移动存储介质六大误区——严重威胁数据安全

日期: 2009-03-03 来源:TechTarget中国

每隔几个月,就会传出磁带丢失或笔记本电脑被盗的糟糕事件;于是我们就在想存储在介质上的信息会不会被坏人所利用,因而不但使公司面临公关危机,还会使个人面临泄密威胁。

保护企业关键数据安全是IT运维人员最为基本的工作之一。很多企业均采用移动介质存储方式来对数据进行备份保护。为保证他们保护数据安全的工作能够顺利完成,本文提醒你要小心——不要步入移动介质存储方面六个误区之中。

第一个误区:磁带过时了

简陋的磁带让人联想到久远的大型机和批处理时代,在一些情况下已经被磁盘到磁盘备份(通过网络备份至远程站点)所取代。但是说到迅速而高效地备份、归档及恢复大量数据,没有什么比得过磁带。

Iron Mountain公司既提供通过网络连接的数据备份,又提供在其站点的磁带存储服务。这家信息保护和存储公司的高级副总裁Ken Rubin说:“遇到灾难的情况下――这时候需要争分夺秒,没有什么比把一堆磁带放到车上、开车送到恢复站点更有效的了。由于带宽方面的限制,通过网络连接传输数TB或数PB的数据是不切合实际的。”

不过,有些用户想改用其他存储服务。Affiliated Computer Services Inc.(ACS)公司的首席信息安全官Christopher Leach说:“由于磁带面临丢失的威胁,我们正在设法退出磁带存储这一块业务。”他表示,ACS正在开发一项服务:要是文件不是太大,把经过加密的数据备份通过网络浏览器发送给客户。

误区二 保护磁带和笔记本电脑是网管的工作

保护信息技术当然是IT人员的一项工作。但是公司里面其他人同样有着重要作用,可是这种作用经常被人们所忽视。

纽约州的CIO Melodie Mayberry-Stewart动用由12个人组成的法律团队来研究最佳安全实践,特别是金融行业方面的安全实践。她表示,其中一些人专门从事加密和电信等领域。另外,她还有一支不同的技术团队,成员专门从事安全和风险管理。Mayberry-Stewart表示,律师们与Iron Mountain等运送及保存纽约州磁带的公司协商签订“事无巨细”的合同以及“服务级别方面的备忘录”――每个月要从四个大型机数据中心运走大约4000只磁带。

Sun公司在世界各地的七个数据中心经常创建磁带。尽管每个数据中心管理各自的一套数据保留流程,“它们不需要制订各自的所有规则,”Sun公司的首席信息安全官Leslie Lambert说。那么,这些规则、政策和程序从何而来?她说:“我们有一支非常警觉的法律团队、一支隐私团队、商业行为规范团队、内部审计员、外部审计员以及信息保护法律小组――大家都相互合作。”

Leach表示,时时遵守数据保护和保留方面的政府法规需要具备专业知识,不过这项工作的难度太大了,于是他通过Relational Security公司的风险和合规管理软件来获得自动化帮助。

误区三 丢失磁带主要是个安全问题

当然,丢失磁带也可能是场安全灾难;要是被公众知道,那对公关部门来说无疑是一场噩梦。但另外可能还存在危害性同样大的后果。

医疗产品生产商Stryker 公司的IT副总裁Brian Lurie说:“我并不过于担心丢失员工信息(比如社会保障号码),不过这个问题肯定很重要。让我夜不能寐的是,可能会丢失磁带,然后不得不向管理当局FDA出示数据。我担心的是公司因丢失信息而要承担的责任;按照法律,我们必须妥善保留信息。”

Lurie表示,尽管法律要求一些信息要保存7年,但Stryker必须长期保留人体内使用Stryker产品的客户们的信息、直到他们去世。虽然该公司在远程站点恢复中心对磁盘做了镜像处理,但经过一段时间后,有些数据只保存在磁带上,这些磁带被Iron Mountain运送过去、存储在远地。

Lurie定期派审计人员到Iron Mountain的地方去清查Stryker的磁带。他表示,定期审计是分三部分的磁带保护计划的一部分;该计划还包括精心拟订合同、与信誉可靠的磁带存储供应商合作。

专家们表示,有人窃取磁带后非法利用这种事很少发生,几乎不用担心。简单的人为错误引起磁带丢失、从而影响将来处理磁带,显然是最常见的问题。

误区四 技术解决不了,关键是严格控制 

专家们表示,精心设计、尽可能自动化以及经过测试的规程和控制措施,能够最有效地限制磁带和笔记本电脑因无人看管而引起的丢失。但是技术也能起到很大的帮助。

数据加密仍然是首要的工具。尽管这项技术消除不了Lurie担心因无法恢复数据而吃官司的忧虑,但是可以放心地告诉律师、记者和警方:坏人对笔记本电脑无从下手,因为硬盘经过加密;或者对磁带无从下手,因为磁带上的数据无法读取。

Leach表示,ACS的所有员工台式机和笔记本电脑都要求“经过全盘加密”。“一旦磁盘经过了加密,我们可以监控及跟踪;如果你试图解密硬盘,我们就会知道,然后会通知你的管理人员。”

ACS放在达拉斯磁带库的磁带超过了100万只,其标准做法是对这些磁带上的内容进行加密。Leach表示,但是有些客户不想费钱又费力地对ACS送过来的备份磁带进行解密,所以他们要求保存的内容采用明文格式。他说:“对这些磁带而言,我们在每一步都有非常严格的包装、标记及跟踪,几乎就像是案件中的监管链(chain of custody)。磁带放入到龟形盒,这种盒子需要两头上锁及开锁。”

另外,他说“我们为这些磁带保了高额险,倒不是因为磁带或光盘很值钱,而是因为这会促使运送方采取更严格的流程和更认真的检查。”

用户声称,他们在研究新的技术来补充或代替加密。纽约州正在关注保护笔记本电脑和磁带盒的拇指纹扫描。ACS也在考虑三款磁设备的原型:一旦上锁的盒被摔开,这种设备就会清除上锁盒里面磁带上的内容。

Iron Mountain表示,最有效的自动化帮助可能来自磁带库存控制系统,它有助于杜绝磁带丢失的首要原因:公司内部的人为错误。

误区五 加密后可万无一失

尽管加密常常被认为是最佳的技术解决方案,但它也有缺点。比方说,如果你要恢复磁带上的内容,却丢了用来解密的密钥,可能要倒霉了。另外,把数据写入到磁带、笔记本电脑硬盘或移动介质之前进行加密要占用大量的计算机资源。最后,加密在许多公司不是一项硬性要求,员工可能会规避。

由于这些原因,Stryker对笔记本电脑的硬盘不加密,除非硬盘上有敏感数据。远程用户可能需要的敏感信息放在受保护的服务器上;只有需要服务器上的敏感信息时,才可以访问;并不保留在本地。Lurie承认这不是完美的做法,因为这需要用户主动遵守规定。

Lurie表示,如果Stryker改用Windows Vista,他可以省不少事;因为该操作系统提供了对数据自动加密的选项。他补充说:“不过加密选项是个负担――你需要额外内存,还会使机器的运行速度减慢。”

误区六 如果你保护了,就可无忧了

新闻报道的注意力集中在丢失的磁带和笔记本电脑上,但还有其他许多设备每天晚上从贵公司的大门溜走。Lurie表示,“黑莓”手机等移动设备在Stryker得到了保护。他解释:“我有能力远程清除移动设备上的内容。一旦移动设备丢失,我们会立即向设备发出信号、清除上面存储的内容。”

但是,闪存驱动器、光盘和DVD更成问题。Lurie的解决办法就是:“如果没有经过加密,我们就阻止把敏感信息下载到它们上面。”

Lurie表示,他甚至担心不太起眼的手机。他说:“我们不允许把相机带入办公大楼,但很多人的手机有拍照功能。要是谁给某人或某样东西拍了照,然后发到网上,我们可能就要承担责任。我还不太清楚如何处理这种问题,但一直在认真思考该问题。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 存储经理人2017年11月刊:如何选择正确的DRaaS供应商

    《存储经理人》2017年11月刊重点介绍如何选择正确的DRaaS提供商:DRaaS供应商应当具备四项关键技能,以能够全方位应对所有潜在灾害。本期杂志还介绍了下一代线性磁带开放标准LTO-8,云中数据存储的注意事项以及驱动企业采用云存储的主要因素,同时阐述了冷存储需求不断高涨以及二级存储的现代化转型等现状,提醒大家在文件同步和共享时应确保数据安全,以及如何为未来的闪存做好准备。

  • 企业存储市场的夏天

    即使云计算市场放缓,软件定义的存储和超融合基础设施瘫痪,企业存储中磁带的应用仍会巍然不倒。

  • 存储经理人2017年4月刊:闪存、云位列Top数据存储选项

    《存储经理人》2017年4月刊重点关注主存储选项:在数据存储可选项中,云和闪存逐渐成为主数据存储。另外,由于内嵌了越来越多面向数据密集型商业应用的业务分析功能,存储系统正在变得越来越聪明。本期《存储经理人》还关注更多存储趋势,包括超融合架构,横向扩展SDS等等。

  • 存储经理人2017年1、2月合刊:2017最受关注的12家存储领头羊公司

    《存储经理人》2017年1、2月合刊重点关注2017年最受关注的12家存储领头羊公司,内含最新基于磁盘的备份采购调查、企业云存储架构方案以及后EMC时代超融合市场分析。同时,本月还关注云DR、数据保护以及勒索软件等热门话题。