【连载】华为展望数据存储的10大趋势与行动建议——存储内生安全

趋势展望

1 AI时代数据海量汇聚，安全风险持续提升，安全防护体系从网络安全走向数据安全
2023 年以来，随着以 ChatGPT 为代表的 AI 大模型掀起新一轮全球人工智能技术发展浪潮，海量数据因 AI 汇聚，经过大模型的训练，推理出更具价值的信息。数据作为 AI 的根基，其重要性进一步凸显，数据的安全就是企业核心资产的安全。据 splunk 公司发布
的《 2023 年安全现状报告》显示，超过 52% 的组织遭受了恶意攻击导致数据泄露， 66% 的机构遭受勒索软件攻击，数据安全的重要性正在不断上升。

在不断变化的数据安全局势下，世界多个国家及地区出于数据安全和自身隐私保护的考虑，相继颁布并完善相关的法规政策。 2021 年，新加坡更新发布《 2021 个人数据保护条例》。此外，《欧盟网络与信息安全指令（ NIS ）》、《美国联邦贸易委员会法 案》、《澳大利亚信息与隐私权法案》等法律均明确规定了数据安全相关条例内容。数据安全已成为衡量企业竞争力甚至国家竞争力的核心要素。

数据在产生、采集、传输、使用、销毁的全生命周期处理过程中始终离不开存储设备。存储作为数据的最终载体，数据的“保险箱”，拥有近数据的保护能力，近介质的控制能力，在数据安全防护、数据备份与恢复、数据安全销毁等领域有不可替代的作用。

以往谈到数据安全时，人们往往看到的是安全网关，以及在应用层的安全软件，经常忽视数据存储，这个存数据本身的保险箱的作用。就像为了保证金银财宝的安全，请了很好的保安，安装了结实的防盗门、防盗窗，但是一进房间，所有金银财宝都放在桌子上随便拿，这何其奇怪。所以为保护数据的安全，首先要把存数据的保险箱做好做安全。

2 存储内生安全构筑数据安全的最后一道防线
存储内生安全体系通过先天的架构与设计，不断增强存储的安全能力，包含两个方面：存储设备自身的安全能力、存储的数据安全防护能力。

1 存储设备安全
存储硬件安全 ： 通过在硬件芯片上植入类似身份证功能的根密钥，使得系统上的每个程序运行之前都有相应的身份认证，从而保证系统的环境达到可信的标准。

存储软件安全： 遵从相关法规条例要求，构建安全研发能力。通过高价值的开源软件选型，规范的开源软件使用。对全量软件进行可信的生命周期维护，通过积极的社区回馈和协同维护确保软件合规使用，安全使用。

2 数据安全防护
数据加密： 对数据的加密，可以在应用层软件、数据库或存储系统等不同层级实施，应用层加密需要大量的业务改造，数据库加密对性能损耗较高。存储设备可通过加密盘的方式对数据实现加密，对生产业务透明，是性能、成本综合最优的一种加密方式。

数据防勒索： 首先生产存储通过异常读写行为识别、信息熵计算等方式检测并且拦截
勒索病毒，让病毒进不来。其次，生产存储的 WORM 与安全快照功能保护数据不被非法篡改或删除。第三层，本地备份快速恢复，守护数据丢不了。第四层， Air Gap 隔离区数据离线保护，使病毒看不见，攻击不到。

数据容灾备份： 数据备份是通过定期将重要数据复制到其它存储位置备份系统中，使数据能够并可以恢复到过去的某个特定的时间点。根据业务需要提升备份能力，使备份系统能够兼容大数据、数据仓库等新核心生态。以保障重要数据的全量备份，抵御误操作、硬件故障、病毒等一系列威胁。数据容灾是针对无容灾的场景，通过自建数据中心方式实现数据与业务双容灾，使生产数据与业务随时有容灾系统进行接管。对已建容灾系统，根据业务连续性需求增强，将主备容灾模式提升为双活模式。以此来保障重要数据 0 丢失，抵御自然灾害、掉电、计算机病毒等一系列威胁。

数据安全销毁： 存储设备数据永久清除、不可恢复，以避免存储设备转售、废弃后重要的敏感数据造成泄露。

建议

建议 1：企业在关注网络安全防护的同时，应考虑将存储的安全能力加入企业的安全建设当中
存储具有贴近数据的天然优势，能够在网络拦截之后，进一步提供隔离、恢复等独特的数据安全能力。当前企业的安全团队主要由网络团队构成，其职责是通过防火墙等网络安全设备，制定安全策略，封堵高危端口。存储团队更多关注的是存储的安全服务是否能够正常提供，以及对存储安全服务技术的规划与研制。建议企业把存储的安全能力加入到安全体系建设当中。

建议 2：存储设备应具备底层的抗攻击能力，存储应加强自身的软件与硬件安全能力
存储设备需要具备底层的抗攻击能力。通过存储系统的架构和设计出发，加强存储系统自身的硬件与软件安全能力，从而让企业能够通过存储的保护与恢复能力给数据和资产增加一份保险。

建议 3 ：关注存储设备的加密、防勒索等数据安全防护能力的部署
存储设备因其近数据的特点，数据相关的内生安全特性部署具有可靠性、性能、成本综合最优的特点。通过存储的加密盘进行数据加密，以满足行业的合规要求，并减少性能损失与业务改造的成本。为了应对勒索攻击，应该建立端到端的防勒索体系，保证数据遭遇勒索攻击能够进行精准检测和快速响应，遭遇勒索后及时恢复。同时要增强灾备安全，在全面构建企业关键业务全容灾、数据全量备份的基本格局上，提升灾备兼容新核心生态的兼容能力。

了解更多华为存储未来趋势观点，敬请关注华为官网！