我们习惯于制定周密的措施来保护应用系统中昂贵的数据,当用户使用大量磁盘对数据进行备份/归档时,围绕着磁带所进行的保护工作也是必须认真完成的。
不久前,Time Warner公司公布说,保存信息的备份磁带被送往远程站点数据信息库时,现任和前任雇员的个人记录被“放错了地方”。存储记录的磁带从数据存储公司Iron Mountain的卡车中失踪了。
同时,美洲银行透露说,2月,它丢失了保存120万名联邦雇员(包括60名美国参议员)的信用卡账户记录的数字磁带。
经纪公司Ameritrade承认,2月份的某个时候它发现丢失了一盘记录着该公司20位目前和以前客户的个人信息记录磁带。好消息是,尽管丢失了4盘磁带,但最终找回了3盘。另一盘仍下落不明。
这3起事件涉及到3家经济规模巨大的美国公司,每家公司都投入了数百万美元建设自己先进的IT架构。
从以上事故中我们可以得到什么经验教训?
在一个身份偷窃日益盛行、公司数据代表着其主要企业资产的时代中,我们不禁要问自己,一家企业究竟要有多傻才会将自己的数据?D保存在未加密的备份磁带上?D交给可能丢失这些磁带的第三方?什么人才会犯这样的错误?或者更糟。
假如你认为你有一种站外保存备份和档案的好方法,那么现在也许是提醒自己注重的时候了:一条链子的强度是由其最薄弱的一环所决定的。
那么,什么是你的“备份链子”中最薄弱的环节呢?它可能是一位卡车司机,或货运站台上的某个人。
多年来,Iron Mountain和其竞争对手投入了大量资金来保存用户的数据,但是,即使Iron Mountain也在为迎接更加精明的客户做预备,这些客户希望以电子方式传送数据,避免为传输磁带所涉及的时间、费用以及日益增长的危险去伤脑筋。
继续用货车运输?
当然,卡车司机们始终赞同这种观念。但是,作为一种确保备份磁带安全的方法,这是糟糕透顶的方法。结论是,当用户将涉及未加密的数据运离主站点时,果断说“不”。
防止磁带丢失的措施
这些失踪的未加密磁带的时事通讯,引发了一次近乎于电子邮件风暴的报道。显然,报道说到了人们的痛处。
3家将备份磁带运送到站外磁带信息仓库的大型公司?DAmeritrade、美洲银行和Time Warner的问题很严重。这些磁带在运送时保存着未加密的数据,而且这些磁带被“放错了地方”(或遭偷窃),因此,有关很多客户人员信息可能落入了对信息居心叵测的人手中。
我猜想,这些报道之所以引起读者如此激烈的反应,是由于对于其中的很多人来说,这些事件与他们息息相关。
我的一位好朋友是某公司的技术经理,他的一次经历也许值得许多读者吸取教训。去年年底,经过近半年的团队努力,他们成功开发出一套安全系统,朋友让人制作了一份技术细节分析,当时由于要参加一次安全研讨会并对产品做一些推广工作,因此他将这些机密文件随身携带着,但是参加过研讨会后朋友发现这些东西丢了。当时朋友十分害怕,因为,不知道是不小心丢的,还是有竞争对手故意偷窃的。
离开主存储设施的未加密数据总会面临某种程度的风险。磁带因某位雇员漫不经心的态度,或治理不得力而导致的偷窃会和丢失并没有什么不同:您都可能会受到严厉的批评。而这也是应当的事情,因为构成作为存储治理人员职业不断变化的责任一部分,就是将这类风险减少到尽可能低的程度。
我的朋友丢的是绝密的技术文件。您预备丢些什么呢?
相关链接
没有保护磁带工作的预算,这里仍有可以采取的措施,首先将审查数据从一个场所搬到另一个场所所涉及的各种程序入手。
1、 画一张流程图,显示将磁带从一个地方转移到其他地方所需要的每一步。
2、 确定涉及的外部雇员?D承包商、其他公司工作的人员等等。您对外部人员有什么监督措施?他们有担保人吗?
3、 审查您自己在公司内部移动数据的方法。您对自己的雇员有什么监督措施?涉及到非IT雇员吗?磁带存在无人照管的时候吗?
4、 加强治理制度。
这当然只是开始。假如你有预算的话,请留意许多现在提供加密产品和服务的厂商。马上可以想到的公司有Computer Associates、Decru、Neoscale 和Vormetric。当然还有其他很多公司。