信息安全重兵守城卻無人看庫

全方位的存儲安全體系

　　有人提出“深度防御”戰(zhàn)略，正是因為存儲安全不可能依靠單一手段或技術來實現(xiàn)，而必須根據(jù)用戶的業(yè)務需要把多種安全措施有機融合為一體。

　　【加密】

　　傳輸與存儲皆不放過

　　現(xiàn)在，大多數(shù)備份磁帶都是沒有加密的，也就是上面不是“010010”，而是原始信息。企業(yè)戰(zhàn)略集團（Enterprise Strategy Group）的一項近期調查顯示: 多達60%的存儲專業(yè)人員說，自己從不對備份磁帶進行加密，回答經常加密的只有7%，為非法利用提供了相當?shù)谋憷?O:P>

　　為了避免因數(shù)據(jù)失竊而使品牌受損和法律風險，業(yè)界齊刷刷把目光轉向了一個古老的安全保障方法：加密。美洲銀行已經采取措施來改善其數(shù)據(jù)磁帶運輸?shù)牧鞒?，并對?shù)據(jù)加密進行測試；花旗銀行開始采用加密的電子數(shù)據(jù)進行傳輸，而不是采用沒有加密的磁帶傳輸。

　　備份軟件供應商也向客戶大力推薦其備份加密軟件。如今不乏在文件存儲時為加密提供便利的公司，其中就有NeoScale和Decru，這兩家公司生產的設備都可以在數(shù)據(jù)拷貝到存儲介質之前先進行加密。不過分析師認為，重要的是用戶要確保數(shù)據(jù)在存儲和傳輸過程中都得到加密。

　　因為對所有數(shù)據(jù)加密成本太高，也太浪費時間，所以有必要根據(jù)數(shù)據(jù)重要性分級加密。但關鍵是制定嚴格的策略，高層IT管理人員需要全面控制密鑰建立和管理過程。不過，對備份數(shù)據(jù)實行加密保護并不是件容易的事情，不是所有企業(yè)都在用加密功能。而這要歸因于一系列問題的存在，比如性能衰退、應用響應延時，以及數(shù)據(jù)備份、恢復和管理的高復雜度等。

　　【融合】

　　結束太多太雜的混亂

　　目前存儲數(shù)據(jù)面臨的問題是，實現(xiàn)數(shù)據(jù)安全的方法太多太雜了。

　　很多產品都提供了安全功能，但是如果用戶使用Cisco的NAS設備、Decru的安全設備、HP的網卡和主機總線適配器，協(xié)調工作就非常困難，更不要提什么安全性了。再比如許多交換機廠商提供有如口令控制、訪問控制列表（ACL）及基于驗證的公鑰基礎設施（PKI）的保護技術，但每家廠商的安全級別各不相同，如果同一結構里面的交換機來自多家廠商，實施安全的方法互不兼容，交換機設備的安全控制就難以發(fā)揮作用。所以，存儲安全標準化的呼聲已久，一些組織正在進行相關工作。

　　HDS公司首席安全官Art Edmonds指出，必須將存儲與安全技術有機融合。HDS的解決方案涉及從HBA到光纖交換機再到存儲設備的端到端整體安全保護。以135億美元收購了Veritas的賽門鐵克，9月7日推出了捆綁它的安全產品和Veritas備份解決方案的軟件包，但兩家的產品尚未真正整合，只是完成廣泛的互融性測試。GlassHouse科技有限公司的高級副總裁Dave Ellard認為，“存儲+安全”捆綁產品還需要經歷相當長的發(fā)展歷程，才能逐步趨于成熟。

　　要強調的是，我們這里探討的是端到端存儲安全解決方案，而并非主張推出集成產品，后者是一個完全不同的概念，我們在此不予討論。

　　【網絡安全】

　　未被削弱反需加強

　　企業(yè)戰(zhàn)略集團最近對229名安全專業(yè)人員進行了調查，這些人都來自員工人數(shù)在1000人以上的大公司。在公司網絡不安全引起的損失方面，40%的人回答有一次因入侵導致關鍵系統(tǒng)或服務中斷，有38%的人回答入侵導致數(shù)據(jù)受損或丟失，17%的人說入侵導致知識產權被竊。顯然過半損失和數(shù)據(jù)相關?？梢哉f，網絡安全是存儲安全的前提保證。

　　大家對此已經進行了許多探討，以下觀點已成共識: 不論是光纖通道還是IP網絡，主要的潛在威脅來自非授權訪問，特別是管理接口。針對這類攻擊，一般是采用更為復雜的加密算法。保證SAN數(shù)據(jù)安全的兩個基本安全機制是分區(qū)制zoning和邏輯單元值（Logical Unit Number）掩碼。問題是，這兩種技術無法提供介質安全，也無法提供加密靜態(tài)數(shù)據(jù)的功能。利用LUN屏蔽技術管理接入對于較小的SAN十分有效，但由于大量的配置與維護工作而在大型SAN上難于實現(xiàn)。 iSCSI的安全防范主要是通過利用IP網絡安全技術來實現(xiàn)，尤其是IPSec。但這一層保護只針對傳輸中的數(shù)據(jù)，加密功能并不作用于靜態(tài)數(shù)據(jù)。

　　面對日益嚴重的漏洞問題，最佳解決之道莫過于積極的修補破洞，同時再搭配防毒軟件、防火墻等安全措施。

　　【備份容災】

　　只是存儲安全的一方面

　　現(xiàn)在大多數(shù)用戶只把防備重點放在機器壞掉和不可抗拒力上了，只做了容災備份、異地存儲等方案，而對于誤操作和病毒入侵等其他因素考慮的則很少，這樣盡管存儲安全的投資上縮水很多，但并不能保證足夠的存儲安全。政府部門對存儲安全的指導目前也集中在災難恢復上，網絡存儲世界/2005中國大會用了一場主題演講來進行《重要信息系統(tǒng)災難恢復指南》的解讀。

　　專家建議應有多方面的考慮。揚基集團（Yankee Group）在兩年前的一份報告中就指出，企業(yè)的數(shù)據(jù)存儲系統(tǒng)正在變得越來越復雜，系統(tǒng)的復雜性也提高了安全問題的復雜性。實際上，系統(tǒng)數(shù)據(jù)安全故障，有20%的可能性是誤操作引起的，還有10%是因為機器出故障，只有10%是不可抗拒力（火災、地震）。

　　另外，NEC（中國）計算機系統(tǒng)事業(yè)部技術支持經理黃后生強調，備份的目的并不是把數(shù)據(jù)拷出來就高枕無憂了，備份的初衷是要數(shù)據(jù)丟了的時候能夠恢復出來。但現(xiàn)在大部分用戶在做備份的時候都把磁帶機鎖在柜子里，在若干年后需要時，數(shù)據(jù)能不能恢復起來，可以說沒有任何一個用戶可以打保票。

　　【移動存儲】

　　一個不斷升溫的話題

　　廣州本田日前完成的存儲備份系統(tǒng)升級，解決了數(shù)據(jù)集中管理后的數(shù)據(jù)備份問題。其負責人在談到下一步系統(tǒng)的規(guī)劃方向，強調要實現(xiàn)對客戶端數(shù)據(jù)的備份管理。據(jù)IDC說，網絡上的數(shù)據(jù)有60%被存儲在桌面和筆記本電腦里，而不是數(shù)據(jù)中心服務器上。

　　多家廠商針對這一需求推出了連續(xù)保護產品。比如，IBM公司8月26日發(fā)布了一個通過網絡連續(xù)備份工作站、筆記本電腦和文件服務器上的文件的IBM Tivoli文件連續(xù)數(shù)據(jù)保護軟件。該軟件建立一個變化數(shù)據(jù)的副本并通過IP網絡把它們發(fā)送到中央服務器。當用戶需要恢復被他們不小心刪除的文件時，可以從中央服務器找回這些文件。微軟、賽門鐵克、Revivio、Mendocino、Mimosa和Xosoft等都有連續(xù)數(shù)據(jù)保護軟件。Gartner稱，這些軟件最吸引人的一個功能是它們能讓用戶自己恢復文件，而不必等IT管理員來做。

　　【評估與管理】

　　最重要的兩大環(huán)節(jié)

　　專家建議，在安全審計中加入存儲部分，將存儲基礎設施、（訪問存儲系統(tǒng)的）人員和物理安全包括進去。Gartner資深分析師Bob Passmore表示：“擁有存儲網絡的客戶正在通過向企業(yè)評估其存儲網絡安全的現(xiàn)狀，并將管理風險所需的流程和程序存檔，從而建立一套可信賴的基礎設施以對抗可能的風險，而不是依賴那些標準的、無法解決數(shù)據(jù)中心挑戰(zhàn)的安全策略?！?O:P>

　　美國前國家安全部門的技術負責人Ken Silva 現(xiàn)在是一家名為VeriSign 的軟件信息安全公司的首席技術專家，他認為對于那些想重新評價其數(shù)據(jù)安全狀況的企業(yè)來說，第一步就是列出所有數(shù)據(jù)資源的清單，尤其是客戶數(shù)據(jù)和其他的敏感性的信息，然后找出公司存在的不足之處，并且還要確定數(shù)據(jù)丟失之后給公司和客戶帶來的具體的不利影響。

　　管理更是存儲安全的基礎。一些公司的失誤導致重大損失?；ㄆ煦y行將他們在印度的呼叫中心的客戶服務業(yè)務外包給一個本地化團隊，結果外包團隊中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息，從而導致了大量的欺騙性采購，花旗銀行為此損失了42.5萬美金。而LexisNexis公司所犯下的錯誤，也因為沒有正確的對通過收購所獲得的數(shù)據(jù)倉庫公司——位于佛羅里達的Seisint公司的現(xiàn)存客戶進行篩選。這些看似細微的管理失誤其實都可能是致命的安全漏洞。 (CCW)