當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽OA系統(tǒng) > 沈陽OA快博
存儲加密應(yīng)對數(shù)據(jù)失竊
以Vincent Fusca為例。他是美國新罕布什爾州達(dá)特茅斯學(xué)院臨床醫(yī)學(xué)中心的運(yùn)營總監(jiān),負(fù)責(zé)7TB的病人醫(yī)療數(shù)據(jù),這些數(shù)據(jù)供涉及5000萬美元研究經(jīng)費(fèi)的研究項目使用。Fusca說:“根據(jù)HIPAA法案的規(guī)定,我們要確保用最安全的方法保留和使用這些數(shù)據(jù)。如果這些數(shù)據(jù)丟失,我就死定了?!?O:P>
各公司在開發(fā)新一代數(shù)據(jù)中心架構(gòu)的過程中,越來越重視存儲系統(tǒng)的安全性。Enterprise Strategy Group的信息安全高級分析師Jon Oltsik說:“負(fù)責(zé)存儲系統(tǒng)的人們一直只重視性能和可用性,安全性在他們眼里不是問題。但是現(xiàn)在他們開始關(guān)注安全問題了。
Fusca采用Decru公司的專用加密設(shè)備保護(hù)存儲服務(wù)器和備份磁帶的信息安全。Kasten Chase Applied Research、NeoScale Systems、Vormetric等公司也都提供這類專用安全設(shè)備。當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)中的主機(jī)和遍布企業(yè)各處的存儲系統(tǒng)之間傳遞時,這些專用設(shè)備對數(shù)據(jù)進(jìn)行加密和解密。Fusca用Decru的DataFort把來自醫(yī)療保健信息系統(tǒng)的原始文件轉(zhuǎn)換成獨立的加密數(shù)據(jù)單元,供該中心的研究人員、分析師和程序員使用。
Nemertes Research的高級副總裁Andreas Antonopoulos說,過去,IT人員要保證數(shù)據(jù)安全,必須采用軟件。而軟件引起的性能下降幾乎無法忍受。他說:“專用設(shè)備采用尖端ASIC,所有加密工作都在硬件中完成,可實現(xiàn)更高的性能。”
限制加密范圍
Antonopoulos說,對數(shù)據(jù)加密,尤其是對超出高層IT管理人員的物理控制范圍、被帶到別處的備份數(shù)據(jù)加密,是個好注意。他認(rèn)為,尤其是那些加利福尼亞州SB1386等法規(guī)適用的公司,更應(yīng)該這么做。因為這些法規(guī)規(guī)定,如果數(shù)據(jù)失竊,必須在30天之內(nèi)通知失竊數(shù)據(jù)可能涉及的雇員和客戶。但是“加密數(shù)據(jù)不在此列。因此通過加密,可以保護(hù)自己的品牌形象免受損失?!?O:P>
專家們認(rèn)為,盡管對所有數(shù)據(jù)加密可以保證萬無一失,但是最好的做法還是有選擇地加密數(shù)據(jù)。按揭貸款公司Ocwen Financial的副總裁Dale Pickford說,他只對大約200TB數(shù)據(jù)加密,這在其所存儲的數(shù)據(jù)總量中僅占5%。他補(bǔ)充說,對所有數(shù)據(jù)加密成本太高,也太浪費(fèi)時間。
Pickford說,首先需要加密的是含有潛在身份信息的數(shù)據(jù),如姓名、地址、社會保險號、生日等,任意組合這些信息都可以確定某人的身份。其次需要加密的是貸款、信用狀態(tài)、賬戶等細(xì)節(jié)信息。最后需要鎖定“業(yè)務(wù)敏感”材料。另外,還要保證不想讓競爭對手得到的那些信息的安全。
管理加密數(shù)據(jù)
一旦確定了哪些數(shù)據(jù)需要加密,就必須決定怎樣解密這些數(shù)據(jù)以及按照什么規(guī)則解密。
Pickford采用的是Vormetric公司的CoreGuard加密引擎。他建議,關(guān)于誰能看到加密數(shù)據(jù)和怎樣使用加密數(shù)據(jù),要制定嚴(yán)格的策略。他說:“必須由合適應(yīng)用中的合適用戶使用合適的機(jī)器訪問合適的數(shù)據(jù)庫。別無他法?!?O:P>
他甚至為其下屬的IT部門員工制定了嚴(yán)格的數(shù)據(jù)訪問策略。
Fusca則把數(shù)據(jù)分門別類,然后按照所制訂的訪問協(xié)議,分別裝入不同的“保密容器”中,這些訪問協(xié)議規(guī)定誰可以訪問什么信息。他解釋說:“我們有4個程序員、5個分析師和6個或7個研究員,他們需要不同的病人信息。這些人員登錄系統(tǒng)以后,只能訪問到他們可以訪問的那部分信息?!?O:P>
Antonopoulos說,高層IT管理人員需要全面控制密鑰建立和管理過程。“如果沒有非常強(qiáng)大的密鑰管理系統(tǒng),可能丟失所有數(shù)據(jù)。要確保了解密鑰管理和密鑰使用條件的所有含意和細(xì)節(jié)。”
另外,還要定期測試密鑰系統(tǒng)。他說:“必須備份密鑰,并確定好密鑰和磁帶的恢復(fù)方法,以防發(fā)生災(zāi)難。備份與恢復(fù)缺一不可,因為它們一損俱損。不僅要測試系統(tǒng),還要測試整個備份恢復(fù)過程。磁帶在哪里?密鑰在哪里?怎樣得到這些磁帶和密鑰?”
Antonopoulos指出,還要考慮加密標(biāo)準(zhǔn)問題。盡管有些專用設(shè)備支持多種標(biāo)準(zhǔn),但是也有些只局限在一個標(biāo)準(zhǔn)上。要根據(jù)自己的數(shù)據(jù)存儲需求選擇所需標(biāo)準(zhǔn)?!叭绻行?shù)據(jù)需要長時間保持機(jī)密狀態(tài),那么就需要設(shè)備支持高級加密標(biāo)準(zhǔn)(Advanced Encryption Standard)和大型密鑰?!比绻麛?shù)據(jù)不那么重要,支持DES就足夠了。
安全審計不可或缺
成功實施存儲加密的另一個重要方面是在安全審計中加入存儲部分。Oltsik說:“應(yīng)該進(jìn)行全面的安全審計,將存儲基礎(chǔ)設(shè)施、(訪問存儲系統(tǒng)的)人員和物理安全包括進(jìn)去。如果有人帶著數(shù)據(jù)磁帶出去或者侵入了網(wǎng)絡(luò),也是非同小可的事情,仍然屬于數(shù)據(jù)失竊?!?O:P>
Oltsik建議,還要進(jìn)行風(fēng)險分析,看在成本和性能方面IT部門能夠承受多大的額外開銷。他說:“盡管存在最低額外開銷,但它仍然是額外開銷。如果要保證數(shù)據(jù)安全,就要接受這筆額外開銷。有一個美洲銀行這樣的事故,就足以讓人們認(rèn)識到,3萬美元的投資是值得的。”
來源:CCW
- 1軟件項目量化管理方法
- 2自動化機(jī)房管理方法
- 3如何讓身份認(rèn)證管理省時又省錢
- 4沈陽地區(qū)OA辦公自動化系統(tǒng)哪家做得比較好呢?
- 5數(shù)據(jù)分類的方法
- 610種PowerPoint常見誤用
- 7計算機(jī)病毒的“罪與罰”
- 8超小型UPS選購技巧
- 9數(shù)據(jù)備份之旅:磁盤與磁帶的博弈
- 10計算機(jī)輔助工業(yè)設(shè)計技術(shù)發(fā)展?fàn)顩r與趨勢
- 11安全什么是“主動”的真義
- 12如何從體系結(jié)構(gòu)上避免DoS攻擊
- 13協(xié)鑫集團(tuán)CIO渠本強(qiáng):知識管理驅(qū)動業(yè)務(wù)創(chuàng)新
- 14Linux系統(tǒng)管理技巧大薈萃
- 15小心撥號連接欺騙
- 16縱論城域網(wǎng)
- 17企業(yè)信息資源管理的五個基礎(chǔ)標(biāo)準(zhǔn)
- 18安全服務(wù)的迷途
- 19千兆IDS的“真假之辨”
- 20談項目管理和軟件測試過程(三)
- 21千兆網(wǎng)綜合布線系統(tǒng)設(shè)計與測試
- 22對付“網(wǎng)頁仿冒”的四種方法
- 23如何配置VLAN基礎(chǔ)架構(gòu)
- 24ITIL、COBIT、CMMi、ISO、17799框架大揭秘
- 25數(shù)據(jù)“集線器”開始抬頭
- 26微軟新開發(fā)技術(shù)一瞥
- 27Linux商業(yè)應(yīng)用現(xiàn)狀
- 28災(zāi)難恢復(fù)第一步:應(yīng)災(zāi)文檔
- 29Cisco管理員必備的三個工具
- 30網(wǎng)絡(luò)安全:企業(yè)“終端壞死癥”的七個跡象
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓