根據一份研究報告指出,企業內儲存在網路上的資料,有高達90%的比例從未被讀取過。而其中被讀取過的檔案,有65%只被讀取過一次,只有極少數的檔案會被多次重複使用。當然,這個研究報告的觀察期僅為3個月,並不能完全代表資料真正的使用狀況,不過基本上的趨勢應該是一樣的。對此,該報告舉出兩個需要進一步思考的方向。第一個是雖然現在儲存設備的價格大幅下滑,但是實際上儲存其內的資料有很多是幾乎不會再被使用到的。所以為了達到更有效率的使用資源,這些大量且不常使用的資料可以儲放到較為慢速但便宜儲存設備。另外一個就是因為資料讀寫比例的接近,原有的預取(Pre-fetching)與快取(Caching)機制必須重新加以檢視,以便在新的使用狀況下保持快速存取的目的。而這些常被重複使用的檔案,有下列幾個特性:
- 跟使用者工作相關的檔案(這個應該是廢話)
- 在目錄結構上屬於較上層的目錄
- 很小的檔案大小
這件事跟資安有甚麼關係?廣義來說,資料的可用性(Availability)是屬於資訊安全的鐵三角(AIC - Availability, Integrity, Confidentiality)之一。如何有效率的規劃資料的儲存方式,除了從使用頻率的角度來考量外,也必須一併考量資料的重要性與機密性。一般而言,使用頻率會決定該資料最有效率的儲存方式,而資料的重要性與機密性則必須透過保護措施來加以確保,但是實際上兩者之間卻不是完全獨立的。舉例來說,如果大部分存放在網路的資料是不會再被存取的,那麼或許這些資料根本就不需要放在網路上讓人"自由"存取,因此保護機制的考量就不需要考慮網路存取所面臨的威脅。這類保護措施屬於風險規避(Avoidance)的類型,事實上是一種相當划算且有效的保護措施。而這樣的保護方式,如果沒有在規劃時將資料的實際使用情況考慮進去,是很難發現的。
因為資訊數量與種類越來越多,所以目前都是透過資料分類(Data Classification)的方式,將資料分成數個類別,而讓每個類別擁有自己的安全政策,而不是直接針對資料本身去定義。如果不這樣做,在安全管理上將會產生大量到無法有效負擔的工作內容。資訊的分類是最基本且重要的一個環節,如果沒有明確的做好資訊分類,會發生將寶貴的資源放在保護不重要資訊的憾事。更甚者,會發生重要的資源沒有足夠的保護措施加以防護。如此一來,不再只是沒有效率的問題,而是連基本的保護目的都沒有達成。所以說,資訊分類的好壞可以決定一個組織的資訊安全目標是否能夠順利達成。俗話說,人人生而平等,這句話在資訊安全的領域中,可絕對是不成立的。
另一方面,長久以來,對於資訊安全的定義都沒有一個明確的界線。從實務來看,從事資訊安全的人員,能夠對組織掌握的越多,就越能找出組織所面臨的風險與可採用的解決方案。所以,資訊安全跟很多管理議題一樣,都是組織層面的問題,也必須由組織的層級去加以考量與規劃,而不是IT (Information Technology)或IS (Information Security)單一部門的事情,甚至是任由系統管理者自己土法煉鋼。
原文出處:
Most Network Data Sits Untouched
留言列表