如今信息大量以電子形式進(jìn)行處理、存放和傳輸���,其中大量的數(shù)據(jù)也具有非常重要的價(jià)值��,有些數(shù)據(jù)的價(jià)值可能占據(jù)公司價(jià)值的一個(gè)很大的比例。為此我們同樣需要考慮這些數(shù)據(jù)的處理����、存放和傳輸過(guò)程中需要防止損壞和被盜等事件發(fā)生,這就要求我們針對(duì)數(shù)據(jù)損壞(價(jià)值損壞或消失)和被盜(價(jià)值轉(zhuǎn)移)進(jìn)行不同的處理方式�。
1. 防止數(shù)據(jù)的損壞(數(shù)據(jù)可靠)
* 數(shù)據(jù)可靠綜述
如今,企業(yè)機(jī)密信息大量以電子文檔方式存在���,而電子文檔主要存放在磁盤(pán)系統(tǒng)上�����。目前雖然磁盤(pán)相對(duì)比較穩(wěn)定���,但是大量的信息都存放在磁盤(pán)上����,一旦發(fā)生損壞�����,如果數(shù)據(jù)只有這個(gè)損壞磁盤(pán)上的一個(gè)拷貝�,那么將完全丟失,在這些信息已經(jīng)成為極其重要的資產(chǎn)的現(xiàn)代社會(huì)�����,對(duì)一個(gè)企業(yè)來(lái)說(shuō)��,嚴(yán)重情況下將是致命的���。9?11發(fā)生之后�,世貿(mào)大廈中那些沒(méi)有數(shù)據(jù)災(zāi)難備份的公司紛紛倒閉���,而那些考慮到數(shù)據(jù)容災(zāi)的公司����,在災(zāi)難發(fā)生幾天到個(gè)把月的時(shí)間就恢復(fù)業(yè)務(wù)運(yùn)行了����,可見(jiàn)數(shù)據(jù)可靠是多么的重要��。
* 數(shù)據(jù)可靠需要考慮的問(wèn)題
1.主要先考慮數(shù)據(jù)磁盤(pán)發(fā)生故障的時(shí)候數(shù)據(jù)的可靠�,這里主要可以應(yīng)用RAID系統(tǒng)來(lái)解決��。RAID的英文全稱為Redundant Array of Inexpensive(或Independent) Disks���,而不是某些詞典中所說(shuō)的“Redundant Access Independent Disks”�。中文名稱是廉價(jià)(獨(dú)立)磁盤(pán)冗余陣列�����。
RAID的初衷主要是為了大型服務(wù)器提供高端的存儲(chǔ)功能和冗余的數(shù)據(jù)安全��。在系統(tǒng)中����,RAID被看作是一個(gè)邏輯分區(qū)�,但是它是由多個(gè)硬盤(pán)組成的(最少兩塊)。它通過(guò)在多個(gè)硬盤(pán)上同時(shí)存儲(chǔ)和讀取數(shù)據(jù)來(lái)大幅提高存儲(chǔ)系統(tǒng)的數(shù)據(jù)吞吐量(Throughput)���,而且在很多RAID模式中都有較為完備的相互校驗(yàn)/恢復(fù)的措施�����,甚至是直接相互的鏡像備份����,從而大大提高了RAID系統(tǒng)的容錯(cuò)度,提高了系統(tǒng)的穩(wěn)定冗余性�����,這也是Redundant一詞的由來(lái)���。
在這些數(shù)據(jù)價(jià)值遠(yuǎn)遠(yuǎn)大于用于存放數(shù)據(jù)的磁盤(pán)價(jià)值的今天�,通過(guò)增加磁盤(pán)數(shù)量(降低硬盤(pán)的利用率)來(lái)保障數(shù)據(jù)安全是非常值得的����。
一般可以考慮使用RAID1,RAID3����,RAID5和RAID6等技術(shù)。
2. 存儲(chǔ)系統(tǒng)完成之后�,我們需要考慮整個(gè)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的可靠。
RAID技術(shù)保障了存儲(chǔ)系統(tǒng)中硬盤(pán)出現(xiàn)故障的時(shí)候數(shù)據(jù)的可靠��,但是當(dāng)今數(shù)據(jù)往往在網(wǎng)絡(luò)上使用,僅僅存儲(chǔ)系統(tǒng)數(shù)據(jù)可靠�,但網(wǎng)絡(luò)出現(xiàn)故障引起數(shù)據(jù)不能使用也是不能允許的,這就需要考慮整個(gè)網(wǎng)絡(luò)系統(tǒng)的問(wèn)題���。
隨著計(jì)算機(jī)的激增�����,大量的不兼容性導(dǎo)致數(shù)據(jù)的獲取日趨復(fù)雜�����。因此采用廣泛使用的局域網(wǎng)加工作站族的方法就對(duì)文件共享�、互操作性和節(jié)約成本有很大的意義�����。NAS包括一個(gè)特殊的文件服務(wù)器和存儲(chǔ)
NAS服務(wù)器上采用優(yōu)化的文件系統(tǒng)����,并且安裝有預(yù)配置的存儲(chǔ)設(shè)備����。由于NAS是連接在局域網(wǎng)上的��,所以客戶端可以通過(guò)NAS系統(tǒng)�,與存儲(chǔ)設(shè)備交互數(shù)據(jù)���。
一個(gè)存儲(chǔ)網(wǎng)絡(luò)是一個(gè)用在服務(wù)器和存儲(chǔ)資源之間的�����、專用的��、高性能的網(wǎng)絡(luò)體系�����。它為了實(shí)現(xiàn)大量原始數(shù)據(jù)的傳輸而進(jìn)行了專門的優(yōu)化��。因此����,可以把SAN看成是對(duì)SCSI協(xié)議在長(zhǎng)距離應(yīng)用上的擴(kuò)展����。
SAN的市場(chǎng)主要集中在高端的、企業(yè)級(jí)的存儲(chǔ)應(yīng)用上。這些應(yīng)用對(duì)于性能�����、冗余度和可獲得性都有很高的要求��。
當(dāng)對(duì)SAN和NAS進(jìn)行比較時(shí)���,這兩種相互競(jìng)爭(zhēng)的技術(shù)實(shí)際上是互補(bǔ)的�。SAN和NAS是在不同用戶需求的驅(qū)動(dòng)下的獨(dú)立事件���。SAN是以數(shù)據(jù)為中心的�,而NAS是以網(wǎng)絡(luò)為中心的����。概括來(lái)說(shuō),SAN具有高帶寬塊狀數(shù)據(jù)傳輸?shù)膬?yōu)勢(shì)���,而 NAS則更加適合文件系統(tǒng)級(jí)別上的數(shù)據(jù)訪問(wèn)�。
目前DAS����、SAS(Server Attached Storage)、SAN和NAS之間的區(qū)別正在變得模糊�,所有的技術(shù)都需在用戶的存儲(chǔ)需求下接受挑戰(zhàn)。傳統(tǒng)的客戶端服務(wù)器的計(jì)算模式將會(huì)演化成具有任意連接性的全球存儲(chǔ)網(wǎng)絡(luò)�����。在那種情況下����,數(shù)據(jù)的利用率會(huì)得到提高,分布式數(shù)據(jù)也會(huì)得到更加優(yōu)化的存儲(chǔ)�����。
只有采用了存儲(chǔ)虛擬化的技術(shù)�,才能真正屏蔽具體存儲(chǔ)設(shè)備的物理細(xì)節(jié),為用戶提供統(tǒng)一集中的存儲(chǔ)管理�。采用存儲(chǔ)虛擬化技術(shù),用戶可以實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)的共用設(shè)施目標(biāo)����。
1、存儲(chǔ)管理的自動(dòng)化與智能化
在虛擬存儲(chǔ)環(huán)境下�����,所有的存儲(chǔ)資源在邏輯上被映射為一個(gè)整體,對(duì)用戶來(lái)說(shuō)是單一視圖的透明存儲(chǔ)�����,而單個(gè)存儲(chǔ)設(shè)備的容量�����、速度等物理特性卻被屏蔽掉了�。
2、提高存儲(chǔ)效率
主要表現(xiàn)在消除被束縛的容量�,整體使用率達(dá)到更高的水平。
3���、減少總體擁有成本(TCO)����,增加投資回報(bào)(ROI)
采用存儲(chǔ)虛擬化技術(shù)����,可以支持物理磁盤(pán)空間動(dòng)態(tài)擴(kuò)展,這樣用戶現(xiàn)有的設(shè)備不必拋棄��,可以融入到系統(tǒng)中來(lái)��,保障了用戶的已有投資;從而降低了用戶TCO��,實(shí)現(xiàn)了存儲(chǔ)容量的動(dòng)態(tài)擴(kuò)展����,增加了用戶的ROI�。
2. 防止數(shù)據(jù)的被盜(數(shù)據(jù)安全)
* 安全風(fēng)險(xiǎn)綜述
如今,企業(yè)機(jī)密信息大量以電子文檔方式存在�,而電子文檔是很容易散播的。為此我們需要防止數(shù)據(jù)的泄密�����,在對(duì)付外部人員非法訪問(wèn)的時(shí)候����,我們可以通過(guò)防火墻、入侵檢測(cè)等防護(hù)系統(tǒng)進(jìn)行防護(hù)�,但是目前大量的信息泄密手段往往是最直接的收買、拷貝方式��。這時(shí)���,防火墻���、入侵檢測(cè)等防護(hù)系統(tǒng)就是形同虛設(shè)����,根本起不到任何保護(hù)作用�。因?yàn)榉阑饓驅(qū)>W(wǎng),只是解決了外部人員非法訪問(wèn)的問(wèn)題��,不能解決內(nèi)部人員通過(guò)電子郵件�、移動(dòng)硬盤(pán)或筆記本電腦把電子文檔進(jìn)行二次傳播的問(wèn)題。
據(jù)調(diào)查��, 企業(yè)機(jī)密泄露 30%-40%是由電子文件的泄露造成的�����;
☆ Fortune排名前1000家的公司����,每次電子文件泄露造成的損失平均是50萬(wàn)美元。
☆ 對(duì)中國(guó) 500家大型企業(yè)作的調(diào)查發(fā)現(xiàn)�,國(guó)內(nèi)的企業(yè)對(duì)電子文檔幾乎沒(méi)有任何防護(hù)措施。有保護(hù)措施的不到3%����,一些機(jī)密性的資料����、電子文檔�����,輕易的就可以通過(guò)電子郵件和移動(dòng)硬盤(pán)泄密到網(wǎng)絡(luò)外部��。
☆ 在工業(yè)化時(shí)代��,世界最大的商業(yè)秘密��,代號(hào) 7X的可口可樂(lè)配方�,采取了嚴(yán)密的保護(hù)措施�����,為可口可樂(lè)公司贏得了超過(guò)800億美元的無(wú)形資產(chǎn)的安全�。
☆ 中國(guó)千年絕活 “景泰藍(lán)”制瓷技術(shù)、“紙中之王”中國(guó)宣紙等技術(shù)被竊�,為企業(yè)帶來(lái)了難以估量的損失。
FBI和CSI對(duì)484家公司調(diào)查�����,發(fā)現(xiàn):
△ 超過(guò) 85%的安全威脅來(lái)自企業(yè)內(nèi)部。
△ 16%來(lái)自內(nèi)部未授權(quán)的存?���。?BR> △ 14%專利信息被竊?�?���;
△ 12%內(nèi)部人員的財(cái)務(wù)欺騙;
△ 11%資料或網(wǎng)絡(luò)的破壞�����;
△ 防病毒���、防火墻����、入侵檢測(cè)�����、物理隔離不再是保護(hù)信息安全的法寶���。
△ 無(wú)線上網(wǎng)��、移動(dòng)通訊���、活動(dòng)硬盤(pán)在給人們帶來(lái)方便和高效的同時(shí)�,隨時(shí)有可能被截取��、仿冒���、偵聽(tīng);
△ 筆記本電腦使用便捷����,但人們也開(kāi)始意識(shí)到由于遺失、被盜帶來(lái)的泄密現(xiàn)象的嚴(yán)重性����。
因此,我們需要對(duì)信息內(nèi)容本身進(jìn)行安全防范��,做到防止拷貝��,防止二次傳播��,這樣的信息安全技術(shù)才是真正可靠的技術(shù)。對(duì)企業(yè)機(jī)密信息管理來(lái)說(shuō)�,需要考慮信息內(nèi)容本身的安全。
一般說(shuō)來(lái)��,計(jì)算機(jī)網(wǎng)絡(luò)存在著以下的安全風(fēng)險(xiǎn)及需要采取的安全對(duì)策:
以上表格具體描述了數(shù)據(jù)安全的問(wèn)題���,基本上可以通過(guò)加強(qiáng)網(wǎng)絡(luò)安全���,操作系統(tǒng)安全等實(shí)現(xiàn)。然而其中超過(guò)85%的安全威脅來(lái)自企業(yè)內(nèi)部����。作為企業(yè)機(jī)密管理者肯定知道,真正核心數(shù)據(jù)防擴(kuò)散技術(shù)�����,需要對(duì)信息內(nèi)容本身先進(jìn)行加密���,然后在此基礎(chǔ)上再進(jìn)行安全防范����,做到防止拷貝,防止二次傳播��,這樣的信息安全技術(shù)才是真正可靠的技術(shù)��。所以���,針對(duì)企業(yè)機(jī)密信息管理來(lái)說(shuō)���,我們重點(diǎn)需要考慮信息內(nèi)容本身的安全。
談到對(duì)信息內(nèi)容進(jìn)行加密���,我們一般首先想到的是運(yùn)用一些常見(jiàn)的加密軟件����,通過(guò)對(duì)敏感的文件或數(shù)據(jù)設(shè)置密碼����,這樣在訪問(wèn)這些文件的時(shí)候需要知道這些文件的訪問(wèn)密碼�,通過(guò)輸入正確的密碼,才能訪問(wèn)這些文件或數(shù)據(jù)�。每次保密前要設(shè)置密碼,查看時(shí)也要輸入解密碼�,費(fèi)時(shí)費(fèi)力不說(shuō),最大的弊病是這一切都要靠我們?nèi)藶橹鲃?dòng)地、有意識(shí)地去保密�����。但試想一下��,當(dāng)一個(gè)本企業(yè)的內(nèi)部人員(他本身平時(shí)就能經(jīng)常接觸這些資料的)想帶出該企業(yè)的一些核心資料的話�����,他完全可以不主動(dòng)去加密這些文件(就算加密了���,因?yàn)樗枰幚磉@些數(shù)據(jù)����,當(dāng)然也知道密碼�,加密了對(duì)于這樣的人也是沒(méi)有用的),從而將這些重要的資料一次性大批量的拷貝走啊����。這樣的加密技術(shù),對(duì)于預(yù)防企業(yè)內(nèi)部人員的泄密�����,又有多大的作用呢?
所以我們覺(jué)得��,需要一款好的企業(yè)核心數(shù)據(jù)防擴(kuò)散加密軟件���,它必須具備以下幾個(gè)基本條件:
1��、加密的強(qiáng)制性
不管你愿意還是不愿意�����,企業(yè)內(nèi)部產(chǎn)生的一些核心數(shù)據(jù)都要被強(qiáng)制性的加密�,而且在生成文件時(shí)就對(duì)產(chǎn)生的文件進(jìn)行強(qiáng)制性保護(hù)控制���;
2���、加密解密的方便性(無(wú)密鑰加密)
時(shí)間是寶貴的,我們不希望每次加密文件時(shí)輸入密碼����,查看文件時(shí)也要輸入密碼���。我們希望我們的核心數(shù)據(jù)防擴(kuò)散加密軟件能夠自動(dòng)辨識(shí)出哪些是本單位并經(jīng)過(guò)授權(quán)的電腦�,記住這些電腦的硬件環(huán)境。在這些電腦上����,我們無(wú)需輸入密碼就可以輕松打開(kāi)文件(這樣“內(nèi)賊”也就不知道如何解密了),因?yàn)槲覀兾募慕饷艽a�����,就是這些經(jīng)過(guò)授權(quán)的電腦的硬件環(huán)境���,而且只有在企業(yè)網(wǎng)絡(luò)環(huán)境中才能自動(dòng)解密�����,出了這個(gè)環(huán)境就無(wú)法解密了�����。
3���、加密解密的自動(dòng)性和快捷性
我們的要求,在你這些重要數(shù)據(jù)產(chǎn)生的時(shí)候�����,我們的加密軟件必須要能實(shí)時(shí)自動(dòng)跟蹤,并對(duì)這些文件進(jìn)行自動(dòng)加密�,打開(kāi)文件的瞬間,對(duì)這些文件進(jìn)行自動(dòng)解密�����,整個(gè)加密過(guò)程無(wú)需我們?nèi)斯じ深A(yù)�。就是打開(kāi)一個(gè)未加密文件時(shí),不管有沒(méi)有對(duì)該文件進(jìn)行編輯���,能夠自動(dòng)對(duì)該文件進(jìn)行加密�����,并且不影響應(yīng)用程序的正常運(yùn)行及文件的正常使用�����。加密狀態(tài)的文件在電腦上可以雙擊直接打開(kāi)����,并可以對(duì)它們進(jìn)行正常的編輯和修改��,使用上和沒(méi)加密的普通文件沒(méi)有任何區(qū)別�。系統(tǒng)在后臺(tái)自動(dòng)運(yùn)行,對(duì)使用人員是透明的���,不需任何操作動(dòng)作����。不改變已有的使用習(xí)慣�����,生成的加密文件對(duì)設(shè)計(jì)系統(tǒng)不產(chǎn)生任何影響��。在同一公司內(nèi)部只要都安裝了同一系統(tǒng)的電腦上��,文件可以正常流通���,不受到限制���。
4、加密資料的安全性和唯一性
企業(yè)的一些核心數(shù)據(jù)是我們企業(yè)的無(wú)形財(cái)富�����。為了更安全地保護(hù)我們這些資料����,必須要求我們加密技術(shù)的高強(qiáng)度性���,被加密了的文件無(wú)法破解(破解所需的花費(fèi)要遠(yuǎn)遠(yuǎn)大于數(shù)據(jù)價(jià)值)。同時(shí)我們還要確保同樣用這種核心數(shù)據(jù)防擴(kuò)散加密軟件���,企業(yè)的資料不能互相打開(kāi)�����,這就是每個(gè)單位資料解密密鑰的唯一性�����。
5�、方便對(duì)外交流
當(dāng)企業(yè)需要對(duì)外交流的時(shí)候���,某些密級(jí)不高的文件需要解密(但是需要高層領(lǐng)導(dǎo)審核�,普通員工不能對(duì)任何文件進(jìn)行解密操作)��,這就需要方便高層領(lǐng)導(dǎo)對(duì)部分需要解密的文件進(jìn)行解密操作����。
3. 總結(jié)
綜上所述�,我們現(xiàn)在對(duì)數(shù)據(jù)的存放�、處理和傳輸過(guò)程需要加倍的注意��,不要當(dāng)意外發(fā)生的時(shí)候說(shuō):“曾經(jīng)有一份珍貴的數(shù)據(jù)放在我的電腦中���,我沒(méi)有珍惜���,當(dāng)失去的時(shí)候才追悔莫及。如果上天能夠再給我一次機(jī)會(huì)的話�����,我會(huì)對(duì)那份數(shù)據(jù)說(shuō):‘我要小心處理����。’如果一定要對(duì)這個(gè)小心加個(gè)程度的話���,我會(huì)說(shuō):‘一萬(wàn)分����!’”
本文節(jié)選自《信息存儲(chǔ)》雜志2006年度特刊,點(diǎn)擊此處瀏覽全部文章���。
想要免費(fèi)申請(qǐng)訂閱《信息存儲(chǔ)》雜志����,請(qǐng)點(diǎn)擊此處��。
