学院首页 首  页 中心概况 通知公告 工作动态 规章制度 网络安全 自助服务  
信息存储安全现状、技术与趋势
发布时间:2015-06-04

2015年06月04日 16:31 来源:中国网信网

    现代社会被称为“信息社会”,信息技术渗透到政治、经济、产业、服务领域的所有部门,信息化产业在国民经济中占有的比重越来越大。信息化产业发展水平和信息基础设置建设水平,是衡量社会现代化的重要指标。随着互联网、物联网、移动互联网、大数据等领域的发展,社会信息化达到了前所未有的高度,极大刺激了我国的经济发展。社会信息化程度越高,产生的信息数据越多,信息安全的问题就越突出。在享有信息化高速发展带来便利和效率的同时,如何有效的保护信息安全,是摆在政府、企业、个人面前的共同问题。

  多年以来,信息安全行业主要的着眼点在信息传输保护和攻击防御方面,产生了防火墙、VPN、IPS、UTM等众多网络安全设备,但忽视了信息安全的重要领域——信息存储安全。信息存储安全在信息储存的过程和信息生命周期内,保障信息的真实性、机密性、完整性、可用性、可靠性、不可抵赖性等特性,是信息安全的主要基础之一。目前谈到信息存储安全,比较重视信息的完整性、可靠性、可用性,对数据备份、容灾、访问性能等问题探讨较多;对信息的真实性、机密性、不可抵赖性鲜少涉及,整个信息存储领域存在很大安全隐患。

  常见的信息存储方式都存在安全风险,特别是连接到互联网的存储设备,通过互联网,敌对势力和黑客可以悄声无息的窃取存储设备中的数据。常见的信息存储方式包括:

l 以手机为代表的智能移动终端:保存了电话簿、短信、微信、照片、电子支付密码等大量隐私信息,手机已经成为人的“第二大脑”。

  l 个人电脑(PC)和笔记本电脑:保存了个人文件、电子邮件、网络银行证书等重要的个人信息。

  l 服务器:保存了单位的账务信息、合同、办公邮件、技术资料、设计图纸、政策文件等,涉及单位运营的各种信息。

  l 云存储:随着云计算、智慧城市的建设,数据中心大量使用磁盘阵列设备或分布式存储设备构建云存储,其中保存了政府文件、城市水电管网、高分辨率地图、银行交易记录、电商信息、物流记录、ERP系统、电子邮件,个人视频、照片、即时通讯记录等等无所不包的各类信息。

  相比信息传输安全,信息存储安全一旦受到威胁,会导致当前和过往的信息均被泄漏,造成的危害更大,关系到党政军、石油、化工、核能、金融、交通、制造、物流、电商、水利等所有行业的发展,是我国国家安全整体战略的重要环节。国内外的敌对势力和黑客组织,已经聚焦信息存储安全,近年来相关安全事件频出,仅2015年一季度就发现:

  l 美国政府可能获取了约20亿部手机的SIM卡密码,以及苹果手机和云存储的“后门”,威胁了我国超过10亿的手机用户,尤其是5.57亿智能手机用户;

  l 黑客组织Equation Group,通过硬盘固件后门,窃取硬盘数据,涉及三星、西数、希捷、迈拓、东芝、日立等多家著名硬盘公司产品,我国是世界第三大硬盘进口国,影响面巨大;

  l 某电商用户数据泄漏导致用户被骗,对我国电子商务行业的信誉造成重创;

  l 通过攻击存储设备,窃取其中的数据库信息,被黑客称为“拖库”。目前我国的地下“拖库”已经形成黑色产业链,年交易值可达数十亿。

  我国政府和企业已经开始认识到信息存储安全的严重形势,在2014年陆续出台多项相关政策:如关键机构信息化建设中使用国产IT产品替换国外产品、为政府工作人员配置国产芯片安全手机等。多个行业也发起了“去IOE化”运动,即减少国外品牌的服务器产品(以IBM为代表)、数据库产品(以Oracle为代表),信息存储产品(以EMC为代表)。“去IOE化”导致国产品牌存储产品市场迅速扩大,如华为、宏杉、浪潮等信息存储产品在2014年都取得了快速的发展,占据了大量存储设备市场。但我国在存储产品方面起步较晚,技术积累不足,产品系列不全,尚不能形成完整的产业支撑;即使是国产品牌的存储产品,使用的存储控制芯片、存储介质等关键部件也仍然是国外产品,安全性不可信任;我国目前还有巨大的国外存储产品保有量,仅磁盘阵列就超过百万台,磁盘数十亿块。保存在其中的信息,全部迁移到国产品牌设备,是一项短期不可能完成的任务。因此“去IOE化”无法从根本上解决信息存储安全问题。

  解决我国信息存储安全问题,是一个复杂的系统工程,需要从国家政策法规、行业规范和标准、技术研发、产业链、市场等多方面入手。

  一、国家政策法规

  近年来,我国政府越来越重视信息安全问题,将信息安全上升到国家安全的高度。虽然政府已经认识到信息存储安全的重要性,但重视程度远低于信息传输安全和安全行为检测等领域。我国法律对信息存储安全保护的层级比较低,2012年国务院出台的《关于大力推进信息化发展和切实保障信息安全的若干规定》、2013年工业和信息化部发布了《电信和互联网用户个人信息保护规定》等文件,信息存储安全都仅被简单提及。

  信息存储安全的一个重要法理问题,是信息所属主体的界定。例如互联网企业提供免费的软件、游戏、服务、硬件、存储等,过程中产生的数据属于谁,成为模糊地带。电子邮件、网商帐户、网盘文件等信息,明确可界定为个人所有信息,但网页浏览记录、搜索记录、聊天记录、电子消费记录等,则无法清晰定义信息所属主体。互联网企业通过对这些信息的分析,从其它渠道获取商业收益,支撑“互联网免费”,已经成为标准商业模式,这也是大数据分析的行业基础。划分信息的所属,是信息存储安全立法的基础。只有搞清了信息的所属关系,才能界定信息存储保护的责任主体,信息使用的范围,信息窃取行为的定义,以及对滥用信息和窃取信息的处罚。近年来,我国出现了众多窃取信息事件,很多都存在信息所属主体不明、责任不清、缺乏适用法律的问题,导致量刑过轻,起不到震慑作用。

  针对个人信息、企业信息、国家信息等不同层级,制定我国关于信息保护的法律,是信息存储安全的法律和政策基础。

  二、行业

©版权所有 海南省海南热带海洋学院网络与教育技术中心  Email: nic@qzu.edu.cn

Copyright © 2010 www.jsaiqi.com. All rights reserved.