WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

评测导购 > 数据保护 > 正文

可扩展数据保护方案的具体部署方式

Watchstor.com  佚名丨2009-11-06 18:00 标签:数据保护 存储资源管理 

数据存储时每个企业都要面对的一个需要进行大量成本投入的地方,为了节约存储成本,满足企业自身的发展,企业需要一种可扩展数据保护方案,来为他们减轻数据增长带来的成本压力。尽管每一家公司都会有一些数据应该不被随心所欲的访问到,但并不是每一家公司都有一套完备的计划来保护自己的机密信息。你需要有一套高效经济,并且在公司规模增大的时候仍然能满足需求的数据保护方案。

保护机密数据在今天已经成为越来越重要的一件事。企业会把所有的敏感信息存放在计算机上,并通过网络进行传输。因此,无论对于何种规模的企业而言,拥有自己的数据保护方案,使得自己的信息免受盗窃已经成为了非常重要的事情。如果你在受控行业中,例如医疗机构和金融服务机构,你或许 没有其他的选择,因为政府将强制要求你保护特定类型的信息。

现在让我们来看看你应当如何为保护自己的机密信息创建一个可扩展数据保护方案。

开始的第一步

数据保护方案从利用访问控制对数据访问进行限制。在Windows中,这就意味着应该对文件划分访问权限,例如共享权限。在Windows2000里面这尤为重 要,因为按照默认设置,Everyone组将对任何新创建的共享文件有完整的控制权。如果你没有设置文件访问权限(NTFS),那么除非改变默认权限,否 则你的数据将会暴露在任何授权用户和匿名用户的面前。

你可以对单个文件设置权限,但这样的工作量随着企业扩张和数据文件的增长将十分惊人。具有可扩展数据保护方案是对目录设置权限,然后把文件放 到相应目录中,由此实现严格的访问控制。

访问权限应当严格按照“按需访问”的原则来授予,只有那些的确需要出于工作目的访问信息的人才能获取相关的权限。将其应用到安全领域,有两种实现 思路:

从对任何人开放任何信息开始,然后限制哪些信息需要被限制访问

从禁止对任何人开放任何信息开始,然后限制哪些信息可以被公开

第二种思路显然更为安全,这也是在受控行业或拥有大量机密数据的企业中部署安全方案的唯一正确的逻辑。

身份认证的重要性

给予网络用户帐号和组成员的访问控制是毫无意义的,除非你能保证非授权用户不会登录到其它用户的帐户上。这就意味着一套严格的认证机制。基于 密码的认证方式是最普遍的,因为这很容易实现,用户操作起来也很方便,也容易扩展。你可以轻而易举的在单个Windows域中拥有上万个用户帐户,要 添加新的帐户以及让用户设置自己的密码也很容易。

只要制定合理的密码策略,密码鉴别是比较安全的。所有的密码都应该满足最小长度和复杂性要求,用户需要定期修改密码(例如每30天),并且不能 使用最近用过的密码(例如,不能反复交替使用两组密码)。除非使用技术强制手段,否则在大的网络内要实现这样的策略几乎是无法实现的。幸运的 是,Windows通过组策略强制密码策略,这使得这样的策略可以扩展。

即使是强大的密码,也无法同多因子认证相媲美。当用户被要求创建频繁更改且又足够复杂的密码时,他们常常会把这些密码写下来。闯入者们或许可 以发现这些密码,可以凭借一个有效帐户在系统里通行无阻。

这样的方案不仅要求用户记住某些东西登录到网络,还要求用户要拥有某些东西。这可以是智能卡或令牌,也可能是用户的生物特征,例如指纹。但这 样的多因子认证方案如何才能具备可扩展数据保护方案的特性呢?

在购买多因子认证方案之前,你要判断你的数据库能否容纳下众多员工的需求。如果采用卡或令牌的解决方案,你需要判断系统管理员登记每一张新卡 或令牌所花费的时间。系统应当使多因子认证方案能够得到快速的部署,同时也能方便的扩展。

加密

即便是有优秀的认证手段支持着你的权限访问控制,你还是会有一些数据希望享受到更安全的服务。因此,对这些数据而言,增加一层加密保护会很好 。你可以使用Windows 2000、XP内置的文件加密系统(EFS,Encrypting File System)。 EFS是基于公共密钥和数字证书的加密技术,但你不需要PKI就可 以使用它。该方案非常容易扩展。因为在企业很小的时候你可以无需PKI直接使用EFS,当企业规模增大,你可以再部署PKI发行EFS验证。

你可以加密文件夹,然后把文件放进去,这样你就不需要单独加密一个个的文件。只要设置合适的访问权限,这样的方案更具备可扩展数据保护方案特性。

还有诸如SafeBoot Content Encryption这样的第三方加密方案,能提供持续的加密(文件即使是被复制、移动、作为邮件附件发送,或是存放在可移动媒体 如CD或USB闪存盘上仍然处于加密状态)。

使消息具备自毁功能

保护机密信息的一个大问题是当你需要同别人共享该信息从而把信息放在文档或电子邮件中时,一旦信息脱离你的控制,你无法知道接受方是否和你一 样谨慎的保护好信息的机密性。这些信息是否会被复制或转发给其他人?就算他们不会有意这样做,但让机密信息长时间的待在接受方的硬盘里面总不 是安全的。你或许会要求对方在阅读后删除这些信息,但是你如何来保障他们会这样做呢?

一种解决方案就是使用微软的权限管理服务(RMS,Rights Management Services)。该方案可以让你在向某人发送文档或消息时附加某种限制,约束其对 文档的操作。例如,在Word中文档可能无法被复制,在Outlook中消息可能无法被转发。如果在另一台不同的终端上,该文档根本就无法被打开。你还可 以设置你的文档在一段时间后失效,即无法访问。其他的一些公司也提供了一些更具可扩展数据保护方案,例如Authentica的ARM(Active Rights Management)。

总结

无论现在你的公司有多大的规模,如果你现在还没有系统的数据保护计划,你应该有所考虑了。越来越多的企业已经在常规的保护措施下遭遇了数据泄 露。即使政府没有强制要求你保存数据,你也需要对自己的个人信息、帐户数据和其他机密信息加以妥善保护。现在部署一套可扩展数据保护方案可以让你在 以后免去诸多的麻烦。

【编辑推荐】

  1. 解析远程办公数据保护策略的制定
  2. 数据保护重要性在实际应用中的体现
  3. EMC数据基础架构解决方案为数据提供安全性保障
  4. 企业数据保护方案的具体介绍
  5. 为你挖出数据保护隐性成本

相关资讯

今日微信独家

《华尔街日报》报道日前援引知情人士的消息称,由于被美国政府以国家安全问题为由进行调查,联想斥资23亿美元收购IBM低端服务器业务的交易陷入了停滞状态。
关注新浪官博 订阅微信订阅号

订阅焦点周刊

论坛与活动

2016中国数据加速峰会直播专题
2016中国数据加速峰会直播专题[详细]
点击查看

精彩视频

最新文章

1111111
1111111
asdasd
asdasd
同有科技应用型大数据存储在南京掀起智能风暴
同有科技应用型大数据存储在南京掀起智能风暴
斯蒂芬斯蒂芬
斯蒂芬斯蒂芬
京东双11技术备战 构建多中心交易系统
京东双11技术备战 构建多中心交易系统