從全球數(shù)據(jù)發(fā)展情況來(lái)看。目前谷歌、微軟�、亞馬遜�����、蘋(píng)果以及Facebook是資金投入最大的五家超大規(guī)模運(yùn)營(yíng)商��,在2018年第三季度占整體260億美元市場(chǎng)規(guī)模的70%����,并將資金主要用于擴(kuò)展和裝備自己的數(shù)據(jù)中心。
在國(guó)內(nèi)�����,阿里巴巴率先進(jìn)入全球視野,在亞太領(lǐng)域中��,阿里和騰訊進(jìn)入亞太前五���,據(jù)2018年數(shù)據(jù)顯示�,全球有超過(guò)四萬(wàn)個(gè)數(shù)據(jù)中心��,其中99%以上是自有數(shù)據(jù)中心�,以上也在代表著大家對(duì)數(shù)據(jù)的一種看法。
伴隨數(shù)據(jù)量激增��,除了數(shù)據(jù)容量變化以外�,數(shù)據(jù)的分布和模式也發(fā)生了變化,右邊的圖大家可以看到��,原來(lái)數(shù)據(jù)放在數(shù)據(jù)中心是集中的地方�����,現(xiàn)在從一個(gè)中心轉(zhuǎn)網(wǎng)絡(luò)邊緣�����,這帶來(lái)的巨大的挑戰(zhàn)和沖擊導(dǎo)致整個(gè)數(shù)據(jù)產(chǎn)生和發(fā)展的模型與布局發(fā)生了變化,意味著數(shù)據(jù)帶來(lái)的風(fēng)險(xiǎn)也會(huì)逐步提升����。
再加上數(shù)據(jù)必然會(huì)落實(shí)到某一種存儲(chǔ)介質(zhì)上,這里援引數(shù)據(jù)來(lái)幫助我們看到目前數(shù)據(jù)存儲(chǔ)介質(zhì)是什么樣的狀態(tài)�,從左邊的圖上我們可以看到目前超過(guò)五成的數(shù)據(jù)放在HDD上,26%放在閃存上��。
伴隨著現(xiàn)在數(shù)據(jù)分布模式的變化���,企業(yè)應(yīng)用數(shù)據(jù)的主體對(duì)于數(shù)據(jù)的分布處理的策略也跟隨著發(fā)生變化?�,F(xiàn)在企業(yè)傾向于邊緣和節(jié)點(diǎn)��,更愿意用HDD部署�����。我們可以看到數(shù)據(jù)有非常大的價(jià)值,而伴隨數(shù)據(jù)量增長(zhǎng)�,也必然會(huì)出現(xiàn)數(shù)據(jù)安全的問(wèn)題。
2018��、2019出現(xiàn)了很多比較著名的安全事件�����,大家關(guān)注互聯(lián)網(wǎng)會(huì)看到,比如“WannaCry(永恒之藍(lán))”��、“Mirai(僵尸網(wǎng)絡(luò)�����,DDos)”���、“黑暗力量BlackEnergy”��、“震網(wǎng)(基礎(chǔ)設(shè)施蠕蟲(chóng))”���、“火焰”、“心臟滴血”��,這些告訴我們什么呢����?
現(xiàn)在的信息安全問(wèn)題是實(shí)實(shí)在在還有巨大的漏洞,需要不斷優(yōu)化�。比如全球信息安全領(lǐng)導(dǎo)廠商卡巴斯基對(duì)黑客組織Equation Group的調(diào)查報(bào)告顯示,Equation Group通過(guò)重新編碼我們硬盤(pán)驅(qū)動(dòng)器里邊的部件�����,帶來(lái)的效果是在未知情況下在我們盤(pán)上的固件里預(yù)埋一個(gè)東西在里邊,這樣無(wú)論對(duì)你的盤(pán)做什么格式化刪除等操作��,我們都完全無(wú)能為力�。我們總結(jié)具備的特性叫持久化,在你的存儲(chǔ)控制器里邊已經(jīng)埋入安全性種子����。這是帶來(lái)所有的數(shù)據(jù)巨大的威脅。
數(shù)據(jù)的價(jià)值講了很多應(yīng)用�����,數(shù)據(jù)的安全問(wèn)題我們同樣要去考慮�����。在這里我們可以看到網(wǎng)絡(luò)攻擊常態(tài)化伴隨什么問(wèn)題��,發(fā)生攻擊的成本越來(lái)越低�����,一個(gè)小時(shí)只需要五美元�����,你在網(wǎng)上20美金可以買(mǎi)到很多網(wǎng)絡(luò)攻擊操作手段���,這帶來(lái)的問(wèn)題網(wǎng)絡(luò)的安全和攻擊隨時(shí)發(fā)生在我們周圍����。
而數(shù)據(jù)泄露的平均成本從2017年的362萬(wàn)美元上升到2018年386萬(wàn)美元���,2019到392萬(wàn)美元�。平均每條失竊記錄的成本從2017的141美元上升為148美元�����。
因此我們說(shuō)網(wǎng)絡(luò)威脅是現(xiàn)在永恒的話題���,數(shù)據(jù)就是資產(chǎn)����,現(xiàn)在進(jìn)一步會(huì)看到對(duì)數(shù)據(jù)基礎(chǔ)設(shè)施的攻擊���,已經(jīng)形成了一種暴恐的手段��,其實(shí)已經(jīng)形成了國(guó)家主權(quán)的恐嚇����。
這并不是我們臆想,而是實(shí)實(shí)在在發(fā)生的事情����。回過(guò)頭來(lái)看����,為什么出現(xiàn)那么多攻擊,設(shè)計(jì)的IT系統(tǒng)不能窮盡所有邏輯組合��,利用缺陷挖掘漏洞進(jìn)行攻擊是網(wǎng)絡(luò)安全永遠(yuǎn)的命題���。
為了應(yīng)對(duì)現(xiàn)在的網(wǎng)絡(luò)攻擊��,主動(dòng)免疫的安全目標(biāo)��,為了確保安全計(jì)算任務(wù)的邏輯不會(huì)被篡改和破壞���,從而需要正確計(jì)算。
做了背景分享���,國(guó)科微首席安全技術(shù)官吳冬凌為大家分享了國(guó)科微在數(shù)據(jù)安全上的想法和工作���。首先這里我們舉一個(gè)讓大家都很好理解的簡(jiǎn)單業(yè)務(wù)模型,就是我們?nèi)ド暇W(wǎng)����,在外部瀏覽器去找我們想要的東西,然后數(shù)據(jù)會(huì)落地到落盤(pán)����,無(wú)論是網(wǎng)絡(luò)盤(pán)還是本地盤(pán)都經(jīng)過(guò)這樣一個(gè)過(guò)程。
回溯整個(gè)過(guò)程���,三個(gè)地方將存在被攻擊的點(diǎn)——網(wǎng)絡(luò)傳輸中被攻擊����,計(jì)算過(guò)程中被攻擊�����,數(shù)據(jù)存取中可能被攻擊����。
網(wǎng)絡(luò)傳輸攻擊是數(shù)據(jù)沒(méi)有被加密�。對(duì)用戶環(huán)節(jié)比較有意思�,我們經(jīng)常舉的一個(gè)例子,打印資料時(shí)走到打印機(jī)面前等打印機(jī)工作�����,發(fā)現(xiàn)它沒(méi)有響����,而隔壁打印機(jī)響了,你可能想是我弄錯(cuò)打印機(jī)了���,但是也可能你被攻擊了����。
國(guó)科微處理數(shù)據(jù)安全上是由內(nèi)而外�,最用心保護(hù)數(shù)據(jù),方案分成兩個(gè)維度���。一個(gè)內(nèi)剛��,一個(gè)外柔�。
一個(gè)系統(tǒng)化芯片對(duì)數(shù)據(jù)安全,包括存儲(chǔ)加密芯片���,存儲(chǔ)可計(jì)算芯片����,存儲(chǔ)控制芯片���,控制器最核心那一塊,存儲(chǔ)加密芯片保證數(shù)據(jù)傳輸過(guò)程中會(huì)安全加密����,保證數(shù)據(jù)不會(huì)被別人竊取,運(yùn)行過(guò)程中關(guān)心的核心業(yè)務(wù)不會(huì)被篡改�。
有了芯片其實(shí)不夠,芯片是小而專的東西�����,業(yè)務(wù)千奇百怪���,光有內(nèi)剛還不行�����,有一個(gè)外柔�����,外柔是通過(guò)我們軟件包裹場(chǎng)景���,這樣定義外柔��,通過(guò)軟件的設(shè)計(jì)實(shí)現(xiàn)滿足業(yè)務(wù)上的高彈性和業(yè)務(wù)需要��,同時(shí)軟件系統(tǒng)會(huì)跑到主機(jī)上�����,對(duì)主機(jī)和操作系統(tǒng)的適配是我們看重的問(wèn)題���。
右邊的圖大家可以看到,這個(gè)是很簡(jiǎn)單的例子���,這是一個(gè)服務(wù)器����,前面可以看到有很多很多2.5寸盤(pán)�,通過(guò)310盤(pán)保障數(shù)據(jù)的安全�����。第二個(gè)中間可以看到我們有加密卡有可信計(jì)算卡�。
剛才提了我們內(nèi)剛是芯片�,我們現(xiàn)在策略基于芯片的安全構(gòu)建我們整體安全,從芯片的安全分成幾個(gè)大的框架��,最下邊基礎(chǔ)的功能包括HASH��,對(duì)稱加密和非對(duì)稱加密����、安全存儲(chǔ)等等��,把這些東西打包構(gòu)建我們芯片安全重要的步驟�����,基于芯片安全我們構(gòu)建上層應(yīng)用�����。
??? 關(guān)于國(guó)科微的存儲(chǔ)芯片產(chǎn)品�����,是GK2301系列芯片。擁有核心的自主知識(shí)產(chǎn)權(quán)����,芯片版圖,源代碼以及信息安全保密建設(shè)����,通過(guò)了嚴(yán)苛安全審查。?
還有就是GK2302系列���,2019年4月��,公司發(fā)布國(guó)內(nèi)首款全自主設(shè)計(jì)固態(tài)硬盤(pán)控制芯片GK2302����,搭載龍芯嵌入式CPU IP核���。同時(shí)��,該芯片通過(guò)國(guó)內(nèi)首款獲得國(guó)家密碼管理局�����、中國(guó)信息安全測(cè)評(píng)中心雙重認(rèn)證��。
有了芯片接下來(lái)匯報(bào)關(guān)于軟件干了什么事�����,從這個(gè)圖上可以簡(jiǎn)單的看到����,我們通過(guò)軟件去管理我們下邊所有的這些芯片和芯片附帶的產(chǎn)品,管理的什么事呢�����?實(shí)現(xiàn)芯片和芯片之間鏈路建設(shè)����,保證所有傳輸?shù)臄?shù)據(jù)安全的��,最常見(jiàn)的就是密鑰���,所有的空中傳輸一定是被保護(hù)的��。
同時(shí)這個(gè)軟件我們也做了X86�、飛騰等平臺(tái)的適配。安全保護(hù)只有雙密算法不夠的�����,需要有國(guó)密國(guó)測(cè)的認(rèn)證�����,才能保證你做的事情滿足了國(guó)家安全要求�����。
通過(guò)我們這個(gè)軟件對(duì)外提供很多功能�����,簽名的驗(yàn)簽����,標(biāo)準(zhǔn)的算法等,我們是全自主開(kāi)發(fā)���,有非常強(qiáng)的能力根據(jù)客戶能力做定制���,需要的場(chǎng)景安全自毀功能都可以����。
最后提一下軟件帶來(lái)的好處�����,可以針對(duì)現(xiàn)有存儲(chǔ)系統(tǒng)前端做一些新的優(yōu)化����。這個(gè)過(guò)程中所有加密過(guò)程發(fā)生在芯片里面,對(duì)于客戶計(jì)算CPU沒(méi)有損耗�,我們叫加密存儲(chǔ)性能無(wú)損失。
剛才給大家匯報(bào)了芯片和軟件�����,所以說(shuō)我們把芯片和軟件合一放在一起��,就看到了我們現(xiàn)在D3S高安數(shù)據(jù)存儲(chǔ)解決方案��,解決的典型場(chǎng)景存儲(chǔ)要安全升級(jí)要做性能提速��,做等保改造上一些工作�����,都可以選擇我們D3S解決方案�。
好處在于在你的升級(jí)過(guò)程中可以實(shí)現(xiàn)有客戶投資利舊。第二既然可以利舊�,新建系統(tǒng)也可以的。然后因?yàn)槲覀冞@個(gè)設(shè)計(jì)是采用無(wú)中心化設(shè)計(jì)��,橫向擴(kuò)展能力非常好�����,可以提供大規(guī)模數(shù)據(jù)加密保存���,提供這樣的能力���。最后會(huì)有非常強(qiáng)的加密芯片嵌入到系統(tǒng)里面,做這些數(shù)據(jù)功能的加持����。
文章基于速記整理,未經(jīng)演講人審核����,歡迎指正。
