普华永道:磁带加密刻不容缓

本文作者Howard Marks是Networks Are Our Lives公司的首席科学家,这家公司位于新泽西州的霍伯肯。Howard Marks自从1987年起就从事于存储网络系统的顾问工作,并为一系列的计算机杂志撰写文章。 

位列世界四大会计师事务所之首的普华永道最近发布了一份名为《全球2008信息安全态势》的调查报告,该调查报告根据普华永道对全球7000家企业的IT高管的调研撰写而成,极具权威价值。该报告显示,在2008年春季普华永道刚刚开始进行此项调研的时候,有不到半数的企业或组织机构并未对他们的备份磁带进行加密,甚至在极为重视安全并备受关注的金融服务业领域,也只有57%的企业对备份磁带进行了加密。

虽然2008年的调查结构要明显好于去年同期调查时的37%,但是这仍然引起了我们的忧虑,同样的情形还发生在企业员工所使用的笔记本电脑的加密工作上,2008年的调查到得50%的比例也高于去年的40%。

现在看来,许多的存储和安全专家都低估了磁带丢失的风险。无论如何,磁带是在数据中心物理层之后许多层,而且通过签约的运输商发送到Iron Mountain或其他安全厂商那里。有什么错误会发生么?

好吧,如果你最近看新闻的话,有很多类似事件正在发生,花旗银行、纽约银行以及其他企业的磁带正在消失。最有趣的一件事情是,一家承包了犹他州大学医学院磁带运输工作的公司,而该公司的快递员却没有用公司带有保险箱的运输车运输,却驾驶自己的私人汽车运输磁带。果然,这些磁带在运输过程被盗了,我想也许他已经找到了别的工作。我希望,他还能够轻松的对别人说:“你想要薯条么?”

由于磁带丢失或者投递错误而导致用户或者患者的个人信息被其他人利用的几率是很低的。毕竟,从一个三年前使用的磁带中恢复数据是非常困难的,更不要说一个你根本不知道使用了哪种软件创建数据的磁带。但是,数据丢失并不是丢失磁带或者被盗磁带所带来的主要风险。

实际上,真正的风险来自于丢失磁带之后的尴尬影响,以及那些被承诺保护个人数据的用户所支付的身份盗用的成本费用。根据美国加利福尼亚州颁布的SB 1386法令要求,除非数据是经过加密的,否则企业机构必须向任何可能涉及数据丢失事件的用户发出通知。因此,企业必须要通过新闻方式向用户进行通知,这肯定会带来一系列的尴尬影响,于是,丢失一盘保存了100万个社会保障号码的磁带——要花费不少资金平息风波。

我认为,不去加密磁带是无论如何也说不过去的,每一个企业备份应用甚至中小企业备份都应该内嵌加密功能。如果你担心备份可能给媒体服务器带来计算负担,那么就使用LTO-4和IBM或者Sun的高端磁带驱动器中自带的加密功能,或者向你的SAN中添加NetApp/Decru的加密应用。不要等到企业密钥管理解决方案或者能够加密“磁带直接出库”的VTL产品,马上行动起来吧。