【環球網科技報道 記者 張陽】隨着數字化經濟的迅猛推進,新技術如人工智能、大數據、開源生態等不斷革新各行各業。然而,這些技術在爲社會帶來巨大價值的同時,因自身複雜性增加,數據量的激增,也潛藏着巨大的數據安全風險。近年來,數據安全事件頻發,爲社會各界敲響了警鐘。
例如,2024年7月,微軟因Crowdstrike軟件問題導致全球近千萬臺Windows設備無法正常運行,影響了航班、銀行和醫療等多個行業,而引起了各方對數據安全的新一輪審視。同時,勒索病毒猖獗爆發,已經成爲各行業的首要威脅。例如,據奇安信行業安全研究中心監測顯示,專注於光學儀器、醫療設備和電子組件的日本豪雅株式會社(Hoya Corporation)遭到“國際獵手”(Hunters International)團伙的勒索軟件攻擊,該團伙要求豪雅支付1000萬美元贖金(約合人民幣7240萬元)以獲取文件解密工具,否則他們將公開在攻擊期間竊取的文件。
網絡安全保險公司At-Bay的研究報告《backup breakdown:how data recovery impacts the outcome of cyber attacks》對2019年至2023年間涉及備份的186起勒索軟件索賠進行分析,發現有效的備份可以將勒索軟件索賠的嚴重程度降低41%。同時,Sophos發佈的《2024年勒索軟件現狀報告》對來自14個國家的5000名負責IT/網絡安全的領導人進行了調查,94%的受害組織表示,網絡犯罪分子在攻擊期間嘗試破壞其備份,超過一半受害者備份數據被破壞。這些報告和案例說明,備份是預防勒索攻擊的有效手段,且勒索攻擊已經意識到備份的作用而針對性破壞備份數據。這表明企業需要在預防、檢測、響應和恢復等多個環節加強安全措施,包括但不限於數據備份、建立安全隔離區、安全漏洞掃描、入侵檢測系統、應急響應計劃等。
存儲設備是數據的 “倉庫”,所有的數據資產都沉澱於此。正因如此,網絡攻擊的最終目標指向存儲數據。犯罪組織會利用各種手段,如網絡滲透、惡意軟件感染等,試圖突破層層防線,最終到達存儲數據的核心區域。因此,如何建設存儲數據安全已成爲擺在我們面前的一道難題。
針對日益嚴峻的數據安全形勢,國家各部委密集發佈了一系列政策法規和標準。2024年9月正式發佈的《網絡數據安全管理條例》就明確要求:“網絡數據處理者應當依照法律、行政法規的規定和國家標準的強制性要求,在網絡安全等級保護的基礎上,加強網絡數據安全防護,建立健全網絡數據安全管理制度,採取加密、備份、訪問控制、安全認證等技術措施和其他必要措施,保護網絡數據免遭篡改、破壞、泄露或者非法獲取、非法利用,處置網絡數據安全事件,防範針對和利用網絡數據實施的違法犯罪活動,並對所處理網絡數據的安全承擔主體責任。”
2024年12月的金融監管總局《銀行保險機構數據安全管理辦法》和2022年12月發佈的工信部《工業和信息化領域數據安全管理辦法(試行)》等行業政策法規中都指出:“存儲重要數據和核心數據的,應當採用校驗技術、密碼技術等措施進行安全存儲,並實施數據容災備份和存儲介質安全管理,定期開展數據恢復測試。”
與此同時,爲支撐政策法規落地,數據安全相關國家標準也在加緊制定當中。在2024年4月發佈的《信息系統災難恢復規範》徵求意見稿中,針對災難恢復系統提出“防止病毒感染(包括勒索病毒)、防泄漏以及數據存儲加密”“數據備份容災系統異地備份或者本地備份要使用專屬的備份存儲”等要求和參考執行依據。2024年6月發佈的國標《關鍵信息基礎設施安全保護能力指標體系》徵求意見稿對關基系統和金融系統也提出了相應的要求和參考執行依據。
然而,僅有政策法規和標準是不夠的。在實際操作中,企業和個人還需要加強數據存儲設備的安全防護。這包括提升存儲團隊的自研能力以實現軟硬件材料的自主可控、完善數據備份與恢復體系以及構建系統的防勒索數據安全方案等。
在數據備份與恢復方面,企業應強化技術研發與創新,推動存儲硬件的發展,並建立多層級備份架構。同時,政府應進一步細化相關法律法規中關於數據備份與恢復的條款,明確不同行業、不同規模企業的數據備份義務。此外,由行業協會和標準化機構牽頭制定統一的數據備份技術標準也是當務之急。
在防勒索數據安全方案方面,企業應構建系統的防禦體系,包括事前防禦、事中阻擋和事後恢復。通過這些措施,保證數據存儲在面臨外部風險時具有強大的對抗能力,確保數據的不可篡改性和可恢復性。
華爲數據保護領域總裁李永健表示,利益博弈/攻防技術/安全理念都在變化,基礎假設和工程實踐也在演進和變化,保障存儲內生的安全能力同時,需要保證生產數據有安全可靠的數據備份系統,留存一份乾淨的備份副本,以確保數據的可恢復性,築牢數據安全的最後一道防線。
卡巴斯基相關負責人認爲,建設存儲數據安全措施需要採用先進的加密技術、實施多層次的安全防護、定期更新和打補丁、加強訪問控制和身份驗證、制定應急響應計劃等。這些措施的實施可以有效提升存儲數據的安全性,降低數據泄露和損壞的風險。
存儲數據安全之路道阻且長,但是在行業各方的共同努力下,依託技術創新、安全理念更新以及完善的法律法規,我們有望打造出更加穩固、高效且安全的存儲數據生態。正如倪光南院士所言,數據存儲完全可以成爲繼5G之後的第二張代表中國高科技的名片。
