【环球网科技报道 记者 张阳】随着数字化经济的迅猛推进,新技术如人工智能、大数据、开源生态等不断革新各行各业。然而,这些技术在为社会带来巨大价值的同时,因自身复杂性增加,数据量的激增,也潜藏着巨大的数据安全风险。近年来,数据安全事件频发,为社会各界敲响了警钟。
例如,2024年7月,微软因Crowdstrike软件问题导致全球近千万台Windows设备无法正常运行,影响了航班、银行和医疗等多个行业,而引起了各方对数据安全的新一轮审视。同时,勒索病毒猖獗爆发,已经成为各行业的首要威胁。例如,据奇安信行业安全研究中心监测显示,专注于光学仪器、医疗设备和电子组件的日本豪雅株式会社(Hoya Corporation)遭到“国际猎手”(Hunters International)团伙的勒索软件攻击,该团伙要求豪雅支付1000万美元赎金(约合人民币7240万元)以获取文件解密工具,否则他们将公开在攻击期间窃取的文件。
网络安全保险公司At-Bay的研究报告《backup breakdown:how data recovery impacts the outcome of cyber attacks》对2019年至2023年间涉及备份的186起勒索软件索赔进行分析,发现有效的备份可以将勒索软件索赔的严重程度降低41%。同时,Sophos发布的《2024年勒索软件现状报告》对来自14个国家的5000名负责IT/网络安全的领导人进行了调查,94%的受害组织表示,网络犯罪分子在攻击期间尝试破坏其备份,超过一半受害者备份数据被破坏。这些报告和案例说明,备份是预防勒索攻击的有效手段,且勒索攻击已经意识到备份的作用而针对性破坏备份数据。这表明企业需要在预防、检测、响应和恢复等多个环节加强安全措施,包括但不限于数据备份、建立安全隔离区、安全漏洞扫描、入侵检测系统、应急响应计划等。
存储设备是数据的 “仓库”,所有的数据资产都沉淀于此。正因如此,网络攻击的最终目标指向存储数据。犯罪组织会利用各种手段,如网络渗透、恶意软件感染等,试图突破层层防线,最终到达存储数据的核心区域。因此,如何建设存储数据安全已成为摆在我们面前的一道难题。
针对日益严峻的数据安全形势,国家各部委密集发布了一系列政策法规和标准。2024年9月正式发布的《网络数据安全管理条例》就明确要求:“网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。”
2024年12月的金融监管总局《银行保险机构数据安全管理办法》和2022年12月发布的工信部《工业和信息化领域数据安全管理办法(试行)》等行业政策法规中都指出:“存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。”
与此同时,为支撑政策法规落地,数据安全相关国家标准也在加紧制定当中。在2024年4月发布的《信息系统灾难恢复规范》征求意见稿中,针对灾难恢复系统提出“防止病毒感染(包括勒索病毒)、防泄漏以及数据存储加密”“数据备份容灾系统异地备份或者本地备份要使用专属的备份存储”等要求和参考执行依据。2024年6月发布的国标《关键信息基础设施安全保护能力指标体系》征求意见稿对关基系统和金融系统也提出了相应的要求和参考执行依据。
然而,仅有政策法规和标准是不够的。在实际操作中,企业和个人还需要加强数据存储设备的安全防护。这包括提升存储团队的自研能力以实现软硬件材料的自主可控、完善数据备份与恢复体系以及构建系统的防勒索数据安全方案等。
在数据备份与恢复方面,企业应强化技术研发与创新,推动存储硬件的发展,并建立多层级备份架构。同时,政府应进一步细化相关法律法规中关于数据备份与恢复的条款,明确不同行业、不同规模企业的数据备份义务。此外,由行业协会和标准化机构牵头制定统一的数据备份技术标准也是当务之急。
在防勒索数据安全方案方面,企业应构建系统的防御体系,包括事前防御、事中阻挡和事后恢复。通过这些措施,保证数据存储在面临外部风险时具有强大的对抗能力,确保数据的不可篡改性和可恢复性。
华为数据保护领域总裁李永健表示,利益博弈/攻防技术/安全理念都在变化,基础假设和工程实践也在演进和变化,保障存储内生的安全能力同时,需要保证生产数据有安全可靠的数据备份系统,留存一份干净的备份副本,以确保数据的可恢复性,筑牢数据安全的最后一道防线。
卡巴斯基相关负责人认为,建设存储数据安全措施需要采用先进的加密技术、实施多层次的安全防护、定期更新和打补丁、加强访问控制和身份验证、制定应急响应计划等。这些措施的实施可以有效提升存储数据的安全性,降低数据泄露和损坏的风险。
存储数据安全之路道阻且长,但是在行业各方的共同努力下,依托技术创新、安全理念更新以及完善的法律法规,我们有望打造出更加稳固、高效且安全的存储数据生态。正如倪光南院士所言,数据存储完全可以成为继5G之后的第二张代表中国高科技的名片。
