网络和数据安全产业分论坛|数据存储构筑数据安全最后一道防线

点击蓝字丨关注我们

大家好，今天很高兴有机会能够给大家分享一下我们从存储视角看数据安全，以及对数据安全的一些思考。

报告分三部分，首先是对数据安全标准洞察，然后从存储角度看下存储如何在整个数据安全方案当中发挥自己的独特价值，最后是介绍下存储的安全解决方案。

从当前的趋势来看，数据要素化发展非常快速，各国开始逐渐对自己的数据安全相关法律法规和标准建设已经进入快车道。欧盟和美国速度比较快，欧盟在治理，包括对GDPR、NIS2、网络安全认证法、网络韧性法这些监管法规快速推出，我们在企业出海的时候面临了强监管的诉求。

美国相当于是对人工智能、数据安全、量子这些领域也在加大标准投入，确保未来领先。基于本国利益拉动一些盟友，限制一些竞争对手，它的逻辑是在推动数据不断跨界流动，向对手流动的时候加大管控。中国也是开始逐渐在推动我们的《数据安全法》相关建设，包括4法N规3条例，《网络安全法》《数据安全法》《个人信息保护法》《密码法》四个上位法的指导下推出了《关基保护条例》《网络数据安全管理条例》和《商用密码管理条例》这三个条例，以及后边一系列的国家标准和行业标准。特别是工业标准已经取得比较大的进展，比较完备。

这些法律法规对数据安全提出了更多的要求，数据安全法提出了数据安全保护义务，关基保护要求，还有一些关键信息基础设施保护能力体系，对数据安全防护要求提出了比较细粒度的指导，包括数据加密、防泄露、防勒索等措施。这是做数据安全的根据，指导如何构建数据安全体系。

数据安全一个是满足合规，另外一个是考虑从攻防角度看数据安全发展趋势。洞察过程中发现当前网络攻击趋势持续恶化，数据安全占比在逐渐增加，针对Checkpoint、IBM的报告显示，在2023年，针对数据攻击的比例已经占整个网络攻击比例的Top1。针对数据遭到攻击的时候它的破坏也是很惊人的，平均每条数据损失在150-200美元之间，这是IBM的一个报告。在分析数据遭到攻击损失的时候，不是一锤子买卖，在很长一段时间内逐渐造成损失。这是比较新颖的一个现象，这是我们在参考了IBM的报告以及案例分析得到的结果。在数据遭到攻击遭到破坏以后，它的损失分两个波峰，第一个波峰是3-9个月之间，第二个波峰是21个月以后，这个现象产生背后逻辑是说在遭到攻击以后需要投入大量资源进行系统升级改造和修复，这时候是第一个波峰。第二个波峰是根据走法律相应的流程，从立案到处罚需要一段周期。第二个波峰开始就是造成了一些法律方面的损失，法律处罚成本逐渐显现出来。在数据安全构建当中一个是考虑说我们要如何在满足合规要求，满足刚才说的4法N规3条例和一些监管标准的要求基础上，还要充分考虑到数据安全问题。这是一个思考。

我们考虑构建数据安全方案的时候，一般传统的套路就是从风险出发，制定风险消减措施，按照传统的理念，这页是我们当年在考虑数据安全构建存储的安全体系的时候的一个示意图，自然灾害、软硬件故障、人为错误和恶意攻击，分解出来多种关键威胁，制定消减措施。在实践过程中，我们发现了这种方案在数据安全领域可能显得有些不合时宜。并不是它错，缺乏顶层方法论，在进行思考的时候我们参照业界的一些先进的理念，要考虑以数据为中心，数据为中心跟传统的网络为中心的区别，就是数据作为一个价值资产和网络、计算、硬件、软件等同地位进行分析。数据可流动性、易复制性特点，需要考虑全生命周期为一个维度进行分析。简而言之，以数据为中心，依据数据为价值，在全生命周期提供安全防护，以及降低其遭到攻击和合规处罚的风险，这是我们坚持的一个理念。

存储知道自己的定位，在网络的内侧，不能包打天下，不能提供方案解决所有数据安全问题，这也不现实。我们考虑在构建一个覆盖全生命周期的纵深防御体系，存储在里面找准自己的定位，发挥自己独特价值，为整个数据安全体系作出最大的贡献，这就是我们的初衷。

我们的定位是在网络边界防护、网络安全防护、应用安全防护基础之上构建数据安全在落盘以后的安全防护的方案。比如有些东西可以在网络侧更合适，攻击流量、病毒检测，有些可以说在主机侧更合适，比如恶意行为的检测，应用的恶意行为检测这些可能是在主机侧更合适。存储侧要考虑数据落盘后如何防止被破坏，如何防止被篡改和窃取，这是我们能提供的一个比较独特的价值，后续可以展开介绍一下。防勒索是比较新的探索。

下面介绍数据存储安全解决方案。

存储一直有一个安全竞争力评价体系，我们领导看我们做得好不好，有一个评价标准，Gartner对存储有竞争力的评估，有一个排行榜，存储是七大关键能力之一，如何保证存储的系统数据免受网络威胁、勒索事件、数据泄露的影响，这是它评价的指标。我们一直在近几年从2021年到2024年，从二十名开外一直冲到业界第一，今年是第一次和IBM并列第一。构建安全方案的安全竞争力思考就是首先要考虑提供了一系列的安全服务，保证数据存储之后能够变得更安全，能够遭到攻击的时候被检测出来，能恢复。同时要考虑把系统安全做好，保证构建一个可信的平台和环境，让这些安全服务能正常工作，提供数据保护。与解决方案相结合，与网络主机侧的安全方案相结合形成一个整体的数据安全体系。

在整个的存储厂商过去认为存储是保护在网络内部，它相对来说安全做得比较弱，我们相反是认为在未来攻击力度逐渐增加的情况下，在网络后端构建一套新的防御系统为数据进行有效的保护。我们是业界首个把可信计算TEE引入到存储设备当中，用一个EAL6+的系统对我们整个的业务系统进行度量和保护，关键的数据要沉入TEE，不在系统内中出现，这是我们的设计理念。

我们提供了在数据落盘以后如何保护，提供了一套软硬结合的安全方案，有两套系统，一套系统是你可以在盘里直接做加密，另外一套系统是可以用CPU控制器当中的资源对数据进行加密。控制系统加密也是用硬件卸载能力，带来的好处是性能损耗非常非常低在5%以内。

整个数据安全解决方案的构建，做好数据安全的核心是要防止入侵、防止攻击扩散，防止数据泄露及篡改，这里面需要与网络侧和主机侧相配合，有些工作是在网络侧做比较好，有些工作在主机侧比较好，存储就是聚焦落盘以后对数据的监测和保护。我们是构建了业界第一个MRP多层防勒索方案，在网存算联动对数据攻击，破坏攻击以及渗透进行防护，由存储最终做一个兜底的方案，最后一道防线。

存储是提供了几层能力，一个是加密了数据落盘以后数据不可窃取，第二是做了勒索检测，勒索检测就是数据在存储当中如果遭到病毒破坏，这个时候我们能够很精确地去发现这些破坏行为。刚才专家提到如何让数据保护数据，如何用数据来做数据安全，我们这是一个小的尝试点，小切片。比如说，当数据遭到勒索病毒破坏的时候，因为存储做了层层压缩能力，这个存储是很独特的，会造成数据随机性发生变化，不管用什么样的勒索病毒，不管潜伏如何巧妙，只要一破坏数据随机性发生剧烈变化，熵值就会发生变化。这个熵值信号是非常强烈的，这种技术如果使用的时候，能差异化的数据防护的点，这是我们的一个思考。