一、存儲面臨的安全新挑戰
1、 安全合規成為必選項
2017 年 6 月 1 日，《中華人民共和國網(wǎng)絡(luò )安全法》正式實(shí)施，這是中國建立嚴格的網(wǎng)絡(luò )治理指導方針的一個(gè)重要里程碑。 2019年5月13日，《網(wǎng)絡(luò )安全等級保護基本要求》等相關(guān)國家標準正式發(fā)布，宣告“等保2.0”時(shí)代的到來(lái)。此外，《數據安全管理辦法（征求意見(jiàn)稿）》、《兒童個(gè)人信息網(wǎng)絡(luò )保護規定》、《互聯(lián)網(wǎng)個(gè)人信息安全保護指南》、《個(gè)人信息和重要數據出境安全評估辦法》、《密碼法》等陸續出臺。2018年歐盟頒布的《通用數據保護條例》（GDpr）堪稱(chēng)史上最嚴厲、最翔實(shí)的一部保護用戶(hù)數據安全的法律。2020年1月起，美國加州的消費者隱私法案（CCPA）也正式生效，該法案將對所有和美國加州居民有關(guān)的數據商業(yè)行為進(jìn)行監管。
隨著(zhù)世界各國法律法規的相繼推出，數據安全保護的重視程度逐漸加深。在采集、應用、存儲過(guò)程中，數據安全保護和隱私保護不再是可選項。

2、來(lái)自黑客及勒索病毒的威脅
層出不窮的黑客及勒索病毒的攻擊也對數據安全帶來(lái)極大挑戰。根據360安全大腦發(fā)布的《2月份勒索病毒疫情分析報告》顯示， GlobeImposter、phobos、Crysis等長(cháng)期存在的勒索病毒與新出現的HackedSecret，Makop等新型勒索病毒正在瞄準各大系統發(fā)起猛烈攻擊。
軟件廠(chǎng)家以及云服務(wù)提供商需要不斷增強對勒索軟件的檢測，防止備份數據的再次感染，同時(shí)，反勒索軟件技術(shù)需要從檢測和預警已經(jīng)發(fā)生的攻擊發(fā)展為在入侵之前就可以識別惡意代碼，保證備份數據的安全性。
3、 人為因素的破壞性巨大
人為因素對數據安全造成的破壞性往往被忽略了。從企業(yè)內部來(lái)看，這些人為因素包括技術(shù)的選型不當，安全意識淡薄，沒(méi)有備份及容災規劃；流程層面，權限設置不當，存在特權用戶(hù)等等。人為操作導致的服務(wù)崩潰或刪除核心數據庫的行為時(shí)有發(fā)生，這些行為都給企業(yè)運營(yíng)能力和行業(yè)競爭力帶來(lái)永久性的損害。
4、 新數據安全技術(shù)
數據共享平臺依托于中心化的數據交換機制，在個(gè)人隱私保護上存在過(guò)程復雜、成本高、效率低等問(wèn)題，因此，數據安全需要新的數字技術(shù)予以賦能，例如需要人工智能技術(shù)實(shí)現更為高效的數據安全治理，助力數據大規模安全應用，有力推動(dòng)經(jīng)濟社會(huì )數字化轉型升級。
二、阿里云在存儲領(lǐng)域的最佳安全實(shí)踐
1、精細化的權限管理，保障數據訪(fǎng)問(wèn)的安全
數據的訪(fǎng)問(wèn)權限規定了何人、何時(shí)以何種方式獲得數據，訪(fǎng)問(wèn)權限的管理是一種有效的數據保護方式。
阿里云存儲產(chǎn)品支持文件系統標準的目錄/文件權限操作，并支持用戶(hù)/組的讀/寫(xiě)/執行權限，支持VPC 掛載點(diǎn)和經(jīng)典網(wǎng)絡(luò )掛載點(diǎn)，并只允許同一 VPC 內或同一賬號下的 ecs 實(shí)例訪(fǎng)問(wèn)其文件系統。同時(shí)提供了權限組功能，通過(guò)白名單添加權限組規則，允許指定的 IP 地址或網(wǎng)段訪(fǎng)問(wèn)文件系統，并可以給不同的 IP 地址或網(wǎng)段授予不同級別的細粒度訪(fǎng)問(wèn)權限。 這些方式，有效的實(shí)現了數據訪(fǎng)問(wèn)的權限控制，讓數據更加安全。
2、多種數據加密方式，保障數據全鏈路安全
數據加密是最常用的數據安全方式，可以在源端、備端以及傳輸渠道進(jìn)行加密。其中，核心的問(wèn)題是密鑰如何保存、如何使用等問(wèn)題。
在數據存儲階段，借助阿里云對象存儲產(chǎn)品多次讀取特性，允許用戶(hù)以“不可篡改、不可刪除”的方式進(jìn)行云上數據合規保存。數據加密功能涵蓋客戶(hù)端加密、服務(wù)端加密，并支持用戶(hù)以自有密鑰方式進(jìn)行加密，大大提升數據安全與合規能力。
同時(shí)，阿里云推出內部操作透明化服務(wù)，讓用戶(hù)對云平臺側的操作日志可見(jiàn)可控，提升用戶(hù)對阿里云的信任感和安全感。
在數據傳輸階段，借助阿里云文件存儲產(chǎn)品，可以實(shí)現傳輸加密、落盤(pán)加密，而且可以通過(guò)托管密鑰、自有密鑰加密，充分保證數據在傳輸中的安全性。同時(shí)，為了保障用戶(hù)數據的隱私性和自主性，阿里云塊存儲與阿里云密鑰管理服務(wù)做了深度集成，用戶(hù)通過(guò)云盤(pán)加密即可實(shí)現隱私數據的一鍵保護。
3、操作記錄可追溯，保障異常行為有跡可查
誰(shuí)訪(fǎng)問(wèn)了數據，什么時(shí)間什么地點(diǎn)做了什么操作，對于云上用戶(hù)來(lái)說(shuō)非常重要。尤其是當發(fā)生安全事件時(shí)，通過(guò)查詢(xún)歷操作記錄可以快速定位事件源頭，找出是內鬼作案還是外部攻擊，及時(shí)止損。
為此，阿里云為云上用戶(hù)提供了操作日志存儲服務(wù)，數據的擁有者可以通過(guò)阿里云存儲控制臺為其所擁有的數據開(kāi)啟訪(fǎng)問(wèn)日志記錄功能。當開(kāi)啟訪(fǎng)問(wèn)日志記錄功能后，可將訪(fǎng)問(wèn)日志以小時(shí)為單位，按照固定的命名規則，自動(dòng)生成一個(gè)對象寫(xiě)入用戶(hù)指定的地方。用戶(hù)可以直接使用阿里云數據湖解決方案或搭建 Spark 集群等方式對這些日志文件進(jìn)行分析。同時(shí)，用戶(hù)可以配置目標數據的生命周期管理規則，將這些日志文件轉成歸檔存儲，長(cháng)期歸檔保存。
實(shí)時(shí)日志查詢(xún)功能將存儲與日志服務(wù)相結合，允許用戶(hù)在控制臺直接查詢(xún)相關(guān)訪(fǎng)問(wèn)日志，幫助用戶(hù)完成數據的訪(fǎng)問(wèn)的操作審計、訪(fǎng)問(wèn)統計、異常事件回溯和問(wèn)題定位等工作。
為保證用戶(hù)日志數據的安全，日志服務(wù) API 的所有 HTTP 請求都必須經(jīng)過(guò)安全驗證，安全驗證基于阿里云的訪(fǎng)問(wèn)密鑰，使用對稱(chēng)加密算法完成，防止用戶(hù)日志被篡改，全面提升SLS日志安全性和合規性。
4、強大的備份與容災能力，有效抵御勒索病毒
勒索病毒仍然是對企業(yè)數據安全造成危害最大的一種黑客攻擊行為，數據一旦被加密，除了繳納贖金，基本上很難對數據進(jìn)行解密。同時(shí)機房故障、自然災害、人為誤刪除等原因也會(huì )造成數據安全風(fēng)險和業(yè)務(wù)中斷。而云天然的資源優(yōu)勢為解決這些問(wèn)題提供了很好的前提條件。
阿里云為用戶(hù)提供了具備多版本功能的存儲產(chǎn)品，使得用戶(hù)可保留、恢復文件的歷史版本，且可設置歷史版本保留時(shí)間。一旦發(fā)生數據被勒索病毒加密，或人為原因導致的數據丟失和損壞，可以通過(guò)恢復歷史版本，保障業(yè)務(wù)不受影響。
2018年6月，阿里云正式發(fā)布了國內第一家云原生混合云備份服務(wù)和混合云容災服務(wù)，提供云上備份與容災的保護能力，客戶(hù)可實(shí)現災備方案的分鐘級部署，同時(shí)，阿里云國內首次推出了具有同城三可用區域部署能力的存儲產(chǎn)品，可滿(mǎn)足企業(yè)級客戶(hù)對于發(fā)生機房級災難事件時(shí)數據不丟、業(yè)務(wù)不斷的需求。
相比于建設線(xiàn)下同城容災機房，對象存儲同城區域冗余存儲提供99.95%的可用性SLA指標、12個(gè)9 數據可靠性和一鍵部署云上同城容災服務(wù)能力，結合“跨區域復制”能力，可實(shí)現機房、同城、跨地域三級完整的容災服務(wù)能力。
5、存儲與AI的融合創(chuàng )新
保護數據隱私的AI安全技術(shù)是在分布式計算和信息安全范疇上進(jìn)行推展，為網(wǎng)絡(luò )協(xié)作計算提供一種新的計算模式?？梢酝ㄟ^(guò)多種技術(shù)結合保護數據安全，包括安全多方計算、差分隱私、動(dòng)態(tài)加密、加密搜索與計算等。阿里云存儲產(chǎn)品正在基于人工智能等相關(guān)技術(shù)，驅動(dòng)存儲數據安全治理邁向自動(dòng)化、智能化。與此同時(shí)，阿里云存儲將于阿里達摩院深度合作，進(jìn)一步探索如何降低信任成本與財務(wù)成本，充分發(fā)揮數據的價(jià)值。