近年來，數(shù)據(jù)中心安全的格局已經(jīng)發(fā)生了顛覆性的改變。事實(shí)上，在2014年秋季之前，數(shù)據(jù)安全性通常是采用云服務(wù)的客戶的全部責(zé)任，而云計算服務(wù)提供商主要承擔(dān)為客戶機(jī)房空間，電力和制冷的主要責(zé)任，避開了保護(hù)客戶數(shù)據(jù)的責(zé)任。然而，ISO27018標(biāo)準(zhǔn)的引入徹底改變了二者之間界限，并明確云服務(wù)提供商和客戶需要共同承擔(dān)數(shù)據(jù)安全的責(zé)任。

[[207598]]

然而，雖然法律責(zé)任的界限轉(zhuǎn)移，但在提供數(shù)據(jù)安全方面并沒有發(fā)生很多變化。他們的重點(diǎn)仍然放在“網(wǎng)關(guān)”安全性上，而對于物理或“端點(diǎn)”安全性的關(guān)注經(jīng)常是事后的想法。那么，云計算服務(wù)提供商對此是否過度自信了?

[[207599]]

谷歌公司承諾會銷毀其硬盤以確保隱私

遵循“一般數(shù)據(jù)保護(hù)條例”(GDPR)

2018年在歐盟實(shí)施的“一般數(shù)據(jù)保護(hù)條例”(GDPR)有可能在任何違反數(shù)據(jù)安全性的情況下，對違規(guī)的的企業(yè)和個人進(jìn)行懲罰性罰款，而目前對個人資料的威脅更為嚴(yán)重。人們需要清楚了解數(shù)據(jù)安全管理的新格局，以及潛在的陷阱在哪里?競爭優(yōu)勢的機(jī)會在哪里?

對于云計算的許多用戶而言，與數(shù)據(jù)中心的技術(shù)復(fù)雜性相比，云計算提供的功能似乎幾乎是神奇的。在網(wǎng)絡(luò)空間中的云端似乎比數(shù)據(jù)中心的服務(wù)器機(jī)架更加可靠，也更能帶來安慰。這個觀點(diǎn)似乎是完全抽象的，而另一個想法完全是真實(shí)的，這兩個觀點(diǎn)之間的區(qū)別對每個人都有所幫助，讓客戶更加放心，并為云計算提供商帶來商機(jī)。但是，云計算服務(wù)提供商本身是否可能沉迷于這個想法，并且在提供數(shù)據(jù)安全方面會有利于虛擬物理化嗎?

到目前為止，網(wǎng)絡(luò)威脅帶來的財務(wù)和商業(yè)風(fēng)險一直遠(yuǎn)遠(yuǎn)超過物理數(shù)據(jù)泄露的風(fēng)險。從2018年5月25日開始實(shí)施的歐盟“一般數(shù)據(jù)保護(hù)條例”(GDPR)將對每個調(diào)查并證實(shí)的數(shù)據(jù)泄漏事件，實(shí)行高達(dá)全球營業(yè)額的4%的罰款，或2,000萬歐元(以金額更大的為準(zhǔn))。無論數(shù)據(jù)泄露是發(fā)生在網(wǎng)絡(luò)空間還是物理硬盤中，數(shù)據(jù)的物理安全性面臨比以前高得多的風(fēng)險，并迫使企業(yè)快速重新評估其安全優(yōu)先級，以免遭受這些處罰。

存儲，回收，處置或銷毀?

如今，人們創(chuàng)建的數(shù)據(jù)呈指數(shù)增長，而數(shù)據(jù)中心服務(wù)器和硬盤驅(qū)動器的壽命有限，這意味著數(shù)據(jù)中心出現(xiàn)了越來越多的冗余數(shù)據(jù)以及過時的存儲數(shù)據(jù)磁盤驅(qū)動器。由于單個磁盤損毀的成本高，因此將通常將硬盤驅(qū)動器保存多年之后集中銷毀，但這種方式增加了數(shù)據(jù)泄露的風(fēng)險。從這些準(zhǔn)備銷毀的硬件泄漏數(shù)據(jù)的風(fēng)險大大增加，然而，安全地銷毀數(shù)據(jù)和硬件設(shè)備所需的措施和步驟尚未跟上許多企業(yè)的擴(kuò)張步伐。

用戶通過虛擬“FortKnox”網(wǎng)絡(luò)安全措施在線保護(hù)的個人信息數(shù)據(jù)，但可能會發(fā)現(xiàn)這些數(shù)據(jù)存儲在安全性并不高的冗余硬盤驅(qū)動器上，準(zhǔn)備銷毀的硬盤在運(yùn)輸，收集，移除，以及在未經(jīng)授權(quán)的位置處理的環(huán)節(jié)上面臨風(fēng)險。這顯然是數(shù)據(jù)安全的新的“薄弱環(huán)節(jié)”，它是物理性的而不是虛擬的。

在某些情況下，存儲敏感數(shù)據(jù)的驅(qū)動器甚至在eBay網(wǎng)站上對外銷售，被“回收”并銷售給第三方，卻沒有被銷毀。而在處理信息技術(shù)資產(chǎn)方面，“管理監(jiān)督鏈”過程中缺乏明確的安全程序，適當(dāng)?shù)膯栘?zé)制以及明確的審計跟蹤，這對于企業(yè)來說，無異于一場潛在的災(zāi)難。

擔(dān)當(dāng)責(zé)任并保持控制

IT資產(chǎn)處置需要專業(yè)的機(jī)構(gòu)和人員進(jìn)行處理，大多數(shù)組織通過第三方服務(wù)提供商進(jìn)行這項工作。然而，這些服務(wù)提供商的水平和可靠性可能會有很大的差異，因?yàn)樗鼈內(nèi)匀辉跊]有大量專業(yè)審查的情況下運(yùn)行。隨著“一般數(shù)據(jù)保護(hù)條例”(GDPR)的實(shí)施，并且越來越嚴(yán)格，企業(yè)面臨巨大的經(jīng)濟(jì)處罰的潛力，而將這種責(zé)任交給到控制之外的企業(yè)，這需要十分的信任。

即使與信譽(yù)良好的IT資產(chǎn)處置公司簽訂了符合ICO標(biāo)準(zhǔn)的保密合同，傳統(tǒng)的數(shù)據(jù)破壞方法也不足以提供100%的可靠性，特別是固態(tài)硬盤(SSD)，采用磁盤消磁系統(tǒng)或軟件覆蓋都不能完全確定數(shù)據(jù)已被刪除，并且這兩種方法都會使硬盤驅(qū)動器物理完好無損，這意味著其數(shù)據(jù)恢復(fù)的潛力仍然存在。

加密擦除已經(jīng)成為一種越來越流行的數(shù)據(jù)保護(hù)方法，但數(shù)據(jù)加密本質(zhì)上并不是數(shù)據(jù)被破壞。加密是一個不可逾越的數(shù)據(jù)倉庫，直到有人發(fā)現(xiàn)了密鑰，然后才能授予完整的訪問權(quán)限。加密不會破壞數(shù)據(jù)，它只是在有限的時間內(nèi)隱藏它，這仍有一定的風(fēng)險。

[[207600]]

不要抹去數(shù)據(jù)要銷毀

對于保證數(shù)據(jù)銷毀的唯一的解決辦法是，通過切碎硬盤對數(shù)據(jù)資產(chǎn)本身進(jìn)行物理銷毀。事實(shí)證明，這是一些超級安全或高度管制的行業(yè)(如金融機(jī)構(gòu)、軍事和安全機(jī)構(gòu))的***。

數(shù)據(jù)中心所有者和管理人員現(xiàn)在應(yīng)該考慮如何在數(shù)據(jù)中心提供極其安全的數(shù)據(jù)資產(chǎn)銷毀措施。在數(shù)據(jù)中心的高安全性的內(nèi)部現(xiàn)場提供解決方案，將確保任何數(shù)據(jù)資產(chǎn)即使在無用時也不會離開安全區(qū)域，從而實(shí)現(xiàn)保密。而減少可以利用的“監(jiān)管鏈”中的環(huán)節(jié)數(shù)量，這將大大降低了災(zāi)難性數(shù)據(jù)泄露的風(fēng)險。

監(jiān)管鏈中的環(huán)節(jié)越多，數(shù)據(jù)泄露的機(jī)會越多。通過控制銷毀過程，并通過安全和取證過程(如生物識別掃描，條形碼掃描和實(shí)際粉碎過程的視頻記錄)自動記錄資產(chǎn)銷毀階段，創(chuàng)建清晰的審計線索，提供額外的安全級別，可以提高客戶的信心。

企業(yè)需要提供更高級別安全性的設(shè)備，為數(shù)據(jù)中心所有者和管理人員提供獲利的“增值”服務(wù)的機(jī)會，為客戶提供服務(wù)。數(shù)據(jù)中心和云服務(wù)提供商可以提供這種新的數(shù)據(jù)安全性，從競爭對手中脫穎而出，秋將更容易地維護(hù)其年度安全認(rèn)證，并可能因?yàn)榫W(wǎng)絡(luò)保險費(fèi)用的降低而受益，提高安全水平。

物理數(shù)據(jù)安全性是一個迫在眉睫且被忽視的主題，隨著“一般數(shù)據(jù)保護(hù)條例”(GDPR)的***期限的到來，這些話題將獲得人們更多的關(guān)注。管理數(shù)據(jù)中心數(shù)據(jù)資產(chǎn)的安全銷毀將使數(shù)據(jù)中心所有者和管理人員更加安心，因?yàn)樗麄冎涝跀?shù)據(jù)泄露控制其業(yè)務(wù)之前，他們已經(jīng)掌握了這個流程的控制權(quán)。