浪潮分布式存储AS13000G5,实现存储系统的极致安全

随着数据价值不断提升，数据逐步成为企业内最重要的数字资产，存储系统成为整个信息系统的重中之重。使用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性，并采取适当的安全控制措施对其实施保护显得越来越重要。然而，随着标准化、开放化、分布式和智能化的发展，存储系统逐渐变得易受到攻击，数据遭受的安全威胁日益增多，窃取、篡改或破坏重要数据的事件也不断发生。2020年上半年，某医院数千人名单泄露，泄露的内容包括姓名、电话、身份证号码、个人详细居住地址、就诊类型。同期，某连锁酒店也受到数据泄露的打击，暴露了上百万名客户的个人详细信息，包括姓名、地址、出生日期、性别、电子邮件地址和电话号码……

根据近年来发生的数据安全问题可以发现，如果存储系统没有安全保障措施，一旦攻击者成功渗透到数据中，其产生的负面影响将是无法估量的。

为满足用户数据保护的需求，并提供多层次的数据保护方案。浪潮在分布式存储开发设计中，遵从保密性、完整性和可用性三大安全原则，结合特定的存储系统架构，综合考虑IO机制和安全策略，推出超大规模数据中心级分布式存储平台AS13000G5，实现数据安全、系统安全、通信安全和应用安全。

浪潮存储的四大安全性设计硬件架构安全性设计的“三板斧”

浪潮存储通过存储节点架构、各硬件单元自身及单元交互通信设施三个方面的安全性设计，保障了硬件架构的安全。

首先，在存储节点架构的安全性设计方面，浪潮存储采用X86体系架构，并设计开发了硬件系统，确保在使用过程中能够抵御非授权行为篡改；其中，在物理硬件、固件、部件等方面采取完整性检测或校验等机制，保证了各功能模块的安全。

其次，在各硬件单元的安全方面，浪潮存储产品在主板设计中实现了固件加密或数字签名，防止不明固件的非法写入，确保无外部入侵漏洞；其中管理芯片负责解析硬盘在位、警示信息，将解析信息与其它存储单元隔离，解除了泄露隐患。

最后，在各硬件单元交互通信设施的安全性设计方面，浪潮存储对所有物理接口均有明确定义，未预留任何不明确的接口。对外可见接口具备“接入控制/访问控制”机制，可以防止非法人员通过该接口进行非法操作。

如何保障数据“存”和“取”安全

浪潮存储为数据的存储和调用提供了安全性保障。在“存”的方面，浪潮存储支持多副本、纠删冗余策略，确保数据冗余。支持数据复制功能，通过远程复制实现数据的远端备份和恢复、持续的业务数据支撑、数据的容灾恢复，保证数据存取的持续性、可恢复性、高可用性和安全性。通过定期的数据完整性校验机制，以底层最小的数据组织为单位遍历所有的数据，以保证没有数据丢失或不匹配问题。在“用”的方面，浪潮存储对API接口、内部固件数据访问、物理访问接口、维护接口设置访问控制策略，未预留不明确的数据调用接口，敏感数据的访问具有认证、授权或加密机制；对于认证凭据的安全存储，在不需要还原明文的场景下，使用不可逆算法加密。

系统软件安全 如何保障

浪潮存储采用全对称、分布式存储架构，支持跨节点、机柜、数据中心的数据冗余保护，支持存储服务的在线切换，保证业务连续性和数据安全性。在存储服务协议方面，浪潮存储默认使用具有加密和认证功能的安全版本协议，对存储系统中API接口和管理接口均提供安全认证机制，以防注入漏洞，或防止相关信息或内容被泄露。

同时在数据安全方面，浪潮存储采用强一致性数据完整性保护机制，实现数据的落盘一致性、完整性校验和保护；根据应用场景，用户可灵活的定义数据的冗余策略，支持硬盘、节点、机柜、机房等多级容灾隔离。同时，浪潮存储在应用层提供快照、克隆、回收站、WORM、ACL、快速故障切换等多种数据保护功能。

浪潮存储面向系统管理 进行安全性设计

浪潮存储从管理功能、管理调用、用户权限三方面入手进行了系统管理的安全性设计。

在管理和维护的功能安全设计方面，浪潮存储提供GUI和CLI等多种管理方式，可查询监控系统状态、容量、资源使用率、告警等信息，也可以完成系统常用配置和操作。浪潮存储还可以自动查询和收集设备的工作状态，当监测数值超过预先设定的故障阈值时，提供邮件、短信、SNMP等报警方式。

在监控管理调用的安全性保障方面，浪潮存储通过管理审计日志，能查看管理界面登陆用户界面操作，详细记录用户对系统进行的配置和使用；并通过数据审计日志，记录客户端读写行为，分析用户数据传输情况，从而实现对系统各服务的运行或故障状态、切换情况等进行记录及告警。

最后在用户权限方面，浪潮存储基于鉴权及访问控制，在用户名和密码认证通过后，更换会话标识，以防止会话固定漏洞。对于每一个需要授权访问的页面都核实用户的会话标识是否合法、用户是否被授权执行此操作。

浪潮分布式存储AS13000G5，通过以上四大安全性设计，保障用户数据信息的完整、不受损坏、不被窃取以及安全管理，在保障存储系统可靠性、可用性的基础上实现存储系统的极致安全。

责任编辑：gt