很多人表示��,在通讀了這六件可怕的數(shù)據(jù)泄露案件之后�,才突然意識到數(shù)據(jù)保護和數(shù)據(jù)安全的重要性,甚至表示非常的"后怕"���,因為這些案件的故事差一點就在自己的IT系統(tǒng)上重演���。
其實����,就在發(fā)布此次的著名數(shù)據(jù)泄露案件時,另一起巨大的數(shù)據(jù)泄露事件又發(fā)生了:英國政府向外界披露��,經(jīng)過財政大臣達林證實,英國皇家稅務及海關總署在郵寄過程中丟失了兩張重要數(shù)據(jù)光盤���,其中包括約2500萬人的個人資料和銀行信息�����,而整個英國的人口在去年剛剛突破6000萬大關�����。
對此����,我們不禁要問��,上演這一幕幕數(shù)據(jù)泄露事件的公司�����,有最注重數(shù)據(jù)保護的金融集團��,有國家級的重點實驗室����,有管理森嚴的國家政府���,如果說這些都不足為奇的話,那么軍方機構和企業(yè)安全軟件公司的數(shù)據(jù)泄露又是為什么呢���?
安全意識 百談不厭
看了文章開頭英國政府剛剛出現(xiàn)的事件�,恐怕很難相信�����,一個國家政府機構會用郵寄光盤的方式�,將全國近一半人口的資料曝露于危險之中。
無論是媒體����、廠商還是第三方機構,對于企業(yè)必須重視數(shù)據(jù)保護和數(shù)據(jù)安全的問題已經(jīng)談過不下千遍了���,市場上出現(xiàn)的廠商越來越多���、新技術層出不窮,顧問�����、集成商和其他方案供應商也不斷在"教育市場�����,教育用戶"���。企業(yè)的IT架構規(guī)模越來越大�,手頭的安全設備也不斷增加�����。
隨著在數(shù)據(jù)安全和數(shù)據(jù)保護方面的工作越來越大�����,從支持筆記本電腦的信息到保護歸檔和管理安全密鑰����,數(shù)據(jù)保護工作做的越來越徹底,越來越復雜�,這些"假象"使得我們–包括企業(yè)、廠商�����、第三方機構和媒體輿論都一度相信:數(shù)據(jù)保護已經(jīng)成為包括存儲經(jīng)理在內(nèi)的大多數(shù)IT人士的最優(yōu)先考慮事項。
但是����,我們都錯了。
根據(jù)企業(yè)策略集團ESG(Enterprise Strategy Group)針對288位存儲專業(yè)人士的調(diào)查結果��,其中30%的人明確表示他們公司的安全策略中并沒有包含存儲系統(tǒng)�����,還有20%的人并不知道或不能夠說出他們公司的存儲安全是否被攻破����。
而事實恰好佐證了ESG的這項調(diào)查:我們所刊載的六件著名數(shù)據(jù)泄露案件,泄露的原因包括:讓工作人員攜帶存儲重要數(shù)據(jù)的磁帶�����、光盤等介質(zhì)外出��、關鍵數(shù)據(jù)不進行嚴格加密��、沒有建立完善的入侵檢測和防御體系�、工作人員沒有執(zhí)行安全策略�����、將重要數(shù)據(jù)保存在員工的個人筆記本電腦上。
我們真的很難說企業(yè)的安全意識已經(jīng)足夠強了�����,實際上���,就在前幾天與一個系統(tǒng)管理員聊天的時候��,他還在抱怨�,其所在公司目前還只是靠個人殺毒軟件和防火墻保護公司會計的電腦����,當他希望能夠批些預算來保護數(shù)據(jù)的時候,得到的回答是:反正也沒出過問題���,這筆錢就省下吧����!
從上面的例子可以看出���,目前部門企業(yè)對于數(shù)據(jù)保護和數(shù)據(jù)安全的意識仍然淡薄���,而即使是對此已經(jīng)引起"重視"的企業(yè)��,他們的重視程度大部分也只是停留在表面之上�。
人為因素仍是最大隱憂
與企業(yè)對于數(shù)據(jù)保護與數(shù)據(jù)安全意識的淡薄相伴的���,是人為因素的越發(fā)顯現(xiàn)����,從我們所刊發(fā)的六件數(shù)據(jù)泄露案件來看�,其中包括了員工隨意攜帶數(shù)據(jù)存儲介質(zhì)、對敏感數(shù)據(jù)不進行加密���、私自進行偷盜犯罪以及將敏感數(shù)據(jù)存儲在自己的筆記本電腦等數(shù)據(jù)存儲介質(zhì)上等諸多問題��。
作為存儲管理��、系統(tǒng)配置���、策略制定并執(zhí)行的載體,存儲管理員以及所有的能夠接觸企業(yè)數(shù)據(jù)的人員都對企業(yè)的數(shù)據(jù)負有極大數(shù)據(jù)保護與數(shù)據(jù)安全責任�,換句話說�,保護數(shù)據(jù)不泄露不丟失是他們的必要工作�����,一直以來�,他們這些人中的大部分都做得不錯,但正是這種"做的不錯"���,滋生了一種對于人為控制和員工能力的過分自信與依賴,這種信任就像我們相信在我們身邊為我們修電腦的"電腦高手"或是那些偶然能夠用"土法偏方"偶然治愈病人小恙的江湖大夫�����,隨著企業(yè)對這類人群的逐步加深信任并放松警惕�����,再加上他們本身的自信不斷膨脹���,他們逐步開始將企業(yè)制定的存儲策略拋之腦后���,慢慢的開始對數(shù)據(jù)保護和數(shù)據(jù)安全問題產(chǎn)生麻木的感覺,接下來�����,人為造成的數(shù)據(jù)泄漏也就成為了必然。
近一段時間以來�,我們看到了存儲自動化市場的興旺,包括惠普在內(nèi)的國際廠商都在進入這個新興的市場���,在此之前�,數(shù)據(jù)中心自動化技術一直都將存儲管理排斥在外�,而現(xiàn)在,存儲自動化技術的到來與人為因素造成存儲問題頻發(fā)息息相關����。
很多用戶因為怕失去對存儲系統(tǒng)配置的自主權與控制權,于是對存儲自動化技術有些拒之千里�,這恰恰顯示出了他們對于自身的自信,在這種自信下�����,我們往往看到的是不去執(zhí)行已經(jīng)制定的數(shù)據(jù)存儲策略或是干脆就沒有制定數(shù)據(jù)存儲策略��。
我們必須明白�����,對于企業(yè)的數(shù)據(jù)保護和數(shù)據(jù)安全,必須重視企業(yè)內(nèi)部的人為因素��,并且通過嚴格執(zhí)行企業(yè)安全策略來防止人為因素再次"作惡"��。
不要給廠商100%的信賴
在我們刊發(fā)的最后一個案件中�,Iron Mountain成為了問題的始作俑者,這個存儲業(yè)界的重要廠商�,自從2005年起就因一系列的數(shù)據(jù)保護失敗而聞名:包括"時代華納"磁帶丟失事件,在加拿大和英國設備被燒事件���,盜用用戶數(shù)據(jù)事件,以及最近發(fā)生的有關幾十萬路易斯安那大學生數(shù)據(jù)丟失事件���。
而在最近進行的民意調(diào)查中�����,150名回復者中超過55%的人認為Iron Mountain公司對有關他們業(yè)務的數(shù)據(jù)丟失問題根本沒有解釋清楚�,由此可以看出�����,Iron Mountain公司的磁帶傳輸和物理數(shù)據(jù)保護業(yè)務是有風險的����。
對此�,分析師們認為�,用戶,而不是Iron Mountain公司應該首當其沖確保數(shù)據(jù)受到保護�����,因為:那是用戶自己的數(shù)據(jù)��。
企業(yè)的數(shù)據(jù)都存儲在各種各樣的存儲廠商提供的產(chǎn)品上����,而那些存儲廠商也在不斷的宣傳自己的數(shù)據(jù)保護技術如何高超,保護在其設備上的數(shù)據(jù)多么安全����,但是用戶們要記得,那些數(shù)據(jù)是自己的�,而不是存儲廠商的,他們并未真正重視你的數(shù)據(jù)�����,對此�,專家的建議是��,盡可能取消那些可移動可拆卸的存儲介質(zhì)�,定期檢查存儲廠商提供的存儲設備的運轉(zhuǎn)情況���,組織專家評估存儲廠商提供的存儲系統(tǒng)–尤其是數(shù)據(jù)保護和數(shù)據(jù)安全的部分����。
說到這里��,我們提醒了用戶要加強數(shù)據(jù)保護意識�����,不要以為已經(jīng)風平浪靜����,要避免人為因素制定保護策略����,并且絕對不要妄自尊大,而最后��,我們更是告訴用戶們��,要自己對自己的數(shù)據(jù)負責,而不是相信那些賣給你設備的存儲廠商會真的把你的事情當真�。當我們詳細的看完這篇文章時,我想企業(yè)對如何保護數(shù)據(jù)有了一個最基本的認識����,那就是:到頭來,數(shù)據(jù)保護和數(shù)據(jù)安全工作����,還要靠自己!
昊觀存儲:
企業(yè)的數(shù)據(jù)都存儲在各種各樣的存儲廠商提供的產(chǎn)品上��,而那些存儲廠商也在不斷的宣傳自己的數(shù)據(jù)保護技術如何高超����,保護在其設備上的數(shù)據(jù)多么安全,但是用戶們要記得��,那些數(shù)據(jù)是自己的���,而不是存儲廠商的�,他們并未真正重視你的數(shù)據(jù)����,對此�����,專家的建議是���,盡可能取消那些可移動可拆卸的存儲介質(zhì),定期檢查存儲廠商提供的存儲設備的運轉(zhuǎn)情況���,組織專家評估存儲廠商提供的存儲系統(tǒng)–尤其是數(shù)據(jù)保護和數(shù)據(jù)安全的部分���。
