“不可变”描述的是无法改变的事物（该词源于拉丁语“mutare”，意为“改变”）。应用于数据时，不可变性提供了安全性 CIA 三要素中的完整性方面（其他两个要素是机密性和可用性）。C 和 A 并非不可变性所固有的，但可以增强。

那么，不可变性只是安全性的一个方面。本身既不能防止数据被盗，也不能防止数据被读取，也不能防止数据被破坏。为了让购买者有更有吸引力的选择，供应商可以包含或暗示与不同不可变性产品相关的不同级别的机密性和可用性。因此，“不可变性”一词可能含糊不清且令人困惑。 

技术

在现代安全术语中，“不可变”有三个主要关联：不可变服务器、不可变备份和不可变数据。

不可变服务器

不可变服务器为其包含的数据提供环境防御。它通常使用精简的操作系统和配置，不允许或严格限制第三方访问。在这种情况下，任何尝试访问和任何异常活动都可能是恶意的。

一旦配置完成，服务器的状态就固定了——服务器上的软件、配置文件和数据不能直接修改。

如果这种情况确实发生了，则可以烧毁所包含的数据，可以建立具有相同系统配置的新服务器（一种常见的方法是使用基础设施即代码来定义配置并允许轻松重复），并且可以上传备份中的新数据。这意味着，从理论上讲，不可变的服务器可以始终是安全的并包含最新数据。

Optiv安全开发和云转型技术经理 Joe Tito解释了这些原则。“不可变基础设施要求，一旦部署了服务器，就不能也不应该对其进行修改。如果需要对服务器进行更新，基础设施工程师将更新该服务器的基础映像并部署其新实例，以替换之前的实例。”

尽管如此，值得注意的是，“不可变”更多是指服务器而不是所包含的数据。数据安全性可能会得到增强，但它不是不可变的数据。它只是受到严格保护的数据。

当然，也存在一些问题。如果要处理上传的数据，必须允许访问，可能需要技术人员访问，而如果没有用户访问权限，数据就无法使用。 

因此，必须采用非常严格的零信任访问，以将授权访问保持在必要的最低限度，并完全排除未经授权的访问。

不可变的备份/存储

不可变备份是无法更改、修改或删除的数据副本（尽管从技术上讲，包含数据的介质仍然可能被破坏或无法访问，并且所包含的数据可能被盗）。从根本上讲，它是一种一次写入、多次读取的技术（就像旧的 CD-ROM 光盘一样）。

Object First技术营销总监Anthony Cusimano提供了更多细节。“不可变备份存储是一种数据存储库，其中的信息在一定时间内不能被修改、删除或覆盖。大多数不可变存储目标都是对象存储，并使用“对象锁定”机制来防止无意或故意的更改或删除。”

他补充道：“不可变存储有多种形式，其中两种是治理模式和合规模式。治理模式允许特定管理员禁用不可变性，而合规模式则确保文件在一定时间内保持可读和不可更改。这使其成为存储关键业务数据（如法律文件、财务记录或个人信息）的理想选择。”

不可变数据（区块链）

“不可变数据”（与不可变服务器或备份相对）是指不可更改的使用中数据。加密是实现这一点的部分因素。例如，同态加密允许在不解密的情况下处理加密数据。但是，加密对安全三元组的主要优势是机密性而不是完整性——加密数据仍然可以被删除，如果可以获得加密密钥，仍然可以读取它。

在分布式账本（也就是区块链技术）上加入加密技术，更加接近数据不可变的理论。

区块链通常与比特币联系在一起，但区块链研究早于比特币很多年。1991 年，Stuart Haber 和 W Scott Stornetta 提出了加密保护区块链的概念。1998 年，Nick Szabo 提出了一种去中心化数字货币机制，他称之为“比特黄金”。十一年后，中本聪推出了比特币。 

Bit Gold 通常被认为是比特币的前身，尽管萨博否认这一点，但他通常被认为是比特币的中本聪。但这与此无关：比特币是区块链的标志性首次实现，建立在 15 年以上的早期研究之上。

最初的区块链一直都是“公开”的。萨博试图开发一种不依赖于中央机构（如美联储、英格兰银行或其他中央国家银行）的货币系统。它会像黄金一样——也许这就是“比特黄金”一词的由来；即在网络空间中重新演绎黄金的价值。他提出的解决方案是，交易链中的区块将以加密方式捆绑在一起，不受银行控制；也就是说，由用户拥有和控制。链中的参与者将为每个区块解决一个加密问题。该解决方案将成为下一个区块的一部分，从而创建一个加密捆绑的区块链，并由参与者有效控制和验证。

中本聪的比特币区块链就是建立在这个基本概念之上的。萨博模糊的“黄金”或“财产”概念被同样模糊的比特币概念所取代。任何拥有计算机和互联网的人都可以加入区块链并成为节点或矿工的一部分。节点保存区块链的副本，验证链的加密完整性。矿工解决复杂的数学问题来创建新的区块。成功将获得新创建的比特币作为奖励。所有矿工都是节点，但节点不需要成为矿工。

任何人都可以加入并获得区块链本身的奖励。这确保了区块链有多个去中心化且经过验证的副本。由矿工验证并通过加密链接的多个公共副本的组合用于声明不可篡改。区块之间的加密链接确保一个节点上的任何篡改都将被其他节点检测到并拒绝。从技术上讲，内容仍然可以被删除；但多个节点内置了足够的冗余，使这种可能性几乎为零。这是一个公共区块链，非常安全。

它仍然存在问题。首先，分布式特性引入了时间开销，这与一般业务对速度的需求不相容。如果没有内置的自生成比特币奖励机制，网络的成本将需要由区块链运营商承担，而且成本可能非常高。最后，公共区块链仍然容易受到被称为“51%”攻击的理论攻击。 

攻击者如果拥有比分布式链综合能力更强的计算能力，就可以创建一条包含不同交易的竞争链。如果拥有比原始链更强的计算能力，竞争网络可以增长得更快，比原始链更长。一旦这样做，它就被视为合法链。这是一种理论上的攻击，极不可能发生——但既然有可能，就意味着公共区块链最终不能被称为不可改变的：链的整个内容都可能被更改，而原始内容则被忽略。

尝试将区块链应用于一般业务已导致私有（或许可）区块链的演变。在此，区块链集中化并由单个公司（或小型且有限的财团）运营，并且对区块链的访问受到控制（许可而非公开）。私有区块链提供更快的交易速度和更大的可扩展性。但它们提供了单点故障，并重新引入了公共区块链旨在消除的可能性——运营或拥有组织的潜在操纵（如果交易被证明是欺诈性的并且需要从“分类账”中删除，这在一般业务中可能是一个优势）。最终，如果公共区块链不能被称为“不可变的”，那么私有区块链就更远了。

尽管如此，区块链确实提供了更高的安全性，而且有许多公司正在开发基于区块链的技术。它已经在金融应用中得到广泛应用。

非金融中心的私有区块链应用也在探索之中。Fireblocks 首席执行官 Michael Shaulov评论道：“有几个项目正在创建所谓的链上身份系统。这是一个常见的用例。例如，目前有一个用例，人们正在使用区块链作为登录机制来代替密码。这样的应用程序已经上线并得到采用。在 Fireblocks，我们有一些使用链上身份的项目，这是我们目前正在开展开创性工作的领域。”

在哪里

不可变服务器

Tito 给出了一些非常好的建议。“在考虑转向不可变基础设施时，首先要了解您的应用程序和架构是否能够支持这种模式。并非每种类型的应用程序都适合采用不可变基础设施。”

不可变备份

当今安全备份最引人注目的用例是防范勒索软件。如果您可以恢复未受加密攻击影响的数据，则无需支付赎金。附加条件是，恢复的数据必须来自最近的来源，否则恢复的业务流程中可能会出现代价高昂的漏洞，使全面恢复变得更加复杂和漫长——但不能太新以至于备份包含受攻击的方面。

解决此问题的一种方法是使用备份（无论它是否被描述为不可变的），其中包括称为快照备份的技术。 

快照是数据在某个时间点的副本。快照创建速度很快，但几乎不需要额外的存储空间，因为只存储自上次快照以来所做的更改。结果可以得到最新的备份，因为系统可以恢复到最新快照的精确时间。 

对于勒索软件的恢复，系统可以恢复到加密前的最新状态（前提是确保只备份好的数据）。这可以避免将好数据恢复到受感染的系统中，同时减少受感染和恢复之间的数据丢失。

Infinidat 首席营销官 Eric Herzog 警告称：“几乎每个存储供应商都提供读写快照和不可变（只读）快照，因此您需要确保根据用例执行正确的快照类型。”“我们的快照不会影响性能，无论是不可变的还是读/写的。但并非所有供应商都是如此。有必要了解供应商提供的内容，以了解使用快照是否会影响应用程序、工作负载或用例。”

如果用例是“从勒索软件中恢复”，那么所谓的不可变存储将是最佳选择。但请记住，此定义并不能防止数据泄露。双重勒索（当今最常见的勒索软件变体）无法阻止。它也无法防止包含“不可变”数据的介质遭到破坏。

不可变数据

考虑到原始比特币区块链的历史和目的，许多当前的区块链用例都属于去中心化金融 (defi) 支付应用程序，这也许并不令人意外。例如，2024 年 7 月 31 日，加拿大公司 Layer2 Financial 宣布已筹集 1070 万美元（由 Galaxy Ventures 领投的 A 轮融资），以开发一款旨在与国际 Swift 支付系统（该系统在2016 年和2018 年存在严重的安全问题）相抗衡的应用程序。

Layer2 Financial 首席执行官兼创始人 Bhanu Kohli 向《财富》杂志表示：“我们的长期目标是在未来 10 年内取代 Swift，我们将通过在全球多个国家和司法管辖区开展业务来实现这一目标。一旦我们做到这一点，资金将永远不需要接触 Swift 系统。它基本上会通过区块链从一个司法管辖区转移到另一个司法管辖区。”

Nexsan 销售和营销高级副总裁 Judy Kaldenberg 进一步阐述了这种可能性。“私有区块链是寻求最高级别安全性、透明度和去中心化信任的组织的理想选择。它适用于可审计性和可追溯性至关重要的行业。”她补充说，这些行业包括政府、金融、医疗保健、勒索软件保护、证据记录和通话记录等领域。

基于区块链技术的难以实现的梦想应用是一个通用且隐私保护的身份系统。区块链可以包含无可辩驳的身份证明，可以根据需要出示，而无需传输个人信息（例如地址、社会安全号码等）。理论上存在可能性；但与所有区块链应用一样，实际困难是巨大的。

概括

我们研究了三种声称能在网络安全中提供不变性的技术：服务器、备份和区块链。我们只研究了基础知识——每种技术都有不同的风格、配置和用例。一个共同点是，它们都不能提供真正意义上的不变性。然而，每一种技术都可以被视为分层安全堆栈中有价值的一层。

“不可改变”在网络安全术语中并不是一个准确的定义。这也许是显而易见的：任何可以制造的东西最终都可以被破坏。“不可改变”在这里主要用作营销术语，表示恶意（或意外）更改的难度增加。在大多数情况下，该术语不包括防止数据被盗或破坏（或至少是包含其旨在保护的数据的介质）。

这并不意味着不可改变的称号没有价值。它表明安全性提高了，这是一件好事。但安全性的提高必然会带来更高的成本。潜在购买者有责任在为正确的用例选择正确的技术之前进行彻底的风险和成本分析。 

Kaldenberg 解释道：“在这些选项之间做出选择取决于组织的具体需求、目标和资源，每种技术都有其独特的优势，使它们成为更广泛的数据完整性和不变性战略中的宝贵工具。”

必须遵守买者自慎原则。