【IT168 专稿】近来，网络上点击率最高的词汇莫过于“熊猫烧香”。这个手捻三柱高香的黑白Q版熊猫在网络上肆掠横行，让无数企业和个人用户遭受因病毒侵害带来的数据丢失和损坏。事实上，“熊猫烧香”仅仅是蠕虫病毒的变种之一，只是因为近期的大规模集中爆发才为公众广泛关注。而网络上形形色色的病毒、系统的漏洞、人为泄密、黑客攻击……，重要数据丢失的突发事件，没有一天不在影响着IT界。

    纵观全世界，到目前为止有超过5千4百万的身份信息被盗取，估计每天还有1万9千的身份信息会被盗取。而公司在每一桩此类事件上平均要花费1，500个小时，对每个受害人的损失赔偿从4万美元到9万美元不等。

    要想大吃一惊的话，可以登录www.attrition.org/dataloss来看看关于数据损失事件的登记。这份清单里记录了被盗取的数百万身份信息的详细资料。2007年年初，已经有迹象表明，发生这类事件的速度似乎在与日俱增。根据一家调研公司的数据，在2007年1月，美国大约有220万的记录受到了安全威胁。

    类似的事件越来越多地被披露出来，人们似乎已经习以为常，早已不放在心上。公众熟视无睹的态度让一些业内人士忧心忡忡：IT行业如果不采取全面广泛的应对措施是否将迎来一场数据灾难，其破坏程度有可能等同于艾克森瓦迪兹号油轮触礁导致1100万加仑原油泄露污染海洋，或者是切尔诺贝利核泄漏事件。

    这究竟是专家们的杞人忧天还是危言耸听我们不得而知，我们唯一知道的是，身边的一些企业，已经为数据保护上的一些疏漏在付出代价。

    2005 年，花旗银行、Ameritrade、时代华纳和美国银行在几个月内相继报告，包含客户个人信息的备份磁带失踪，而这些公司没有任何一家能够排除被盗的可能性。在未加密的备份磁带丢失导致个人信息泄漏的120 万名美国银行客户中，有几位正好是美国参议员。毫无意外，这几位参议员提出加强立法，规范银行和其它金融机构对备份介质的处理。

漏洞出现在哪里？

    关于存储安全，大家现在谈论最多的是备份和容灾，如此数据就安全了吗？这种想法显然过于乐观和简单。有点类似于派出重兵把守城门，却无人看守库房的做法。一旦系统本身出现漏洞，数据首当其冲受到危害。安全机构SANS Institute就曾经发布过严重安全漏洞排行榜，给多款市场上占据领导性地位的备份软件出示红牌：Veritas、CA公司的多个备份软件出现安全漏洞，原本旨在安全防护的备份工具正为入侵者亮起绿灯。

    从新闻报道来看，存储安全的疏漏五花八门。技术含量最高的应当是黑客攻击。如美国的付款信息处理公司CardSystems不适当地保留了信用卡客户的资料做“调查之用”，并在5月份黑客侵入它的系统时，造成了美国史上最大宗的资料泄露事件，泄密事件波及的信用卡用户多达4000万人。数据库公司LexisNexis的数据库被黑客入侵，至少31万名用户的个人信息被窃取。有些采取的是欺诈手段。被称为“国家保姆”的ChoicePoint，数据库中总共包含190亿条美国消费者的数据，但却被人采用欺诈手段窃取了14.5万名美国居民的个人信息，其中包括社会安全号码、驾照号码以及信用卡资料。

    根据大量数据泄露和丢失的实例，我们目前可以看到的情况是，在存储架构中，被破坏的信息主要是由于拒绝服务或者病毒的攻击造成的。在整个系统中，存储仍然被认为是最不智能的部分，所以多数信息从数据库中被窃取的情况，都是利用应用层的薄弱点来实现的。

    遗憾的是国内用户在存储安全的问题上认识还停留在初步阶段，有厂商抱怨“几乎没有看到国内用户在存储安全方面提出任何要求”。只有当企业赖以运营的数据环境受到如此大规模的冲击时，我们才会看到存储厂商蜂拥而至，生产包含了安全功能的超越目前存储设备的产品，这类产品将很有可能在存储和服务器资源之间引入一个访问、认证和授权层。2005年著名的几起磁带丢失导致资料泄露的事件，引发了磁带加密的技术热潮，也进一步推动了存储与安全融合的热潮。

    正是不断增加的数据损失使数据保护、数据安全和灾难恢复技术达到一个比较独特的水平。

让数据更安全的关键技术

    那么，公司会考虑或者采用什么样的技术和方法来保证存储数据更加安全呢？

    一些专家认为磁带加密以及为存储管理者提供改善访问控制是两种有效的方法，他们坚持认为磁盘加密并没有什么市场，而这一状况将持续下去。而最近EMC发布Symmetrix的安全产品看做是厂商实施访问控制升级的一个实例。另外一些业内人士则有不同的看法，他们认为最新的系统将使用超级防火墙，高级加密算法，最终甚至会涉及一些生物方法。

    但这两派观点也有一致的地方，他们都认为存储加密这个方向是未来数据安全的重点。美国密歇根州Elk Rapids的Ponemo学会计算出平均数据损坏成本为182美元，而平均每次事故需要支出480万美元，他们的研究还包括了加密技术在组织之中的部署程度。调查发现，66%的被调查者表示他们采用了一定的加密技术，还有16%在企业范围内部署了加密技术。而且，组织还在寻找一种平台解决方案，可以让企业集中管理和部署多种策略一致的加密应用。

    无论如何，关注存储安全的厂商已经越来越多。例如去年，EMC就斥资21亿美元将专注于身份识别和数字资产安全保护的厂商RSA收入囊中。业界普遍认为收购金额过于昂贵，但也许只有EMC才能意识到RSA能够带来的价值。旧金山的PGP公司，提供PGP加密平台。该平台提供了跨越多种功能的加密服务，包括电子邮件，磁盘锁等，都可以进行集中控制。

    加密行业的另一个主角就是NetApp的Decru部门，由NetApp于2005年并购Decru而得来。该部门一直在尝试扩展他们的技术范围，同时还在存储安全标准方面努力工作。大多数针对存储数据的加密过程的特定攻击都和数据块以及文件的模式相关，Decru 的 DataFort工具现在采用了AES-256加密算法系列。这个算法系列提供了一个高级别的文件及数据安全保护。而且还被高级别的政府应用所采用。

    Decru还在为美国国家工业标准T10小组工作，方向为SCSI存储协议中的密钥处理。想法的起点就是使其支持SCSI协议的简单存储设备间的通信过程，但是还不能扩展到以太网这种带外连接。早期的加密标准草案中提议采用明文在网络间传送秘钥，这就遗留下了安全漏洞。更新的建议包括安全密钥传输方法，最近作为对T10草案的附加提议被接受。

    虽然Decru和其他厂商在标准内容方面努力工作，希望让存储安全工具更容易和多种存储架构一同工作，但真正要达到完全的互操作能力也许是一个漫长的过程。

后记：安全高于一切？

    一位银行人说，如果银行出现火灾，大家都不会去抱钱柜，而是抱着硬盘往外跑。因为几千万元的人民币烧了，可以重新印，但数据一旦丢失后果非常严重。调研公司的数据表明：数据保护已经变成IT战略中最关键的一部分，到2008年，数据安全技术将带来比磁盘和磁带工业加在一起还要大的市场。

    今天，数据安全已经是一种横跨多种IT环境的主要需求。安全的两个主要方面——机密性和防止数据偷窃的保护——都可以由加密技术来提供保证，但是大量的其他技术也必须综合应用起来，以保证完整的存储架构的安全。