存儲(chǔ)安全問題正在趨于復(fù)雜化

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在幾年前，存儲(chǔ)僅僅意味著直連存儲(chǔ)（DAS，Direct Attached Storage），存儲(chǔ)安全完全包含在整體IT安全之中。但是隨著存儲(chǔ)架構(gòu)不斷演變發(fā)展，人們更多地引進(jìn)了高速、高容量的基于光纖通道的存儲(chǔ)區(qū)域網(wǎng)（SAN，Storage Area Networks）以及基于以太網(wǎng)的網(wǎng)絡(luò)附屬存儲(chǔ)（NAS，Network Attached Storage）系統(tǒng)，存儲(chǔ)安全也隨之發(fā)展成為一個(gè)獨(dú)立的學(xué)科。忽視它就會(huì)導(dǎo)致危險(xiǎn)！

值得引起大家警覺的是，很多企業(yè)好像并沒有重視存儲(chǔ)的安全。根據(jù)調(diào)查公司ESG（Enterprise Strategy Group）針對(duì)288位存儲(chǔ)專業(yè)人士的調(diào)查結(jié)果，其中30%的人明確表示他們公司的安全策略中并沒有包含存儲(chǔ)系統(tǒng)，還有20%的人并不知道或不能夠說出他們公司的存儲(chǔ)安全是否被攻破。

那么，公司在對(duì)他們存儲(chǔ)的數(shù)據(jù)施加安全策略通常需要哪些步驟呢？根據(jù)Yankee集團(tuán)資深分析師Sal Capizzi的觀點(diǎn)，打造存儲(chǔ)安全的系統(tǒng)性方法，首先是要分析被存儲(chǔ)的不同類型的數(shù)據(jù)，并根據(jù)其重要性以及一旦丟失或被盜對(duì)業(yè)務(wù)造成的經(jīng)濟(jì)損失來進(jìn)行分類，然后對(duì)于不同的分類設(shè)置相對(duì)應(yīng)的不同安全政策。

第二步是實(shí)施口令、全球范圍的名稱識(shí)別（對(duì)光纖通道）以及邏輯單元數(shù)（LUN）授權(quán)，以確保只有經(jīng)過授權(quán)的使用者、設(shè)備或應(yīng)用能夠訪問數(shù)據(jù)，并且要執(zhí)行邏輯單元屏蔽（LUN masking）以便特定的存儲(chǔ)卷只能被經(jīng)過授權(quán)的使用者、設(shè)備或應(yīng)用所看見。

需要再次提醒的是，根據(jù)ESG估計(jì)有20%的企業(yè)并不知道或不能夠說出他們的存儲(chǔ)安全是否被攻破。這里告訴你一個(gè)能夠使你做到這一點(diǎn)好方法，那就是確保所有針對(duì)數(shù)據(jù)的動(dòng)作、訪問以及改變都被記入日志，這樣就可以對(duì)誰在什么時(shí)候、什么地點(diǎn)對(duì)哪些數(shù)據(jù)做了什么改動(dòng)有清楚的跟蹤。如果沒有這樣的日志，就很難說出數(shù)據(jù)是否或怎樣遭遇到了危險(xiǎn)。

最后，別忽略了一些看似很普通的預(yù)防措施，如使用反病毒、反間諜軟件，安裝一個(gè)合適的防火墻，關(guān)掉不使用的端口，頻繁地改變口令，等等。
同時(shí)，不管你花費(fèi)多少也不可能算計(jì)到所有的危險(xiǎn)，所以建議你部署災(zāi)難恢復(fù)計(jì)劃來對(duì)付意外的火災(zāi)、洪水、故意破壞以及其他大災(zāi)難。

也許你會(huì)問，加密的方法效果如何呢？其實(shí)，對(duì)于數(shù)據(jù)加密的必要性以及在什么時(shí)間、什么地方來實(shí)施加密等存在很多分歧意見。例如，有一些專家建議對(duì)可移動(dòng)的磁帶設(shè)備應(yīng)該實(shí)施加密以防意外丟失。但也有一些人指出，磁帶本身就是相對(duì)脆弱的設(shè)備，丟失的或放一邊不用的磁帶很快就有可能讀不出數(shù)據(jù)了。

同樣，磁帶上的數(shù)據(jù)文件也并不是任何人在任何環(huán)境下都能輕易讀出來的。也就是說，如果一個(gè)人通過偷或撿偶然得到了磁帶，沒有適合的硬件和軟件應(yīng)用，他也可能就讀不出磁帶上的數(shù)據(jù)。不過，實(shí)事求是地說，如果磁帶實(shí)施了適當(dāng)?shù)募用?，一旦被偷盜或遭故意襲擊，還是要相對(duì)安全一些。而且加密對(duì)于數(shù)據(jù)從存儲(chǔ)系統(tǒng)通過網(wǎng)絡(luò)傳輸?shù)椒?wù)器是有幫助的，因?yàn)檫@其中有可能遭遇黑客攻擊，加密可以有效避免這一點(diǎn)。

可喜的是，近期各種各樣的技術(shù)進(jìn)步正在使得更加有效地管理大量存儲(chǔ)和存儲(chǔ)安全成為可能。例如虛擬化就有可能對(duì)存儲(chǔ)系統(tǒng)造成日漸巨大的沖擊，因?yàn)樗軌蚩缭酱罅看鎯?chǔ)陣列構(gòu)筑存儲(chǔ)池，這樣就使得管理、遷移和備份數(shù)據(jù)更加快捷，也更加經(jīng)濟(jì)。我們也看到，無論是存儲(chǔ)廠商，還是服務(wù)器廠商，都已經(jīng)紛紛在自己的產(chǎn)品和解決方案中添加虛擬化技術(shù)，所以毋容置疑虛擬化必然會(huì)成為數(shù)據(jù)管理、數(shù)據(jù)保護(hù)以及平臺(tái)計(jì)算的基礎(chǔ)技術(shù)。

另外，CDP（連續(xù)數(shù)據(jù)保護(hù)）應(yīng)該是2006年在存儲(chǔ)方面最有影響的技術(shù)進(jìn)展之一。通過使用CDP，企業(yè)存儲(chǔ)系統(tǒng)中的所有數(shù)據(jù)在每次數(shù)據(jù)變化時(shí)都可以得到實(shí)時(shí)備份。事實(shí)上，也就是針對(duì)每一次存儲(chǔ)數(shù)據(jù)的改變都會(huì)做一個(gè)存儲(chǔ)快照，而不是每小時(shí)做一次或一天做幾次。這樣，當(dāng)數(shù)據(jù)庫系統(tǒng)癱瘓或受到病毒感染時(shí)，就很容易快速恢復(fù)到故障前的狀態(tài)。值得指出的是，這個(gè)恢復(fù)過程只需要數(shù)秒鐘。專家們也紛紛預(yù)言，2006年將是一個(gè)CDP年。

最后，每個(gè)企業(yè)的存儲(chǔ)架構(gòu)以及安全需求都是不同的，因此也不可能輕易地去根據(jù)固定的5步或10步去實(shí)現(xiàn)存儲(chǔ)安全。但是要切記不能忽視存儲(chǔ)安全，存儲(chǔ)安全是包含在IT安全中的一個(gè)基礎(chǔ)部分，因此要從基礎(chǔ)架構(gòu)層開始將存儲(chǔ)安全加入到安全策略中，否則你只能事后追悔莫及了。(it168)