数据存储产业服务平台

2008春季SNW:数据保护应从存储系统内部着手

DoSTOR存储在线 4月9日奥兰多报道 根据NetApp的Tim Russell的说法,企业现在处在一个"关键的十字路口":一方面需要平衡数据规制要求,一方面要保持IT成本下降和服务水平提升。

每半年一度的存储大会–存储网络世界大会将于本周在这里举行。在一个上午会议上,NetApp的存储安全业务事业部副总裁兼总经理Russell向我们传达了这样的一个信息。

Russell一边总结IT企业所面临的挑战,一边说企业在两者间所试图进行的平衡可能将更加不稳定:企业需要满足日益增长的用户对数据访问的需求,还要应付同时也是日益增加的规则和规制的约束。

结果就是,许多公司必须意识到"边缘"式的安全保护不再适用了–必须采用类似于数据加密这样的技术。

"过去我们的边缘其实就是一个防火墙,现在,这个边缘正在逐渐靠近我们的存储环境",Russell说,"如果你不在这里进行安全保护,那么就会遇到麻烦,因为这样你一边让更多的人进入你的网络并让他们访问更多的数据,一边还要进行适当的安全保护"。

Russell说,最近的一份研究显示75%的数据丢失案例都和人为失误有关。他同时也指出IT人员需要为30%的"不恰当"的数据丢失负责–从误放记忆棒到未能完整地从将被丢弃的笔记本中提取数据。

这个评论反映了IT专家对数据安全保护日益增加的忧虑。企业战略集团最近的一份研究显示,安全保护被评为IT专家在2008年最优先的议题。

IT人员之所以需要关注数据保护的其中一个原因就是日益增加的安全规制以及数据破坏通知方面的规制。这些规制迫使企业需要花费很多精力来保护数据。

Russell说:"我们所看到研究报告明确显示安全破坏通知法律的确有效果,而那些保护机密数据–无论这些数据是活动的还是存储中的–的最佳实践也在帮助促进安全水平的提升"。

但是他指出,在安全保护上我们还有很长的路需要走。许多企业甚至不使用加密技术,而他认为加密技术是存储安全的基础。

美国以及国外的各级政府显然并不满意企业的安全方式。美国和英国的立法者都在推动新的法律。英格兰的一个隐私委员会认为如果公司遭到重复性的和非常过分的安全侵犯,那么对这种犯罪行为的惩罚应不受范围限制。

例如,马塞诸塞州最近通过了一部新的数据侵犯法案。这是美国通过该类法案的第三十九个州。这项法案将在十月生效。当有关住址等的个人信息被丢失或被不正当地访问或公布时,根据该法,公司将有责任承担相应的合规义务。

Russell说,不幸的是,大部分企业只有在侵犯事件发生后,才会开始行动并保护数据。

他告诉他的听众说,许多人没有意识到的是,遭到安全侵犯的后果不仅是品牌形象的破坏以及潜在客户的流失,他们所将付出的代价要比罚金还要更多。

一份Gartner研究报告显示,一个数据记录被侵犯可能会导致每个客户帐户90美元的损失–如果数以千计的数据文件丢失,那么损失有可能达到天文数字。而Forrester的报告则列出了更为巨大的损失,即每份记录305美元。

Russell说,相比之下,加密客户数据文件的成本只有区区的平均6美元。

"不保护数据可能会带来巨大的损失",Russell说,"加密是关键,而且加密可以有很多种方式,从应用程序层面一直到存储层面"。例如,Gartner就建议企业将数据库监视同媒介加密结合起来。

企业必须开始反省一些严肃的问题,例如内部的和外部的风险是什么,如果数据流出,那么潜在损失是多少,最近一次对访问过程的检查是什么时候等。

鉴于新的规则可能出现,因此数据保护和合规计划必须同时拥有强有力的加密手段和加密密钥管理方法。

Russell稍后告诉InternetNews.com说:"从存储的角度看,我们的工作将会更加困难。安全保护必须要有深度。"

未经允许不得转载:存储在线-存储专业媒体 » 2008春季SNW:数据保护应从存储系统内部着手