与戴尔共论非结构化数据存储系列访谈（3）

数字商业时代：非结构化数据海量增长的同时也伴随着数据安全的风险，非结构化数据的安全挑战主要有哪些？

戴尔科技集团大中华区非结构化数据存储事业部总经理刘志洪：实际上数据安全问题的涵盖范围非常之大，它不仅仅是非结构化数据，也包括所有的数据。因为一旦使用信息系统，用计算机系统、IT技术来实现的话，都面临着一个数据安全的问题。但是数据安全本身涵盖面也很广，包括数据保密、预防数据丢失，数据可用性的问题，还涉及到数据保护，以及现在广受关注的网络攻击。

怎么防范呢？当然最重要的是要保证业务的连续性。尤其是在数字化转型之后，所有业务都是以数字化或数字的方式来实现的，离不开这个IT系统。数据不可用或者丢失所造成的损失是非常巨大的，甚至整个业务都会停顿。数据安全、数据保护、业务连续性就变成一个非常重要的课题了。

从数据安全、数据保护的角度来讲，它面临的威胁主要是来自于几大类：第一是人为失误或误操作所造成的。比如说未经授权的访问，应该有对这些访问权限的控制。外部的隔离墙，防火墙，诸如此类。

第二来源于设备故障或系统缺陷，任何一个设备都可能会出现故障，比如说硬盘可能会坏掉，机器可能会垮掉，电源可能会断掉。由于设备故障或者系统缺陷所导致的数据丢失、数据的不可用、系统的不可用也是需要防护的。

第三来源于网络攻击和勒索，因为我们处在一个万物互联的网络世界，网络攻击和勒索病毒侵入系统，把数据加密甚至拷走，然后来勒索。这些数据丢失会造成损失，数据不可用，生产各方面会陷入停顿。

第四来源于自然灾害等环境因素，比如所在城市有没有什么水灾、火灾、地震诸如此类的考量因素。所以，基本上这几方面都要有一个相对的策略来应付。

其实对整个数据安全防范的整个体系架构的方法论，业界是有一些共识的。比如来自于网络的，防火墙，对内部人员的访问权限的控制。除了在系统里面有一些访问权限的设置，访问这个区域的设置，数据加密的设置，有一些规章制度要来保障。对来自于网络的这种新型的攻击，同样也有一些手段来保障。

当然我们非结构化数据跟结构化数据也确实有它的一些特殊性。最大的特殊性是源于非结构化数据的数据量特别大。比如说在一个企业，关键业务（mission critical）应用的数据量可能是在100TB，几百TB，这是比较常见的。当然有一些很大型的企业也可能是上PB级的。但是哪怕一个比较小的企业，非结构化数据的量可能轻易都是达到了PB级。再有一些大型点儿的企业可能是几百PB甚至是EB这个级别。这么大的数据量所造成的数据安全、数据保护方面的问题，就会比结构化数据比如100TB的数据量要大得多。举个例子，比如说常见的一种防护手段是备份100TB的数据做备份。比如说每天的增量是十个TB，做这个备份可能一个小时的时间窗口足以完成。

恢复也一样。有100TB的数据丢失了，要从备份端给它恢复过来，那可能几个小时也解决了，但是要是几十PB、几百PB的数据要来做备份，那么这时间窗口是几个小时还是几天还是几十天？传统备份的时长几乎是不可接受的。而且它本身这么大的数据量是不是都要做备份呢？哪些要做哪些不要做呢？都要做的话，整个这个成本问题怎么考虑呢？所以，这就是非结构化数据本身的数据量特别大，来源繁多、种类繁多，带来一些新的课题。

但从我们角度来讲，不管它是由于什么特殊性，我们总是要从几个方面来解决。比如说第一，我们自身这个系统，比如说PowerScale上面的OneFS ，自身牢固性、坚强性、韧性是不是足够强？比如说我们有加密盘技术来进行加密，我们有这个权限访问的技术来进行权限控制，我们有访问区的概念，不能跨到这个访问区里来做。我们当然也有像这种基于快照的数据恢复，同步异步的复制功能等等。这是系统本身的一个强健性来提供这种数据的安全可用和灾难的一个恢复。

另一方面，是来源于对机器设备的损坏，电力系统、火灾、水灾、地震等，我们也同样会有这种所谓的容灾系统。我们上面有一些解决方案就能够来做这种异地的和这种异构架构的容灾系统来保证。当一个主系统碰到了不可抗力的灾难时，容灾系统还依然有能力，因为这数据同步过去可以启动，来让这个业务连续运行。

当然这两类不论是自身的强健还是灾难恢复容灾这样的解决方案，都不能保证来自于现在新的网络攻击、勒索，那么怎么来做呢？虽然我们可能是用各种手段比如防火墙，加密技术，扫描，侦测来防范网络攻击。但是要做到万无一失，我们得有一套解决方案，能侦测到有些行为的异常。万一有人溜进防火墙了，是可以有一种手段能够智能的侦测到这个访问是不太正常的。基于此进行一些审计和防范，但是最重要的是万一防不胜防的话，得有一个隔离的机制，也就是说有些数据万一被勒索病毒给加了密码，也可以把这个数据恢复过来。

非结构化数据，因为它数据量特别大。到底哪些数据需要放到保险库里？哪些数据可以不用放？数据这么大的量，能不能把这个窗口尽量缩短？因为把这个数据从外面搬到保险库里是需要时间的。如果万一有侵入，搬的时候就跟着搬的东西一起进到保险柜了，保险柜也感染了，那就没有达到这个效果。所以隔离窗口要足够短，同样当要恢复系统的时候，恢复的时间也要足够短，否则是承受不了。我们跟我们的合作伙伴是提供了一整套的从自身的强固性到DR容灾的解决方案，到CR网络坚韧性的解决方案。我们帮助用户在这个数字化时代能让我们的系统安全可靠、连续稳定地运行。

数字商业时代：面对非结构化数据的管理、安全等方面越来越高的要求，戴尔是如何积极应对这些问题的？

戴尔科技集团大中华区非结构化数据存储事业部总经理刘志洪：一方面，我们也在同步的来看整个世界新技术的发展，审视我们自身在哪些方面还需要进一步的加强？我们还有别的什么样的手段让我的整个业务的连续性和数据的保护得到一个比较安全的这个级别。另一方面，离不开合作伙伴生态圈，因为在夜里有人做盗贼，就有人做卫士。我们也会跟这些卫士合作来研究这些网络黑客的行为和他们所用的技术，我们怎么样来防补。当然再怎么防，最终需要一个方式，要有一个保险库，要有一个隔离区的概念。就是做到万一碰到极端情况下，我依然能够保证业务能够得到一个恢复，得到一个运行，这是最核心的。

所以今天确实像您说的针对这个数字化转型，我们把这个CR跟DR高度上升到跟生产系统同样的一个高度。把我们的这些理念、方案跟用户进行交流，根据用户的实际情况来看，推荐给他一个最合理的方案来保持业务稳定和连续。