2008年(8065)
分类: 服务器与存储
2008-11-07 16:20:11
2005年,在线交易商Ameritrade声明,处理其备份磁带的厂商丢失了一盘包含有大约20万客户资料的磁带。花旗集团也在那一年承认,它丢失了一盘包含近400万零售客户数据的备份磁带。甚至连存储供应商Iron Mountain也在2005年承认它丢失了许多客户备份磁带。那一年还出现了许多这类丢失数据的丑闻,同样在那一年,康涅狄格州Bridgeport的People's United Bank找到了一种可以确保它不会丢失未加密磁带的方法。
People's United Bank的高级架构工程师Mark Depathy表示:“我们公司董事会决定,我们应该采取一些措施来确保备份的安全性,而且必须马上进行。我们知道,如果丢失的磁盘事先经过加密,那么发现它的人只会得到一块没用的塑料片。”
当时并没有加密主机备份磁带的有效方法。Depathy表示:“市场上没用能够满足我们的要求的产品。 一开始我们想找一种能够在我们所有的平台上集中加密和管理所有备份磁带的产品,但是市场上没用具备这种功能的产品。”
Depathy负责这家银行的z/OS主机,他考核了市场上的许多产品。其中大部分产品都位于主机和备份设备之间,在磁带通过时进行加密。 但是Depathy认为那种存在许多问题。
他说:“加密钥放在硬件中。如果发生火灾,你真的希望冲进火场去找寻那些硬件设备? 出于安全和恢复的目的,我们每天都将备份磁带带到其他地方。” 当时CA公司为Depathy提供了一个试用其新款beta版CA Tape Encryption磁带的机会。那款软件的售价为27295美元。
与磁带加密硬件不同的是,CA公司的软件为People's United Bank提供了一种离线无缝管理密钥的方法。作为一个附加的安全层,密钥是根据使用该硬件的用户数量而生成的。 备份磁带只保留了一个指向密钥的指示器,密钥还通过离线方式被写入银行的中心站点。他说:“一旦磁盘经过加密而且密钥产生后,你不但需要密钥,还要让密钥与硬件相匹配。”
现在许多厂商都提供备份磁带,比如Sun、IBM、惠普和昆腾等厂商都已经将加密功能集成到各自的系统产品之中。 这对小型企业来说也许是个好消息,因为它们不用再使用一个密钥,而且不用保证备份离线了。当时大型企业通常需要分离数据,这就意味着会产生多个密钥。这些公司可以使用CA的磁带加密技术或者选择、nCipher或Spectra Logic等厂商的系统。
结果证明,银行购买CA的测试软件是值得的,但是也出现了另外一个问题。
Depathy指出:“我们有太多的磁带没有加密。”具体来说有3万个磁带。 将所有的磁带加密将是一项非常艰巨的任务。由于内部政策的关系,银行不能将任何一盘磁带留在在线状态超过24小时。 他说:“在三个月的时间里,我们每隔一天都要收回300盘磁带进行加密。”
这些努力是否值得呢? 银行认为是值得的。现在,如果一盘磁带在运输过程中从卡车上掉下来或者被偷走,那么担心的只有银行,监管机构和客户都不用担心。 Depathy说:“现在我们所有的磁带都是加密过的。”