數(shù)據(jù)存儲安全性的最大挑戰(zhàn)之一是阻止網(wǎng)絡(luò)入侵者訪問關(guān)鍵的存儲資源。為確保數(shù)據(jù)安全，組織必須跟蹤其數(shù)據(jù)的位置以及可以訪問的人員。此外，也需要定期更新安全策略。

滿足數(shù)據(jù)存儲安全的最佳實踐將有助于減輕網(wǎng)絡(luò)攻擊的威脅，組織首先需要制定全面的縱深防御和分層保護策略。

管理和技術(shù)咨詢機構(gòu)Booz Allen Hamilton公司高級副總裁Tony Sharp說，“組織必須識別進入其存儲環(huán)境的所有邏輯路徑和連接，并確保對所有接口都具有適當(dāng)?shù)臋?quán)限，其中包括特權(quán)和零信任訪問模型。”他補充說，這些模型應(yīng)該得到檢測和響應(yīng)控制的支持，并建議組織監(jiān)控訪問、數(shù)據(jù)和流量模式的異常情況，以及對已經(jīng)制定的安全策略的遵守情況。

咨詢機構(gòu)Cybri公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Konstantine Zuckerman說：“加密應(yīng)該在靜止和傳輸過程中進行，因此即使網(wǎng)絡(luò)攻擊者可以訪問數(shù)據(jù)，也會限制其讀取數(shù)據(jù)的能力。加密措施應(yīng)該足夠強大，以便在數(shù)據(jù)可以被破解時不再可用。”

[[335663]]

不要忽略云中的數(shù)據(jù)

全球獨立的IT審核和認(rèn)證機構(gòu)Schellman&Company公司的高級經(jīng)理Jacob Ansari表示，企業(yè)基于云計算的存儲節(jié)點犯的最大錯誤之一就是不知道它們存在。他說，建立一個存儲節(jié)點很容易，讓任何擁有相關(guān)URL訪問權(quán)限的人都能訪問。

Ansari說：“組織的信息安全團隊?wèi)?yīng)該了解其使用的已知云計算服務(wù)提供商帳戶下存在哪些存儲節(jié)點，并應(yīng)嘗試了解其他個人或業(yè)務(wù)部門在何處創(chuàng)建了自己的帳戶。識別存儲點并使用訪問控制措施對其進行保護，可以顯著減少數(shù)據(jù)泄露或丟失的可能性。”

針對網(wǎng)絡(luò)攻擊的一種經(jīng)過驗證的數(shù)據(jù)存儲安全最佳實踐是確保將存儲資源與網(wǎng)絡(luò)基礎(chǔ)設(shè)施隔離開來。

Zuckerman說：“這是通過強大的ACL(訪問控制列表)白名單來實現(xiàn)的，只允許進行適當(dāng)?shù)脑L問，并確保擁有訪問權(quán)限的用戶只能以受保護的方式進行訪問，而無需外部許可。這是有效的，因為人們通常看到的是網(wǎng)絡(luò)攻擊者通過超額許可的用戶帳戶或應(yīng)該由防火墻上的ACL阻止的網(wǎng)絡(luò)服務(wù)來獲得訪問權(quán)限。”

組織在將數(shù)據(jù)放入云平臺中時犯下的另一個常見錯誤是假設(shè)數(shù)據(jù)存儲安全性已經(jīng)得到解決。云存儲用戶通常會誤以為云平臺本身就具有固有的安全性。實際上，大多數(shù)云計算存儲運營商都采用分擔(dān)責(zé)任的概念，在這種概念下，云計算提供商負(fù)責(zé)云平臺的安全，而客戶需要自己負(fù)責(zé)云中內(nèi)容的安全。

避免隨意的數(shù)據(jù)管理

組織通常會因無法正確控制信息流而使其存儲資源容易受到攻擊。

Zuckerman說：“這可以允許數(shù)據(jù)進入任何系統(tǒng)，不一定是需要這些數(shù)據(jù)的系統(tǒng)，或在停用或重新使用資源時沒有正確刪除數(shù)據(jù)。組織可能會讓客戶處于危險之中，因為他們會保留舊服務(wù)器上的數(shù)據(jù)，比如社會保險號碼或信用卡信息。”

隨意的數(shù)據(jù)管理是另一個重要的數(shù)據(jù)存儲安全錯誤。IT和安全咨詢機構(gòu)Oram Corporate Advisors公司首席執(zhí)行官Ryan O'Ramsay Barrett說：“組織應(yīng)該根據(jù)所需的安全級別對所有業(yè)務(wù)數(shù)據(jù)進行分類，還應(yīng)該始終知道所有數(shù)字和紙質(zhì)副本數(shù)據(jù)的存儲位置。”

組織可以通過實施3-2-1備份方法來跟蹤其數(shù)據(jù)副本的位置。這意味著在兩種不同類型的存儲介質(zhì)上存儲三個副本(一個主副本和兩個備份)，其中一個副本存儲在異地。

另一個嚴(yán)重錯誤是缺乏基本的安全協(xié)議。Barrett說：“每個組織都應(yīng)采用最小特權(quán)原則，這意味著只有真正需要它來執(zhí)行其工作職能的員工才能訪問存儲的數(shù)據(jù)。此外，這意味著要使用標(biāo)準(zhǔn)防火墻、防病毒和反惡意軟件程序，并隨時對其進行更新。”

勒索軟件對大多數(shù)組織都是一個挑戰(zhàn)，但許多組織可以通過實施強大的安全技術(shù)、實踐和培訓(xùn)方法來保護其存儲的數(shù)據(jù)。正確的備份策略可以在很大程度上保護數(shù)據(jù)免受勒索軟件的攻擊。例如，如果磁帶備份離線存儲并且沒有連接到網(wǎng)絡(luò)，則網(wǎng)絡(luò)攻擊者無法訪問這些數(shù)據(jù)。

Barrett說：“組織可以通過定期備份來保護存儲的數(shù)據(jù)。如果發(fā)生最壞的情況，并且存儲資源被破壞，組織仍將擁有備份的數(shù)據(jù)，這可以防止網(wǎng)絡(luò)攻擊者的勒索。”