Iron Mountain公司在他們的網(wǎng)站上提供網(wǎng)絡(luò)連接和磁盤存儲(chǔ)的數(shù)據(jù)備份服務(wù)。公司信息保護(hù)和存儲(chǔ)部門的資深副總裁Ken Rubin表示"在災(zāi)難面前，時(shí)間是第一位的，沒有什么比將備份磁盤運(yùn)到災(zāi)難恢復(fù)站點(diǎn)更有效的方式了。此時(shí)在線傳輸千兆字節(jié)的帶寬限制就顯得不切實(shí)際了"。

Affiliated Computer Services公司的首席信息安全官克里斯托弗.萊克表示"鑒于物理數(shù)據(jù)丟失的風(fēng)險(xiǎn)我們正在竭力加強(qiáng)磁盤存儲(chǔ)業(yè)務(wù)"。他介紹說(shuō)公司正在設(shè)立一種服務(wù)，如果文件不是太大的話，公司可以將加密數(shù)據(jù)備份通過(guò)網(wǎng)絡(luò)瀏覽器傳輸給用戶。

誤區(qū)2：保護(hù)磁盤和筆記本電腦安全是技術(shù)人員的職責(zé)
信息技術(shù)的保護(hù)當(dāng)然是IT部門的工作，但是也不能小視企業(yè)中其他人員的作用。

紐約州首席信息官M(fèi)elodie Mayberry-Stewart成立了一個(gè)由12人組成的法務(wù)部來(lái)研發(fā)最佳的安全策略，金融領(lǐng)域是研究的重點(diǎn)，一些加密和電信領(lǐng)域的專家也參與其中。除此之外，她還將擅長(zhǎng)安全和風(fēng)險(xiǎn)管理的技術(shù)專家分離出來(lái)組建專門的團(tuán)隊(duì)。Mayberry-Stewart表示律師正在和Iron Mountain這樣的企業(yè)探討合同細(xì)節(jié)，就服務(wù)級(jí)別達(dá)成共識(shí)，畢竟像Iron Mountain這樣的公司每個(gè)月要從4個(gè)大型機(jī)數(shù)據(jù)中心中傳輸和存儲(chǔ)大約4000盤紐約州的磁盤數(shù)據(jù)。

SUN微系統(tǒng)公司在全球范圍內(nèi)有7家數(shù)據(jù)中心在使用磁盤存儲(chǔ)。每家數(shù)據(jù)中心都應(yīng)用著自己的數(shù)據(jù)維護(hù)流程。SUN公司的首席信息安全官萊斯利.蘭伯特表示"他們不想改變自己的數(shù)據(jù)流程"。那么規(guī)則，協(xié)議和流程從何而來(lái)呢？蘭伯特認(rèn)為"我們成立了非常嚴(yán)謹(jǐn)?shù)姆▌?wù)部，隱私保護(hù)團(tuán)隊(duì)，業(yè)務(wù)管理團(tuán)隊(duì)，內(nèi)部審計(jì)員，外部審計(jì)員和信息保護(hù)法律團(tuán)隊(duì)，這些部門一起協(xié)同工作"。

蘭伯特表示企業(yè)要遵循數(shù)據(jù)保護(hù)的州和聯(lián)邦立法規(guī)定，通過(guò)Relational Security的風(fēng)險(xiǎn)和法規(guī)遵從管理軟件來(lái)承擔(dān)這些繁瑣的任務(wù)。

誤區(qū)3：丟失磁盤最初只是安全問(wèn)題
磁盤丟失確實(shí)是安全災(zāi)難，如果被公眾獲知也將成為公共關(guān)系的夢(mèng)魘。

醫(yī)療產(chǎn)品制造商Stryker Corp的IT副總裁布萊恩.拉瑞表示"我不認(rèn)為丟失員工信息（比如社會(huì)保險(xiǎn)號(hào)碼）是什么大不了的事，盡管這很重要。丟失磁盤的可能性會(huì)讓我夜不能寐，我們必須保護(hù)FDA（美國(guó)食品和藥品管理局）的產(chǎn)品數(shù)據(jù)，否則會(huì)招惹司法訴訟的麻煩。信息丟失的責(zé)任非常重大，我們保留法律途徑解決的權(quán)利"。

盡管法律要求某些信息必須保留7年，不過(guò)拉瑞表示，只要那些持有Stryker產(chǎn)品的用戶還活著，Stryker就必須保留他們的數(shù)據(jù)。盡管公司在遠(yuǎn)程災(zāi)難恢復(fù)中心為這些磁盤建立了鏡像，但經(jīng)過(guò)一段時(shí)間，某些數(shù)據(jù)就只能通過(guò)Iron Mountain公司遠(yuǎn)程傳輸和存儲(chǔ)的磁盤形式來(lái)保留。

拉瑞會(huì)定期讓審計(jì)對(duì)Iron Mountain持有的Stryker磁盤清單進(jìn)行核查。他表示定期審計(jì)是公司"三步走"磁盤保護(hù)項(xiàng)目的一個(gè)組成部分，這個(gè)項(xiàng)目還包括數(shù)據(jù)保護(hù)合同以及與知名磁盤存儲(chǔ)廠商的合作。

有專家稱出于非法目的盜竊磁盤的事件相對(duì)較少。由于人為錯(cuò)誤導(dǎo)致的磁盤丟失會(huì)令業(yè)務(wù)流程中斷，迄今為止已經(jīng)成為最常見的問(wèn)題。

誤區(qū)4：技術(shù)不重要；控制更重要
有專家稱，經(jīng)過(guò)深思熟慮設(shè)計(jì)的控制和流程盡可能的實(shí)現(xiàn)自動(dòng)化，并通過(guò)最佳方法進(jìn)行試驗(yàn)?zāi)芟拗拼疟P和筆記本電腦的隨意丟失。但技術(shù)的幫助性是最大的。

最初的工具就是數(shù)據(jù)加密。盡管技術(shù)無(wú)法讓拉瑞重新獲得丟失的數(shù)據(jù)，但他能告訴律師和警察偷盜磁盤和筆記本電腦的壞人對(duì)筆記本電腦是無(wú)計(jì)可施的，因?yàn)橛脖P被加密了。

Affiliated Computer Services公司要求所有員工的桌面系統(tǒng)和筆記本電腦都必須進(jìn)行全磁盤加密。萊克表示"一旦磁盤被加密后，我們就能對(duì)其進(jìn)行跟蹤和監(jiān)控。如果你想解密你的硬盤，我們就會(huì)發(fā)現(xiàn)并且通知你的經(jīng)理"。

Affiliated Computer Services在達(dá)拉斯的磁盤庫(kù)中存儲(chǔ)了100多萬(wàn)份磁盤，他們的標(biāo)準(zhǔn)做法就是對(duì)所有的內(nèi)容進(jìn)行加密。不過(guò)萊克表示，某些客戶不愿承擔(dān)從ACS接收的磁盤備份和解密的費(fèi)用，因此他們要求存儲(chǔ)內(nèi)容無(wú)需加密。萊克認(rèn)為"對(duì)于這些磁盤，我們從每個(gè)步驟都進(jìn)行了非常嚴(yán)格的包裝，標(biāo)記和跟蹤，以合法的流程對(duì)其進(jìn)行一系列的保管維護(hù)，磁盤就好比進(jìn)入了需要從每端進(jìn)行上鎖和解鎖的保險(xiǎn)箱"。

另外，萊克表示"我們對(duì)大量的數(shù)據(jù)采取這么嚴(yán)密的保護(hù)措施，并未是說(shuō)這些磁盤或者CD值多少錢，而是因?yàn)檫@樣才能做到嚴(yán)密控制和安全保障"。

有用戶報(bào)告稱他們正在研發(fā)新的技術(shù)來(lái)取代加密技術(shù)或者作為加密技術(shù)的補(bǔ)充。紐約州正在嘗試應(yīng)用指紋掃描技術(shù)來(lái)保護(hù)筆記本電腦和磁盤安全。Affiliated Computer Services公司也在檢測(cè)三種磁性介質(zhì)，一旦它被破解這種磁性設(shè)備就能擦除磁盤上的內(nèi)容。

Iron Mountain表示所有這些技術(shù)中最好的自動(dòng)化幫助來(lái)自于磁盤目錄控制系統(tǒng)，它能幫助用戶排除磁盤丟失的第一大隱患–公司內(nèi)部的人為錯(cuò)誤。

誤區(qū)5：加密是萬(wàn)能的
盡管加密通常被認(rèn)為是最好的技術(shù)解決方案，但它也有自身的缺陷。舉例來(lái)說(shuō)，如果你的磁盤失而復(fù)得，但是遺失了解密的鑰匙，那你只能感嘆自己運(yùn)氣不佳了。另外在磁盤寫入之前加密數(shù)據(jù)，筆記本電腦的硬盤或者可移動(dòng)存儲(chǔ)設(shè)備會(huì)攜帶大量計(jì)算機(jī)資源。最后，在許多公司，加密不是必須采取的途徑。

出于這些原因，Stryker公司沒有對(duì)筆記本電腦硬盤進(jìn)行加密，除非上面包含有敏感數(shù)據(jù)。運(yùn)程用戶可以需要那些保存在被保護(hù)服務(wù)器上的敏感信息，只有在需要的時(shí)候才能訪問(wèn)而且不能本地保存。拉瑞認(rèn)為這不是最佳方式。

拉瑞表示Stryker安裝了Windows Vista操作系統(tǒng)后他的瑣事就減輕了，因?yàn)檫@款操作系統(tǒng)能提供自動(dòng)加密數(shù)據(jù)的選項(xiàng)。不過(guò)拉瑞補(bǔ)充說(shuō)"但這也是個(gè)負(fù)擔(dān)，比如說(shuō)這項(xiàng)功能需要額外的內(nèi)存，而且它還會(huì)減慢計(jì)算機(jī)運(yùn)行的速度"。

誤區(qū)6：如果你保護(hù)了磁盤和筆記本電腦，你就安全了
目前各種新聞都很關(guān)注磁盤和筆記本電腦丟失，但是事實(shí)上夜深人靜的時(shí)候某些其他的設(shè)備也可能遭遇丟失的風(fēng)險(xiǎn)。拉瑞表示比如黑莓手機(jī)等移動(dòng)設(shè)備在Stryker就得到了保護(hù)。他解釋說(shuō)"目前我們有能力對(duì)其進(jìn)行遠(yuǎn)程關(guān)閉，如果丟失，我們發(fā)送信號(hào)到黑莓上，內(nèi)存就會(huì)被立即清除"。

但閃存,CD和DVD就有難度了。拉瑞的解決方案是"如果這些設(shè)備沒有被加密，我們就會(huì)阻止敏感信息傳遞給這些設(shè)備"。

拉瑞表示，他更加擔(dān)心的是那些低端手機(jī)"我們不允許在辦公區(qū)內(nèi)使用照相機(jī)，但是有很多人的手機(jī)上都有攝像頭。如果有人將敏感數(shù)據(jù)拍照并張貼到互聯(lián)網(wǎng)上，我們就會(huì)因此承擔(dān)更大的責(zé)任。我不確認(rèn)如何處理這些問(wèn)題，但是我會(huì)給予他們更多的關(guān)注"。

yajing