一、保護(hù)數(shù)據(jù)不泄漏

    據(jù)報(bào)告，美國(guó)2005年發(fā)生過180起敏感信息被泄露的事件，涉及 8 千萬條客戶記錄。企業(yè)已經(jīng)構(gòu)建了諸如防火墻、殺毒網(wǎng)關(guān)和VPN等物理安全邊界，但仍然面臨著保護(hù)數(shù)據(jù)的困境。我們知道，客戶和企業(yè)的數(shù)據(jù)是動(dòng)態(tài)的，不停地在公司內(nèi)、外之間進(jìn)行移動(dòng)，運(yùn)動(dòng)過程中數(shù)據(jù)很容易受到各種威脅。傳統(tǒng)的辦法是通過保護(hù)網(wǎng)絡(luò)、服務(wù)器、桌面和邊界，在外圍來保護(hù)信息的安全，很難有效地確保數(shù)據(jù)的保密性和完整性。那么，能否從直接保護(hù)關(guān)鍵的業(yè)務(wù)數(shù)據(jù)出發(fā)呢？

    這就是以信息為中心的安全戰(zhàn)略。它將信息安全從網(wǎng)絡(luò)邊緣向信息本身轉(zhuǎn)變，由內(nèi)而外的考慮信息的安全。從信息的存儲(chǔ)載體，延伸到信息基礎(chǔ)架構(gòu)的各個(gè)層面和使用者。下圖顯示的是兩種不同的保護(hù)：邊界保護(hù)與以信息為中心的安全保護(hù)。

    以信息為中心的安全(Information-Centric Security)戰(zhàn)略包括評(píng)估風(fēng)險(xiǎn)、確保人員安全可靠、加強(qiáng)基礎(chǔ)架構(gòu)安全、加強(qiáng)數(shù)據(jù)安全、確保法規(guī)遵從五個(gè)關(guān)鍵要素。以加強(qiáng)數(shù)據(jù)安全為例，我們根據(jù)信息資產(chǎn)安全等級(jí)劃分，按照等級(jí)保護(hù)的原則，直接保護(hù)關(guān)鍵的業(yè)務(wù)數(shù)據(jù)。它的關(guān)注點(diǎn)如下：

    1、底層數(shù)據(jù)加密：對(duì)數(shù)據(jù)進(jìn)行加密，對(duì)數(shù)據(jù)在靜止、傳輸?shù)壬芷诘母鱾€(gè)形態(tài)下進(jìn)行保護(hù)。
    2、信息權(quán)限管理：數(shù)據(jù)和內(nèi)容的動(dòng)態(tài)訪問和使用。
    3、密鑰管理：數(shù)據(jù)加密的密鑰管理。
    4、數(shù)據(jù)擦除服務(wù)：從老化或損壞磁盤上永久刪除數(shù)據(jù)的服務(wù)，以防止私密數(shù)據(jù)的泄漏。

    二、保護(hù)數(shù)據(jù)不丟失

    保護(hù)數(shù)據(jù)不丟失，可分為多個(gè)保護(hù)級(jí)別。這些級(jí)別是根據(jù)數(shù)據(jù)的可用性包括RTO(恢復(fù)時(shí)間目標(biāo):使系統(tǒng)恢復(fù)所需要的時(shí)間)和RPO(恢復(fù)點(diǎn)目標(biāo):可接受的數(shù)據(jù)丟失量)來劃分的。

    保護(hù)級(jí)別越高，RTO和RPO也就越少；不過實(shí)施的相對(duì)成本也就越高。這些級(jí)別分別是備份、本地復(fù)制、遠(yuǎn)程復(fù)制和實(shí)時(shí)連續(xù)復(fù)制。

   1、備份

    備份是為了在系統(tǒng)出現(xiàn)故障時(shí)進(jìn)行數(shù)據(jù)恢復(fù)，包括磁帶備份和磁盤備份等。

    磁帶備份(B2T,Backup To Tape)是經(jīng)典的備份方式，將數(shù)據(jù)備份到磁帶上。磁帶備份具有容量大、成本低的好處，但是備份和恢復(fù)的時(shí)間較長(zhǎng)，而且恢復(fù)成功的概率較小。

    磁盤備份(B2D, Backup To Disk)指的是把磁盤陣列作為備份設(shè)備，它改善了備份和恢復(fù)的性能，提供高可靠性和可用性。

    虛擬磁帶庫(VTL, Virtual Tape Library)，又稱為磁盤庫(Disk Library)，用磁盤來存儲(chǔ)數(shù)據(jù)，并且能夠仿真成物理磁帶庫。這種備份方式是磁盤備份的主流方式，它的優(yōu)點(diǎn)是：相對(duì)磁帶備份的性能大幅提高；同時(shí)，還能沿用原有的磁帶備份軟件和備份策略。

    還有一些衍生的備份方式，例如多級(jí)備份(B2D2T,Backup To Disk Library To Tape)，先備份到虛擬磁帶庫，再備份到磁帶，采用這種方式可以充分利用存儲(chǔ)空間，在信息存放到適當(dāng)?shù)拇鎯?chǔ)設(shè)備上。

    備份關(guān)注的有以下幾點(diǎn)：備份的數(shù)據(jù)量；備份和恢復(fù)的速度和可靠性；備份、恢復(fù)操作的方便性等。為了減少備份數(shù)據(jù)量、加快備份和恢復(fù)的速度,可以通過全面的備份、恢復(fù)和歸檔策略及采用新一代的重復(fù)數(shù)據(jù)刪除備份技術(shù)。其中，全面的備份、恢復(fù)和歸檔把不活動(dòng)的、最終形式的數(shù)據(jù)進(jìn)行歸檔，以縮小生產(chǎn)數(shù)據(jù)的大小，這樣就減少了備份的數(shù)據(jù)量，恢復(fù)時(shí)間也更短，性能更加穩(wěn)定，并且可實(shí)現(xiàn)分層存儲(chǔ)的優(yōu)勢(shì)。

    任何備份技術(shù)的恢復(fù)機(jī)制都需要一個(gè)和備份過程相反的過程，這個(gè)過程一般時(shí)間會(huì)很長(zhǎng)，如果用戶對(duì)恢復(fù)時(shí)間RTO要求很高，采用磁帶備份就捉襟見肘了，為了滿足要求就必須采用磁盤備份。

    本地復(fù)制和遠(yuǎn)程復(fù)制技術(shù)會(huì)為源數(shù)據(jù)制作一份副本，這個(gè)副本除了能夠提供近于即時(shí)的恢復(fù)外，還可用于無中斷備份、決策支持、應(yīng)用程序測(cè)試和開發(fā)、第三方軟件更新等；它們的目的在于保證系統(tǒng)數(shù)據(jù)和服務(wù)的“在線性”，即當(dāng)系統(tǒng)發(fā)生故障時(shí)，仍然能夠提供數(shù)據(jù)和服務(wù)，使系統(tǒng)恢復(fù)正常。

    2、本地復(fù)制

    本地復(fù)制包括快照和克隆?？煺帐菙?shù)據(jù)在某個(gè)時(shí)間點(diǎn)（拷貝開始的時(shí)間點(diǎn)）的映像。它是基于指針、節(jié)省空間的邏輯拷貝，通常要求少于 30% 的源卷容量，速度較快?？寺∈菙?shù)據(jù)的完整復(fù)制，是真實(shí)的拷貝，它的過程較慢，而且每個(gè)副本需要與源卷容量相同的存儲(chǔ)空間。

    3、遠(yuǎn)程復(fù)制

    遠(yuǎn)程復(fù)制為業(yè)務(wù)連續(xù)性和災(zāi)難備份提供了強(qiáng)有力的保證，通過遠(yuǎn)程站點(diǎn)故障切換確保數(shù)據(jù)和系統(tǒng)的可用性，在生產(chǎn)中心停機(jī)后數(shù)分鐘內(nèi)，數(shù)據(jù)能夠恢復(fù)，業(yè)務(wù)繼續(xù)運(yùn)營(yíng)。

    遠(yuǎn)程復(fù)制包括同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。同步遠(yuǎn)程鏡像是指通過遠(yuǎn)程鏡像軟件，將本地?cái)?shù)據(jù)以完全同步的方式復(fù)制到異地，每一本地的I/O事務(wù)均需等待遠(yuǎn)程復(fù)制的完成確認(rèn)信息，方予以釋放。異步遠(yuǎn)程鏡像保證在更新遠(yuǎn)程存儲(chǔ)系統(tǒng)前完成向本地存儲(chǔ)系統(tǒng)的基本I/O操作，而由本地存儲(chǔ)系統(tǒng)提供給請(qǐng)求鏡像主機(jī)的I/O操作完成確認(rèn)信息，遠(yuǎn)程的數(shù)據(jù)復(fù)制以后臺(tái)同步的方式進(jìn)行。

    4、實(shí)時(shí)連續(xù)復(fù)制

    持續(xù)數(shù)據(jù)保護(hù)（CDP, Continuous Data Protection），它的關(guān)鍵詞是持續(xù)。就給定的數(shù)據(jù)集而言，CDP提供恢復(fù)點(diǎn)的連續(xù)體，能夠存取任何時(shí)間點(diǎn)上的數(shù)據(jù)，而不僅僅針對(duì)那些由快照流程預(yù)先確定的特殊時(shí)刻。CDP允許應(yīng)用恢復(fù)到特定的時(shí)間點(diǎn)之前，而不是恢復(fù)到預(yù)先確定的時(shí)間點(diǎn)上?；謴?fù)點(diǎn)在時(shí)間發(fā)生后選定并動(dòng)態(tài)重建。它提供了粒度無限的恢復(fù)點(diǎn)（RPO）。 

    5、新一代數(shù)據(jù)保護(hù)技術(shù)

     隨著數(shù)據(jù)不斷地激增以及集中化存儲(chǔ)的趨勢(shì)，數(shù)據(jù)訪問開始面臨著一個(gè)新的困境：當(dāng)大量用戶訪問集中的數(shù)據(jù)時(shí)，有限的帶寬可能會(huì)造成嚴(yán)重的影響。于是，具有分布式的網(wǎng)格存儲(chǔ)日益受到關(guān)注，它將網(wǎng)絡(luò)視為一臺(tái)超級(jí)計(jì)算機(jī)，充分利用分布在不同地理位置上的存儲(chǔ)資源，構(gòu)建一個(gè)動(dòng)態(tài)響應(yīng)用戶需求的虛擬數(shù)據(jù)中心資源池，實(shí)現(xiàn)存儲(chǔ)資源的全面共享。網(wǎng)格存儲(chǔ)具有更高的容錯(cuò)與冗余度、在負(fù)載波動(dòng)的情況下有更好的性能、以及更低的成本等優(yōu)點(diǎn)。實(shí)現(xiàn)網(wǎng)格存儲(chǔ)的道路還很漫長(zhǎng)，有許多問題都必須解決，例如存儲(chǔ)虛擬化和全局資源管理。

    三、結(jié)束語

    數(shù)據(jù)保護(hù)是針對(duì)信息丟失和濫用提供的保護(hù)，從信息安全角度來看，就是確保數(shù)據(jù)的保密性、完整性和可用性。涵蓋的范圍很廣：
    1、保護(hù)數(shù)據(jù)不泄漏：身份和訪問管理；數(shù)據(jù)加密；安全信息和時(shí)間管理；法規(guī)遵從等。
    2、保護(hù)數(shù)據(jù)不丟失：備份、恢復(fù)和歸檔；災(zāi)難備份；重復(fù)數(shù)據(jù)刪除；持續(xù)數(shù)據(jù)保護(hù)等。
  
  
  

多易