数字经济时代,数据兼具生产要素和战略资源的双重角色,数据安全已经成为大数据时代最为紧迫的核心问题。
在数据安全领域,存储系统等基础设施的数据安全是底层保障,通过国产自研技术提升数据安全自主化水平,至关重要。
12月22日,国家工业信息安全发展研究中心发布了业内首份《数据基础设施安全研究报告》(以下简称《报告》),梳理了数据产业安全建设的现状和面临的风险,提出数据安全产业基础设施的短板和应对措施,为企业如何进行数据基础设施安全选型提供专业指导。
(相关资料图)
图片来自摄图网
1 数据基础设施安全,数据安全的基石
相比日趋成熟的数据应用安全和网络安全,数据存储处理等底层基础设施的安全能力较少被关注。然而,在我国数据安全产业中,越靠近底层的基础设施安全也越薄弱,距离形成软硬协同、从底层设施到上层应用贯通的系统化内生数据安全体系还有较大差距。
面对复杂严峻的国际竞争格局,只有通过国产自研技术,将数据基础设施安全牢牢掌握在自己手中,实现全面自主,才是保障企业可持续发展和国家战略安全的最优解。
以数据存储层安全为例,在数据基础设施安全中,数据存储层作为数字资源落地的核心载体,其安全技术和机制设计对于数据安全建设极为重要。
数据存储层安全由 存储介质、存储网络、存储系统 三部分构成。
其中,存储介质是数据长期驻留的物理载体,是数据安全的基础;存储网络架构涵盖网络和安全设备硬件、软件以及网络通信协议的安全性,是保障数据安全的前提;在存储系统中,数据将经历了采集、存储、管理和传输等环节,供各类上层应用程序调用和处理,是数据安全的底层保障。
《报告》指出,当前我国数据安全基础能力仍较为薄弱,存在数据存储介质产品市场占有率不高、存储网络技术专利布局不足、存储系统开源组件使用比例过高等问题。
2 底层技术自主创新,存储安全系统先行
在数据存储全链条中,存储系统安全肩负着保障数据保密性、数据完整性、数据可用性的重任,即保护存储资源和数据免受意外或故意的损坏,以及防止未经授权的用户和使用,是数据安全非常关键的一环。
这里的存储系统主要指分布式存储系统。随着数据量的井喷和数据类型的多样化,能够横向扩展的分布式存储成为市场的主流选择。分布式存储系统采用典型的“三明治”架构,自下而上分别是硬件层、数据层、应用层,其中数据层的核心是分布式存储软件,由其将硬件资源池化,高效管理,对外提供丰富的存储协议,满足业务的不同存储需求。
《报告》指出, 分布式存储整体架构的自主设计与开发能力,是直接衡量技术可控程度的最关键指标。
我国存储系统的研发起步较晚,不少厂商在存储系统的构建中广泛使用开源技术,虽然提升了开发效率,同时也带来很多安全隐患。
安全问题一直是开源技术的顽疾。一方面,开源技术安全漏洞广泛存在。据统计,过去10年开源软件漏洞总数增长了18倍。另一方面,很多开源项目仅由极少数工程师维护,即使出现安全漏洞,也不能被及时修复。此外,开源软件缺乏明确的安全责任主体,发生数据安全问题,往往难以溯源或追责。也就是说,基于开源技术的存储系统将始终处在巨大的安全风险中。
相比安全隐患巨大的开源路线,自主研发是彻底解决存储系统安全问题的必经之路。目前,国内具备分布式存储整体架构的自主设计和开发能力的企业不多,中科曙光就是代表企业之一。中科曙光在核心技术方面自主研发形成的存储系统软硬一体产品,已经覆盖从中低端到高端的存储市场,在存储安全领域拥有更多的话语权和自主权。
具体来看,曙光分布式存储的整体架构主要包括驱动子系统、分布式基础子系统、数据子系统、协议子系统、管理子系统等,每一个子系统的技术可控程度将直接影响存储系统整体的安全表现。 目前,中科曙光在各个子系统方面都具备自研实力,通过底层架构实现安全创新,领先业界的安全性能。
比如,在存储介质管理方面,曙光通过本地对象管理系统(Object System,简称 OBS)替代开源方案,让驱动子系统具备对于存储介质的直接管理能力,让存储系统获得更高的可靠性和安全性。此外,曙光存储针对文件、块、对象协议接口均实现了访问安全隔离与控制,真正实现了海量异构数据资源的安全融合,全面挖掘数据的潜在价值。作为存储系统的“门户”,曙光ParaStor分布式存储的管理子系统将安全设计作为重点考虑因素,在用户鉴权、角色管理、访问审计等方面设计了多重安全验证机制,做到管理及数据访问的可溯源。
由此可见,分布式存储系统的安全就像一个木桶,任何一个子系统出现短板,都难以实现存储系统安全的最大化。通过对分布式存储软件架构的自主设计,曙光在存储领域率先实现了架构层面的安全可控。
当前,提升我国数据基础设施安全水平依然任重道远。只有深入底层架构,沉下心走自主研发之路,提升产品代码可控水平,逐步实现软硬一体、技术路线可控,才能使数据安全逐步形成从基础设施到应用场景,再到监管机制的闭环安全体系。