精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

摘要：本文分析了信息存儲安全在信息安全行業(yè)的重要性，列舉了近年來我國由于信息存儲安全漏洞造成的信息泄漏事件，從法律、行業(yè)標準、芯片技術(shù)、加密技術(shù)、身份認證技術(shù)等方面論述了我國信息存儲安全的現(xiàn)狀和發(fā)展趨勢。

現(xiàn)代社會被稱為“信息社會”，信息技術(shù)滲透到政治、經(jīng)濟、產(chǎn)業(yè)、服務領(lǐng)域的所有部門，信息化產(chǎn)業(yè)在國民經(jīng)濟中占有的比重越來越大。信息化產(chǎn)業(yè)發(fā)展水平和信息基礎設置建設水平，是衡量社會現(xiàn)代化的重要指標。隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域的發(fā)展，社會信息化達到了前所未有的高度，極大刺激了我國的經(jīng)濟發(fā)展。社會信息化程度越高，產(chǎn)生的信息數(shù)據(jù)越多，信息安全的問題就越突出。在享有信息化高速發(fā)展帶來便利和效率的同時，如何有效的保護信息安全，是擺在政府、企業(yè)、個人面前的共同問題。

多年以來，信息安全行業(yè)主要的著眼點在信息傳輸保護和攻擊防御方面，產(chǎn)生了防火墻、VPN、IPS、UTM等眾多網(wǎng)絡安全設備，但忽視了信息安全的重要領(lǐng)域—信息存儲安全。信息存儲安全在信息儲存的過程和信息生命周期內(nèi)，保障信息的真實性、機密性、完整性、可用性、可靠性、不可抵賴性等特性，是信息安全的主要基礎之一。目前談到信息存儲安全，比較重視信息的完整性、可靠性、可用性，對數(shù)據(jù)備份、容災、訪問性能等問題探討較多；對信息的真實性、機密性、不可抵賴性鮮少涉及，整個信息存儲領(lǐng)域存在很大安全隱患。

常見的信息存儲方式都存在安全風險，特別是連接到互聯(lián)網(wǎng)的存儲設備，通過互聯(lián)網(wǎng)，敵對勢力和黑客可以悄聲無息的竊取存儲設備中的數(shù)據(jù)。常見的信息存儲方式包括：

l以手機為代表的智能移動終端：保存了電話簿、短信、微信、照片、電子支付密碼等大量隱私信息，手機已經(jīng)成為人的“第二大腦”。

l個人電腦（PC）和筆記本電腦：保存了個人文件、電子郵件、網(wǎng)絡銀行證書等重要的個人信息。

l服務器：保存了單位的賬務信息、合同、辦公郵件、技術(shù)資料、設計圖紙、政策文件等，涉及單位運營的各種信息。

l云存儲：隨著云計算、智慧城市的建設，數(shù)據(jù)中心大量使用磁盤陣列設備或分布式存儲設備構(gòu)建云存儲，其中保存了政府文件、城市水電管網(wǎng)、高分辨率地圖、銀行交易記錄、電商信息、物流記錄、ERP系統(tǒng)、電子郵件，個人視頻、照片、即時通訊記錄等等無所不包的各類信息。

相比信息傳輸安全，信息存儲安全一旦受到威脅，會導致當前和過往的信息均被泄漏，造成的危害更大，關(guān)系到黨政軍、石油、化工、核能、金融、交通、制造、物流、電商、水利等所有行業(yè)的發(fā)展，是我國國家安全整體戰(zhàn)略的重要環(huán)節(jié)。國內(nèi)外的敵對勢力和黑客組織，已經(jīng)聚焦信息存儲安全，近年來相關(guān)安全事件頻出，僅2015年一季度就發(fā)現(xiàn)：

l美國政府可能獲取了約20億部手機的SIM卡密碼，以及蘋果手機和云存儲的“后門”，威脅了我國超過10億的手機用戶，尤其是5.57億智能手機用戶；

l黑客組織Equation Group，通過硬盤固件后門，竊取硬盤數(shù)據(jù)，涉及三星、西數(shù)、希捷、邁拓、東芝、日立等多家著名硬盤公司產(chǎn)品，我國是世界第三大硬盤進口國，影響面巨大；

l某電商用戶數(shù)據(jù)泄漏導致用戶被騙，對我國電子商務行業(yè)的信譽造成重創(chuàng)；

l通過攻擊存儲設備，竊取其中的數(shù)據(jù)庫信息，被黑客稱為“拖庫”。目前我國的地下“拖庫”已經(jīng)形成黑色產(chǎn)業(yè)鏈，年交易值可達數(shù)十億。

我國政府和企業(yè)已經(jīng)開始認識到信息存儲安全的嚴重形勢，在2014年陸續(xù)出臺多項相關(guān)政策：如關(guān)鍵機構(gòu)信息化建設中使用國產(chǎn)IT產(chǎn)品替換國外產(chǎn)品、為政府工作人員配置國產(chǎn)芯片安全手機等。多個行業(yè)也發(fā)起了“去IOE化”運動，即減少國外品牌的服務器產(chǎn)品（以IBM為代表）、數(shù)據(jù)庫產(chǎn)品（以Oracle為代表），信息存儲產(chǎn)品（以EMC為代表）。“去IOE化”導致國產(chǎn)品牌存儲產(chǎn)品市場迅速擴大，如華為、宏杉、浪潮等信息存儲產(chǎn)品在2014年都取得了快速的發(fā)展，占據(jù)了大量存儲設備市場。但我國在存儲產(chǎn)品方面起步較晚，技術(shù)積累不足，產(chǎn)品系列不全，尚不能形成完整的產(chǎn)業(yè)支撐；即使是國產(chǎn)品牌的存儲產(chǎn)品，使用的存儲控制芯片、存儲介質(zhì)等關(guān)鍵部件也仍然是國外產(chǎn)品，安全性不可信任；我國目前還有巨大的國外存儲產(chǎn)品保有量，僅磁盤陣列就超過百萬臺，磁盤數(shù)十億塊。保存在其中的信息，全部遷移到國產(chǎn)品牌設備，是一項短期不可能完成的任務。因此“去IOE化”無法從根本上解決信息存儲安全問題。

解決我國信息存儲安全問題，是一個復雜的系統(tǒng)工程，需要從國家政策法規(guī)、行業(yè)規(guī)范和標準、技術(shù)研發(fā)、產(chǎn)業(yè)鏈、市場等多方面入手。

一、國家政策法規(guī)

近年來，我國政府越來越重視信息安全問題，將信息安全上升到國家安全的高度。雖然政府已經(jīng)認識到信息存儲安全的重要性，但重視程度遠低于信息傳輸安全和安全行為檢測等領(lǐng)域。我國法律對信息存儲安全保護的層級比較低，2012年國務院出臺的《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干規(guī)定》、2013年工業(yè)和信息化部發(fā)布了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等文件，信息存儲安全都僅被簡單提及。

信息存儲安全的一個重要法理問題，是信息所屬主體的界定。例如互聯(lián)網(wǎng)企業(yè)提供免費的軟件、游戲、服務、硬件、存儲等，過程中產(chǎn)生的數(shù)據(jù)屬于誰，成為模糊地帶。電子郵件、網(wǎng)商帳戶、網(wǎng)盤文件等信息，明確可界定為個人所有信息，但網(wǎng)頁瀏覽記錄、搜索記錄、聊天記錄、電子消費記錄等，則無法清晰定義信息所屬主體?；ヂ?lián)網(wǎng)企業(yè)通過對這些信息的分析，從其它渠道獲取商業(yè)收益，支撐“互聯(lián)網(wǎng)免費”，已經(jīng)成為標準商業(yè)模式，這也是大數(shù)據(jù)分析的行業(yè)基礎。劃分信息的所屬，是信息存儲安全立法的基礎。只有搞清了信息的所屬關(guān)系，才能界定信息存儲保護的責任主體，信息使用的范圍，信息竊取行為的定義，以及對濫用信息和竊取信息的處罰。近年來，我國出現(xiàn)了眾多竊取信息事件，很多都存在信息所屬主體不明、責任不清、缺乏適用法律的問題，導致量刑過輕，起不到震懾作用。

針對個人信息、企業(yè)信息、國家信息等不同層級，制定我國關(guān)于信息保護的法律，是信息存儲安全的法律和政策基礎。

二、行業(yè)規(guī)范和標準

2009年TCG組織（Trusted Computing Group ）公布了世界上第一個信息存儲安全的行業(yè)規(guī)范，包括存儲界面交互性、混合加密、企業(yè)級存儲安全子系統(tǒng)三個部分，涉及的設備從手機、平板電腦、標準PC、筆記本、數(shù)據(jù)中心驅(qū)動器、服務器、一直到大型存儲陣列，得到眾多國際存儲設備廠家的支持。

我國目前尚未制定面向信息存儲安全的國家標準，缺乏權(quán)威的國家和行業(yè)測評，各企業(yè)“自說自話”，整個行業(yè)處于無序發(fā)展狀態(tài)?！缎畔踩燃壉Ｗo測評指南》是少數(shù)提及信息存儲安全的國家標準，在“第3級安全控制測評”的數(shù)據(jù)保密性評測要求中，提到“網(wǎng)絡設備操作系統(tǒng)、主機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)采用加密或其他保護措施實現(xiàn)存儲保密性；當使用便攜式和移動式設備時，采用可移動磁盤或加密存儲敏感信息。”但我國信息安全行業(yè)、密碼行業(yè)等相關(guān)測評中心一直缺乏用于評測信息存儲安全產(chǎn)品的國標細則，不能對存儲安全設備、軟件、服務進行有公信力的評測。多年來“等保”系統(tǒng)在信息存儲安全方面流于形式，或采用不符合我國密碼管理方式和密碼算法的國外產(chǎn)品，嚴重影響了我國的信息安全系統(tǒng)建設。

通過借鑒國外的相關(guān)標準，結(jié)合我國的密碼體制、密碼算法、安全體制、信息管理體制等特性，建立適用于我國信息存儲安全設備、軟件、服務、工程等個各方面的評測、實施國家和行業(yè)標準，是保證信息存儲安全行業(yè)健康有序發(fā)展的必要條件。

我國的信息存儲安全技術(shù)和產(chǎn)品基礎較弱，需要從基礎研發(fā)上擺脫受制于國外的局面。

一、自主可控存儲控制芯片

所有存儲設備都可以簡化為兩個部分：存儲控制芯片和存儲介質(zhì)。存儲控制芯片控制信息的存入和讀出，是信息存儲安全的關(guān)鍵。保證存儲控制芯片的安全性，就給整個存儲設備裝上了“防盜門”，即使使用國外品牌的存儲介質(zhì)，也可以有效的保護信息存儲安全。目前發(fā)現(xiàn)的存儲安全事件，絕大部分都和存儲控制芯片的后門相關(guān)，存儲控制芯片做到自主可控，是信息存儲安全產(chǎn)品的關(guān)鍵技術(shù)。

目前存儲控制芯片主要廠家有Intel、Samsung、SandForce、Marvell、PMC等歐美日韓廠家。存儲控制芯片種類繁多，市場巨大，設計難度不足通用CPU的1/10，應用環(huán)境較單一，工藝水平要求不高。對于正在追趕國際先進水平的中國芯片行業(yè)，是非常合適的產(chǎn)品方向。國外存儲控制芯片水平領(lǐng)先中國不到5年的時間，通過國際合作、引進吸收的方式，國內(nèi)企業(yè)可以很快實現(xiàn)“彎道超車”。國內(nèi)巨大的存儲安全市場，足夠多家存儲控制芯片廠家實現(xiàn)盈利。如果國家出臺對存儲安全的扶持性政策，可以促進存儲控制芯片的迅速發(fā)展，奠定信息存儲安全的基石。2015年杭州華瀾微公司和CETC58所分別發(fā)布了商用和軍用SSD存儲控制芯片，邁出了國產(chǎn)自主可控的第一步。

二、存儲信息加密

對信息進行加密后再進行存儲，使用時再進行解密，是信息存儲最直接的安全手段。保存在存儲設備上的數(shù)據(jù)均為密文，即使黑客竊取了存儲設備，也無法解密獲得其中的數(shù)據(jù)。

存儲信息加密有兩種方式：

1、信息源加密，即信息在寫入到存儲設備前，將信息進行加密，再保存到存儲設備上；使用時先讀出加密信息，進行解密后再使用。信息源加密易于實現(xiàn)，是較為傳統(tǒng)的存儲安全保護手段，已經(jīng)成為壓縮軟件（如rar、zip等）的輔助功能。其缺點也非常明顯，信息需要整體解密后才能使用，對于大型文件，解密周期較長，影響了用戶體驗；解密后的信息以臨時文件的方式保存在隱藏目錄中，不用時再刪除，存在文件殘留，易于被黑客竊??；在云計算環(huán)境中，數(shù)據(jù)庫和分布式存儲大量使用，信息源加密消除了信息的段特征，導致數(shù)據(jù)庫的查找等功能失效，無法同時滿足云存儲的安全性和可用性需求。

2、透明存儲加密，即信息在寫入存儲設備的過程中自動被加密，從存儲設備讀出的過程中自動被解密。透明存儲加密無需用戶干預，不改變用戶使用習慣，對信息加密的同時不影響數(shù)據(jù)庫的查找功能，適用于各種單機存儲系統(tǒng)和云計算存儲系統(tǒng)，是目前最適用的存儲加密技術(shù)。

透明存儲加密已經(jīng)做為標配，嵌入到Oracle數(shù)據(jù)庫軟件中，通過簡單的配置就可以實現(xiàn)Oracle數(shù)據(jù)庫的存儲透明加密。但由于Oracle數(shù)據(jù)庫使用的加密體制和算法，不符合我國密碼管理的要求，在我國政府和關(guān)鍵行業(yè)都無法確認其安全性。國內(nèi)的軟件加密廠商按照這一思路，推出軟件透明加密產(chǎn)品，包括數(shù)據(jù)庫加密存儲和文件加密存儲等。由于操作系統(tǒng)和數(shù)據(jù)庫軟件均為國外產(chǎn)品，軟件透明加密只能做為一種應用運行，不能防御操作系統(tǒng)漏洞和數(shù)據(jù)庫軟件后門，安全性不高。軟件透明加密占用CPU資源，在備份加密時需要關(guān)閉壓縮功能，耗費更多的存儲容量，增加備份時間，實用性受到一定影響。

國內(nèi)的信息安全設備廠商，采取另一種更安全和高效的方式：在存儲設備前加裝透明存儲加密設備，可以防御黑客通過存儲設備后門，竊取其中保存的信息，對保存在國外存儲設備中的信息進行加密加固，有效的提高了存儲系統(tǒng)的安全性。透明存儲加密設備是獨立于存儲設備和服務器的獨立設備，不受操作系統(tǒng)、文件系統(tǒng)、應用程序的影響，不會因為操作系統(tǒng)漏洞和存儲設備后門降低安全性，可以較為容易的做到自主可控，安全性可信任。透明存儲加密設備具有強大的負載能力，可以保護生命周期內(nèi)的數(shù)據(jù)安全和備份、容災過程中的整體信息安全，同時也保證了整個存儲系統(tǒng)的使用性能不會明顯下降，是較為理想的信息存儲安全解決手段。2015年國內(nèi)企業(yè)陸續(xù)推出了符合我國密碼標準的透明存儲加密設備，如龍騰融智、中科芯、衛(wèi)士通、中航微電子、興唐、數(shù)盾等，有力的支撐了信息存儲安全市場，可以預見，未來有更多的企業(yè)會加入這一陣營。

三、身份認證和訪問控制

身份認證和訪問控制是信息安全行業(yè)常用的安全手段，也是信息存儲安全非常重要的一環(huán)。對于數(shù)據(jù)中心、企業(yè)服務器等專用存儲環(huán)境，具有專職的管理人員，通過數(shù)字證書、安全管理服務器、防火墻等手段，雖然存儲安全問題仍然很嚴重，但尚有一定的安全性。問題更加嚴重的是個人存儲環(huán)境和通用存儲環(huán)境，如個人手機存儲、個人硬盤存儲、云盤存儲等。這類存儲大部分僅靠口令進行保護，安全性很低。2015年爆出IPhone手機的開機口令可以在很短時間內(nèi)破解，打破了蘋果的安全神話。某些手機應用軟件，連口令也不需要，信息完全處于無保護的狀態(tài)。例如某電子商務企業(yè)的小額支付免密碼，就給用戶帶來巨大的安全隱患。

近年來，結(jié)合生物密碼的身份認證技術(shù)，成為信息存儲安全一種重要的身份識別方式，生物密碼包括生理特征密碼和行為特征密碼。通過使用者的生理特征，如指紋、掌紋、虹膜、面像等進行身份認證和訪問控制，已經(jīng)形成較大的市場；通過使用者的行為特征，如叩擊節(jié)奏、聲紋、筆跡等，做為身份識別的輔助手段，剛剛進入實用階段?；谛袨樘卣鞯纳矸葑R別和訪問控制，具有更強的安全性和隱蔽性，可以提高個人信息存儲的安全。例如在輸入口令時，不但要檢測口令的正確性，還要檢測輸入的節(jié)奏，即口令各數(shù)字和字符輸入的間隔時間，可以有效的避免對口令進行暴力破解，解決困擾電商、網(wǎng)購、小額金融等行業(yè)多年的安全問題。我國信息安全行業(yè)在使用行為特征保護信息存儲安全方面剛剛起步，目前尚未出現(xiàn)領(lǐng)軍企業(yè)。

信息存儲安全是信息化社會發(fā)展到現(xiàn)階段凸顯的新型信息安全方向，是影響我國國家安全和國計民生的重要領(lǐng)域。目前我國政府、企業(yè)、個人對信息存儲安全重視程度不足，配套資源較少；信息安全企業(yè)在存儲安全方面涉足較淺，產(chǎn)業(yè)成熟度低，與我國龐大的存儲使用量不相匹配?？梢灶A見，在未來幾年，涉及信息存儲安全的事件將頻發(fā)。我國政府和信息安全企業(yè)需要盡快重視信息存儲安全問題，加大相關(guān)投入，保障我國信息化建設的健康、持續(xù)發(fā)展。