數(shù)據(jù)安全成為防護核心

存儲安全防護不容有失

? 數(shù)據(jù)作為企業(yè)的核心資產(chǎn)亟需重點保護，數(shù)據(jù)安全已成網(wǎng)絡(luò)空間防護核心

    數(shù)據(jù)面臨著多樣化的安全威脅，威脅的方式包括網(wǎng)絡(luò)攻擊，數(shù)據(jù)泄露，未經(jīng)授權(quán)的訪問，數(shù)據(jù)盜竊和數(shù)據(jù)丟失等。2020年以來，國家安全機關(guān)工作發(fā)現(xiàn)，我國有關(guān)電信運營商、航空公司等單位內(nèi)網(wǎng)和信息系統(tǒng)先后多次出現(xiàn)越權(quán)登錄、數(shù)據(jù)外傳等異常網(wǎng)絡(luò)行為，疑似遭受網(wǎng)絡(luò)攻擊。諸如此類的針對數(shù)據(jù)的網(wǎng)絡(luò)安全事件頻發(fā)，直接影響到企業(yè)的業(yè)務(wù)連續(xù)性，數(shù)據(jù)安全已經(jīng)成為了網(wǎng)絡(luò)空間防護的核心，數(shù)據(jù)作為生產(chǎn)要素需要重點保護，安全防護迫在眉睫。

    數(shù)據(jù)作為企業(yè)發(fā)展的核心資產(chǎn)，通過存儲進行保存，需要保障安全性，如果將存儲中的核心數(shù)據(jù)比做放在銀行保險箱中的珠寶，不具備安全能力的存儲，就好比沒有高級鎖的保險箱，任何人都可以隨時拿走重要的數(shù)據(jù)。作為數(shù)據(jù)的最終載體，安全應(yīng)該是存儲的內(nèi)生能力，系統(tǒng)業(yè)務(wù)和數(shù)據(jù)的安全性要保證可靠。

? 國家高度重視關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全，存儲安全已成為審核重點

    針對當(dāng)前的數(shù)據(jù)安全現(xiàn)狀，國家出臺了一系列的保護條例以及政策法規(guī)，來保障企業(yè)、政府以及運營商的數(shù)據(jù)安全。對于國家生產(chǎn)要素的重要基礎(chǔ)設(shè)施(關(guān)鍵信息基礎(chǔ)設(shè)施)，工信部發(fā)布了相應(yīng)的安全保護條例《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》以及安全保護要求《GB/T39204-2022信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的保護范圍以及運營者所需要履行的合規(guī)義務(wù)。從2019年起，發(fā)布的《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全審查辦法》、《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》、《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》、《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》等政策條款以及等保2.0系列標準均對存儲安全相關(guān)的各項合規(guī)責(zé)任主體提出了明確要求。存儲安全已經(jīng)成為國家對關(guān)鍵基礎(chǔ)設(shè)施建設(shè)審核的重點。

存儲安全是數(shù)據(jù)安全的關(guān)鍵一環(huán)

應(yīng)建立完整的安全體系

? 存儲安全是數(shù)據(jù)安全的關(guān)鍵一環(huán)

存儲安全是指對存儲設(shè)備、存儲介質(zhì)、存儲數(shù)據(jù)等進行保護，防止存儲設(shè)備、存儲介質(zhì)、存儲數(shù)據(jù)被非法獲取、篡改、破壞等，確保存儲數(shù)據(jù)的完整性、保密性和可用性。存儲安全的重要性主要有以下幾個方面：

1. 保護重要數(shù)據(jù)：存儲設(shè)備中通常存儲著各種重要數(shù)據(jù)，如政府機構(gòu)、金融機構(gòu)、企業(yè)等的機密文件、客戶信息、財務(wù)數(shù)據(jù)等。如果這些數(shù)據(jù)被非法獲取、篡改或破壞，將會給相關(guān)機構(gòu)帶來極大的損失和影響。

2. 防止數(shù)據(jù)泄露：存儲設(shè)備中的數(shù)據(jù)一旦泄露，將會給相關(guān)機構(gòu)帶來極大的損失和影響。例如，客戶信息泄露可能導(dǎo)致客戶流失、聲譽受損等。

3. 防止數(shù)據(jù)丟失：存儲設(shè)備中的數(shù)據(jù)一旦丟失，將會給相關(guān)機構(gòu)帶來極大的損失和影響。例如，企業(yè)的財務(wù)數(shù)據(jù)丟失可能導(dǎo)致財務(wù)狀況無法準確反映，影響企業(yè)的經(jīng)營決策。

4. 合規(guī)要求：一些行業(yè)或國家對存儲數(shù)據(jù)的安全性有著嚴格的要求，如金融行業(yè)、醫(yī)療行業(yè)等。如果相關(guān)機構(gòu)不能滿足這些要求，將會面臨罰款、停業(yè)等風(fēng)險。

存儲安全能力的提升對于保護重要數(shù)據(jù)、防止數(shù)據(jù)泄露、防止數(shù)據(jù)丟失以及滿足合規(guī)要求都具有重要的意義，是數(shù)據(jù)安全的關(guān)鍵一環(huán)。

? 完整的安全存儲體系該如何正確建立？

今年5月份，工信部重磅發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全建設(shè)指南》（簡稱《指南》）作為建設(shè)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全建設(shè)的指導(dǎo)?！吨改稀窂囊韵氯齻€方面構(gòu)建一套有效安全存儲體系：

- 組織管理體系。要制定行業(yè)數(shù)據(jù)分類分級標準，做好軟件安全治理，審視高要求的業(yè)務(wù)場景，加大全閃存的應(yīng)用，建設(shè)安全規(guī)范行業(yè)標準規(guī)范體系。

- 存儲防護能力。要實施數(shù)據(jù)加密存儲和傳輸，部署數(shù)據(jù)防勒索體系，建立“兩地三中心”容災(zāi)備份體系，保障數(shù)據(jù)的機密性、完整性和可用性。

- 存儲系統(tǒng)安全。要確保存儲系統(tǒng)自身防篡改，實施系統(tǒng)安全加固，采用先進的安全工程方法，提升存儲系統(tǒng)軟件質(zhì)量。

基于內(nèi)生安全能力構(gòu)建防御體系

打造安全可信的先進數(shù)據(jù)存儲

? 通過內(nèi)生的安全能力進行構(gòu)建縱深防御的存儲安全體系

如何利用安全存儲技術(shù)，來成數(shù)量級地增強整個系統(tǒng)的數(shù)據(jù)安全防護能力，可以從數(shù)據(jù)安全“三性”來看，即機密性、完整性、可用性。

第一：大型信息系統(tǒng)需要采用專用存儲系統(tǒng)來存放海量數(shù)據(jù)，企業(yè)級存儲產(chǎn)品將大量存儲硬件組織形成虛擬化的存儲資源池，提供高性能、高可用、高可靠的存儲服務(wù)。對數(shù)據(jù)存儲的加密，可以在應(yīng)用層軟件、數(shù)據(jù)庫或存儲系統(tǒng)等不同層級實施。實施方式有軟件加密、外接HSM設(shè)備、內(nèi)置硬件引擎等。加密層級越高，數(shù)據(jù)暴露面越小，但需要更深度的業(yè)務(wù)改造，性能損失也更大，幾類加密方式中，軟件加密成本最低，但性能最差，實施風(fēng)險最高，外接HSM設(shè)備成本高，數(shù)據(jù)需要在內(nèi)部網(wǎng)絡(luò)傳輸，容易泄漏，而硬件引擎方式需要依賴設(shè)備原生能力，對廠商的芯片研發(fā)能力提出了一定要求，是最安全高效的一種加密方式。

第二：當(dāng)前ICT基礎(chǔ)設(shè)施正在從傳統(tǒng)以網(wǎng)絡(luò)為中心轉(zhuǎn)型到以數(shù)據(jù)為中心的新興模式，在新興模式下，連接無處不在，數(shù)據(jù)交互無處不在，致使內(nèi)外的邊界越來越模糊化；不同身份人員、不同設(shè)備、不同地點的數(shù)據(jù)訪問，致使連接的多樣性，以上新興模式的特點決定了僅依靠單一防御體系建設(shè)很難有效應(yīng)對勒索攻擊。

    利用安全存儲技術(shù)抵御勒索病毒風(fēng)險，需要具備四個功能，分別為“Air Gap”，“防篡改”，“偵測分析”“數(shù)據(jù)加密”。首先，通過AIR GAP技術(shù)構(gòu)建安全隔離域，僅在數(shù)據(jù)復(fù)制時，才會建立和生產(chǎn)存儲的復(fù)制連接，僅允許必要復(fù)制端口通訊，最大程度減少安全隔離域的暴露面；其次，通過一寫多讀(Write Once Read Many，WORM)技術(shù)實現(xiàn)數(shù)據(jù)在保留期內(nèi)無法被篡改；再次，區(qū)別網(wǎng)路層通過病毒庫識別已知勒索病毒，借助存儲層基于I/O行為異常分析、文件熵值變化趨勢等多種偵測分析技術(shù)，識別別勒索病毒的加密行為，并提供“干凈”有效的副本用于恢復(fù)；最后，通過存儲加密技術(shù)保證數(shù)據(jù)通過網(wǎng)絡(luò)傳輸鏈路、硬盤被盜取之后也無法讀出內(nèi)容。

    第三：千行百業(yè)的災(zāi)備需求不盡相同，技術(shù)儲備、組織人才和流程建設(shè)也參差不齊。利用優(yōu)勢資源構(gòu)建統(tǒng)一災(zāi)備業(yè)務(wù)管理和安全保障體系，是提升信息系統(tǒng)與數(shù)據(jù)的抗毀能力和災(zāi)難恢復(fù)能力的有效途徑。以數(shù)字政府業(yè)務(wù)為例，《全國一體化政務(wù)大數(shù)據(jù)體系建設(shè)指南》中明確指出，要整合建設(shè)政務(wù)災(zāi)備。根據(jù)國家和各省市公布的十四五規(guī)劃，當(dāng)前全國已規(guī)劃建設(shè)9個國家級/區(qū)域級，以及14個省級政務(wù)統(tǒng)一災(zāi)備中心，集約、綠色、有序地建設(shè)災(zāi)備，政務(wù)先行。構(gòu)建的一體化災(zāi)備體系需要具備數(shù)據(jù)安全可靠，統(tǒng)一等保合規(guī)，服務(wù)化運營運維、綠色低碳節(jié)能的核心能力。

? 基于數(shù)據(jù)全生命周期打造安全可信的先進數(shù)據(jù)存儲

    針對數(shù)據(jù)存儲的安全可信，華為基于數(shù)據(jù)全生命周期，提供全?？v深、多層聯(lián)動的數(shù)據(jù)安全解決方案，達成數(shù)據(jù)安全的“三不、兩永遠”目標。在安全合規(guī)上，通過國密、防勒索及容災(zāi)備份技術(shù)提供安全能力，并嚴格遵從法律法規(guī)，滿足等保、關(guān)保的要求。在資產(chǎn)保護上，交付全棧覆蓋的安全方案，做到數(shù)據(jù)安全防護的不丟失、不泄露、不被篡改，業(yè)務(wù)的永遠在線，保護關(guān)鍵核心的數(shù)據(jù)資產(chǎn)。

    在保證數(shù)據(jù)的機密性上，存儲設(shè)備全面支持國密商用密碼算法，并使用通過國密認證的鯤鵬芯片使能加速，提供端到端的加密方案。密鑰與加解密進行分開控制，使用單獨的密管服務(wù)器獨立部署，保證核心信息的安全性，同時通過鯤鵬芯片的專用核加速配合國密算法，保證數(shù)據(jù)銷毀和密鑰銷毀達到秒級。

    在保證數(shù)據(jù)的完整性上，尤其是針對勒索攻擊的場景，華為提供業(yè)界首個網(wǎng)絡(luò)與存儲聯(lián)動、端到端的防勒索方案。通過將數(shù)據(jù)建立單獨的隔離區(qū)，利用Air Gap技術(shù)進行主動熔斷，保護數(shù)據(jù)副本安全。并在整個數(shù)據(jù)的全生命周期進行數(shù)據(jù)的勒索識別，通過事前的黑名單攔截，事中的近實時異常IO行為檢測，以及事后的信息熵值深度檢測文件損壞，達到99.9%的勒索識別率。對于污染數(shù)據(jù)，通過安全快照達到秒級的恢復(fù)能力。

    在數(shù)據(jù)可用性上，華為提供包括OceanProtect的備份一體機、OceanProtect專用備份存儲以及藍光歸檔存儲的全套容災(zāi)備份方案，并且在從容災(zāi)到備份的整個數(shù)據(jù)生命周期通過OceanCyber數(shù)據(jù)安全一體機看護存儲安全，保證數(shù)據(jù)安全可用。其中，通過Windows OS的源端重刪，達到超越DD50%的綜合備份性能，并且通過OP NAS對接Veeam支持Fast clone，使得備份效率提升46倍。同時，針對傳統(tǒng)的容災(zāi)備份所缺少的數(shù)據(jù)倉庫、大數(shù)據(jù)等場景，提供100+生態(tài)應(yīng)用兼容，對安全場景中，重要數(shù)據(jù)的容災(zāi)備份保證全量的覆蓋。

    華為存儲通過國密、防勒索以及容災(zāi)備份構(gòu)筑縱深的防御體系，應(yīng)對數(shù)據(jù)全生命周期的安全威脅，確保數(shù)據(jù)有效防護與合法訪問。打造創(chuàng)新的數(shù)據(jù)基礎(chǔ)設(shè)施，打造安全、可信新型的數(shù)據(jù)中心。

    安全發(fā)展，存儲先行，利益博弈/攻防技術(shù)/安全理念都在變化，基礎(chǔ)假設(shè)和工程實踐也在演進和變化，只有保障存儲內(nèi)生的安全能力，構(gòu)建安全可靠的數(shù)據(jù)存儲系統(tǒng)，才能保護核心的價值資產(chǎn)，發(fā)揮出存儲的真正能力。華為也會繼續(xù)積極發(fā)揮標準引領(lǐng)支撐作用，在安全保障的前提下基于國家標準和規(guī)范開展業(yè)務(wù)，推動行業(yè)標準化。與此同時，加快數(shù)據(jù)安全領(lǐng)域的技術(shù)攻關(guān)和產(chǎn)品研發(fā)，為全國各地的關(guān)鍵基礎(chǔ)設(shè)施建設(shè)提供強有力的安全能力與服務(wù)。

華為存儲山東代理商，山東科普，4006866839.