引子
从年到年间,中国数字经济总体规模由2.6万亿元增加至39.2万亿元,数字经济在GDP的占比也由14.2%提升至38.6%。随着数字经济蓬勃发展,数据已经成为当之无愧的关键生产要素,是基础性资源和战略性资源。随着社会各行各业产生越来越多高价值数据,业务一刻也不能等、不能停、关键数据一点都不能丢。若不重视为数据筑起一道安全防线,那么关键数据的丢失可能会给企业致命一击。
国家工业信息安全发展研究中心作为国家级信息安全研究和推进机构,联合华为技术有限公司共同研究编制了《数据安全白皮书》,全面分析了我国数据安全产业基础、防护关键技术、法律法规体系现状,从提升数据安全产业基础能力、加快研究和应用数据安全防护技术、强化法律法规在数据安全主权的支撑保障作用等三方面展望数据安全发展未来,提出了数据安全发展倡议,为行业发展提供借鉴和参考,积极推动我国数据治理工作有序开展。
白皮书以国家工业信息安全发展研究中心和华为公司在数据安全领域的探索实践为基础,从数据产业定位、安全需求与挑战、安全治理策略、安全法律法规体系和发展规划等方面,系统性地阐述了数据安全产业的发展大计。记者专访华为数据存储与机器视觉产品线副总裁庞鑫,从存储介质安全、存储网络安全、软件安全、软件可信、数据灾备安全、存算分离等六个方面介绍了华为对全方位构筑数据安全的理解和建议。
存储介质安全:硅进磁退,推动产业升级,更节能、更安全
价值数据是客户业务持续发展的核心资产,企业的长期发展需要稳定的数据存储平台,存储的读写性能决定了上层应用的性能和用户的体验。因此,存储作为IT数据基础设施堆栈的底座,对保障数据安全可靠尤为重要。
在所有存储系统中,最终都需要将数据存放到某一类最底层物理介质中。目前,底层物理存储介质主要有光、磁、电三种,对应的存储产品类型可分为三大类:光学存储,如蓝光存储;磁存储,如HDD机械硬盘;半导体存储,采用电能存储,如SSD固态硬盘,根据接口协议的不同,又可以分为SAS固态盘、NVMe固态盘。除了光、磁、电之外,业界还在进行DNA存储等下一代介质研发。
庞鑫表示,当前在企业级存储市场应用最广泛的是HDD机械盘跟SSD固态盘(闪存盘),HDD机械盘主要由美、日少数几家厂商供应;SSD固态盘产业链更为分散,美、日、韩、中多家厂商都可以提供,供应更加多元化。此外,SSD节能优势明显,相对于HDD,在相同容量下,SSD的电力能耗降低70%,可有效推进数据中心低碳运转。
目前全球主要国家和地区都在大力推进SSD闪存部署。数据显示,全球存储市场闪存占比达43.7%,但在中国市场这一数字仅为24.7%。为了推进数据中心节能减排,中国市场加速闪存替代机械硬盘,已经势在必行。
存储网络安全:无损全IP数据中心网络,释放全闪存潜力
随着企业业务的高速发展,以及SSD闪存盘的广泛部署,机械硬盘时代的FC(FibreChannel,光纤通道)存储网络带宽存在严重瓶颈,无法满足高IOPS性能诉求。利用IP技术在性能、扩展性、成本等方面的优势推进网络全IP化,成为发展潮流。但是传统IP网络拥塞易丢包,难以满足存储网络零丢包的基本需求。年出现的NVMeoverFabric技术,已经初步具备改造存储专用网络的能力,但在成熟度上有欠缺。
庞鑫表示,基于当下业界主流标准NoF方案,华为又依托在网络和存储领域的深厚积累,通过拥塞控制、故障快速感知等技术创新,从可靠性、易用性上对其进行提升,推出增强型NOF网络方案,打造无损全IP数据中心网络,保障数据零丢包。
软件安全:开源可靠性低且存在安全隐患,核心业务应降低开源软件依赖
软件是存储系统的重要组成部分,由于我国基础软件研发起步晚,技术积累不足,众多厂家不得不在其软件开发中广泛使用开源技术,比较出名的开源软件有Ceph、Lustre等。开源软件的应用在一定程度上降低了开发门槛,带来了商业便利,但是也需要清醒地认识到,开源软件不一定意味着永远可获得,并且由于缺乏明确的安全责任主体,以及开源漏洞数量每年持续增长,开源软件存在较大安全隐患,因此对于核心业务存储,要谨慎使用开源软件。
庞鑫表示,作为华为存储核心的OceanStorOS从主机软件到双活软件、管理软件等全部自主研发,代码量超过万行,保障核心业务数据安全。
软件可信:加强软件安全认证的立法,保障数据全生命周期端到端安全
不同的业务场景面临的数据安全挑战是多样性的,比如生产交易场景(如计费),面临的关键威胁有数据篡改、非法访问、数据访问抵赖、病毒感染文件等。针对不同的威胁,使用的消减措施也是不同的,对于数据篡改威胁,可以使用端到端数据加密;对于非法访问威胁,可以采取认证和鉴权。软件可信的目标就是要保障“三不两永远”:数据不泄露、数据不被篡改、数据不丢失;业务永远在线、访问永远合规。
庞鑫建议,国家应加强对于软件安全认证的立法,建立软件安全可信标准的认证实验室,保障数据全生命周期端到端的安全。
灾备安全:核心数据要做灾备,确保业务不中断、数据不丢失
《网络安全法》及《关键信息基础设施安全保护条例(征求意见稿)》要求公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业关键信息基础设施对重要系统和数据库进行容灾备份。但是,在金融行业,生产数据被保护的比例仅有15%,政府数据被保护的比例还不到10%。随着我国年将成为全球最大数据圈,70%的生产数据将需要灾备。
庞鑫表示,加强数据保护时不我待,要大力发展存储容灾、备份技术,推进双活+异地灾备建设,保障业务核心数据不丢失。
大数据存算分离:更高资源利用率,更低TCO,更灵活按需扩展
5G、云计算、大数据、物联网、人工智能等新技术,持续推动了数据的爆炸式增长,面对海量数据,许多企业面临着数据存不下的问题。庞鑫表示,传统的大数据存算一体建设模式,计算与存储紧耦合,由于无法独立扩展,资源利用率低、建设成本高,大数据计算、存储分离已势在必行。通过部署大数据存算分离方案,计算、存储资源可以按需独立扩展,实现精准投资;同时采用弹性EC技术替代传统的三副本模式,磁盘利用率从33%提升到91%。
未来,国家工业信息安全发展研究中心与华为将携手,致力于成为数据安全的赋能者和推动者,并同广大产业伙伴一起通力合作,共同构建开放、健康、安全的数字生态。
白皮书下载链接:
国家工业信息安全发展研究中心下载