在鏈路層加密對數據保護無意義

1. 鏈路加密的定義

鏈路加密（又稱在線加密）是傳輸數據僅在物理層前的數據鏈路層進行加密。接收方是傳送路徑上的各台節點機，信息在每台節點機內都要被解密和再加密，依次進行，直至到達目的地。
鏈路加密，有時也叫做鏈路級或鏈路層加密，它是同一網路內兩點傳輸數據時在數字鏈路層加密信息的一種數字保密方法。在主伺服器端的數據是明文的，當它離開主機的時候就會加密，等到了下個鏈接（可能是一個主機也可能是一個中集節點）再解密，然後在傳輸到下一個鏈接前在加密。每個鏈接可能用的不同的密鑰或不同的加密演算法。這個過程將持續到數據的接收端。
鏈路加密加密發生在最低協議層（OSI模型的第一二層）。因為這一過程保護了傳輸的數據，鏈路加密在不能保證傳輸線的安全的時候就變得尤為重要。然而由於信息在每個傳輸路徑上的主機里解密，當信息必須經過那些不能確定主機間是否安全的通路時。

2. 雲計算時代信息數據安全如何保障

信息安全的主要目標之一是保護用戶數據和信息安全。當向雲計算過渡時，傳統的數據安全方法將遭到雲模式架構的挑戰。彈性、多租戶、新的物理和邏輯架構，以及抽象的控制需要新的數據安全策略。
數據與信息安全的具體防護可分為以下幾個方面。
1.數據安全隔離
為實現不同用戶間數據信息的隔離，可根據應用具體需求，採用物理隔離、虛擬化和Multi-tenancy等方案實現不同租戶之間數據和配置信息的安全隔離，以保護每個租戶數據的安全與隱私。
2.數據訪問控制
在數據的訪問控制方面，可通過採用基於身份認證的許可權控制方式，進行實時的身份監控、許可權認證和證書檢查，防止用戶間的非法越權訪問。如可採用默認「denyall」的訪問控制策略，僅在有數據訪問需求時才顯性打開對應的埠或開啟相關訪問策略。在虛擬應用環境下，可設置虛擬環境下的邏輯邊界安全訪問控制策略，如通過載入虛擬防火牆等方式實現虛擬機間、虛擬機組內部精細化的數據訪問控制策略。
3.數據加密存儲
對數據進行加密是實現數據保護的一個重要方法，即使該數據被人非法竊取，對他們來說也只是一堆亂碼，而無法知道具體的信息內容。在加密演算法選擇方面，應選擇加密性能較高的對稱加密演算法，如AES、3DES等國際通用演算法，或我國國有商密演算法SCB2等。在加密密鑰管理方面，應採用集中化的用戶密鑰管理與分發機制，實現對用戶信息存儲的高效安全管理與維護。對雲存儲類服務，雲計算系統應支持提供加密服務，對數據進行加密存儲，防止數據被他人非法窺探;對於虛擬機等服務，則建議用戶對重要的用戶數據在上傳、存儲前自行進行加密。
4.數據加密傳輸
在雲計算應用環境下，數據的網路傳輸不可避免，因此保障數據傳輸的安全性也很重要。數據傳輸加密可以選擇在鏈路層、網路層、傳輸層等層面實現，採用網路傳輸加密技術保證網路傳輸數據信息的機密性、完整性、可用性。對於管理信息加密傳輸，可採用SSH、SSL等方式為雲計算系統內部的維護管理提供數據加密通道，保障維護管理信息安全。對於用戶數據加密傳輸，可採用IPSecVPN、SSL等VPN技術提高用戶數據的網路傳輸安全性。
5.數據備份與恢復
不論數據存放在何處，用戶都應該慎重考慮數據丟失風險，為應對突發的雲計算平台的系統性故障或災難事件，對數據進行備份及進行快速恢復十分重要。如在虛擬化環境下，應能支持基於磁碟的備份與恢復，實現快速的虛擬機恢復，應支持文件級完整與增量備份，保存增量更改以提高備份效率。
6.剩餘信息保護
由於用戶數據在雲計算平台中是共享存儲的，今天分配給某一用戶的存儲空間，明天可能分配給另外一個用戶，因此需要做好剩餘信息的保護措施。所以要求雲計算系統在將存儲資源重分配給新的用戶之前，必須進行完整的數據擦除，在對存儲的用戶文件/對象刪除後，對對應的存儲區進行完整的數據擦除或標識為只寫(只能被新的數據覆寫)，防止被非法惡意恢復。

3. 鏈路加密是對相鄰節點之間的鏈路上所傳輸的數據進行加密對的嗎

這句話是對的。
鏈路加密是傳輸數據僅在物理層前的數據鏈路層進行加密。接收方是傳送路徑上的各台節點機，信息在每台節點機內都要被解密和再加密，依次進行，直至到達目的地。