安全設(shè)備廠商��,服務(wù)提供商及咨詢顧問們也都紛紛探尋對(duì)策�。僅僅在這一個(gè)月,廠商就推出如下舉措:
- Kasten Chase基于他們的安全設(shè)備推出了一項(xiàng)審計(jì)服務(wù)體系以幫助用戶構(gòu)建安全的存儲(chǔ)基礎(chǔ)架構(gòu)并實(shí)現(xiàn)法規(guī)遵從的存檔管理�����。
- 數(shù)據(jù)保護(hù)公司Iron Mountain.啟動(dòng)了一項(xiàng)法規(guī)遵從記錄管理計(jì)劃(Compliant Records Management Program)�����,以幫助客戶評(píng)估諸如沙賓法案這些法規(guī)的遵從程度。
- NetApp.和安全設(shè)備公司Decru聯(lián)手推出了一款安全產(chǎn)品以期幫助商家實(shí)現(xiàn)強(qiáng)制性PCI(支付卡行業(yè))安全標(biāo)準(zhǔn)的遵從需求����。
法規(guī)遵從或安全服務(wù)(產(chǎn)品)都不是什么新話題��。它們之間的聯(lián)系正變得更加緊密�����。GlassHouse的首席技術(shù)官Jim Damoulakis說��,安全是他公司提供法規(guī)遵從咨詢服務(wù)的主要部分����,但并非他們客戶所優(yōu)先考慮的問題。
他還講道:“從廣泛的意義來說���,談及法規(guī)遵從問題�����,大多人將注意力集中在了數(shù)據(jù)留存上���,即怎樣長期存儲(chǔ)數(shù)據(jù)�,怎樣留存數(shù)據(jù)等��。但存儲(chǔ)的安全問題完全被忽略了�����。近期的一些新聞����,讓人們更加關(guān)注存儲(chǔ)安全問題。
最近不斷有磁帶丟失的事件被報(bào)道����,這之所以能公諸于眾,就是因?yàn)榉ㄒ?guī)遵從強(qiáng)制要求相關(guān)公司承認(rèn)過失責(zé)任��。
法規(guī)遵從對(duì)安全的要求有所增加�,主要有以下幾方面。首先��,法規(guī)要求公司保留某些敏感的個(gè)人信息數(shù)十年之久���,同時(shí)還要確保信息的私密性�。磁帶并不是唯一的軟肋,存儲(chǔ)在磁盤上的數(shù)據(jù)也存在許多安全隱患��。舉例來說���,SAN管理界面為那些居心不良的內(nèi)部人員提供數(shù)據(jù)中心所有信息的單獨(dú)的視圖��。更甚之�����,SAN的交換機(jī)或HBA卡都為來自內(nèi)部的攻擊提供了潛在的突破口。
Kasten Chaseq商業(yè)解決方案高級(jí)副總David de la Plante說:“存儲(chǔ)廠商只想著增長�、擴(kuò)張,成本縮減�,而非安全問題。因此存儲(chǔ)安全問題從未被認(rèn)真考慮過不足為奇��,正是法規(guī)遵從促使人們改變了看法�。”
GlassHouse的Damoulakis提到許多IT人士現(xiàn)在正在考慮為存儲(chǔ)系統(tǒng)設(shè)置與網(wǎng)絡(luò)相同的安全策略���,他說道:“人們最終還是只能轉(zhuǎn)而依賴改變密碼的方式來保證信息安全���。由于很多年以來人們一直認(rèn)為SAN似乎是獨(dú)立的個(gè)體�,安全人士并沒有對(duì)此關(guān)注�����?����!?/P>
在上周舉辦的網(wǎng)絡(luò)存儲(chǔ)行業(yè)協(xié)會(huì)(SNIA)的存儲(chǔ)安全行業(yè)論壇上��,作為第二項(xiàng)提案�����,法規(guī)遵從被列為最值得關(guān)注的安全問題之一���。
該論壇主席��、系統(tǒng)集成商Knowledge Transfer的管理合伙人LeRoy Budnik表示�,管理員安裝完存儲(chǔ)磁盤陳列或設(shè)備連接后�,即刻設(shè)置角色的密碼帳戶進(jìn)行管理,就可關(guān)閉存儲(chǔ)系統(tǒng)的后門�。
他還說:“不過至少需要有三個(gè)角色,即管理員��、安全人員和審計(jì)員,在這些角色與命名帳戶之間要有所聯(lián)系����。只有安全人員才可以將活動(dòng)日志存放于安全服務(wù)器。管理員的活動(dòng)將會(huì)被記錄在日志上�。不過,這僅僅是(存儲(chǔ)安全管理)的開始�。”
