2007秋季SNW 总结篇:保障安全成企业日常工作

DoSTOR存储新闻 10月23日SNW大会达拉斯报道:存储安全可能并不是每一位存储从业者最关注的问题,但此次SNW大会告诉与会者,存储安全可能很快就成为他们日常工作的一部分。

最近Iron Mountain和Student Financial Assistance在路易斯安那的办公室都卷入了数据磁带丢失的事件之中,与会者们意识到,存储漏洞的广泛存在,需要提高警惕采取有效措施控制他们。

演讲人Frank Abagnale,因《逍遥法外》这部电影而被很多人熟知,他的幽默但同时发人深省的故事,道出了安全是多么的重要,在一个松懈的环境下,一个十几岁的少年竟然假扮成飞行员、儿科大夫等等。Abagnale也表示诈骗及盗用身份仍然是各机构不可忽视的重大问题。

一些用户也承认,存储存安全问题往往被忽略。在线证券交易公司TD Ameritrade也提出如果不是安全问题和传统操作系统的问题,他们可以做得更大。存储安全的第一步包括:检查漏洞,确保个人获取数据时的安全,并且在支持这些应用的网络协议、存储设备及操作系统上结合这些操作。

日立的Andrew Nielsen做了一个存储安全性专题讲座,吸引了很多的听众,他介绍了多种数据中心安全问题:包括正在进行的来自内部或外部的攻击。针对此,日立介绍了信息存储的高密度存储设备、更多的使用自动化、数据保护以及隐私法规遵从。

Nielsen说,安全要求包括可审计性、可说明性,访问控制,完整性和资产可用性,以及全面的综合解决方案。第一个步骤是平衡安全与遵从,把国际标准化组织(ISO)、信息系统和技术控制目标(CoBIT)、国家标注技术研究所(NIST)、信息技术基础架构库(ITIL)提供的安全框架利用起来,包括:鉴别评定所有现行存储接口,找出风险域,监测控制物理访问,避免常规错误造成的失败,实施灾难恢复和业务连续性,并调整存储和策略。

安全是一个"人"的问题,最显著的网络存储安全风险可能并不是这样的明显,他说。Nielsen给与会者留了一个作业,寻找内部攻击、保护关键数据、做一套应对数据安全事故的详细计划。

EMC的Arthur Coviello说,安全应该成为风险管理策略的一部分,一个专业审计行为的存储系统通过安全管理,制作出一份风险管理策略,简化执行,并实施IT安全政策。发现,分类,监测,执行和审计是该政策的要素,保证实现信息共享的目标。

市场调研公司TheInfoPro总裁Ken Male说,身份和访问管理是存储和安全的专业人士关注之处。在一份包括终端认证、数据加密、安全信息和事故管理的调查评估表中,安全技术开始活跃起来。灾难恢复、业务连续性和安全也是网络关注的焦点,他说。

在存储网络工业协会(SNIA)的培训会上,与会者还调查了具体存储安全议题,如加密和密钥管理。

数据加密的历史可以追溯到希腊和罗马时代,今天的存储产品也会用到加密技术。Symantec的Roger Cummings一步一步的列出了针对服务器和存储设备上的数据进行有效加密的步骤,包括:分类并列出数据资源的目录,在应用、文件系统、网络和设备层选择加密点。

制定密钥管理架构同样吸引用户的目光。LSI的Walt Hubis介绍了米要管理的最佳方法包括:对密钥使用进行限制,区分开密钥加密密码和数据加密密码,通过分配、实施、部署来保证密钥安全。SNW的实验室也让用户意识到了笔记本电脑安全问题。

信息管理功能,如长期归档也在存储安全领域扮演者属于它的角色。CipherMax 和 Spectra Logic等厂商演示了他们的符合成本效益的解决方案–结合了加密技术和密钥管理的综合存储加密迁移解决方案。在这次大会上,Seagate、LSI和IBM展示了在企业级驱动器加密方面的合作,NeoScale和Reconnex也展示了他们的安全产品。