数据加密

DeDES是原型块密码，它采用固定长度的明文比特字符串，并通过一系列复杂的操作将其转换成相同长度的另一个密文比特字符串。 在DES的情况下，块大小是64位。 DES还使用密钥来定制变换，使得解密可以仅由知道用于加密的特定密钥的人来执行。 密钥表面上由64位组成; 然而，其中只有56个实际上被算法使用。 还有8位仅用于检查奇偶校验，并且此后被丢弃。 因此，有效密钥长度为56位。

密钥名义上存储或传输为8字节，每个具有奇偶校验。 根据ANSI X3.92-1981(现在，称为ANSI INCITS 92-1981)，第3.5节：KEY的每个8位字节中的一个位可以用于密钥生成，分配和存储中的错误检测。 位8,16，...，64用于确保每个字节具有奇数奇偶性。

内核层加密软件

安全性：缺乏认证，可轻易绕过安全防护，造成数据丢失。

稳定性：数据在加解密过程中被改变，影响正常工作。

兼容性：兼容性强，且支持保护各种数据。

应用层加密软件

安全性：通过特殊设计的程序可以绕过（注入方式）；操作日志记录不完整，分

析价值低；容易被逆向分析，导致核心密钥泄露。

稳定性：部分常用办公软件会导致程序崩溃，导致无法工作。

兼容性：与杀软兼容性存在问题；添加保护新程序及数据配置复杂，拓展性有限；与常用办公软件会产生冲突。

边界加密软件

安全性：通过QQ等加密协议通信的数据无法保护；基于关键字识别，保护数据

类型有限；脱机攻击无法保护。

稳定性：稳定性强，完全不影响正常工作。

兼容性：兼容性强，但与企业邮箱等Saas服务不兼容。

常见数据加密方式共三种，分别是散列、对称加密、非对成加密，严格的来说散列（摘要算法）只能用于认证。

散列通过对要传输的数据进行HASH计算以混淆数据达到数据传输的安全，散列的长度越长安全性越高，但是性能也越差，散列还可以通过在待传输数据后面加盐值（额外的字符串）进一步提高安全性，散列的弊端就是客户端对数据加密进行传输后，服务端只能进行验证数据是否完整，不能进行解密。

对称加密，指服务端和客户端预先规定好一个密钥，客户端将请求的数据经密钥加密后送达服务端，服务端负责解密数据，这种对称加密的方式不能保证密钥的安全性（即服务端通过网络将密钥传递给客户端时也可能会被中间人劫持）。

非对称加密有一对密钥，公钥/私钥，服务端通过私钥生成公钥，然后将公钥传递给客户端，保证了私钥不会被其他人获取到，客户端将数据通过公钥加密后传输，服务端通过私钥解密保证了数据的安全性，弊端是网络存在中间人截获服务端发送的数据可以篡改数据。

数据加密有各种分类方法，按照实现手段可以分为四种：主机软件加密、加密存储安全 交换机 、嵌入式专 门 加密设备以及基于存储层的存储设备。

1.主机软件加密

主机软件加密已经推出很多年，其优缺点都比较明显

其优点是：成本低，只要有备份软件，不需要购买额外产品，只需付服务费用;对现有系统改动小。其缺点是：性能影响，对主机和备份的性能影响。

当我们对一个企业的数据加密时，面对TB级别的数据容量，我们需要考虑的是性能和管理是否能满足我们的需要;基于备份软件的加密方式目前只支持磁带加密，无法做到磁盘存储加密，同时也没有压缩的功能;对操作系统有一定的依赖性。

2.加密存储安全交换机连

加密存储安全交换机连接在存储设备和主机之间，不改变原有的IT结构，本身也可以做光纤交换机使用，同时具有加密功能，也可以同原有交换机互联。