Chinaunix首页 | 论坛 | 博客
  • 博客访问: 11589828
  • 博文数量: 8065
  • 博客积分: 10002
  • 博客等级: 中将
  • 技术积分: 96708
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-16 17:06
文章分类

全部博文(8065)

文章存档

2008年(8065)

分类: 服务器与存储

2008-10-09 11:41:55

   如果数据处在危机当中,仅从外围保护还有什么意义呢?”
 
  此言定令一些人莫名惊诧:难道了,安全了,后台的数据还不能万无一失吗?但也定有更多人不惊诧,他们已经关注或实施过。后者的出现,将一改过去“重兵守城,无人看库”的边缘化,将存储安全还原为信息中核心部分。

  关于存储安全,大家现在谈论最多的是备份和容灾,如此数据就安全了吗?想法还是过于乐观和简单。安全机构SANS Institute发布第二季度严重排行榜发出了危险信号----Veritas、CA公司的多个备份软件出现安全漏洞,旨在安全的备份工具正成为攻击者屠刀下的羔羊。

  但遗憾的是,目前市场上还缺乏理想的存储和方案。安全厂商似乎一直把存储置之度外,很少谈及。而记者在日前召开的世界/2005中国大会上询问 “存储安全”时,多家厂商的参展人员大多往顾左右而言他。当然,也有厂商抱怨“几乎没有看到国内用户在存储安全方面提出任何要求”。

  最安全的地方,最危险

  一位银行人说,如果银行出现火灾,大家都不会去抱钱柜,而是抱着硬盘往外跑。因为几千万元的人民币烧了,可以重新印,但数据一旦丢失后果非常严重。

  此话并非调侃。没有人怀疑数据的价值,存储安全之重要性也就顺理成章了。数据密集型的银行、电信等行业、企业,早把存储安全作为的核心环节,并不遗余力地完善、建立异地灾备等。

  一时间,备份、容灾就成了存储安全的主要内容和终极状态,大家从最初盲目相信存储就是安全的,改变为对存储安全手段的盲目乐观。现实正在摧毁我们的一厢情愿。

  【备份软件】为黑客打开方便之门

  “尽管备份软件是为了预防灾难性的事件发生,但却为打开了方便之门”,安全机构SANS Institute称,“不幸的是,这些产品成为了最容易受到黑客攻击的目标。由于可以访问大量的数据,备份软件的缺陷将带来真正的危险。”

  CA和Veritas占据整个备份软件市场的三分之一。安全专家称,CA BrightStor与Veritas备份软件的漏洞,使得黑客攻击已从前端的,转而攻击后端的资料库及备份软件。还有专家批评说:漏洞问题之所以严重的原因,是软件商在产品研发过程中,太过注重功能、成本与上市,而致忽略

  其实,并非惟独备份软件厂商忽视了安全,整个存储设备在当初设计时就没有考虑到安全性问题。赛门铁克在合并Veritas之后,现任总裁、首席执行官兼董事长John W. Thompson就承认:“以往,我们的确没有站在网络安全的角度上来考虑的问题”。这是因为最开始的时候,存储是作为直接连接的产品出现的,因此如果的话,存储也就同样是安全的。但后来情况完全改变了,光纤常常有多台和IP网关,管理工作也越来越庞杂,改进存储安全已成为当务之急。

  在SANS的报告中列出了所有安全问题的修复方法,但是一些新漏洞却不能得到及时快速的修复。据Qualsys软件公司的CTO Gerhard Eschelbeck介绍,一般来讲,平均需要62天的时间来修复内的备份软件和其他软件的漏洞,而修复电子和其他与网络直接打交道的软件平均只需21天。

  【】美国企业上演“流星雨”

  近来美国各大企业的屡遭黑手,数据失窃问题严重,许多企业被迫承认在安全性方面存在很大漏洞。在过去的数年中,许多企业对数据的安全性和保密性重视程度不高,所使用的仅是低廉、安全性能普通的数据库软件和存储设施,这给了黑客和网络犯罪分子可乘之机。

  据美国联邦调查局和研究所调查统计,在2000至2003年间,每年有40%的企业发生数据失窃事件。而最近半年,数据丢失事件频率和规模之壮观如同流星雨,以至于有人在感叹:麻木了,新闻标准要提高了。

  从新闻报道来看,存储安全的疏漏五花八门。技术含量最高的应当是黑客攻击。如美国的付款信息处理公司CardSystems不适当地保留了信用卡客户的资料做“调查之用”,并在5月份黑客侵入它的系统时,造成了美国史上最大宗的资料泄露事件,泄密事件波及的信用卡用户多达4000万人。数据库公司LexisNexis的数据库被,至少31万名用户的个人信息被窃取,有分析说,可能是黑客发现了没有从系统当中清除的口令。LexisNexis还声称有人利用窃取的口令以欺诈手段闯入其数据库共达59次之多。鞋子零售商DSW 140 万个信用卡和记账卡的交易资料被窃。

  有些采取的是欺诈手段。被称为“国家保姆”的ChoicePoint,数据库中总共包含190亿条美国消费者的数据,但却被人采用欺诈手段窃取了14.5万名美国居民的个人信息,其中包括社会安全号码、驾照号码以及信用卡资料。

  最没有技术含量但最频繁发生的是失窃。比如5月份时代华纳包含60万名员工信息的备份磁带是在常规运输途中丢失的; 美洲银行包含120万名联邦政府雇员(其中包括90万属于五角大楼雇员)信用卡记录的备份磁盘在飞机上被偷; 花旗集团一批记录着390万客户账户及个人信息的备份磁带在运送过程中神秘失踪……

  存储安全指在数据保存上确保完整、可靠和有效调用,既包括存储设备自身的可靠性和可用性(设备安全),也包括保存在存储设备上数据的逻辑安全(应用安全)。由于存储厂商已经在设备安全、安全厂商已经在网络安全方面都下了不少的功夫,但还有相当多的安全细节需要引起重视。

阅读(834) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~