可擴展數(shù)據(jù)保護方案的具體部署方式

　　數(shù)據(jù)存儲時每個企業(yè)都要面對的一個需要進行大量成本投入的地方，為了節(jié)約存儲成本，滿足企業(yè)自身的發(fā)展，企業(yè)需要一種可擴展數(shù)據(jù)保護方案，來為他們減輕數(shù)據(jù)增長帶來的成本壓力。盡管每一家公司都會有一些數(shù)據(jù)應(yīng)該不被隨心所欲的訪問到，但并不是每一家公司都有一套完備的計劃來保護自己的機密信息。你需要有一套高效經(jīng)濟，并且在公司規(guī)模增大的時候仍然能滿足需求的數(shù)據(jù)保護方案。

　　保護機密數(shù)據(jù)在今天已經(jīng)成為越來越重要的一件事。企業(yè)會把所有的敏感信息存放在計算機上，并通過網(wǎng)絡(luò)進行傳輸。因此，無論對于何種規(guī)模的企業(yè)而言，擁有自己的數(shù)據(jù)保護方案，使得自己的信息免受盜竊已經(jīng)成為了非常重要的事情。如果你在受控行業(yè)中，例如醫(yī)療機構(gòu)和金融服務(wù)機構(gòu)，你或許 沒有其他的選擇，因為政府將強制要求你保護特定類型的信息。

　　現(xiàn)在讓我們來看看你應(yīng)當如何為保護自己的機密信息創(chuàng)建一個可擴展數(shù)據(jù)保護方案。

　　開始的第一步

　　數(shù)據(jù)保護方案從利用訪問控制對數(shù)據(jù)訪問進行限制。在Windows中，這就意味著應(yīng)該對文件劃分訪問權(quán)限，例如共享權(quán)限。在Windows2000里面這尤為重 要，因為按照默認設(shè)置，Everyone組將對任何新創(chuàng)建的共享文件有完整的控制權(quán)。如果你沒有設(shè)置文件訪問權(quán)限(NTFS)，那么除非改變默認權(quán)限，否 則你的數(shù)據(jù)將會暴露在任何授權(quán)用戶和匿名用戶的面前。

　　你可以對單個文件設(shè)置權(quán)限，但這樣的工作量隨著企業(yè)擴張和數(shù)據(jù)文件的增長將十分驚人。具有可擴展數(shù)據(jù)保護方案是對目錄設(shè)置權(quán)限，然后把文件放 到相應(yīng)目錄中，由此實現(xiàn)嚴格的訪問控制。

　　訪問權(quán)限應(yīng)當嚴格按照“按需訪問”的原則來授予，只有那些的確需要出于工作目的訪問信息的人才能獲取相關(guān)的權(quán)限。將其應(yīng)用到安全領(lǐng)域，有兩種實現(xiàn) 思路：

　　從對任何人開放任何信息開始，然后限制哪些信息需要被限制訪問

　　從禁止對任何人開放任何信息開始，然后限制哪些信息可以被公開

　　第二種思路顯然更為安全，這也是在受控行業(yè)或擁有大量機密數(shù)據(jù)的企業(yè)中部署安全方案的唯一正確的邏輯。

　　身份認證的重要性

　　給予網(wǎng)絡(luò)用戶帳號和組成員的訪問控制是毫無意義的，除非你能保證非授權(quán)用戶不會登錄到其它用戶的帳戶上。這就意味著一套嚴格的認證機制。基于 密碼的認證方式是最普遍的，因為這很容易實現(xiàn)，用戶操作起來也很方便，也容易擴展。你可以輕而易舉的在單個Windows域中擁有上萬個用戶帳戶，要 添加新的帳戶以及讓用戶設(shè)置自己的密碼也很容易。

　　只要制定合理的密碼策略，密碼鑒別是比較安全的。所有的密碼都應(yīng)該滿足最小長度和復(fù)雜性要求，用戶需要定期修改密碼(例如每30天)，并且不能 使用最近用過的密碼(例如，不能反復(fù)交替使用兩組密碼)。除非使用技術(shù)強制手段，否則在大的網(wǎng)絡(luò)內(nèi)要實現(xiàn)這樣的策略幾乎是無法實現(xiàn)的。幸運的 是，Windows通過組策略強制密碼策略，這使得這樣的策略可以擴展。

　　即使是強大的密碼，也無法同多因子認證相媲美。當用戶被要求創(chuàng)建頻繁更改且又足夠復(fù)雜的密碼時，他們常常會把這些密碼寫下來。闖入者們或許可 以發(fā)現(xiàn)這些密碼，可以憑借一個有效帳戶在系統(tǒng)里通行無阻。

　　這樣的方案不僅要求用戶記住某些東西登錄到網(wǎng)絡(luò)，還要求用戶要擁有某些東西。這可以是智能卡或令牌，也可能是用戶的生物特征，例如指紋。但這 樣的多因子認證方案如何才能具備可擴展數(shù)據(jù)保護方案的特性呢?

　　在購買多因子認證方案之前，你要判斷你的數(shù)據(jù)庫能否容納下眾多員工的需求。如果采用卡或令牌的解決方案，你需要判斷系統(tǒng)管理員登記每一張新卡 或令牌所花費的時間。系統(tǒng)應(yīng)當使多因子認證方案能夠得到快速的部署，同時也能方便的擴展。

　　加密

　　即便是有優(yōu)秀的認證手段支持著你的權(quán)限訪問控制，你還是會有一些數(shù)據(jù)希望享受到更安全的服務(wù)。因此，對這些數(shù)據(jù)而言，增加一層加密保護會很好 。你可以使用Windows 2000、XP內(nèi)置的文件加密系統(tǒng)(EFS，Encrypting File System)。 EFS是基于公共密鑰和數(shù)字證書的加密技術(shù)，但你不需要PKI就可 以使用它。該方案非常容易擴展。因為在企業(yè)很小的時候你可以無需PKI直接使用EFS，當企業(yè)規(guī)模增大，你可以再部署PKI發(fā)行EFS驗證。

 1/2    1 2 下一頁 尾頁