数据存储时每个企业都要面对的一个需要进行大量成本投入的地方,为了节约存储成本,满足企业自身的发展,企业需要一种可扩展数据保护方案,来为他们减轻数据增长带来的成本压力。尽管每一家公司都会有一些数据应该不被随心所欲的访问到,但并不是每一家公司都有一套完备的计划来保护自己的机密信息。你需要有一套高效经济,并且在公司规模增大的时候仍然能满足需求的数据保护方案。
保护机密数据在今天已经成为越来越重要的一件事。企业会把所有的敏感信息存放在计算机上,并通过网络进行传输。因此,无论对于何种规模的企业而言,拥有自己的数据保护方案,使得自己的信息免受盗窃已经成为了非常重要的事情。如果你在受控行业中,例如医疗机构和金融服务机构,你或许 没有其他的选择,因为政府将强制要求你保护特定类型的信息。
现在让我们来看看你应当如何为保护自己的机密信息创建一个可扩展数据保护方案。
开始的第一步
数据保护方案从利用访问控制对数据访问进行限制。在Windows中,这就意味着应该对文件划分访问权限,例如共享权限。在Windows2000里面这尤为重 要,因为按照默认设置,Everyone组将对任何新创建的共享文件有完整的控制权。如果你没有设置文件访问权限(NTFS),那么除非改变默认权限,否 则你的数据将会暴露在任何授权用户和匿名用户的面前。
你可以对单个文件设置权限,但这样的工作量随着企业扩张和数据文件的增长将十分惊人。具有可扩展数据保护方案是对目录设置权限,然后把文件放 到相应目录中,由此实现严格的访问控制。
访问权限应当严格按照“按需访问”的原则来授予,只有那些的确需要出于工作目的访问信息的人才能获取相关的权限。将其应用到安全领域,有两种实现 思路:
从对任何人开放任何信息开始,然后限制哪些信息需要被限制访问
从禁止对任何人开放任何信息开始,然后限制哪些信息可以被公开
第二种思路显然更为安全,这也是在受控行业或拥有大量机密数据的企业中部署安全方案的唯一正确的逻辑。
身份认证的重要性
给予网络用户帐号和组成员的访问控制是毫无意义的,除非你能保证非授权用户不会登录到其它用户的帐户上。这就意味着一套严格的认证机制。基于 密码的认证方式是最普遍的,因为这很容易实现,用户操作起来也很方便,也容易扩展。你可以轻而易举的在单个Windows域中拥有上万个用户帐户,要 添加新的帐户以及让用户设置自己的密码也很容易。
只要制定合理的密码策略,密码鉴别是比较安全的。所有的密码都应该满足最小长度和复杂性要求,用户需要定期修改密码(例如每30天),并且不能 使用最近用过的密码(例如,不能反复交替使用两组密码)。除非使用技术强制手段,否则在大的网络内要实现这样的策略几乎是无法实现的。幸运的 是,Windows通过组策略强制密码策略,这使得这样的策略可以扩展。
即使是强大的密码,也无法同多因子认证相媲美。当用户被要求创建频繁更改且又足够复杂的密码时,他们常常会把这些密码写下来。闯入者们或许可 以发现这些密码,可以凭借一个有效帐户在系统里通行无阻。
这样的方案不仅要求用户记住某些东西登录到网络,还要求用户要拥有某些东西。这可以是智能卡或令牌,也可能是用户的生物特征,例如指纹。但这 样的多因子认证方案如何才能具备可扩展数据保护方案的特性呢?
在购买多因子认证方案之前,你要判断你的数据库能否容纳下众多员工的需求。如果采用卡或令牌的解决方案,你需要判断系统管理员登记每一张新卡 或令牌所花费的时间。系统应当使多因子认证方案能够得到快速的部署,同时也能方便的扩展。
加密
即便是有优秀的认证手段支持着你的权限访问控制,你还是会有一些数据希望享受到更安全的服务。因此,对这些数据而言,增加一层加密保护会很好 。你可以使用Windows 2000、XP内置的文件加密系统(EFS,Encrypting File System)。 EFS是基于公共密钥和数字证书的加密技术,但你不需要PKI就可 以使用它。该方案非常容易扩展。因为在企业很小的时候你可以无需PKI直接使用EFS,当企业规模增大,你可以再部署PKI发行EFS验证。