DoSTOR存储分析 TRUSTe组织发布存储安全警告

    DoSTOR存储分析 11月9日消息：TRUSTe最近发布了关键存储警告：如果用户想确保系统安全，就必须警惕潜在安全漏洞，执行严格的备份，并控制数据中心访问。该组织今天还公布了一套最新的安全指南。

    TRUSTe是一个帮助美国政府对网站隐私保护政策进行审核的非赢利性实体，要求公司鉴别存储过程中的安全缺口。据TRUSTe的副总裁Cathy Bump说，这就意味着需要建立内部系统来消除所有潜在的安全威胁。

    她解释说：“比如，员工需要明白磁盘的丢失就意味着存在潜在的安全威胁。即使磁盘在丢失后又找到了，也还是说明你的安全措施有漏洞。”

    这听起来是不是太牵强了？应该不是。去年，位于美国核研究领域最前沿的洛斯阿拉莫斯国家实验室（Los Alamos National Lab）丢失了两个包含分类信息的磁盘，引起了极大混乱，因此该实验室不得不建立内部监测系统对其存储程序进行大规模的全面检查。

    TRUSTe力劝用户认真地思考一下自己是怎样备份数据的。根据那份安全指南上说的，用户应该检查当前访问控制，还要确保重新检查并测试他们的备份过程，如果需要的话应该重新设计备份过程。

    来自美国海军Surface Combat 系统中心的系统工程师Les Martin说：“我们过去在单独的介质上作备份，现在我们正在转移到使用存储区域网络（SAN）进行备份的新模式。”

    但是需要经常重新评估的不只是备份。Bump说：“你需要重新检查任何与安全和隐私有关的环节，因为威胁是随时可能变化的。”

    尽管如防火墙、安全套接层虚拟专用网（Secure Sockets Layer Virtual Private Networks ，SSL VPNs）、统一安全管理（unified threat management，UTM）这样的安全设备最近占据了报纸的头版头条，但TRUSTe还是对用户的一些基本存储程序 — 比如用户数据中心的物理安全 — 发出了警告。

    所以说，Cathy Bump的话并不是牵强的 — 一些企业已经开始着手行动了。一家要求匿名的专业服务公司最近告诉记者他们已经开始用RFID标签来跟踪曾经访问过其主要研发中心的人。

    TRUSTe希望用户重视的安全问题不只是备份和数据中心访问。这份指南还主张用户将一些“合理”的加密方法应用到存储上，特别是在存储服务器、桌面PC和笔记本电脑上的敏感信息时。

    目前加密也是一个热门话题。Sun微系统公司上周公布了其新设备级加密战略，推出了新T10000磁带机，内置AES-256位加密技术。Sun现在正计划将同样的设备级加密技术应用到更多的磁盘和磁带产品上。

    目前提供存储加密产品的公司有Decru（现已被NetApp收购），Neoscale系统公司，Kasten Chase公司。Spectra Logic公司也将于本月推出内置加密技术的磁带库；虚拟磁带库厂商Sepaton公司很快就会通过与Decru的合作推出一款加密产品。

未经允许不得转载：DOIT » DoSTOR存储分析 TRUSTe组织发布存储安全警告