信息存储安全状态，技术和趋势

摘要: 本文分析了信息存储安全在信息安全行业中的重要性，并从法律，行业标准，芯片技术，加密技术，安全性，安全性，安全性等方面列出了近年来由中国的信息存储安全漏洞引起的信息泄漏事件. 身份认证技术讨论了中国信息存储安全的现状和发展趋势.

现代社会被称为“信息社会”. 信息技术渗透到政治，经济，工业和服务领域的各个领域，信息产业在国民经济中的比重越来越大. 信息产业的发展水平和信息基础设施的建设水平是衡量社会现代化的重要指标. 随着互联网，物联网，移动互联网，大数据等领域的发展，社会信息化达到了前所未有的高度，极大地刺激了中国的经济发展. 社会信息化程度越高，生成的信息数据越多，信息安全问题就越突出. 在享受信息化快速发展带来的便利和效率的同时，如何有效地保护信息安全是政府，企业和个人面临的普遍问题.

多年来，信息安全行业的主要重点一直放在信息传输保护和攻击防御方面的防火墙，VPN，IPS，UTM和许多其他网络安全设备上，但它却忽略了一个重要领域. 信息安全性-信息存储安全性信息存储安全性在信息存储和信息生命周期的过程中，确保信息的真实性，机密性，完整性，可用性，可靠性，不可否认性等特征是信息安全的主要基础之一. 当前，在信息存储安全性方面，更多地关注信息的完整性，可靠性和可用性. 关于数据备份，灾难恢复和访问性能，有很多讨论. 很少涉及信息的真实性，机密性和不可否认性. 整个信息存储领域存在很大的安全风险.

常见的信息存储方法存在安全风险，尤其是连接到Internet的存储设备. 通过Internet，敌对势力和黑客可以静默地从存储设备中窃取数据. 常见的信息存储方法包括:

以手机为代表的智能移动终端: 保存大量的私人信息，例如电话簿，短信，微信，照片和电子支付密码，而手机已成为人们的“第二大脑”.

l个人计算机（PC）和笔记本电脑: 重要的个人信息，例如个人文件，电子邮件和银行证书，将被保存.

l服务器: 它保存单元的帐户信息，合同，办公室邮件，技术信息，设计图纸，政策文件等，以及与单元操作有关的各种信息.

l云存储: 随着云计算和智能城市的建设，数据中心使用大量磁盘阵列设备或分布式存储设备来构建云存储，该云存储了政府文档，城市供水和电力网络，高分辨率地图，以及银行交易记录，电子商务信息，物流记录，ERP系统，电子邮件，个人视频，照片，即时消息记录等全包信息.

与信息传输安全相比，一旦信息存储安全受到威胁，将导致当前和过去的信息泄漏，造成更大的伤害，这与党和政府，石油，化工，核能，金融，运输和制造业. 物流，电子商务和水利等所有行业的发展是中国总体国家安全战略的重要组成部分. 的敌对势力和黑客组织都集中在信息存储安全上. 近年来，相关的安全事件屡屡发生，仅在2015年第一季度才被发现:

美国政府可能已经获得了大约20亿部手机的SIM卡密码以及Apple手机和云存储的“后门”，这威胁到中国10亿以上的手机用户，尤其是5.57亿智能手机用户；

p>

黑客组织lEquation Group通过硬盘固件的后门窃取硬盘数据，涉及三星，西部数据，希捷，迈拓，东芝，日立和其他著名的硬盘公司产品. 中国是世界第三大硬盘国面子很大；

l电子商务用户数据的泄漏导致该用户被骗，并严重损害了中国电子商务行业的信誉；

通过攻击存储设备，窃取信息，黑客将其称为“拖动库”. 目前，中国的地下“杂物仓库”已经形成了一条黑色的产业链，年交易额高达数十亿美元.

中国政府和企业已经开始认识到信息存储安全的严峻形势，并在2014年陆续出台了一系列相关政策: 例如在信息化建设的关键过程中使用国产IT产品代替国外产品. 机构，以及为政府人员分配国内芯片给安全电话等. 许多行业还发起了“ de-IOE”运动，这意味着减少了外国品牌服务器产品（由IBM代表），产品（由Oracle代表）的数量. ）和信息存储产品（由EMC代表）. “ De-IOE”已经导致了国内品牌存储产品市场的迅速扩展. 华为，红山，浪潮等信息存储产品在2014年取得了飞速的发展，占领了大量的存储设备市场. 但是，中国的仓储产品起步较晚，技术积累不足，产品系列不完整，尚未形成完整的产业支撑. 即使对于国产品牌存储产品，所使用的存储控制芯片和存储介质等关键组件仍然是国外产品. 安全性不能被信任；中国目前拥有大量的外国存储产品，拥有超过一百万个磁盘阵列和数十亿个磁盘. 存储在其中的所有信息都将迁移到家用品牌设备，这在短期内是不可能完成的任务. 因此，“ de-IOE”不能从根本上解决信息存储安全问题.

解决中国的信息存储安全问题是一项复杂的系统工程，需要从国家政策法规，行业规范和标准，技术研发，产业链和市场等多个方面入手.

I. 国家政策法规

近年来，中国政府越来越重视信息安全问题，将信息安全提高到国家安全的高度. 尽管政府已经意识到信息存储安全的重要性，但是其关注程度远低于信息传输安全和安全行为检测等领域. 中国法律对信息存储的安全保护水平较低. 2012年，国务院发布了《关于大力推进信息化发展和有效保障信息安全的若干规定》. 2013年，工业和信息化部发布了“电信和互联网用户的个人信息. ”中仅简要提及了“保护法规”和信息存储安全性等文件.

信息存储安全性的重要法律问题是信息主体的定义. 例如，互联网公司提供免费的软件，游戏，服务，硬件，存储等，并且过程中生成的数据所属的模糊区域. 可以将电子邮件，商户帐户和网络磁盘文件之类的信息清楚地定义为所有个人信息，但是Web浏览记录，搜索记录，聊天记录，电子消费记录等不能明确定义信息的主题. . 通过对这些信息的分析，互联网公司可以通过其他渠道获得商业收入来支持“免费互联网”，这已经成为一种标准的商业模式，也是大数据分析的行业基础. 信息划分属于信息存储安全立法的基础. 只有明确信息的所有权，才能定义信息存储和保护的责任主体，信息使用范围，信息盗窃的定义以及滥用和盗窃信息的处罚. 近年来，我国发生了许多信息盗窃事件，其中许多问题是信息主体不明，责任不明确以及缺乏适用的法律. 结果，判刑太轻，不能起到威慑作用.

对于个人信息，公司信息和国家信息的不同级别，中国信息保护法律的制定是信息存储安全的法律和政策基础.

第二，行业规范和标准

2009年，TCG（受信任的计算集团）发布了全球第一个信息存储安全性行业规范，包括存储接互性，混合加密和企业级存储安全性子系统. 涉及的设备包括手机. ，许多国际存储设备制造商都支持Tablet PC，标准PC，笔记本电脑，数据中心驱动器，服务器和大型存储阵列.

中国尚未制定信息存储安全的国家标准. 缺乏权威的国家和行业评估. 每个企业“自言自语”，整个行业处于无序发展状态. “信息安全级别保护评估指南”是为数不多的提及信息存储安全性的国家标准之一. 在“三级安全控制评估”的数据保密评估要求中，是指“网络设备操作系统，主机操作系统，管理”. 对系统和应用系统的系统管理数据，认证信息以及重要业务数据进行加密或加密. 其他保护措施以实现存储机密性；使用和移动设备时，可移动磁盘或加密用于存储敏感信息. “但是，中国的信息安全行业，密码行业和其他相关评估中心始终缺乏评估的国家标准规则. 信息存储安全产品，并且不能对存储安全设备，软件和服务进行可靠的评估. 多年来，“等效安全”系统一直以信息存储安全的形式出现，或者使用不符合中国密码管理方法和密码算法的外国产品严重影响了中国的信息安全系统的建设.

通过借鉴相关的国外标准，结合中国密码系统，密码算法存储安全，安全系统，信息管理系统等的特点，我们将建立和评估中国信息存储安全设备，软件，服务，工程等. 国家和行业标准对于确保信息存储安全行业的健康有序发展是必要的.

中国的信息存储安全技术和产品基础薄弱，有必要摆脱基础研究开发受到国外限制的局面.

I. 自控存储控制芯片

所有存储设备可以简化为两部分: 存储控制芯片和存储介质. 存储控制芯片控制信息的存储和读出是信息存储安全的关键. 为了确保存储控制芯片的安全性，整个存储设备上均安装了“防盗门”. 即使使用外国品牌的存储介质，也可以有效地保护信息存储的安全性. 到目前为止发现的大多数存储安全事件都与存储控制芯片的后门有关. 存储控制芯片可独立控制，是信息存储安全产品的关键技术.

目前，存储器控制芯片的主要制造商包括英特尔，三星，SandForce，Marvell，PMC和其他欧洲，美国，日本和韩国的制造商. 存储控制芯片种类繁多，市场巨大，设计难度小于通用CPU的1/10，应用环境相对单一，工艺水平要求不高. 这是追赶国际先进水平的中国芯片行业非常合适的产品方向. 国外存储控制芯片的水平比中国领先不到5年. 通过国际合作和引进吸收方法，国内公司可以迅速实现“超车”. 巨大的国内存储安全市场足以使许多存储控制芯片制造商实现盈利. 如果该国出台支持存储安全的政策，则可以促进存储控制芯片的快速发展，为信息存储安全奠定基础. 2015年，杭州华兰微电子和CETC58研究所分别发布了商用和军用SSD存储控制芯片，迈出了自主研发和可控的第一步.

第二，存储信息加密

加密信息然后存储，然后在使用时解密. 它是信息存储的最直接的安全方法. 存储在存储设备上的数据均为密文. 即使黑客窃取了存储设备，也无法解密数据.

有两种方法可以加密存储的信息:

1. 信息源加密，即在将信息写入存储设备之前对其进行加密，然后再存储在存储设备上；使用时，加密的信息将在使用前被读出并解密. 信息源加密易于实现，是一种更为传统的存储安全保护方法，并且已成为压缩软件（如rar，zip等）的辅助功能. 缺点也很明显. 信息在使用前需要整体解密. 对于大文件，解密时间较长，影响用户体验. 解密后的信息将作为临时文件存储在隐藏目录中，并且在不使用时被删除. 该文件存在残留，易于被黑客窃取；在云计算环境中，和分布式存储被大量使用，信息源加密消除了信息的分段特性，导致搜索等功能失败，无法满足云存储的安全性和可用性要求.

2. 透明存储加密，即信息在写入存储设备期间会自动加密，并在从存储设备读取时自动解密. 透明存储加密不需要用户干预，不会改变用户使用习惯，并且在加密信息时不会影响搜索功能. 它适用于各种独立存储系统和云计算存储系统. 这是目前最合适的存储加密技术.

透明存储加密已经是标准的，并且已嵌入Oracle软件中. 通过简单的配置，可以实现Oracle的存储加密. 但是，由于Oracle使用的加密系统和算法，它不能满足中国密码管理的要求，并且其安全性在我们的政府和关键行业无法得到确认. 根据这个想法，国内软件加密厂商已经推出了软件透明加密产品，包括加密存储和文件加密存储. 由于操作系统和软件均为国外产品，因此软件透明加密只能作为应用程序运行，不能防御操作系统漏洞和软件后门，并且安全性不高. 软件的透明加密占用CPU资源，备份加密时需要关闭压缩功能，这会消耗更多的存储容量，增加备份时间，并且在一定程度上影响实用性.

国内信息安全设备制造商采用另一种更安全，更有效的方法: 在存储设备前面添加透明的存储加密设备可以防止黑客通过存储设备的后门窃取存储在其中的信息. 存储设备中的信息经过加密和加固，可以有效提高存储系统的安全性. 透明存储加密设备是独立于存储设备和服务器的独立设备. 它不受操作系统存储安全，文件系统和应用程序的影响. 由于操作系统漏洞和存储设备后门，它不会降低安全性. 可以很容易地独立实现. 控制，安全是可以信任的. 透明存储加密设备具有很强的负载能力，可以在生命周期的备份和灾难恢复过程中保护数据安全和整体信息安全. 它还可以确保整个存储系统的性能不会显着降低，这是理想的信息. 存储安全解决方案. 2015年，国内企业陆续推出了符合中国密码标准的透明存储加密设备，如龙腾荣智，中科信，魏世同，中航微电子，兴堂，书敦等，为信息存储安全市场提供了有力支撑. 可以预见，将来会有更多的公司加入这个阵营.

三，身份认证和访问控制

身份认证和访问控制是信息安全行业中常用的安全措施，并且也是信息存储安全中非常重要的部分. 对于数据中心和企业服务器等专用存储环境，专职管理人员可以通过数字证书，安全管理服务器，防火墙等手段，尽管存储安全问题仍然很严重，但是仍然存在一定的安全性. 更严重的问题是个人存储环境和一般存储环境，例如个人手机存储，个人硬盘存储，云磁盘存储等. 大多数此类存储仅受密码保护，并且安全性很低. 2015年，据透露，iPhone的开机密码可以在短时间内破解，从而打破了苹果的安全神话. 某些手机​​应用程序甚至不需要密码，信息完全不受保护. 例如，对于一家电子商务公司来说，小的免付费密码会给用户带来巨大的安全风险.

近年来，生物密码认证技术的结合已经成为信息存储安全的重要身份识别方法. 生物识别密码包括生理特征密码和行为特征密码. 通过用户的生理特征，例如指纹，掌纹，虹膜，面部图像等进行身份认证和访问控制，形成了广阔的市场. 通过用户的拍打节奏，声纹，手写等行为特征，作为一种辅助的识别手段，它刚刚进入实用阶段. 基于行为特征的身份识别和访问控制具有更强的安全性和隐蔽性，可以提高个人信息存储的安全性. 例如，在输入密码时，不仅密码的正确性，而且输入的节奏，即密码的数字和字符之间的间隔，都可以有效地避免暴力破解密码和密码. 解决困扰电子商务，购物，金融和其他行业多年的安全问题的问题. 中国的信息安全行业刚刚开始使用行为功能来保护信息存储安全，并且还没有领先的公司出现.

信息存储安全是现阶段信息社会发展突显的新型信息安全方向，是影响中国国家安全和国民经济以及民生的重要领域. 目前，我国政府，企业和个人对信息存储的安全性重视不够，支持资源很少. 信息安全公司的存储安全性薄弱，行业成熟度低，这与中国巨大的存储使用率不符. 可以预见，在未来几年中，涉及信息存储安全的事件将频繁发生. 我们的政府和信息安全公司需要尽快关注信息存储安全问题，增加相关投资，确保中国信息化建设健康持续发展.

[参考文献]

1. “ 2013-2014年中国磁盘存储系统市场研究年度报告” CCID，2013；

2. “当前时代的数据加密和安全存储的解释”，胡小河，“信息安全与通信保密”，2009年第6号；

3. “存储安全技术”，John Chirillo，Scott Blaul，电子工业出版社，2004年；

中国电子科技集团公司第五十八研究所杨强豪

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-191087-1.html