隨著數(shù)據(jù)價(jià)值不斷提升���,數(shù)據(jù)逐步成為企業(yè)內(nèi)最重要的數(shù)字資產(chǎn)����,存儲系統(tǒng)成為整個信息系統(tǒng)的重中之重���。使用技術(shù)手段識別網(wǎng)絡(luò)上的文件�、數(shù)據(jù)庫�����、帳戶信息等各類數(shù)據(jù)集的相對重要性�、敏感性、合規(guī)性�����,并采取適當(dāng)?shù)陌踩刂拼胧⿲ζ鋵?shí)施保護(hù)顯得越來越重要���。然而�����,隨著標(biāo)準(zhǔn)化���、開放化、分布式和智能化的發(fā)展�����,存儲系統(tǒng)逐漸變得易受到攻擊�,數(shù)據(jù)遭受的安全威脅日益增多,竊取��、篡改或破壞重要數(shù)據(jù)的事件也不斷發(fā)生�����。2020年上半年�����,某醫(yī)院數(shù)千人名單泄露,泄露的內(nèi)容包括姓名�����、電話�����、身份證號碼���、個人詳細(xì)居住地址����、就診類型����。同期,某連鎖酒店也受到數(shù)據(jù)泄露的打擊�����,暴露了上百萬名客戶的個人詳細(xì)信息���,包括姓名���、地址����、出生日期��、性別��、電子郵件地址和電話號碼……
根據(jù)近年來發(fā)生的數(shù)據(jù)安全問題可以發(fā)現(xiàn)�,如果存儲系統(tǒng)沒有安全保障措施��,一旦攻擊者成功滲透到數(shù)據(jù)中�����,其產(chǎn)生的負(fù)面影響將是無法估量的�����。
為滿足用戶數(shù)據(jù)保護(hù)的需求���,并提供多層次的數(shù)據(jù)保護(hù)方案����。浪潮在分布式存儲開發(fā)設(shè)計(jì)中,遵從保密性�、完整性和可用性三大安全原則,結(jié)合特定的存儲系統(tǒng)架構(gòu)�,綜合考慮IO機(jī)制和安全策略,推出超大規(guī)模數(shù)據(jù)中心級分布式存儲平臺AS13000G5���,實(shí)現(xiàn)數(shù)據(jù)安全�����、系統(tǒng)安全���、通信安全和應(yīng)用安全��!
浪潮存儲的四大安全性設(shè)計(jì)硬件架構(gòu)安全性設(shè)計(jì)的“三板斧”
浪潮存儲通過存儲節(jié)點(diǎn)架構(gòu)�����、各硬件單元自身及單元交互通信設(shè)施三個方面的安全性設(shè)計(jì)��,保障了硬件架構(gòu)的安全�����。
首先,在存儲節(jié)點(diǎn)架構(gòu)的安全性設(shè)計(jì)方面��,浪潮存儲采用X86體系架構(gòu)��,并設(shè)計(jì)開發(fā)了硬件系統(tǒng)���,確保在使用過程中能夠抵御非授權(quán)行為篡改;其中����,在物理硬件���、固件、部件等方面采取完整性檢測或校驗(yàn)等機(jī)制����,保證了各功能模塊的安全。
其次�����,在各硬件單元的安全方面�,浪潮存儲產(chǎn)品在主板設(shè)計(jì)中實(shí)現(xiàn)了固件加密或數(shù)字簽名,防止不明固件的非法寫入��,確保無外部入侵漏洞;其中管理芯片負(fù)責(zé)解析硬盤在位、警示信息�����,將解析信息與其它存儲單元隔離����,解除了泄露隱患。
最后�����,在各硬件單元交互通信設(shè)施的安全性設(shè)計(jì)方面�,浪潮存儲對所有物理接口均有明確定義,未預(yù)留任何不明確的接口���。對外可見接口具備“接入控制/訪問控制”機(jī)制�����,可以防止非法人員通過該接口進(jìn)行非法操作�。
如何保障數(shù)據(jù)“存”和“取”安全
浪潮存儲為數(shù)據(jù)的存儲和調(diào)用提供了安全性保障�。在“存”的方面,浪潮存儲支持多副本、糾刪冗余策略��,確保數(shù)據(jù)冗余����。支持?jǐn)?shù)據(jù)復(fù)制功能,通過遠(yuǎn)程復(fù)制實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)端備份和恢復(fù)�、持續(xù)的業(yè)務(wù)數(shù)據(jù)支撐、數(shù)據(jù)的容災(zāi)恢復(fù)����,保證數(shù)據(jù)存取的持續(xù)性、可恢復(fù)性����、高可用性和安全性�����。通過定期的數(shù)據(jù)完整性校驗(yàn)機(jī)制�����,以底層最小的數(shù)據(jù)組織為單位遍歷所有的數(shù)據(jù)��,以保證沒有數(shù)據(jù)丟失或不匹配問題。在“用”的方面�����,浪潮存儲對API接口�����、內(nèi)部固件數(shù)據(jù)訪問���、物理訪問接口���、維護(hù)接口設(shè)置訪問控制策略,未預(yù)留不明確的數(shù)據(jù)調(diào)用接口���,敏感數(shù)據(jù)的訪問具有認(rèn)證����、授權(quán)或加密機(jī)制;對于認(rèn)證憑據(jù)的安全存儲�����,在不需要還原明文的場景下��,使用不可逆算法加密。
系統(tǒng)軟件安全 如何保障
浪潮存儲采用全對稱��、分布式存儲架構(gòu)�����,支持跨節(jié)點(diǎn)�����、機(jī)柜�����、數(shù)據(jù)中心的數(shù)據(jù)冗余保護(hù)�,支持存儲服務(wù)的在線切換,保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全性�。在存儲服務(wù)協(xié)議方面����,浪潮存儲默認(rèn)使用具有加密和認(rèn)證功能的安全版本協(xié)議,對存儲系統(tǒng)中API接口和管理接口均提供安全認(rèn)證機(jī)制�����,以防注入漏洞,或防止相關(guān)信息或內(nèi)容被泄露���。
同時在數(shù)據(jù)安全方面�����,浪潮存儲采用強(qiáng)一致性數(shù)據(jù)完整性保護(hù)機(jī)制�����,實(shí)現(xiàn)數(shù)據(jù)的落盤一致性��、完整性校驗(yàn)和保護(hù);根據(jù)應(yīng)用場景���,用戶可靈活的定義數(shù)據(jù)的冗余策略,支持硬盤�����、節(jié)點(diǎn)�、機(jī)柜、機(jī)房等多級容災(zāi)隔離���。同時��,浪潮存儲在應(yīng)用層提供快照��、克隆����、回收站、WORM�����、ACL�、快速故障切換等多種數(shù)據(jù)保護(hù)功能���!
浪潮存儲面向系統(tǒng)管理 進(jìn)行安全性設(shè)計(jì)
浪潮存儲從管理功能�、管理調(diào)用�、用戶權(quán)限三方面入手進(jìn)行了系統(tǒng)管理的安全性設(shè)計(jì)。
在管理和維護(hù)的功能安全設(shè)計(jì)方面����,浪潮存儲提供GUI和CLI等多種管理方式,可查詢監(jiān)控系統(tǒng)狀態(tài)�、容量����、資源使用率����、告警等信息�����,也可以完成系統(tǒng)常用配置和操作�����。浪潮存儲還可以自動查詢和收集設(shè)備的工作狀態(tài)�����,當(dāng)監(jiān)測數(shù)值超過預(yù)先設(shè)定的故障閾值時���,提供郵件���、短信、SNMP等報(bào)警方式�����。
在監(jiān)控管理調(diào)用的安全性保障方面,浪潮存儲通過管理審計(jì)日志��,能查看管理界面登陸用戶界面操作����,詳細(xì)記錄用戶對系統(tǒng)進(jìn)行的配置和使用;并通過數(shù)據(jù)審計(jì)日志,記錄客戶端讀寫行為��,分析用戶數(shù)據(jù)傳輸情況��,從而實(shí)現(xiàn)對系統(tǒng)各服務(wù)的運(yùn)行或故障狀態(tài)�、切換情況等進(jìn)行記錄及告警。
最后在用戶權(quán)限方面��,浪潮存儲基于鑒權(quán)及訪問控制���,在用戶名和密碼認(rèn)證通過后����,更換會話標(biāo)識����,以防止會話固定漏洞。對于每一個需要授權(quán)訪問的頁面都核實(shí)用戶的會話標(biāo)識是否合法、用戶是否被授權(quán)執(zhí)行此操作�。
浪潮分布式存儲AS13000G5�����,通過以上四大安全性設(shè)計(jì)�����,保障用戶數(shù)據(jù)信息的完整�、不受損壞、不被竊取以及安全管理�����,在保障存儲系統(tǒng)可靠性�、可用性的基礎(chǔ)上實(shí)現(xiàn)存儲系統(tǒng)的極致安全。
更多新聞,請關(guān)注
粵公網(wǎng)安備 44010602001889號