如今信息大量以電子形式進(jìn)行處理�����、存放和傳輸��,其中大量的數(shù)據(jù)也具有非常重要的價(jià)值,有些數(shù)據(jù)的價(jià)值可能占據(jù)公司價(jià)值的一個(gè)很大的比例���。為此我們同樣需要考慮這些數(shù)據(jù)的處理�����、存放和傳輸過(guò)程中需要防止損壞和被盜等事件發(fā)生��,這就要求我們針對(duì)數(shù)據(jù)損壞(價(jià)值損壞或消失)和被盜(價(jià)值轉(zhuǎn)移)進(jìn)行不同的處理方式���。
1. 防止數(shù)據(jù)的損壞(數(shù)據(jù)可靠)
* 數(shù)據(jù)可靠綜述
如今,企業(yè)機(jī)密信息大量以電子文檔方式存在���,而電子文檔主要存放在磁盤系統(tǒng)上��。目前雖然磁盤相對(duì)比較穩(wěn)定��,但是大量的信息都存放在磁盤上,一旦發(fā)生損壞��,如果數(shù)據(jù)只有這個(gè)損壞磁盤上的一個(gè)拷貝,那么將完全丟失�����,在這些信息已經(jīng)成為極其重要的資產(chǎn)的現(xiàn)代社會(huì)�����,對(duì)一個(gè)企業(yè)來(lái)說(shuō)����,嚴(yán)重情況下將是致命的���。9?11發(fā)生之后,世貿(mào)大廈中那些沒(méi)有數(shù)據(jù)災(zāi)難備份的公司紛紛倒閉�,而那些考慮到數(shù)據(jù)容災(zāi)的公司����,在災(zāi)難發(fā)生幾天到個(gè)把月的時(shí)間就恢復(fù)業(yè)務(wù)運(yùn)行了���,可見(jiàn)數(shù)據(jù)可靠是多么的重要����。
* 數(shù)據(jù)可靠需要考慮的問(wèn)題
1.主要先考慮數(shù)據(jù)磁盤發(fā)生故障的時(shí)候數(shù)據(jù)的可靠�����,這里主要可以應(yīng)用RAID系統(tǒng)來(lái)解決�。RAID的英文全稱為Redundant Array of Inexpensive(或Independent) Disks,而不是某些詞典中所說(shuō)的“Redundant Access Independent Disks”����。中文名稱是廉價(jià)(獨(dú)立)磁盤冗余陣列���。
RAID的初衷主要是為了大型服務(wù)器提供高端的存儲(chǔ)功能和冗余的數(shù)據(jù)安全��。在系統(tǒng)中�,RAID被看作是一個(gè)邏輯分區(qū)�,但是它是由多個(gè)硬盤組成的(最少兩塊)。它通過(guò)在多個(gè)硬盤上同時(shí)存儲(chǔ)和讀取數(shù)據(jù)來(lái)大幅提高存儲(chǔ)系統(tǒng)的數(shù)據(jù)吞吐量(Throughput),而且在很多RAID模式中都有較為完備的相互校驗(yàn)/恢復(fù)的措施�,甚至是直接相互的鏡像備份��,從而大大提高了RAID系統(tǒng)的容錯(cuò)度�����,提高了系統(tǒng)的穩(wěn)定冗余性�,這也是Redundant一詞的由來(lái)。
在這些數(shù)據(jù)價(jià)值遠(yuǎn)遠(yuǎn)大于用于存放數(shù)據(jù)的磁盤價(jià)值的今天�����,通過(guò)增加磁盤數(shù)量(降低硬盤的利用率)來(lái)保障數(shù)據(jù)安全是非常值得的��。
一般可以考慮使用RAID1���,RAID3,RAID5和RAID6等技術(shù)��。
2. 存儲(chǔ)系統(tǒng)完成之后�,我們需要考慮整個(gè)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的可靠�����。
RAID技術(shù)保障了存儲(chǔ)系統(tǒng)中硬盤出現(xiàn)故障的時(shí)候數(shù)據(jù)的可靠,但是當(dāng)今數(shù)據(jù)往往在網(wǎng)絡(luò)上使用�,僅僅存儲(chǔ)系統(tǒng)數(shù)據(jù)可靠����,但網(wǎng)絡(luò)出現(xiàn)故障引起數(shù)據(jù)不能使用也是不能允許的�����,這就需要考慮整個(gè)網(wǎng)絡(luò)系統(tǒng)的問(wèn)題����。
隨著計(jì)算機(jī)的激增�����,大量的不兼容性導(dǎo)致數(shù)據(jù)的獲取日趨復(fù)雜��。因此采用廣泛使用的局域網(wǎng)加工作站族的方法就對(duì)文件共享�����、互操作性和節(jié)約成本有很大的意義�����。NAS包括一個(gè)特殊的文件服務(wù)器和存儲(chǔ)
NAS服務(wù)器上采用優(yōu)化的文件系統(tǒng)�����,并且安裝有預(yù)配置的存儲(chǔ)設(shè)備�。由于NAS是連接在局域網(wǎng)上的,所以客戶端可以通過(guò)NAS系統(tǒng)����,與存儲(chǔ)設(shè)備交互數(shù)據(jù)����。
一個(gè)存儲(chǔ)網(wǎng)絡(luò)是一個(gè)用在服務(wù)器和存儲(chǔ)資源之間的���、專用的、高性能的網(wǎng)絡(luò)體系�。它為了實(shí)現(xiàn)大量原始數(shù)據(jù)的傳輸而進(jìn)行了專門的優(yōu)化��。因此����,可以把SAN看成是對(duì)SCSI協(xié)議在長(zhǎng)距離應(yīng)用上的擴(kuò)展。
SAN的市場(chǎng)主要集中在高端的�、企業(yè)級(jí)的存儲(chǔ)應(yīng)用上���。這些應(yīng)用對(duì)于性能�、冗余度和可獲得性都有很高的要求��。
當(dāng)對(duì)SAN和NAS進(jìn)行比較時(shí)�,這兩種相互競(jìng)爭(zhēng)的技術(shù)實(shí)際上是互補(bǔ)的。SAN和NAS是在不同用戶需求的驅(qū)動(dòng)下的獨(dú)立事件�����。SAN是以數(shù)據(jù)為中心的����,而NAS是以網(wǎng)絡(luò)為中心的�。概括來(lái)說(shuō),SAN具有高帶寬塊狀數(shù)據(jù)傳輸?shù)膬?yōu)勢(shì)����,而 NAS則更加適合文件系統(tǒng)級(jí)別上的數(shù)據(jù)訪問(wèn)����。
目前DAS����、SAS(Server Attached Storage)、SAN和NAS之間的區(qū)別正在變得模糊�����,所有的技術(shù)都需在用戶的存儲(chǔ)需求下接受挑戰(zhàn)��。傳統(tǒng)的客戶端服務(wù)器的計(jì)算模式將會(huì)演化成具有任意連接性的全球存儲(chǔ)網(wǎng)絡(luò)����。在那種情況下,數(shù)據(jù)的利用率會(huì)得到提高����,分布式數(shù)據(jù)也會(huì)得到更加優(yōu)化的存儲(chǔ)。
只有采用了存儲(chǔ)虛擬化的技術(shù)�����,才能真正屏蔽具體存儲(chǔ)設(shè)備的物理細(xì)節(jié)�,為用戶提供統(tǒng)一集中的存儲(chǔ)管理。采用存儲(chǔ)虛擬化技術(shù)����,用戶可以實(shí)現(xiàn)存儲(chǔ)網(wǎng)絡(luò)的共用設(shè)施目標(biāo)��。
1�、存儲(chǔ)管理的自動(dòng)化與智能化
在虛擬存儲(chǔ)環(huán)境下�����,所有的存儲(chǔ)資源在邏輯上被映射為一個(gè)整體���,對(duì)用戶來(lái)說(shuō)是單一視圖的透明存儲(chǔ)���,而單個(gè)存儲(chǔ)設(shè)備的容量、速度等物理特性卻被屏蔽掉了�����。
2�、提高存儲(chǔ)效率
主要表現(xiàn)在消除被束縛的容量,整體使用率達(dá)到更高的水平����。
3、減少總體擁有成本(TCO)��,增加投資回報(bào)(ROI)
采用存儲(chǔ)虛擬化技術(shù)��,可以支持物理磁盤空間動(dòng)態(tài)擴(kuò)展,這樣用戶現(xiàn)有的設(shè)備不必拋棄�����,可以融入到系統(tǒng)中來(lái)�,保障了用戶的已有投資�;從而降低了用戶TCO,實(shí)現(xiàn)了存儲(chǔ)容量的動(dòng)態(tài)擴(kuò)展�����,增加了用戶的ROI�。
2. 防止數(shù)據(jù)的被盜(數(shù)據(jù)安全)
* 安全風(fēng)險(xiǎn)綜述
如今,企業(yè)機(jī)密信息大量以電子文檔方式存在��,而電子文檔是很容易散播的���。為此我們需要防止數(shù)據(jù)的泄密����,在對(duì)付外部人員非法訪問(wèn)的時(shí)候�����,我們可以通過(guò)防火墻、入侵檢測(cè)等防護(hù)系統(tǒng)進(jìn)行防護(hù)��,但是目前大量的信息泄密手段往往是最直接的收買�����、拷貝方式�。這時(shí),防火墻�、入侵檢測(cè)等防護(hù)系統(tǒng)就是形同虛設(shè),根本起不到任何保護(hù)作用����。因?yàn)榉阑饓驅(qū)>W(wǎng),只是解決了外部人員非法訪問(wèn)的問(wèn)題��,不能解決內(nèi)部人員通過(guò)電子郵件�、移動(dòng)硬盤或筆記本電腦把電子文檔進(jìn)行二次傳播的問(wèn)題。
據(jù)調(diào)查����, 企業(yè)機(jī)密泄露 30%-40%是由電子文件的泄露造成的;
☆ Fortune排名前1000家的公司����,每次電子文件泄露造成的損失平均是50萬(wàn)美元�����。
☆ 對(duì)中國(guó) 500家大型企業(yè)作的調(diào)查發(fā)現(xiàn)�,國(guó)內(nèi)的企業(yè)對(duì)電子文檔幾乎沒(méi)有任何防護(hù)措施�。有保護(hù)措施的不到3%,一些機(jī)密性的資料�、電子文檔�����,輕易的就可以通過(guò)電子郵件和移動(dòng)硬盤泄密到網(wǎng)絡(luò)外部�。
☆ 在工業(yè)化時(shí)代,世界最大的商業(yè)秘密��,代號(hào) 7X的可口可樂(lè)配方�,采取了嚴(yán)密的保護(hù)措施,為可口可樂(lè)公司贏得了超過(guò)800億美元的無(wú)形資產(chǎn)的安全���。
☆ 中國(guó)千年絕活 “景泰藍(lán)”制瓷技術(shù)���、“紙中之王”中國(guó)宣紙等技術(shù)被竊,為企業(yè)帶來(lái)了難以估量的損失���。
FBI和CSI對(duì)484家公司調(diào)查����,發(fā)現(xiàn):
△ 超過(guò) 85%的安全威脅來(lái)自企業(yè)內(nèi)部。
△ 16%來(lái)自內(nèi)部未授權(quán)的存?��?���;
△ 14%專利信息被竊?�?��;
△ 12%內(nèi)部人員的財(cái)務(wù)欺騙���;
△ 11%資料或網(wǎng)絡(luò)的破壞;
△ 防病毒���、防火墻���、入侵檢測(cè)、物理隔離不再是保護(hù)信息安全的法寶。
△ 無(wú)線上網(wǎng)�����、移動(dòng)通訊�、活動(dòng)硬盤在給人們帶來(lái)方便和高效的同時(shí),隨時(shí)有可能被截取��、仿冒���、偵聽��;
△ 筆記本電腦使用便捷�,但人們也開始意識(shí)到由于遺失�����、被盜帶來(lái)的泄密現(xiàn)象的嚴(yán)重性����。
因此�����,我們需要對(duì)信息內(nèi)容本身進(jìn)行安全防范,做到防止拷貝��,防止二次傳播��,這樣的信息安全技術(shù)才是真正可靠的技術(shù)����。對(duì)企業(yè)機(jī)密信息管理來(lái)說(shuō),需要考慮信息內(nèi)容本身的安全����。
一般說(shuō)來(lái),計(jì)算機(jī)網(wǎng)絡(luò)存在著以下的安全風(fēng)險(xiǎn)及需要采取的安全對(duì)策:
以上表格具體描述了數(shù)據(jù)安全的問(wèn)題�,基本上可以通過(guò)加強(qiáng)網(wǎng)絡(luò)安全,操作系統(tǒng)安全等實(shí)現(xiàn)��。然而其中超過(guò)85%的安全威脅來(lái)自企業(yè)內(nèi)部��。作為企業(yè)機(jī)密管理者肯定知道�����,真正核心數(shù)據(jù)防擴(kuò)散技術(shù)����,需要對(duì)信息內(nèi)容本身先進(jìn)行加密,然后在此基礎(chǔ)上再進(jìn)行安全防范���,做到防止拷貝�����,防止二次傳播�,這樣的信息安全技術(shù)才是真正可靠的技術(shù)�。所以,針對(duì)企業(yè)機(jī)密信息管理來(lái)說(shuō)�����,我們重點(diǎn)需要考慮信息內(nèi)容本身的安全���。
談到對(duì)信息內(nèi)容進(jìn)行加密���,我們一般首先想到的是運(yùn)用一些常見(jiàn)的加密軟件���,通過(guò)對(duì)敏感的文件或數(shù)據(jù)設(shè)置密碼����,這樣在訪問(wèn)這些文件的時(shí)候需要知道這些文件的訪問(wèn)密碼,通過(guò)輸入正確的密碼���,才能訪問(wèn)這些文件或數(shù)據(jù)���。每次保密前要設(shè)置密碼,查看時(shí)也要輸入解密碼��,費(fèi)時(shí)費(fèi)力不說(shuō)��,最大的弊病是這一切都要靠我們?nèi)藶橹鲃?dòng)地�����、有意識(shí)地去保密��。但試想一下����,當(dāng)一個(gè)本企業(yè)的內(nèi)部人員(他本身平時(shí)就能經(jīng)常接觸這些資料的)想帶出該企業(yè)的一些核心資料的話,他完全可以不主動(dòng)去加密這些文件(就算加密了���,因?yàn)樗枰幚磉@些數(shù)據(jù)����,當(dāng)然也知道密碼,加密了對(duì)于這樣的人也是沒(méi)有用的)�,從而將這些重要的資料一次性大批量的拷貝走啊。這樣的加密技術(shù)���,對(duì)于預(yù)防企業(yè)內(nèi)部人員的泄密�����,又有多大的作用呢����?
所以我們覺(jué)得����,需要一款好的企業(yè)核心數(shù)據(jù)防擴(kuò)散加密軟件,它必須具備以下幾個(gè)基本條件:
1�、加密的強(qiáng)制性
不管你愿意還是不愿意,企業(yè)內(nèi)部產(chǎn)生的一些核心數(shù)據(jù)都要被強(qiáng)制性的加密����,而且在生成文件時(shí)就對(duì)產(chǎn)生的文件進(jìn)行強(qiáng)制性保護(hù)控制����;
2����、加密解密的方便性(無(wú)密鑰加密)
時(shí)間是寶貴的����,我們不希望每次加密文件時(shí)輸入密碼,查看文件時(shí)也要輸入密碼����。我們希望我們的核心數(shù)據(jù)防擴(kuò)散加密軟件能夠自動(dòng)辨識(shí)出哪些是本單位并經(jīng)過(guò)授權(quán)的電腦,記住這些電腦的硬件環(huán)境���。在這些電腦上����,我們無(wú)需輸入密碼就可以輕松打開文件(這樣“內(nèi)賊”也就不知道如何解密了)��,因?yàn)槲覀兾募慕饷艽a��,就是這些經(jīng)過(guò)授權(quán)的電腦的硬件環(huán)境���,而且只有在企業(yè)網(wǎng)絡(luò)環(huán)境中才能自動(dòng)解密�,出了這個(gè)環(huán)境就無(wú)法解密了���。
3�����、加密解密的自動(dòng)性和快捷性
我們的要求�,在你這些重要數(shù)據(jù)產(chǎn)生的時(shí)候,我們的加密軟件必須要能實(shí)時(shí)自動(dòng)跟蹤�����,并對(duì)這些文件進(jìn)行自動(dòng)加密�,打開文件的瞬間,對(duì)這些文件進(jìn)行自動(dòng)解密��,整個(gè)加密過(guò)程無(wú)需我們?nèi)斯じ深A(yù)���。就是打開一個(gè)未加密文件時(shí)�����,不管有沒(méi)有對(duì)該文件進(jìn)行編輯�����,能夠自動(dòng)對(duì)該文件進(jìn)行加密���,并且不影響應(yīng)用程序的正常運(yùn)行及文件的正常使用。加密狀態(tài)的文件在電腦上可以雙擊直接打開�,并可以對(duì)它們進(jìn)行正常的編輯和修改,使用上和沒(méi)加密的普通文件沒(méi)有任何區(qū)別�。系統(tǒng)在后臺(tái)自動(dòng)運(yùn)行,對(duì)使用人員是透明的��,不需任何操作動(dòng)作����。不改變已有的使用習(xí)慣,生成的加密文件對(duì)設(shè)計(jì)系統(tǒng)不產(chǎn)生任何影響���。在同一公司內(nèi)部只要都安裝了同一系統(tǒng)的電腦上����,文件可以正常流通����,不受到限制。
4�、加密資料的安全性和唯一性
企業(yè)的一些核心數(shù)據(jù)是我們企業(yè)的無(wú)形財(cái)富。為了更安全地保護(hù)我們這些資料,必須要求我們加密技術(shù)的高強(qiáng)度性�����,被加密了的文件無(wú)法破解(破解所需的花費(fèi)要遠(yuǎn)遠(yuǎn)大于數(shù)據(jù)價(jià)值)���。同時(shí)我們還要確保同樣用這種核心數(shù)據(jù)防擴(kuò)散加密軟件���,企業(yè)的資料不能互相打開��,這就是每個(gè)單位資料解密密鑰的唯一性�。
5、方便對(duì)外交流
當(dāng)企業(yè)需要對(duì)外交流的時(shí)候�,某些密級(jí)不高的文件需要解密(但是需要高層領(lǐng)導(dǎo)審核,普通員工不能對(duì)任何文件進(jìn)行解密操作)��,這就需要方便高層領(lǐng)導(dǎo)對(duì)部分需要解密的文件進(jìn)行解密操作�。
3. 總結(jié)
綜上所述,我們現(xiàn)在對(duì)數(shù)據(jù)的存放���、處理和傳輸過(guò)程需要加倍的注意����,不要當(dāng)意外發(fā)生的時(shí)候說(shuō):“曾經(jīng)有一份珍貴的數(shù)據(jù)放在我的電腦中�����,我沒(méi)有珍惜�����,當(dāng)失去的時(shí)候才追悔莫及。如果上天能夠再給我一次機(jī)會(huì)的話�,我會(huì)對(duì)那份數(shù)據(jù)說(shuō):‘我要小心處理���?���!绻欢ㄒ獙?duì)這個(gè)小心加個(gè)程度的話,我會(huì)說(shuō):‘一萬(wàn)分�����!’”
本文節(jié)選自《信息存儲(chǔ)》雜志2006年度特刊,點(diǎn)擊此處瀏覽全部文章��。
想要免費(fèi)申請(qǐng)訂閱《信息存儲(chǔ)》雜志��,請(qǐng)點(diǎn)擊此處�����。
