当我们如果拥有一个贵重的物品时,我们需要对其进行保存,在这个过程中我们需要考虑这些问题:首先这个物品不能损坏,否则其价值就损坏了,这样我们需要将其存放在特别牢固的地方,避免发生意外;其次我们还要防止这个物品被盗窃,否则其价值就被转移了,这样我们需要对其存放地点进行防盗处理。当然以上这些存放和防盗的花费肯定要低于物品本身的价值才有意义,而破解防盗技术所需的花费要大于物品价值才能有效。
如今信息大量以电子形式进行处理、存放和传输,其中大量的数据也具有非常重要的价值,有些数据的价值可能占据公司价值的一个很大的比例。为此我们同样需要考虑这些数据的处理、存放和传输过程中需要防止损坏和被盗等事件发生,这就要求我们针对数据损坏(价值损坏或消失)和被盗(价值转移)进行不同的处理方式。
1. 防止数据的损坏(数据可靠)
* 数据可靠综述
如今,企业机密信息大量以电子文档方式存在,而电子文档主要存放在磁盘系统上。目前虽然磁盘相对比较稳定,但是大量的信息都存放在磁盘上,一旦发生损坏,如果数据只有这个损坏磁盘上的一个拷贝,那么将完全丢失,在这些信息已经成为极其重要的资产的现代社会,对一个企业来说,严重情况下将是致命的。9?11发生之后,世贸大厦中那些没有数据灾难备份的公司纷纷倒闭,而那些考虑到数据容灾的公司,在灾难发生几天到个把月的时间就恢复业务运行了,可见数据可靠是多么的重要。
* 数据可靠需要考虑的问题
1.主要先考虑数据磁盘发生故障的时候数据的可靠,这里主要可以应用RAID系统来解决。RAID的英文全称为Redundant Array of Inexpensive(或Independent) Disks,而不是某些词典中所说的“Redundant Access Independent Disks”。中文名称是廉价(独立)磁盘冗余阵列。
RAID的初衷主要是为了大型服务器提供高端的存储功能和冗余的数据安全。在系统中,RAID被看作是一个逻辑分区,但是它是由多个硬盘组成的(最少两块)。它通过在多个硬盘上同时存储和读取数据来大幅提高存储系统的数据吞吐量(Throughput),而且在很多RAID模式中都有较为完备的相互校验/恢复的措施,甚至是直接相互的镜像备份,从而大大提高了RAID系统的容错度,提高了系统的稳定冗余性,这也是Redundant一词的由来。
在这些数据价值远远大于用于存放数据的磁盘价值的今天,通过增加磁盘数量(降低硬盘的利用率)来保障数据安全是非常值得的。
一般可以考虑使用RAID1,RAID3,RAID5和RAID6等技术。
2. 存储系统完成之后,我们需要考虑整个网络系统数据的可靠。
RAID技术保障了存储系统中硬盘出现故障的时候数据的可靠,但是当今数据往往在网络上使用,仅仅存储系统数据可靠,但网络出现故障引起数据不能使用也是不能允许的,这就需要考虑整个网络系统的问题。
随着计算机的激增,大量的不兼容性导致数据的获取日趋复杂。因此采用广泛使用的局域网加工作站族的方法就对文件共享、互操作性和节约成本有很大的意义。NAS包括一个特殊的文件服务器和存储
NAS服务器上采用优化的文件系统,并且安装有预配置的存储设备。由于NAS是连接在局域网上的,所以客户端可以通过NAS系统,与存储设备交互数据。
一个存储网络是一个用在服务器和存储资源之间的、专用的、高性能的网络体系。它为了实现大量原始数据的传输而进行了专门的优化。因此,可以把SAN看成是对SCSI协议在长距离应用上的扩展。
SAN的市场主要集中在高端的、企业级的存储应用上。这些应用对于性能、冗余度和可获得性都有很高的要求。
当对SAN和NAS进行比较时,这两种相互竞争的技术实际上是互补的。SAN和NAS是在不同用户需求的驱动下的独立事件。SAN是以数据为中心的,而NAS是以网络为中心的。概括来说,SAN具有高带宽块状数据传输的优势,而 NAS则更加适合文件系统级别上的数据访问。
目前DAS、SAS(Server Attached Storage)、SAN和NAS之间的区别正在变得模糊,所有的技术都需在用户的存储需求下接受挑战。传统的客户端服务器的计算模式将会演化成具有任意连接性的全球存储网络。在那种情况下,数据的利用率会得到提高,分布式数据也会得到更加优化的存储。
只有采用了存储虚拟化的技术,才能真正屏蔽具体存储设备的物理细节,为用户提供统一集中的存储管理。采用存储虚拟化技术,用户可以实现存储网络的共用设施目标。
1、存储管理的自动化与智能化
在虚拟存储环境下,所有的存储资源在逻辑上被映射为一个整体,对用户来说是单一视图的透明存储,而单个存储设备的容量、速度等物理特性却被屏蔽掉了。
2、提高存储效率
主要表现在消除被束缚的容量,整体使用率达到更高的水平。
3、减少总体拥有成本(TCO),增加投资回报(ROI)
采用存储虚拟化技术,可以支持物理磁盘空间动态扩展,这样用户现有的设备不必抛弃,可以融入到系统中来,保障了用户的已有投资;从而降低了用户TCO,实现了存储容量的动态扩展,增加了用户的ROI。
2. 防止数据的被盗(数据安全)
* 安全风险综述
如今,企业机密信息大量以电子文档方式存在,而电子文档是很容易散播的。为此我们需要防止数据的泄密,在对付外部人员非法访问的时候,我们可以通过防火墙、入侵检测等防护系统进行防护,但是目前大量的信息泄密手段往往是最直接的收买、拷贝方式。这时,防火墙、入侵检测等防护系统就是形同虚设,根本起不到任何保护作用。因为防火墙或专网,只是解决了外部人员非法访问的问题,不能解决内部人员通过电子邮件、移动硬盘或笔记本电脑把电子文档进行二次传播的问题。
据调查, 企业机密泄露 30%-40%是由电子文件的泄露造成的;
☆ Fortune排名前1000家的公司,每次电子文件泄露造成的损失平均是50万美元。
☆ 对中国 500家大型企业作的调查发现,国内的企业对电子文档几乎没有任何防护措施。有保护措施的不到3%,一些机密性的资料、电子文档,轻易的就可以通过电子邮件和移动硬盘泄密到网络外部。
☆ 在工业化时代,世界最大的商业秘密,代号 7X的可口可乐配方,采取了严密的保护措施,为可口可乐公司赢得了超过800亿美元的无形资产的安全。
☆ 中国千年绝活 “景泰蓝”制瓷技术、“纸中之王”中国宣纸等技术被窃,为企业带来了难以估量的损失。
FBI和CSI对484家公司调查,发现:
△ 超过 85%的安全威胁来自企业内部。
△ 16%来自内部未授权的存取;
△ 14%专利信息被窃取;
△ 12%内部人员的财务欺骗;
△ 11%资料或网络的破坏;
△ 防病毒、防火墙、入侵检测、物理隔离不再是保护信息安全的法宝。
△ 无线上网、移动通讯、活动硬盘在给人们带来方便和高效的同时,随时有可能被截取、仿冒、侦听;
△ 笔记本电脑使用便捷,但人们也开始意识到由于遗失、被盗带来的泄密现象的严重性。
因此,我们需要对信息内容本身进行安全防范,做到防止拷贝,防止二次传播,这样的信息安全技术才是真正可靠的技术。对企业机密信息管理来说,需要考虑信息内容本身的安全。
一般说来,计算机网络存在着以下的安全风险及需要采取的安全对策:
以上表格具体描述了数据安全的问题,基本上可以通过加强网络安全,操作系统安全等实现。然而其中超过85%的安全威胁来自企业内部。作为企业机密管理者肯定知道,真正核心数据防扩散技术,需要对信息内容本身先进行加密,然后在此基础上再进行安全防范,做到防止拷贝,防止二次传播,这样的信息安全技术才是真正可靠的技术。所以,针对企业机密信息管理来说,我们重点需要考虑信息内容本身的安全。
谈到对信息内容进行加密,我们一般首先想到的是运用一些常见的加密软件,通过对敏感的文件或数据设置密码,这样在访问这些文件的时候需要知道这些文件的访问密码,通过输入正确的密码,才能访问这些文件或数据。每次保密前要设置密码,查看时也要输入解密码,费时费力不说,最大的弊病是这一切都要靠我们人为主动地、有意识地去保密。但试想一下,当一个本企业的内部人员(他本身平时就能经常接触这些资料的)想带出该企业的一些核心资料的话,他完全可以不主动去加密这些文件(就算加密了,因为他需要处理这些数据,当然也知道密码,加密了对于这样的人也是没有用的),从而将这些重要的资料一次性大批量的拷贝走啊。这样的加密技术,对于预防企业内部人员的泄密,又有多大的作用呢?
所以我们觉得,需要一款好的企业核心数据防扩散加密软件,它必须具备以下几个基本条件:
1、加密的强制性
不管你愿意还是不愿意,企业内部产生的一些核心数据都要被强制性的加密,而且在生成文件时就对产生的文件进行强制性保护控制;
2、加密解密的方便性(无密钥加密)
时间是宝贵的,我们不希望每次加密文件时输入密码,查看文件时也要输入密码。我们希望我们的核心数据防扩散加密软件能够自动辨识出哪些是本单位并经过授权的电脑,记住这些电脑的硬件环境。在这些电脑上,我们无需输入密码就可以轻松打开文件(这样“内贼”也就不知道如何解密了),因为我们文件的解密码,就是这些经过授权的电脑的硬件环境,而且只有在企业网络环境中才能自动解密,出了这个环境就无法解密了。
3、加密解密的自动性和快捷性
我们的要求,在你这些重要数据产生的时候,我们的加密软件必须要能实时自动跟踪,并对这些文件进行自动加密,打开文件的瞬间,对这些文件进行自动解密,整个加密过程无需我们人工干预。就是打开一个未加密文件时,不管有没有对该文件进行编辑,能够自动对该文件进行加密,并且不影响应用程序的正常运行及文件的正常使用。加密状态的文件在电脑上可以双击直接打开,并可以对它们进行正常的编辑和修改,使用上和没加密的普通文件没有任何区别。系统在后台自动运行,对使用人员是透明的,不需任何操作动作。不改变已有的使用习惯,生成的加密文件对设计系统不产生任何影响。在同一公司内部只要都安装了同一系统的电脑上,文件可以正常流通,不受到限制。
4、加密资料的安全性和唯一性
企业的一些核心数据是我们企业的无形财富。为了更安全地保护我们这些资料,必须要求我们加密技术的高强度性,被加密了的文件无法破解(破解所需的花费要远远大于数据价值)。同时我们还要确保同样用这种核心数据防扩散加密软件,企业的资料不能互相打开,这就是每个单位资料解密密钥的唯一性。
5、方便对外交流
当企业需要对外交流的时候,某些密级不高的文件需要解密(但是需要高层领导审核,普通员工不能对任何文件进行解密操作),这就需要方便高层领导对部分需要解密的文件进行解密操作。
3. 总结
综上所述,我们现在对数据的存放、处理和传输过程需要加倍的注意,不要当意外发生的时候说:“曾经有一份珍贵的数据放在我的电脑中,我没有珍惜,当失去的时候才追悔莫及。如果上天能够再给我一次机会的话,我会对那份数据说:‘我要小心处理。’如果一定要对这个小心加个程度的话,我会说:‘一万分!’”
