一、存儲(chǔ)面臨的安全新挑戰(zhàn)
1、 安全合規(guī)成為必選項(xiàng)
2017 年 6 月 1 日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，這是中國建立嚴(yán)格的網(wǎng)絡(luò)治理指導(dǎo)方針的一個(gè)重要里程碑。 2019年5月13日，《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等相關(guān)國家標(biāo)準(zhǔn)正式發(fā)布，宣告“等保2.0”時(shí)代的到來。此外，《數(shù)據(jù)安全管理辦法（征求意見稿）》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》、《密碼法》等陸續(xù)出臺(tái)。2018年歐盟頒布的《通用數(shù)據(jù)保護(hù)條例》（GDpr）堪稱史上最嚴(yán)厲、最翔實(shí)的一部保護(hù)用戶數(shù)據(jù)安全的法律。2020年1月起，美國加州的消費(fèi)者隱私法案（CCPA）也正式生效，該法案將對(duì)所有和美國加州居民有關(guān)的數(shù)據(jù)商業(yè)行為進(jìn)行監(jiān)管。
隨著世界各國法律法規(guī)的相繼推出，數(shù)據(jù)安全保護(hù)的重視程度逐漸加深。在采集、應(yīng)用、存儲(chǔ)過程中，數(shù)據(jù)安全保護(hù)和隱私保護(hù)不再是可選項(xiàng)。

2、來自黑客及勒索病毒的威脅
層出不窮的黑客及勒索病毒的攻擊也對(duì)數(shù)據(jù)安全帶來極大挑戰(zhàn)。根據(jù)360安全大腦發(fā)布的《2月份勒索病毒疫情分析報(bào)告》顯示， GlobeImposter、phobos、Crysis等長期存在的勒索病毒與新出現(xiàn)的HackedSecret，Makop等新型勒索病毒正在瞄準(zhǔn)各大系統(tǒng)發(fā)起猛烈攻擊。
軟件廠家以及云服務(wù)提供商需要不斷增強(qiáng)對(duì)勒索軟件的檢測，防止備份數(shù)據(jù)的再次感染，同時(shí)，反勒索軟件技術(shù)需要從檢測和預(yù)警已經(jīng)發(fā)生的攻擊發(fā)展為在入侵之前就可以識(shí)別惡意代碼，保證備份數(shù)據(jù)的安全性。
3、 人為因素的破壞性巨大
人為因素對(duì)數(shù)據(jù)安全造成的破壞性往往被忽略了。從企業(yè)內(nèi)部來看，這些人為因素包括技術(shù)的選型不當(dāng)，安全意識(shí)淡薄，沒有備份及容災(zāi)規(guī)劃；流程層面，權(quán)限設(shè)置不當(dāng)，存在特權(quán)用戶等等。人為操作導(dǎo)致的服務(wù)崩潰或刪除核心數(shù)據(jù)庫的行為時(shí)有發(fā)生，這些行為都給企業(yè)運(yùn)營能力和行業(yè)競爭力帶來永久性的損害。
4、 新數(shù)據(jù)安全技術(shù)
數(shù)據(jù)共享平臺(tái)依托于中心化的數(shù)據(jù)交換機(jī)制，在個(gè)人隱私保護(hù)上存在過程復(fù)雜、成本高、效率低等問題，因此，數(shù)據(jù)安全需要新的數(shù)字技術(shù)予以賦能，例如需要人工智能技術(shù)實(shí)現(xiàn)更為高效的數(shù)據(jù)安全治理，助力數(shù)據(jù)大規(guī)模安全應(yīng)用，有力推動(dòng)經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型升級(jí)。
二、阿里云在存儲(chǔ)領(lǐng)域的最佳安全實(shí)踐
1、精細(xì)化的權(quán)限管理，保障數(shù)據(jù)訪問的安全
數(shù)據(jù)的訪問權(quán)限規(guī)定了何人、何時(shí)以何種方式獲得數(shù)據(jù)，訪問權(quán)限的管理是一種有效的數(shù)據(jù)保護(hù)方式。
阿里云存儲(chǔ)產(chǎn)品支持文件系統(tǒng)標(biāo)準(zhǔn)的目錄/文件權(quán)限操作，并支持用戶/組的讀/寫/執(zhí)行權(quán)限，支持VPC 掛載點(diǎn)和經(jīng)典網(wǎng)絡(luò)掛載點(diǎn)，并只允許同一 VPC 內(nèi)或同一賬號(hào)下的 ecs 實(shí)例訪問其文件系統(tǒng)。同時(shí)提供了權(quán)限組功能，通過白名單添加權(quán)限組規(guī)則，允許指定的 IP 地址或網(wǎng)段訪問文件系統(tǒng)，并可以給不同的 IP 地址或網(wǎng)段授予不同級(jí)別的細(xì)粒度訪問權(quán)限。 這些方式，有效的實(shí)現(xiàn)了數(shù)據(jù)訪問的權(quán)限控制，讓數(shù)據(jù)更加安全。
2、多種數(shù)據(jù)加密方式，保障數(shù)據(jù)全鏈路安全
數(shù)據(jù)加密是最常用的數(shù)據(jù)安全方式，可以在源端、備端以及傳輸渠道進(jìn)行加密。其中，核心的問題是密鑰如何保存、如何使用等問題。
在數(shù)據(jù)存儲(chǔ)階段，借助阿里云對(duì)象存儲(chǔ)產(chǎn)品多次讀取特性，允許用戶以“不可篡改、不可刪除”的方式進(jìn)行云上數(shù)據(jù)合規(guī)保存。數(shù)據(jù)加密功能涵蓋客戶端加密、服務(wù)端加密，并支持用戶以自有密鑰方式進(jìn)行加密，大大提升數(shù)據(jù)安全與合規(guī)能力。
同時(shí)，阿里云推出內(nèi)部操作透明化服務(wù)，讓用戶對(duì)云平臺(tái)側(cè)的操作日志可見可控，提升用戶對(duì)阿里云的信任感和安全感。
在數(shù)據(jù)傳輸階段，借助阿里云文件存儲(chǔ)產(chǎn)品，可以實(shí)現(xiàn)傳輸加密、落盤加密，而且可以通過托管密鑰、自有密鑰加密，充分保證數(shù)據(jù)在傳輸中的安全性。同時(shí)，為了保障用戶數(shù)據(jù)的隱私性和自主性，阿里云塊存儲(chǔ)與阿里云密鑰管理服務(wù)做了深度集成，用戶通過云盤加密即可實(shí)現(xiàn)隱私數(shù)據(jù)的一鍵保護(hù)。
3、操作記錄可追溯，保障異常行為有跡可查
誰訪問了數(shù)據(jù)，什么時(shí)間什么地點(diǎn)做了什么操作，對(duì)于云上用戶來說非常重要。尤其是當(dāng)發(fā)生安全事件時(shí)，通過查詢歷操作記錄可以快速定位事件源頭，找出是內(nèi)鬼作案還是外部攻擊，及時(shí)止損。
為此，阿里云為云上用戶提供了操作日志存儲(chǔ)服務(wù)，數(shù)據(jù)的擁有者可以通過阿里云存儲(chǔ)控制臺(tái)為其所擁有的數(shù)據(jù)開啟訪問日志記錄功能。當(dāng)開啟訪問日志記錄功能后，可將訪問日志以小時(shí)為單位，按照固定的命名規(guī)則，自動(dòng)生成一個(gè)對(duì)象寫入用戶指定的地方。用戶可以直接使用阿里云數(shù)據(jù)湖解決方案或搭建 Spark 集群等方式對(duì)這些日志文件進(jìn)行分析。同時(shí)，用戶可以配置目標(biāo)數(shù)據(jù)的生命周期管理規(guī)則，將這些日志文件轉(zhuǎn)成歸檔存儲(chǔ)，長期歸檔保存。
實(shí)時(shí)日志查詢功能將存儲(chǔ)與日志服務(wù)相結(jié)合，允許用戶在控制臺(tái)直接查詢相關(guān)訪問日志，幫助用戶完成數(shù)據(jù)的訪問的操作審計(jì)、訪問統(tǒng)計(jì)、異常事件回溯和問題定位等工作。
為保證用戶日志數(shù)據(jù)的安全，日志服務(wù) API 的所有 HTTP 請(qǐng)求都必須經(jīng)過安全驗(yàn)證，安全驗(yàn)證基于阿里云的訪問密鑰，使用對(duì)稱加密算法完成，防止用戶日志被篡改，全面提升SLS日志安全性和合規(guī)性。
4、強(qiáng)大的備份與容災(zāi)能力，有效抵御勒索病毒
勒索病毒仍然是對(duì)企業(yè)數(shù)據(jù)安全造成危害最大的一種黑客攻擊行為，數(shù)據(jù)一旦被加密，除了繳納贖金，基本上很難對(duì)數(shù)據(jù)進(jìn)行解密。同時(shí)機(jī)房故障、自然災(zāi)害、人為誤刪除等原因也會(huì)造成數(shù)據(jù)安全風(fēng)險(xiǎn)和業(yè)務(wù)中斷。而云天然的資源優(yōu)勢為解決這些問題提供了很好的前提條件。
阿里云為用戶提供了具備多版本功能的存儲(chǔ)產(chǎn)品，使得用戶可保留、恢復(fù)文件的歷史版本，且可設(shè)置歷史版本保留時(shí)間。一旦發(fā)生數(shù)據(jù)被勒索病毒加密，或人為原因?qū)е碌臄?shù)據(jù)丟失和損壞，可以通過恢復(fù)歷史版本，保障業(yè)務(wù)不受影響。
2018年6月，阿里云正式發(fā)布了國內(nèi)第一家云原生混合云備份服務(wù)和混合云容災(zāi)服務(wù)，提供云上備份與容災(zāi)的保護(hù)能力，客戶可實(shí)現(xiàn)災(zāi)備方案的分鐘級(jí)部署，同時(shí)，阿里云國內(nèi)首次推出了具有同城三可用區(qū)域部署能力的存儲(chǔ)產(chǎn)品，可滿足企業(yè)級(jí)客戶對(duì)于發(fā)生機(jī)房級(jí)災(zāi)難事件時(shí)數(shù)據(jù)不丟、業(yè)務(wù)不斷的需求。
相比于建設(shè)線下同城容災(zāi)機(jī)房，對(duì)象存儲(chǔ)同城區(qū)域冗余存儲(chǔ)提供99.95%的可用性SLA指標(biāo)、12個(gè)9 數(shù)據(jù)可靠性和一鍵部署云上同城容災(zāi)服務(wù)能力，結(jié)合“跨區(qū)域復(fù)制”能力，可實(shí)現(xiàn)機(jī)房、同城、跨地域三級(jí)完整的容災(zāi)服務(wù)能力。
5、存儲(chǔ)與AI的融合創(chuàng)新
保護(hù)數(shù)據(jù)隱私的AI安全技術(shù)是在分布式計(jì)算和信息安全范疇上進(jìn)行推展，為網(wǎng)絡(luò)協(xié)作計(jì)算提供一種新的計(jì)算模式?？梢酝ㄟ^多種技術(shù)結(jié)合保護(hù)數(shù)據(jù)安全，包括安全多方計(jì)算、差分隱私、動(dòng)態(tài)加密、加密搜索與計(jì)算等。阿里云存儲(chǔ)產(chǎn)品正在基于人工智能等相關(guān)技術(shù)，驅(qū)動(dòng)存儲(chǔ)數(shù)據(jù)安全治理邁向自動(dòng)化、智能化。與此同時(shí)，阿里云存儲(chǔ)將于阿里達(dá)摩院深度合作，進(jìn)一步探索如何降低信任成本與財(cái)務(wù)成本，充分發(fā)揮數(shù)據(jù)的價(jià)值。