圖1:風(fēng)險矩陣

對公司造成的經(jīng)濟(jì)損失(Impact)計算，不僅僅包括直接的金錢損失，還包括喪失的員工生產(chǎn)力、顧客信譽和企業(yè)名譽等，這些都會受到數(shù)據(jù)泄漏帶來的影響。Probability是指泄漏發(fā)生的可能性。

正如圖1所示，不是所有的風(fēng)險都是相等的。如果花費大量金錢、時間或者精力來保護(hù)那些low impact和低可能性的數(shù)據(jù)資產(chǎn)，將會是資金浪費。有時候政府或者行業(yè)法規(guī)會要求保護(hù)某種類型的數(shù)據(jù)，但是這種數(shù)據(jù)卻是低影響力低泄漏率。在這種情況 下，不遵守合規(guī)的費用(即使沒有發(fā)生數(shù)據(jù)泄漏)也需要考慮進(jìn)來。

數(shù)據(jù)存儲技術(shù)

數(shù)據(jù)存儲世界正在逐漸變得復(fù)雜化和變化多端，從將數(shù)據(jù)保存在文件服務(wù)器的小型企業(yè)到運行數(shù)據(jù)倉庫的大型企業(yè)等，都采用不同的存儲技術(shù)。常見的存儲技術(shù)包括：

• Direct Attached Storage (DAS，直接附加存儲)：最傳統(tǒng)的存儲方式，一個或者多個盤直接附加在服務(wù)器上，包括數(shù)組(RAID)等。

• Network Attached Storage (NAS，網(wǎng)絡(luò)附加存儲)：與網(wǎng)絡(luò)連接的獨立式專門的數(shù)據(jù)存儲系統(tǒng)，運行一個精簡的操作系統(tǒng)來支持存儲和文件系統(tǒng)，并使用基于文件的協(xié)議(如NFS或者SMB/CIFS)。

• Storage Area Network (SAN，村粗區(qū)域網(wǎng)絡(luò))：將遠(yuǎn)程存儲設(shè)備附加到服務(wù)器，允許設(shè)備作為本地存儲，使用協(xié)議包括SCSI/iSCSI、Fibre Channel Protocol (FCP)、Fibre Channel over Ethernet、ATA over Ethernet。

• Network Unified Storage (NUS，網(wǎng)絡(luò)統(tǒng)一存儲)： 將基于文件和基于塊的訪問存儲在一個存儲平臺，結(jié)合了SAN和NAS模塊。

從使用的存儲技術(shù)來看，安全問題和保護(hù)技術(shù)是獨立的。分布的數(shù)據(jù)存儲使安全問題進(jìn)一步復(fù)雜化。例如，EMC的FAST(全自動存儲分層)能夠自動將數(shù)據(jù)在安全層內(nèi)進(jìn)行定位。這意味著你不一定需要知道特殊文件的未知，另一方面，它也能夠增加入侵者攻擊某種文件的難度。

虛擬化從很多方面改變了計算世界。"存儲虛擬化"是一個新的IT詞匯，這個詞讓行業(yè)內(nèi)外的人們多少感覺有些迷惑。全球網(wǎng)絡(luò)存儲工業(yè)協(xié)會 (SNIA)把存儲虛擬化定義為"從應(yīng)用程序、主機計算機或者一半網(wǎng)絡(luò)資源提取、隱藏或者隔離存儲子系統(tǒng)或者服務(wù)的內(nèi)部功能"。虛擬化可以使基于主機或者基于網(wǎng)絡(luò)的。SAN虛擬化解決方案集合所有的或者部分的物理盤到池，并重新分布必須的資源到應(yīng)用程序服務(wù)器。問題是，訪問控制機制是針對具體傳輸?shù)?如IP SAN或者FC SAN)，標(biāo)準(zhǔn)(如FC-SP等)只能保護(hù)通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，而不能保護(hù)存儲的數(shù)據(jù)。

讓事情變得更復(fù)雜的是，有些公司現(xiàn)在開始轉(zhuǎn)向云計算(公共或者私有)來存儲他們的數(shù)據(jù)，這樣確實能夠節(jié)省開支，因為你不需要花費設(shè)備開支，只需要支付一部分資金。但是將你的數(shù)據(jù)交付給外部的云供應(yīng)商，例如Amazon的Simplye Storage Service(S3)，也會對數(shù)據(jù)帶來一定的威脅，因為數(shù)據(jù)已經(jīng)不受企業(yè)掌控了。

數(shù)據(jù)保護(hù)技術(shù)

政府和行業(yè)規(guī)則通常沒有規(guī)定需要使用特定的技術(shù)來保護(hù)數(shù)據(jù)，這是很有道理的，因為技術(shù)總是在變化，而政府部門通常跟不上技術(shù)變化的步伐。另外，法律和法規(guī)通常是為了實現(xiàn)某種目的：如保護(hù)客戶的個人信息不被泄漏給第三方等，而采用怎樣的技術(shù)實現(xiàn)這個目的就取決于你自己了。

存儲數(shù)據(jù)需要采用與保護(hù)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)使用的保護(hù)技術(shù)所不同的技術(shù)，包括存儲數(shù)據(jù)的技術(shù)可以分為以下幾個類別：

• 訪問控制技術(shù)

• 數(shù)據(jù)加密技術(shù)

• 審計/監(jiān)控技術(shù)

• 保護(hù)數(shù)據(jù)免受破壞技術(shù)

• 備份和災(zāi)難恢復(fù)技術(shù)

保護(hù)技術(shù)可以是物理性的(如鎖在服務(wù)器房間內(nèi)來預(yù)防物理偷竊或者數(shù)據(jù)破壞)、硬件的或者軟件的。基于軟件的保護(hù)技術(shù)可以安裝在操作系統(tǒng)中(如Windows Server ACL、EFS加密和BitLocker等)或者通過第三方解決方案。

最佳實踐

要想有效保護(hù)數(shù)據(jù)，保護(hù)必須是多層次的。你需要阻止外部入侵者攻入網(wǎng)絡(luò)。但是如果這層保護(hù)失效的話，或者入侵者可能導(dǎo)致數(shù)據(jù)泄漏，你就需要部署其他保護(hù)來防止入侵者訪問數(shù)據(jù)。

除了需要采取一般網(wǎng)絡(luò)常用安全最佳解決方案外，另外還需要部署一些專為保護(hù)存儲數(shù)據(jù)的最佳做法：

• 隔離不同類型的流量和系統(tǒng)：使用VLAN或者Fiber Channel分區(qū)來創(chuàng)建存儲流量和其他網(wǎng)絡(luò)流量間的分離。

• 物理分離存儲設(shè)備與其他服務(wù)器硬件(如將存儲設(shè)備放在單獨的房間，并且只有可信賴的人員才可以進(jìn)入)

• 物理化限制對纖維接線板和開關(guān)的進(jìn)入

• 物理保護(hù)部署的驅(qū)動

• 使用入侵檢測系統(tǒng)和文件訪問審計/監(jiān)控來阻止未批準(zhǔn)或者異常的數(shù)據(jù)訪問

• 定期備份數(shù)據(jù)，離線存儲備份數(shù)據(jù)并確保備份媒介進(jìn)行了物理保護(hù)

• 加密數(shù)據(jù)(包括備份數(shù)據(jù))以及單獨存儲加密密鑰

yajing