2023关键信息基础设施安全存储建设指南

目录 CONTENTS 01引言01 02数据安全保障是数字中国整体规划的组成部分02 2.1数据存储安全是关键信息基础设施保护的关键一环03 2.2数据存储安全要求是企业的重要合规责任04 03数据安全存储产业现状分析06 3.1近期数据安全事件与存储安全高度相关07 3.2我国存储软件产业存在较大风险08 3.3我国存储硬件产业仍有较大提升空间09 3.4数据安全治理体系升级带来存储组织管理方式的转型10 04安全存储组织与技术方案11 4.1第一个层次，构建成熟的安全存储管理体系12 第一个方面：匹配数据安全管理体系13 4.2第二个层次，构建先进的数据安全防护能力15 第二个方面：数据加密存储15 第三个方面：数据防勒索16 第四个方面：数据容灾备份归档18 第五个方面：数据安全流转20 4.3第三个层次，构建健壮的安全存储系统21第六个方面：存储硬件底座安全21第七个方面：存储软件安全21 05关键信息基础设施安全存储行业实践22 5.1关键信息基础设施行业安全存储策略分析23 5.2我国各关键信息基础设施行业的安全存储需求24 5.3关键信息基础设施行业安全存储应对建议31 5.4案例分享32 06关于加强关键信息基础设施安全存储的建议37 07参考文献39 引言 01 引言 近年来，我国高度重视关键信息基础设施安全保护工作，在中央网络安全和信息化领导小组第一次会议上习近平总书记指出：“要抓紧制定立法规范，完善关键信息基础设施保护等法律法规”。《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等法律法规相继颁布并实施，2021年9月1日， 《关键信息基础设施安全保护条例》（下文简称《条例》）正式实施，2023年5月1日国家标准《GB/T39204-2022信息安全技术关键信息基础设施安全保护要求》(以下简称《要求》)正式实施，标志着我国网络空间安全保护迈进了以关键信息基础设施安全保护为重点的新阶段，对保障国家安全、经济发展和社会稳定，推进数字中国的建设、数字经济的发展具有十分重要的意义。 数据安全是我国关键信息基础设施保护的重点工作。关键基础设施承载的数据属于国家生产要素，是国家的重要战略资源，在国家经济发展和社会进步中发挥着基础性的作用。首先，《条例》将数据泄露可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等列入关基保护范围；其次，《条例》明确提出要“维护数据的完整性、保密性和可用性”；最后，《条例》将数据安全的保护以为作为专门安全管理机构的八个职责之一，将重要数据泄露、较大规模个人信息泄露成为法定报告内容。由上可知，数据安全已经成为我国关基保护工作中的重点工作。 随着数字经济的发展，数据已经被列为生产要素。数据存储是数据的“家”，数据存储安全能力是关基保护工作尤其是数据安全的基础保障。作为关键基础设施的运营者，首先要履行合规义务，按照《条例》等法律法规和《要求》等标准履行相关职责。同时加强关键信息基础设施安全保护，确保数据的安全流动和数据价值释放。本次报告将以关键信息基础设施数据保护为基础，论述目前我国在数据存储安全方面面临的挑战，并对从存储自身安全防护、存储数据安全防护技术、部分关基行业安全管理和技术实践等方面进行论述，旨在推动存储在关基行业安全防护技术创新和产业发展，由于编者水平有限，不足之处请指出。 01 数据安全保障是数字中国整体规划的组成部分 02 数据安全保障是数字中国整体规划的组成部分 数据作为一种生产要素，随着数字中国建设的深入，数据价值在不断提升。习近平总书记指出，数据作为新型生产要素，对传统生产方式变革具有重大影响。随着各行各业数字化进程的深入，数字中国建设的不断推进，大量的生产活动方法、经验、成果都通过数据进行承载，数据在加速流动和汇聚，进一步提升了数据的价值和重要性。大数据/大算力本身可以驱动包括AI在内的科技快速发展和创新，对国家生产力的提升起到了越发关键的作用。 数据经济的发展、数据要素价值的发挥与数据安全保障密不可分。2023年2月中共中央、国务院印发《数字中国建设整体布局规划》，明确按照“2522”整体框架布局，要求夯实数字基础设施和数字资源体系“两大基础”、推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合，强化数字技术创新体系和数字安全屏障“两大能力”，优化数字化发展国内国际“两个环境”。《规划》指出，要强化数字中国关键能力。要筑牢可信可控的数字安全屏障。切实维护网络安全，完善网络安全法律法规和政策体系。增强数据安全保障能力，建立数据分类分级保护基础制度，健全网络数据监测预警和应急处置工作体系。 数据面临可用性、机密性、完整性风险，做好数据安全防护和治理，发挥数据价值。数据自身的高价值，同时数据复 02 数据安全保障是数字中国整体规划的组成部分 安全风险 生命周期 制的低成本给数据防护带来很大的挑战，客户担心数据安全风险也是导致数据价值难以充分释放的原因之一。在确保数据安全合规的前提下，利用技术创新，加速数据流动与交易已经成为迫切的需求。数据要素的全生命周期安全，数据存储设备在数据的机密性、可用性保障方面的作用不可替代，数据存储安全能力提升是加强数据安全防护水平，提升数据安全治理效率技术体系的重要组成部分。 数据要素的全生命周期安全 数据采集 数据传输 数据存储 数据使用 数据提供/共享 数据销毁 数据篡改 数据传输监听 数据非法拷贝 数据勒索/恶意删除 数据非法转移 共享数据滥用 非授权数据恢复 进不来拿不走毁不了看不懂不滥用不泄露赖不掉 2.1 数据存储安全是关键信息基础设施保护的关键一环 防护目标 当今世界，科技革命和产业变革日新月异，数字经济蓬勃发展，深刻改变着人类生产生活方式。数据成为数字产业发展和产业数字化的基础。但数据的产生和数据的存储偏好并不相同。数据的来源于端边云，数据70%向数据中心集中，大规模集约化数据中心形成。数据在哪里，价值在哪里，攻击就会朝向哪里。 数字经济时代，如何更好获取并利用数据这一新型生产要素已成为全球竞争的新战场。数据上升为国家级战略，而存储作为IT基础设施的重要组成部分，数据存储的安全能力将直接影响到整个关键信息基础设施的安全能力。 常见的关键信息基础设施安全风险，多来自于自然灾害或人为失误、攻击或破坏导致的不可用性。最近的防护重点正在从传统的网络攻防和容灾备份保护，转变为防范多种多样的新型恶意软件攻击。新型恶意软件攻击，不再是纯粹的信息破坏与窃取，而是针对信息系统背后的重要关键基础设施，使用专用攻击平台，利用0-day漏洞，对目标软件硬件持续的入侵和控制。以勒索病毒为例子，早已经不是简单的加密数据一种手段，包括锁定系统、加密数据、篡改或者删除数据等。关键信息基础设施运营机构必须为新威胁做好准备，突破传统的条条框框。网络犯罪正在成为一种服务，此类“创新”服务提供高度敏捷和适应性的攻击，让企业和公共机构防不胜防。关键信息基础设施由于高昂的停机成本，存在潜在的高额赎金，正在成为勒索软件攻击服务首要关注的目标，一旦得逞会造成极大的社会与经济影响。据统计2022年全球勒索病毒攻击事件上升到2.36亿起，62.9%的攻击事件最终支付了赎金。 网络攻击造成数据基础设施攻击或数据窃取有时由政府机构实施。某国官方机构通过其下属部门-接入技术行动处 （TAO）的“黑手行动”，在30天内远程窃取了超过970亿条全球互联网数据和1240亿条电话记录，涉及世界各国的大量公民个人隐私，这些数据正在成为某些国家的非法信息来源。此前针对中国境内目标所使用的代表性网络武器“量子”攻击平台的操盘手就是TAO，该平台可以劫持全世界任意地区任意上网用户的正常网页浏览流量，实施漏洞利用、通信操控、非法信息窃取等一系列复杂网络攻击。 03 安 全 全 防 防 护 网 络 络 边 界 安 数据安全保障是数字中国整体规划的组成部分 在数据要素时代，主要依靠闸门式、关卡式的“围墙”进行安全保护的传统数据安全已不能胜任对海量、繁杂和快速流动的数据保护要求。构建多维纵深的数据安全防御体系，尤其是数据汇聚的存储层构建强有力的安全保护措施，将成为影响关键信息基础设施整体安全性的重要任务。依据诺斯罗-普格鲁曼纵深防御模型，存储设备拥有近数据的保护能力，近介质的控制能力，在数据存储安全防护，数据安全销毁等领域有不可替代的作用。成为数据安全防护的最后一道防线。 防御 核心资产 （数据） 检测+响应 全 全 全 防 护 防 护 护 防 护 数 应 据 主 用 网 机 安 安 安 诺斯罗普·格鲁曼纵深防御模型 2.2 数据存储安全要求是企业的重要合规责任 我国已经形成体系化的安全法规体系，对应的政策与标准体系也正在细化。本章对于存储有关的政策条款进行分析，指出存储安全在政策体系中的重要地位，也分析存储安全相关的各项合规责任。 我国《网络安全法》的第三十四条，明确提出关键信息基础设施的运营者要“对重要系统和数据库进行容灾备份”。 我国《网络安全审查办法》中，提出了“第二十一条本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。” 在工信部2022年发布的《工业和信息化领域数据安全管理办法（试行）》的第十五条，明确提出“工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的，应当采用校验技术、密码技术等措施进行安全存储，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试。” 2022年底，我国第一个关基保护的国家标准GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》中，也明确提出了要求：“e）建立业务连续性管理及容灾备份机制，重要系统和数据库实现异地备份；f）数据安全性要求高的实现数据库的异地实时备份。业务连续性要求高的实现系统的异地实时备份，确保关键信息基础设施一旦被破坏，可及时进行恢复和补救；g）在关键信息基础设施退役废弃时，按照数据安全保护策略对存储的数据进行处理” 在2021年发布的GB/T39786-2021《信息安全技术信息系统密码应用基本要求》中，也明确要求：“a)机密性技术要求保护对象。使用密码技术的加解密功能实现机密性，信息系统中的保护的对象为：4）信息系统应用中所有存储的重要数据。”还有“b）完整性技术要求保护对象。使用基于对称密码算法或密码杂凑算法的消息鉴别码机制，基于公钥密码算法的数字签名机制等密码技术实现完整性，信息系统中保护的对象为：10）信息系统中所有存储的重要数据。” 在已成熟运作的等保2.0系列标准对信息系统应具备的数据安全保护能力提出了相应的要求，这其中对数据备份恢复能力提出了明确的要求。此外，GB/T20988-2007明确规定了信息系统应满足的各类灾难恢复能力要求。 04 数据安全保障是数字中国整体规划的组成部分 《网络安全应急能力评估准则》：6.4.1节“应具备自动化应急处置与灾备恢复工具设施，优先保障关键业务符合恢复时间目标(RTO)、恢复点目标(RPO)等业务连续性要求，宜采用自动化机制迅速控制事件影响，例如自动隔离有害程序事件、自动阻止网络攻击事件等；” 国务院办公厅印发的《全国一体化政务大数据体系建设指南的通知》中也提出了重要任务包括“合理利用全国一体化大数据中心协同创新体系，完善政务大数据算力管理措施，整合建设全国一体化政务大数据体系主节点与灾备设施，优化全国政务云建设布局，提升政务云资源管理运营水平，提高各地区各部门政务大数据算力支撑能力。” 05 数据安全存储产业现状分析 03 数据安全存储产业现状分析 今天的数据面临着更加多样化的