omniture

浪潮存儲:基于“四管齊下”的安全設計,守護數據資產安全

2020-12-28 20:43 4765
為滿足用戶數據保護的需求,并提供多層次的數據保護方案。浪潮在分布式存儲開發(fā)設計中,遵從保密性、完整性和可用性三大安全原則,結合特定的存儲系統(tǒng)架構,綜合考慮IO機制和安全策略,推出超大規(guī)模數據中心級分布式存儲平臺AS13000G5。

北京2020年12月28日 /美通社/ -- 隨著數據價值不斷提升,數據逐步成為企業(yè)內最重要的數字資產,存儲系統(tǒng)成為整個信息系統(tǒng)的重中之重。使用技術手段識別網絡上的文件、數據庫、帳戶信息等各類數據集的相對重要性、敏感性、合規(guī)性,并采取適當的安全控制措施對其實施保護顯得越來越重要。然而,隨著標準化、開放化、分布式和智能化的發(fā)展,存儲系統(tǒng)逐漸變得易受到攻擊,數據遭受的安全威脅日益增多,竊取、篡改或破壞重要數據的事件也不斷發(fā)生。2020年上半年,某醫(yī)院數千人名單泄露,泄露的內容包括姓名、電話、身份證號碼、個人詳細居住地址、就診類型。同期,某連鎖酒店也受到數據泄露的打擊,暴露了上百萬名客戶的個人詳細信息,包括姓名、地址、出生日期、性別、電子郵件地址和電話號碼……

根據近年來發(fā)生的數據安全問題可以發(fā)現(xiàn),如果存儲系統(tǒng)沒有安全保障措施,一旦攻擊者成功滲透到數據中,其產生的負面影響將是無法估量的。

為滿足用戶數據保護的需求,并提供多層次的數據保護方案。浪潮在分布式存儲開發(fā)設計中,遵從保密性、完整性和可用性三大安全原則,結合特定的存儲系統(tǒng)架構,綜合考慮IO機制和安全策略,推出超大規(guī)模數據中心級分布式存儲平臺AS13000G5,實現(xiàn)數據安全、系統(tǒng)安全、通信安全和應用安全。

浪潮存儲的四大安全性設計
浪潮存儲的四大安全性設計

硬件架構安全性設計的“三板斧”

浪潮存儲通過存儲節(jié)點架構、各硬件單元自身及單元交互通信設施三個方面的安全性設計,保障了硬件架構的安全。

首先,在存儲節(jié)點架構的安全性設計方面,浪潮存儲采用X86體系架構,并設計開發(fā)了硬件系統(tǒng),確保在使用過程中能夠抵御非授權行為篡改;其中,在物理硬件、固件、部件等方面采取完整性檢測或校驗等機制,保證了各功能模塊的安全。

其次,在各硬件單元的安全方面,浪潮存儲產品在主板設計中實現(xiàn)了固件加密或數字簽名,防止不明固件的非法寫入,確保無外部入侵漏洞;其中管理芯片負責解析硬盤在位、警示信息,將解析信息與其它存儲單元隔離,解除了泄露隱患。

最后,在各硬件單元交互通信設施的安全性設計方面,浪潮存儲對所有物理接口均有明確定義,未預留任何不明確的接口。對外可見接口具備“接入控制/訪問控制”機制,可以防止非法人員通過該接口進行非法操作。

如何保障數據“存”和“取”安全

浪潮存儲為數據的存儲和調用提供了安全性保障。在“存”的方面,浪潮存儲支持多副本、糾刪冗余策略,確保數據冗余。支持數據復制功能,通過遠程復制實現(xiàn)數據的遠端備份和恢復、持續(xù)的業(yè)務數據支撐、數據的容災恢復,保證數據存取的持續(xù)性、可恢復性、高可用性和安全性。通過定期的數據完整性校驗機制,以底層最小的數據組織為單位遍歷所有的數據,以保證沒有數據丟失或不匹配問題。在“用”的方面,浪潮存儲對API接口、內部固件數據訪問、物理訪問接口、維護接口設置訪問控制策略,未預留不明確的數據調用接口,敏感數據的訪問具有認證、授權或加密機制;對于認證憑據的安全存儲,在不需要還原明文的場景下,使用不可逆算法加密。

系統(tǒng)軟件安全 如何保障

浪潮存儲采用全對稱、分布式存儲架構,支持跨節(jié)點、機柜、數據中心的數據冗余保護,支持存儲服務的在線切換,保證業(yè)務連續(xù)性和數據安全性。在存儲服務協(xié)議方面,浪潮存儲默認使用具有加密和認證功能的安全版本協(xié)議,對存儲系統(tǒng)中API接口和管理接口均提供安全認證機制,以防注入漏洞,或防止相關信息或內容被泄露。

同時在數據安全方面,浪潮存儲采用強一致性數據完整性保護機制,實現(xiàn)數據的落盤一致性、完整性校驗和保護;根據應用場景,用戶可靈活的定義數據的冗余策略,支持硬盤、節(jié)點、機柜、機房等多級容災隔離。同時,浪潮存儲在應用層提供快照、克隆、回收站、WORM、ACL、快速故障切換等多種數據保護功能。

浪潮存儲
浪潮存儲

面向系統(tǒng)管理 進行安全性設計

浪潮存儲從管理功能、管理調用、用戶權限三方面入手進行了系統(tǒng)管理的安全性設計。

在管理和維護的功能安全設計方面,浪潮存儲提供GUI和CLI等多種管理方式,可查詢監(jiān)控系統(tǒng)狀態(tài)、容量、資源使用率、告警等信息,也可以完成系統(tǒng)常用配置和操作。浪潮存儲還可以自動查詢和收集設備的工作狀態(tài),當監(jiān)測數值超過預先設定的故障閾值時,提供郵件、短信、SNMP等報警方式。

在監(jiān)控管理調用的安全性保障方面,浪潮存儲通過管理審計日志,能查看管理界面登陸用戶界面操作,詳細記錄用戶對系統(tǒng)進行的配置和使用;并通過數據審計日志,記錄客戶端讀寫行為,分析用戶數據傳輸情況,從而實現(xiàn)對系統(tǒng)各服務的運行或故障狀態(tài)、切換情況等進行記錄及告警。

最后在用戶權限方面,浪潮存儲基于鑒權及訪問控制,在用戶名和密碼認證通過后,更換會話標識,以防止會話固定漏洞。對于每一個需要授權訪問的頁面都核實用戶的會話標識是否合法、用戶是否被授權執(zhí)行此操作。

浪潮分布式存儲AS13000G5,通過以上四大安全性設計,保障用戶數據信息的完整、不受損壞、不被竊取以及安全管理,在保障存儲系統(tǒng)可靠性、可用性的基礎上實現(xiàn)存儲系統(tǒng)的極致安全。

作者:浪潮存儲葉毓睿、李錚鋆

消息來源:浪潮
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網、科技、媒體、通訊企業(yè)的經營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection