,电脑的一切接口都有,我们先从外观上分析分析。 产品外观风格很低调,给人沉稳的感觉,做工十分精致,确属大厂产品。前面板也十分抢眼,有三个指示灯,电源、网络与工作状态。看产品的侧面,鼠标接口、键盘接口、音频一样都不缺。当然这也是一台电脑的必需品。
另一边是网络接口、VGA接口、电源接口与开关,这样电脑的接口全区齐全了。
我们测试的环境比较简单,用路由器搭建一个局域网,2根网线一根连接服务器,另外一根就连接这个网络终端。
另外网络终端再连接一台显示器、鼠标键盘等等。这样准备工作就做好了。服务器(右)与网络终端(左)都准备就绪,那么就该在服务器上安装服务端软件了。
安装过后需要重新启动,然后在管理中设定网络终端要登录的用户,需要多少设定多少。
如果路由器有DHCP功能,那么网络终端就已经可以正确找到服务器了,如果用的交换机,还要在Options中设定以下IP地址等等。
连接之后出现登录界面,这就好比你有多个用户登录到了同一台电脑。
输入刚才在服务期端设定的用户与密码,就会产生桌面了,就等于2个用户同时登录到了一台计算机上,只不过把显示器和输入装置分开了,2台电脑都用一台服务器来运算。下面来实际使用一下看看感受。
第一次登录,有死现象出现,开始以为服务器配置(赛扬2.4 512MB 集成显卡80GB硬盘)有些差的原因,但没想到过一段时间之后,就完全可以正常工作了,而且一点都不卡。
这是虚拟电脑的开始菜单,连输入法都与一模一样。而且包括IP地址、程序等等,都一样。
网络也是用服务器的,我们看到不用配置可以轻松访问网页。PhotoSHOP、OFFICE等工具也都运行正常,只要是服务器上有的,这个用户有权限使用的都没问题,速度上也与普通电脑没区别。
经过简单的试用,我们可以肯定这款产品的用途很大,当然主要是针对企业用户,个人用户的需求稍微小一些。 这个解决方案可以广泛应用到教育部门、对电脑配置需求不高的企业部门等等。带来的好处:节省空间、节省电力、节省成本;只需要管理好服务器,不用每台电脑都装操作系统;配置升级时只升级服务器就会带来全面的速度提升。
当然我们选择产品要理性,这款产品肯定在游戏方面不突出,你也不要想着买一台电脑就可以2个人一起玩,所以个人用户在购买上要考虑清楚。如果是家里有个孩子对电脑运算需求小,那么购买它肯定没问题。
1台服务器可以带30台网络终端,但当你的规模在扩大的时候,那么可以购买多款服务器,只要在一个局域网中,网络终端的客户端连接哪一个服务器都是一样的。
现有电脑,另加上若干网络终端及键盘鼠标显示器,就可以多台可独立操作的电脑,整个网络只需要一台主机。
多媒体共享终端机利用windows XP/2000的多用户特性和硬件分享技术,每台 多媒体共享器可以像独立的PC一样运行,同时不必担心会降低主机和终端的性能。每台终端可以单独,安全地从主机运行应用程序。 播放**,网络游戏都可以独立运行.只要装有XP Home, XP Professional 或 Windows 2000 Professional操作系统即可,这样就进一步节省了成本
主要的有主机、摄像头、麦克风、一台电视机以及一根足够结实最够长的网线
由于用户已有的网络状况、硬件设施各有特色,所以对会议系统中会议终端系统、多点会议控制器mcu、网络管理软件等部分的要求,也各不一样。
桌面型终端 桌面型终端是强大的桌面型或者膝上型电脑与高质量的摄像机(内置或外置),isdn卡或网卡和会议软件的精巧组合。它能有效地使在办公桌旁的人或者正在旅行的人加入到你的会议中,与你进行面对面的交流。
主要应用: 桌面型会议终端通常配给办公室里特殊的个人或者在外出差工作的人。
虽然桌面型会议终端支持多点会议(例如会议包含2个以上会议站点),但是它多数用于点对点会议(例如一人与另外一人的会议)。
机顶盒型终端 机顶盒型终端是以简洁著称。在一个单元内包含了所有的硬件和软件,放置于电视机上。安装简便,设备轻巧。开通会议只需要一台普通的电视机和一条isdn bri线或局域网连接。会议终端还可以加载一些设备例如文档投影仪和白板设备来增强功能。
主要应用: 机顶盒型终端通常是各部门之间的共享,适用于从跨国公司到小企业等各种规模的机构。也往往是公司购买的第一种"会议室型终端"。
会议室型终端 会议室型终端几乎提供了任何会议所需的解决方案,一般集成在一个会议室。会议室型终端通常组合大量的附件,例如音频系统,附加摄像机,文档投影仪,和pc协同文件通讯。双屏显示、丰富的通讯接口、图文流选择使终端成为高档的、综合性的产品。
主要应用: 会议室型终端主要为中、大型企业而设计的。
会议终端附属设备下表说明了不同类型终端可用的附属设备:
云主机要怎么重装系统?
首先登陆阿里云账号之后,找到控制中心里面,找到服务器管理控制台。
当服务器运行停止之后,点击配置信息里面的“更换系统盘”随后会提醒您更换ECS服务器系统盘的影响,如果没有数据。
点击确定更换操作系统盘,然后再次选择确认新的操作系统类型,或者镜像系统,确定好之后,系统会再次提醒您是否更换。
点击确定继续再次回到刚刚的与主机界面你会发现,系统配置信息由linux变成windows了,正在切换等待片刻之后,可能要几分钟。注意:在更换系统盘之前,要做好数据备份。然后停止服务器,再进行切换。
云桌面系统搭建教程?
首先给所有设备接线通电,第一步基本上和我们安装传统PC时的步骤是一样,就是给云桌面的这些硬件设备都接好所有的电源线和网线这些,确定所连接的服务器、云终端和交换机等这些硬件设备的电都是接通的和网络都是正常的。
第二安装云桌面软件,我们知道云桌面除了有服务器、云终端和显示器网络设备这些硬件组成之外,还有一个重要的组成部分就是禹龙云桌面软件的,我们在服务器上创建的用户桌面下一步的通过云终端连接桌面都离不桌面软件的。所以第二步我们还需要先在服务器和云终端上安装云桌面软件和写入协议的。
第三在服务器上创建用户,我们知道云桌面的所有数据和运算这些都是在服务器上进行的,云终端是不进行数据的存储和运算的,所以我们需要对服务器进行虚拟化和桌面虚拟化配置,在服务器上根据用户需要安装终端用户使用的虚拟桌面并创建用户,而不是和PC一样在终端一台一台的去安装的。
第四在云终端上登录使用,按云终端的开机键开机,在云终端的显示界面上找到相对应的服务器IP登录,然后输了已经分配好的账号密码登录就进入我们熟悉的Windows系统界面了,后面的操作基本上就和我们使用传统的PC时一样的了。
虽然一直都在说云桌面的使用体验和传统的基本一样的,但是由于他们两者之间软硬件组成不同,以及工作原理上的区别,云桌面和传统PC在安装步骤上还是有很大的区别的。
如何使用云桌面用windows系统?
云桌面有ARM架构跟X86架构,ARM架构的本地一般都是内嵌式的linux或者其他系统,主要通过桌面传输协议与服务器连接,本地可以说是不需要安装操作系统;如果使用正版的windows操作系统,严格来讲每个共享的云桌面都是需要付license费用的,但是你懂得,在我们无所不能的中华大地,可以绕过这个license。对于X86架构的云终端,实际上这种终端就是一个迷你主机,是需要安装操作系统来支持的。至于license嘛,我们还是需要支持正版的。
云服务器怎么使用?
1、准备好一台云服务器,云服务器多包含的基本配置就是cup,内存,硬盘等基本配置。;
2、利用云服务器的IP地址,账户名,密码来登录。(云服务器的用户名是由云服务器的系统而定的,windows系统用户名就是administrator,linux系统用户名就是root);
3、用电脑来登录云服务器,从电脑桌面打开“远程桌面连接”;
4、输入云服务器的IP地址,点击连接;
5、链接之后,输入账号和密码(这里需要注意,电脑的操作系统必须和云主机操作系统一致,才能登陆成功);
6、登陆成功之后,在您的电脑桌面上就会出现云主机操作桌面啦。您可以在这里部署您的网站,应用程序等其他应用。
联想智能云教室win10系统删除怎么重新安装?
可以用优盘gost***进行安装
hadoopz在预设情况下,会将资料备份多少份以提高资料的安全性
根据Hadoop的特对越来越大的资料量和日益严重的网路安全问题,达到容灾容错的目的,资料备份技术显得日益重要。传统的资料备份主要通过单一储存介质实现,这种实现方法简单廉价,但是安全性较低,且扩充套件性差。
使用电脑终端机能提高资料的安全性,电脑终端机是如何提高了资料的安全性?使用电脑终端机的办公解决方案提高了资料的安全性,电脑终端机是如何提高了资料的安全性的呢?具体表现在以下几方面:
1)电脑终端机装置用的零瘦端设计的,是没有硬碟的,不包含本地资料储存装置,所有的资料都存放在云伺服器端。
2)只有PS/2介面,USB介面,PS/2介面是非常安全的,USB介面可以通过电脑终端机的管理控制台来管理禁用USB介面的,控制USB资料访问许可权。可使用使用者或装置策略控制USB资料访问。
3)使用电脑终端机装置,对通用的防毒软体,完全卫士,如360,金山,都是安全支援的。
4)电脑终端机装置,对通用的防火墙等安全装置,都安全支援,完全融入到现有的网路安全环境中,提高了使用者端的稳定性。
桌面一体机是如何提高了资料的安全性?使用云终端的办公解决方案提高了资料的安全性,具体表现在以下几方面:
1.云终端装置用的零瘦端设计的,是没有硬碟的,不包含本地资料储存装置,所有的资料都存放在云伺服器端。
2.只有PS/2介面,USB介面,PS/2介面是非常安全的,USB介面可以通过云终端的管理控制台来管理禁用USB介面的,控制USB资料访问许可权。可使用使用者或装置策略控制USB资料访问
3.使用云终端装置,对通用的防毒软体,完全卫士,如360,金山,都是安全支援的。
4.云终端装置,对通用的防火墙等安全装置,都安全支援,完全融入到现有的网路安全环境中,提高了使用者端的稳定性。
资料备份与资料安全资料备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致资料丢失,而将全部或部分资料***从应用主机的硬碟或阵列***到其它的储存介质的过程。传统的资料备份主要是用内建或外接的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障,而且其恢复时间也很长。随着技术的不断发展,资料的海量增加,不少的企业开始用网路备份。网路备份一般通过专业的资料储存管理软体结合相应的硬体和储存装置来实现。
资料安全存在着多个层次,如:制度安全、技术安全、运算安全、储存安全、传输安全、产品和服务安全等。对于计算机资料安全来说:制度安全治标,技术安全治本,其他安全也是必不可少的环节。资料安全是计算机以及网路等学科的重要研究课题之一。它不仅关系到个人隐私、企业商业隐私;而且资料安全技术直接影响国家安全。
华为装置怎样保证链路中资料的安全性
云服务一般是通过云服务大弹性资料的海量资料分析功能,对所有的资料进行归纳,它会自动获取最精准,最有效的资料,都是通过云端自动化完成了,肯定会有一些少量的差别,也是会帮助你获取,你想获取而无法获取到的资料。而且,这种趋势的发展也是主流云计算的趋势。华为企业云有着深厚的基础架构,并且有着多年对海量网际网路服务的经验,不管是软体、通讯还是其他领域,都有多年的成熟产品来提品服务。华为云在云端完成重要部署,为开发者及企业提供云服务、云资料、云安全、云运营等整体一站式服务方案。华为云伺服器安全可靠,高效能,多种配置供选择
iPhone 5s的Touch ID指纹资料的安全性如何保证?从2008 年开始我就注意到了苹果要用指纹扫描的讯息并一直关注至今。直到 9 月 10 日释出的 iphone 5s 印证了我长久以来的猜想,这对苹果和我来说都是一段漫长的旅程。我相信 touch ID 的果实会在 10 年内结出。 多年来,就连业内资深人士都对苹果可能用的指纹技术的可靠性和必要性心存质疑。这种情况在去年苹果收购了 AuthenTec 之后有所改观,一些和我一起工作的初创公司终于开始重视起来。然而,还是有人选择了视而不见,他们觉到只要不去理睬,这事儿就不存在一样(这可是某位创业者说的)。 当我在 5 年前第一次看见苹果关于此类技术的专利申请时就被深深迷住了。之后,我开始思考苹果将会如何储存这些极重要生物学资讯。根据自己在支付卡行业,尤其是 PIN 码方面逾 30 年的从业经验,我知道这不是单靠软体方案就能解决的。于是我想一定会有一个独立的硬体被用来储存资讯。 Secure Encle 网上分析 Touch ID 的文章已经有成千上百,但是真正意识到这项技术的革新意义的却不算多。苹果不仅打造了最精确的量产生物学安全识别装置,他们还解决了如何加密、储存和保护资料这个关键问题。苹果称之为 Secure Encle,可以说这是个新概念。 为安全而生的A7 苹果选择基于 ARMv8 架构的 A7 晶片有很多原因,其中一个就是为了满足 Touch ID 的硬体需求。为了经济地搭建 Secure Encle, 苹果需要的晶片必须具有原生的安全效能并且有专门的区域供隔离和加密。 这正是 ARM 大约在三年前就开始研究的地方,并且通过一系列合作打造出了名为 TrustZone/SecurCore 的技术。TrustZone 技术和 A7 晶片精密结合并通过 AMBA AXI 汇流排和特定的 TrustZone System IP 块贯穿系统层面。这种布局意味着保护装置不受软体攻击成为了可能。 这篇ARM 在 2008 年释出的***节选从侧面反应了 A7 在移动支付方面的作用: “6.2.2 移动支付 不少嵌入式装置开始储存大量使用者资讯,包括电子邮件、移动银行资料和移动支付证书等高度敏感资讯。这些资讯可以通过密码的方式受到保护,然而一旦解锁后就会容易受到任何底层软体漏洞的危害。 把资料的储存、修改甚至是密码输入都迁移到 Secure 区域是非常合理的。尽管那些应用需要各自读取不同型别的使用者资讯,但是在安全限制问题方面却有着相似要求。为做到这点,Gadget2008 的移动支付功能将具备更加严格的限制条件。” Secure Encle的工作原理 苹果用高度优化过的 TrustZone 为基础做出了 Secure Encle。我们当然不指望苹果透露任何关于定制硬体的细节,因此我就以 TrustZone 为分析物件,借此来推断 Secure Encle 的情况。 TrustZone 系统通过完全分割硬体和软体以保证安全性,这两者被分别安置在 Secure 区和 Normal 区– 前者为安全子系统而设,后者则是处理其它任务的正常区域。AMBA3 AXI 汇流排保证 Normal 区的元件无法访问 Secure 区的,以此方式在两区之间建立区一道坚固的墙来杜绝对储存在 Secure 区的敏感做出的潜在攻击。 这种物理隔离的方式将有效减少需要通过安全验证的子系统数量。监控模式(monitor mode)会负责在两个虚拟处理器之间切换以应对安全验证的要求。 由此可见,A7 是自带安全基因的。建立在硬体架构上的安全性非常稳固的。光是访问储存在 Secure Encle 内的资讯就要求在硬体破解上付出大量工作。这显然对装置本身是有利的,那么对于网际网路又有什么影响呢?事实上,那些用来启用云端系统的资料的用途就像一把连线网路的钥匙,这就是苹果将要在 iTunes 和 App Store 里取的模式。同时,还有可能到来的零售支付系统。 ARM 网站上就给出了一个移动支付方式的例子 -- 个人 POS 终端: Touch ID 的问世绝对称得上是苹果潜心研究的结果,七年间,苹果提交了许多专利申请、收购 AuthenTec、选用集成了 TrustZon 技术的 A7 晶片…… 所有的这一切汇聚在一起,才成就了今天的 Touch ID。
如何提高MYSQL资料库的安全性其实这个和jsp没啥关系,只要你的程式码没有比如爆原始码或者直接上传shell这些弱智的漏洞就行了,一般的做法其实很简单,就是给mysql分配一个单独的账号,而不要使用root许可权,而且只能针对目标资料库操作,其他的资料库没有操作许可权,如果要附加上jsp的话,那么就是别让你的程式出现注入之类的漏洞,因为只要存在注入,那么至少可以肯定你的资料库会全部泄露,这样会使别人进一步入侵你甚至控制你的伺服器,当然了linux和windows的伺服器还是有差别的,上面给你说的只是最一般的方法
没root情况下,怎么备份应用资料说明没有真正的将手机上的许可权获取到手机上啊。这样才出现不能备份的情况了。所以应该先进行下手机root设定,许可权先获取下到手机上才可以进行稳定的设定。这样就可以选择好手机上的资料进行下资料备份到电脑上了。设定手机操作就没有啥问题了。
怎样使资料备份更安全企业时常丢失含有客户敏感资讯的备份磁带,这绝对是一个安全界的灾难。这个问题困扰著每一个行业,包括已经意识到安全问题的金融服务行业。 去年,New York Mellon银行称第三方邮递企业两次丢失了没有加密的备份储存磁带,可能暴露了大约450万人的资讯。几乎在同一时间,位于波士顿的State Street公司表示,一个做产品资料分析的承包人丢失了一个硬碟驱动器,其中包含了5500个雇员的私人资讯和4万名使用者的帐号资讯。资料最初是加密的,但是承包人解密了资讯并把资讯存在计算机装置上,结果让人从装置上偷走了。 在New York Mellon银行,资料泄漏事故迫使公司改进了它的安全措施,要求机密资料必须写在磁带或者CD上进行加密运输的,或者在进行运输时实行严格的控制。 储存加密非常关键,它能避免资料泄漏出现严重的后果,这些后果包括告知客户资料泄漏带来的直接损失和品牌受损的间接损失。不管你的供应商跟你说过什么,所有未加密的备份磁带都能被那些恶意的罪犯读取出来。一些供应商会说他们的备份格式是公司自己的格式,没有他们的资料库和软体就不能解读备份资料等等,请不要听信这样的言论。备份格式跟法律(比如加利福尼亚州的SB 1386)没有关系,但是如果你失去了对未加密私人资讯的控制,你必须告知受到影响的客户。如果资料加密了,大多数州立资料泄漏法律则不要求你必须告知客户。 对那些要运出公司物理位置的磁带进行加密是一个明确的商业选择。当磁带丢失时,保护备份资料能为你的企业节省几百万美元,还能保证品牌受到的损失最小。 储存加密的风险 当你考虑对备份磁带加密的时候,你也要考虑储存加密的风险。这些风险跟执行中的资料加密的风险有很大不同。如果你执行加密资料的时候出现了问题,你会立刻知道并进行修复。比如,如果一个应用程式通过一个加密的通道传送资料,一旦加密发生了什么事,应用程式也会崩溃。分析其根本原因则会知道起因是加密失败。 然而,如果存放起来的加密资料出现了问题,你可能好几个星期、好几个月甚至好几年都不知道,当到了最后知道的时候可能已经太晚了。这是因为你只有在验证或者重新储存磁带的时候才会读取磁带。因此,除了你完成写入磁带过程后对磁带进行验证那一次,进行重新储存是你唯一测试加密系统的机会,而此时会出现最糟情况是你发现加密系统瘫痪了。 对备份磁带进行加密最大的风险是你把资料弄的太安全了,以至于连你自己都无法读取了。如果你丢失了金钥,或者程式损坏了,那么最后你所面对的只是一些不能读取的磁带,其他什么事情你都不能做。不幸的是,到你确实需要读取磁带的时候,你才可能意识到这个问题早已发生了。 这就是为什么金钥管理如此重要的原因。任何时候你想读取加密资料都需要金钥,比如进行再次储存的时候。另外,如果金钥被错误的人得到,可能会让你的加密系统失去作用。 因此,保管好用来加密资料的金钥是极为重要的。建立一个金钥资料库很关键,因为它可以记录金钥用在什么上、哪一天加密了什么资料等。当你改变金钥的任何时候,也必须相应地更新资料库。你必须对金钥资料库的访问进行控制和监视,以防止那些未经授权的访问。 尽管已经有了执行资料加密技术的金钥管理系统,但在单一系统上它们并不支援多个金钥,也不支援磁带驱动在不同时期拥有多个金钥。因此,为加密储存资料而设计的金钥管理系统往往是很不成熟的。 另外一个对备份磁带进行加密的风险是,没有取得安全性和可用性的平衡。这个问题是安全领域的难题。如果你把一个系统弄的很安全,它会变得不可用或者管理起来很困难;如果易于管理,它又往往不是很安全。在这上面的目标就是要寻找一个平衡点:既让系统变得尽量安全,又不会显著的增加管理成本或改变使用者体验。 有三种加密备份资料的基本方法: ·源加密(Source encryption) ·备份软体加密 ·内建(In-line)硬体加密 在资料可能发生丢失之前,所有的这三个方法都会对它进行加密。然而,每种方法都会对系统的可用性和成本造成不同的影响,这些都需要考虑。比如,有的方***引起备份速度慢40%,有的方***100%的降低磁带库的存贮容量,有的方***对可用性产生很大的影响导致不可行,我们需要权衡这些特点。 源加密 源加密系统是对资料的源头进行加密。一个档案系统(比如Windows加密档案系统)或者一个数据库对储存在里面的资料进行加密。如果资料储存时加密了,备份的时候也相应的加密了,这样不会违反各种泄漏通知法律(breach notification laws)的要求;如果带有个人资讯的磁带丢失了,你也不用告知你的客户。如果你担心存在泄密的内部人员,那么这种加密方式是个不错的选择。 源加密系统有若干弊端。首先,他们通常会影响还没完成的档案系统或者资料库的效能。每个档案或者资料库记录必须在写入的时候加密,在读取的时候解密,但这样会严重影响效能。 另外一个挑战是金钥管理,因为每个档案系统或者资料库型别通常都有自己的加密系统和一套金钥管理规定。由于金钥管理在储存静态资料时是要最优先考虑的因素,所以这是个大问题。如果你有几种资料型别需要加密,这可能会成为一个很大的障碍。管理一个金钥系统已经够有挑战性了,管理几个金钥系统将更为艰难。 最后,在源头加密资料抹掉了所有备份系统的压缩功能,因为加密的资料不能被压缩。这在Unix, Windows和MacOS备份环境中将导致百分之二十五到百分之五十的容量损失和效能损失(硬体压缩能提高效能是因为它减少了实际写入到磁带的位元组数)。 因此,源加密技术主要应用在少量资料的加密上,比如单个档案系统或者存放个人资讯的资料库。如果你考虑在资料通过一个不安全的网路之前对其进行加密,那么源加密也比较合适。 备份软体加密 对于备份软体加密,备份应用程式会在资料储存在磁带上的时候对其进行加密。大多数备份软体产品都有加密选项,在最近几个月内,一些供应商已经加强了这些功能。 虽然,这解决了用单个金钥管理系统的源加密方式很难处理的多个金钥问题,但很多备份软体应用程式用的金钥管理系统都还比较陈旧。少数几个供应商已经更新了他们的金钥管理技术,有些还已经跟其他的公司进行了合作。然而,大多数供应商还停留在80年代的技术水平上,他们用的系统很容易被击溃。 举个例子,他们用的是没有访问控制概念的单个金钥;如果你有那个金钥,你就能读取磁带。如果一个有恶意的雇员得到了磁带和金钥,他或她就能读取磁带。如果你因为那个雇员而改变了金钥,他还是能读取偷来的、用旧金钥加密的磁带,但是你却不能读取在改变金钥之前写的备份磁带,你必须暂时在适当的位置重新输入旧金钥来读取旧磁带。 备份软体加密也会影响备份效能,因为用软体进行加密非常慢。尽管越来越快的CPU和更有效的指令能够缓解这种情况,但是软体加密可能还是会因为速度的原因而失去竞争力。像源加密一样,备份软体加密也会抹掉大多数备份系统的压缩功能,除非使用者用客户端软体压缩,但是这样会让备份更加缓慢。 因此,像源加密一样,备份软体加密也主要用在加密少量资料上。比如,如果你有一个用于储存个人资讯的资料库,你可以只加密这个资料库的备份。然而,对所有储存个人资讯的资料库和档案系统进行区分可能会非常困难。如果你不确定自己能辨认所有的这些资料库,你必须对所有的备份都进行加密,从而确保如果你只丢失其中一个磁带可以不必告知所有的使用者。如果真是那样的话,这个选择可能是不可行的,因为它对系统性能和容量的影响很大。然而,对处在不安全网路之间的备份系统来说,备份软体加密还是比较合适的。 硬体加密 硬体装置加密是相对较新的选择,它增加了人们对于加密技术的兴趣。硬体装置是在物理链路之间对资料进行加密。因为加密是用硬体进行的,其速度可以很快,而且不会让备份变得缓慢。此外,加密装置被设计成先对资料进行磁带压缩,然后再加密。 这些硬体加密系统通常有非常好的金钥管理系统,不会被某个怀有恶意的雇员所破坏。比如,它们通常会把用于加密资料的金钥跟用于系统与人员的鉴别、授权的金钥分别开来。他们还提供了保证金钥永不丢失的功能,比如***和金钥跳跃(key vaulting)。这些系统很先进,因为它们都是在近五年内开发出来的,充分吸取了资料安全领域几十年的经验教训。 第一批可用的加密装置是拥有几个输入和输出埠的单一用途装置。截至去年年底,这些系统拥有了绝大部分备份加密的市场份额。同时,加密功能现在可以放在磁带库、智慧开关内部和磁带驱动器的内部。这会导致这样一个问题:硬体加密到底应该在哪里进行呢?只要硬体系统具有压缩、加密功能,并有一个很强的金钥管理系统,那么这个问题其实不是很重要。 对任何大量资料进行加密,硬体加密方式都是可行的最佳选择。使用者能压缩他们的备份资料又不会导致任何效能和容量上的损失;他们只需要购买足够的装置用以处理他们的备份频宽需求。硬体加密唯一的缺点是成本高,这些装置最起码需要支付2万美元。然而,这个成本比起资料泄漏引起的损失来说只不过是小巫见大巫。 如何抉择? 对你的业务来说最重要的事情是什么?你想要解决的又是哪些问题?回答好了这些问题有助于帮你决定选择哪一种办法是最好的。如果你始终是对敏感资料进行加密,那么你应该选择源加密;如果你只想确保资料在离开系统、进行备份的时候是加了密的,那么你应该选择备份软体加密。但请记住,这两个方法都会在效能和容量上带来严重的不良影响。如果你不愿意搞清楚究竟对什么进行加密,而只是对所有储存到磁带上的资料加密,又不愿意看见备份系统出现任何效能或者容量上的损失,那么你正确的选择应该是用硬体加密的方式。 不管你选择的加密方法是什么,当备份磁带丢失的时候你心里面都会稍微宽慰一点。毕竟,在这样一个数据隐私法制时代,任何一个企业都不能不对储存资料进行加密处理。
