如今信息大量以電子形式進行處理、存放和傳輸�,其中大量的數(shù)據(jù)也具有非常重要的價值,有些數(shù)據(jù)的價值可能占據(jù)公司價值的一個很大的比例����。為此我們同樣需要考慮這些數(shù)據(jù)的處理、存放和傳輸過程中需要防止損壞和被盜等事件發(fā)生����,這就要求我們針對數(shù)據(jù)損壞(價值損壞或消失)和被盜(價值轉(zhuǎn)移)進行不同的處理方式。
1. 防止數(shù)據(jù)的損壞(數(shù)據(jù)可靠)
* 數(shù)據(jù)可靠綜述
如今���,企業(yè)機密信息大量以電子文檔方式存在���,而電子文檔主要存放在磁盤系統(tǒng)上。目前雖然磁盤相對比較穩(wěn)定�,但是大量的信息都存放在磁盤上,一旦發(fā)生損壞����,如果數(shù)據(jù)只有這個損壞磁盤上的一個拷貝,那么將完全丟失����,在這些信息已經(jīng)成為極其重要的資產(chǎn)的現(xiàn)代社會,對一個企業(yè)來說�,嚴(yán)重情況下將是致命的。9?11發(fā)生之后���,世貿(mào)大廈中那些沒有數(shù)據(jù)災(zāi)難備份的公司紛紛倒閉����,而那些考慮到數(shù)據(jù)容災(zāi)的公司,在災(zāi)難發(fā)生幾天到個把月的時間就恢復(fù)業(yè)務(wù)運行了����,可見數(shù)據(jù)可靠是多么的重要����。
* 數(shù)據(jù)可靠需要考慮的問題
1.主要先考慮數(shù)據(jù)磁盤發(fā)生故障的時候數(shù)據(jù)的可靠,這里主要可以應(yīng)用RAID系統(tǒng)來解決�����。RAID的英文全稱為Redundant Array of Inexpensive(或Independent) Disks��,而不是某些詞典中所說的“Redundant Access Independent Disks”���。中文名稱是廉價(獨立)磁盤冗余陣列���。
RAID的初衷主要是為了大型服務(wù)器提供高端的存儲功能和冗余的數(shù)據(jù)安全。在系統(tǒng)中����,RAID被看作是一個邏輯分區(qū)���,但是它是由多個硬盤組成的(最少兩塊)。它通過在多個硬盤上同時存儲和讀取數(shù)據(jù)來大幅提高存儲系統(tǒng)的數(shù)據(jù)吞吐量(Throughput)�,而且在很多RAID模式中都有較為完備的相互校驗/恢復(fù)的措施,甚至是直接相互的鏡像備份��,從而大大提高了RAID系統(tǒng)的容錯度����,提高了系統(tǒng)的穩(wěn)定冗余性,這也是Redundant一詞的由來��。
在這些數(shù)據(jù)價值遠遠大于用于存放數(shù)據(jù)的磁盤價值的今天���,通過增加磁盤數(shù)量(降低硬盤的利用率)來保障數(shù)據(jù)安全是非常值得的���。
一般可以考慮使用RAID1,RAID3��,RAID5和RAID6等技術(shù)�。
2. 存儲系統(tǒng)完成之后,我們需要考慮整個網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的可靠�。
RAID技術(shù)保障了存儲系統(tǒng)中硬盤出現(xiàn)故障的時候數(shù)據(jù)的可靠�,但是當(dāng)今數(shù)據(jù)往往在網(wǎng)絡(luò)上使用����,僅僅存儲系統(tǒng)數(shù)據(jù)可靠,但網(wǎng)絡(luò)出現(xiàn)故障引起數(shù)據(jù)不能使用也是不能允許的���,這就需要考慮整個網(wǎng)絡(luò)系統(tǒng)的問題��。
隨著計算機的激增����,大量的不兼容性導(dǎo)致數(shù)據(jù)的獲取日趨復(fù)雜����。因此采用廣泛使用的局域網(wǎng)加工作站族的方法就對文件共享�、互操作性和節(jié)約成本有很大的意義。NAS包括一個特殊的文件服務(wù)器和存儲
NAS服務(wù)器上采用優(yōu)化的文件系統(tǒng)��,并且安裝有預(yù)配置的存儲設(shè)備��。由于NAS是連接在局域網(wǎng)上的����,所以客戶端可以通過NAS系統(tǒng)����,與存儲設(shè)備交互數(shù)據(jù)���。
一個存儲網(wǎng)絡(luò)是一個用在服務(wù)器和存儲資源之間的�、專用的��、高性能的網(wǎng)絡(luò)體系��。它為了實現(xiàn)大量原始數(shù)據(jù)的傳輸而進行了專門的優(yōu)化����。因此,可以把SAN看成是對SCSI協(xié)議在長距離應(yīng)用上的擴展����。
SAN的市場主要集中在高端的、企業(yè)級的存儲應(yīng)用上��。這些應(yīng)用對于性能���、冗余度和可獲得性都有很高的要求���。
當(dāng)對SAN和NAS進行比較時���,這兩種相互競爭的技術(shù)實際上是互補的。SAN和NAS是在不同用戶需求的驅(qū)動下的獨立事件��。SAN是以數(shù)據(jù)為中心的��,而NAS是以網(wǎng)絡(luò)為中心的����。概括來說,SAN具有高帶寬塊狀數(shù)據(jù)傳輸?shù)膬?yōu)勢�����,而 NAS則更加適合文件系統(tǒng)級別上的數(shù)據(jù)訪問�。
目前DAS����、SAS(Server Attached Storage)、SAN和NAS之間的區(qū)別正在變得模糊����,所有的技術(shù)都需在用戶的存儲需求下接受挑戰(zhàn)。傳統(tǒng)的客戶端服務(wù)器的計算模式將會演化成具有任意連接性的全球存儲網(wǎng)絡(luò)����。在那種情況下����,數(shù)據(jù)的利用率會得到提高�,分布式數(shù)據(jù)也會得到更加優(yōu)化的存儲。
只有采用了存儲虛擬化的技術(shù)�����,才能真正屏蔽具體存儲設(shè)備的物理細節(jié)�����,為用戶提供統(tǒng)一集中的存儲管理��。采用存儲虛擬化技術(shù)�����,用戶可以實現(xiàn)存儲網(wǎng)絡(luò)的共用設(shè)施目標(biāo)����。
1、存儲管理的自動化與智能化
在虛擬存儲環(huán)境下,所有的存儲資源在邏輯上被映射為一個整體���,對用戶來說是單一視圖的透明存儲���,而單個存儲設(shè)備的容量、速度等物理特性卻被屏蔽掉了���。
2�、提高存儲效率
主要表現(xiàn)在消除被束縛的容量�����,整體使用率達到更高的水平����。
3、減少總體擁有成本(TCO)���,增加投資回報(ROI)
采用存儲虛擬化技術(shù),可以支持物理磁盤空間動態(tài)擴展����,這樣用戶現(xiàn)有的設(shè)備不必拋棄,可以融入到系統(tǒng)中來,保障了用戶的已有投資��;從而降低了用戶TCO���,實現(xiàn)了存儲容量的動態(tài)擴展���,增加了用戶的ROI。
2. 防止數(shù)據(jù)的被盜(數(shù)據(jù)安全)
* 安全風(fēng)險綜述
如今��,企業(yè)機密信息大量以電子文檔方式存在�����,而電子文檔是很容易散播的��。為此我們需要防止數(shù)據(jù)的泄密�,在對付外部人員非法訪問的時候,我們可以通過防火墻���、入侵檢測等防護系統(tǒng)進行防護����,但是目前大量的信息泄密手段往往是最直接的收買�、拷貝方式。這時,防火墻����、入侵檢測等防護系統(tǒng)就是形同虛設(shè),根本起不到任何保護作用����。因為防火墻或?qū)>W(wǎng),只是解決了外部人員非法訪問的問題�,不能解決內(nèi)部人員通過電子郵件、移動硬盤或筆記本電腦把電子文檔進行二次傳播的問題�。
據(jù)調(diào)查, 企業(yè)機密泄露 30%-40%是由電子文件的泄露造成的�;
☆ Fortune排名前1000家的公司,每次電子文件泄露造成的損失平均是50萬美元���。
☆ 對中國 500家大型企業(yè)作的調(diào)查發(fā)現(xiàn)����,國內(nèi)的企業(yè)對電子文檔幾乎沒有任何防護措施����。有保護措施的不到3%,一些機密性的資料���、電子文檔�,輕易的就可以通過電子郵件和移動硬盤泄密到網(wǎng)絡(luò)外部��。
☆ 在工業(yè)化時代���,世界最大的商業(yè)秘密��,代號 7X的可口可樂配方���,采取了嚴(yán)密的保護措施,為可口可樂公司贏得了超過800億美元的無形資產(chǎn)的安全���。
☆ 中國千年絕活 “景泰藍”制瓷技術(shù)���、“紙中之王”中國宣紙等技術(shù)被竊,為企業(yè)帶來了難以估量的損失����。
FBI和CSI對484家公司調(diào)查,發(fā)現(xiàn):
△ 超過 85%的安全威脅來自企業(yè)內(nèi)部����。
△ 16%來自內(nèi)部未授權(quán)的存?�?����;
△ 14%專利信息被竊?����?��;
△ 12%內(nèi)部人員的財務(wù)欺騙;
△ 11%資料或網(wǎng)絡(luò)的破壞����;
△ 防病毒、防火墻�、入侵檢測、物理隔離不再是保護信息安全的法寶�����。
△ 無線上網(wǎng)����、移動通訊��、活動硬盤在給人們帶來方便和高效的同時��,隨時有可能被截取、仿冒����、偵聽;
△ 筆記本電腦使用便捷����,但人們也開始意識到由于遺失、被盜帶來的泄密現(xiàn)象的嚴(yán)重性���。
因此����,我們需要對信息內(nèi)容本身進行安全防范���,做到防止拷貝�,防止二次傳播����,這樣的信息安全技術(shù)才是真正可靠的技術(shù)����。對企業(yè)機密信息管理來說��,需要考慮信息內(nèi)容本身的安全�。
一般說來,計算機網(wǎng)絡(luò)存在著以下的安全風(fēng)險及需要采取的安全對策:
以上表格具體描述了數(shù)據(jù)安全的問題����,基本上可以通過加強網(wǎng)絡(luò)安全,操作系統(tǒng)安全等實現(xiàn)�。然而其中超過85%的安全威脅來自企業(yè)內(nèi)部。作為企業(yè)機密管理者肯定知道���,真正核心數(shù)據(jù)防擴散技術(shù)�,需要對信息內(nèi)容本身先進行加密���,然后在此基礎(chǔ)上再進行安全防范���,做到防止拷貝,防止二次傳播���,這樣的信息安全技術(shù)才是真正可靠的技術(shù)�����。所以�,針對企業(yè)機密信息管理來說,我們重點需要考慮信息內(nèi)容本身的安全����。
談到對信息內(nèi)容進行加密����,我們一般首先想到的是運用一些常見的加密軟件,通過對敏感的文件或數(shù)據(jù)設(shè)置密碼��,這樣在訪問這些文件的時候需要知道這些文件的訪問密碼��,通過輸入正確的密碼�����,才能訪問這些文件或數(shù)據(jù)�����。每次保密前要設(shè)置密碼�����,查看時也要輸入解密碼,費時費力不說���,最大的弊病是這一切都要靠我們?nèi)藶橹鲃拥?、有意識地去保密���。但試想一下�,當(dāng)一個本企業(yè)的內(nèi)部人員(他本身平時就能經(jīng)常接觸這些資料的)想帶出該企業(yè)的一些核心資料的話���,他完全可以不主動去加密這些文件(就算加密了���,因為他需要處理這些數(shù)據(jù),當(dāng)然也知道密碼�����,加密了對于這樣的人也是沒有用的)��,從而將這些重要的資料一次性大批量的拷貝走啊�����。這樣的加密技術(shù),對于預(yù)防企業(yè)內(nèi)部人員的泄密�����,又有多大的作用呢����?
所以我們覺得,需要一款好的企業(yè)核心數(shù)據(jù)防擴散加密軟件�,它必須具備以下幾個基本條件:
1、加密的強制性
不管你愿意還是不愿意�����,企業(yè)內(nèi)部產(chǎn)生的一些核心數(shù)據(jù)都要被強制性的加密���,而且在生成文件時就對產(chǎn)生的文件進行強制性保護控制;
2�、加密解密的方便性(無密鑰加密)
時間是寶貴的,我們不希望每次加密文件時輸入密碼�,查看文件時也要輸入密碼。我們希望我們的核心數(shù)據(jù)防擴散加密軟件能夠自動辨識出哪些是本單位并經(jīng)過授權(quán)的電腦����,記住這些電腦的硬件環(huán)境���。在這些電腦上,我們無需輸入密碼就可以輕松打開文件(這樣“內(nèi)賊”也就不知道如何解密了)���,因為我們文件的解密碼��,就是這些經(jīng)過授權(quán)的電腦的硬件環(huán)境�,而且只有在企業(yè)網(wǎng)絡(luò)環(huán)境中才能自動解密�����,出了這個環(huán)境就無法解密了���。
3���、加密解密的自動性和快捷性
我們的要求,在你這些重要數(shù)據(jù)產(chǎn)生的時候���,我們的加密軟件必須要能實時自動跟蹤��,并對這些文件進行自動加密��,打開文件的瞬間�����,對這些文件進行自動解密�,整個加密過程無需我們?nèi)斯じ深A(yù)。就是打開一個未加密文件時�,不管有沒有對該文件進行編輯,能夠自動對該文件進行加密���,并且不影響應(yīng)用程序的正常運行及文件的正常使用���。加密狀態(tài)的文件在電腦上可以雙擊直接打開,并可以對它們進行正常的編輯和修改�����,使用上和沒加密的普通文件沒有任何區(qū)別����。系統(tǒng)在后臺自動運行����,對使用人員是透明的,不需任何操作動作。不改變已有的使用習(xí)慣�,生成的加密文件對設(shè)計系統(tǒng)不產(chǎn)生任何影響。在同一公司內(nèi)部只要都安裝了同一系統(tǒng)的電腦上�,文件可以正常流通,不受到限制���。
4����、加密資料的安全性和唯一性
企業(yè)的一些核心數(shù)據(jù)是我們企業(yè)的無形財富����。為了更安全地保護我們這些資料,必須要求我們加密技術(shù)的高強度性�����,被加密了的文件無法破解(破解所需的花費要遠遠大于數(shù)據(jù)價值)����。同時我們還要確保同樣用這種核心數(shù)據(jù)防擴散加密軟件,企業(yè)的資料不能互相打開���,這就是每個單位資料解密密鑰的唯一性���。
5�、方便對外交流
當(dāng)企業(yè)需要對外交流的時候�,某些密級不高的文件需要解密(但是需要高層領(lǐng)導(dǎo)審核,普通員工不能對任何文件進行解密操作)����,這就需要方便高層領(lǐng)導(dǎo)對部分需要解密的文件進行解密操作。
3. 總結(jié)
綜上所述����,我們現(xiàn)在對數(shù)據(jù)的存放、處理和傳輸過程需要加倍的注意�����,不要當(dāng)意外發(fā)生的時候說:“曾經(jīng)有一份珍貴的數(shù)據(jù)放在我的電腦中��,我沒有珍惜�����,當(dāng)失去的時候才追悔莫及���。如果上天能夠再給我一次機會的話����,我會對那份數(shù)據(jù)說:‘我要小心處理�。’如果一定要對這個小心加個程度的話����,我會說:‘一萬分!’”
本文節(jié)選自《信息存儲》雜志2006年度特刊��,點擊此處瀏覽全部文章����。
想要免費申請訂閱《信息存儲》雜志,請點擊此處�。
