吳冬凌：內外兼修，方可保證數據安全無憂

從全球數據發展情況來看。目前谷歌、微軟、亞馬遜、蘋果以及Facebook是資金投入最大的五家超大規模運營商，在2018年第三季度占整體260億美元市場規模的70%，并將資金主要用于擴展和裝備自己的數據中心。

在國內，阿里巴巴率先進入全球視野，在亞太領域中，阿里和騰訊進入亞太前五，據2018年數據顯示，全球有超過四萬個數據中心，其中99%以上是自有數據中心，以上也在代表著大家對數據的一種看法。

伴隨數據量激增，除了數據容量變化以外，數據的分布和模式也發生了變化，右邊的圖大家可以看到，原來數據放在數據中心是集中的地方，現在從一個中心轉網絡邊緣，這帶來的巨大的挑戰和沖擊導致整個數據產生和發展的模型與布局發生了變化，意味著數據帶來的風險也會逐步提升。

再加上數據必然會落實到某一種存儲介質上，這里援引數據來幫助我們看到目前數據存儲介質是什么樣的狀態，從左邊的圖上我們可以看到目前超過五成的數據放在HDD上，26%放在閃存上。

伴隨著現在數據分布模式的變化，企業應用數據的主體對于數據的分布處理的策略也跟隨著發生變化?，F在企業傾向于邊緣和節點，更愿意用HDD部署。我們可以看到數據有非常大的價值，而伴隨數據量增長，也必然會出現數據安全的問題。

2018、2019出現了很多比較著名的安全事件，大家關注互聯網會看到，比如“WannaCry（永恒之藍）”、“Mirai（僵尸網絡，DDos）”、“黑暗力量BlackEnergy”、“震網（基礎設施蠕蟲）”、“火焰”、“心臟滴血”，這些告訴我們什么呢？

現在的信息安全問題是實實在在還有巨大的漏洞，需要不斷優化。比如全球信息安全領導廠商卡巴斯基對黑客組織Equation Group的調查報告顯示，Equation Group通過重新編碼我們硬盤驅動器里邊的部件，帶來的效果是在未知情況下在我們盤上的固件里預埋一個東西在里邊，這樣無論對你的盤做什么格式化刪除等操作，我們都完全無能為力。我們總結具備的特性叫持久化，在你的存儲控制器里邊已經埋入安全性種子。這是帶來所有的數據巨大的威脅。

數據的價值講了很多應用，數據的安全問題我們同樣要去考慮。在這里我們可以看到網絡攻擊常態化伴隨什么問題，發生攻擊的成本越來越低，一個小時只需要五美元，你在網上20美金可以買到很多網絡攻擊操作手段，這帶來的問題網絡的安全和攻擊隨時發生在我們周圍。

而數據泄露的平均成本從2017年的362萬美元上升到2018年386萬美元，2019到392萬美元。平均每條失竊記錄的成本從2017的141美元上升為148美元。

因此我們說網絡威脅是現在永恒的話題，數據就是資產，現在進一步會看到對數據基礎設施的攻擊，已經形成了一種暴恐的手段，其實已經形成了國家主權的恐嚇。

這并不是我們臆想，而是實實在在發生的事情?；剡^頭來看，為什么出現那么多攻擊，設計的IT系統不能窮盡所有邏輯組合，利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。

為了應對現在的網絡攻擊，主動免疫的安全目標，為了確保安全計算任務的邏輯不會被篡改和破壞，從而需要正確計算。

做了背景分享，國科微首席安全技術官吳冬凌為大家分享了國科微在數據安全上的想法和工作。首先這里我們舉一個讓大家都很好理解的簡單業務模型，就是我們去上網，在外部瀏覽器去找我們想要的東西，然后數據會落地到落盤，無論是網絡盤還是本地盤都經過這樣一個過程。

回溯整個過程，三個地方將存在被攻擊的點——網絡傳輸中被攻擊，計算過程中被攻擊，數據存取中可能被攻擊。

網絡傳輸攻擊是數據沒有被加密。對用戶環節比較有意思，我們經常舉的一個例子，打印資料時走到打印機面前等打印機工作，發現它沒有響，而隔壁打印機響了，你可能想是我弄錯打印機了，但是也可能你被攻擊了。

國科微處理數據安全上是由內而外，最用心保護數據，方案分成兩個維度。一個內剛，一個外柔。

一個系統化芯片對數據安全，包括存儲加密芯片，存儲可計算芯片，存儲控制芯片，控制器最核心那一塊，存儲加密芯片保證數據傳輸過程中會安全加密，保證數據不會被別人竊取，運行過程中關心的核心業務不會被篡改。

有了芯片其實不夠，芯片是小而專的東西，業務千奇百怪，光有內剛還不行，有一個外柔，外柔是通過我們軟件包裹場景，這樣定義外柔，通過軟件的設計實現滿足業務上的高彈性和業務需要，同時軟件系統會跑到主機上，對主機和操作系統的適配是我們看重的問題。