從早期的資訊化建設到當下的數字化轉型,安全從來都是必須堅守的底線。當海量資料呈幾何級數增長,資料演變為五大生産要素之一,資料安全逐漸成為繼網絡安全、資訊安全之後的新主角。
根據IDC咨詢釋出的報告:從資料圈(每年被建立、采集或複制的資料集合)的角度看,中國資料圈發展頗為迅猛,年複合增速比全球平均水準快3%。其中,企業級資料圈将從2015年占資料圈總量的49%增長到2025年的69%。
在企業級資料圈狂飙突進的背後,既蘊藏着各個行業不斷挖掘和釋放資料價值的成果,也伴随諸多風險的持續累積。資料的存儲環境與傳輸過程中的安全問題,以及裝置和網絡邊界越來越模糊帶來的隐患,讓很多企業“輾轉難眠”,甚至因無法挽回的損失而“流離失所”。
心安之處方為家。存儲作為資料的“家”,倘若擁有完備的資料加密、資料容災備份、資料防勒索等能力,就能為資料的高安全、高可用和高可靠性提供基礎保障,進而成為資料縱深防禦體系的堅強後盾,為資料安全保駕護航。
當然,從理想到現實離不開躬身踐行。近日,在華為中國合作夥伴大會2023上,重磅釋出2023年華為政企旗艦産品與解決方案。其中,“基于可信的資料中心安全解決方案”以存儲高安全為基礎,助力客戶打造可信、高效的新型資料中心。
這是面向資料安全構築存儲底座的有益嘗試,資料的“家”基于更多的探索與實踐将形成“四梁八柱”,為千行百業的數字化轉型遮風擋雨。
資料安全的主要挑戰與演進趨勢
從數字經濟的發展階段來看,國内消費網際網路的紅利期臨近尾聲,産業網際網路方興未艾,各種新應用、新場景密集湧現,給資料安全存儲、管理及使用帶來前所未有的挑戰。
首當其沖的是資料災備建設基礎薄弱,資料風險與日俱增。盡管國内的資料保護法規、标準體系相對完善,但缺乏落地的實踐和指導,在銀行、教育、醫療、制造等重點領域仍普遍存在“有備份、無容災”和缺乏異地災備等問題。
相關統計顯示,在資料存儲能力投資中,美國災備建設投資占比達32%,而中國隻有8%——國内産生的金融和政府資料中,得到災備覆寫保護的比例分别僅為15%、9%。在這樣的背景下,由于業務停機、自然災害等因素帶來的經濟損失居高不下,提升資料災備水準迫在眉睫。
其次,國内商用密碼體系與國際先進水準還有較大差距,資料安全的底層架構尚需完善。大陸商用密碼技術起步晚、發展時間短,現有商用密碼産品依然以硬體為主導,未達到軟硬體産品均衡、産品通用性較強的理想狀态。
尤值一提的是,在國内重點行業的應用中,仍存在資料傳輸和存儲加密使用國外主導的密碼算法和協定等現象,國密算法未大範圍應用、國密産品目錄不完善等問題也不容忽視。持續優化商用密碼産品、大力推進國産商用密碼應用勢在必行。
再次,影響資料安全的因素從實體失效擴充到人因破壞,防範勒索病毒攻擊形勢嚴峻。不少勒索組織開始有計劃地瞄準大型企業和基礎設施,通過會員、訂閱或定制,向其他“攻擊者”售賣相關服務,讓勒索軟體攻擊門檻顯著下降,企業資料安全風險直線上升。
一旦勒索軟體達成入侵,網絡已經無法阻止其對資料的破壞,此時就需要存儲系統來對資料進行保護。通過整合存儲與資料安全團隊,建構全面的存儲防勒索解決方案,才能夯實資料安全最後一道防線。
存儲安全為資料搭建“新房子”
顯而易見,面對資料安全遭遇的諸多新挑戰,傳統從網絡和應用端提供的産品方案已無法從根本上解決問題。作為底層架構中與資料親密接觸的核心角色,存儲無疑将發揮舉足輕重的作用,有望為資料搭建無懼風雨的“新房子”。
存儲容災備份技術是關鍵資訊基礎設施安全防護的底座,堪稱資料安全“新房子”的地基。企業應當全面建構關鍵業務全容災、資料全量備份的基本格局,提升業務連續性和資料可靠性。
對已建容災系統,企業可将本地主備容災模式提升為雙活模式,并将同城雙活資料容災更新為多地多中心保護架構,形成資料多副本、業務跨區域的恢複能力;對資料采用分級分類備份方式,針對重點資料可将本地單點備份更新為“本地+異地”資料備份,同時制定明确的防禦和恢複等級,切實保障資料安全。
國産商用密碼技術是資料安全“新房子”的中流砥柱,“國密改造,存儲先行”是建構端到端加密體系的最優路徑。資料加密存儲可由應用軟體、資料庫或外接加密機完成,亦可與裝置或應用本身充分結合。
目前很多國産産品的加密采用“外置式”方案,系統性能低下,而儲存設備内加密是擴充性最強、性能損失最小的選擇。由于存儲加密技術業已成熟,且改造難度低、部署速度快,一些具備根技術特征的産品有望率先落地,推動國産商用密碼的應用創新。
應對勒索軟體攻擊,存儲是守護資料安全的“全能屋頂”,将風險拒之門外。傳統的安全防禦一般采用防火牆、安全網關等網絡側的技術,但對于勒索攻擊,更需要依賴存儲勒索檢測、安全快照、資料隔離、資料恢複等能力做好資料的邏輯和實體防護。
資料存儲能在第一時間檢測到勒索攻擊的異常IO,并通過防篡改技術對資料進行主動保護。存儲層和網絡層還可基于關聯技術,通知防火牆等安全裝置隔離勒索攻擊源頭,防止勒索軟體通過網絡橫向擴散。
資料存儲安全的實踐路徑與未來圖景
雖然存儲安全為資料搭建的“新房子”令人神往,但從方法論到産品創新,再到場景化落地,還有很長的路要走,需要産業鍊各環節不斷試錯,探索出符合行業使用者需求的有效路徑。
作為國記憶體儲市場的翹楚,華為資料存儲擁有業界最全的資料安全解決方案,通過資料防勒索、資料防洩漏、資料防丢失、存儲軟體開源治理、存儲軟體安全和系統底層安全能力,為客戶實作“資料不洩露、資料不被篡改、資料不丢失和業務永遠線上、通路永遠合規”的“三不兩永遠”的可信目标提供強勁支撐。
如何應對火災、地震等自然災害以及各種極端情況,一直是行業使用者的痛點,雙活方案也是以成了“标配”。華為存儲的容災方案更進一步,在IP/FC網絡雙活容災的基礎上,與光産品線協同開發華為SOCC解決方案,通過光關聯感覺器配合毫秒級的感覺算法,将存儲雙活鍊路切換時間從2分鐘縮短至2秒;獨特的兩地四中心方案還将原有兩地三中心的災備中心更新至生産中心,兩地互為主備,保護客戶已有投資。
為防止由于操作失誤或系統故障等原因導緻資料丢失,建立一個高效可靠的備份系統也至關重要。華為OceanProtect專用備份存儲提供最高172TB/小時的高速恢複性能,并依靠自研的高效重删壓縮算法,實作高達72:1的資料縮減率,同等空間備份更多資料的同時,大幅節省客戶開支。
商用密碼産品改造更是塊“硬骨頭”,離不開自研技術的突破和軟硬體綜合實力的支撐。華為基于全盤加密、陣列加密等技術,打造完善的存儲加密解決方案。其自研的SED盤技術成熟,内置加密引擎實作全盤加密,不消耗計算資源;存儲控制器陣列加密由獨立商密加速引擎完成,不占用CPU指令處理時間窗,應用性能無憂。
針對勒索軟體難以識别和長期潛伏的特點,華為存儲提供“主存+備份”雙重防護,對勒索攻擊層層設防:基于機器學習對勒索攻擊行為進行檢測并攔截;使用WORM檔案系統和安全快照技術,對資料副本進行防篡改保護;借助Air Gap技術建立單獨的實體隔離區域,可對資料進行離線保護。
站在更長遠的視角,資料要素在頂層設計和市場需求的雙重驅動下,會實作質與量的協同高速發展,存儲安全未來施展身手的舞台将無限寬廣。資料在“新房子”的保護下可以安心地釋放潛能,期待更多的存儲創新繼續添磚加瓦。