新基建背景下數(shù)據(jù)中心數(shù)據(jù)安全保護策略研究

張則陽，龐 妺

（中國信息通信研究院安全研究所，北京 100191）

2018年“新型基礎(chǔ)設(shè)施建設(shè)”首次正式提出，2020年數(shù)據(jù)中心被明確納入新型基礎(chǔ)設(shè)施建設(shè)條目。為促進新基建高質(zhì)量發(fā)展，四部委聯(lián)合發(fā)布文件，規(guī)范全國一體化大數(shù)據(jù)中心建設(shè)，積極應(yīng)對潛在安全風(fēng)險，提升數(shù)據(jù)安全保障能力。在新基建背景下，隨著數(shù)據(jù)價值的提升，數(shù)據(jù)中心作為數(shù)字基礎(chǔ)設(shè)施的基礎(chǔ)設(shè)施，事關(guān)企業(yè)生產(chǎn)、社會經(jīng)濟乃至國家安全，一旦發(fā)生竊取、泄露等數(shù)據(jù)安全事件，將對社會經(jīng)濟和國家安全造成嚴重威脅。因此，數(shù)據(jù)安全保護意義重大。

1.數(shù)據(jù)中心新內(nèi)涵及新特點

1.1 數(shù)據(jù)中心新內(nèi)涵

與傳統(tǒng)基礎(chǔ)設(shè)施相比，新型基礎(chǔ)設(shè)施具有技術(shù)先進性，支撐經(jīng)濟生產(chǎn)、居民生活、公共服務(wù)和社會治理[1]。數(shù)據(jù)中心作為支撐5G、云計算、人工智能等新興技術(shù)的基礎(chǔ)設(shè)施，功能將不僅僅局限于提供計算資源，其新內(nèi)涵將包括傳統(tǒng)數(shù)據(jù)中心、新型數(shù)據(jù)中心以及數(shù)據(jù)交易流通平臺。

1.2 數(shù)據(jù)中心新特點

數(shù)據(jù)中心作為海量數(shù)據(jù)存儲、計算和匯聚的中心，除了綠色化、模塊化等特點外，在新基建浪潮下呈現(xiàn)出如下新的變化特點：一是體系一體化。加強國家大數(shù)據(jù)中心一體化建設(shè)是實施網(wǎng)絡(luò)強國戰(zhàn)略的重要實踐之一。全國一體化數(shù)據(jù)中心建設(shè)，將通過數(shù)據(jù)中心與云計算資源的分級互聯(lián)，以技術(shù)、業(yè)務(wù)和數(shù)據(jù)等三個融合，支撐政企、行業(yè)、區(qū)域、業(yè)務(wù)的協(xié)同管理和服務(wù)，實現(xiàn)政府決策科學(xué)化、社會治理精準化和公共服務(wù)高效化[2]。二是運維智能化。隨著云計算、人工智能等新技術(shù)的普及，數(shù)據(jù)量級飛速上漲，數(shù)據(jù)中心規(guī)模不斷擴張，設(shè)備數(shù)量呈倍數(shù)增長。因此，統(tǒng)一管理海量設(shè)備，提高運維效率，成為大數(shù)據(jù)中心亟待解決的問題[3]?；谌斯ぶ悄芎痛髷?shù)據(jù)技術(shù)的智能運維將部分取代人力的重復(fù)繁瑣勞動，監(jiān)控和管理潛在的安全問題，變被動人工運維為主動智能運維。三是部署邊緣化。我國移動網(wǎng)絡(luò)通信技術(shù)的迅猛發(fā)展，迫切需要VR/AR、自動駕駛等業(yè)務(wù)場景低時延、多連接，集中式計算處理因遇到難解的瓶頸而難以滿足上述業(yè)務(wù)需求。邊緣數(shù)據(jù)中心可提供存儲、計算、網(wǎng)絡(luò)等資源，更好地支撐低時延等業(yè)務(wù)場景，因而將成為有效解決方式[4]。四是數(shù)據(jù)流通化。數(shù)據(jù)是一種新型生產(chǎn)要素。數(shù)據(jù)價值的發(fā)揮需依托數(shù)據(jù)以共享、開放和交易等形式“動起來”[5]。發(fā)揮數(shù)據(jù)中心匯集規(guī)模龐大數(shù)據(jù)的集合體作用，建立數(shù)據(jù)流動平臺，實現(xiàn)數(shù)據(jù)要素的融通共享、價值再造、紅利擴大將成為數(shù)據(jù)中心發(fā)展新方向。

2.數(shù)據(jù)中心數(shù)據(jù)安全保護需求

2.1 數(shù)據(jù)中心一體化效益凸顯，數(shù)據(jù)安全保障面臨嚴峻考驗

一是數(shù)據(jù)集中化存儲，易成為外部重點攻擊的目標。數(shù)據(jù)中心一體化將帶動數(shù)據(jù)不斷向數(shù)據(jù)中心匯聚，其中存儲的數(shù)據(jù)量和價值的不斷升高將更加考驗數(shù)據(jù)中心的安全保障能力。目前，我國數(shù)據(jù)治理安全保障體系已經(jīng)建立，包括登錄授權(quán)、域名審查和數(shù)據(jù)處理分析等，但在數(shù)據(jù)流安全支撐體系仍存在不足。隨著數(shù)據(jù)中心一體化進程的不斷推進，數(shù)據(jù)安全保障能力將面臨更加嚴峻的考驗。二是承載業(yè)務(wù)多樣化，安全保障存在“木桶效應(yīng)”。數(shù)據(jù)安全就像一個“木桶”，整體的安全性取決于最薄弱的環(huán)節(jié)。隨著數(shù)據(jù)中心平臺上部署的業(yè)務(wù)應(yīng)用逐漸增多，各業(yè)務(wù)間將共享相關(guān)資源，一旦某個防護較弱的業(yè)務(wù)應(yīng)用被攻破，容易影響平臺上其他應(yīng)用的安全運行。此外，隨著數(shù)據(jù)中心對外接口數(shù)量和復(fù)雜性的增加，安全風(fēng)險監(jiān)測、排查的難度也會隨之加大。

2.2 數(shù)據(jù)中心融合大量新技術(shù)，安全風(fēng)險敞口加大

一是運維日漸智能化，需警惕人工智能自身數(shù)據(jù)安全風(fēng)險。在人工智能驅(qū)動下，進一步加速了數(shù)據(jù)中心運維自動化、智能化、高效化和精準化。由于人工智能自動學(xué)習(xí)和自主決策能力較強，使現(xiàn)有數(shù)據(jù)安全技術(shù)手段對專業(yè)人員分析判斷的高度依賴有效緩解，能夠自動和智能監(jiān)測防護動態(tài)變化數(shù)據(jù)安全風(fēng)險。但是，人工智能技術(shù)自身會面臨數(shù)據(jù)投毒、對抗樣本攻擊等安全隱患。此外，人工智能技術(shù)的應(yīng)用也可能導(dǎo)致數(shù)據(jù)過度采集、數(shù)據(jù)歧視、數(shù)據(jù)濫用等風(fēng)險。二是數(shù)據(jù)中心云化，傳統(tǒng)安全架構(gòu)保護效率降低。云計算是以數(shù)據(jù)資源的形式向用戶展示存儲功能，云計算技術(shù)使得數(shù)據(jù)中心基礎(chǔ)架構(gòu)由原來的各業(yè)務(wù)系統(tǒng)獨立建設(shè)模式轉(zhuǎn)變?yōu)橘Y源池建設(shè)模式[6]?；A(chǔ)架構(gòu)的變化將導(dǎo)致傳統(tǒng)安全架構(gòu)的性能受到影響，傳統(tǒng)安全架構(gòu)在受到外界干擾時，可能導(dǎo)致數(shù)據(jù)中心不安全。云計算數(shù)據(jù)中心因為虛擬化技術(shù)增加了安全設(shè)備識別難度，已經(jīng)較難滿足目前海量數(shù)據(jù)的存儲，給數(shù)據(jù)集中帶來一定安全隱患[7]。

2.3 邊緣數(shù)據(jù)中心高速發(fā)展，存在傳統(tǒng)安全邊界防護隱患

一是部署位置邊緣化，易遭到物理攻擊。邊緣數(shù)據(jù)中心通常遠離安全措施完備的中心機房，部署在對外開放且不受控制的網(wǎng)絡(luò)邊緣環(huán)境中運行，比如野外環(huán)境、人流密集的公共環(huán)境等。不法分子攻擊距離較短，容易遭到物理篡改和攻擊，如引入有害軟硬件進行數(shù)據(jù)竊取、設(shè)備物理性惡意損害導(dǎo)致數(shù)據(jù)丟失等。二是數(shù)據(jù)處理分布化，存在薄弱環(huán)節(jié)。邊緣計算服務(wù)模式具有復(fù)雜性和實時性，由于數(shù)據(jù)的感知性、多源異構(gòu)性和終端的資源受限特性，使得傳統(tǒng)云計算環(huán)境下的訪問控制、數(shù)據(jù)加密等數(shù)據(jù)安全機制，難以滿足邊緣設(shè)備的安全保障需求[8]。同時，分布式并行的數(shù)據(jù)處理方式也將存在隱私泄露、數(shù)據(jù)篡改等數(shù)據(jù)安全風(fēng)險。

2.4 數(shù)據(jù)流動日益頻繁，配套安全支撐體系建設(shè)方面存在不足

一是數(shù)據(jù)流動化，配套安全技術(shù)不成熟。新基建充分帶動了數(shù)據(jù)的流動和集中，數(shù)據(jù)流轉(zhuǎn)的速度越來越快，數(shù)據(jù)總量將以指數(shù)級增長，但保障數(shù)據(jù)流轉(zhuǎn)安全的同態(tài)加密、安全多方計算、聯(lián)邦學(xué)習(xí)等新興技術(shù)手段均處于初步發(fā)展階段；以數(shù)字水印和數(shù)據(jù)血緣技術(shù)為代表的數(shù)據(jù)流動溯源技術(shù)處于研究驗證階段，難以滿足數(shù)據(jù)量級大、流動速度快場景下的安全保護需求[9]。二是數(shù)據(jù)交易頻繁化，配套規(guī)則滯后。數(shù)據(jù)作為生產(chǎn)要素，通過數(shù)據(jù)交易平臺進行交易，為數(shù)據(jù)市場化的發(fā)展提供了一種切實可行的途徑，能夠產(chǎn)生巨大的經(jīng)濟效益和研究價值。但目前我國數(shù)據(jù)交易流通處于初級發(fā)展階段，目前對數(shù)據(jù)交易市場的監(jiān)管所依據(jù)的法律文件主要是依靠《合同法》和《網(wǎng)絡(luò)安全法》等規(guī)范性文件中的有關(guān)條文來進行，特為數(shù)據(jù)交易創(chuàng)設(shè)的法律法規(guī)尚未制定，各交易平臺各自為政，高層次立法缺失[10]。同時，數(shù)據(jù)權(quán)屬認定以及定價方面也存在一定困難，可能引發(fā)一系列數(shù)據(jù)產(chǎn)權(quán)和安全方面的糾紛。

3.對策與建議

3.1 加強數(shù)據(jù)安全風(fēng)險防范

一是提升數(shù)據(jù)安全風(fēng)險監(jiān)測技術(shù)能力。充分利用數(shù)據(jù)中心強大的資源共享和運算能力，形成風(fēng)險監(jiān)測預(yù)警機制，反映數(shù)據(jù)中心數(shù)據(jù)安全現(xiàn)狀與風(fēng)險趨勢等態(tài)勢情況，明確數(shù)據(jù)安全風(fēng)險防控著力點。二是提高數(shù)據(jù)安全風(fēng)險防范能力和意識。加強數(shù)據(jù)安全風(fēng)險防范，關(guān)鍵在人才，基礎(chǔ)在教育。目前我國數(shù)據(jù)管理、開發(fā)和運維人才極為短缺，難以滿足數(shù)據(jù)中心產(chǎn)業(yè)發(fā)展需求。一方面，完善數(shù)據(jù)安全專業(yè)人才培養(yǎng)機制，依托高校、科研院所等機構(gòu)開展數(shù)據(jù)安全相關(guān)研究項目和教育培訓(xùn)，提升數(shù)據(jù)安全重要性；另一方面，加強國民通識教育，讓數(shù)據(jù)安全教育深入全民，培育公民數(shù)據(jù)安全意識。

3.2 強化數(shù)據(jù)安全保障與風(fēng)險評估

一是加強數(shù)據(jù)安全保障。推動芯片、操作系統(tǒng)、數(shù)據(jù)庫等數(shù)據(jù)中心產(chǎn)業(yè)鏈上游軟硬件核心技術(shù)突破及應(yīng)用，保障產(chǎn)業(yè)鏈安全。同時，加快研究數(shù)據(jù)風(fēng)險識別、數(shù)據(jù)脫敏技術(shù)及數(shù)據(jù)資產(chǎn)識別等相關(guān)技術(shù)手段，保障業(yè)務(wù)安全運行[11]。二是開展數(shù)據(jù)安全風(fēng)險評估。針對融合云計算、物聯(lián)網(wǎng)等新興技術(shù)的業(yè)務(wù)，在隱私保護、身份認證、訪問控制等方面開展風(fēng)險評估，于業(yè)務(wù)上線前評估存在的安全風(fēng)險并采取應(yīng)對措施，減少新興技術(shù)帶來的數(shù)據(jù)安全風(fēng)險。

3.3 加快推進邊緣環(huán)境數(shù)據(jù)安全

一是優(yōu)化傳統(tǒng)數(shù)據(jù)安全方案。保障邊緣環(huán)境中的數(shù)據(jù)安全，需對傳統(tǒng)數(shù)據(jù)加密等安全方案進行優(yōu)化升級，實現(xiàn)與邊緣數(shù)據(jù)中心的特性相結(jié)合，構(gòu)建輕量級、分布式的數(shù)據(jù)安全防護體系。二是制定數(shù)據(jù)安全相關(guān)標準。目前邊緣數(shù)據(jù)中心等領(lǐng)域缺乏統(tǒng)一標準[4]，各行業(yè)應(yīng)結(jié)合業(yè)務(wù)發(fā)展特點，針對邊緣數(shù)據(jù)中心部署位置、分級標準、數(shù)據(jù)保障措施制定相關(guān)標準，構(gòu)建面向邊緣數(shù)據(jù)中心的安全管理標準體系，指導(dǎo)提升邊緣數(shù)據(jù)中心安全能力。

3.4 推動建立數(shù)據(jù)流動安全保障機制

一是加強數(shù)據(jù)流動監(jiān)測和管理。推動建立數(shù)據(jù)流動軌跡和交易鏈條的安全風(fēng)險監(jiān)測追溯與綜合管理平臺，持續(xù)研發(fā)數(shù)字水印、數(shù)據(jù)血緣、區(qū)塊鏈等數(shù)據(jù)流動共享安全技術(shù)，監(jiān)測流動數(shù)據(jù)的風(fēng)險態(tài)勢并進行異常預(yù)警和溯源處置，強化流動共享數(shù)據(jù)安全保障。二是完善數(shù)據(jù)交易流通規(guī)則制度。結(jié)合我國數(shù)據(jù)交易實踐情況，面對數(shù)據(jù)交易流通過程中可能出現(xiàn)的安全風(fēng)險問題，制定數(shù)據(jù)交易安全規(guī)則，明確數(shù)據(jù)提供者與需求者安全保障義務(wù)、數(shù)據(jù)清洗標準、數(shù)據(jù)交易過程安全標準等內(nèi)容，打造安全、可靠、合法的數(shù)據(jù)交易市場營商環(huán)境。

4.結(jié)語

新基建背景下數(shù)據(jù)中心數(shù)據(jù)安全保護非常重要，要堅持發(fā)展與安全并重是新基建數(shù)據(jù)中心發(fā)展的指導(dǎo)思想，構(gòu)建數(shù)據(jù)中心數(shù)據(jù)安全保障體系，逐步完善數(shù)據(jù)安全防護體系架構(gòu)，為數(shù)據(jù)中心數(shù)據(jù)安全提供更可靠更有效的保護，推動新基建高質(zhì)量發(fā)展。