數據安全成為防護核心

存儲安全防護不容有失

? 數據作為企業的核心資產亟需重點保護，數據安全已成網絡空間防護核心

    數據面臨著多樣化的安全威脅，威脅的方式包括網絡攻擊，數據泄露，未經授權的訪問，數據盜竊和數據丟失等。2020年以來，國家安全機關工作發現，我國有關電信運營商、航空公司等單位內網和信息系統先后多次出現越權登錄、數據外傳等異常網絡行為，疑似遭受網絡攻擊。諸如此類的針對數據的網絡安全事件頻發，直接影響到企業的業務連續性，數據安全已經成為了網絡空間防護的核心，數據作為生產要素需要重點保護，安全防護迫在眉睫。

    數據作為企業發展的核心資產，通過存儲進行保存，需要保障安全性，如果將存儲中的核心數據比做放在銀行保險箱中的珠寶，不具備安全能力的存儲，就好比沒有高級鎖的保險箱，任何人都可以隨時拿走重要的數據。作為數據的最終載體，安全應該是存儲的內生能力，系統業務和數據的安全性要保證可靠。

? 國家高度重視關鍵信息基礎設施的數據安全，存儲安全已成為審核重點

    針對當前的數據安全現狀，國家出臺了一系列的保護條例以及政策法規，來保障企業、政府以及運營商的數據安全。對于國家生產要素的重要基礎設施(關鍵信息基礎設施)，工信部發布了相應的安全保護條例《關鍵信息基礎設施保護條例》以及安全保護要求《GB/T39204-2022信息安全技術 關鍵信息基礎設施安全保護要求》，明確了關鍵信息基礎設施的保護范圍以及運營者所需要履行的合規義務。從2019年起，發布的《網絡安全法》、《網絡安全審查辦法》、《工業和信息化領域數據安全管理辦法（試行）》、《信息安全技術關鍵信息基礎設施安全保護要求》、《信息安全技術 信息系統密碼應用基本要求》等政策條款以及等保2.0系列標準均對存儲安全相關的各項合規責任主體提出了明確要求。存儲安全已經成為國家對關鍵基礎設施建設審核的重點。

存儲安全是數據安全的關鍵一環

應建立完整的安全體系

? 存儲安全是數據安全的關鍵一環

存儲安全是指對存儲設備、存儲介質、存儲數據等進行保護，防止存儲設備、存儲介質、存儲數據被非法獲取、篡改、破壞等，確保存儲數據的完整性、保密性和可用性。存儲安全的重要性主要有以下幾個方面：

1. 保護重要數據：存儲設備中通常存儲著各種重要數據，如政府機構、金融機構、企業等的機密文件、客戶信息、財務數據等。如果這些數據被非法獲取、篡改或破壞，將會給相關機構帶來極大的損失和影響。

2. 防止數據泄露：存儲設備中的數據一旦泄露，將會給相關機構帶來極大的損失和影響。例如，客戶信息泄露可能導致客戶流失、聲譽受損等。

3. 防止數據丟失：存儲設備中的數據一旦丟失，將會給相關機構帶來極大的損失和影響。例如，企業的財務數據丟失可能導致財務狀況無法準確反映，影響企業的經營決策。

4. 合規要求：一些行業或國家對存儲數據的安全性有著嚴格的要求，如金融行業、醫療行業等。如果相關機構不能滿足這些要求，將會面臨罰款、停業等風險。

存儲安全能力的提升對于保護重要數據、防止數據泄露、防止數據丟失以及滿足合規要求都具有重要的意義，是數據安全的關鍵一環。

? 完整的安全存儲體系該如何正確建立？

今年5月份，工信部重磅發布了《關鍵信息基礎設施安全建設指南》（簡稱《指南》）作為建設國家關鍵信息基礎設施安全建設的指導。《指南》從以下三個方面構建一套有效安全存儲體系：

- 組織管理體系。要制定行業數據分類分級標準，做好軟件安全治理，審視高要求的業務場景，加大全閃存的應用，建設安全規范行業標準規范體系。

- 存儲防護能力。要實施數據加密存儲和傳輸，部署數據防勒索體系，建立“兩地三中心”容災備份體系，保障數據的機密性、完整性和可用性。

- 存儲系統安全。要確保存儲系統自身防篡改，實施系統安全加固，采用先進的安全工程方法，提升存儲系統軟件質量。

基于內生安全能力構建防御體系

打造安全可信的先進數據存儲

? 通過內生的安全能力進行構建縱深防御的存儲安全體系

如何利用安全存儲技術，來成數量級地增強整個系統的數據安全防護能力，可以從數據安全“三性”來看，即機密性、完整性、可用性。

第一：大型信息系統需要采用專用存儲系統來存放海量數據，企業級存儲產品將大量存儲硬件組織形成虛擬化的存儲資源池，提供高性能、高可用、高可靠的存儲服務。對數據存儲的加密，可以在應用層軟件、數據庫或存儲系統等不同層級實施。實施方式有軟件加密、外接HSM設備、內置硬件引擎等。加密層級越高，數據暴露面越小，但需要更深度的業務改造，性能損失也更大，幾類加密方式中，軟件加密成本最低，但性能最差，實施風險最高，外接HSM設備成本高，數據需要在內部網絡傳輸，容易泄漏，而硬件引擎方式需要依賴設備原生能力，對廠商的芯片研發能力提出了一定要求，是最安全高效的一種加密方式。

第二：當前ICT基礎設施正在從傳統以網絡為中心轉型到以數據為中心的新興模式，在新興模式下，連接無處不在，數據交互無處不在，致使內外的邊界越來越模糊化；不同身份人員、不同設備、不同地點的數據訪問，致使連接的多樣性，以上新興模式的特點決定了僅依靠單一防御體系建設很難有效應對勒索攻擊。

    利用安全存儲技術抵御勒索病毒風險，需要具備四個功能，分別為“Air Gap”，“防篡改”，“偵測分析”“數據加密”。首先，通過AIR GAP技術構建安全隔離域，僅在數據復制時，才會建立和生產存儲的復制連接，僅允許必要復制端口通訊，最大程度減少安全隔離域的暴露面；其次，通過一寫多讀(Write Once Read Many，WORM)技術實現數據在保留期內無法被篡改；再次，區別網路層通過病毒庫識別已知勒索病毒，借助存儲層基于I/O行為異常分析、文件熵值變化趨勢等多種偵測分析技術，識別別勒索病毒的加密行為，并提供“干凈”有效的副本用于恢復；最后，通過存儲加密技術保證數據通過網絡傳輸鏈路、硬盤被盜取之后也無法讀出內容。

    第三：千行百業的災備需求不盡相同，技術儲備、組織人才和流程建設也參差不齊。利用優勢資源構建統一災備業務管理和安全保障體系，是提升信息系統與數據的抗毀能力和災難恢復能力的有效途徑。以數字政府業務為例，《全國一體化政務大數據體系建設指南》中明確指出，要整合建設政務災備。根據國家和各省市公布的十四五規劃，當前全國已規劃建設9個國家級/區域級，以及14個省級政務統一災備中心，集約、綠色、有序地建設災備，政務先行。構建的一體化災備體系需要具備數據安全可靠，統一等保合規，服務化運營運維、綠色低碳節能的核心能力。

? 基于數據全生命周期打造安全可信的先進數據存儲

    針對數據存儲的安全可信，華為基于數據全生命周期，提供全棧縱深、多層聯動的數據安全解決方案，達成數據安全的“三不、兩永遠”目標。在安全合規上，通過國密、防勒索及容災備份技術提供安全能力，并嚴格遵從法律法規，滿足等保、關保的要求。在資產保護上，交付全棧覆蓋的安全方案，做到數據安全防護的不丟失、不泄露、不被篡改，業務的永遠在線，保護關鍵核心的數據資產。

    在保證數據的機密性上，存儲設備全面支持國密商用密碼算法，并使用通過國密認證的鯤鵬芯片使能加速，提供端到端的加密方案。密鑰與加解密進行分開控制，使用單獨的密管服務器獨立部署，保證核心信息的安全性，同時通過鯤鵬芯片的專用核加速配合國密算法，保證數據銷毀和密鑰銷毀達到秒級。

    在保證數據的完整性上，尤其是針對勒索攻擊的場景，華為提供業界首個網絡與存儲聯動、端到端的防勒索方案。通過將數據建立單獨的隔離區，利用Air Gap技術進行主動熔斷，保護數據副本安全。并在整個數據的全生命周期進行數據的勒索識別，通過事前的黑名單攔截，事中的近實時異常IO行為檢測，以及事后的信息熵值深度檢測文件損壞，達到99.9%的勒索識別率。對于污染數據，通過安全快照達到秒級的恢復能力。

    在數據可用性上，華為提供包括OceanProtect的備份一體機、OceanProtect專用備份存儲以及藍光歸檔存儲的全套容災備份方案，并且在從容災到備份的整個數據生命周期通過OceanCyber數據安全一體機看護存儲安全，保證數據安全可用。其中，通過Windows OS的源端重刪，達到超越DD50%的綜合備份性能，并且通過OP NAS對接Veeam支持Fast clone，使得備份效率提升46倍。同時，針對傳統的容災備份所缺少的數據倉庫、大數據等場景，提供100+生態應用兼容，對安全場景中，重要數據的容災備份保證全量的覆蓋。

    華為存儲通過國密、防勒索以及容災備份構筑縱深的防御體系，應對數據全生命周期的安全威脅，確保數據有效防護與合法訪問。打造創新的數據基礎設施，打造安全、可信新型的數據中心。

    安全發展，存儲先行，利益博弈/攻防技術/安全理念都在變化，基礎假設和工程實踐也在演進和變化，只有保障存儲內生的安全能力，構建安全可靠的數據存儲系統，才能保護核心的價值資產，發揮出存儲的真正能力。華為也會繼續積極發揮標準引領支撐作用，在安全保障的前提下基于國家標準和規范開展業務，推動行業標準化。與此同時，加快數據安全領域的技術攻關和產品研發，為全國各地的關鍵基礎設施建設提供強有力的安全能力與服務。

華為存儲山東代理商，山東科普，4006866839.