漏洞出现在哪里？

    关于存储安全，大家现在谈论最多的是备份和容灾，如此数据就安全了吗？这种想法显然过于乐观和简单。有点类似于派出重兵把守城门，却无人看守库房的做法。一旦系统本身出现漏洞，数据首当其冲受到危害。安全机构SANS Institute就曾经发布过严重安全漏洞排行榜，给多款市场上占据领导性地位的备份软件出示红牌：Veritas、CA公司的多个备份软件出现安全漏洞，原本旨在安全防护的备份工具正为入侵者亮起绿灯。

    从新闻报道来看，存储安全的疏漏五花八门。技术含量最高的应当是黑客攻击。如美国的付款信息处理公司CardSystems不适当地保留了信用卡客户的资料做“调查之用”，并在5月份黑客侵入它的系统时，造成了美国史上最大宗的资料泄露事件，泄密事件波及的信用卡用户多达4000万人。数据库公司LexisNexis的数据库被黑客入侵，至少31万名用户的个人信息被窃取。有些采取的是欺诈手段。被称为“国家保姆”的ChoicePoint，数据库中总共包含190亿条美国消费者的数据，但却被人采用欺诈手段窃取了14.5万名美国居民的个人信息，其中包括社会安全号码、驾照号码以及信用卡资料。

    根据大量数据泄露和丢失的实例，我们目前可以看到的情况是，在存储架构中，被破坏的信息主要是由于拒绝服务或者病毒的攻击造成的。在整个系统中，存储仍然被认为是最不智能的部分，所以多数信息从数据库中被窃取的情况，都是利用应用层的薄弱点来实现的。

    遗憾的是国内用户在存储安全的问题上认识还停留在初步阶段，有厂商抱怨“几乎没有看到国内用户在存储安全方面提出任何要求”。只有当企业赖以运营的数据环境受到如此大规模的冲击时，我们才会看到存储厂商蜂拥而至，生产包含了安全功能的超越目前存储设备的产品，这类产品将很有可能在存储和服务器资源之间引入一个访问、认证和授权层。2005年著名的几起磁带丢失导致资料泄露的事件，引发了磁带加密的技术热潮，也进一步推动了存储与安全融合的热潮。

    正是不断增加的数据损失使数据保护、数据安全和灾难恢复技术达到一个比较独特的水平。