经济及法规因素

　　经济因素可能是加密技术没有真正被广泛采用的主要原因。面对2万美元以上一个加密专用设备，或者高达2000美元的一个软件加密许可证，很多企业感觉数据保护的成本实在是不低。但是还是需要再次指出，泄露客户数据所造成的损失弥补起来又要花费多大代价呢？BECU的Chow就表示，ROI方程式其实很简单，公司名誉的价值是第一位的。

　　尽管成本有些偏高，但加密技术方案的迅速普及趋势是不可逆转的。诸如美国加利福尼亚州已经通过了对不进行数据加密的公司实行制裁的法律，其他州也在跟进，相关条款正在讨论之中。看来，现在已经不是光谈论安全到底有多重要的时候了，而是应该实实在在地通过预算去规避可能因安全问题而带来的业务风险。

　　当数据不见了

　　我们经常能够看到一些报告，说公司管理的客户个人数据丢失了，这些固然很重要，但对于整个公司的损失来说其实只是冰山之一角。客户们真正需要去问这些公司的是：还有什么其他的数据丢失了？十有八九，这些公司根本就不知道。

　　事实的真相是，所报道出来的大量数据丢失的问题只是他们所知道的。这个问题会随着容量不断增加的小型个人存储设备的蔓延而日趋严重。

　　目前有多少人拥有自己的闪存设备呢？数量级肯定在千万级以上。然而又有多少公司对闪存设备的使用做了控制或管理呢？曾经看到过这样一个事情，一位旅行者在机场侯机厅等候飞机的时候，发现在座位下面有一个闪存，捡起来后并没有发现任何有关该设备主人的信息，为了能够找到主人，他只好打开该设备上的内容文件来查找，结果发现这里面存放的是一些重要项目计划以及简短的PPT草稿，但没有任何关于主人的信息。通过这次经历，这位人士马上吸取教训，在自己的移动存储设备中添加了一个包含姓名和联系地址在内的小型TXT文件，并在外面贴上了地址标签。

　　这为什么会是一个很严重的问题呢？因为这些小型存储设备的存储容量在迅速增长，在经过两到三年以后，你可能根本不会再选择今天普遍看好到的500MB或1GB的设备，相反你可能花同样的钱就可以购买到10GB或更大容量的小型存储设备。

　　想想如果某一个员工将客户数据库下载到这样的设备中（可能他这样做只是为了把这些数据从一个系统拷贝转移到另一个系统），而又不小心将这个设备丢失，那结果会怎么样？数据丢失能受到保护吗？恐怕并不能，尽管目前很多设备包含有加密功能，但使用的人很少。那么如果是一个竞争对手捡到这个存储设备后果会有多严重？

　　在便携设备中丢失数据的可能性已经成为目前大多数企业安全策略中的一个巨大漏洞。美国很多州已经通过法律，要求企业一旦发现数据丢失可能影响到客户就必须上报。但随着越来越多的员工都开始使用闪存、带有SD卡的智能电话、移动硬盘等便携设备，公司掌握所有数据丢失情况的可能性也迅速减小。结果，公司违反法律的几率迅速增加，可能是因为数据丢失败露，也可能是因为法规遵从等因素。

　　而严峻的现实是，大多数企业为试图解决这一问题，还是把目标锁定在至少10年前的技术，如数据备份磁带的丢失。而针对企业内部出现的造成数据丢失的更为严重的可能性却根本没有控制，也没有揭露，而且在内部根本就没有发现机制。

　　那么这些企业应该怎么做呢？我们并不建议企业明令禁止外部存储设备的使用，因为这些设备确实为很多使用者提供了实实在在的好处。但是企业也必须采取行动，首先应该教育大家如何正确使用这些设备，其次企业应该对用户访问一些敏感的数据进行跟踪，最后企业应该通过采用一些技术来发现什么时间、谁将移动设备连接到关键数据上，确保这些设备是有保护的。

　　很有可能在接下来的一年中，我们会发现移动存储设备将会造成未加密数据丢失的主要途径，因此，很有可能很多企业会禁止这些设备的使用。但这绝对不是明智的做法，他们最好是采用积极的应对策略，教育使用者，并从技术上来保证即使移动设备丢失数据也不会丢失。当然，也有好的征兆，根据Gartner在2005年发布的预测数据，采取保护策略的USB闪存设备在2005年的出货量是8470万，到2010年将达到1.7亿。

　　数据保留，就是备份吗？

　　根据一些美国存储软件厂商最新的调查研究结果，存档仍然被人们所误解，并且效率低下。他们发现只有少数的被调查者由于法律要求而进行存档，但大多数人表示一些法规对他们的业务并没有什么影响。

　　这很大程度上是由于一些私人持股的公司不愿意接受这样的行为，因为存档需要用冗长的时间周期来存储数据。

　　这也表明一种情况，那就是企业法人团队希望在企业内部推动遵从性，因而很可能对完全遵从法律条文持一种悲观的态度。业务和IT管理者是更注重实效的一族，他们对于之所以会出现这种调查结果的解释是，灾难恢复是存档更为重要的驱动因素，而不是法规遵从。

　　然而，该调查也发现，美国公司中的很大一部分由于没有恰当地存档，业务运做已经在受到危害，但他们仍然为法规遵从而得意，他们将备份和存档的功能几乎混淆一谈。

　　23%的被访者表示他们没有对数据进行存档。结果，他们对于“检索（retrieve）三个月前的一个重要文件”这样一个假定任务的回答中，其中20%的人并不知道检索到这样一个文件需要多长时间，10%的人表示所需时间超过一天，2%的人表示会超过一星期，6%的人表示他们完全就找不到这个文件。

　　然而，77%的被访者声称在一定程度上对数据进行存档，74%的人表示他们企业内部有文件存档系统，66%的人表示他们有邮件存档服务。

　　对于分级存储管理、存储资源管理以及信息生命周期管理的系统，总共也只有10%的人拥有。

　　手工存档也是占据主导的方式，调查中有32%的人存档是通过存档软件自动完成的，4%是手动使用存档软件来存档。不过，值得注意的是，35%表示他们是手工使用备份软件来存档。

　　关于存档的介质也是混合流行状态。其中使用磁带的占61%，使用光存储介质的有22%。值得注意的是，尽管磁带作为长期数据存储介质具有潜在弱势，但仍然被超过一半的公司使用。很多公司仍在持续花费大量的资金购买昂贵的存储设备，而并没有将一些古老的但需要保留的数据迁移到诸如磁带和光介质等较便宜的存储介质上。

　　通过这次调查我们也发现，尽管很多被访者会混淆使用备份和存档这两个术语，但同样能够反映出目前很多的企业既没有数据保护也没有存档系统，这是非常危险的。我们还是希望IT主管们以及管理员们能够注意这一问题，对于数据管理实施全面的解决方案保护，进而实现公司管理、法规遵从以及有效的存储管理。