关于存储安全，大家现在谈论最多的是备份和容灾，如此数据就安全了吗?想法还是过于乐观和简单。安全机构SANS Institute发布第二季度严重排行榜发出了危险信号----Veritas、CA公司的多个备份软件出现安全漏洞，旨在安全的备份工具正成为攻击者屠刀下的羔羊。

　　但遗憾的是，目前市场上还缺乏理想的存储和方案。安全厂商似乎一直把存储置之度外，很少谈及。而记者在日前召开的世界/2005中国大会上询问 “存储安全”时，多家厂商的参展人员大多往顾左右而言他。当然，也有厂商抱怨“几乎没有看到国内用户在存储安全方面提出任何要求”。

　　最安全的地方，最危险

　　一位银行人说，如果银行出现火灾，大家都不会去抱钱柜，而是抱着硬盘往外跑。因为几千万元的人民币烧了，可以重新印，但数据一旦丢失后果非常严重。

　　此话并非调侃。没有人怀疑数据的价值，存储安全之重要性也就顺理成章了。数据密集型的银行、电信等行业、企业，早把存储安全作为的核心环节，并不遗余力地完善、建立异地灾备等。

　　一时间，备份、容灾就成了存储安全的主要内容和终极状态，大家从最初盲目相信存储就是安全的，改变为对存储安全手段的盲目乐观。现实正在摧毁我们的一厢情愿。

　　【备份软件】为黑客打开方便之门

　　“尽管备份软件是为了预防灾难性的事件发生，但却为打开了方便之门”，安全机构SANS Institute称，“不幸的是，这些产品成为了最容易受到黑客攻击的目标。由于可以访问大量的数据，备份软件的缺陷将带来真正的危险。”

　　CA和Veritas占据整个备份软件市场的三分之一。安全专家称，CA BrightStor与Veritas备份软件的漏洞，使得黑客攻击已从前端的，转而攻击后端的资料库及备份软件。还有专家批评说：漏洞问题之所以严重的原因，是软件商在产品研发过程中，太过注重功能、成本与上市，而致忽略。

　　其实，并非惟独备份软件厂商忽视了安全，整个存储设备在当初设计时就没有考虑到安全性问题。赛门铁克在合并Veritas之后，现任总裁、首席执行官兼董事长John W. Thompson就承认：“以往，我们的确没有站在网络安全的角度上来考虑的问题”。这是因为最开始的时候，存储是作为直接连接的产品出现的，因此如果的话，存储也就同样是安全的。但后来情况完全改变了，光纤常常有多台和IP网关，管理工作也越来越庞杂，改进存储安全已成为当务之急。

　　在SANS的报告中列出了所有安全问题的修复方法，但是一些新漏洞却不能得到及时快速的修复。据Qualsys软件公司的CTO Gerhard Eschelbeck介绍，一般来讲，平均需要62天的时间来修复内的备份软件和其他软件的漏洞，而修复电子和其他与网络直接打交道的软件平均只需21天。

　　【】美国企业上演“流星雨”

　　近来美国各大企业的屡遭黑手，数据失窃问题严重，许多企业被迫承认在安全性方面存在很大漏洞。在过去的数年中，许多企业对数据的安全性和保密性重视程度不高，所使用的仅是低廉、安全性能普通的数据库软件和存储设施，这给了黑客和网络犯罪分子可乘之机。

　　据美国联邦调查局和研究所调查统计，在2000至2003年间，每年有40%的企业发生数据失窃事件。而最近半年，数据丢失事件频率和规模之壮观如同流星雨，以至于有人在感叹：麻木了，新闻标准要提高了。

　　从新闻报道来看，存储安全的疏漏五花八门。技术含量最高的应当是黑客攻击。如美国的付款信息处理公司CardSystems不适当地保留了信用卡客户的资料做“调查之用”，并在5月份黑客侵入它的系统时，造成了美国史上最大宗的资料泄露事件，泄密事件波及的信用卡用户多达4000万人。数据库公司LexisNexis的数据库被，至少31万名用户的个人信息被窃取，有分析说，可能是黑客发现了没有从系统当中清除的口令。LexisNexis还声称有人利用窃取的口令以欺诈手段闯入其数据库共达59次之多。鞋子零售商DSW 140 万个信用卡和记账卡的交易资料被窃。

　　有些采取的是欺诈手段。被称为“国家保姆”的ChoicePoint，数据库中总共包含190亿条美国消费者的数据，但却被人采用欺诈手段窃取了14.5万名美国居民的个人信息，其中包括社会安全号码、驾照号码以及信用卡资料。

　　最没有技术含量但最频繁发生的是失窃。比如5月份时代华纳包含60万名员工信息的备份磁带是在常规运输途中丢失的; 美洲银行包含120万名联邦政府雇员(其中包括90万属于五角大楼雇员)信用卡记录的备份磁盘在飞机上被偷; 花旗集团一批记录着390万客户账户及个人信息的备份磁带在运送过程中神秘失踪……

　　存储安全指在数据保存上确保完整、可靠和有效调用，既包括存储设备自身的可靠性和可用性(设备安全)，也包括保存在存储设备上数据的逻辑安全(应用安全)。由于存储厂商已经在设备安全、安全厂商已经在网络安全方面都下了不少的功夫，但还有相当多的安全细节需要引起重视。