信息安全在一定程度上也可以稱為數(shù)據(jù)安全�,一方面,指的是數(shù)據(jù)自身的安全�����,另一方面�,指的是數(shù)據(jù)防護(hù)的安全。在數(shù)據(jù)自身的安全方面��,無論是涉及國家秘密還是商業(yè)秘密��,信息泄露都會(huì)給企業(yè)帶來難以估量的損失,甚至于威脅國家安全和利益�。為了防范于未然,除了采取相應(yīng)的管理程序加強(qiáng)員工管理以及簽訂相應(yīng)的保密協(xié)議之外�,還需要通過行之有效的技術(shù)手段進(jìn)行防護(hù)。
常規(guī)的防護(hù)手段不外乎數(shù)據(jù)加密�、信息完整性校驗(yàn)、身份認(rèn)證等方式��,輔以端口控制���、審計(jì)監(jiān)控以及調(diào)查取證等技術(shù)����,通過與管理程序相結(jié)合��,可以有效地保護(hù)數(shù)據(jù)自身的安全�,防止企業(yè)因數(shù)據(jù)外泄而造成損失。
對于企業(yè)來說���,主動(dòng)泄密的員工畢竟不多���,但因疏于對數(shù)據(jù)進(jìn)行必要的防護(hù),結(jié)果造成數(shù)據(jù)丟失的事情卻屢見不鮮。
一�����、信息安全存在的問題
安全問題給企業(yè)帶來的損失往往都非常巨大��,當(dāng)事人雖追悔莫及卻無力回天����。
老牌企業(yè)A在大力發(fā)展信息化的過程當(dāng)中�����,產(chǎn)生了海量數(shù)據(jù)�����,大部分為涉及試驗(yàn)的數(shù)據(jù)��,因?yàn)樵囼?yàn)的成本很高����,基本上不具備可重復(fù)性,因此���,這些數(shù)據(jù)十分寶貴���。由于規(guī)劃建設(shè)較早����,該企業(yè)是在發(fā)展的過程當(dāng)中逐步建立起信息系統(tǒng)的�����,而信息系統(tǒng)內(nèi)所產(chǎn)生的數(shù)據(jù)則全部都存儲(chǔ)在各個(gè)聯(lián)網(wǎng)計(jì)算機(jī)終端上�,除郵件服務(wù)器存儲(chǔ)了全部內(nèi)部郵件系統(tǒng)數(shù)據(jù)往來之外,沒有采取集中存儲(chǔ)或備份措施�����。
之后的一次意外斷電�����,造成該企業(yè)一個(gè)重要項(xiàng)目負(fù)責(zé)人的計(jì)算機(jī)在非正常關(guān)機(jī)后無法再啟動(dòng)����,經(jīng)檢查,為硬盤硬件故障����。事情發(fā)生后���,該負(fù)責(zé)人找了多家專業(yè)的數(shù)據(jù)恢復(fù)機(jī)構(gòu),均被告知只有20%的概率恢復(fù)��。最后��,很不幸地����,硬盤數(shù)據(jù)沒有能夠找回�����,雖然通過郵件系統(tǒng)找回了該負(fù)責(zé)人發(fā)送給其他員工的部分?jǐn)?shù)據(jù)�,但是,實(shí)際損失還是相當(dāng)大���,給企業(yè)帶來了不小的影響����。
從表面上看�,該企業(yè)沒有對數(shù)據(jù)進(jìn)行集中保存且缺乏數(shù)據(jù)備份的手段�����,但是�����,有了集中存儲(chǔ)與數(shù)據(jù)備份措施就能確保萬無一失了嗎?
新興企業(yè)B在發(fā)展過程中認(rèn)識(shí)到了數(shù)據(jù)安全的重要性��,采購了磁盤陣列�����、磁帶機(jī)以及備份與恢復(fù)軟件����,制定了符合企業(yè)自身特點(diǎn)的備份策略�����,使用備份軟件在虛擬帶庫與真實(shí)帶庫上進(jìn)行兩級(jí)備份來保證數(shù)據(jù)安全��,管理員定期檢查數(shù)據(jù)備份狀態(tài)���,備份功能一直都很正常�。而且,為了保證數(shù)據(jù)能夠被充分利用與保存�����,該企業(yè)斥巨資開發(fā)了一套數(shù)據(jù)管理系統(tǒng)�,通過數(shù)據(jù)庫系統(tǒng)將各種數(shù)據(jù)分門別類地保存,集中進(jìn)行管理�����,這給其他相關(guān)項(xiàng)目的研發(fā)提供了很大的助力�����,研發(fā)水平得到了提升���。
然而,在一次數(shù)據(jù)管理系統(tǒng)的版本升級(jí)過程中���,由于應(yīng)用系統(tǒng)開發(fā)人員的—個(gè)疏忽���,導(dǎo)致程序誤將應(yīng)用系統(tǒng)內(nèi)的部分重要數(shù)據(jù)刪除,由于影響到了主營業(yè)務(wù)�,急需進(jìn)行數(shù)據(jù)恢復(fù)��。管理人員在恢復(fù)申請獲得批準(zhǔn)后第一時(shí)間啟動(dòng)了恢復(fù)程序��,可是卻突然發(fā)現(xiàn)�����,由于待恢復(fù)數(shù)據(jù)文件異��,嵥榍覕(shù)量巨大���,在暫停應(yīng)用的情況下,恢復(fù)時(shí)間預(yù)計(jì)會(huì)超過10個(gè)小時(shí)���。最后���,由于業(yè)務(wù)部門無法等到全部數(shù)據(jù)恢復(fù)完成,只能被迫選擇了一個(gè)恢復(fù)時(shí)間較短���、損失相對較少的備份節(jié)點(diǎn)進(jìn)行應(yīng)用系統(tǒng)的快速恢復(fù)����,以保證主營業(yè)務(wù)不至于中斷���,企業(yè)因此而損失巨大�。
二、保護(hù)信息安全的措施
由此可見���,只有集中存儲(chǔ)與數(shù)據(jù)備份還不足以解決數(shù)據(jù)安全的問題��。怎么樣才能夠從根本上保護(hù)企業(yè)的生命線��,將信息安全風(fēng)險(xiǎn)降至最低呢?總結(jié)下來�,主要有如下幾個(gè)方面的措施��。
(一)重要數(shù)據(jù)文件集中進(jìn)行存儲(chǔ)���,統(tǒng)一進(jìn)行備份
數(shù)據(jù)文件集中存儲(chǔ),在存儲(chǔ)系統(tǒng)中保留副本�����,可以解決數(shù)據(jù)保存零散化��、碎片化的問題��,降低因終端硬盤故障帶來的安全風(fēng)險(xiǎn)���。而后�����,通過備份系統(tǒng)定期對存儲(chǔ)系統(tǒng)進(jìn)行數(shù)據(jù)全備份及增量備份�,保護(hù)數(shù)據(jù)安全。
同時(shí)����,管理人員還應(yīng)該定期對備份介質(zhì)進(jìn)行檢查,尤其是應(yīng)定期檢查磁帶類備份介質(zhì)�����,選擇合適的環(huán)境保存磁帶類備份介質(zhì)�����,確保備份介質(zhì)的可用性�,這一點(diǎn)相當(dāng)重要。
(二)做好備份與恢復(fù)演練�����、系統(tǒng)恢復(fù)應(yīng)急響應(yīng)演練
應(yīng)該制定符合企業(yè)自身特點(diǎn)的備份與恢復(fù)策略,備份策略要考慮數(shù)據(jù)保護(hù)周期�����,防止因保護(hù)周期過長而導(dǎo)致已經(jīng)過期的備份數(shù)據(jù)不能被覆蓋�����,進(jìn)而導(dǎo)致備份作業(yè)無法完成�����。同時(shí)��,應(yīng)該對業(yè)務(wù)數(shù)據(jù)按照重要性進(jìn)行排序����,確定恢復(fù)數(shù)據(jù)的順序。管理人員還需要充分考慮恢復(fù)過程中可能遇到的問題及解決辦法���,形成操作文檔。
更為重要的是應(yīng)該制定行之有效的制度以確保備份與恢復(fù)策略能夠切實(shí)地執(zhí)行��,同時(shí)����,制度中要對備份與恢復(fù)演練��、系統(tǒng)恢復(fù)應(yīng)急響應(yīng)演練做出要求�,確��;謴(fù)的快速性和可操作性����。從演練中發(fā)現(xiàn)問題、總結(jié)經(jīng)驗(yàn)�����,豐富應(yīng)急響應(yīng)操作文檔����,為將來真正出現(xiàn)恢復(fù)需求時(shí)積累經(jīng)驗(yàn)。
..
|
