文章发表于2024-05-11 09:16:25,归属【信息安全】分类,已有718人阅读
数据存储安全涉及保护存储资源和存储在其上的数据(包括本地和外部数据中心和云)免受意外或故意损坏,以及未经授权的用户和使用。这是一个对企业至关重要的领域,因为大多数数据泄露最终都是由数据存储安全故障引起的。
安全数据存储
安全数据存储是指为保证存储数据的安全性和完整性而采用的手动和自动计算过程和技术。这可以包括对存储数据的硬件的物理保护,以及安全软件。
安全数据存储适用于存储在计算机/服务器硬盘、便携式设备(如外部硬盘驱动器或USB驱动器)以及在线/云、基于网络的存储区域网络(SAN)或网络附加存储(NAS)系统中的静态数据。
以下是如何实现安全的数据存储的措施:
1. 数据加密
2. 每个数据存储设备/软件的访问控制机制
3. 防止病毒、蠕虫和其他数据损坏威胁
4. 物理/载人存储设备和基础设施安全
5. 分层/分层存储安全架构的强制和实现
对于处理敏感数据的组织来说,安全的数据存储是必不可少的,既可以避免数据被盗,又可以确保不间断的操作。
数据安全与数据保护
存储安全和数据安全与数据保护密切相关。数据安全主要涉及保护私人信息不让未经授权的人看到。它还包括保护数据免受其他类型的攻击,例如阻止访问信息的勒索软件或改变数据的攻击,使其不可靠。
数据保护更多的是确保在系统或组件故障甚至自然灾害等不那么恶劣的事件发生后,数据仍然可用。
但是,两者在确保信息的可靠性和可用性以及从可能威胁组织数据的任何事件中恢复的需求方面是重叠的。存储专业人员经常发现自己同时处理数据安全和数据保护问题,而一些相同的最佳措施可以帮助解决这两个问题。
对数据安全的威胁
在了解如何实现数据存储安全性之前,了解组织面临的威胁类型非常重要。
威胁因子可分为两类:外部和内部。
外部威胁因素包括:
1. 国家
2. 恐怖分子
3. 黑客,网络罪犯,有组织的犯罪集团
4. 竞争对手开展“工业间谍活动”
内部威胁因素包括:
1. 恶意的内部人员
2. 缺乏训练或粗心的员工
3. 心怀不满的员工
其他威胁包括:
1. 火灾、洪水和其他自然灾害
2. 停电
存储的漏洞
数据存储安全性的另一个巨大驱动因素是存储系统固有的漏洞。它们包括以下内容:
1. 缺乏加密——虽然一些高端NAS和SAN设备包括自动加密,但市场上的许多产品不包括这些功能。这意味着组织需要安装单独的软件或加密设备,以确保他们的数据被加密。
2. 云存储——越来越多的企业选择将部分或全部数据存储在云中。尽管有人认为云存储比本地存储更安全,但云增加了存储环境的复杂性,并且通常需要存储人员学习新工具和实施新程序,以确保数据得到充分保护。
3. 不完整的数据破坏——当数据从硬盘驱动器或其他存储介质中删除时,可能会留下痕迹,允许未经授权的个人恢复该信息。这取决于存储管理员和管理人员,以确保覆盖从存储中删除的任何数据,使其无法恢复。
4. 缺乏物理安全性——一些组织对其存储设备的物理安全性不够重视。在某些情况下,他们没有考虑到内部人员,如员工或清洁人员,可能能够访问物理存储设备并提取数据,绕过所有精心设计的基于网络的安全措施。
数据存储安全原则
在最高级别上,数据存储安全性寻求确保“CIA”——机密性、完整性和可用性。
保密性:通过确保数据不能被未经授权的人通过网络或本地访问来保持数据的机密性是防止数据泄露的关键存储安全原则。
完整性:数据存储安全上下文中的数据完整性意味着确保数据不能被篡改或更改。
可用性:在数据存储安全的上下文中,可用性意味着尽量减少存储资源被破坏或无法访问的风险,无论是故意的(例如在DDoS攻击期间)还是意外的(由于自然灾害、电源故障或机械故障)。
数据安全最佳措施
为了应对这些技术趋势和处理存储系统固有的安全漏洞,专家建议组织实施以下数据安全最佳措施:
1. 数据存储安全策略——企业应该有书面的策略,为其拥有的不同类型的数据指定适当的安全级别。显然,公共数据需要的安全性远远低于受限制的或机密的数据,组织需要安全模型、程序和工具来应用适当的保护。这些策略还应该包括应该部署在组织使用的存储设备上的安全措施的细节。
2. 访问控制——基于角色的访问控制是安全数据存储系统必须具备的,在某些情况下,多因素身份验证可能是合适的。管理员还应确保更改其存储设备上的任何默认密码,并强制用户使用强密码。
3. 加密——数据在传输和存储系统中都应该加密。存储管理员还需要一个安全的密钥管理系统来跟踪他们的加密密钥。
4. 防止数据丢失——许多专家表示,仅靠加密不足以提供全面的数据安全。他们还建议组织部署数据丢失预防(DLP)解决方案,帮助发现和阻止正在进行的任何攻击。
5. 强大的网络安全性——存储系统不是真空存在的;它们应该被强大的网络安全系统所包围,比如防火墙、反恶意软件保护、安全网关、入侵检测系统,以及可能的基于高级分析和机器学习的安全解决方案。这些措施应该可以防止大多数网络攻击进入存储设备。
6. 强大的端点安全性——同样,组织也需要确保他们在pc、智能手机和其他将访问存储数据的设备上有适当的安全措施。这些端点,特别是移动设备,可能成为组织网络防御的薄弱环节。
7. 冗余——冗余存储,包括RAID技术,不仅有助于提高可用性和性能,在某些情况下,还可以帮助组织减少安全事件。
8. 备份和恢复——一些成功的恶意软件或勒索软件攻击彻底破坏了企业网络,唯一的恢复方法就是从备份中恢复。存储管理人员需要确保他们的备份系统和流程足以应对这些类型的事件以及灾难恢复目的。此外,他们需要确保备份系统具有与主系统相同级别的数据安全性。