存储作为承载数据的载体,在国家信息技术和高科技领域的关键基础地位日益凸显。数据存储不仅关乎企业数据的安全存放,也关乎数字经济产业安全、****。数据存储是数据安全的最后一道防线,在数字经济强国建设的诉求下,围绕存储产业加速自主创新,构筑安全可信的数据基础设施已迫在眉睫。
数据指数级增长,安全风险突显
随着行业数字化的深入,新应用、新场景密集涌现,海量的数据给数据安全存储、管理及使用带来压力,企业对数据的可靠性诉求日益凸显。当前我国数据储存安全还面临诸多挑战。
首先,数据灾备建设薄弱,数据风险与日俱增。我国数据保**规、标准体系相对完善,但缺乏落地的实践和指导,在银行、教育、医疗、制造等重点领域仍普遍存在“有备份、无容灾”、“缺乏异地灾备”等问题。当前我国在数据安全灾备方面投入偏低,在大中型企业等场景中灾备覆盖率低,业务停机损失高。据专业测算,在数据存储能力建设投资中,美国灾备建设投资占比达到32%,而我国只有8%,还不到土耳其的一半。同时,我国生产的金融数据和政府数据中,得到灾备覆盖保护的比例分别只有15%和9%,极端情况下,自然灾害、病毒攻击将造成严重的经济损失,提高数据灾备水平时不我待。
第二,开源软件供应链安全风险加剧。开源软件本身在带来商业便利的同时,也带来不确定性风险。现阶段,国内很多存储产品使用开源软件主要源自国外,开源软件的漏洞披露受到海外政府的管控。而开源软件漏洞数量在近两年内增长了88%,在这种安全形势下开源漏洞批露受到限制将给受到影响的产品漏洞及时修补带来较大挑战。目前,被称为“国产”的存储软件中,也有一半是基于如Ceph、Lustre等国外开源技术而来;被广泛应用的数据库、操作系统等下游生态开源软件中,80%受到美国控制,亟需国家、企业、用户层面的多方互促,破解“卡脖子”问题。
第三,经十余年发展,我国已初步形成自主可控的国密算法体系,但与世界先进水平相比仍有较大差距。我国商用密码技术起步晚、发展时间短,现有商用密码产品依然以硬件为主导,与国外软硬件产品均衡、产品通用性较强等特征形成对比,难以满足新技术、新应用对产品性能的要求。此外,国家关键基础设施领域的商用密码技术研究与应用仍待加强,在国家重点行业的应用中,仍存在数据传输加密、存储加密使用美国主导的密码算法和协议,国密算法未大范围应用、国密产品目录不完善、行业指导性政策不完善等问题。持续改造优化商用密码产品、大力推进国产商用密码得以应用势在必行。
“存得下、守得住”的数据安全之道
随着内外部风险的增加,各类攻击逐步以数据为攻击对象,存储作为数据的“家”,有完备的数据加密、数据容灾备份、数据防勒索能力,为数据的高安全、高可用和高可靠性提供基础的保障,成为数据纵深防御体系必不可少的一个组成部分,数据存储是数据安全的最后一道防线。
存储容灾备份技术是关键信息基础设施安全防护的底座。企业应当全面构建关键业务全容灾、数据全量备份的基本格局,提升业务连续性和数据可靠性。对已建容灾系统,根据业务连续性、数字化韧性需求增强,将本地主备容灾模式提升为双活模式,保障重要数据0丢失;将同城双活数据容灾升级为多地多中心保护架构,形成数据多副本、业务跨区域的恢复能力。对数据采用分级分类备份方式,保障有数据就有备份;针对重点数据,可将本地单点备份升级为本地+异地数据备份。同时建议各行业数据分类分级管理必须制定明确的防御和恢复等级,落实每年一至四次网络攻防与灾难恢复的演练与审查,切实有效保障数据安全。
存储系统软件作为关键基础软件,是国家关键信息基础设施安全的保障。面对日益严峻的开源软件风险,若继续使用不安全的开源软件来构建国内关键基础设施的存储系统,数字基础设施的“护城墙”就会有一个缺口,恶意组织可能利用这个缺口进行攻击,给核心数据资产带来致命风险。国内应当加强对数据存储软件开发的投入,保障存储设备的安全可信,做好开源软件供应链安全的治理,实现存储软件供应的自主可持续性和安全性。唯有大力发展从器件、设备到系统的整体存储产业链,夯实关键信息基础设施的底座安全,才能确保国家关键信息基础设施的安全稳定运行,真正保障国计民生的信息和数据安全。
国产商用密码技术是保障****的重要基础,国密改造,存储先行,是构建端到端加密体系的最优路径。数据加密存储可以由应用软件、数据库或外接加密机完成,也可以和设备或者应用本身充分结合起来。目前很多国产产品的加密方案采用的是“外置式”方案,相当于“锁上加锁”,导致系统性能低下,而存储设备内加密是扩展性最强、性能损失最小的一种。当前,存储加密技术已经成熟,且改造难度低、部署速度快,建议率先推广落地存储加密根技术,持续发展国产商用密码在数据存储领域的应用创新。此外,我国对国产商密使用的监管和标准制定机制尚不成熟,存在一些对国产商密真实使用情况判断不准确、许多关键基础设施没有纳入使用考核范围等现象。建议增补加密存储产品到商用密码产品认证目录,配套相应技术要求和检测规范落地。
应对勒索软件攻击,数据存储是守护数据安全的最后一道防线。传统的安全防御一般将重心放在网络侧,比如防火墙、安全网关等技术,但对于勒索攻击,单靠网络侧是无法识别的,还需要依赖存储勒索检测、安全快照、数据隔离、数据恢复等能力做好数据的逻辑和物理防护。根据诺斯罗普·格鲁曼纵深防御模型,网络/主机层的作用是防止勒索软件入侵,阻断勒索软件扩散。勒索软件入侵后,网络/主机层已无法阻止勒索软件对数据的破坏,此时就需要数据存储进行兜底。数据存储能够在第一时间检测到勒索攻击的异常IO,并通过防篡改技术,对数据进行主动保护。存储层和网络层可通过联动技术,通知防火墙等安全设备隔离勒索攻击源头,防止勒索软件通过网络横向扩散。数据被勒索加密后,依赖数据存储的物理隔离区,保留最后一份“干净”数据用于恢复。
打造安全可信的数据存储
华为在数据存储安全方面进行了创新探索,通过数据防勒索、数据防泄漏、数据防丢失、存储软件开源治理、存储软件安全和系统底层安全能力,为客户实现“数据不泄露、数据不被篡改、数据不丢失,业务永远在线、访问永远合规”的“三不两永远”可信目标提供支撑。
首先,为应对火灾、地震等自然灾害,华为存储的容灾建设在业界传统的双活方案上更进一步,在IP/FC网络双活容灾的基础上,与华为光产品线协同开发华为SOCC(Storage-Optical Connection Coordination)解决方案,通过光联动感知器配合毫秒级的感知算法,将传统的存储双活链路切换时间从2分钟缩短至2秒。对于网络的抖动,业务系统完全0感知,保障业务平稳运行。华为容灾方案已支持同城双活→两地三中心→两地四中心三种方案的在线平滑升级,其中两地四中心方案将原有两地三中心的灾备中心也升级至生产中心,两地互为主备,保护客户已有投资。
为防止出现操作失误或系统故障等原因导致数据丢失,建立一个高效可靠的备份系统至关重要。如果备份性能过低,在有限备份时间窗内,每天只能备份少量数据,容易造成数据副本老旧、不完备的问题。恢复性能决定了数据恢复以及业务重新运转的时间,关系到业务宕机导致的损失大小。华为OceanProtect专用备份存储,提供最高172TB/小时的高速恢复性能,5倍于业界水平,将生产系统数据恢复导致的业务影响降低到最小。同时依靠自研的高效重删压缩算法,提供高达72:1的数据缩减率,领先业界20%,同等空间可备份更多数据,大幅节省系统投资。
其次,针对开源存储软件风险问题,一方面是加速自主创新能力构建,另一方面是提升企业开源软件风险治理能力。华为数据存储在成立之初,就明确了存储基础软硬件的自主设计研发道路,并通过存储“设备安全、数据安全和安全管理”三层安全防护框架,确保数据有效防护与合法访问。在安全防护框架源头的“设备安全”上,基于全自研硬件和软硬件协同设计,实现可信启动等系统源头可信;通过集成产品开发(IPD)流程,规范产品安全需求分析、安全设计、安全开发/测试、安全发布和安全运维的全生命周期流程安全,确保为用户提供自主安全可信的存储基础设施。在开源风险治理方面,华为建立了完善的开源软件全生命周期管理框架,在“供、选、用、维、馈”全链条构建开源软件管理体系,确保开源风险可控可治理。
再次,针对商用密码产品改造问题,华为将数据加密下沉到存储产品,基于全盘加密、阵列加密等技术,打造完善的存储加密解决方案。通过存储加密夯实底层软硬件能力,增强数据韧性,可以实现应用免改造,对上层透明;华为自研SED盘(Self-Encrypting Drives)技术成熟,内置加密引擎实现全盘加密,不消耗计算资源;存储控制器阵列加密由独立商密加速引擎完成,不占用CPU指令处理时间窗,应用性能无忧。
最后,针对勒索软件难以识别和长期潜伏的特点,华为闪存存储和分布式存储均能提供业界最完整的防勒索解决方案。华为存储防勒索解决方案提供主存+备份双重防护,在勒索攻击的整个阶段层层设防:基于机器学习对勒索攻击行为进行检测并拦截,识别准确率高达99.9%;使用WORM文件系统和安全快照技术,对数据副本进行防篡改保护,遭受攻击后可使用安全副本恢复数据;使用Air Gap技术建立单独的物理隔离区域,将生产存储与备份存储的数据复制到隔离区,对数据进行离线保护,防止数据被黑客攻破后全部损坏。
ICT技术的持续创新发展将带来更大的数据规模,数字信息的收集、存储、传输、交换和处理依赖于高可靠、高稳定的数字基础设施。我国存储产业正处于良性高速发展新阶段,数据安全是信息存储领域的第一要义,也是产品应用落地的根基,应加快打造可靠存储底座,全方位保障数据安全,筑牢数据安全最后一道防线。