信息安全重兵守城卻無人看庫

全方位的存儲安全體系

　　有人提出“深度防御”戰(zhàn)略，正是因?yàn)榇鎯Π踩豢赡芤揽繂我皇侄位蚣夹g(shù)來實(shí)現(xiàn)，而必須根據(jù)用戶的業(yè)務(wù)需要把多種安全措施有機(jī)融合為一體。

　　【加密】

　　傳輸與存儲皆不放過

　　現(xiàn)在，大多數(shù)備份磁帶都是沒有加密的，也就是上面不是“010010”，而是原始信息。企業(yè)戰(zhàn)略集團(tuán)（Enterprise Strategy Group）的一項(xiàng)近期調(diào)查顯示: 多達(dá)60%的存儲專業(yè)人員說，自己從不對備份磁帶進(jìn)行加密，回答經(jīng)常加密的只有7%，為非法利用提供了相當(dāng)?shù)谋憷?O:P>

　　為了避免因數(shù)據(jù)失竊而使品牌受損和法律風(fēng)險(xiǎn)，業(yè)界齊刷刷把目光轉(zhuǎn)向了一個古老的安全保障方法：加密。美洲銀行已經(jīng)采取措施來改善其數(shù)據(jù)磁帶運(yùn)輸?shù)牧鞒?，并對?shù)據(jù)加密進(jìn)行測試；花旗銀行開始采用加密的電子數(shù)據(jù)進(jìn)行傳輸，而不是采用沒有加密的磁帶傳輸。

　　備份軟件供應(yīng)商也向客戶大力推薦其備份加密軟件。如今不乏在文件存儲時(shí)為加密提供便利的公司，其中就有NeoScale和Decru，這兩家公司生產(chǎn)的設(shè)備都可以在數(shù)據(jù)拷貝到存儲介質(zhì)之前先進(jìn)行加密。不過分析師認(rèn)為，重要的是用戶要確保數(shù)據(jù)在存儲和傳輸過程中都得到加密。

　　因?yàn)閷λ袛?shù)據(jù)加密成本太高，也太浪費(fèi)時(shí)間，所以有必要根據(jù)數(shù)據(jù)重要性分級加密。但關(guān)鍵是制定嚴(yán)格的策略，高層IT管理人員需要全面控制密鑰建立和管理過程。不過，對備份數(shù)據(jù)實(shí)行加密保護(hù)并不是件容易的事情，不是所有企業(yè)都在用加密功能。而這要?dú)w因于一系列問題的存在，比如性能衰退、應(yīng)用響應(yīng)延時(shí)，以及數(shù)據(jù)備份、恢復(fù)和管理的高復(fù)雜度等。

　　【融合】

　　結(jié)束太多太雜的混亂

　　目前存儲數(shù)據(jù)面臨的問題是，實(shí)現(xiàn)數(shù)據(jù)安全的方法太多太雜了。

　　很多產(chǎn)品都提供了安全功能，但是如果用戶使用Cisco的NAS設(shè)備、Decru的安全設(shè)備、HP的網(wǎng)卡和主機(jī)總線適配器，協(xié)調(diào)工作就非常困難，更不要提什么安全性了。再比如許多交換機(jī)廠商提供有如口令控制、訪問控制列表（ACL）及基于驗(yàn)證的公鑰基礎(chǔ)設(shè)施（PKI）的保護(hù)技術(shù)，但每家廠商的安全級別各不相同，如果同一結(jié)構(gòu)里面的交換機(jī)來自多家廠商，實(shí)施安全的方法互不兼容，交換機(jī)設(shè)備的安全控制就難以發(fā)揮作用。所以，存儲安全標(biāo)準(zhǔn)化的呼聲已久，一些組織正在進(jìn)行相關(guān)工作。

　　HDS公司首席安全官Art Edmonds指出，必須將存儲與安全技術(shù)有機(jī)融合。HDS的解決方案涉及從HBA到光纖交換機(jī)再到存儲設(shè)備的端到端整體安全保護(hù)。以135億美元收購了Veritas的賽門鐵克，9月7日推出了捆綁它的安全產(chǎn)品和Veritas備份解決方案的軟件包，但兩家的產(chǎn)品尚未真正整合，只是完成廣泛的互融性測試。GlassHouse科技有限公司的高級副總裁Dave Ellard認(rèn)為，“存儲+安全”捆綁產(chǎn)品還需要經(jīng)歷相當(dāng)長的發(fā)展歷程，才能逐步趨于成熟。

　　要強(qiáng)調(diào)的是，我們這里探討的是端到端存儲安全解決方案，而并非主張推出集成產(chǎn)品，后者是一個完全不同的概念，我們在此不予討論。

　　【網(wǎng)絡(luò)安全】

　　未被削弱反需加強(qiáng)

　　企業(yè)戰(zhàn)略集團(tuán)最近對229名安全專業(yè)人員進(jìn)行了調(diào)查，這些人都來自員工人數(shù)在1000人以上的大公司。在公司網(wǎng)絡(luò)不安全引起的損失方面，40%的人回答有一次因入侵導(dǎo)致關(guān)鍵系統(tǒng)或服務(wù)中斷，有38%的人回答入侵導(dǎo)致數(shù)據(jù)受損或丟失，17%的人說入侵導(dǎo)致知識產(chǎn)權(quán)被竊。顯然過半損失和數(shù)據(jù)相關(guān)?？梢哉f，網(wǎng)絡(luò)安全是存儲安全的前提保證。

　　大家對此已經(jīng)進(jìn)行了許多探討，以下觀點(diǎn)已成共識: 不論是光纖通道還是IP網(wǎng)絡(luò)，主要的潛在威脅來自非授權(quán)訪問，特別是管理接口。針對這類攻擊，一般是采用更為復(fù)雜的加密算法。保證SAN數(shù)據(jù)安全的兩個基本安全機(jī)制是分區(qū)制zoning和邏輯單元值（Logical Unit Number）掩碼。問題是，這兩種技術(shù)無法提供介質(zhì)安全，也無法提供加密靜態(tài)數(shù)據(jù)的功能。利用LUN屏蔽技術(shù)管理接入對于較小的SAN十分有效，但由于大量的配置與維護(hù)工作而在大型SAN上難于實(shí)現(xiàn)。 iSCSI的安全防范主要是通過利用IP網(wǎng)絡(luò)安全技術(shù)來實(shí)現(xiàn)，尤其是IPSec。但這一層保護(hù)只針對傳輸中的數(shù)據(jù)，加密功能并不作用于靜態(tài)數(shù)據(jù)。

　　面對日益嚴(yán)重的漏洞問題，最佳解決之道莫過于積極的修補(bǔ)破洞，同時(shí)再搭配防毒軟件、防火墻等安全措施。

　　【備份容災(zāi)】

　　只是存儲安全的一方面

　　現(xiàn)在大多數(shù)用戶只把防備重點(diǎn)放在機(jī)器壞掉和不可抗拒力上了，只做了容災(zāi)備份、異地存儲等方案，而對于誤操作和病毒入侵等其他因素考慮的則很少，這樣盡管存儲安全的投資上縮水很多，但并不能保證足夠的存儲安全。政府部門對存儲安全的指導(dǎo)目前也集中在災(zāi)難恢復(fù)上，網(wǎng)絡(luò)存儲世界/2005中國大會用了一場主題演講來進(jìn)行《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》的解讀。

　　專家建議應(yīng)有多方面的考慮。揚(yáng)基集團(tuán)（Yankee Group）在兩年前的一份報(bào)告中就指出，企業(yè)的數(shù)據(jù)存儲系統(tǒng)正在變得越來越復(fù)雜，系統(tǒng)的復(fù)雜性也提高了安全問題的復(fù)雜性。實(shí)際上，系統(tǒng)數(shù)據(jù)安全故障，有20%的可能性是誤操作引起的，還有10%是因?yàn)闄C(jī)器出故障，只有10%是不可抗拒力（火災(zāi)、地震）。

　　另外，NEC（中國）計(jì)算機(jī)系統(tǒng)事業(yè)部技術(shù)支持經(jīng)理黃后生強(qiáng)調(diào)，備份的目的并不是把數(shù)據(jù)拷出來就高枕無憂了，備份的初衷是要數(shù)據(jù)丟了的時(shí)候能夠恢復(fù)出來。但現(xiàn)在大部分用戶在做備份的時(shí)候都把磁帶機(jī)鎖在柜子里，在若干年后需要時(shí)，數(shù)據(jù)能不能恢復(fù)起來，可以說沒有任何一個用戶可以打保票。

　　【移動存儲】

　　一個不斷升溫的話題

　　廣州本田日前完成的存儲備份系統(tǒng)升級，解決了數(shù)據(jù)集中管理后的數(shù)據(jù)備份問題。其負(fù)責(zé)人在談到下一步系統(tǒng)的規(guī)劃方向，強(qiáng)調(diào)要實(shí)現(xiàn)對客戶端數(shù)據(jù)的備份管理。據(jù)IDC說，網(wǎng)絡(luò)上的數(shù)據(jù)有60%被存儲在桌面和筆記本電腦里，而不是數(shù)據(jù)中心服務(wù)器上。

　　多家廠商針對這一需求推出了連續(xù)保護(hù)產(chǎn)品。比如，IBM公司8月26日發(fā)布了一個通過網(wǎng)絡(luò)連續(xù)備份工作站、筆記本電腦和文件服務(wù)器上的文件的IBM Tivoli文件連續(xù)數(shù)據(jù)保護(hù)軟件。該軟件建立一個變化數(shù)據(jù)的副本并通過IP網(wǎng)絡(luò)把它們發(fā)送到中央服務(wù)器。當(dāng)用戶需要恢復(fù)被他們不小心刪除的文件時(shí)，可以從中央服務(wù)器找回這些文件。微軟、賽門鐵克、Revivio、Mendocino、Mimosa和Xosoft等都有連續(xù)數(shù)據(jù)保護(hù)軟件。Gartner稱，這些軟件最吸引人的一個功能是它們能讓用戶自己恢復(fù)文件，而不必等IT管理員來做。

　　【評估與管理】

　　最重要的兩大環(huán)節(jié)

　　專家建議，在安全審計(jì)中加入存儲部分，將存儲基礎(chǔ)設(shè)施、（訪問存儲系統(tǒng)的）人員和物理安全包括進(jìn)去。Gartner資深分析師Bob Passmore表示：“擁有存儲網(wǎng)絡(luò)的客戶正在通過向企業(yè)評估其存儲網(wǎng)絡(luò)安全的現(xiàn)狀，并將管理風(fēng)險(xiǎn)所需的流程和程序存檔，從而建立一套可信賴的基礎(chǔ)設(shè)施以對抗可能的風(fēng)險(xiǎn)，而不是依賴那些標(biāo)準(zhǔn)的、無法解決數(shù)據(jù)中心挑戰(zhàn)的安全策略?！?O:P>

　　美國前國家安全部門的技術(shù)負(fù)責(zé)人Ken Silva 現(xiàn)在是一家名為VeriSign 的軟件信息安全公司的首席技術(shù)專家，他認(rèn)為對于那些想重新評價(jià)其數(shù)據(jù)安全狀況的企業(yè)來說，第一步就是列出所有數(shù)據(jù)資源的清單，尤其是客戶數(shù)據(jù)和其他的敏感性的信息，然后找出公司存在的不足之處，并且還要確定數(shù)據(jù)丟失之后給公司和客戶帶來的具體的不利影響。

　　管理更是存儲安全的基礎(chǔ)。一些公司的失誤導(dǎo)致重大損失?；ㄆ煦y行將他們在印度的呼叫中心的客戶服務(wù)業(yè)務(wù)外包給一個本地化團(tuán)隊(duì)，結(jié)果外包團(tuán)隊(duì)中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息，從而導(dǎo)致了大量的欺騙性采購，花旗銀行為此損失了42.5萬美金。而LexisNexis公司所犯下的錯誤，也因?yàn)闆]有正確的對通過收購所獲得的數(shù)據(jù)倉庫公司——位于佛羅里達(dá)的Seisint公司的現(xiàn)存客戶進(jìn)行篩選。這些看似細(xì)微的管理失誤其實(shí)都可能是致命的安全漏洞。 (CCW)