从早期的信息化建设到当下的数字化转型,安全从来都是必须坚守的底线。当海量数据呈几何级数增长,数据演变为五大生产要素之一,数据安全逐渐成为继网络安全、信息安全之后的新主角。
根据IDC咨询发布的报告:从数据圈(每年被创建、采集或复制的数据集合)的角度看,中国数据圈发展颇为迅猛,年复合增速比全球平均水平快3%。其中,企业级数据圈将从2015年占数据圈总量的49%增长到2025年的69%。
(资料图片仅供参考)
在企业级数据圈狂飙突进的背后,既蕴藏着各个行业不断挖掘和释放数据价值的成果,也伴随诸多风险的持续累积。数据的存储环境与传输过程中的安全问题,以及设备和网络边界越来越模糊带来的隐患,让很多企业“辗转难眠”,甚至因无法挽回的损失而“流离失所”。
心安之处方为家。存储作为数据的“家”,倘若拥有完备的数据加密、数据容灾备份、数据防勒索等能力,就能为数据的高安全、高可用和高可靠性提供基础保障,进而成为数据纵深防御体系的坚强后盾,为数据安全保驾护航。
当然,从理想到现实离不开躬身践行。近日,在华为中国合作伙伴大会2023上,重磅发布2023年华为政企旗舰产品与解决方案。其中,“基于可信的数据中心安全解决方案”以存储高安全为基础,助力客户打造可信、高效的新型数据中心。
这是面向数据安全构筑存储底座的有益尝试,数据的“家”基于更多的探索与实践将形成“四梁八柱”,为千行百业的数字化转型遮风挡雨。
数据安全的主要挑战与演进趋势
从数字经济的发展阶段来看,国内消费互联网的红利期临近尾声,产业互联网方兴未艾,各种新应用、新场景密集涌现,给数据安全存储、管理及使用带来前所未有的挑战。
首当其冲的是数据灾备建设基础薄弱,数据风险与日俱增。尽管国内的数据保护法规、标准体系相对完善,但缺乏落地的实践和指导,在银行、教育、医疗、制造等重点领域仍普遍存在“有备份、无容灾”和缺乏异地灾备等问题。
相关统计显示,在数据存储能力投资中,美国灾备建设投资占比达32%,而中国只有8%——国内产生的金融和政府数据中,得到灾备覆盖保护的比例分别仅为15%、9%。在这样的背景下,由于业务停机、自然灾害等因素带来的经济损失居高不下,提升数据灾备水平迫在眉睫。
其次,国内商用密码体系与国际先进水平还有较大差距,数据安全的底层架构尚需完善。我国商用密码技术起步晚、发展时间短,现有商用密码产品依然以硬件为主导,未达到软硬件产品均衡、产品通用性较强的理想状态。
尤值一提的是,在国内重点行业的应用中,仍存在数据传输和存储加密使用国外主导的密码算法和协议等现象,国密算法未大范围应用、国密产品目录不完善等问题也不容忽视。持续优化商用密码产品、大力推进国产商用密码应用势在必行。
再次,影响数据安全的因素从物理失效扩展到人因破坏,防范勒索病毒攻击形势严峻。不少勒索组织开始有计划地瞄准大型企业和基础设施,通过会员、订阅或定制,向其他“攻击者”售卖相关服务,让勒索软件攻击门槛显著下降,企业数据安全风险直线上升。
一旦勒索软件达成入侵,网络已经无法阻止其对数据的破坏,此时就需要存储系统来对数据进行保护。通过整合存储与数据安全团队,构建全面的存储防勒索解决方案,才能夯实数据安全最后一道防线。
存储安全为数据搭建“新房子”
显而易见,面对数据安全遭遇的诸多新挑战,传统从网络和应用端提供的产品方案已无法从根本上解决问题。作为底层架构中与数据亲密接触的核心角色,存储无疑将发挥举足轻重的作用,有望为数据搭建无惧风雨的“新房子”。
存储容灾备份技术是关键信息基础设施安全防护的底座,堪称数据安全“新房子”的地基。企业应当全面构建关键业务全容灾、数据全量备份的基本格局,提升业务连续性和数据可靠性。
对已建容灾系统,企业可将本地主备容灾模式提升为双活模式,并将同城双活数据容灾升级为多地多中心保护架构,形成数据多副本、业务跨区域的恢复能力;对数据采用分级分类备份方式,针对重点数据可将本地单点备份升级为“本地+异地”数据备份,同时制定明确的防御和恢复等级,切实保障数据安全。
国产商用密码技术是数据安全“新房子”的中流砥柱,“国密改造,存储先行”是构建端到端加密体系的最优路径。数据加密存储可由应用软件、数据库或外接加密机完成,亦可与设备或应用本身充分结合。
目前很多国产产品的加密采用“外置式”方案,系统性能低下,而存储设备内加密是扩展性最强、性能损失最小的选择。由于存储加密技术业已成熟,且改造难度低、部署速度快,一些具备根技术特征的产品有望率先落地,推动国产商用密码的应用创新。
应对勒索软件攻击,存储是守护数据安全的“全能屋顶”,将风险拒之门外。传统的安全防御一般采用防火墙、安全网关等网络侧的技术,但对于勒索攻击,更需要依赖存储勒索检测、安全快照、数据隔离、数据恢复等能力做好数据的逻辑和物理防护。
数据存储能在第一时间检测到勒索攻击的异常IO,并通过防篡改技术对数据进行主动保护。存储层和网络层还可基于联动技术,通知防火墙等安全设备隔离勒索攻击源头,防止勒索软件通过网络横向扩散。
数据存储安全的实践路径与未来图景
虽然存储安全为数据搭建的“新房子”令人神往,但从方法论到产品创新,再到场景化落地,还有很长的路要走,需要产业链各环节不断试错,探索出符合行业用户需求的有效路径。
作为国内存储市场的翘楚,华为数据存储拥有业界最全的数据安全解决方案,通过数据防勒索、数据防泄漏、数据防丢失、存储软件开源治理、存储软件安全和系统底层安全能力,为客户实现“数据不泄露、数据不被篡改、数据不丢失和业务永远在线、访问永远合规”的“三不两永远”的可信目标提供强劲支撑。
如何应对火灾、地震等自然灾害以及各种极端情况,一直是行业用户的痛点,双活方案也因此成了“标配”。华为存储的容灾方案更进一步,在IP/FC网络双活容灾的基础上,与光产品线协同开发华为SOCC解决方案,通过光联动感知器配合毫秒级的感知算法,将存储双活链路切换时间从2分钟缩短至2秒;独特的两地四中心方案还将原有两地三中心的灾备中心升级至生产中心,两地互为主备,保护客户已有投资。
为防止由于操作失误或系统故障等原因导致数据丢失,建立一个高效可靠的备份系统也至关重要。华为OceanProtect专用备份存储提供最高172TB/小时的高速恢复性能,并依靠自研的高效重删压缩算法,实现高达72:1的数据缩减率,同等空间备份更多数据的同时,大幅节省客户开支。
商用密码产品改造更是块“硬骨头”,离不开自研技术的突破和软硬件综合实力的支撑。华为基于全盘加密、阵列加密等技术,打造完善的存储加密解决方案。其自研的SED盘技术成熟,内置加密引擎实现全盘加密,不消耗计算资源;存储控制器阵列加密由独立商密加速引擎完成,不占用CPU指令处理时间窗,应用性能无忧。
针对勒索软件难以识别和长期潜伏的特点,华为存储提供“主存+备份”双重防护,对勒索攻击层层设防:基于机器学习对勒索攻击行为进行检测并拦截;使用WORM文件系统和安全快照技术,对数据副本进行防篡改保护;借助Air Gap技术建立单独的物理隔离区域,可对数据进行离线保护。
站在更长远的视角,数据要素在顶层设计和市场需求的双重驱动下,会实现质与量的协同高速发展,存储安全未来施展身手的舞台将无限宽广。数据在“新房子”的保护下可以安心地释放潜能,期待更多的存储创新继续添砖加瓦。
