加密

系统提供了在休息时进行数据加密的可选功能,用于防止因闪存模块废弃、丢失或被盗而可能泄露其上存储的敏感用户数据和用户元数据。由于无需加密系统数据和系统元数据,因此系统数据和元数据未加密。

如果要使用加密,请确保您已购买功能部件代码 AF14“Encryption Enablement Pack (Plant)”。

场景 1:初始化具有加密功能的新系统

在此场景中,您要在新系统上初始化并激活加密,而该系统当前未在闪存模块上存储任何数据。 您在购买系统时已购买加密功能部件代码 AF14。在此情况下,IBM 发送总共三个 USB 闪存驱动器,一个 USB 闪存驱动器用于系统,另外两个 USB 闪存驱动器用于此加密功能部件代码。

您可以使用初始化工具来激活加密。如果激活了加密,系统会生成将用于访问系统上存储的加密数据的加密密钥。初始化工具将启动一个向导,引导您完成将加密密钥复制到多个 USB 闪存驱动器的过程。以下操作被视为是复制和存储加密密钥的最佳实践:
  1. 在至少三个 USB 闪存驱动器上创建加密密钥副本以访问系统。
  2. 此外,将加密密钥复制到其他形式的存储器上以提供灵活性并降低风险,例如,三个 USB 闪存驱动器来自同一批故障驱动器。
  3. 在将任何用户数据写入初始化后的系统之前测试各个加密密钥副本。
  4. 安全存储所有加密密钥副本。例如,可以将未继续插在系统中的任何 USB 闪存驱动器锁在保险箱中。应采取类似的预防措施以可靠地保护其他形式存储器中存储的任何其他加密密钥副本。
    注:在初始化期间,向导会提示您将包含加密密钥的两个 USB 闪存驱动器分别插入两个容器中。这假设系统所在的物理环境非常安全。

场景 2:系统初始化后激活加密

系统初始化后激活加密时会发生以下情况:
  • 向先前初始化的系统添加加密许可证
  • 在先前初始化的系统上更改加密密钥
这两种情况都要求购买功能部件代码 AF14“Encryption Enablement Pack (Plant)”,并要求将闪存模块中的所有现有数据复制并存储到外部存储器上。

要购买该许可证,您必须向 IBM 支持人员提交请求报价 (RPQ) 以请求对系统应用加密功能部件代码。购买该功能部件代码时,IBM 会额外发送两个 USB 闪存驱动器。

要在先前初始化的系统上激活加密,请完成以下步骤:
  1. 将所有虚拟卷上存储的所有数据都复制到外部存储器中。 在先前初始化的系统上激活加密之前,您必须从系统中除去所有用户数据。应该将必须保留的任何数据移至另一种格式的弹性存储器。 在系统上激活加密后,将在使用密码的情况下有效地擦除闪存模块上的所有现有数据。
  2. 删除所有未加密的已定义虚拟卷和 RAID 阵列。
  3. 启动初始化工具并选择以配置新系统。
  4. 加密面板上,选择以指示您已购买许可证并希望激活加密。
  5. 完成初始化工具,确保将加密密钥副本复制到至少三个 USB 闪存驱动器上,并将任何其他副本复制到环境所需的其他存储器上。
  6. 完成初始化工具后,启动管理 GUI 并运行系统设置向导。该设置向导自动创建已加密的 RAID 阵列。
  7. 将步骤 1 中复制到外部存储器的所有数据复制回系统。
警告: 系统启动(开机)时或访问加密系统时,加密密钥必须由外部源提供,以便可以访问系统。从用于存储系统初始化期间创建的密钥副本的 USB 闪存驱动器中读取加密密钥。 如果希望系统自动重新引导,包含加密密钥的 USB 闪存驱动器必须保持插在两个容器中,这样两个容器在开机时便能够访问加密密钥。该方法要求系统所在的物理环境非常安全,从而可防止未经授权的人员创建 USB 闪存驱动器上加密密钥的副本并访问系统上存储的数据。最安全的做法是不要使 USB 闪存驱动器保持插在系统上的容器中。但是,该方法要求在重新引导系统前,手动将包含加密密钥副本的 USB 闪存驱动器插入两个容器中。需要使用加密密钥来访问加密数据,而加密密钥仅在 USB 闪存驱动器副本和其他形式存储器上的任何其他副本中。如果用户维护的所有副本都丢失或不可恢复,IBM 将无法恢复或重新生成加密密钥。

需要功能部件代码 AF14“Encryption Enablement Pack (Plant)”以提供支持

如果您选择来激活加密以获取更多 IBM 支持,那么必须提供该加密功能部件代码 (FC AF14: Encryption Enablement Pack (Plant)) 的购买凭证。

需要通过 RPQ 获取 IBM 支持以避开以下限制:
  • 系统初始化后,便无法激活或取消激活加密。
  • 无法更改加密密钥。