关注我们牛年牛气冲天

远如美国的“9·11”事件，近如去年爆发的新冠疫情，这些都是典型的“黑天鹅”事件，因为它们是小概率、难预测的突发风险；而像频发的勒索病毒等网络威胁、因IT系统升级或人为误操作导致的宕机事件则习惯地被称作“灰犀牛”事件，因为它们都是相对来说大概率、可预测、波及范围大的风险。

由上述对比不难看出，虽然都是风险和安全隐患，但“黑天鹅”事件属于突发性的，难防难控，而“灰犀牛”事件虽然有可能导致比较严重的后果，但因为可防可控，还是可以通过事先制定严密的策略和措施，将风险降到最低，甚至可以完全避免风险的发生。

这就给企业的CIO们提了个醒，在面对各种各样的安全威胁和风险时，不能眉毛胡子一把抓，应该具体分析每种风险的成因，制定适合的应对之策，这样才能真正做到有的放矢，事半功倍。但在实际中，人们经常容易犯经验主义错误，要么就是平时不给予充分重视，当灾难性事件发生时后悔莫及，要么就是矫枉过正，一刀切，以最高的标准来应对不同等级的风险，造成投资浪费，而实际的保护效果也未必令人满意。

当前，在全球勒索攻击越来越猖狂的情况下，戴尔科技集团大中华区数据保护产品技术总监李岩建议企业的CIO们，认真分析一下自己的数据，找出哪些是最宝贵的、必须进行妥善保护的，实现最完善的三位一体的数据保护，从而保证企业业务的安全、稳定、连续运行。

安全威胁猛如虎

今天，我们不得不面对的一个事实是：各行各业正面临着越来越严重的网络威胁，由此带来的各项损失是巨大的。埃森哲的数据显示，网络犯罪给一家组织造成的平均损失为1300万美元，而未来5年将给全球带来5.2万亿美元的风险。因此有人戏称，网络犯罪是历史上最大的财富转移。

国内也不能幸免，腾讯《2020上半年勒索病毒安全报告》显示，网络攻击及勒索病毒在国内的行业波及面甚广，尤其是经济发达地区成为重灾区，网络攻击及勒索病毒已经形成了规模化和产业化，危害日趋严重。

从2020年开始，国内外频频曝出企业遭受勒索病毒事件，从政府部门到大型制造企业，从能源企业到医疗行业无一幸免。统计数据显示，在这些中招的企业中，仅有18%恢复了被锁的文件，而35%的企业丢失了大量数据，13%的企业甚至丢失了几乎所有数据。在数据成为重要的生产要素和企业战略资产的今天，这样的威胁和打击可以说是致命的。

我们每个人可能都有这样的感觉：手机丢了不可惜，但是手机中的数据找不回来才是最可怕的。同样，遭遇勒索病毒攻击后，企业损失的不仅仅是赎金，而是由此可能带来的业务停顿、信誉损失、法律诉讼、人力和时间成本等，这些往往是隐藏在海平面之下巨大的冰山体。

上面说了这么多安全威胁，并不是危言耸听。企业之所以会面对如此严重的安全挑战，一方面确实是来自企业内外的安全威胁猛如虎，而另一方面，也是因为企业自身没有做到应有的、全面的防范。

可能很多企业会说，我们已经投入巨资，建立了全面的防御体系和机制，包括防火墙、防病毒、入侵检测、漏洞扫描、访问控制等，为什么还会频频中招？虽然企业手中举着的安全盾牌坚不可摧，但毕竟防御面积有限，而这种被动、防守型的抵御，始终是被黑客、攻击牵引鼻子走，稍有不慎或放松警惕，就有可能被破攻。一劳永逸的办法是，企业在手持盾牌的同时，先给自己穿上一副武装到牙齿的铠甲。“盾牌+铠甲”就相当于“充分的防御+完善的保护”，企业的安全防线就固若金汤了。这也就是李岩所说的，企业的数据保护要两条腿走路。

金字塔尖的数据谁来保护？

现实中有这样的情况，有的企业遭遇勒索病毒，虽然服务器中的数据被锁住，但侥幸因为有备份数据而躲过了一劫。但是现在黑客越来越狡猾，在攻击服务器的同时，也会将备份数据一并锁住，面对这种情况，难道企业只能束手就擒吗？李岩举了一个例子，国内某客户被勒索，因为它采用的Dell EMC Data Domain提供了远离风险的安全备份平台，而最终得以恢复数据。但事有万一，如果黑客哪一天也将Dell EMC Data Domain攻破，企业仍将身处险境。对于企业来说，最好的办法就是建立三位一体的数据保护屏障。

参考数据量的多寡、数据价值的高低，每个企业都应该建立一个数据保护的金字塔。金字塔的最底层，就是覆盖边缘、核心、多云的数据备份。备份虽然不能避免站点故障，也不能抵御黑客攻击、勒索病毒，却可以提供覆盖所有工作负载的最基本的保护，实现可靠、快速、低成本的数据恢复。中间层是容灾。如今，人们对于同城灾备、异地容灾、两三地中心等概念已经耳熟能详，一些大中型企业的核心业务都趋向于采用容灾保护机制，它可以有效防止站点故障，但也只能部分抵御黑客和勒索病毒的攻击。很多时候，企业认为有了备份和容灾，数据保护就算万事大吉了。但是在这里，我们要提醒的一点是，在企业中还有一个以往未能引起充分重视的数据保护的“隐秘角落”。在这个角落中有企业最具价值且最应该得到最高等级保护的数据。只有把这部分数据都妥善地放到“保险箱”中，才算是建立了一个完善的数据保护罩。

针对这部分金字塔尖的数据，戴尔建议采用Dell EMC PowerProtect Cyber Recovery解决方案进行保护，也就是俗称的“数据避风港”解决方案，实现弹性网络隔离。

Dell EMC PowerProtect Cyber Recovery是一种最有效的应对黑客攻击和勒索病毒的解决方案，它实现了安全加锁，可以防止内部攻击；通过网络隔离防止外部入侵，并借助智能扫描分析识别潜在风险；还能进行恢复验证，确保数据完整可恢复。

其实，“数据避风港”源于美国金融行业的Sheltered Harbor项目。早在2015年，美国金融业界希望通过Sheltered Harbor项目保持公众对金融行业的信心，即使在系统和备份停顿的情况下，也能继续提供关键服务。遵循Sheltered Harbor项目提出的诸多严格要求，Dell EMC是业界最早推出数据隔离恢复方案的厂商，并且不断完善。

所谓数据避风港，就是以隔离的方式保护关键数据拷贝，这被认为是从勒索软件和毁灭性的攻击中实现恢复的最好方式，也是全球广泛多样的行业中的监管机构的共识。建立数据避风港甚至成了全球多个国家在防范网络攻击时的“最后一道防线”。中国的相关法律法规也对防范网络攻击提出了具体的规定。《中华人民共和国网络安全法》第二十一条就明文指出，“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”。工业和信息化部发布的《工业数据分级分类指南（试行）》第十四条有这样的描述：企业应按照《工业控制系统信息安全防护指南》等要求，结合工业数据分级情况，做好防护工作。企业针对三级数据采取的防护措施，应能抵御来自国家级敌对组织的大规模恶意攻击；针对二级数据采取的防护措施，应能抵御大规模、较强恶意攻击；针对一级数据采取的防护措施，应能抵御一般恶意攻击。国家保密局也对防范勒索威胁给出建议，即构建多重防御体系。

数据避风港可以在发生勒索病毒攻击、外部恶意攻击，以及内部恶意删库跑路的情况下，恢复关键业务数据。

数据保护“五字诀”

明确了建立数据避风港的重要性和必要性后，接下来就是企业如何建立自己的数据避风港？

首先，企业要明确哪些数据才是企业最关键的数据，在遭受灾难性网络攻击后，必须及时进行恢复，这部分数据量通常占企业总数据量的10%-15%；其次，评估需要存放在“Vault区”的数据容量，当灾难发生时，Vault区的数据可以迅速恢复到生产状态；再次，定义恢复时间，企业的业务部门需要定义在灾难性攻击后进行恢复的端到端恢复时间表；最后，企业的数据保护策略应与企业的数字化转型和云化策略保持一致，比如了解云中的数据集是什么，如何保护，以及在发生网络攻击时是否需要云中的数据或服务等。

企业在选择数据避风港解决方案时，最应该关注以下五个关键字，这也是决定数据避风港解决方案有效性的关键。

关键字一“断”：断开备份主机及备份存储媒体，避免备份主机及备份数据同时遭勒索；

关键字二“舍”：舍去大量数据，透过专利去重技术，腾出更多空间存放最关键的数据；

关键字三“离”：远离风险，建构安全备份平台；

关键字四“锁”：锁住备份数据，避免恶意窜改；

关键字五“侦”：使用AI/ML技术对恶意软件（包括勒索软件）进行扫描、分析、侦测，并提供即时报警。

实现有效的隔离，对数据进行清洗、扫描，并将最需要保护的安全数据存放到“保险箱”中，才能确保在灾难性事件发生后，这些直接关系到业务正常运行的数据可以得到有效恢复。“建立数据避风港，需要一种全面的方法和能力，人、流程、技术和生态，一个也不能少。”李岩表示。

目前市场上有多家厂商宣称可以提供有效防范勒索软件的数据保护解决方案，但如果用“断、舍、离、锁、侦”五个关键字来衡量，这些解决方案大多只能满足其中一个或几个的要求，而Dell EMC PowerProtect Cyber Recovery解决方案从一开始就是按照这五个关键字打造的，在实践中也赢得了诸多客户的肯定。目前，Dell EMC数据避风港解决方案服务着全球700多家客户，其中仅2020年一年就新增了500多家客户。

为了保证安全，许多家庭装了防盗门、密码锁、摄像头，但是家中最值钱的资产是不是还应该放到保险箱中才最安全呢？数据避风港就相当于家里的这个保险箱，存储的是与企业最核心的数据。守住这道防线，企业才能在面对灾难性事件时更有底气和自信。

欢迎扫码关注