北京2020年12月28日 /美通社/ -- 隨著數(shù)據(jù)價(jià)值不斷提升,數(shù)據(jù)逐步成為企業(yè)內(nèi)最重要的數(shù)字資產(chǎn)����,存儲(chǔ)系統(tǒng)成為整個(gè)信息系統(tǒng)的重中之重。使用技術(shù)手段識(shí)別網(wǎng)絡(luò)上的文件����、數(shù)據(jù)庫(kù)、帳戶(hù)信息等各類(lèi)數(shù)據(jù)集的相對(duì)重要性����、敏感性����、合規(guī)性,并采取適當(dāng)?shù)陌踩刂拼胧?duì)其實(shí)施保護(hù)顯得越來(lái)越重要����。然而����,隨著標(biāo)準(zhǔn)化����、開(kāi)放化、分布式和智能化的發(fā)展����,存儲(chǔ)系統(tǒng)逐漸變得易受到攻擊,數(shù)據(jù)遭受的安全威脅日益增多����,竊取、篡改或破壞重要數(shù)據(jù)的事件也不斷發(fā)生����。2020年上半年,某醫(yī)院數(shù)千人名單泄露����,泄露的內(nèi)容包括姓名、電話����、身份證號(hào)碼����、個(gè)人詳細(xì)居住地址����、就診類(lèi)型。同期����,某連鎖酒店也受到數(shù)據(jù)泄露的打擊,暴露了上百萬(wàn)名客戶(hù)的個(gè)人詳細(xì)信息����,包括姓名、地址����、出生日期、性別����、電子郵件地址和電話號(hào)碼……
根據(jù)近年來(lái)發(fā)生的數(shù)據(jù)安全問(wèn)題可以發(fā)現(xiàn)����,如果存儲(chǔ)系統(tǒng)沒(méi)有安全保障措施����,一旦攻擊者成功滲透到數(shù)據(jù)中����,其產(chǎn)生的負(fù)面影響將是無(wú)法估量的。
為滿足用戶(hù)數(shù)據(jù)保護(hù)的需求����,并提供多層次的數(shù)據(jù)保護(hù)方案。浪潮在分布式存儲(chǔ)開(kāi)發(fā)設(shè)計(jì)中����,遵從保密性、完整性和可用性三大安全原則����,結(jié)合特定的存儲(chǔ)系統(tǒng)架構(gòu),綜合考慮IO機(jī)制和安全策略����,推出超大規(guī)模數(shù)據(jù)中心級(jí)分布式存儲(chǔ)平臺(tái)AS13000G5,實(shí)現(xiàn)數(shù)據(jù)安全����、系統(tǒng)安全����、通信安全和應(yīng)用安全����。
浪潮存儲(chǔ)的四大安全性設(shè)計(jì)
硬件架構(gòu)安全性設(shè)計(jì)的“三板斧”
浪潮存儲(chǔ)通過(guò)存儲(chǔ)節(jié)點(diǎn)架構(gòu)、各硬件單元自身及單元交互通信設(shè)施三個(gè)方面的安全性設(shè)計(jì)����,保障了硬件架構(gòu)的安全。
首先����,在存儲(chǔ)節(jié)點(diǎn)架構(gòu)的安全性設(shè)計(jì)方面,浪潮存儲(chǔ)采用X86體系架構(gòu)����,并設(shè)計(jì)開(kāi)發(fā)了硬件系統(tǒng),確保在使用過(guò)程中能夠抵御非授權(quán)行為篡改����;其中,在物理硬件����、固件、部件等方面采取完整性檢測(cè)或校驗(yàn)等機(jī)制����,保證了各功能模塊的安全。
其次����,在各硬件單元的安全方面,浪潮存儲(chǔ)產(chǎn)品在主板設(shè)計(jì)中實(shí)現(xiàn)了固件加密或數(shù)字簽名����,防止不明固件的非法寫(xiě)入,確保無(wú)外部入侵漏洞����;其中管理芯片負(fù)責(zé)解析硬盤(pán)在位、警示信息����,將解析信息與其它存儲(chǔ)單元隔離,解除了泄露隱患����。
最后����,在各硬件單元交互通信設(shè)施的安全性設(shè)計(jì)方面����,浪潮存儲(chǔ)對(duì)所有物理接口均有明確定義,未預(yù)留任何不明確的接口����。對(duì)外可見(jiàn)接口具備“接入控制/訪問(wèn)控制”機(jī)制,可以防止非法人員通過(guò)該接口進(jìn)行非法操作����。
如何保障數(shù)據(jù)“存”和“取”安全
浪潮存儲(chǔ)為數(shù)據(jù)的存儲(chǔ)和調(diào)用提供了安全性保障。在“存”的方面����,浪潮存儲(chǔ)支持多副本、糾刪冗余策略����,確保數(shù)據(jù)冗余。支持?jǐn)?shù)據(jù)復(fù)制功能����,通過(guò)遠(yuǎn)程復(fù)制實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)端備份和恢復(fù)����、持續(xù)的業(yè)務(wù)數(shù)據(jù)支撐����、數(shù)據(jù)的容災(zāi)恢復(fù)����,保證數(shù)據(jù)存取的持續(xù)性、可恢復(fù)性����、高可用性和安全性。通過(guò)定期的數(shù)據(jù)完整性校驗(yàn)機(jī)制����,以底層最小的數(shù)據(jù)組織為單位遍歷所有的數(shù)據(jù),以保證沒(méi)有數(shù)據(jù)丟失或不匹配問(wèn)題����。在“用”的方面,浪潮存儲(chǔ)對(duì)API接口����、內(nèi)部固件數(shù)據(jù)訪問(wèn)����、物理訪問(wèn)接口����、維護(hù)接口設(shè)置訪問(wèn)控制策略,未預(yù)留不明確的數(shù)據(jù)調(diào)用接口����,敏感數(shù)據(jù)的訪問(wèn)具有認(rèn)證、授權(quán)或加密機(jī)制����;對(duì)于認(rèn)證憑據(jù)的安全存儲(chǔ),在不需要還原明文的場(chǎng)景下����,使用不可逆算法加密。
系統(tǒng)軟件安全 如何保障
浪潮存儲(chǔ)采用全對(duì)稱(chēng)����、分布式存儲(chǔ)架構(gòu),支持跨節(jié)點(diǎn)����、機(jī)柜����、數(shù)據(jù)中心的數(shù)據(jù)冗余保護(hù)����,支持存儲(chǔ)服務(wù)的在線切換,保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全性����。在存儲(chǔ)服務(wù)協(xié)議方面����,浪潮存儲(chǔ)默認(rèn)使用具有加密和認(rèn)證功能的安全版本協(xié)議,對(duì)存儲(chǔ)系統(tǒng)中API接口和管理接口均提供安全認(rèn)證機(jī)制����,以防注入漏洞,或防止相關(guān)信息或內(nèi)容被泄露����。
同時(shí)在數(shù)據(jù)安全方面,浪潮存儲(chǔ)采用強(qiáng)一致性數(shù)據(jù)完整性保護(hù)機(jī)制����,實(shí)現(xiàn)數(shù)據(jù)的落盤(pán)一致性����、完整性校驗(yàn)和保護(hù)����;根據(jù)應(yīng)用場(chǎng)景,用戶(hù)可靈活的定義數(shù)據(jù)的冗余策略����,支持硬盤(pán)、節(jié)點(diǎn)����、機(jī)柜、機(jī)房等多級(jí)容災(zāi)隔離����。同時(shí),浪潮存儲(chǔ)在應(yīng)用層提供快照����、克隆、回收站����、WORM����、ACL����、快速故障切換等多種數(shù)據(jù)保護(hù)功能。
浪潮存儲(chǔ)
面向系統(tǒng)管理 進(jìn)行安全性設(shè)計(jì)
浪潮存儲(chǔ)從管理功能����、管理調(diào)用、用戶(hù)權(quán)限三方面入手進(jìn)行了系統(tǒng)管理的安全性設(shè)計(jì)����。
在管理和維護(hù)的功能安全設(shè)計(jì)方面����,浪潮存儲(chǔ)提供GUI和CLI等多種管理方式,可查詢(xún)監(jiān)控系統(tǒng)狀態(tài)����、容量、資源使用率����、告警等信息����,也可以完成系統(tǒng)常用配置和操作����。浪潮存儲(chǔ)還可以自動(dòng)查詢(xún)和收集設(shè)備的工作狀態(tài),當(dāng)監(jiān)測(cè)數(shù)值超過(guò)預(yù)先設(shè)定的故障閾值時(shí)����,提供郵件、短信����、SNMP等報(bào)警方式。
在監(jiān)控管理調(diào)用的安全性保障方面����,浪潮存儲(chǔ)通過(guò)管理審計(jì)日志,能查看管理界面登陸用戶(hù)界面操作����,詳細(xì)記錄用戶(hù)對(duì)系統(tǒng)進(jìn)行的配置和使用;并通過(guò)數(shù)據(jù)審計(jì)日志����,記錄客戶(hù)端讀寫(xiě)行為����,分析用戶(hù)數(shù)據(jù)傳輸情況����,從而實(shí)現(xiàn)對(duì)系統(tǒng)各服務(wù)的運(yùn)行或故障狀態(tài)、切換情況等進(jìn)行記錄及告警����。
最后在用戶(hù)權(quán)限方面,浪潮存儲(chǔ)基于鑒權(quán)及訪問(wèn)控制����,在用戶(hù)名和密碼認(rèn)證通過(guò)后,更換會(huì)話標(biāo)識(shí)����,以防止會(huì)話固定漏洞。對(duì)于每一個(gè)需要授權(quán)訪問(wèn)的頁(yè)面都核實(shí)用戶(hù)的會(huì)話標(biāo)識(shí)是否合法����、用戶(hù)是否被授權(quán)執(zhí)行此操作����。
浪潮分布式存儲(chǔ)AS13000G5����,通過(guò)以上四大安全性設(shè)計(jì)����,保障用戶(hù)數(shù)據(jù)信息的完整、不受損壞����、不被竊取以及安全管理,在保障存儲(chǔ)系統(tǒng)可靠性����、可用性的基礎(chǔ)上實(shí)現(xiàn)存儲(chǔ)系統(tǒng)的極致安全。
作者:浪潮存儲(chǔ)葉毓睿����、李錚鋆
