备份软件市场安全形势严峻 国产软件发展任重道远
- 发布时间:2014-10-08 11:28:06 来源:中国网财经 责任编辑:陈娟娟
日前,有媒体报道说,因赛门铁克的“数据防泄漏”(Symantec DLP)产品存在窃密后门和高危安全漏洞,中国公安部门通知要求各级公安机关今后禁止采购使用该产品。
从美国中央情报局前雇员斯诺登引爆“棱镜门”事件到今年国新办公布《美国全球监听行动记录》报告、确认谷歌微软等科技公司参与窃密行动,近年来,信息安全问题呈现出前所未有的严峻性。
仅从备份软件来看,国外巨头的产品占据国内备份软件市场90%以上,国内的大型存储厂商几乎没有自主研发的备份软件,而是通过代理销售或OEM销售国外的备份软件。国外产品在激烈的市场竞争中脱颖而出,但是从信息安全角度考虑,大面积应用国外产品无疑是有安全隐患的。
例如,国内著名安全厂商江民公司2011年6月29日发布编号为CNVD-2011-06076的安全漏洞——HP OpenView Storage Data Protector 未明远程代码执行漏洞(CVE-2011-1865),这一漏洞允许远程攻击者以应用程序上下文执行任意代码。其他国外备份软件也发现过类似漏洞。这些漏洞无法确认是代码错误所导致,还是为了某种功能而设计存在。
备份软件的作用在于,当电脑遭遇黑客、病毒、木马攻击、误操作或者其他灾难事件而发生数据丢失后,可以快速地恢复。从技术上讲,备份软件把需要备份的数据以数据流的形式写入磁带机、磁带库、虚拟带库等备份设备。以这种备份方式工作,备份设备在操作系统上显示为裸设备,操作系统无法访问,也无法随意更改和拷贝数据,从而达到备份目的。
关键的安全备份技术,一直是国际大厂商的核心竞争力。2009年EMC以21亿美元价格收购Data Domain公司,发展虚拟带库和重复数据删除技术,更是进一步加大了领先优势。也正是由于这一技术门槛的难度,国内一些备份软件厂商选择了基于文件拷贝的技术路线——相当于把需要备份的数据从服务器的C盘拷贝到D盘,而这种简易拷贝的形式并不能真正实现备份安全。为了避免和国外备份软件厂商直接竞争,他们不得不依靠“农村包围城市”,选择对备份安全性要求比较低、不太懂备份技术的市场,在三四线城市推广低端应用。
一方面是国产备份软件产品的挣扎求生,一方面是国外备份软件厂商在政府采购、央企、金融、电信市场采购中抱团抬价、赚取高额利润,技术落后和产业惯性造成了国产备份软件大幅落后的现状。
“国内信息安全的警钟已经敲响,要想达到信息安全,必须全面自主可控。”九三学社中央科技委员、“中科同向”创始人邬玉良指出,数据安全是网络安全的最后一道防线,国产软件如何赢得更多的市场份额,是整个行业必须思考的问题。
邬玉良认为,网络信息安全主要分为6个层面,只有这6个层面上全面防护、实现自主可控,才能达到真正的安全。
经过8年发展,中科同向自主研发的备份软件HeartsOne BackupV8.0(HBU),从产品安全性和功能性上已经完全能够替代国外主流软件。由于掌握了虚拟带库安全备份技术、重复数据删除技术等核心关键技术,他们具备了从高端市场与国际厂商展开竞争的能力。
随着信息技术的发展和大数据的广泛应用,容灾备份系统工具的自主可控越来越重要。
财库[2010]48号文关于信息安全产品实施政府采购的通知要求,各级国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品;信息安全产品强制性认证有13类产品,其中包括备份软件。备份软件被纳入信息安全产品管理中,这将大大推动备份软件技术和产业的发展。
中科同向备份软件早在2010年就获得国家信息安全产品认证证书,符合政府信息安全产品采购的要求。同时中科同向还获得了公安部的计算机信息系统安全专用产品销售许可证、保密局涉密信息系统产品检测证书、解放军信息安全产品认证证书等认证。2013年4月,中科同向获得国家信息安全测评中心认证颁发的“灾难恢复类一级”资质证书,再次证明了在容灾备份领域的专业领先能力。
邬玉良表示,我国容灾备份系统的建设还处于发展初期,主要采用硬件冗余和储存复制实现简单的数据备份不足以应对各种自然、军事和人为的突发网络事件,不足以保障数据安全和业务持续。因此,建设高水平的多级容灾备份系统应成为现代各数据中心建设必须考虑的问题。
“我们愿意扛起国产备份软件大旗,为自主可控、网络数据安全贡献自己的力量。”邬玉良说。(完)