存储加密应对数据失窃
以Vincent Fusca为例。他是美国新罕布什尔州达特茅斯学院临床医学中心的运营总监,负责7TB的病人医疗数据,这些数据供涉及5000万美元研究经费的研究项目使用。Fusca说:“根据HIPAA法案的规定,我们要确保用最安全的方法保留和使用这些数据。如果这些数据丢失,我就死定了。”
各公司在开发新一代数据中心架构的过程中,越来越重视存储系统的安全性。Enterprise Strategy Group的信息安全高级分析师Jon Oltsik说:“负责存储系统的人们一直只重视性能和可用性,安全性在他们眼里不是问题。但是现在他们开始关注安全问题了。
Fusca采用Decru公司的专用加密设备保护存储服务器和备份磁带的信息安全。Kasten Chase Applied Research、NeoScale Systems、Vormetric等公司也都提供这类专用安全设备。当数据在网络中的主机和遍布企业各处的存储系统之间传递时,这些专用设备对数据进行加密和解密。Fusca用Decru的DataFort把来自医疗保健信息系统的原始文件转换成独立的加密数据单元,供该中心的研究人员、分析师和程序员使用。
Nemertes Research的高级副总裁Andreas Antonopoulos说,过去,IT人员要保证数据安全,必须采用软件。而软件引起的性能下降几乎无法忍受。他说:“专用设备采用尖端ASIC,所有加密工作都在硬件中完成,可实现更高的性能。”
限制加密范围
Antonopoulos说,对数据加密,尤其是对超出高层IT管理人员的物理控制范围、被带到别处的备份数据加密,是个好注意。他认为,尤其是那些加利福尼亚州SB1386等法规适用的公司,更应该这么做。因为这些法规规定,如果数据失窃,必须在30天之内通知失窃数据可能涉及的雇员和客户。但是“加密数据不在此列。因此通过加密,可以保护自己的品牌形象免受损失。”
专家们认为,尽管对所有数据加密可以保证万无一失,但是最好的做法还是有选择地加密数据。按揭贷款公司Ocwen Financial的副总裁Dale Pickford说,他只对大约200TB数据加密,这在其所存储的数据总量中仅占5%。他补充说,对所有数据加密成本太高,也太浪费时间。
Pickford说,首先需要加密的是含有潜在身份信息的数据,如姓名、地址、社会保险号、生日等,任意组合这些信息都可以确定某人的身份。其次需要加密的是贷款、信用状态、账户等细节信息。最后需要锁定“业务敏感”材料。另外,还要保证不想让竞争对手得到的那些信息的安全。
管理加密数据
一旦确定了哪些数据需要加密,就必须决定怎样解密这些数据以及按照什么规则解密。
Pickford采用的是Vormetric公司的CoreGuard加密引擎。他建议,关于谁能看到加密数据和怎样使用加密数据,要制定严格的策略。他说:“必须由合适应用中的合适用户使用合适的机器访问合适的数据库。别无他法。”
他甚至为其下属的IT部门员工制定了严格的数据访问策略。
Fusca则把数据分门别类,然后按照所制订的访问协议,分别装入不同的“保密容器”中,这些访问协议规定谁可以访问什么信息。他解释说:“我们有4个程序员、5个分析师和6个或7个研究员,他们需要不同的病人信息。这些人员登录系统以后,只能访问到他们可以访问的那部分信息。”
Antonopoulos说,高层IT管理人员需要全面控制密钥建立和管理过程。“如果没有非常强大的密钥管理系统,可能丢失所有数据。要确保了解密钥管理和密钥使用条件的所有含意和细节。”
另外,还要定期测试密钥系统。他说:“必须备份密钥,并确定好密钥和磁带的恢复方法,以防发生灾难。备份与恢复缺一不可,因为它们一损俱损。不仅要测试系统,还要测试整个备份恢复过程。磁带在哪里?密钥在哪里?怎样得到这些磁带和密钥?”
Antonopoulos指出,还要考虑加密标准问题。尽管有些专用设备支持多种标准,但是也有些只局限在一个标准上。要根据自己的数据存储需求选择所需标准。“如果有些数据需要长时间保持机密状态,那么就需要设备支持高级加密标准(Advanced Encryption Standard)和大型密钥。”如果数据不那么重要,支持DES就足够了。
安全审计不可或缺
成功实施存储加密的另一个重要方面是在安全审计中加入存储部分。Oltsik说:“应该进行全面的安全审计,将存储基础设施、(访问存储系统的)人员和物理安全包括进去。如果有人带着数据磁带出去或者侵入了网络,也是非同小可的事情,仍然属于数据失窃。”
Oltsik建议,还要进行风险分析,看在成本和性能方面IT部门能够承受多大的额外开销。他说:“尽管存在最低额外开销,但它仍然是额外开销。如果要保证数据安全,就要接受这笔额外开销。有一个美洲银行这样的事故,就足以让人们认识到,3万美元的投资是值得的。”
来源:CCW
- 1软件项目量化管理方法
- 2自动化机房管理方法
- 3如何让身份认证管理省时又省钱
- 4沈阳地区OA办公自动化系统哪家做得比较好呢?
- 5数据分类的方法
- 610种PowerPoint常见误用
- 7计算机病毒的“罪与罚”
- 8超小型UPS选购技巧
- 9数据备份之旅:磁盘与磁带的博弈
- 10计算机辅助工业设计技术发展状况与趋势
- 11安全什么是“主动”的真义
- 12如何从体系结构上避免DoS攻击
- 13协鑫集团CIO渠本强:知识管理驱动业务创新
- 14Linux系统管理技巧大荟萃
- 15小心拨号连接欺骗
- 16纵论城域网
- 17企业信息资源管理的五个基础标准
- 18安全服务的迷途
- 19千兆IDS的“真假之辨”
- 20谈项目管理和软件测试过程(三)
- 21千兆网综合布线系统设计与测试
- 22对付“网页仿冒”的四种方法
- 23如何配置VLAN基础架构
- 24ITIL、COBIT、CMMi、ISO、17799框架大揭秘
- 25数据“集线器”开始抬头
- 26微软新开发技术一瞥
- 27Linux商业应用现状
- 28灾难恢复第一步:应灾文档
- 29Cisco管理员必备的三个工具
- 30网络安全:企业“终端坏死症”的七个迹象