Loading...

企业数据安全

浅谈面对存储过程数据安全问题的解决

浅谈面对存储过程数据安全问题的解决

悉士凯乐回复: 

在这个信息爆炸的年代,现代人每天不论于公于私,都面临必须经手大量数字信息、而在数据安全问题上会出现各种麻烦;另一方面,随着数据量的增加,人们对存储认识程度也日益加深,特别是企业对于存储过程中数据安全问题尤为关注。一个稳定、安全、可靠的存储基础架构对企业来说是必不可少的。  

  企业的信息系统不可避免地受到来自外界的安全危胁,包括自然灾害、网络、硬件、软件等方面,也包括人员的操作失误。数据存储的任何失误都可能给企业带来巨大的经济损失。

  随着数据价值不断提升,以及存储网络化不断发展,数据遭受的安全威胁日益增多,若无存储安全防范措施,一旦攻击者成功渗透到数据存储系统中,其负面影响将是无法估计的。这要求企业在特定存储系统结构下,从存储安全性综合考虑。而企业在业务运作的过程中最常面临的存储安全问题,主要是由自然灾害,网络、硬件,人员的操作失误这几方面引起的。

  自然灾害导致数据存储安全
首先,这个不是一个人为的行为,大量的数据存储在企业的服务器存储系统中,业务在运营中由于停电或是数据传输过程中的线路突然短路导致的数据的丢失情况,对于企业是一个不小的损失,在这种状态下,由于自然灾害原因导致企业数据的丢失可以说对于一个企业的数据信息是一个很大的安全威胁,系统的正常运行,数据库的合理优化,操作人员的完善的操作程序都确保数据的稳定安全,而突发的停电、火灾以及后备电源的不到位对于中小企业是时常面临的问题,同时数据的存储安全成为面对该情况时必须要解决的问题,也是企业及时需要应对的措施,保证数据的安全,但如何面对该情况应对企业数据的存储安全呢?

  网络硬件
其次,企业数据的硬件环境方面的问题也会导致存储过程中数据安全,众所周知信息化快速发展的今天,硬件的更新换代速度之快,从而使得企业的传统的存储环境已经难以应对如今海量的数据需求,企业也要升级换代才可以适应现在数据存储的环境要求。硬件环境的老化导致传输速率的降低,同时网络的优化也需要良好的硬件环境作为基础,在传输数据的过程中如果数据量过于庞大,而企业的硬件环境没有改善那么网络的延迟导致系统的崩溃,从而丢失数据会造成巨大的经济损失,而对于这些方面,就需要企业根据业务发展的需要有针对性地升级存储服务器的配置,提高网络的良性环境,保证存储过程数据安全。

  人员的操作失误
“金无足赤,人无完人”是对于当今任何企业在数据管理人员方面的一句良言,每个人在工作的过程中不可避免的犯错误或者在操作上失误,特别是对于从事数据库管理工作的人员,数据量之大,系统运行之繁琐,都会给工作中带来不必要的失误,从而对于企业的数据上的安全和完整性存在危胁,同时中小企业的数据管理人员还肩负存储系统的运维工作,这就对其数据存储过程中的安全性提出了更高的要求,面对着企业存储过程数据安全问题,应该如何的解决,采取什么样的措施保证数据的安全是摆在每个企业面前的主要问题,数据是企业运营的核心,强大的数据的支持保障企业在市场中能够乘风破浪,如何解决存储过程数据安全问题,下面针对以上的问题给以简单的建议。

  一般而言,解决存储过程中的数据安全问题,企业有很多可以采用的方案:异地备份可以避免发生自然灾害时的数据损失;采用RAID(独立磁盘冗余阵列)可以减少磁盘部件的损坏;采用镜像技术 可以减少存储设备损坏;快照可以迅速恢复遭破坏的数据,减少宕机损失。而这些技术采用可以很好的应对企业面临的自然灾害,网络、硬件,人员的操作失误这几方面引起的数据的安全问题。

  异地备份
异地备份是保护数据的最安全的方式,无论发生什么情况自然灾害,那怕是火灾、地震,当其他保护数据的手段都不起作用时,异地容灾的优势就体现出来了,异地备份问题在于速度和成本,这要求拥有足够带宽的网络连接和优秀的数据复制管理软件。通常状态下主要三方面实现异地备份,一是基于磁盘阵列,通过软件的复制模块,实现磁盘阵列之间的数据复制,这种方式适用于在复制的两端具有相同的磁盘阵列。二是基于主机方式,这种方式与磁盘阵列无关。三是基于存储管理平台,它与主机和磁盘阵列均无关。

  RAID
RAID系统使用许多小容量磁盘驱动器来存储大量数据,并且使可靠性和冗余度得到增强。对计算机来说,这样一种阵列就如同由多个磁盘驱动器构成的一个逻辑单元。所有的RAID系统共同的特点是“热交换”能力:用户可以取出一个存在缺陷的驱动器,并插入一个新的予以更换。对大多数类型的RAID来说,不必中断服务器或系统,就可以自动重建某个出现故障的磁盘上的数据。

  镜像
这个技术是针对如果故障发生在异地分公司,可以使用镜像技术,进行不同卷的镜像或异地卷的远程镜像,或采用双机容错技术自动接管单点故障机,保证无单点故障和本地设备遇到不可恢复的硬件毁坏时,仍可以启动异地与此相同环境和内容的镜像设备,以保证服务不间断。当然,这样做必然会提升对设备的投资力度。

  快照
在数据保护技术中,快照技术(snapshot)是极为基础和热门的技术之一,应用在很多存储过程中,比如数据复制和备份都在使用这种技术。IBM的FlashCopy、IBM NAS的PSM软件以及VERITAS的FlashSnap软件都是快照技术的代表。快照可以迅速恢复遭破坏的数据,减少宕机损失,可以针对与数据库管理人员在操作中的失误进行数据恢复。

  综述:
对于企业在存储过程中的数据安全问题,还有很多解决的方案,存储安全固然十分重要,但是存储安全只是数据中心整个安全解决方案的一个组成部分。安全是一个内涵很广泛的话题,存储在业务流程中扮演的并非是主角,但确实是关键角色,因为存储包含了公司绝大部分记录,如果没有存储,很多业务流程将没法继续。因此,对于面对存储过程数据安全问题每个企业应该注视起来,投入更多的精力,数据是一个企业的核心竞争力,安全强大的数据是企业腾飞的保证,存储技术的发展,硬件环境的完善相信会给企业数据安全无疑提供强有力的支持
 

旧硬盘可能泄露企业机密数据

企业电脑设备更新换代,旧硬盘的处理不当可能泄露企业机密数据吗?

一般存在什么风险,应该怎么处理?

悉士凯乐回复: 

根据一项研究指出,许多企业及个人在处理老旧硬盘时过于草率,导致硬盘上的机密数据外泄。该研究从各种渠道搜集到约350块硬盘,而研究发现,其中约有37%的老旧硬盘里可查出敏感数据,这些未妥善处理的硬盘除了来自个人,也有来自企业的二手硬盘。

  研究人员在这些二手硬盘上发现的数据包括个人薪资、特定企业财务资料、信用卡号、医疗数据、信用卡申请数据、网络购物数据等。

  研究人员指出,其中还有些硬盘混合了个人与企业数据,这显示许多使用者将企业数据带回家,这也将引发一些严重的疑虑。而与2006年进行的调查相较,内含敏感数据的硬盘比率还上升3%,这也显示一些鼓励删除硬盘上机密数据的倡导或法规并没有发挥真正效用。

  研究人员指出,许多使用者并不了解仅仅删除或格式化硬盘,并不意味着这些数据就无法被复原,除非这些扇区的数据被其它数据覆盖,否则这些被删除或格式化的资料还是可以通过某些软件复原。

     而且一些已经损坏的硬盘,特别是企业硬盘,如果流入回收渠道,则会给人修复,并且可能导致数据泄密。

  除了传统硬盘外,随身存储装置,如MP3、iPod、USB闪存或智能型手机等也成为潜在的资料外泄渠道,该研究计划在明年也把这些移动产品列入调查产品中。该研究团队指出,USB闪存可能是资料安全保护上相当严重的问题。

悉士凯乐对于企业数据安全尤为重视,特别提醒有能力的企业用户加密服务器和个人使用电脑上面的所有数据,尽可能限制员工拷贝企业数据回家,并且对员工进行必要的培训避免更多可能的数据泄密。

而且员工可能出于数据保障考虑,会拷贝数据回家做备份。为了消除这些顾虑,前提是企业有规范的数据安全和备份机制,这样才能消除员工对数据保障的担心。

一成不变的保护策略十分危险

一成不变的保护策略十分危险

悉士凯乐回复: 

企业可能正在将自己的数据置于危险中,尤其是没有法规保护的情况下,也许他们正在利用数据存储新发展的技术,来窃取组织中的每一点数据。

  现任EMC安全产品部负责人的原RSA的总裁Art Coviello在伦敦的RSA会议上,对于企业的存储策略给出了这样的评价。

  Coviello在会议上呼吁用户应该了解他们有什么样的数据,又是谁在管理着这些数据,而企业根据这些数据做了些什么工作,并且一定要在存储数据之前对数据进行分层管理,并明确用户的权限。

  他认为这对于组织内部能够了解哪些数据是最有价值的,具有非同一般的意义,从而在为其提供充分的安全保证的同时,还能够更加充分的利用这些数据,让数据中的信息像"集群"一样有效。同时,这样的管理模式可以减低那些对数据偷窃行为有吸引力的"窃贼"成功的几率。他还谈到,"绝对的机密的数据,唯一可能的丢失会出现在内部,而可以公开的数据(设置低权限的数据)仅仅是这些数据的开头而已。"

  "虽然我们在我们的操作规范中有一个符合法定的生态系统,但是那些窃取数据的犯罪团伙可同样有着他们的不合法的工作体系。"他这样提醒着用户。

  每一家企业必须有自己的监视和显示策略,并在自己的数据管理中贯彻他们,以防止不法分子读取和使用他们的数据。

实施数据加密迫在眉睫您准备好了吗

企业数据安全和泄密影响形势越来越严重,怎么确保更加安全?

悉士凯乐回复: 

无论对于大型的跨国集团,还是仅仅拥有10名员工的家庭作坊式的小型公司而言,实施数据加密措施都是有百利而无一害的。目前有许多公司之所以不肯引进数据加密技术和设备,主要是出于经济方面的考虑,担心会因此增加太多的存储成本。实际上,无论是大中小型企业,只要它们愿意花点儿工夫来考察市面上的数据保护产品,都会找到适合自己的选择。

  数据加密,已经成为一种时尚潮流。
近几个月来,不少公司因为丢失了存放客户敏感信息的备份磁带而荣登新闻头条,其中不乏全球知名企业,比如说时代华纳、美国银行(Bank of America)、花旗金融服务公司(CitiFinancial),等等。每当这类消息一见报,Decru和Neoscale Systems的客户热线电话就会被打爆了,目前只有这两家公司可提供线速的磁盘加密技术。所以,人们通常都以为,购买加密设备只有2个选择,不是Decru就是Neoscale Systems。

  几年前,当这两家公司推出自己的第一台硬件加密设备时,就引起了我的极大兴趣。我本身是主张企业用户使用这类加密工具的,因为它们的操作方法最简便。我的一个客户甚至告诉我,自从开始使用硬件加密设备,他感觉他们公司的数据备份速度似乎加快了一些,这完全是有可能的,因为加密设备所采用的压缩算法远比磁带机自带的压缩工具高级许多。(注:磁带加密设备在加密数据之前,会先将数据压缩,因为,加密后的数据是无法压缩的。)

  那么,如果是小型企业的话,应该采取怎样的加密手段呢?要知道一套硬件加密设备的售价,有可能比该公司一整套的备份系统还贵上不少呢。没问题,条条大路通罗马,我建议这类用户不妨试一试将数据存放在加密的文件系统内,或者,安装一个基于主机的应用程序,它将会自动加密存储的数据,这样一来,写入磁带的备份文件自然也是加密的。

  还有一个办法,就是利用备份软件来加密备份数据。基于软件的加密解决方案虽然价格不菲,但是与高速度的硬件加密设备比起来,还是要便宜许多的;另外,用户也可以选择其它厂商制造的硬件加密装置,比如说Disuk Ltd.,它们处理数据的速度相对慢一些,价格却只有Decru和Neoscale Systems的产品的几分之一;最后再给你支一招,干脆将本公司的备份数据管理工作外包给专业的服务商,先将数据加密,然后再通过电子工具和网络,将托管的数据传送到服务商设在异地的备份与容灾恢复站点内,整个过程根本不需要用到磁带,自然也就不用担心磁带失窃的问题了,而且,采用这个办法还有一个附加好处,服务商可为客户提供无限的存储空间。

  如果你面对的是几十甚至数百TB的数据需要加密的情况,考虑到数据传输速率、存储容量、可管理性等多方面因素的限制,以上介绍的某些办法并不适合使用。但是,如果只是对区区上百GB的数据进行加密处理,那么,不妨参考参考这些办法,既花不了多少钱,又消除了“因磁带失窃而导致敏感数据外泄”的隐患。

移动存储介质六大误区——严重威胁数据安全

移动存储介质处理不当,可能严重威胁企业数据安全?有哪些误区是常犯的?

悉士凯乐回复: 

每隔几个月,就会传出磁带丢失或笔记本电脑被盗的糟糕事件;于是我们就在想存储在介质上的信息会不会被坏人所利用,因而不但使公司面临公关危机,还会使个人面临泄密威胁。

保护企业关键数据安全是IT运维人员最为基本的工作之一。很多企业均采用移动介质存储方式来对数据进行备份保护。为保证他们保护数据安全的工作能够顺利完成,本文提醒你要小心——不要步入移动介质存储方面六个误区之中。

第一个误区:磁带过时了

简陋的磁带让人联想到久远的大型机和批处理时代,在一些情况下已经被磁盘到磁盘备份(通过网络备份至远程站点)所取代。但是说到迅速而高效地备份、归档及恢复大量数据,没有什么比得过磁带。

Iron Mountain公司既提供通过网络连接的数据备份,又提供在其站点的磁带存储服务。这家信息保护和存储公司的高级副总裁Ken Rubin说:“遇到灾难的情况下――这时候需要争分夺秒,没有什么比把一堆磁带放到车上、开车送到恢复站点更有效的了。由于带宽方面的限制,通过网络连接传输数TB或数PB的数据是不切合实际的。”

不过,有些用户想改用其他存储服务。Affiliated Computer Services Inc.(ACS)公司的首席信息安全官Christopher Leach说:“由于磁带面临丢失的威胁,我们正在设法退出磁带存储这一块业务。”他表示,ACS正在开发一项服务:要是文件不是太大,把经过加密的数据备份通过网络浏览器发送给客户。

误区二 保护磁带和笔记本电脑是网管的工作

保护信息技术当然是IT人员的一项工作。但是公司里面其他人同样有着重要作用,可是这种作用经常被人们所忽视。

纽约州的CIO Melodie Mayberry-Stewart动用由12个人组成的法律团队来研究最佳安全实践,特别是金融行业方面的安全实践。她表示,其中一些人专门从事加密和电信等领域。另外,她还有一支不同的技术团队,成员专门从事安全和风险管理。Mayberry-Stewart表示,律师们与Iron Mountain等运送及保存纽约州磁带的公司协商签订“事无巨细”的合同以及“服务级别方面的备忘录”――每个月要从四个大型机数据中心运走大约4000只磁带。

Sun公司在世界各地的七个数据中心经常创建磁带。尽管每个数据中心管理各自的一套数据保留流程,“它们不需要制订各自的所有规则,”Sun公司的首席信息安全官Leslie Lambert说。那么,这些规则、政策和程序从何而来?她说:“我们有一支非常警觉的法律团队、一支隐私团队、商业行为规范团队、内部审计员、外部审计员以及信息保护法律小组――大家都相互合作。”

Leach表示,时时遵守数据保护和保留方面的政府法规需要具备专业知识,不过这项工作的难度太大了,于是他通过Relational Security公司的风险和合规管理软件来获得自动化帮助。

误区三 丢失磁带主要是个安全问题

当然,丢失磁带也可能是场安全灾难;要是被公众知道,那对公关部门来说无疑是一场噩梦。但另外可能还存在危害性同样大的后果。

医疗产品生产商Stryker 公司的IT副总裁Brian Lurie说:“我并不过于担心丢失员工信息(比如社会保障号码),不过这个问题肯定很重要。让我夜不能寐的是,可能会丢失磁带,然后不得不向管理当局FDA出示数据。我担心的是公司因丢失信息而要承担的责任;按照法律,我们必须妥善保留信息。”

Lurie表示,尽管法律要求一些信息要保存7年,但Stryker必须长期保留人体内使用Stryker产品的客户们的信息、直到他们去世。虽然该公司在远程站点恢复中心对磁盘做了镜像处理,但经过一段时间后,有些数据只保存在磁带上,这些磁带被Iron Mountain运送过去、存储在远地。

Lurie定期派审计人员到Iron Mountain的地方去清查Stryker的磁带。他表示,定期审计是分三部分的磁带保护计划的一部分;该计划还包括精心拟订合同、与信誉可靠的磁带存储供应商合作。

专家们表示,有人窃取磁带后非法利用这种事很少发生,几乎不用担心。简单的人为错误引起磁带丢失、从而影响将来处理磁带,显然是最常见的问题。

误区四 技术解决不了,关键是严格控制

专家们表示,精心设计、尽可能自动化以及经过测试的规程和控制措施,能够最有效地限制磁带和笔记本电脑因无人看管而引起的丢失。但是技术也能起到很大的帮助。

数据加密仍然是首要的工具。尽管这项技术消除不了Lurie担心因无法恢复数据而吃官司的忧虑,但是可以放心地告诉律师、记者和警方:坏人对笔记本电脑无从下手,因为硬盘经过加密;或者对磁带无从下手,因为磁带上的数据无法读取。

Leach表示,ACS的所有员工台式机和笔记本电脑都要求“经过全盘加密”。“一旦磁盘经过了加密,我们可以监控及跟踪;如果你试图解密硬盘,我们就会知道,然后会通知你的管理人员。”

ACS放在达拉斯磁带库的磁带超过了100万只,其标准做法是对这些磁带上的内容进行加密。Leach表示,但是有些客户不想费钱又费力地对ACS送过来的备份磁带进行解密,所以他们要求保存的内容采用明文格式。他说:“对这些磁带而言,我们在每一步都有非常严格的包装、标记及跟踪,几乎就像是案件中的监管链(chain of custody)。磁带放入到龟形盒,这种盒子需要两头上锁及开锁。”

另外,他说“我们为这些磁带保了高额险,倒不是因为磁带或光盘很值钱,而是因为这会促使运送方采取更严格的流程和更认真的检查。”

用户声称,他们在研究新的技术来补充或代替加密。纽约州正在关注保护笔记本电脑和磁带盒的拇指纹扫描。ACS也在考虑三款磁设备的原型:一旦上锁的盒被摔开,这种设备就会清除上锁盒里面磁带上的内容。

Iron Mountain表示,最有效的自动化帮助可能来自磁带库存控制系统,它有助于杜绝磁带丢失的首要原因:公司内部的人为错误。

误区五 加密后可万无一失

尽管加密常常被认为是最佳的技术解决方案,但它也有缺点。比方说,如果你要恢复磁带上的内容,却丢了用来解密的密钥,可能要倒霉了。另外,把数据写入到磁带、笔记本电脑硬盘或移动介质之前进行加密要占用大量的计算机资源。最后,加密在许多公司不是一项硬性要求,员工可能会规避。

由于这些原因,Stryker对笔记本电脑的硬盘不加密,除非硬盘上有敏感数据。远程用户可能需要的敏感信息放在受保护的服务器上;只有需要服务器上的敏感信息时,才可以访问;并不保留在本地。Lurie承认这不是完美的做法,因为这需要用户主动遵守规定。

Lurie表示,如果Stryker改用Windows Vista,他可以省不少事;因为该操作系统提供了对数据自动加密的选项。他补充说:“不过加密选项是个负担――你需要额外内存,还会使机器的运行速度减慢。”

误区六 如果你保护了,就可无忧了

新闻报道的注意力集中在丢失的磁带和笔记本电脑上,但还有其他许多设备每天晚上从贵公司的大门溜走。Lurie表示,“黑莓”手机等移动设备在Stryker得到了保护。他解释:“我有能力远程清除移动设备上的内容。一旦移动设备丢失,我们会立即向设备发出信号、清除上面存储的内容。”

但是,闪存驱动器、光盘和DVD更成问题。Lurie的解决办法就是:“如果没有经过加密,我们就阻止把敏感信息下载到它们上面。”

Lurie表示,他甚至担心不太起眼的手机。他说:“我们不允许把相机带入办公大楼,但很多人的手机有拍照功能。要是谁给某人或某样东西拍了照,然后发到网上,我们可能就要承担责任。我还不太清楚如何处理这种问题,但一直在认真思考该问题。”

保护中小型企业数据安全技巧

请说说保护中小型企业数据安全技巧和经验。

悉士凯乐回复: 

无论何时,数据都可谓企业运转的血液。而在这个网络时代,数据保护更是成为大大小小企业们的不可避免的重要话题。但中小企业所面临的问题与大型企业相比,其复杂性也不可小视。可以说,其数据管理的复杂性与大型企业不相上下,而其支持力量却很有限。但与大型企业不同的是,中小型企业一般并没有足够的预算供养太多的IT人员。比方说,中小型企业一般没有什么顾问和系统集成商可以咨询。

  今天笔者就谈谈如何克服这种财力和人力资源紧缺的情况来更有效地保护企业数据。

  对于一个中小型企业而言,要保护好堪称之为企业之血液的数据安全,可以将数据看作是一个三层的结构,这三层的安全性都必须得到保障。应用程序位于顶层,它是数据流经的必由之路。其下层是某种类型的数据库,它可以处理更为敏感的静态数据,也可以处理动态数据。位于最底层的部分是网络结构。

  这种三层结构的不同组成部分的联结之处正是数据发生泄漏的地方。因此,企业应当借助于一定的技术方法来研究并查明不同层之间的相互关系。

  数据备份一直在任何的数据保护策略中扮演着一个重要的角色。从传统上讲,一般的公司每天都备份其数据,通常在下班时间进行。不过,这种方法对大多数企业是不够的。最大的挑战在于需要花费多少时间来实施之。

  企业负担不起丢掉24小时之中辛辛苦苦积累的数据,因此企业日益重视准许其更频繁地备份数据的快照技术。企业应当重视“及时点”的观点,如果企业的网络在3点钟发生了故障,而拥有2点钟的快照,那么它们就可以回到1小时之前的操作状态。

  一种称为持续数据保护(CDP)技术提供了对快照版本的更精细的控制。这种技术可以达到这样一种水平:如果在3点钟发生故障,企业可以回到2点59分重新开始其运作。

  但持续数据保护远没有得到大规模使用,但随着人们对其认识的增强,备份软件的厂商开始将其集成到其产品中,这种技术在备份方案中的使用更为广泛。

  另外,保持数据的一个远程备份是相当必要的,最佳的选择是将数据及其持续的改变传输到另外一个远程设备中。

  对中小型企业来说,外购备份和存档方案可能是最敏感的方案。其实,企业未必将资本投资于构建或扩充某种方案中,企业需要花费的是经常的操作性支持。

  虽然只有很少的企业采用了远程计划。许多企业忽视了其做的备份并在发生灾难之前拒绝实施远程投资,此时它们只有目瞪口呆而已。但后悔是无用的,防患于未然才是最关键的。

企业数据安全最重要

企业数据安全现状,面临什么威胁和挑战?企业应该怎么保障数据安全?

悉士凯乐回复: 

数据加密将成为保护企业最有价值数据的主要工具,利用数据加密技术可保护笔记本电脑、工作站和服务器等设备硬盘上的所有文件(包括操作系统的文件)安全。

很多企业对于信息安全的规划,往往把主要的精力放在网络边界。但是,有许多网络安全问题却是由于内部员工所引起的。例如,在员工浏览网站、利用即时通讯和访问购物网站的时候,一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中,而且这些恶意软件还会在企业内部网络中自动进行传播。

特别值得注意的是,企业的机密资料、客户数据等信息可能会由于恶意软件的存在被盗取。据CSI对484家公司调查的结果显示,超过85%的安全威胁来自企业内部;而其中的威胁,有16%来自于内部未授权的访问。

数据安全最重要

随着企业信息化工作的开展和不断深化,越来越多的企业信息通过网络进行传输和共享。这些信息和数据既包含业务数据,也包括财务凭证、报表、人事档案资料、公司内部公文以及合作伙伴的结算信息。这些信息有些是企业的商业机密,有些用于企业的规范管理,有些用于辅助决策。它们对企业的生存和发展起到至关重要的作用。

可以说,数据安全已经成为当今企业安全建设的重中之重。数据加密将成为保护企业最有价值数据的主要工具,利用数据加密技术可保护笔记本电脑、工作站和服务器等设备硬盘上的所有文件(包括操作系统的文件)安全。即使硬盘被盗,用户依然不用担心,因为数据不会被非授权用户浏览或获取。虽然黑客可以潜入企业的服务器,但是,他们也无法对服务器上的数据和信息资产造成破坏。因为,这些资产都得到了安全的加密保护。

如果对电脑的硬盘进行加密保护,可以直接降低信息被非授权者所利用的风险。对硬盘进行加密可采用业界公认的加密算法,例如AES 256位长度密钥,可对硬盘进行高强度保护。目前这种保护强度,还不会被轻易攻破。在没有经过授权的情况下,硬盘会处于加密保护状态,即使将其连接到其他系统也无法读取或存储硬盘数据,惟一的处理方式就是将硬盘格式化。

硬盘加密的招数

安全固然重要,但必须要实用且不会对企业造成负面的影响,能够确保信息的隐私性。硬盘加密的效果经常被提出来讨论,因为大多数人一致认为硬盘加密会大量降低系统执行的速度。

这种说法的确值得讨论一番,因为硬盘加密对于硬盘I/O和CPU的使用量会产生潜在性的影响。因此,在硬盘加密时,通过分段硬盘加密技术,可以将硬盘加密对公司营运的影响降到最低,达到高安全且快速的加密效能。可靠的硬盘加密方式,须具备业界广泛认可硬盘加密的算法,即要支持AES 256位长度的密钥,也需支持其它算法(例如TDES和IDEA)。一般来说,硬盘加密产品需必备以下功能:

用户密钥文件:硬盘加密产品都需要一个密钥来加密硬盘中的数据,密钥的管理成为一个重要的方面。如ProtectDrive提供了一个方便密钥管理的Syskey.bin文件。在ProtectDrive安装时需要此文件。在对硬盘进行加密时,此文件将被用做加密硬盘密钥文件的种子。

若没有此文件,将无法移除ProtectDrive、也无法针对被加密的硬盘做解密操作,更不能处理密码复原的动作。
Windows单点登录:需要为用户提供方便安全的系统登录方式,可以降低用户网上冲浪、社会交际和密码泄露的风险。

大多数的公司通常采用活动目录(Active directory)的功能强制禁止用户使用辅助装置。用户可以在硬件加密方案提供的活动目录管理接口中,设定全域策略来限制所有用户使用二级存储设备。本地用户将无法修改域安全的设定,这样就可达到通过禁止使用二级存储设备来保护本机机密信息的目的。当有他人尝试对数据进行读取时,就会显示登录警告,这样可以提高用户的警觉性。

备份和恢复:硬盘加密产品通常都会提供数据备份和恢复的工具。当硬盘加密信息变更时,将立即进行系统备份。当系统出现不稳定状况时,可以使用由数据表文件组成的备份文件来恢复磁盘数据。

密码遗失:密码管理通常为IT的头号敌人。有研究报告指出,很多系统管理员对密码进行管理的大部份时间都花在如忘记密码等问题上。这就需要产品能够提供具备挑战响应(Challenge-response)的机制,进行密码恢复。
用户需要通过系统的相应功能来生成一个13个字符的“挑战码”,与拥有用户Syskey.bin文件的管理人员联络,并将“挑战码”告诉管理员,管理员就可以为用户产生一个“响应码”。在“响应”字段中输入“响应码”,用户就可以登录系统更改密码。

防范风险的终极手段

通过数据加密来保护数字资产,是防止未经授权用户泄漏重要电子信息的终极手段。但保存有机密数据的移动设备非常容易丢失或被盗窃,而通过公司网络或互联网传输的数据则有可能会遭到截取。这些可能性事件都会给敏感数据带来巨大风险。

假设网络非常坚固,但对于一些网上黑客或恶意员工而言,由于他们了解如何来突破部署在网络周边的安全措施。因此,最终他们仍然会通过最后防线窃取到机密数据。
这样看来,惟一可对这些潜在风险形成阻碍的手段就是数据加密。

如何打好企业数据安全之战

如何打好企业数据安全之战

悉士凯乐回复: 

随着企业信息化进程的推进,工具软件与信息系统在企业中发挥着越来越重要的作用。企业常用的软件包括办公类软件(例如,微软Office系列)、二维CAD软件(例如,AutoCAD)、三维CAD软件(例如,Pro/E、UG、SolidWorks)、电子设计软件(例如,Protel)、图像处理软件(例如,PhotoShop)、视频处理软件(例如,Premiere)、软件开发环境(例如,Visual Studio),以及财务管理、ERP、PDM、PLM、CAPP、CAM、CAE等软件。这些软件中以电子数据的形式存储着企业的机密或专利信息。这些信息对于企业至关重要,甚至决定了企业的生死存亡。可以说,这些电子数据是企业的重要资产,这就需要大家引起对企业数据安全的关注。

  随着网络的普及,这些重要数据正面临被窃取的威胁。据CSI/FBI的2006年度调查报告显示,因敏感或专利数据被窃取造成的经济损失占全部损失的11%,笔记本等移动设备被窃造成的经济损失占全部损失的13%,对信息的未授权访问占全部损失的20%。

  仅上述三项与数据窃取有关的行为造成的损失约占总损失的一半。该数据表明,数据窃取已成为企业数据安全的重大威胁。对企业来说,如不正视这一威胁,就可能造成企业重要资产的流失。

  目前市场上已有的安全产品,例如防病毒软件、防火墙、网络隔离器、虚拟专用网、入侵检测系统、容灾备份系统等,能组成一套数据安全的解决方案。这种解决方案更多关注于对外部威胁的防护上,对于内部威胁的防护则作用有限。而在现实生活中,针对企业数据的内部威胁无处不在。例如,

  · 设计人员窃取企业的电子图纸文件;

  · 内部人员窃取企业的财务数据;

  · 药厂或化工厂内部人员窃取企业的配方;

  · 广告公司人员窃取创意;

  · 软件开发者窃取企业源代码与文档。

  另据CSI/FBI的2006年度调查报告显示,超过三分之二的被调查者认为企业中存在着内部威胁,并给企业造成损失。事实上,堡垒最容易从内部攻破,内部威胁比外部威胁更具有破坏性。

  面对上述内部威胁,国内多数企业的应对措施局限在通过人工方式来解决。例如,

  · 管理人员监督和定期检查计算机使用情况;

  · 禁止计算机连接网络;

  · 拆除计算机上的光驱、软驱;

  · 破坏USB口,禁止使用可移动存储器;

  · 在外设接口与机箱上贴封条,定期检查封条状态。

  上述“堵”的方式将网络化的数据共享环境人为隔离开,使工作人员退回了在一个个“信息孤岛”上工作的原始状态。 实践证明, 这种方式不仅影响员工正常工作,而且管理成本相当高,同时效果也比较有限。因此,针对企业数据的内部威胁问题,迫切需要一个新的企业数据安全保障系统。该系统通过与传统安全产品的集成,能有效封上数据安全防护堡垒的最后一块砖。

  企业数据安全,为谁而战

  首先要考虑的问题是:这个企业数据安全保障系统要保护的对象是什么?从名称上可以知道,该系统要保护的对象是企业数据, 而非个人数据。 本文所谓的企业数据主要指企业内部的机密或专利数据,例如设计图纸、配方、广告创意、财务数据、软件源代码与文档等。 这些数据能够为企业创造价值, 体现了企业利益所在,是企业核心竞争力所在。这决定了企业数据安全保障系统应是符合企业利益的,而非个人利益。该系统的主要功能是防止企业内部或外部人员有意或无意地泄露企业数据。因此,企业数据安全保障系统从安全管理角度应由管理人员集中控制,其功能目标可通过“六个集中,六个强制”来归纳。

  1. 集中策略管理,强制执行策略

  企业数据安全保障系统中涉及的策略主要包括:文件、网络、外设的访问控制策略;用户策略;安全域构成策略;资源共享策略。该系统应将上述策略交由管理人员集中管理与控制,能将策略自动分发到工作人员所在的计算机上,并在该计算机上强制执行这些策略。

  2. 集中密钥管理,强制加密数据

  安全系统的一个重要基础是其密码系统,密钥管理是密码系统的两大要素之一。企业数据安全保障系统应确保根密钥掌握在管理人员手中,密钥使用范围与时间的限制由管理人员来控制。为便于企业使用,加密企业数据的密钥应能自动分发与更换。 为便于集中控制, 工作人员处理、分发、传输企业数据的过程中能强制加密,确保存储或传输的数据是加密的。

  3. 集中安全审计,强制提交日志

  任何安全系统都不能保证没有防护上的安全漏洞,因此安全审计作为安全防护的一种有效补充手段,能强化整个系统的安全性。企业数据安全保障系统的安全审计子系统应能对安全域中的计算机进行集中的、可视的审计,及时发现安全隐患,增强系统安全性。为达到集中控制的目的,应强制工作人员所在计算机提交计算机环境、程序运行、用户操作等审计日志。

  4. 集中导入控制,强制导入数据

  如要把历史遗留的企业数据也用企业数据安全保障系统管理起来,就需进行数据导入。由于并非所有工作人员都能维护企业利益,数据导入工作一般由少数人进行。为此,企业数据安全保障系统应为数据导入者提供一个便利的集中导入控制台。该控制台能搜索安全域中所有计算机上的历史遗留数据,并集中导入到安全系统中。

  5. 集中存储管理,强制提交数据

  部分企业数据(例如图纸文件)存储在工作人员的计算机上,只有将它们集中存储,才能进一步整理与挖掘这些数据,为企业积累知识。企业数据安全保障系统应能强制控制工作人员计算机的企业数据存储区域,或能强制将工作人员计算机中的企业数据提交到服务器上,从而使企业数据的集中存储、集中归档成为可能。

  6. 集中安装控制,强制安装系统

  企业数据安全保障系统能否发挥作用, 重要前提是工作人员计算机上都安装和使用了该系统的软件。 为此,有必要给管理人员提供集中安装控制的工作台,从而确保能在工作人员计算机上强制安装企业数据安全保障系统,并防止工作人员恶意卸载与破坏。

  企业数据安全,如何应战

  明确了企业数据安全保障系统的目标后,需考虑如何满足上述目标,即解决如何做的问题。从安全需求角度,企业数据安全保障系统应确保企业数据按预期方式传输、存储与处理,并保障在上述过程中企业数据的机密性、完整性、真实性、不可抵赖性和可用性。其中,

  · 机密性:指不会出现未授权的信息泄露。

  · 完整性:指不会出现未授权的信息篡改。

  · 真实性:指确保是合法者发送的信息,而不是非法者或入侵者发送。

  · 不可抵赖性:指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。

  · 可用性:指用户能够随时随地访问到工作所需要的信息。

  在上述特性中,企业数据的机密性与可用性对企业数据安全保障系统尤为重要。机密性是企业数据安全保障系统的根本目标,但不能在保障机密性的同时降低了数据可用性。如果数据可用性差,会给工作人员带来很大不便,使工作人员难以接受企业数据安全保障系统,甚至会影响企业正常运作。

  为提高数据可用性,除采取提高系统持续运行能力,实施容灾备份措施之外,企业数据安全保障系统还能从细化控制粒度角度贴近用户体验,从而提高数据可用性。

  细化控制粒度可从控制方式、控制对象、空间位置、时间范围四个角度入手。

  1. 控制方式

  从控制方式角度,应采用以疏导为主,外松内紧的管理方式,系统遵循如下设计原则:

  · 尽量不改变工作人员现有工作习惯;

  · 在授权情况下,不限制网络、存储介质与外设的使用;

  · 工作人员操作过程中,自动、透明地进行数据加解密操作;

  · 在发生灾难时,允许短时间的应急使用。

  2. 控制对象

  传统的企业数据安全保障系统控制对象的粒度一般是计算机或网络。这造成了工作人员之间、内部人员与外部人员之间交流不畅,影响了工作效率,增加了管理成本。

  企业数据安全保障系统控制对象的粒度应细化到文件、计算机、网络、用户、程序这五个层面,并支持上述五个层面的认证鉴别、授权与访问控制机制。

  3. 空间位置

  传统的企业数据安全保障系统对空间位置的限制比较死,一般局限在固定的网络或计算机上。随着互联网与移动应用的普及,为便于企业内部或企业间的交流沟通,空间位置范围应在如下方面拓展:

  · 允许客户端与服务器分布在广域网上,并跨异构组织工作;

  · 在连接不上服务器的情况下,允许携带笔记本外出工作;

  · 允许支持PDA、手机等移动应用。

  4. 时间范围

  相对于空间位置范围的拓展,企业数据安全保障系统对时间范围的约束应更加严格,粒度更精细。企业数据安全保障系统中的文件、计算机、网络、用户、程序都应有有效期限,并有相应的有效期管理功
 

各位IT人士,能不能就企业的数据安全(丢失与泄密)谈谈自已的看法,对于中小企业,用什么方案好

内部员工一走连资料也带走了,硬盘也格掉,很苦恼,有一台数据服务器,可他们就不主动把数据放上去。希望各位资深人士能谈谈你们的保贵经验.

悉士凯乐回复: 

这个还是管理的问题.
也可能是公司的规模不够,大多数做的东西都是需要放到一个SERVER上的.拿VSS为例子,大家都要用它进行文档(我说的主要是代码)的比对等.所以大家都能主动的CHECK OUT/IN.

另外这些是可以写到合同里面的,如果他违反约定(主要是造成损失,一般来说带走点资料也无所谓,毕竟是人家写的代码,以后工作有用啊.网开一面),特别是造成了巨大的损失,可以用法律手段制裁.

数据备份与数据恢复为企业用户数据上保险

数据备份与数据恢复为企业用户数据上保险

悉士凯乐回复: 

数据备份技术

数据备份,实际上就是给企业重要的数据买保险,而且这种保险比起现实生活中仅仅给予相应金钱赔偿的方式显得更加实在,它能实实在在的还原你备份起来的数据,一点不漏。人们常说保险之优势,只有发生意外的人才能体会到。当使用者看着原本好好的硬盘,现在只不过是一堆冷冰冰、由金属与硅所组成的硬盒子,而使用者多年积累下来的数据消失不见了的时候,数据备份,或者说数据保险的作用就将完全体现。

当你了解到国内各大数据恢复公司每天都会应对使用者捧来的一大堆需要急救的硬盘,了解到企业工厂数万元用以专业数据备份设备的投入,了解到美国关于9.11后90%公司在发生灾难性数据丢失后在两年内倒闭的报告,你就会知道数据备份有多么的重要了。

当前主流的备份技术

数据备份:

即针对数据进行的备份,直接复制重要数据到存储设备里,或者将数据转换为镜像保存在存储设备中。这里我们提及专业的备份软件,如Veritas、爱数等等备份软件,光盘和移动盘也属此类。

其采用的模式相对容易理解,分为逐档与镜像两种。一是直接对文件进行复制,另一是把文件压成镜像存放。

优点是方便易用,也是广大用户最为常用的。缺点是安全性很低,容易出错。其针对数据进行备份,如果文件本身出现错误就将无法恢复,那备份的作用就无从谈起了。

磁轨备份:

这种备份技术是直接对才磁盘的磁轨进行扫描,直接记录下磁轨的变化。

优点是非常精确,因为是直接记录磁轨的变化,所以出错率几乎为0.NAS等专业存储设备就是采用此种备份技术,是目前中小企最流行的备份技术。

磁轨备份采用的模式比较不统一,下面就详细介绍一下各种备份模式:

如果您问一个对计算机备份程序不熟的人,他可能会告诉您,备份不过是把计算机上的「所有」数据,拷贝一份而已。换句话说,如果您在星期二晚上做备份,星期三没有更动计算机上的任何数据,那么星期三晚上做的备份,与前一天晚上做的,是完全一样的。

这是备份的方式之一,但您实在没有必要这样做。要了解备份,我们得先知道备份的种类。

备份的类型大致上分为以下几种:

完全备份

完全备份(full backup),每个档案都会被写进备份档去。如上所述,如果备份之间,数据没有任何更动,那么所有备份数据都是一样的。

这问题出自备份系统不会检查自上次备份后,档案有没有被更动过;它只是机械性地将每个档案读出、写入,不管档案有没有被修改过。备份全部选中的文件及文件夹,并不依赖文件的存盘属性来确定备份哪些文件。

(在备份过程中,任何现有的标记都被清除,每个文件都被标记为已备份,换言之,清除存盘属性)。

这是我们不会一味采取完全备份的原因 - 每个档案都会被写到备份装置上。这表示即使所有档案都没有变动,还是会占据许多备份空间。如果每天变动的档案只有 10 MB,每晚却要花费 100 GB 的空间做备份,这绝对不是个好方法;这也就是发明「增量备份(incremental backups)的原因。

增量备份

跟完全备份不同,增量备份会先看看,档案的最后修改时间是否比上次备份的时间来得晚。如果不是的话,那表示自上次备份后,这档案没有被更动过,所以这次不需要备份。换句话说,如果修改日期「的确」比上次更动的日期来得晚,那么档案就被更动过,需要备份。

递增备份常常跟完全备份合用(例如每个星期做完全备份,每天做增量备份)差异备份是针对完全备份:备份上一次的完全备份后发生变化的所有文件。

(差异备份过程中,只备份有标记的那些选中的文件和文件夹。它不清除标记,既:备份后不标记为已备份文件,换言之,不清除存盘属性)。

使用增量备份最大的好处在于速度:它的速度比完整备份快上许多。但坏处则是如果您要复原一个档案,您必须把所有增量备份的磁带都找过一遍,直到找到为止。如果您要复原整个档案系统,那就得先复原最近一次的完整备份,然后复原一个又一个的增量备份。

要避免复原一个又一个的递增数据,把作法稍微改变一下,就变成了「差异备份(differential backup)。

差异备份

差异备份跟递增备份一样,都只备份更动过的数据。但前者的备份是「累积(cumulative)」的—— 一个档案只要自上次完整备份后,曾被更新过,那么接下来每次做差异备份时,这档案都会被备份(当然,直到下一次完整备份为止)。

这表示差异备份中的档案,都是自上次完全备份之后,曾被改变的档案。如果要复原整个系统,那么您只要先复原完全备份,再复原最后一次的差异备份即可。增量备份是针对于上一次备份(无论是哪种备份):备份上一次备份后,所有发生变化的文件。

(增量备份过程中,只备份有标记的选中的文件和文件夹,它清除标记,既:备份后标记文件,换言之,清除存盘属性。)

跟增量备份所使用的策略一样,您平时只要定期做一次完全备份,再常常做差异备份即可。

所以,差异备份的大小,会随着时间过去而不断增加(假设在完全备份间,每天修改的档案都不一样)。以备份空间与速度来说,差异备份介于递增备份与完全备份之间;但不管是复原一个档案或是整个系统,速度通常比较快(因为要搜寻 / 复原的磁带数目比较少)。

基于这些特点,差异备份是值得考虑的方案。

 

不同备份类型组合的示例

完全备份和差异备份

在星期一进行完全备份,在星期二至星期五进行差异备份。如果在星期五数据被破坏了,则你只需要还原星期一完全的备份和星期四的差异备份。这种策略备份数据需要较多的时间,但还原数据使用较少的时间。

完全备份和增量备份

在星期一进行完全备份,在星期二至星期五进行增量备份。如果在星期五数据被破坏了,则你需要还原星期一正常的备份和从星期二至星期五的所有增量备份。这种策略备份数据需要较多的时间,但还原数据使用较少的时间。

当前主流的存储备份设备:

磁盘阵列:

磁盘阵列是将多个类型、容量、接口甚至品牌一致的专用硬磁盘或普通硬磁盘连成一个阵列,使其能以某种快速、准确和安全的方式来读写磁盘数据。

采用数据备份和磁轨备份两种技术的磁盘阵列柜都有。

优点是具有很高可靠性、安全性、稳定性。缺点是定价太高及后期维护管理需聘请专业人员操作

文件服务器:

专门负责文件管理,包括上传下载共享备份等工作的服务器。

文件服务器是采用直接数据备份的方式,将数据文件直接存储备份在其硬盘上面。

优点是操作简单,使用方便。缺点是需面临误操作、病毒侵害、网络攻击等等诸多安全性的问题。

光盘塔:

光盘塔由几台或十几台CD ROM驱动器并联构成,通过软件控制某台光驱的读写操作,使之按照人们的要求自动读取信息。

也就是把数据直接复制到光盘上,采用数据备份的技术。

优点是可以能按需求保存数据,且保存的数据具可移动性。缺点是光盘容量非常有限及购买光盘的花费大,刻录机寿命不长,人工操作,而且光盘易丢失损坏。

NAS:

NAS将硬盘连起组成阵列,就是一个小型磁盘阵列柜。通过网线与计算机或服务器连接并进行数据传输,用浏览器即可管理操作,简单易用。同时又具有磁盘阵列柜可靠、安全。

中高端的NAS(如:IBM、HP还有当前在国内中小企业当中得到大量应用的加拿大品牌自由遁)都会采用磁轨备份方式以保证数据的高度准确,而且还可以支持差异备份,使NAS的容量不会白白浪费。总结NAS的7大优点为:

1.轻松实现无纸存储;

2.集中管理和备份:账户分权限式的管理模式,有效确保数据的内外部安全;

3.即时文件/数据保护:通过简单的设置,可轻松实现定时、定盘数据备份;

4.强大的容灾能力:由于NAS无地域限制,通过NAS进行数据异地存储/备份,有效提高数据的容灾能力从而使数据能够得到更有效的保护;

5.高可用性群集:部分如自由遁NAS自带简单易用中文操作管理系统及高度智能化的数据备份软件,适合IT知识较欠缺的使用者,大大提升数据备份的效率;

6.难以比拟的安全性:充分考虑数据安全方面的种种要素,从病毒、黑客等数据安全常见隐患到不可抗拒的硬件损坏均能轻松应对;

7.跨平台应用:支持异平台操作,在拥有多种操作系统如:windows\linnux\mac\unix等的企业当中,NAS能够同时为各种操作平台提供数据备份的服务,免去购买多台文件服务器或磁盘阵列柜的投入,在确保数据安全的同时又大大降低IT投入。

通过上述对数据备份技术、模式及主要设备的简要分析,我们可以了解到数据备份在数据安全方面的重要性,同时对于个人、企业用户来说也能从中了解到购买何种数据备份设备更适合自身的用途从中也能够有所启示,如NAS较适合中小企业重要数据如财务、客户、设计、人事等方面的数据备份,磁盘阵列柜较适合采取集中数据存储的用户,总知对于选用何种存储技术及设备应该以适用才是最好的作为产品选购的主要原则。

 

同步内容

信息系统规划和网络拓扑方案,现在就点击咨询。 技术支持总台: 4006 586 306 | help@sixcolor.com.cn