赛磐石数据拴锁系统

企业名称:未来数通（海南）科技有限公司

产品概况:

赛磐石数据拴锁系统是一种具备计算与安全双架构可信环境的数据安全存储网关系统，将无形的数据文件拴锁到有形的物理设备和可信计算环境，并加密上锁，使得数据“可管不可见、可传不可见、可存不可见、泄露用不了”。防止数据被窃取、泄漏的安全事故的发生，解决集中存储的数据被人“一锅端”式大规模泄露数据安全问题，填补了集中存储防泄漏产品空白。
赛磐石数据拴锁系统可有效解决物联网数据集中存储安全防泄漏技术难题。现有的数据防泄漏产品都不能防范集中存储防泄漏安全风险，但是，数据泄露的安全事故40%发生在集中存储环节。大量的敏感或涉密信息集中存放于数据中心和云端，大大增加了一次攻击成功的收益，使得集中存储设施（含云存储）更容易成为攻击的目标，面临着被频繁攻击的风险，而这些攻击可能来自内部用户。尤其是对于云数据中心，更增加了两大风险：其一，虚拟化数据隔离安全风险。云存储的数据是分布式存储于多个物理磁盘上的，分离了数据与基础设施的关系，掩盖了低水平的操作细节，这就带来数据隔离的风险，其二，物理存储设备数据残留安全风险。来自不同安全域，敏感度不同的信息，可能存于同一物理介质上，当这些物理磁盘空间重新分配给其他用户时，可能存在着数据残留的风险，即存储介质被擦除后可能留有一些物理特性使数据能够被重建。
赛磐石数据拴锁系统可有效保护核心数据安全，采用了秘密分割技术对数据加密进行了安全加固，将核心数据加密分割成碎片数据，分存在计算与安全双架构的可信区域和普通区域，每个区域的数据不仅一次一密，而且信息残缺，不仅防范了密钥外泄或者被量子计算破解造成加密技术失效的内源安全攻击，而且保障了碎片数据即便外泄后也无法组合破密还原、无法使用，泄露的数据必须回到赛磐石数据拴锁系统及其设定的可信计算环境中使用。
????????赛磐石数据拴锁系统典型应用场景包括：数据存储防泄漏，防扩散；数据云端存储安全保护；数据上区块链隐私保护；跨网络、跨系统、跨国界的的数据安全共享交换；近海雷达观测物联数据安全管控防泄漏；铁塔网络监测数据安全加固；校史系统数据存储保护等方面。目前已成熟应用在政企等领域的关键核心数据的安全保护。

关键技术指标：

设备形态产品的

关键技术指标：

设备大小 :2U设备(高 8.52厘米；宽48.24厘米；深72.3厘米）
存储速度 :读写最大吞吐500MB/s， 随机读写10W IOPS
网络端口： :双口万兆网卡；1*1000Mbps系统管理网口
支持数据加密算法:国密算法：SM1、SM2、SM3、SM4
内置操作系统 :麒麟高级服务器操作系统V10
存储访问协议 :FTP、NAS、ISCSI（IP SAN）、FC SAN、AHCI、NVMe
兼容数据库 :达梦、南大通用、人大金仓、华为GaussDB、巨杉数据SequoiaDB、阿里0ceanBase、Oracle、MySQL、SQLServer、PostgreSQL、MongoDB
存储单节点写流量:700Mb/s
网盘下载速度 :56 Mb/s
数据多态差异率 :70%
单台设备可管存储空间:500TB
单台设备可提供拴盘数量:10个
单台设备可连接服务器数量:10个

产品创新点：

（一）填补了集中存储防泄漏产品空白
由于缺乏高速、易于使用的数据存储防泄漏产品，数据安全风险40%出在集中存储环节，赛磐石数据拴锁系统填补了集中存储防泄漏产品空白。

现有数据防泄漏产品主要为：
1、主机防泄露：是一款应用软件，适用在PC、手机、云桌面服务器、云虚机等场景，主要特点是用于数据文件安全存储、安全使用、加密传输、可控流转、权限控制、跟踪审计。
2、网络防泄漏：是一款安全网关，应用在内部网络，主要特点是对进出内部网络的所有数据进行关键字检索和拦截。
3、数据库防泄漏：是一款中间件软件，应用在关系型数据库，主要特点是用于对关系型数据库中的数据内容进行加密保护。

赛磐石数据拴锁系统是一款存储网关，主要应用在云存储、网络存储、大数据存储、可信安全存储等场景，主要特点是用于对存储设施中的数据进行加密、分割后隔离存储，并将数据拴锁到设备和计算环境中。具备计算与安全双架构的可信环境与安全存储。

（二）创新了数权保护技术，实现了可控数据安全链，具备数据可存不可见、泄露用不了的安全特色
全球信息安全技术先后创新和应用了加密、隔离、分割、控制四大种类的安全技术机制。目前，我国在保障数据安全领域则主要是采用加密、隔离等两类技术手段，对分割、控制等两类安全技术应用较少。而美国则全面应用四大种类安全技术，并将分割、控制等两类安全技术作为数据安全的核心技术。
数权保护技术是一种新型数据安全技术，以保护数据控制权为数据安全目标，基于数据零信任安全原则，建设了一种基于终端用户的、去中心化的数权管控技术机制，并综合应用加密、隔离、控制等全部四大种类的安全技术，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。数权保护技术实现了用户数据与数权属性、安全管控策略、数权保护指令集的动态编译，在数据编译过程中，动态执行安全管控策略和数权保护指令，支持动态增加、调整数权码，实现数据权责的动态管控，防止数据丢失或被窃取后泄密。
（三）可防范内源攻击，对数据加密、安全隔离等技术进行了安全加固，解决了密钥泄露、内部人员外泄数据等数据防泄漏技术难题。
产品对数据加密、安全隔离等信息安全技术的“内源攻击”（即源自网络安全边界内部的安全攻击）安全漏洞进行了安全加固，尤其是对以下人员发起的“内源攻击”进行了安全加固：可能泄漏数据的授权使用人员和数据用户；成功突破网络安全防范措施的入侵人员、成功获得系统高权限的网络黑客和网络战争组织；拥有可从内部攻击的软硬件后门的供应商和服务商；协助攻击方破解密钥、从内部配合外部攻击的间谍；拥有高权限的恶意内部人员。
赛磐石数据拴锁系统使用数权保护技术将源数据编码为碎片数权报文，碎片数权报文必须在赛磐石数据拴锁系统中才能使用；赛磐石数据拴锁系统无法整体复制，镜像后无法使用。
（四）全面采用双体系可信计算环境底层硬件架构，打造了可信环境+可控数据的立体防护安全链
赛磐石数据拴锁系统采用中国电子自主计算体系的PKS架构的信创设备，具有双体系防护结构、具备内生内置安全能力的自主计算体系架构，以信创设备为核心载体。
产品从基础的内生安全的飞腾CPU、麒麟操作系统、内存控制器等开始，对上层软硬件和应用完全开放，使各层用户能进行深度定制和柔性重构，使各种应用能基于系统顶层设计进行从上到下和自底向上的系统优化，从而为用户提供定制的、最佳的体验和服务。
产品的硬件核心层基于CPU多核架构和动态隔离技术，从最底层硬件开始，构建了计算与安全的双体系可信计算环境。技术实现上采用了内置于CPU多核架构、可动态配置的可信根和密码保护技术；采用了未知漏洞智能检测和防护技术；基于以上技术特点，PKS架构建立了从最底层硬件开始的，完整的可信链，对内存攻击、漏洞攻击形成了免疫能力。PKS架构核心层面向安全原生能力打造的双体系架构核心技术，能够对硬件攻击、固件攻击、内存攻击、0day漏洞、虚拟机逃逸、容器逃逸等关键信息基础设施起到系统防御作用。
产品的双体系可信计算环境，通过在处理器层、存储控制层、整机板卡层、操作系统层加入“软硬一体的内生安全可信”机制，将计算与安全融为一体。它将“被动防御”变为“主动免疫”，能够从最底层、体系性解决传统供应链和开源软件的漏洞和后门问题，解决黑盒软硬件的安全问题，能够极大收缩攻击面，抵御高强度高频次的攻防对抗，而几乎不降低先进计算的性能，是能够改变传统攻防对抗、纵深防御，能解决多领域多时空交错安全问题的技术路线。
产品在可信执行环境内构建可信启动和可信度量模块，通过信任传递思想，一级度量一级，一级信任一级，为系统启动建立可信的执行环境，实现对双体系系统启动过程的度量、校验和控制机制。
产品通过飞腾CPU的双体系可信机制内置可信根，在可信启动过程中,先对可信根自身和飞腾基础固件（PBF）进行反向度量，度量通过后，可信根建立，通过该可信根构建可信启动的信任链。可信根建立后对UEFI进行度量，度量成功后，UEFI启动并调用可信根度量接口对Grub引导程序进行度量，度量通过后加载并运行Grub引导程序，Grub再调用可信根度量接口对操作系统内核及配置文件进行度量，度量成功后将加载操作系统内核，启动麒麟可信操作系统。至此，可信信任链构建完毕并完成可信启动，为上层应用系统构建可信执行环境和可信软件基。反之，如果在可信启动的信任链构建过程中，某一项的可信度量结果不通过时，可以根据用户自定义配置选择宕机不启动操作系统或以告警模式启动麒麟操作系统，用户可通过可信度量日志信息查看度量失败项。
（五）创新解决了云端存储的数据易遭“大规模”泄漏的安全事故问题。
赛磐石数据拴锁系统综合应用加密、隔离、分割等安全技术手段，一方面，对数据进行加密、隔离处理成一大一小两份碎片数据，每份碎片数据不仅一次一密，而且信息残缺；将小份碎片数据存储在高可控环境中，通过小份数据控制存储在不可控云环境中的大份碎片数据，起到“以小控大”的安全效果。另一方面，将数据碎片拴锁到有形的物理设备和无形的可信云环境，碎片数据分别存储在不同的云和云租户自有存储设施上，防止数据在云端存储时，云运维人员或攻破云安全保护措施的网络黑客等从云端大规模泄漏数据，确保数据“云端可存不可见、泄漏不可用”的安全效果。 “云端只存储数据，不碰用户数据” 简化了云厂商的运维人员工作复杂度，云租户的数据由其自己管控，解决数据上云后，云租户失去数据管控权的问题。

国内外市场推广情况：

国内推广：
赛磐石数据拴锁系统已经在国家监察委、国家市场监督管理局、雄安新区、北京市、交通