信息存储安全现状、技术及趋势.docxVIP

信息存储安全现状、技术与趋势 现代社会被称为“信息社会”，信息技术渗透到政治、经济、产业、服务领域的所有部门，信息化产业在国民经济中占有的比重越来越大。信息化产业发展水平和信息基础设置建设水平，是衡量社会现代化的重要指标。随着互联网、物联网、移动互联网、大数据等领域的发展，社会信息化达到了前所未有的高度，极大刺激了我国的经济发展。社会信息化程度越高，产生的信息数据越多，信息安全的问题就越突出。在享有信息化高速发展带来便利和效率的同时，如何有效的保护信息安全，是摆在政府、企业、个人面前的共同问题。 多年以来，信息安全行业主要的着眼点在信息传输保护和攻击防御方面，产生了防火墙、VPN、IPS、UTM等众多网络安全设备，但忽视了信息安全的重要领域——信息存储安全。信息存储安全在信息储存的过程和信息生命周期内，保障信息的真实性、机密性、完整性、可用性、可靠性、不可抵赖性等特性，是信息安全的主要基础之一。目前谈到信息存储安全，比较重视信息的完整性、可靠性、可用性，对数据备份、容灾、访问性能等问题探讨较多；对信息的真实性、机密性、不可抵赖性鲜少涉及，整个信息存储领域存在很大安全隐患。 常见的信息存储方式都存在安全风险，特别是连接到互联网的存储设备，通过互联网，敌对势力和黑客可以悄声无息的窃取存储设备中的数据。常见的信息存储方式包括： l 以手机为代表的智能移动终端：保存了电话簿、短信、微信、照片、电子支付密码等大量隐私信息，手机已经成为人的“第二大脑”。 l 个人电脑（PC）和笔记本电脑：保存了个人文件、电子邮件、网络银行证书等重要的个人信息。 l 服务器：保存了单位的账务信息、合同、办公邮件、技术资料、设计图纸、政策文件等，涉及单位运营的各种信息。 l 云存储：随着云计算、智慧城市的建设，数据中心大量使用磁盘阵列设备或分布式存储设备构建云存储，其中保存了政府文件、城市水电管网、高分辨率地图、银行交易记录、电商信息、物流记录、ERP系统、电子邮件，个人视频、照片、即时通讯记录等等无所不包的各类信息。 相比信息传输安全，信息存储安全一旦受到威胁，会导致当前和过往的信息均被泄漏，造成的危害更大，关系到党政军、石油、化工、核能、金融、交通、制造、物流、电商、水利等所有行业的发展，是我国国家安全整体战略的重要环节。国内外的敌对势力和黑客组织，已经聚焦信息存储安全，近年来相关安全事件频出，仅2015年一季度就发现： l 美国政府可能获取了约20亿部手机的SIM卡密码，以及苹果手机和云存储的“后门”，威胁了我国超过10亿的手机用户，尤其是5.57亿智能手机用户； l 黑客组织Equation Group，通过硬盘固件后门，窃取硬盘数据，涉及三星、西数、希捷、迈拓、东芝、日立等多家著名硬盘公司产品，我国是世界第三大硬盘进口国，影响面巨大； l 某电商用户数据泄漏导致用户被骗，对我国电子商务行业的信誉造成重创； l 通过攻击存储设备，窃取其中的数据库信息，被黑客称为“拖库”。目前我国的地下“拖库”已经形成黑色产业链，年交易值可达数十亿。 我国政府和企业已经开始认识到信息存储安全的严重形势，在2014年陆续出台多项相关政策：如关键机构信息化建设中使用国产IT产品替换国外产品、为政府工作人员配置国产芯片安全手机等。多个行业也发起了“去IOE化”运动，即减少国外品牌的服务器产品（以IBM为代表）、数据库产品（以Oracle为代表），信息存储产品（以EMC为代表）。“去IOE化”导致国产品牌存储产品市场迅速扩大，如华为、宏杉、浪潮等信息存储产品在2014年都取得了快速的发展，占据了大量存储设备市场。但我国在存储产品方面起步较晚，技术积累不足，产品系列不全，尚不能形成完整的产业支撑；即使是国产品牌的存储产品，使用的存储控制芯片、存储介质等关键部件也仍然是国外产品，安全性不可信任；我国目前还有巨大的国外存储产品保有量，仅磁盘阵列就超过百万台，磁盘数十亿块。保存在其中的信息，全部迁移到国产品牌设备，是一项短期不可能完成的任务。因此“去IOE化”无法从根本上解决信息存储安全问题。 解决我国信息存储安全问题，是一个复杂的系统工程，需要从国家政策法规、行业规范和标准、技术研发、产业链、市场等多方面入手。 一、国家政策法规 近年来，我国政府越来越重视信息安全问题，将信息安全上升到国家安全的高度。虽然政府已经认识到信息存储安全的重要性，但重视程度远低于信息传输安全和安全行为检测等领域。我国法律对信息存储安全保护的层级比较低，2012年国务院出台的《关于大力推进信息化发展和切实保障信息安全的若干规定》、2013年工业和信息化部发布了《电信和互联网用户个人信息保护规定》等文件，信息存储安全都仅被简单提及。 信息存储安全的一个重要法理问题，是信息所属主体的界定。例如互联网企业提供免费