国家质量监督检验检疫总局和中国国家认证认可监督管理委员会联合发布的《关于部分信息安全产品实施强制性认证的公告》中明确指出:自2009年5月1日起,凡列入本强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用。 在《第一批信息安全产品强制性认证目录》中列举了8大类13小类产品,数据备份与恢复产品也是其中之一。由此可见,存储与安全的融合已是大势所趋,它并不是厂商或用户的一厢情愿,而是得到了政府有关部门的充分肯定。
堵住备份软件的安全漏洞
使用过备份软件的用户都十分清楚,许多备份软件根本没有设置用户名或密码,开机即可用,这相当于将备份数据向各种用户完全敞开,备份数据毫无安全可言。备份数据是关系到企业运营的关键数据,其安全性是第一位的,但现在的情况是,很多备份软件供应商都没有对其备份软件产品进行安全功能的设置。此外,备份软件虽然关系到数据的安全,但其销售并不像某些安全产品一样必须经过有关部门的认证和许可,几乎处于失控状态。
根据《关于部分信息安全产品实施强制性认证的公告》规定,数据备份与恢复产品增加相应的安全功能是必需的。这里说的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的软件。适用的产品是独立的数据备份与恢复管理软件产品,但不包括数据复制产品和持续数据保护产品。数据备份软件的安全功能包括许多内容,人们经常用到的可能有以下几项:第一,在系统登录时进行安全保护,比如设置用户名和密码;第二,如果有人超长时间使用备份系统,系统要具备自动锁定功能;第三,建立完善的日志系统。
“数据备份软件有时甚至不如个人软件安全。”北京亚细亚智业科技有限公司市场总监郭竞远介绍说,“从目前情况看,许多数据备份软件厂商都没有在备份软件上采取足够的安全措施。数据备份软件与主机、操作系统密切相关。许多人认为,备份系统中有独立的备份服务器,而且在操作系统中已经采取了很多安全措施,这些就足以保护备份系统的安全。其实,只有这些保护是远远不够的,一旦操作系统被攻破,数据备份系统就相当于完全开放,备份数据就可以‘任人宰割’。”记者曾就数据备份软件必须通过强制性认证的问题询问过一些备份软件厂商和用户,相当多的人还不知道有这样的规定。据了解,如果要满足强制认证的规定,现有的数据备份软件必须做出一定程度的修改,有的可能还要修改备份软件的核心。
