本文來自微信公眾號“twt企業(yè)IT社區(qū)”。
數(shù)據(jù)作為企業(yè)的核心資產(chǎn),必須牢牢守住不丟失數(shù)據(jù)這條生命線。因此,如何保證存儲數(shù)據(jù)安全、架構(gòu)穩(wěn)定成為擺在企業(yè)面前的重要難題。而信創(chuàng)云存儲是信創(chuàng)云核心組件之一,作為數(shù)據(jù)底座的存儲是否滿足安全穩(wěn)定與可持續(xù)設(shè)計,是企業(yè)在信創(chuàng)云建設(shè)過程中的重要課題。因此,企業(yè)如何從業(yè)務(wù)安全角度以及可持續(xù)發(fā)展角度綜合評估信創(chuàng)云存儲架構(gòu)的當(dāng)前以及未來規(guī)劃,是本次議題重點(diǎn)研討的內(nèi)容。
【欄目主編 】趙海 某金融系統(tǒng)高級主管:本議題由北汽福田汽車基礎(chǔ)設(shè)施高級經(jīng)理張志強(qiáng)、昆侖銀行云計算工程師石恒發(fā)表針對議題下關(guān)鍵點(diǎn)的主張,幾位專家的主張在某金融公司架構(gòu)師劉艷春及我本人等多位專家的復(fù)議后,形成了一定的共識,希望可以對同行有一定的參考。
張志強(qiáng) 北汽福田汽車IT基礎(chǔ)設(shè)施高級經(jīng)理:
就信創(chuàng)存儲系統(tǒng)的發(fā)展而言,隨著外部競爭環(huán)境的越發(fā)激烈、國家自主安全的戰(zhàn)略目標(biāo)的堅定,必然會促使信創(chuàng)領(lǐng)域的核心技術(shù)突飛猛進(jìn)。
信創(chuàng)云存儲作為云環(huán)境核心的支撐組件,其安全與否直接關(guān)系企業(yè)數(shù)據(jù)的安全。相較于傳統(tǒng)的存儲,信創(chuàng)環(huán)境下,企業(yè)不僅需要具備基本的海量數(shù)據(jù)存儲能力,更需要具備一定的數(shù)據(jù)安全保護(hù)能力和與周邊生態(tài)良好集成的擴(kuò)展能力。
就信創(chuàng)云存儲系統(tǒng)的發(fā)展而言,隨著外部競爭環(huán)境的越發(fā)激烈、國家自主安全的戰(zhàn)略目標(biāo)的堅定,必然會促使信創(chuàng)領(lǐng)域的核心技術(shù)突飛猛進(jìn)。數(shù)字化轉(zhuǎn)型會逐漸蔓延到各個行業(yè),屆時數(shù)據(jù)將作為企業(yè)的核心資產(chǎn),其存儲系統(tǒng)的數(shù)據(jù)載性和數(shù)據(jù)安全保護(hù)能力都會對企業(yè)生產(chǎn)業(yè)務(wù)和運(yùn)營產(chǎn)生重要的影響。所以說,存儲和數(shù)據(jù)保護(hù)的信創(chuàng)轉(zhuǎn)型已是大勢所趨。
一、信創(chuàng)存儲安全性設(shè)計
就制造業(yè)而言,當(dāng)下企業(yè)開始大規(guī)模引入人工智能、物聯(lián)網(wǎng)、自動駕駛、云計算等新技術(shù),助力智能制造、數(shù)字孿生、遠(yuǎn)程診斷等應(yīng)用的落地。導(dǎo)致海量數(shù)據(jù)存儲需求巨大,數(shù)據(jù)的類型也呈現(xiàn)多樣性(結(jié)構(gòu)化、非結(jié)構(gòu)化、半結(jié)構(gòu)化)等。面對數(shù)據(jù)作為企業(yè)的核心資產(chǎn),如何保證存儲安全穩(wěn)定就成了信創(chuàng)存儲擺在企業(yè)面前的第一道難題。
安全方面我覺得應(yīng)該至少從三個方面入手:
1.存儲技術(shù)
(1)利用分布式存儲方案
將計算資源和數(shù)據(jù)分散在各個存儲節(jié)點(diǎn)上,每個節(jié)點(diǎn)均能對外提供存儲服務(wù)。
消除傳統(tǒng)存儲架構(gòu)瓶頸,充分發(fā)揮存儲介質(zhì)性能,提升系統(tǒng)并發(fā)性能和彈性擴(kuò)展能力。節(jié)點(diǎn)間通過多副本機(jī)制進(jìn)行數(shù)據(jù)保護(hù),某個部件或節(jié)點(diǎn)故障時,自動利用已有空間,多節(jié)點(diǎn)并發(fā)數(shù)據(jù)恢復(fù),可以有效確保數(shù)據(jù)冗余,實(shí)現(xiàn)相對的數(shù)據(jù)安全。
(2)存儲存放獨(dú)立區(qū)域
作為支撐企業(yè)數(shù)字化業(yè)務(wù)的核心底座,應(yīng)該確保存儲系統(tǒng)的物理安全。如設(shè)置獨(dú)立的物理訪問區(qū)域,授權(quán)管理員訪問。存儲系統(tǒng)要求用戶登錄的密碼符合密碼復(fù)雜度要求,用戶多因素認(rèn)證等。針對各種訪問和操作進(jìn)行詳細(xì)審計。
(3)合理的數(shù)據(jù)備份策略
無論多優(yōu)秀的存儲系統(tǒng)和數(shù)據(jù)保護(hù)機(jī)制,都缺少不了備份,這才是數(shù)據(jù)安全的最后一道防線?;跇I(yè)務(wù)的實(shí)際需求建立合理的備份策略是存儲系統(tǒng)安全和數(shù)據(jù)安全的保障。對于制造企業(yè),數(shù)據(jù)備份是日常運(yùn)維中必不可少的一項(xiàng)關(guān)鍵性工作,它直接決定著企業(yè)能夠應(yīng)對什么樣的數(shù)據(jù)威脅以及相應(yīng)解決方案的靈活度和有效性。有效的備份可以防止系統(tǒng)出現(xiàn)因操作失誤或邏輯故障導(dǎo)致的數(shù)據(jù)丟失。
2.存儲管理
(1)統(tǒng)一管理平臺
存儲技術(shù)隨著業(yè)務(wù)形態(tài)的變化不斷發(fā)展,整體上分為集中式存儲和分布式存儲兩大類。無論哪種存儲都隨著業(yè)務(wù)的不斷發(fā)展與數(shù)字化進(jìn)程的推進(jìn),其承載的數(shù)據(jù)均出現(xiàn)了指數(shù)級的增長。信創(chuàng)存儲和傳統(tǒng)存儲共存的場景將成為一種發(fā)展態(tài)勢,導(dǎo)致存儲平臺和運(yùn)營模式發(fā)生變化。為方便日后的運(yùn)維管理,就需要新架構(gòu)的信創(chuàng)存儲具備兼容傳統(tǒng)存儲的能力,從存儲資源的可視、分配及生命周期管理等方面都要考慮。
(2)管理制度
建立或完善業(yè)務(wù)連續(xù)性管理辦法,將存儲的管理和流程納入其中。從風(fēng)險管控、業(yè)務(wù)影響分析等多個維度去考慮。從而制定符合要求的應(yīng)急管理預(yù)案、運(yùn)維管理制度、操作流程等。在技術(shù)安全保障的前提下,通過管理規(guī)范使用,降低人為操作風(fēng)險。
3.數(shù)據(jù)安全法律法規(guī)
遵守外部法律法規(guī)來及時定制后更新內(nèi)部相關(guān)的標(biāo)準(zhǔn),如2021年實(shí)施的《中華人民共和國數(shù)據(jù)安全法》,其明確表示:數(shù)據(jù)是國家基礎(chǔ)性戰(zhàn)略資源,沒有數(shù)據(jù)安全就沒有國家安全。所以一定要在存儲的技術(shù)考慮和使用上嚴(yán)格把關(guān),確保存儲系統(tǒng)可以有效地保護(hù)數(shù)據(jù)。
二、信創(chuàng)存儲高可用設(shè)計
國產(chǎn)化的風(fēng)已經(jīng)不是吹一兩天了,很多企業(yè)開始在存儲國產(chǎn)化方面進(jìn)行嘗試,并取得了很好的效果。信創(chuàng)存儲作為重要的國產(chǎn)化領(lǐng)域得到了多方的關(guān)注與支持。在逐步實(shí)現(xiàn)自主可控過程中,對兼容性、健壯性、可擴(kuò)展性和高性能存儲的需求也正在上升。
信創(chuàng)存儲高可用在很多方面上其實(shí)和傳統(tǒng)的存儲高可用手段很相似,都是系統(tǒng)在任一存儲設(shè)備出現(xiàn)故障時,另一臺存儲設(shè)備可以快速接管存儲業(yè)務(wù),為前段提供數(shù)據(jù)服務(wù)。而且整個切換過程需要盡可能地讓業(yè)務(wù)的感知降到零,確保業(yè)務(wù)的連續(xù)性。常用的方式有兩種,一種是應(yīng)用級的冗余架構(gòu),這個就是常說的應(yīng)用級災(zāi)備。此種備份方案比較適合數(shù)據(jù)中心分開較遠(yuǎn)、業(yè)務(wù)較為重要的場景。整個鏈條的任何故障都不會影響前端對業(yè)務(wù)的正常訪問。其建設(shè)成本也是最高的。還有一種是數(shù)據(jù)級的冗余架構(gòu),比較適合在短距離或者同一個數(shù)據(jù)中心內(nèi)實(shí)施。數(shù)據(jù)可以根據(jù)距離、業(yè)務(wù)性能要求,實(shí)現(xiàn)同步或者異步的傳輸。企業(yè)可以根據(jù)不同的業(yè)務(wù)場景和重要級別采用不同的災(zāi)備方案。雖然信創(chuàng)存儲天然具備良好的擴(kuò)展性能力,在兩種不同的災(zāi)備方案上都比傳統(tǒng)的存儲成本要低,但是與業(yè)務(wù)的兼容性需要充分測試。所以在實(shí)施上建議采用從不重要到重要,再到核心系統(tǒng)的策略。
三、總結(jié)
信創(chuàng)的大環(huán)境下,國內(nèi)很多的存儲方案已經(jīng)開始在不同的行業(yè)進(jìn)行實(shí)時落地,但是從實(shí)際的使用效果上來看,和國外的成熟存儲產(chǎn)品還有一定的差距。產(chǎn)品成熟度,可靠性方面還需要更多的磨煉,同時存儲方面的數(shù)據(jù)安全方案和高可用方案也迫切需要完善。
隨著信創(chuàng)技術(shù)的不斷發(fā)展,國家信創(chuàng)產(chǎn)業(yè)的支持力度不斷強(qiáng)化,信創(chuàng)存儲產(chǎn)品也會不斷成熟,生態(tài)也會逐漸完善,期待信創(chuàng)存儲在安全穩(wěn)定和高可靠的方案上得到進(jìn)一步的提升。
石恒 昆侖銀行云計算工程師:
存儲選型決定了信創(chuàng)云存儲架構(gòu)的安全穩(wěn)定與可持續(xù)設(shè)計,從存儲產(chǎn)品本身和存儲廠商能力兩個角度上,給出存儲選型的幾個決定性因素。信創(chuàng)云下的存儲,不僅僅是云的數(shù)據(jù)載體,也是整個數(shù)據(jù)中心的基石產(chǎn)品之一。
本文基于銀行業(yè)背景,旨在從業(yè)務(wù)安全角度以及可持續(xù)發(fā)展角度出發(fā),指出在信創(chuàng)云環(huán)境下的存儲,由哪些因素影響著存儲架構(gòu)的安全穩(wěn)定與可持續(xù)發(fā)展。
一、背景分析
銀行是金融體系中重中之重的一環(huán)。對于銀行而言,銀行數(shù)據(jù)中心承載著銀行的生產(chǎn)交易、運(yùn)營管理、辦公等系統(tǒng),是銀行生產(chǎn)運(yùn)營的重要基礎(chǔ)。傳統(tǒng)數(shù)據(jù)中心中,存儲系統(tǒng)承載存貸、理財、交易等多類型重要數(shù)據(jù),直接影響客戶和銀行的資金安全、信息安全。同時存儲技術(shù)的不斷更新?lián)Q代和能力變革,存儲系統(tǒng)的產(chǎn)品選型既要保證業(yè)務(wù)的可靠穩(wěn)定,又要具備技術(shù)前瞻性保證未來的業(yè)務(wù)發(fā)展需求,因此存儲設(shè)備是數(shù)據(jù)中心內(nèi)最關(guān)鍵的硬件資源。隨著數(shù)據(jù)中心發(fā)展規(guī)模的不斷壯大,以及生產(chǎn)業(yè)務(wù)系統(tǒng)對數(shù)據(jù)中心資源的需求不斷變化,云化和上云也成為了銀行基礎(chǔ)設(shè)施建設(shè)中的一大趨勢。伴隨著國家對于關(guān)鍵信息基礎(chǔ)設(shè)施過程的自主可控的管理要求不斷提升,政策文件密集發(fā)布,包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《關(guān)于銀行業(yè)保險業(yè)支持高水平科技自立自強(qiáng)的指導(dǎo)意見》、《第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》等,國內(nèi)金融行業(yè)的基礎(chǔ)設(shè)施建設(shè)的自主可控改造進(jìn)程也在加速,在基礎(chǔ)設(shè)施云化和企業(yè)業(yè)務(wù)上云背景下的信創(chuàng)云內(nèi)存儲選擇,也要考慮安全性、可靠性、數(shù)據(jù)存儲效率等多方面因素國芯存儲設(shè)備的適配與應(yīng)用成為銀行在面對未來數(shù)字化轉(zhuǎn)型中的重要課題。
二、信創(chuàng)云存儲架構(gòu)設(shè)計
信創(chuàng)云存儲是信創(chuàng)云核心組件之一,而作為數(shù)據(jù)底座的存儲是否滿足安全穩(wěn)定與可持續(xù)設(shè)計則很大程度上決定了存信創(chuàng)云的安全穩(wěn)定與可持續(xù)設(shè)計。因此,在設(shè)計信創(chuàng)云存儲架構(gòu)的安全穩(wěn)定性和可持續(xù)性方面,需要綜合考慮產(chǎn)品本身的能力,以及存儲廠商的穩(wěn)定性。
從產(chǎn)品本身能力來說,主要包含以下幾個因素:
1.安全性與可靠性
企業(yè)需要確保存儲方案能夠提供足夠的數(shù)據(jù)安全保障,以確保數(shù)據(jù)不會因?yàn)榇鎯υO(shè)備故障或其他原因而丟失,如支持冗余備份和故障轉(zhuǎn)移等。除此之外,現(xiàn)階段還要同時考慮包括數(shù)據(jù)加密、勒索防護(hù)、災(zāi)備能力等能力。近期,人行下發(fā)了《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》,對銀行明確要求了存儲加密能力。存儲加密能力大致來說可以分為兩種,一種是基于硬件如存儲硬盤的加密能力,另一個是基于軟件的加密,而軟件加密也需要支持國密相關(guān)算法。針對目前日益猖獗的勒索病毒攻擊,存儲作為數(shù)據(jù)的保存者需要做出相應(yīng)措施,建立完整的防勒索防御體系,與網(wǎng)絡(luò)、主機(jī)相互配合,使數(shù)據(jù)中心的風(fēng)險消減到最低,以提高整體的安全韌性。災(zāi)備能力建設(shè)需要綜合考慮業(yè)務(wù)重要性,綜合考慮業(yè)務(wù)重要程度、RTO/RPO要求等因素,可通過雙活、復(fù)制等技術(shù),建設(shè)同城災(zāi)備、異地災(zāi)備能力,保障數(shù)據(jù)安全。
2.存儲性能
企業(yè)需要根據(jù)自身業(yè)務(wù)需求選擇存儲方案,確保存儲性能能夠滿足業(yè)務(wù)需求。例如,對于需要高速讀寫的業(yè)務(wù),則需要選擇高速存儲設(shè)備,如固態(tài)硬盤(SSD)等。初期SSD的成本較高,成為了SSD替換HDD的一大阻力。隨著近些年SSD的成本降低,存儲系統(tǒng)也已經(jīng)走進(jìn)全閃存時代。相比HDD,SSD可以提供更高的IOPS、更低的時延、更高的可靠性等。因此選擇更高性能的存儲產(chǎn)品,如全閃存存儲,能夠保障關(guān)鍵業(yè)務(wù)性能要求,也是保障信創(chuàng)云存儲產(chǎn)品本身的穩(wěn)定。
3.存儲可擴(kuò)展性
企業(yè)需要考慮存儲方案的可擴(kuò)展性,以應(yīng)對未來業(yè)務(wù)增長的需求。存儲方案需要支持橫向擴(kuò)展和縱向擴(kuò)展,以滿足未來業(yè)務(wù)需求。
從存儲廠商的能力來看,存儲選型需要參考以下四個主要因素:該廠商的產(chǎn)品是否成熟穩(wěn)定,該廠商產(chǎn)品架構(gòu)是否先進(jìn),廠商技術(shù)實(shí)力能力和自主可控性,以及其技術(shù)支持能力和可維護(hù)性。
(1)產(chǎn)品成熟穩(wěn)定,提供可靠保障,具有豐富的成功案例實(shí)踐
對金融行業(yè)尤其是銀行的數(shù)據(jù)中心而言,數(shù)據(jù)存儲動一發(fā)而牽全身,存儲系統(tǒng)的成熟穩(wěn)定和可靠性是數(shù)據(jù)中心存儲選型最基本也是最重要的需求。
國產(chǎn)芯片切換需要依托一定時間周期的市場實(shí)踐和能力沉淀,豐富的成功實(shí)踐案例作為產(chǎn)品成熟可靠的重要佐證依據(jù)。
(2)產(chǎn)品架構(gòu)先進(jìn),能力特性豐富,具有高性能和高擴(kuò)展性
產(chǎn)品架構(gòu)直接對存儲的穩(wěn)定性和可靠性帶來直接的影響,同時也決定了存儲的場景適應(yīng)能力,先進(jìn)的產(chǎn)品架構(gòu)和豐富的存儲功能特性才能保證存儲的使用又穩(wěn)定又好用。
同時,存儲系統(tǒng)的建設(shè)需要保證至少5年內(nèi)業(yè)務(wù)系統(tǒng)的性能要求和容量要求,具有高性能、高拓展性的能力保障。
(3)廠商技術(shù)實(shí)力出色,自主可控程度高
存儲廠商的技術(shù)實(shí)力積累和長期穩(wěn)定的研發(fā)投入,對存儲產(chǎn)品的持續(xù)演進(jìn)和產(chǎn)品服務(wù)帶來決定性因素,對存儲產(chǎn)品的自主可控能力更強(qiáng),程度更高,提供的存儲產(chǎn)品更符合國家對金融行業(yè)基礎(chǔ)設(shè)施建設(shè)自主可控的管理要求。
(4)技術(shù)支持能力和可維護(hù)性
生產(chǎn)存儲的選型不僅僅是產(chǎn)品的選購和交付,產(chǎn)品的運(yùn)維和維護(hù)同樣是存儲生命周期的重要組成部分。后期服務(wù)能力(特別是本地化)、可維護(hù)性是存儲選型重點(diǎn)需要注意的地方。本地服務(wù)能夠及時響應(yīng)和高效處理問題,而存儲的高可維護(hù)性,能夠支持存儲的在線操作、升級和排障,能夠降低對業(yè)務(wù)的影響和對行內(nèi)運(yùn)維人員的工作難度。
三、總結(jié)
本文論述了存儲選型決定了信創(chuàng)云存儲架構(gòu)的安全穩(wěn)定與可持續(xù)設(shè)計,從存儲產(chǎn)品本身和存儲廠商能力兩個角度上,給出存儲選型的幾個決定性因素。信創(chuàng)云下的存儲,不僅僅是云的數(shù)據(jù)載體,也是整個數(shù)據(jù)中心的基石產(chǎn)品之一。因此,信創(chuàng)云存儲不單單要從現(xiàn)階段眼前的使用來考慮,也要基于存儲廠商的能力來衡量長遠(yuǎn)的一個安全穩(wěn)定與可持續(xù)能力。存儲產(chǎn)品本身的安全性與可靠性、存儲性能、可擴(kuò)展性,以及存儲廠商是否成熟穩(wěn)定、產(chǎn)品架構(gòu)是否先進(jìn)、廠商技術(shù)實(shí)力,自主可控性、技術(shù)支持能力和可維護(hù)性,既決定了信創(chuàng)云存儲架構(gòu)的安全穩(wěn)定與可持續(xù)性,也保障了數(shù)據(jù)中心整體運(yùn)行的安全穩(wěn)定與可持續(xù)性。因此,在銀行信創(chuàng)云存儲選型時,要因地制宜,綜合考慮以上因素。
結(jié)束語
企業(yè)在設(shè)計信創(chuàng)云存儲架構(gòu)的安全穩(wěn)定性和可持續(xù)性方面,站在產(chǎn)品選型的角度,需要綜合考慮產(chǎn)品本身的能力(安全性、可靠性、性能、可擴(kuò)展性)、存儲廠商的能力(穩(wěn)定成熟、架構(gòu)功能先進(jìn)、技術(shù)實(shí)力、可維護(hù)性等),以及數(shù)據(jù)防勒索、安全加密等政策要求。