你的数据“锁好”了吗?内生安全构建数据存储关键一锁
发布时间 : 2023-07-19
数据安全成为防护核心
存储安全防护不容有失
▶ 数据作为企业的核心资产亟需重点保护,数据安全已成网络空间防护核心
数据面临着多样化的安全威胁,威胁的方式包括网络攻击,数据泄露,未经授权的访问,数据盗窃和数据丢失等。2020年以来,国家安全机关工作发现,我国有关电信运营商、航空公司等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。诸如此类的针对数据的网络安全事件频发,直接影响到企业的业务连续性,数据安全已经成为了网络空间防护的核心,数据作为生产要素需要重点保护,安全防护迫在眉睫。
数据作为企业发展的核心资产,通过存储进行保存,需要保障安全性,如果将存储中的核心数据比做放在银行保险箱中的珠宝,不具备安全能力的存储,就好比没有高级锁的保险箱,任何人都可以随时拿走重要的数据。作为数据的最终载体,安全应该是存储的内生能力,系统业务和数据的安全性要保证可靠。
▶ 国家高度重视关键信息基础设施的数据安全,存储安全已成为审核重点
针对当前的数据安全现状,国家出台了一系列的保护条例以及政策法规,来保障企业、政府以及运营商的数据安全。对于国家生产要素的重要基础设施(关键信息基础设施),工信部发布了相应的安全保护条例《关键信息基础设施保护条例》以及安全保护要求《GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求》,明确了关键信息基础设施的保护范围以及运营者所需要履行的合规义务。从2019年起,发布的《网络安全法》、《网络安全审查办法》、《工业和信息化领域数据安全管理办法(试行)》、《信息安全技术关键信息基础设施安全保护要求》、《信息安全技术 信息系统密码应用基本要求》等政策条款以及等保2.0系列标准均对存储安全相关的各项合规责任主体提出了明确要求。存储安全已经成为国家对关键基础设施建设审核的重点。
存储安全是数据安全的关键一环
应建立完整的安全体系
▶ 存储安全是数据安全的关键一环
存储安全是指对存储设备、存储介质、存储数据等进行保护,防止存储设备、存储介质、存储数据被非法获取、篡改、破坏等,确保存储数据的完整性、保密性和可用性。存储安全的重要性主要有以下几个方面:
1. 保护重要数据:存储设备中通常存储着各种重要数据,如政府机构、金融机构、企业等的机密文件、客户信息、财务数据等。如果这些数据被非法获取、篡改或破坏,将会给相关机构带来极大的损失和影响。
2. 防止数据泄露:存储设备中的数据一旦泄露,将会给相关机构带来极大的损失和影响。例如,客户信息泄露可能导致客户流失、声誉受损等。
3. 防止数据丢失:存储设备中的数据一旦丢失,将会给相关机构带来极大的损失和影响。例如,企业的财务数据丢失可能导致财务状况无法准确反映,影响企业的经营决策。
4. 合规要求:一些行业或国家对存储数据的安全性有着严格的要求,如金融行业、医疗行业等。如果相关机构不能满足这些要求,将会面临罚款、停业等风险。
存储安全能力的提升对于保护重要数据、防止数据泄露、防止数据丢失以及满足合规要求都具有重要的意义,是数据安全的关键一环。
▶ 完整的安全存储体系该如何正确建立?
今年5月份,工信部重磅发布了《关键信息基础设施安全建设指南》(简称《指南》)作为建设国家关键信息基础设施安全建设的指导。《指南》从以下三个方面构建一套有效安全存储体系:
- 组织管理体系。要制定行业数据分类分级标准,做好软件安全治理,审视高要求的业务场景,加大全闪存的应用,建设安全规范行业标准规范体系。
- 存储防护能力。要实施数据加密存储和传输,部署数据防勒索体系,建立“两地三中心”容灾备份体系,保障数据的机密性、完整性和可用性。
- 存储系统安全。要确保存储系统自身防篡改,实施系统安全加固,采用先进的安全工程方法,提升存储系统软件质量。
基于内生安全能力构建防御体系
打造安全可信的先进数据存储
▶ 通过内生的安全能力进行构建纵深防御的存储安全体系
如何利用安全存储技术,来成数量级地增强整个系统的数据安全防护能力,可以从数据安全“三性”来看,即机密性、完整性、可用性。
第一:大型信息系统需要采用专用存储系统来存放海量数据,企业级存储产品将大量存储硬件组织形成虚拟化的存储资源池,提供高性能、高可用、高可靠的存储服务。对数据存储的加密,可以在应用层软件、数据库或存储系统等不同层级实施。实施方式有软件加密、外接HSM设备、内置硬件引擎等。加密层级越高,数据暴露面越小,但需要更深度的业务改造,性能损失也更大,几类加密方式中,软件加密成本最低,但性能最差,实施风险最高,外接HSM设备成本高,数据需要在内部网络传输,容易泄漏,而硬件引擎方式需要依赖设备原生能力,对厂商的芯片研发能力提出了一定要求,是最安全高效的一种加密方式。
第二:当前ICT基础设施正在从传统以网络为中心转型到以数据为中心的新兴模式,在新兴模式下,连接无处不在,数据交互无处不在,致使内外的边界越来越模糊化;不同身份人员、不同设备、不同地点的数据访问,致使连接的多样性,以上新兴模式的特点决定了仅依靠单一防御体系建设很难有效应对勒索攻击。
利用安全存储技术抵御勒索病毒风险,需要具备四个功能,分别为“Air Gap”,“防篡改”,“侦测分析”“数据加密”。首先,通过AIR GAP技术构建安全隔离域,仅在数据复制时,才会建立和生产存储的复制连接,仅允许必要复制端口通讯,最大程度减少安全隔离域的暴露面;其次,通过一写多读(Write Once Read Many,WORM)技术实现数据在保留期内无法被篡改;再次,区别网路层通过病毒库识别已知勒索病毒,借助存储层基于I/O行为异常分析、文件熵值变化趋势等多种侦测分析技术,识别别勒索病毒的加密行为,并提供“干净”有效的副本用于恢复;最后,通过存储加密技术保证数据通过网络传输链路、硬盘被盗取之后也无法读出内容。
第三:千行百业的灾备需求不尽相同,技术储备、组织人才和流程建设也参差不齐。利用优势资源构建统一灾备业务管理和安全保障体系,是提升信息系统与数据的抗毁能力和灾难恢复能力的有效途径。以数字政府业务为例,《全国一体化政务大数据体系建设指南》中明确指出,要整合建设政务灾备。根据国家和各省市公布的十四五规划,当前全国已规划建设9个国家级/区域级,以及14个省级政务统一灾备中心,集约、绿色、有序地建设灾备,政务先行。构建的一体化灾备体系需要具备数据安全可靠,统一等保合规,服务化运营运维、绿色低碳节能的核心能力。
▶ 基于数据全生命周期打造安全可信的先进数据存储
针对数据存储的安全可信,华为基于数据全生命周期,提供全栈纵深、多层联动的数据安全解决方案,达成数据安全的“三不、两永远”目标。在安全合规上,通过国密、防勒索及容灾备份技术提供安全能力,并严格遵从法律法规,满足等保、关保的要求。在资产保护上,交付全栈覆盖的安全方案,做到数据安全防护的不丢失、不泄露、不被篡改,业务的永远在线,保护关键核心的数据资产。
在保证数据的机密性上,存储设备全面支持国密商用密码算法,并使用通过国密认证的鲲鹏芯片使能加速,提供端到端的加密方案。密钥与加解密进行分开控制,使用单独的密管服务器独立部署,保证核心信息的安全性,同时通过鲲鹏芯片的专用核加速配合国密算法,保证数据销毁和密钥销毁达到秒级。
在保证数据的完整性上,尤其是针对勒索攻击的场景,华为提供业界首个网络与存储联动、端到端的防勒索方案。通过将数据建立单独的隔离区,利用Air Gap技术进行主动熔断,保护数据副本安全。并在整个数据的全生命周期进行数据的勒索识别,通过事前的黑名单拦截,事中的近实时异常IO行为检测,以及事后的信息熵值深度检测文件损坏,达到99.9%的勒索识别率。对于污染数据,通过安全快照达到秒级的恢复能力。
在数据可用性上,华为提供包括OceanProtect的备份一体机、OceanProtect专用备份存储以及蓝光归档存储的全套容灾备份方案,并且在从容灾到备份的整个数据生命周期通过OceanCyber数据安全一体机看护存储安全,保证数据安全可用。其中,通过Windows OS的源端重删,达到超越DD50%的综合备份性能,并且通过OP NAS对接Veeam支持Fast clone,使得备份效率提升46倍。同时,针对传统的容灾备份所缺少的数据仓库、大数据等场景,提供100+生态应用兼容,对安全场景中,重要数据的容灾备份保证全量的覆盖。
华为存储通过国密、防勒索以及容灾备份构筑纵深的防御体系,应对数据全生命周期的安全威胁,确保数据有效防护与合法访问。打造创新的数据基础设施,打造安全、可信新型的数据中心。
安全发展,存储先行,利益博弈/攻防技术/安全理念都在变化,基础假设和工程实践也在演进和变化,只有保障存储内生的安全能力,构建安全可靠的数据存储系统,才能保护核心的价值资产,发挥出存储的真正能力。华为也会继续积极发挥标准引领支撑作用,在安全保障的前提下基于国家标准和规范开展业务,推动行业标准化。与此同时,加快数据安全领域的技术攻关和产品研发,为全国各地的关键基础设施建设提供强有力的安全能力与服务。