周刊特写第194期:何处是数据泄露事件频发根源?

最近,我们存储在线连续刊载了业界著名的数据泄露案件(详情可见《著名数据泄露案件系列》),一连六天的精彩文章,深入浅出的剖析了这六件最著名,同时也是最不应该发生的数据泄露案件,这其中包括有政府实习生丢失保存重要数据的磁带、保存有员工信息和企业账目的未加密光盘被丢失在飞机上、黑客潜入金融公司系统内偷走了近一亿人的信用卡信息,这其中甚至包括国家级重点实验室的数据被丢失的可怕事件。

很多人表示,在通读了这六件可怕的数据泄露案件之后,才突然意识到数据保护和数据安全的重要性,甚至表示非常的"后怕",因为这些案件的故事差一点就在自己的IT系统上重演。

其实,就在发布此次的著名数据泄露案件时,另一起巨大的数据泄露事件又发生了:英国政府向外界披露,经过财政大臣达林证实,英国皇家税务及海关总署在邮寄过程中丢失了两张重要数据光盘,其中包括约2500万人的个人资料和银行信息,而整个英国的人口在去年刚刚突破6000万大关。

对此,我们不禁要问,上演这一幕幕数据泄露事件的公司,有最注重数据保护的金融集团,有国家级的重点实验室,有管理森严的国家政府,如果说这些都不足为奇的话,那么军方机构和企业安全软件公司的数据泄露又是为什么呢?

安全意识 百谈不厌

看了文章开头英国政府刚刚出现的事件,恐怕很难相信,一个国家政府机构会用邮寄光盘的方式,将全国近一半人口的资料曝露于危险之中。

无论是媒体、厂商还是第三方机构,对于企业必须重视数据保护和数据安全的问题已经谈过不下千遍了,市场上出现的厂商越来越多、新技术层出不穷,顾问、集成商和其他方案供应商也不断在"教育市场,教育用户"。企业的IT架构规模越来越大,手头的安全设备也不断增加。

随着在数据安全和数据保护方面的工作越来越大,从支持笔记本电脑的信息到保护归档和管理安全密钥,数据保护工作做的越来越彻底,越来越复杂,这些"假象"使得我们–包括企业、厂商、第三方机构和媒体舆论都一度相信:数据保护已经成为包括存储经理在内的大多数IT人士的最优先考虑事项。

但是,我们都错了。

根据企业策略集团ESG(Enterprise Strategy Group)针对288位存储专业人士的调查结果,其中30%的人明确表示他们公司的安全策略中并没有包含存储系统,还有20%的人并不知道或不能够说出他们公司的存储安全是否被攻破。

而事实恰好佐证了ESG的这项调查:我们所刊载的六件著名数据泄露案件,泄露的原因包括:让工作人员携带存储重要数据的磁带、光盘等介质外出、关键数据不进行严格加密、没有建立完善的入侵检测和防御体系、工作人员没有执行安全策略、将重要数据保存在员工的个人笔记本电脑上。

我们真的很难说企业的安全意识已经足够强了,实际上,就在前几天与一个系统管理员聊天的时候,他还在抱怨,其所在公司目前还只是靠个人杀毒软件和防火墙保护公司会计的电脑,当他希望能够批些预算来保护数据的时候,得到的回答是:反正也没出过问题,这笔钱就省下吧!

从上面的例子可以看出,目前部门企业对于数据保护和数据安全的意识仍然淡薄,而即使是对此已经引起"重视"的企业,他们的重视程度大部分也只是停留在表面之上。

人为因素仍是最大隐忧

与企业对于数据保护与数据安全意识的淡薄相伴的,是人为因素的越发显现,从我们所刊发的六件数据泄露案件来看,其中包括了员工随意携带数据存储介质、对敏感数据不进行加密、私自进行偷盗犯罪以及将敏感数据存储在自己的笔记本电脑等数据存储介质上等诸多问题。

作为存储管理、系统配置、策略制定并执行的载体,存储管理员以及所有的能够接触企业数据的人员都对企业的数据负有极大数据保护与数据安全责任,换句话说,保护数据不泄露不丢失是他们的必要工作,一直以来,他们这些人中的大部分都做得不错,但正是这种"做的不错",滋生了一种对于人为控制和员工能力的过分自信与依赖,这种信任就像我们相信在我们身边为我们修电脑的"电脑高手"或是那些偶然能够用"土法偏方"偶然治愈病人小恙的江湖大夫,随着企业对这类人群的逐步加深信任并放松警惕,再加上他们本身的自信不断膨胀,他们逐步开始将企业制定的存储策略抛之脑后,慢慢的开始对数据保护和数据安全问题产生麻木的感觉,接下来,人为造成的数据泄漏也就成为了必然。

近一段时间以来,我们看到了存储自动化市场的兴旺,包括惠普在内的国际厂商都在进入这个新兴的市场,在此之前,数据中心自动化技术一直都将存储管理排斥在外,而现在,存储自动化技术的到来与人为因素造成存储问题频发息息相关。

很多用户因为怕失去对存储系统配置的自主权与控制权,于是对存储自动化技术有些拒之千里,这恰恰显示出了他们对于自身的自信,在这种自信下,我们往往看到的是不去执行已经制定的数据存储策略或是干脆就没有制定数据存储策略。

我们必须明白,对于企业的数据保护和数据安全,必须重视企业内部的人为因素,并且通过严格执行企业安全策略来防止人为因素再次"作恶"。

不要给厂商100%的信赖

在我们刊发的最后一个案件中,Iron Mountain成为了问题的始作俑者,这个存储业界的重要厂商,自从2005年起就因一系列的数据保护失败而闻名:包括"时代华纳"磁带丢失事件,在加拿大和英国设备被烧事件,盗用用户数据事件,以及最近发生的有关几十万路易斯安那大学生数据丢失事件。

而在最近进行的民意调查中,150名回复者中超过55%的人认为Iron Mountain公司对有关他们业务的数据丢失问题根本没有解释清楚,由此可以看出,Iron Mountain公司的磁带传输和物理数据保护业务是有风险的。

对此,分析师们认为,用户,而不是Iron Mountain公司应该首当其冲确保数据受到保护,因为:那是用户自己的数据。

企业的数据都存储在各种各样的存储厂商提供的产品上,而那些存储厂商也在不断的宣传自己的数据保护技术如何高超,保护在其设备上的数据多么安全,但是用户们要记得,那些数据是自己的,而不是存储厂商的,他们并未真正重视你的数据,对此,专家的建议是,尽可能取消那些可移动可拆卸的存储介质,定期检查存储厂商提供的存储设备的运转情况,组织专家评估存储厂商提供的存储系统–尤其是数据保护和数据安全的部分。

说到这里,我们提醒了用户要加强数据保护意识,不要以为已经风平浪静,要避免人为因素制定保护策略,并且绝对不要妄自尊大,而最后,我们更是告诉用户们,要自己对自己的数据负责,而不是相信那些卖给你设备的存储厂商会真的把你的事情当真。当我们详细的看完这篇文章时,我想企业对如何保护数据有了一个最基本的认识,那就是:到头来,数据保护和数据安全工作,还要靠自己!

昊观存储:

企业的数据都存储在各种各样的存储厂商提供的产品上,而那些存储厂商也在不断的宣传自己的数据保护技术如何高超,保护在其设备上的数据多么安全,但是用户们要记得,那些数据是自己的,而不是存储厂商的,他们并未真正重视你的数据,对此,专家的建议是,尽可能取消那些可移动可拆卸的存储介质,定期检查存储厂商提供的存储设备的运转情况,组织专家评估存储厂商提供的存储系统–尤其是数据保护和数据安全的部分。