2005年美國(guó)銀行加密的磁帶丟失,造成了大量客戶(hù)資料泄露,從此以后,數(shù)據(jù)安全性就一直受到人們的關(guān)注。
在此之前,一部分銀行的系統(tǒng)管理員認(rèn)為磁帶加密設(shè)備價(jià)格過(guò)于昂貴,有些管理員認(rèn)為數(shù)據(jù)加密就跟保險(xiǎn)一樣,并不是首先需要處理的事情,還有些管理員因?yàn)椴恢缿?yīng)該購(gòu)買(mǎi)備份軟件還是購(gòu)買(mǎi)安全軟件而將此事擱淺。
這次美國(guó)銀行泄露客戶(hù)數(shù)據(jù)違反了地方法律,不過(guò)2005 Specter-Leahy 法律規(guī)定安全數(shù)據(jù)和客戶(hù)個(gè)人資料盜竊可以構(gòu)成聯(lián)邦級(jí)別的犯罪。加利福尼亞州2003年SB-1386法律就開(kāi)始對(duì)泄露數(shù)據(jù)做出了規(guī)定。在1996年制定的Health Insurance Portability and Accountability 法律中,規(guī)定了個(gè)人的醫(yī)療記錄不能隨意公開(kāi)。
Michael Versace信息安全機(jī)構(gòu)的研究員兼合伙人Wikibon稱(chēng):“由此我們可以看到各家公司是如何遵守法律的。法律很多年前就對(duì)如何保護(hù)客戶(hù)的隱私信息作出了規(guī)定。”
在數(shù)據(jù)備份中有四個(gè)方面跟數(shù)據(jù)安全密切有關(guān):磁帶加密、云備份安全、密匙管理和數(shù)據(jù)銷(xiāo)毀。下面我們就分別來(lái)講一下。
磁帶加密方案
在2005年時(shí),只有數(shù)據(jù)加密設(shè)備可以為磁帶進(jìn)行加密,而由于這種設(shè)備的價(jià)格很高,很多銀行根本支付不起。基于軟件的加密技術(shù)稍微便宜一些,而性能卻達(dá)不到要求。
Versace說(shuō):“從那時(shí)起,IBM公司和Sun微系統(tǒng)公司就開(kāi)始研究LTO-4磁帶加密產(chǎn)品,希望將它加入到現(xiàn)有的磁帶架構(gòu)中去。”
但是,存儲(chǔ)雜志最近組織的購(gòu)買(mǎi)意向調(diào)查顯示:大部分公司仍未使用磁帶加密設(shè)備。大約50%的調(diào)查者稱(chēng)他們已經(jīng)使用加密設(shè)備,未使用的人中只有少數(shù)部分會(huì)在明年購(gòu)置磁帶加密設(shè)備,大部分人仍覺(jué)得磁帶加密并不是非常必須的,可以推遲幾年再采購(gòu)。
同時(shí),數(shù)據(jù)泄露事件在全球也是頻頻發(fā)生,例如最近英國(guó)的農(nóng)村支付機(jī)構(gòu)。Open Security Foundation的DataLoss DB每天都會(huì)對(duì)丟失數(shù)據(jù)的企業(yè)進(jìn)行報(bào)道。
Versace稱(chēng):“一些用戶(hù)一直在擔(dān)心,如果誤操作或者加密后的數(shù)據(jù)無(wú)法恢復(fù)該怎么辦?”
企業(yè)策略集團(tuán)(ESG)公司的分析員Jon Oltsik稱(chēng):“那些沒(méi)有使用磁盤(pán)加密設(shè)備的公司已經(jīng)落后了。”
云備份安全性
數(shù)據(jù)安全一直是云存儲(chǔ)中的關(guān)鍵問(wèn)題。在今年早期,Gartner稱(chēng):很多客戶(hù)由于害怕數(shù)據(jù)不安全而放棄云存儲(chǔ)。由于風(fēng)險(xiǎn)太大,一些公司并不想把數(shù)據(jù)外包給第三方的公司。
大部分的云服務(wù)提供商,例如IBM公司,在傳輸用戶(hù)數(shù)據(jù)時(shí)都會(huì)進(jìn)行加密。用戶(hù)的數(shù)據(jù)不會(huì)以明文的形式顯示,只有持有密匙的用戶(hù)才可以對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)用戶(hù)通過(guò)web界面來(lái)監(jiān)控以及管理后臺(tái)的云備份系統(tǒng)時(shí),云服務(wù)商會(huì)使用SSL鏈接對(duì)數(shù)據(jù)進(jìn)行加密。
Versace稱(chēng):“對(duì)于一些規(guī)模較大的公司來(lái)說(shuō),由于資金充足,數(shù)據(jù)加密工作可以由公司獨(dú)立完成。但如果是中型企業(yè)或者小型企業(yè)的話,將數(shù)據(jù)加密外包給專(zhuān)業(yè)的公司會(huì)更加合算。”
信息安全顧問(wèn)Kevin Beaver在最近的一篇文章中指出,在傳輸數(shù)據(jù)時(shí),只采用加密和SSL是遠(yuǎn)遠(yuǎn)不夠的,還有許多潛在的不安全因素需要考慮。
Oltsik指出,任何持密匙的人員都存在安全風(fēng)險(xiǎn)。收買(mǎi)管理員然后進(jìn)行數(shù)據(jù)解密并拷貝,這種事情也時(shí)有發(fā)生。[nextpage]
管理密匙
許多存儲(chǔ)廠家效仿一些數(shù)據(jù)安全廠家,開(kāi)始提供密匙管理產(chǎn)品。目前各種級(jí)別的加密和密匙管理產(chǎn)品已經(jīng)廣泛用于各個(gè)數(shù)據(jù)中心中。
雖然現(xiàn)在市場(chǎng)上的產(chǎn)品很多,但專(zhuān)家認(rèn)為缺少一個(gè)統(tǒng)一的行業(yè)標(biāo)準(zhǔn)將他們連接起來(lái),這是現(xiàn)在密匙管理行業(yè)遇到的最大的問(wèn)題。
今年年初,惠普公司,EMC公司/RSA安全,IBM公司和Thales集團(tuán)聯(lián)合其他的廠家向OASIS提交了建立密匙管理系統(tǒng)和加密設(shè)備行業(yè)標(biāo)準(zhǔn)的申請(qǐng)。這個(gè)標(biāo)準(zhǔn)跟IEEE在2008年1月制定的行業(yè)規(guī)則重復(fù),但I(xiàn)EEE計(jì)劃將它制定的行業(yè)規(guī)則整合到更為寬泛的OASIS的密匙管理互操作協(xié)議中去。
Oltsik稱(chēng):“我們會(huì)在2010年制定正式的KMIP標(biāo)準(zhǔn)”
即使制定了標(biāo)準(zhǔn),有些問(wèn)題仍然存在。在11月初,CA公司推出了基于z/OS大型機(jī)的密匙管理器(EKM)軟件,并稱(chēng)很多用戶(hù)都需要這種基于開(kāi)源系統(tǒng)的密匙加密管理器,如果沒(méi)有密匙,加密的數(shù)據(jù)將無(wú)法恢復(fù)(z/OS的制造商IBM對(duì)這件事感到非常驚訝,因?yàn)镮BM的密匙管理系統(tǒng)可以直接部署在開(kāi)源系統(tǒng)上。)
Versace說(shuō):”密匙管理是分布式還是集中式還沒(méi)有最終確定。原來(lái)所有的密匙管理系統(tǒng)全部都是分布式的,也就是需要部署到每個(gè)終端機(jī)器上,但有些操作需要集中式管理,例如密匙修改,審計(jì)以及登錄等。我個(gè)人認(rèn)為最終的產(chǎn)品會(huì)將這兩種方式結(jié)合在一起。“
數(shù)據(jù)銷(xiāo)毀和數(shù)據(jù)刪除更加安全
每家廠商都提供了很多銷(xiāo)毀或者刪除數(shù)據(jù)的方法。 如果磁盤(pán)介質(zhì)上存有敏感數(shù)據(jù),常規(guī)的手段是無(wú)法消除的,因此EMC公司通過(guò)在原來(lái)的數(shù)據(jù)上再寫(xiě)入數(shù)據(jù)的方法來(lái)達(dá)到徹底刪除原來(lái)數(shù)據(jù)的目的。消磁是另外一個(gè)消除數(shù)據(jù)的方法,而且不會(huì)破環(huán)物理介質(zhì)。以后通過(guò)簡(jiǎn)單的銷(xiāo)毀相關(guān)密匙就可以把加密的數(shù)據(jù)安全刪除掉。
分析人士稱(chēng):“這其實(shí)不是數(shù)據(jù)消除方面的問(wèn)題,而是數(shù)據(jù)安全管理中的問(wèn)題。哪些數(shù)據(jù)需要?jiǎng)h除是這個(gè)環(huán)節(jié)中最重要的問(wèn)題。”
磁帶加密在2005年并沒(méi)有引起太多人的關(guān)注。Oltasik稱(chēng):“多數(shù)人認(rèn)為數(shù)據(jù)刪除比較簡(jiǎn)單,這可能是因?yàn)楣镜臄?shù)據(jù)刪除沒(méi)有軍隊(duì)里面要求的那么嚴(yán)格造成的。”
京公網(wǎng)安備 11010502049343號(hào)