信息安全重兵守城却无人看库
此言定令一些人莫名惊诧:难道网络安全了,服务器安全了,后台的数据还不能万无一失吗?但也定有更多人不惊诧,他们已经关注或实施过存储安全。后者的出现,将一改过去“重兵守城,无人看库”的边缘化安全模式,将存储安全还原为信息系统安全中核心部分。
关于存储安全,大家现在谈论最多的是备份和容灾,如此数据就安全了吗?想法还是过于乐观和简单。安全机构SANS Institute发布第二季度严重安全漏洞排行榜发出了危险信号——Veritas、CA公司的多个备份软件出现安全漏洞,旨在安全的备份工具正成为攻击者屠刀下的羔羊。
但遗憾的是,目前市场上还缺乏理想的存储安全产品和方案。安全厂商似乎一直把存储置之度外,很少谈及。而记者在日前召开的网络存储世界/2005中国大会上询问 “存储安全”时,多家厂商的参展人员大多往顾左右而言他。当然,也有厂商抱怨“几乎没有看到国内用户在存储安全方面提出任何要求”。
最安全的地方,最危险
一位银行人说,如果银行出现火灾,大家都不会去抱钱柜,而是抱着硬盘往外跑。因为几千万元的人民币烧了,可以重新印,但数据一旦丢失后果非常严重。
此话并非调侃。没有人怀疑数据的价值,存储安全之重要性也就顺理成章了。数据密集型的银行、电信等行业、企业,早把存储安全作为业务连续性的核心环节,并不遗余力地完善数据备份、建立异地灾备等。
一时间,备份、容灾就成了存储安全的主要内容和终极状态,大家从最初盲目相信存储就是安全的,改变为对存储安全手段的盲目乐观。现实正在摧毁我们的一厢情愿。
【备份软件】
为黑客打开方便之门
“尽管备份软件是为了预防灾难性的事件发生,但却为黑客攻击打开了方便之门”,安全机构SANS Institute称,“不幸的是,这些产品成为了最容易受到黑客攻击的目标。由于可以访问大量的数据,备份软件的缺陷将带来真正的危险。”
CA和Veritas占据整个备份软件市场的三分之一。安全专家称,CA BrightStor与Veritas备份软件的漏洞,使得黑客攻击已从前端的应用软件,转而攻击后端的资料库及备份软件。还有专家批评说:漏洞问题之所以严重的原因,是软件商在产品研发过程中,太过注重功能、成本与上市进程,而致忽略安全问题。
其实,并非惟独备份软件厂商忽视了安全,整个存储设备在当初设计时就没有考虑到安全性问题。赛门铁克在合并Veritas之后,现任总裁、首席执行官兼董事长John W. Thompson就承认:“以往,我们的确没有站在网络安全的角度上来考虑数据存储的问题”。这是因为最开始的时候,存储是作为直接连接的产品出现的,因此如果主机安全的话,存储也就同样是安全的。但后来情况完全改变了,光纤存储网络常常有多台交换机和IP网关,管理工作也越来越庞杂,改进存储安全已成为当务之急。
在SANS的报告中列出了所有安全问题的修复方法,但是一些新漏洞却不能得到及时快速的修复。据Qualsys软件公司的CTO Gerhard Eschelbeck介绍,一般来讲,系统管理员平均需要62天的时间来修复防火墙内的备份软件和其他软件的漏洞,而修复电子邮件服务器和其他与网络直接打交道的软件平均只需21天。
【数据丢失】
美国企业上演“流星雨”
近来美国各大企业的数据库屡遭黑手,数据失窃问题严重,许多企业被迫承认在安全性方面存在很大漏洞。在过去的数年中,许多企业对数据的安全性和保密性重视程度不高,所使用的仅是低廉、安全性能普通的数据库软件和存储设施,这给了黑客和网络犯罪分子可乘之机。
据美国联邦调查局和计算机安全研究所调查统计,在2000至2003年间,每年有40%的企业发生数据失窃事件。而最近半年,数据丢失事件频率和规模之壮观如同流星雨,以至于有人在感叹:麻木了,新闻标准要提高了。
从新闻报道来看,存储安全的疏漏五花八门。技术含量最高的应当是黑客攻击。如美国的付款信息处理公司CardSystems不适当地保留了信用卡客户的资料做“调查之用”,并在5月份黑客侵入它的系统时,造成了美国史上最大宗的资料泄露事件,泄密事件波及的信用卡用户多达4000万人。数据库公司LexisNexis的数据库被黑客入侵,至少31万名用户的个人信息被窃取,有分析说,可能是黑客发现了没有从系统当中清除的口令。LexisNexis还声称有人利用窃取的口令以欺诈手段闯入其数据库共达59次之多。鞋子零售商DSW 140 万个信用卡和记账卡的交易资料被窃。
有些采取的是欺诈手段。被称为“国家保姆”的ChoicePoint,数据库中总共包含190亿条美国消费者的数据,但却被人采用欺诈手段窃取了14.5万名美国居民的个人信息,其中包括社会安全号码、驾照号码以及信用卡资料。
最没有技术含量但最频繁发生的是失窃。比如5月份时代华纳包含60万名员工信息的备份磁带是在常规运输途中丢失的; 美洲银行包含120万名联邦政府雇员(其中包括90万属于五角大楼雇员)信用卡记录的备份磁盘在飞机上被偷; 花旗集团一批记录着390万客户账户及个人信息的备份磁带在运送过程中神秘失踪……
存储安全指在数据保存上确保完整、可靠和有效调用,既包括存储设备自身的可靠性和可用性(设备安全),也包括保存在存储设备上数据的逻辑安全(应用安全)。由于存储厂商已经在设备安全、安全厂商已经在网络安全方面都下了不少的功夫,但还有相当多的安全细节需要引起重视。
|
- 1自动化系统助政府“轻量级”办公
- 2校园网信息安全攻略
- 3快速升级路由器固件
- 4企业内外沟通不畅,移动OA搭建"桥梁"
- 5聚焦中小企业OA选型 易用性很重要
- 6移动OA研究:企业应用不深 重点集中在事务处理
- 7通用网址助推小微贷款“上网”
- 8市规划局投入使用办公OA系统
- 92006年中小企业服务器的发展与变化
- 10金乡县执法局举行OA办公自动化系统培训
- 11构建P2P下载服务
- 12是什么在促进OA办公自动化软件的发展?
- 13OA观察:决战周边化 杀回工作流
- 14移动RFID系统的含金量何在?
- 15SIP的生产力
- 16OA系统将审批自动化
- 17间谍软件的攻击手段
- 18OA办公系统搭载云计算 真的能一飞冲天?
- 19南昌OA软件市场里的英雄联盟
- 20解决软件测试的三大棘手问题
- 212013年OA市场竞争热点分析
- 22信息安全重兵守城却无人看库
- 23罗湖“OA”系统全覆盖 行政办公实现无纸化
- 24无线局域定位系统的分析与设计
- 25电子邮件存档技术
- 26利用办公自动化OA解决企业管理和办公难题
- 27解构Windows部署服务
- 28注册表的五个秘密
- 29浅述高性能计算的不同实现方法
- 30南昌OA市场下一个价值连城的秘密在哪里?