存储加密应对数据失窃

文章来源：泛普软件 AOL、美洲银行和花旗银行因数据失窃而使品牌形象大受影响。希望避免这种损失的IT管理人员们都把目光转向了一个古老的安全保障方法：加密。

以Vincent Fusca为例。他是美国新罕布什尔州达特茅斯学院临床医学中心的运营总监，负责7TB的病人医疗数据，这些数据供涉及5000万美元研究经费的研究项目使用。Fusca说：“根据HIPAA法案的规定，我们要确保用最安全的方法保留和使用这些数据。如果这些数据丢失，我就死定了。”

各公司在开发新一代数据中心架构的过程中，越来越重视存储系统的安全性。Enterprise Strategy Group的信息安全高级分析师Jon Oltsik说：“负责存储系统的人们一直只重视性能和可用性，安全性在他们眼里不是问题。但是现在他们开始关注安全问题了。

Fusca采用Decru公司的专用加密设备保护存储服务器和备份磁带的信息安全。Kasten Chase Applied Research、NeoScale Systems、Vormetric等公司也都提供这类专用安全设备。当数据在网络中的主机和遍布企业各处的存储系统之间传递时，这些专用设备对数据进行加密和解密。Fusca用Decru的DataFort把来自医疗保健信息系统的原始文件转换成独立的加密数据单元，供该中心的研究人员、分析师和程序员使用。

Nemertes Research的高级副总裁Andreas Antonopoulos说，过去，IT人员要保证数据安全，必须采用软件。而软件引起的性能下降几乎无法忍受。他说：“专用设备采用尖端ASIC，所有加密工作都在硬件中完成，可实现更高的性能。”

限制加密范围

Antonopoulos说，对数据加密，尤其是对超出高层IT管理人员的物理控制范围、被带到别处的备份数据加密，是个好注意。他认为，尤其是那些加利福尼亚州SB1386等法规适用的公司，更应该这么做。因为这些法规规定，如果数据失窃，必须在30天之内通知失窃数据可能涉及的雇员和客户。但是“加密数据不在此列。因此通过加密，可以保护自己的品牌形象免受损失。”

专家们认为，尽管对所有数据加密可以保证万无一失，但是最好的做法还是有选择地加密数据。按揭贷款公司Ocwen Financial的副总裁Dale Pickford说，他只对大约200TB数据加密，这在其所存储的数据总量中仅占5%。他补充说，对所有数据加密成本太高，也太浪费时间。

Pickford说，首先需要加密的是含有潜在身份信息的数据，如姓名、地址、社会保险号、生日等，任意组合这些信息都可以确定某人的身份。其次需要加密的是贷款、信用状态、账户等细节信息。最后需要锁定“业务敏感”材料。另外，还要保证不想让竞争对手得到的那些信息的安全。

管理加密数据

一旦确定了哪些数据需要加密，就必须决定怎样解密这些数据以及按照什么规则解密。

Pickford采用的是Vormetric公司的CoreGuard加密引擎。他建议，关于谁能看到加密数据和怎样使用加密数据，要制定严格的策略。他说：“必须由合适应用中的合适用户使用合适的机器访问合适的数据库。别无他法。”

他甚至为其下属的IT部门员工制定了严格的数据访问策略。

Fusca则把数据分门别类，然后按照所制订的访问协议，分别装入不同的“保密容器”中，这些访问协议规定谁可以访问什么信息。他解释说：“我们有4个程序员、5个分析师和6个或7个研究员，他们需要不同的病人信息。这些人员登录系统以后，只能访问到他们可以访问的那部分信息。”

Antonopoulos说，高层IT管理人员需要全面控制密钥建立和管理过程。“如果没有非常强大的密钥管理系统，可能丢失所有数据。要确保了解密钥管理和密钥使用条件的所有含意和细节。”

另外，还要定期测试密钥系统。他说：“必须备份密钥，并确定好密钥和磁带的恢复方法，以防发生灾难。备份与恢复缺一不可，因为它们一损俱损。不仅要测试系统，还要测试整个备份恢复过程。磁带在哪里？密钥在哪里？怎样得到这些磁带和密钥？”

Antonopoulos指出，还要考虑加密标准问题。尽管有些专用设备支持多种标准，但是也有些只局限在一个标准上。要根据自己的数据存储需求选择所需标准。“如果有些数据需要长时间保持机密状态，那么就需要设备支持高级加密标准（Advanced Encryption Standard）和大型密钥。”如果数据不那么重要，支持DES就足够了。

安全审计不可或缺

成功实施存储加密的另一个重要方面是在安全审计中加入存储部分。Oltsik说：“应该进行全面的安全审计，将存储基础设施、（访问存储系统的）人员和物理安全包括进去。如果有人带着数据磁带出去或者侵入了网络，也是非同小可的事情，仍然属于数据失窃。”

Oltsik建议，还要进行风险分析，看在成本和性能方面IT部门能够承受多大的额外开销。他说：“尽管存在最低额外开销，但它仍然是额外开销。如果要保证数据安全，就要接受这笔额外开销。有一个美洲银行这样的事故，就足以让人们认识到，3万美元的投资是值得的。”

来源：CCW

发布：2007-04-22 10:11 编辑：泛普软件 · xiaona [打印此页] [关闭]

存储加密应对数据失窃

泛普沈阳OA快博其他应用