從全球數(shù)據(jù)發(fā)展情況來看����。目前谷歌、微軟��、亞馬遜�����、蘋果以及Facebook是資金投入最大的五家超大規(guī)模運(yùn)營商�,在2018年第三季度占整體260億美元市場規(guī)模的70%�,并將資金主要用于擴(kuò)展和裝備自己的數(shù)據(jù)中心。
在國內(nèi),阿里巴巴率先進(jìn)入全球視野����,在亞太領(lǐng)域中,阿里和騰訊進(jìn)入亞太前五�,據(jù)2018年數(shù)據(jù)顯示,全球有超過四萬個(gè)數(shù)據(jù)中心���,其中99%以上是自有數(shù)據(jù)中心���,以上也在代表著大家對數(shù)據(jù)的一種看法。
伴隨數(shù)據(jù)量激增��,除了數(shù)據(jù)容量變化以外�,數(shù)據(jù)的分布和模式也發(fā)生了變化,右邊的圖大家可以看到�,原來數(shù)據(jù)放在數(shù)據(jù)中心是集中的地方,現(xiàn)在從一個(gè)中心轉(zhuǎn)網(wǎng)絡(luò)邊緣�,這帶來的巨大的挑戰(zhàn)和沖擊導(dǎo)致整個(gè)數(shù)據(jù)產(chǎn)生和發(fā)展的模型與布局發(fā)生了變化,意味著數(shù)據(jù)帶來的風(fēng)險(xiǎn)也會(huì)逐步提升�����。
再加上數(shù)據(jù)必然會(huì)落實(shí)到某一種存儲(chǔ)介質(zhì)上����,這里援引數(shù)據(jù)來幫助我們看到目前數(shù)據(jù)存儲(chǔ)介質(zhì)是什么樣的狀態(tài)�,從左邊的圖上我們可以看到目前超過五成的數(shù)據(jù)放在HDD上�����,26%放在閃存上���。
伴隨著現(xiàn)在數(shù)據(jù)分布模式的變化�,企業(yè)應(yīng)用數(shù)據(jù)的主體對于數(shù)據(jù)的分布處理的策略也跟隨著發(fā)生變化?,F(xiàn)在企業(yè)傾向于邊緣和節(jié)點(diǎn),更愿意用HDD部署���。我們可以看到數(shù)據(jù)有非常大的價(jià)值�����,而伴隨數(shù)據(jù)量增長�,也必然會(huì)出現(xiàn)數(shù)據(jù)安全的問題�����。
2018���、2019出現(xiàn)了很多比較著名的安全事件����,大家關(guān)注互聯(lián)網(wǎng)會(huì)看到���,比如“WannaCry(永恒之藍(lán))”����、“Mirai(僵尸網(wǎng)絡(luò)�,DDos)”、“黑暗力量BlackEnergy”�����、“震網(wǎng)(基礎(chǔ)設(shè)施蠕蟲)”��、“火焰”����、“心臟滴血”,這些告訴我們什么呢���?
現(xiàn)在的信息安全問題是實(shí)實(shí)在在還有巨大的漏洞����,需要不斷優(yōu)化。比如全球信息安全領(lǐng)導(dǎo)廠商卡巴斯基對黑客組織Equation Group的調(diào)查報(bào)告顯示��,Equation Group通過重新編碼我們硬盤驅(qū)動(dòng)器里邊的部件��,帶來的效果是在未知情況下在我們盤上的固件里預(yù)埋一個(gè)東西在里邊�����,這樣無論對你的盤做什么格式化刪除等操作�,我們都完全無能為力。我們總結(jié)具備的特性叫持久化�,在你的存儲(chǔ)控制器里邊已經(jīng)埋入安全性種子。這是帶來所有的數(shù)據(jù)巨大的威脅��。
數(shù)據(jù)的價(jià)值講了很多應(yīng)用���,數(shù)據(jù)的安全問題我們同樣要去考慮�����。在這里我們可以看到網(wǎng)絡(luò)攻擊常態(tài)化伴隨什么問題���,發(fā)生攻擊的成本越來越低,一個(gè)小時(shí)只需要五美元�����,你在網(wǎng)上20美金可以買到很多網(wǎng)絡(luò)攻擊操作手段�,這帶來的問題網(wǎng)絡(luò)的安全和攻擊隨時(shí)發(fā)生在我們周圍。
而數(shù)據(jù)泄露的平均成本從2017年的362萬美元上升到2018年386萬美元����,2019到392萬美元。平均每條失竊記錄的成本從2017的141美元上升為148美元��。
因此我們說網(wǎng)絡(luò)威脅是現(xiàn)在永恒的話題����,數(shù)據(jù)就是資產(chǎn),現(xiàn)在進(jìn)一步會(huì)看到對數(shù)據(jù)基礎(chǔ)設(shè)施的攻擊��,已經(jīng)形成了一種暴恐的手段��,其實(shí)已經(jīng)形成了國家主權(quán)的恐嚇����。
這并不是我們臆想,而是實(shí)實(shí)在在發(fā)生的事情����?���;剡^頭來看��,為什么出現(xiàn)那么多攻擊��,設(shè)計(jì)的IT系統(tǒng)不能窮盡所有邏輯組合��,利用缺陷挖掘漏洞進(jìn)行攻擊是網(wǎng)絡(luò)安全永遠(yuǎn)的命題��。
為了應(yīng)對現(xiàn)在的網(wǎng)絡(luò)攻擊�����,主動(dòng)免疫的安全目標(biāo)��,為了確保安全計(jì)算任務(wù)的邏輯不會(huì)被篡改和破壞���,從而需要正確計(jì)算���。
做了背景分享,國科微首席安全技術(shù)官吳冬凌為大家分享了國科微在數(shù)據(jù)安全上的想法和工作。首先這里我們舉一個(gè)讓大家都很好理解的簡單業(yè)務(wù)模型��,就是我們?nèi)ド暇W(wǎng)�,在外部瀏覽器去找我們想要的東西,然后數(shù)據(jù)會(huì)落地到落盤���,無論是網(wǎng)絡(luò)盤還是本地盤都經(jīng)過這樣一個(gè)過程。
回溯整個(gè)過程���,三個(gè)地方將存在被攻擊的點(diǎn)——網(wǎng)絡(luò)傳輸中被攻擊�,計(jì)算過程中被攻擊��,數(shù)據(jù)存取中可能被攻擊�����。
網(wǎng)絡(luò)傳輸攻擊是數(shù)據(jù)沒有被加密���。對用戶環(huán)節(jié)比較有意思�����,我們經(jīng)常舉的一個(gè)例子�,打印資料時(shí)走到打印機(jī)面前等打印機(jī)工作,發(fā)現(xiàn)它沒有響���,而隔壁打印機(jī)響了��,你可能想是我弄錯(cuò)打印機(jī)了�����,但是也可能你被攻擊了��。
國科微處理數(shù)據(jù)安全上是由內(nèi)而外��,最用心保護(hù)數(shù)據(jù)�����,方案分成兩個(gè)維度��。一個(gè)內(nèi)剛�,一個(gè)外柔�。
一個(gè)系統(tǒng)化芯片對數(shù)據(jù)安全,包括存儲(chǔ)加密芯片���,存儲(chǔ)可計(jì)算芯片����,存儲(chǔ)控制芯片,控制器最核心那一塊���,存儲(chǔ)加密芯片保證數(shù)據(jù)傳輸過程中會(huì)安全加密��,保證數(shù)據(jù)不會(huì)被別人竊取�,運(yùn)行過程中關(guān)心的核心業(yè)務(wù)不會(huì)被篡改���。
有了芯片其實(shí)不夠,芯片是小而專的東西����,業(yè)務(wù)千奇百怪,光有內(nèi)剛還不行�����,有一個(gè)外柔�����,外柔是通過我們軟件包裹場景�����,這樣定義外柔,通過軟件的設(shè)計(jì)實(shí)現(xiàn)滿足業(yè)務(wù)上的高彈性和業(yè)務(wù)需要�����,同時(shí)軟件系統(tǒng)會(huì)跑到主機(jī)上��,對主機(jī)和操作系統(tǒng)的適配是我們看重的問題�。
右邊的圖大家可以看到,這個(gè)是很簡單的例子���,這是一個(gè)服務(wù)器�����,前面可以看到有很多很多2.5寸盤��,通過310盤保障數(shù)據(jù)的安全�。第二個(gè)中間可以看到我們有加密卡有可信計(jì)算卡���。
剛才提了我們內(nèi)剛是芯片���,我們現(xiàn)在策略基于芯片的安全構(gòu)建我們整體安全�,從芯片的安全分成幾個(gè)大的框架���,最下邊基礎(chǔ)的功能包括HASH����,對稱加密和非對稱加密��、安全存儲(chǔ)等等���,把這些東西打包構(gòu)建我們芯片安全重要的步驟�,基于芯片安全我們構(gòu)建上層應(yīng)用����。
??? 關(guān)于國科微的存儲(chǔ)芯片產(chǎn)品����,是GK2301系列芯片。擁有核心的自主知識(shí)產(chǎn)權(quán)�,芯片版圖,源代碼以及信息安全保密建設(shè)����,通過了嚴(yán)苛安全審查�����。?
還有就是GK2302系列�,2019年4月����,公司發(fā)布國內(nèi)首款全自主設(shè)計(jì)固態(tài)硬盤控制芯片GK2302,搭載龍芯嵌入式CPU IP核����。同時(shí),該芯片通過國內(nèi)首款獲得國家密碼管理局��、中國信息安全測評(píng)中心雙重認(rèn)證���。
有了芯片接下來匯報(bào)關(guān)于軟件干了什么事���,從這個(gè)圖上可以簡單的看到,我們通過軟件去管理我們下邊所有的這些芯片和芯片附帶的產(chǎn)品�����,管理的什么事呢����?實(shí)現(xiàn)芯片和芯片之間鏈路建設(shè)��,保證所有傳輸?shù)臄?shù)據(jù)安全的��,最常見的就是密鑰�,所有的空中傳輸一定是被保護(hù)的��。
同時(shí)這個(gè)軟件我們也做了X86�����、飛騰等平臺(tái)的適配����。安全保護(hù)只有雙密算法不夠的,需要有國密國測的認(rèn)證�����,才能保證你做的事情滿足了國家安全要求�����。
通過我們這個(gè)軟件對外提供很多功能����,簽名的驗(yàn)簽,標(biāo)準(zhǔn)的算法等�,我們是全自主開發(fā),有非常強(qiáng)的能力根據(jù)客戶能力做定制���,需要的場景安全自毀功能都可以�����。
最后提一下軟件帶來的好處����,可以針對現(xiàn)有存儲(chǔ)系統(tǒng)前端做一些新的優(yōu)化��。這個(gè)過程中所有加密過程發(fā)生在芯片里面�����,對于客戶計(jì)算CPU沒有損耗���,我們叫加密存儲(chǔ)性能無損失��。
剛才給大家匯報(bào)了芯片和軟件����,所以說我們把芯片和軟件合一放在一起,就看到了我們現(xiàn)在D3S高安數(shù)據(jù)存儲(chǔ)解決方案��,解決的典型場景存儲(chǔ)要安全升級(jí)要做性能提速�,做等保改造上一些工作,都可以選擇我們D3S解決方案�����。
好處在于在你的升級(jí)過程中可以實(shí)現(xiàn)有客戶投資利舊�。第二既然可以利舊,新建系統(tǒng)也可以的���。然后因?yàn)槲覀冞@個(gè)設(shè)計(jì)是采用無中心化設(shè)計(jì)�,橫向擴(kuò)展能力非常好��,可以提供大規(guī)模數(shù)據(jù)加密保存����,提供這樣的能力�����。最后會(huì)有非常強(qiáng)的加密芯片嵌入到系統(tǒng)里面,做這些數(shù)據(jù)功能的加持��。
文章基于速記整理���,未經(jīng)演講人審核����,歡迎指正���。
