对备份数据进行加密的注意事项

数据加密增强了 IBM i 环境的数据保护能力。 使用软件或硬件加密方法对备份数据进行加密时，请考虑这些重要因素。

软件加密方法的注意事项

如果对备份使用软件加密方法：

• 对于每个要保存的文件和目录，您需要 *ALLOBJ 特权、*SAVSYS 特权或 *ALL 权限。
• 因为加密数据的可压缩性或可紧缩性不如未加密数据，所以执行保存操作时可能需要更多磁带。
• 不能对使用 SAVSYS 操作保存的数据进行加密（BRMS 阻止这样做）。
• 不能对与 BRMS 相关的数据（例如 QBRM、QUSRBRM、QMSE 和 QUSRSYS）进行加密。
• 用于数据加密的加密密钥必须在磁带的整个生命周期中都可用。
• 如果加密服务密钥库文件包含用于磁带数据加密的加密密钥，那么不能对该文件进行加密。 如果您在其他尚未设置密钥库文件和密钥的系统上恢复该密钥库文件，那么您将无法对磁带进行解密。
• 用于恢复数据的加密密钥在恢复系统上必须可用。
  • 如果将加密服务密钥库文件发送到其他系统，那么与该密钥库相关联的主密钥必须与其他系统上的主密钥相同。
  • 可以从密钥库导出各个加密密钥并将这些密钥导入其他系统上的密钥库。 此密钥库文件随后使用主密钥进行保护。
• 如果更改了密钥库的主密钥，那么必须转换密钥库。 如果未完成此步骤，并且对主密钥作了另一次更改，那么使用该密钥库的加密保存操作将失败。
• 可以使用 SAVSYS 命令来保存当前的主密钥。
• 执行保存/复原操作期间对大量数据进行加密将影响系统性能和可用性。 应考虑在非高峰期进行加密和解密。 如果使用高可用性解决方案，那么在执行加密备份时，可以切换至备份系统以避免影响用户。
• 无法对不支持加密备份的先前 IBM i 发行版执行加密保存。

硬件加密方法的注意事项

如果通过加密磁带机使用硬件加密方法：

• 加密磁带机速度快、性能高，因此保存和恢复操作对用户的影响极小或无影响。
• 如果使用 SAVSYS 命令对磁带上的所有数据进行加密，那么必须在另一系统上运行密钥管理软件。
• 建议不要对运行密钥管理软件的系统或逻辑分区进行加密。 如果在恢复系统上使用密钥管理软件，那么不得对以下数据进行加密：
  • SAVSYS 数据。
  • 密钥管理软件的密钥库文件和配置文件。
  • 系统库。
  • 系统目录。
  • 用户库：QSYS2、QGPL、QUSRSYS 和 QUSRBRM。
• 如果使用加密磁带机，那么在灾难恢复情况下，您需要具有对另一加密磁带机的访问权以及对密钥管理软件的密钥库和配置信息的访问权。
• 必须先使系统脱离受限状态以启动密钥管理软件，才能复原已加密数据。 还必须复原密钥管理软件的密钥库文件和配置文件。
• 如果具有与磁带机加密相关联的数字证书，那么它必须在磁带的生命周期中可用。