信息存儲安全現狀��、技術與趨勢
發布時間:2015-06-05 08:44:47
現代社會被稱為“信息社會”����,信息技術滲透到政治、經濟��、產業��、服務領域的所有部門����,信息化產業在國民經濟中占有的比重越來越大�����。信息化產業發展水平和信息基礎設置建設水平,是衡量社會現代化的重要指標����。隨著互聯網��、物聯網、移動互聯網、大數據等領域的發展,社會信息化達到了前所未有的高度,極大刺激了我國的經濟發展。社會信息化程度越高��,產生的信息數據越多���,信息安全的問題就越突出����。在享有信息化高速發展帶來便利和效率的同時,如何有效的保護信息安全,是擺在政府�����、企業��、個人面前的共同問題���。
多年以來��,信息安全行業主要的著眼點在信息傳輸保護和攻擊防御方面,產生了防火墻����、VPN�、IPS���、UTM等眾多網絡安全設備�����,但忽視了信息安全的重要領域——信息存儲安全。信息存儲安全在信息儲存的過程和信息生命周期內�����,保障信息的真實性���、機密性���、完整性����、可用性����、可靠性���、不可抵賴性等特性����,是信息安全的主要基礎之一。目前談到信息存儲安全����,比較重視信息的完整性��、可靠性���、可用性����,對數據備份���、容災、訪問性能等問題探討較多�;對信息的真實性����、機密性�����、不可抵賴性鮮少涉及�,整個信息存儲領域存在很大安全隱患。
常見的信息存儲方式都存在安全風險,特別是連接到互聯網的存儲設備���,通過互聯網����,敵對勢力和黑客可以悄聲無息的竊取存儲設備中的數據��。常見的信息存儲方式包括:
l 以手機為代表的智能移動終端:保存了電話簿、短信����、微信����、照片����、電子支付密碼等大量隱私信息,手機已經成為人的“第二大腦”。
l 個人電腦(PC)和筆記本電腦:保存了個人文件�、電子郵件��、網絡銀行證書等重要的個人信息。
l 服務器:保存了單位的賬務信息�����、合同、辦公郵件�����、技術資料�、設計圖紙��、政策文件等���,涉及單位運營的各種信息���。
l 云存儲:隨著云計算����、智慧城市的建設,數據中心大量使用磁盤陣列設備或分布式存儲設備構建云存儲���,其中保存了政府文件���、城市水電管網�����、高分辨率地圖、銀行交易記錄����、電商信息����、物流記錄���、ERP系統�����、電子郵件���,個人視頻、照片��、即時通訊記錄等等無所不包的各類信息。
相比信息傳輸安全,信息存儲安全一旦受到威脅,會導致當前和過往的信息均被泄漏�����,造成的危害更大,關系到黨政軍、石油���、化工��、核能�、金融��、交通�����、制造、物流���、電商、水利等所有行業的發展��,是我國國家安全整體戰略的重要環節�。國內外的敵對勢力和黑客組織,已經聚焦信息存儲安全��,近年來相關安全事件頻出�����,僅2015年一季度就發現:
l 美國政府可能獲取了約20億部手機的SIM卡密碼��,以及蘋果手機和云存儲的“后門”,威脅了我國超過10億的手機用戶�����,尤其是5.57億智能手機用戶��;
l 黑客組織Equation Group��,通過硬盤固件后門,竊取硬盤數據�����,涉及三星、西數�����、希捷�����、邁拓��、東芝���、日立等多家著名硬盤公司產品��,我國是世界第三大硬盤進口國�����,影響面巨大�;
l 某電商用戶數據泄漏導致用戶被騙,對我國電子商務行業的信譽造成重創;
l 通過攻擊存儲設備���,竊取其中的數據庫信息,被黑客稱為“拖庫”。目前我國的地下“拖庫”已經形成黑色產業鏈��,年交易值可達數十億。
我國政府和企業已經開始認識到信息存儲安全的嚴重形勢,在2014年陸續出臺多項相關政策:如關鍵機構信息化建設中使用國產IT產品替換國外產品、為政府工作人員配置國產芯片安全手機等���。多個行業也發起了“去IOE化”運動���,即減少國外品牌的服務器產品(以IBM為代表)�����、數據庫產品(以 Oracle為代表)��,信息存儲產品(以EMC為代表)?��!叭OE化”導致國產品牌存儲產品市場迅速擴大�,如華為、宏杉����、浪潮等信息存儲產品在2014 年都取得了快速的發展,占據了大量存儲設備市場����。但我國在存儲產品方面起步較晚���,技術積累不足����,產品系列不全�,尚不能形成完整的產業支撐;即使是國產品牌的存儲產品�,使用的存儲控制芯片��、存儲介質等關鍵部件也仍然是國外產品����,安全性不可信任����;我國目前還有巨大的國外存儲產品保有量��,僅磁盤陣列就超過百萬臺,磁盤數十億塊。保存在其中的信息���,全部遷移到國產品牌設備�,是一項短期不可能完成的任務����。因此“去IOE化”無法從根本上解決信息存儲安全問題��。
解決我國信息存儲安全問題����,是一個復雜的系統工程���,需要從國家政策法規、行業規范和標準���、技術研發�����、產業鏈、市場等多方面入手。
一�����、國家政策法規
近年來���,我國政府越來越重視信息安全問題�����,將信息安全上升到國家安全的高度。雖然政府已經認識到信息存儲安全的重要性�����,但重視程度遠低于信息傳輸安全和安全行為檢測等領域����。我國法律對信息存儲安全保護的層級比較低,2012年國務院出臺的《關于大力推進信息化發展和切實保障信息安全的若干規定》����、2013年工業和信息化部發布了《電信和互聯網用戶個人信息保護規定》等文件�,信息存儲安全都僅被簡單提及����。
信息存儲安全的一個重要法理問題,是信息所屬主體的界定��。例如互聯網企業提供免費的軟件����、游戲、服務�、硬件����、存儲等,過程中產生的數據屬于誰��,成為模糊地帶�����。電子郵件、網商帳戶�����、網盤文件等信息��,明確可界定為個人所有信息����,但網頁瀏覽記錄���、搜索記錄��、聊天記錄�����、電子消費記錄等,則無法清晰定義信息所屬主體���。互聯網企業通過對這些信息的分析�����,從其它渠道獲取商業收益����,支撐“互聯網免費”,已經成為標準商業模式���,這也是大數據分析的行業基礎。劃分信息的所屬�,是信息存儲安全立法的基礎。只有搞清了信息的所屬關系,才能界定信息存儲保護的責任主體�����,信息使用的范圍����,信息竊取行為的定義,以及對濫用信息和竊取信息的處罰����。近年來�����,我國出現了眾多竊取信息事件,很多都存在信息所屬主體不明、責任不清����、缺乏適用法律的問題����,導致量刑過輕��,起不到震懾作用���。
針對個人信息��、企業信息、國家信息等不同層級,制定我國關于信息保護的法律,是信息存儲安全的法律和政策基礎����。
二�����、行業規范和標準
2009年TCG組織(Trusted Computing Group )公布了世界上第一個信息存儲安全的行業規范,包括存儲界面交互性���、混合加密、企業級存儲安全子系統三個部分���,涉及的設備從手機、平板電腦�����、標準PC���、筆記本����、數據中心驅動器、服務器、一直到大型存儲陣列,得到眾多國際存儲設備廠家的支持����。
我國目前尚未制定面向信息存儲安全的國家標準����,缺乏權威的國家和行業測評����,各企業“自說自話”,整個行業處于無序發展狀態����?����!缎畔踩燃壉Wo測評指南》是少數提及信息存儲安全的國家標準����,在“第3級安全控制測評”的數據保密性評測要求中,提到“網絡設備操作系統�、主機操作系統�、數據庫管理系統和應用系統的系統管理數據�����、鑒別信息和重要業務數據采用加密或其他保護措施實現存儲保密性���;當使用便攜式和移動式設備時���,采用可移動磁盤或加密存儲敏感信息����?����!钡覈畔踩袠I�、密碼行業等相關測評中心一直缺乏用于評測信息存儲安全產品的國標細則�����,不能對存儲安全設備����、軟件�、服務進行有公信力的評測�����。多年來“等?���!毕到y在信息存儲安全方面流于形式,或采用不符合我國密碼管理方式和密碼算法的國外產品��,嚴重影響了我國的信息安全系統建設���。
通過借鑒國外的相關標準���,結合我國的密碼體制�、密碼算法、安全體制���、信息管理體制等特性,建立適用于我國信息存儲安全設備��、軟件���、服務���、工程等個各方面的評測���、實施國家和行業標準����,是保證信息存儲安全行業健康有序發展的必要條件。
我國的信息存儲安全技術和產品基礎較弱,需要從基礎研發上擺脫受制于國外的局面。
一��、自主可控存儲控制芯片
所有存儲設備都可以簡化為兩個部分:存儲控制芯片和存儲介質����。存儲控制芯片控制信息的存入和讀出�,是信息存儲安全的關鍵。保證存儲控制芯片的安全性,就給整個存儲設備裝上了“防盜門”�����,即使使用國外品牌的存儲介質�,也可以有效的保護信息存儲安全。目前發現的存儲安全事件,絕大部分都和存儲控制芯片的后門相關�����,存儲控制芯片做到自主可控�����,是信息存儲安全產品的關鍵技術����。
目前存儲控制芯片主要廠家有Intel�����、Samsung����、SandForce����、Marvell、PMC等歐美日韓廠家。存儲控制芯片種類繁多,市場巨大,設計難度不足通用CPU的1/10�����,應用環境較單一��,工藝水平要求不高。對于正在追趕國際先進水平的中國芯片行業���,是非常合適的產品方向。國外存儲控制芯片水平領先中國不到5年的時間���,通過國際合作、引進吸收的方式����,國內企業可以很快實現“彎道超車”����。國內巨大的存儲安全市場,足夠多家存儲控制芯片廠家實現盈利�����。如果國家出臺對存儲安全的扶持性政策���,可以促進存儲控制芯片的迅速發展�,奠定信息存儲安全的基石。2015年杭州華瀾微公司和 CETC58所分別發布了商用和軍用SSD存儲控制芯片�,邁出了國產自主可控的第一步��。
二、存儲信息加密
對信息進行加密后再進行存儲�����,使用時再進行解密����,是信息存儲最直接的安全手段����。保存在存儲設備上的數據均為密文,即使黑客竊取了存儲設備��,也無法解密獲得其中的數據����。
存儲信息加密有兩種方式:
1、信息源加密�����,即信息在寫入到存儲設備前�,將信息進行加密,再保存到存儲設備上���;使用時先讀出加密信息,進行解密后再使用�。信息源加密易于實現�,是較為傳統的存儲安全保護手段�����,已經成為壓縮軟件(如rar�、zip等)的輔助功能�。其缺點也非常明顯,信息需要整體解密后才能使用,對于大型文件,解密周期較長����,影響了用戶體驗�;解密后的信息以臨時文件的方式保存在隱藏目錄中����,不用時再刪除,存在文件殘留�����,易于被黑客竊?��?����;在云計算環境中,數據庫和分布式存儲大量使用,信息源加密消除了信息的段特征��,導致數據庫的查找等功能失效����,無法同時滿足云存儲的安全性和可用性需求。
2�����、透明存儲加密,即信息在寫入存儲設備的過程中自動被加密,從存儲設備讀出的過程中自動被解密����。透明存儲加密無需用戶干預��,不改變用戶使用習慣,對信息加密的同時不影響數據庫的查找功能�����,適用于各種單機存儲系統和云計算存儲系統�,是目前最適用的存儲加密技術。
透明存儲加密已經做為標配�,嵌入到Oracle數據庫軟件中��,通過簡單的配置就可以實現Oracle數據庫的存儲透明加密。但由于Oracle 數據庫使用的加密體制和算法�����,不符合我國密碼管理的要求�,在我國政府和關鍵行業都無法確認其安全性��。國內的軟件加密廠商按照這一思路�����,推出軟件透明加密產品,包括數據庫加密存儲和文件加密存儲等�����。由于操作系統和數據庫軟件均為國外產品�,軟件透明加密只能做為一種應用運行,不能防御操作系統漏洞和數據庫軟件后門���,安全性不高。軟件透明加密占用CPU資源����,在備份加密時需要關閉壓縮功能��,耗費更多的存儲容量,增加備份時間,實用性受到一定影響���。
國內的信息安全設備廠商,采取另一種更安全和高效的方式:在存儲設備前加裝透明存儲加密設備,可以防御黑客通過存儲設備后門,竊取其中保存的信息,對保存在國外存儲設備中的信息進行加密加固��,有效的提高了存儲系統的安全性����。透明存儲加密設備是獨立于存儲設備和服務器的獨立設備,不受操作系統�、文件系統��、應用程序的影響�,不會因為操作系統漏洞和存儲設備后門降低安全性,可以較為容易的做到自主可控�,安全性可信任����。透明存儲加密設備具有強大的負載能力�,可以保護生命周期內的數據安全和備份、容災過程中的整體信息安全��,同時也保證了整個存儲系統的使用性能不會明顯下降�����,是較為理想的信息存儲安全解決手段�����。2015年國內企業陸續推出了符合我國密碼標準的透明存儲加密設備,如龍騰融智���、中科芯、衛士通�、中航微電子�����、興唐����、數盾等�����,有力的支撐了信息存儲安全市場����,可以預見���,未來有更多的企業會加入這一陣營�。
三��、身份認證和訪問控制
身份認證和訪問控制是信息安全行業常用的安全手段���,也是信息存儲安全非常重要的一環�。對于數據中心�����、企業服務器等專用存儲環境��,具有專職的管理人員,通過數字證書����、安全管理服務器�����、防火墻等手段,雖然存儲安全問題仍然很嚴重���,但尚有一定的安全性。問題更加嚴重的是個人存儲環境和通用存儲環境�,如個人手機存儲�����、個人硬盤存儲、云盤存儲等��。這類存儲大部分僅靠口令進行保護�����,安全性很低。2015年爆出IPhone手機的開機口令可以在很短時間內破解�����,打破了蘋果的安全神話����。某些手機應用軟件,連口令也不需要,信息完全處于無保護的狀態��。例如某電子商務企業的小額支付免密碼���,就給用戶帶來巨大的安全隱患���。
近年來�,結合生物密碼的身份認證技術,成為信息存儲安全一種重要的身份識別方式,生物密碼包括生理特征密碼和行為特征密碼。通過使用者的生理特征,如指紋、掌紋���、虹膜、面像等進行身份認證和訪問控制,已經形成較大的市場�;通過使用者的行為特征����,如叩擊節奏���、聲紋、筆跡等,做為身份識別的輔助手段,剛剛進入實用階段?�;谛袨樘卣鞯纳矸葑R別和訪問控制�,具有更強的安全性和隱蔽性,可以提高個人信息存儲的安全。例如在輸入口令時��,不但要檢測口令的正確性���,還要檢測輸入的節奏����,即口令各數字和字符輸入的間隔時間�,可以有效的避免對口令進行暴力破解,解決困擾電商�、網購��、小額金融等行業多年的安全問題。我國信息安全行業在使用行為特征保護信息存儲安全方面剛剛起步,目前尚未出現領軍企業。
信息存儲安全是信息化社會發展到現階段凸顯的新型信息安全方向,是影響我國國家安全和國計民生的重要領域���。目前我國政府、企業、個人對信息存儲安全重視程度不足��,配套資源較少�;信息安全企業在存儲安全方面涉足較淺,產業成熟度低,與我國龐大的存儲使用量不相匹配?��?梢灶A見,在未來幾年,涉及信息存儲安全的事件將頻發����。我國政府和信息安全企業需要盡快重視信息存儲安全問題�����,加大相關投入,保障我國信息化建設的健康�����、持續發展���。中國電子科技集團公司第五十八研究所 楊強浩 中國網信網
魯公網安備 37110202371122號