信息存储安全现状、技术与趋势

信息存储安全现状、技术与趋势

现代社会被称为“信息社会”，信息技术渗透到政治、经济、产业、服务领域的所有部门，信息化产业在国民经济中占有的比重越来越大。信息化产业发展水平和信息基础设置建设水平，是衡量社会现代化的重要指标。随着互联网、物联网、移动互联网、大数据等领域的发展，社会信息化达到了前所未有的高度，极大刺激了我国的经济发展。社会信息化程度越高，产生的信息数据越多，信息安全的问题就越突出。在享有信息化高速发展带来便利和效率的同时，如何有效的保护信息安全，是摆在政府、企业、个人面前的共同问题。

多年以来，信息安全行业主要的着眼点在信息传输保护和攻击防御方面，产生了防火墙、VPN、IPS、UTM等众多网络安全设备，但忽视了信息安全的重要领域——信息存储安全。信息存储安全在

信息储存的过程和信息生命周期内，保障信息的真实性、机密性、完整性、可用性、可靠性、不可抵赖性等特性，是信息安全的主要基础之一。目前谈到信息存储安全，比较重视信息的完整性、可靠性、可用性，对数据备份、容灾、访问性能等问题探讨较多；对信息的真实性、机密性、不可抵赖性鲜少涉及，整个信息存储领域存在很大安全隐患。

常见的信息存储方式都存在安全风险，特别是连接到互联网的存储设备，通过互联网，敌对势力和黑客可以悄声无息的窃取存储设备中的数据。常见的信息存储方式包括：

l以手机为代表的智能移动终端：保存了电话簿、短信、微信、照片、电子支付密码等大量隐私

信息，手机已经成为人的“第二大脑”。

l个人电脑（PC）和笔记本电脑：保存了个人文件、电子邮件、网络银行证书等重要的个人信息。

l服务器：保存了单位的账务信息、合同、办公邮件、技术资料、设计图纸、政策文件等，涉及

单位运营的各种信息。

l 云存储：随着云计算、智慧城市的建设，数据中心大量使用磁盘阵列设备或分布式存储设备构

建云存储，其中保存了政府文件、城市水电管网、高分辨率地图、银行交易记录、电商信息、物流记录、ERP系统、电子邮件，个人视频、照片、即时通讯记录等等无所不包的各类信息。

相比信息传输安全，信息存储安全一旦受到威胁，会导致当前和过往的信息均被泄漏，造成的危害更大，关系到党政军、石油、化工、核能、金融、交通、制造、物流、电商、水利等所有行业的发展，是我国国家安全整体战略的重要环节。国内外的敌对势力和黑客组织，已经聚焦信息存储安全，近年来相关安全事件频出，仅2015年一季度就发现：

l 美国政府可能获取了约20亿部手机的SIM卡密码，以及苹果手机和云存储的“后门”，威胁

了我国超过10亿的手机用户，尤其是5.57亿智能手机用户；

l黑客组织Equation Group，通过硬盘固件后门，窃取硬盘数据，涉及三星、西数、希捷、迈拓、东芝、日立等多家著名硬盘公司产品，我国是世界第三大硬盘进口国，影响面巨大；

l某电商用户数据泄漏导致用户被骗，对我国电子商务行业的信誉造成重创；

l 通过攻击存储设备，窃取其中的数据库信息，被黑客称为“拖库”。目前我国的地下“拖库”

已经形成黑色产业链，年交易值可达数十亿。

我国政府和企业已经开始认识到信息存储安全的严重形势，在2014年陆续出台多项相关政策：

如关键机构信息化建设中使用国产IT产品替换国外产品、为政府工作人员配置国产芯片安全手机等。多个行业也发起了“去IOE化”运动，即减少国外品牌的服务器产品（以IBM为代表）、数据库产

品（以Oracle为代表），信息存储产品（以EMC为代表）。“去IOE化”导致国产品牌存储产品市

场迅速扩大，如华为、宏杉、浪潮等信息存储产品在2014年都取得了快速的发展，占据了大量存储

设备市场。但我国在存储产品方面起步较晚，技术积累不足，产品系列不全，尚不能形成完整的产业支撑；即使是国产品牌的存储产品，使用的存储控制芯片、存储介质等关键部件也仍然是国外产品，安全性不可信任；我国目前还有巨大的国外存储产品保有量，仅磁盘阵列就超过百万台，磁盘数十亿块。保存在其中的信息，全部迁移到国产品牌设备，是一项短期不可能完成的任务。因此“去IOE化”无法从根本上解决信息存储安全问题。

解决我国信息存储安全问题，是一个复杂的系统工程，需要从国家政策法规、行业规范和标准、技术研发、产业链、市场等多方面入手。

一、国家政策法规

近年来，我国政府越来越重视信息安全问题，将信息安全上升到国家安全的高度。虽然政府已经认识到信息存储安全的重要性，但重视程度远低于信息传输安全和安全行为检测等领域。我国法律对信息存储安全保护的层级比较低，2012年国务院出台的《关于大力推进信息化发展和切实保障信息

安全的若干规定》、2013年工业和信息化部发布了《电信和互联网用户个人信息保护规定》等文件，信息存储安全都仅被简单提及。

信息存储安全的一个重要法理问题，是信息所属主体的界定。例如互联网企业提供免费的软件、游戏、服务、硬件、存储等，过程中产生的数据属于谁，成为模糊地带。电子邮件、网商帐户、网盘文件等信息，明确可界定为个人所有信息，但网页浏览记录、搜索记录、聊天记录、电子消费记录等，则无法清晰定义信息所属主体。互联网企业通过对这些信息的分析，从其它渠道获取商业收益，支撑“互联网免费”，已经成为标准商业模式，这也是大数据分析的行业基础。划分信息的所属，是信息存储安全立法的基础。只有搞清了信息的所属关系，才能界定信息存储保护的责任主体，信息使用的范围，信息窃取行为的定义，以及对滥用信息和窃取信息的处罚。近年来，我国出现了众多窃取信息事件，很多都存在信息所属主体不明、责任不清、缺乏适用法律的问题，导致量刑过轻，起不到震慑作用。

针对个人信息、企业信息、国家信息等不同层级，制定我国关于信息保护的法律，是信息存储安全的法律和政策基础。

二、行业规范和标准

2009年TCG组织（Trusted Computing Group ）公布了世界上第一个信息存储安全的行业规范，

包括存储界面交互性、混合加密、企业级存储安全子系统三个部分，涉及的设备从手机、平板电脑、标准PC、笔记本、数据中心驱动器、服务器、一直到大型存储阵列，得到众多国际存储设备厂家的

支持。

我国目前尚未制定面向信息存储安全的国家标准，缺乏权威的国家和行业测评，各企业“自说自话”，整个行业处于无序发展状态。《信息安全等级保护测评指南》是少数提及信息存储安全的国家标准，在“第3级安全控制测评”的数据保密性评测要求中，提到“网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据采用加密或其他保护措施实现存储保密性；当使用便携式和移动式设备时，采用可移动磁盘或加密存储敏感信息。”但我国信息安全行业、密码行业等相关测评中心一直缺乏用于评测信息存储安全产品的国标细则，不能对存储安全设备、软件、服务进行有公信力的评测。多年来“等保”系统在信息存储安全方面流于形式，或采用不符合我国密码管理方式和密码算法的国外产品，严重影响了我国的信息安全系统建设。

通过借鉴国外的相关标准，结合我国的密码体制、密码算法、安全体制、信息管理体制等特性，建立适用于我国信息存储安全设备、软件、服务、工程等个各方面的评测、实施国家和行业标准，是保证信息存储安全行业健康有序发展的必要条件。

我国的信息存储安全技术和产品基础较弱，需要从基础研发上摆脱受制于国外的局面。

一、自主可控存储控制芯片