加密

系统提供了对静态数据进行加密的可选功能,用于防止因闪存模块废弃、丢失或被盗而可能泄露其上存储的敏感用户数据和用户元数据。由于无需加密系统数据和系统元数据,因此系统数据和元数据均未加密。

如果要使用加密,请确保您已购买功能部件代码 AF14:Encryption Enablement Pack (Plant)。

场景 1:初始化具有加密功能的新系统

在此场景中,您要在闪存模块上未存储任何数据的新系统上初始化并激活加密。您在购买系统时已购买加密功能部件代码 AF14。在此情况下,IBM®发送总共三个 USB 闪存驱动器:一个 USB 闪存驱动器用于系统,另外两个 USB 闪存驱动器用于此加密功 能部件代码。

您可以使用初始化工具来激活加密。如果激活了加密,系统会生成将用于访问系统上存储的加密数据的加密密钥。初始化工具将启动一个向导,引导您完成将加密密钥拷贝到多个 USB 闪存驱动器的过程。以下操作被视为是拷贝和存储加密密钥的最佳实践:
  1. 在至少三个 USB 闪存驱动器上创建加密密钥副本以访问系统。
  2. 此外,将加密密钥拷贝到其他形式的存储器上以提供灵活性并降低风险,例如,三个 USB 闪存驱动器来自同一批故障驱动器。
  3. 在将任何用户数据写入初始化后的系统之前测试各个加密密钥副本。
  4. 安全存储所有加密密钥副本。例如,可以将未继续插在系统中的任何 USB 闪存驱动器锁在保险箱中。应采取类似的预防措施以可靠地保护其他形式存储器中存储的任何其他加密密钥副本。
    注:在初始化期间,向导会提示您将包含加密密钥的两个 USB 闪存驱动器分别插入两个容器中。这假设系统所在的物理环境非常安全。

场景 2:系统初始化后激活加密

如果在系统初始化后激活加密,那么可能会发生以下情况:
  • 向先前初始化的系统添加加密许可证
  • 在先前初始化的系统上更改加密密钥
这两项操作都只能通过与 IBM 支持人员密切合作来执行。这两项操作都需要您购买功能部件代码 AF14:Encryption Enablement Pack (Plant),并需要从闪存模块中拷贝所有现有数据,然后将其存储到外部存储器上。

要购买该许可证,您必须向 IBM 支持人员提交请求报价 (RPQ) 以请求向系统应用此加密功能部件代码。购买此功能部件代码后,IBM 将发送另外两个 USB 闪存驱动器。

要在先前初始化的系统上激活加密,IBM 支持人员将与您合作来完成以下步骤:
  1. 将所有虚拟卷上存储的所有数据都拷贝到外部存储器。在先前初始化的系统上激活加密之前,您必须从系统中除去所有用户数据。将必须保留的任何数据都移至另一种格式的弹性存储器。在系统上激活加密后,将在使用密码的情况下有效地擦除闪存模块上的所有现有数据。
  2. 删除所有未加密的已定义虚拟卷和 RAID 阵列。
  3. 启动初始化工具并选择以配置新系统。
  4. 加密面板上,选择以指示您已购买该许可证并希望激活加密。
  5. 完成初始化工具。确保将加密密钥的副本拷贝到至少三个 USB 闪存驱动器,并将任何其他副本都拷贝到您的环境所需的其他存储器。
  6. 完成初始化工具后,启动管理 GUI 并运行系统设置向导。该设置向导自动创建已加密的 RAID 阵列。
  7. 将步骤 1 中拷贝到外部存储器的所有数据拷贝回系统。
警告: 系统启动(开机)时或访问加密系统时,加密密钥必须由外部源提供,以便可以访问系统。从用于存储系统初始化期间创建的密钥副本的 USB 闪存驱动器中读取加密密钥。 如果希望系统自动重新引导,包含加密密钥的 USB 闪存驱动器必须保持插在两个容器中,这样两个容器在开机时便能够访问加密密钥。该方法要求系统所在的物理环境非常安全,从而可防止未经授权的人员创建 USB 闪存驱动器上加密密钥的副本并访问系统上存储的数据。最安全的做法是不要使 USB 闪存驱动器保持插在系统上的容器中。但是,该方法要求在重新引导系统前,手动将包含加密密钥副本的 USB 闪存驱动器插入两个容器。需要加密密钥访问加密数据,加密密钥仅驻留在 USB 闪存驱动器副本和其他形式存储器上的任何其他副本上。如果用户维护的所有副本都丢失或不可恢复,IBM 将无法恢复或重新生成加密密钥。

需要功能部件代码 AF14“Encryption Enablement Pack (Plant)”以提供支持

如果您选择来激活加密以获取更多 IBM 支持,那么必须提供该加密功能部件代码 (FC AF14: Encryption Enablement Pack (Plant)) 的购买凭证。

需要通过 RPQ 获取 IBM 支持才能避开以下限制:
  • 系统初始化后,无法激活或取消激活加密。
  • 无法更改加密密钥。