分类: 服务器与存储
2008-06-26 22:17:45
近来出台的一些法规,如Sarbanes-Oxley法案使得许多组织机构不得不优先考虑安全解决。同时,许多企业也发现自身有了一种新的需求:集中存储解决方案。如果企业现在 还不具备集中存储方案,那他们就需要建立一个方案。
尽管如此,许多组织机构依然错误的贸然上马超出自身需求的解决方案,而忽视了正确的安全方案的规划。比如:只有很少数的企业建立关于存储安全的政策,而存储安全是大部 分企业不能忽视的。
我们都曾经听说缺乏存储安全政策的组织机构出现重大失误的新闻。内部文档和电子邮件经常成为证明某人有罪的证据,或者在某种情况下,成为开脱企业高管罪责的证据。
如何才能使你的企业远离法律纠纷?请一定要建立一套高效存储安全政策,这套政策应该能够保持数据,也能销毁数据,以及完成这两者之间的一切需求。在打造安全存储政策的 时候,请慎重考虑任何政策的三大要素:技术、程序和人员。
采用适合的技术
首先,存储安全政策应该适应组织机构用来存储数据的技术。现在有大量可用于安全存储解决方案的技术,而且近来价格正在走低。
通过使用SAN可以收纳千兆级别的数据并使其随时可用。另外,还有大量可用的加密技术,可以确保数据在存储和传输时的安全。
文件技术使得企业数据的归档和查阅更为简单和方便。通过生命周期管理,可以任意存储这些数据。
请注意记录管理中最重要的一点就是数据保存时间的长短。仅仅定义如何存储数据是远远不够的,还需要检查管理需要存储的信息的步骤是否合适。
确定所需程序
数据保存周期一般来说是存储政策中最大的灰色区域,也是最大的挑战。这就是创建存储安全政策必须要事前做好准备的原因。
请务必充分研究管理你的组织机构的相关法律,这样可以帮助对文件、通信(特别是电子邮件等需要保留的数据)进行分类。所以,你可能需要多次拜访法律部门,或者聘用一位 熟悉你业务领域的律师。
重要的是要找到对数据进行分类所需的信息。当有一天遇到法律纠纷时,这些信息可能是具有远见的,也可能是容易被误解的。这在法庭上产生的后果可能会截然不同。
一旦确认了数据存储时间的长短,就可以用这一标尺来评估现有的存储需求并为将来的发展做出准备。在考虑过技术和程序之后,创建存储安全政策的准备工作还没有完成,你还 需要考虑使用政策的人员。
牢记执行政策的人员
不考虑对使用者带来的影响就制定政策是个灾难。如果你没有能够考虑到使用者如何在这一政策下进行日常工作,你就不要指望员工们会真的遵守这套政策。
这套政策的使用绝对不能导致日常工作过于复杂,否则大部分人都会尝试绕过政策以完成他们自己的工作。请记住:技术和法律的变化速度肯定比人们接受的速度要快。
因此,如果你的存储安全政策必须要改变人们存储和使用信息的方式,那么通过一定的培训让人们了解相应的变化就非常重要。为了帮助人们接受政策,请务必解释清楚为什么要 有这些改变,而且对这套政策将会如何使得用户和企业双方受益进行沟通。对最终用户适当的教育可以确保政策成为日常操作步骤的一部分,而不会成为书架角落中满是灰尘的摆 设。
总结
有效的存储安全包括对保密性、完整性的维护以及信息的可用性。不要闭门造车的制订政策。对可用技术的选择,对管理政策的程序的确定以及对执行政策的人的考虑是获得成功 的三个主要方面。