信息化觀察網(wǎng)

數(shù)據(jù)中心作為新基建信息化基礎(chǔ)設(shè)施的代表，在國家政策和市場需求的雙牽引下，將步入新的發(fā)展階段，加快建設(shè)擴容步伐和技術(shù)演進升級。與此同時，數(shù)據(jù)中心發(fā)展過程中可能新產(chǎn)生的安全問題需要加以重視、提前應(yīng)對。

一、數(shù)據(jù)中心不斷發(fā)展升級，構(gòu)筑新基建堅實數(shù)字底座

新基建概念提出后，數(shù)據(jù)中心被比喻為“新型基礎(chǔ)設(shè)施的基礎(chǔ)設(shè)施”。其對接了5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新型通信網(wǎng)絡(luò)，也是互聯(lián)網(wǎng)、云計算和人工智能等領(lǐng)域的通用支撐技術(shù)，同時又承載著未來生產(chǎn)要素——數(shù)據(jù)的計算、存儲和交互，是公認的新基建重點方向之一。

（一）數(shù)據(jù)中心技術(shù)在信息化浪潮下不斷發(fā)展變革

在組網(wǎng)架構(gòu)和實現(xiàn)技術(shù)方面，數(shù)據(jù)中心近十年來經(jīng)歷了三次重大變革。隨著5G、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)的推廣應(yīng)用，為適應(yīng)海量數(shù)據(jù)處理的新需求，處于第三次變革期的數(shù)據(jù)中心正在向縱深發(fā)展升級：一是向更加靈活的模塊化方向發(fā)展，通過SDN和NFV等技術(shù)構(gòu)建超融合集成網(wǎng)絡(luò)，使網(wǎng)絡(luò)構(gòu)建更加靈活高效、云連接能力大幅增強、自動化管理功能更加強大；二是進一步向云化方向發(fā)展，通過更新型的虛擬化技術(shù)打破用戶和資源的束縛，讓復(fù)雜系統(tǒng)簡化，讓網(wǎng)絡(luò)資源高效利用；三是實現(xiàn)高效綠色節(jié)能，通過液體冷卻、能效管理、電力分配等新型技術(shù)，在提升網(wǎng)絡(luò)性能的同時實現(xiàn)節(jié)能降耗，降低運維成本；四是將穩(wěn)定安全作為基本屬性，新型數(shù)據(jù)中心在規(guī)劃階段就把安全防護能力考慮在內(nèi)，確保在超大規(guī)模和復(fù)雜網(wǎng)絡(luò)環(huán)境下，應(yīng)對日趨增長的安全威脅和容災(zāi)容錯需求。

（二）數(shù)據(jù)中心將為新基建構(gòu)筑堅實數(shù)字底座

數(shù)據(jù)中心在我國經(jīng)歷多年穩(wěn)步發(fā)展，為各種互聯(lián)網(wǎng)服務(wù)提供基礎(chǔ)支撐，在新基建和數(shù)據(jù)市場化配置等利好政策推動下，其發(fā)展空間和市場規(guī)模將顯著增長。

在市場需求方面，一方面，未來數(shù)據(jù)的爆炸式增長將為數(shù)據(jù)中心市場帶來巨大紅利。2000年我國數(shù)據(jù)的增長速度大約只有每天100GB，而現(xiàn)在已達到每秒約5TB。數(shù)字應(yīng)用所催生的數(shù)據(jù)核爆與數(shù)據(jù)價值，必然帶來對信息基礎(chǔ)設(shè)施的需求。另一方面，我國數(shù)據(jù)中心產(chǎn)業(yè)正處于高速發(fā)展的過程中。據(jù)中國信息通信研究院全國互聯(lián)網(wǎng)信息安全管理系統(tǒng)數(shù)據(jù)顯示，目前我國互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)持證企業(yè)已達1925家，近3年年均增長率保持9%左右。據(jù)智研咨詢和賽迪顧問數(shù)據(jù)顯示，截止2019年底，我國已有7.4萬余個數(shù)據(jù)中心，占全球數(shù)據(jù)中心總量的23%；我國大規(guī)模及超大規(guī)模數(shù)據(jù)中心數(shù)量全球占比已接近50%，數(shù)據(jù)中心機架數(shù)量全球占比達到45.9%。

在產(chǎn)業(yè)帶動方面，數(shù)據(jù)中心的建設(shè)發(fā)展，能夠創(chuàng)造新型的信息消費市場，為經(jīng)濟增長提供更多動能。數(shù)據(jù)中心的產(chǎn)業(yè)鏈主要包括三大環(huán)節(jié)，上游是寬帶、制冷設(shè)備、電力供應(yīng)、土建等基礎(chǔ)設(shè)施建設(shè)環(huán)節(jié)；中游是運營商、云廠商和第三方服務(wù)商等增值服務(wù)環(huán)節(jié)；下游是應(yīng)用環(huán)節(jié)，涵蓋互聯(lián)網(wǎng)、制造業(yè)、金融、醫(yī)療等多種類型行業(yè)。數(shù)據(jù)中心建設(shè)將帶動眾多產(chǎn)業(yè)協(xié)同發(fā)展，實現(xiàn)產(chǎn)業(yè)聯(lián)動。此外，數(shù)據(jù)中心將帶動城市核心地區(qū)和邊遠地區(qū)雙向發(fā)展。大型數(shù)據(jù)中心逐漸從一線城市核心向周邊地區(qū)及能耗指標更充足的中西部地區(qū)轉(zhuǎn)移，為地區(qū)經(jīng)濟發(fā)展建設(shè)提供動能。

實際上，在此次抗擊新冠肺炎疫情過程中，在線教育、遠程辦公、制造業(yè)、人工智能等領(lǐng)域應(yīng)用空前增長，其背后正是數(shù)據(jù)中心作為關(guān)鍵信息化基礎(chǔ)設(shè)施有力地保障支撐，數(shù)據(jù)中心的巨大價值由此凸顯。數(shù)據(jù)中心不僅在提供算力助力疫情防控等信息化領(lǐng)域作用突出，更在穩(wěn)投資、助升級、培植經(jīng)濟發(fā)展新動能等方面潛力巨大。

二、新基建數(shù)據(jù)中心面臨的安全風(fēng)險和挑戰(zhàn)

（一）傳統(tǒng)網(wǎng)絡(luò)空間安全風(fēng)險依舊存在且不斷升級

隨著新基建啟動，數(shù)據(jù)中心將進一步向虛擬化、自動化、智能化程度更高的智能計算中心發(fā)展，傳統(tǒng)安全風(fēng)險仍然存在且進一步升級的同時，還將面對更新型的安全威脅和更加嚴峻的安全挑戰(zhàn)。

1.數(shù)據(jù)安全風(fēng)險

數(shù)據(jù)是數(shù)字經(jīng)濟時代的核心生產(chǎn)要素，數(shù)據(jù)中心則是大數(shù)據(jù)全生命周期的關(guān)鍵載體。大數(shù)據(jù)從采集、傳輸、存儲、處理、交換直至銷毀，任一環(huán)節(jié)都可能依賴數(shù)據(jù)中心完成，數(shù)據(jù)中心安全將與數(shù)據(jù)安全緊密相關(guān)。數(shù)據(jù)中心導(dǎo)致的數(shù)據(jù)安全風(fēng)險主要來自兩方面，一是來自外部的數(shù)據(jù)竊取或篡改風(fēng)險，攻擊者往往利用各種手段突破數(shù)據(jù)中心安全防護措施以獲取內(nèi)部訪問權(quán)限，一旦攻擊成功，海量數(shù)據(jù)將直接暴露在攻擊者面前。2017年，美國五角大樓部署在亞馬遜云存儲上的數(shù)據(jù)庫配置錯誤被攻擊者利用，導(dǎo)致美國防部在全球社交媒體平臺收集的18億條用戶個人數(shù)據(jù)被公開。二是來自內(nèi)部的數(shù)據(jù)泄露風(fēng)險，如果數(shù)據(jù)中心未采取有效的數(shù)據(jù)訪問權(quán)限管理、身份認證管理、數(shù)據(jù)利用控制等措施，加之管理不夠完善，不法分子可能從數(shù)據(jù)中心內(nèi)部盜取數(shù)據(jù)進行販賣，以換取經(jīng)濟利益。京東與騰訊的安全團隊曾聯(lián)手協(xié)助公安部破獲一起特大竊取販賣公民個人信息案，其主犯乃企業(yè)內(nèi)部員工，通過內(nèi)部信息系統(tǒng)盜取涉及交通、物流、醫(yī)療、社交、銀行等個人信息50億條并在網(wǎng)絡(luò)黑市販賣。

此外，隨著數(shù)據(jù)價值的不斷提高，數(shù)據(jù)濫用和違規(guī)共享的風(fēng)險也值得進一步關(guān)注，數(shù)據(jù)中心服務(wù)商作為數(shù)據(jù)的實際控制者，具備最便捷接觸用戶數(shù)據(jù)的條件，如何為用戶數(shù)據(jù)建立動態(tài)的信任邊界是未來數(shù)據(jù)中心所必須考慮的。

2.網(wǎng)絡(luò)安全風(fēng)險

DDoS攻擊仍是未來數(shù)據(jù)中心所面臨的最主要安全風(fēng)險之一，網(wǎng)絡(luò)攻防的規(guī)模將更大也更具針對性。2019年雙十一期間，阿里云遭遇了來自184個國家、8萬個IP的15.03億次攻擊，最大攻擊流量達到401Gbps。

此外，云計算、虛擬化等技術(shù)的進一步應(yīng)用，使數(shù)據(jù)中心面臨的新型網(wǎng)絡(luò)安全風(fēng)險也將升級，主要體現(xiàn)在三方面。首先是權(quán)限認證環(huán)境異常復(fù)雜。數(shù)據(jù)中心為提高海量用戶訪問資源的便利性，在實現(xiàn)用戶身份認證的自動化、便捷化同時也伴生安全風(fēng)險，入侵者可能利用租用的數(shù)據(jù)中心資源攻擊認證入口，進而獲取更大權(quán)限進行攻擊。其次是虛擬化模糊網(wǎng)絡(luò)邊界。數(shù)據(jù)中心為最大程度實現(xiàn)計算存儲資源的智能分配，虛擬機將被動態(tài)地創(chuàng)建或遷移。若安全策略及防護措施不能及時匹配，容易面臨內(nèi)部安全攻擊。再次是分布式網(wǎng)絡(luò)擴大受攻擊面。云數(shù)據(jù)中心采用分布式網(wǎng)絡(luò)和SDN、NFV等新型網(wǎng)絡(luò)技術(shù)，存在分布式路由部署、域名配置復(fù)雜等特點，在調(diào)動資源完成相應(yīng)計算需求的同時也擴展了網(wǎng)絡(luò)的受攻擊面。

3.信息安全風(fēng)險

數(shù)據(jù)中心發(fā)展和新技術(shù)引入將使傳統(tǒng)的信息安全風(fēng)險增大升級。首先，海量數(shù)據(jù)的集中存儲將為違法有害信息內(nèi)容提供更加隱蔽的土壤，數(shù)據(jù)中心對信息內(nèi)容的監(jiān)測處置能力將面臨全新的挑戰(zhàn)。其次，數(shù)據(jù)中心的加速發(fā)展使越來越多的主體加入數(shù)據(jù)中心的建設(shè)和運營中，多方參與模式容易導(dǎo)致對第三方接入資源審核不嚴，為違法違規(guī)信息接入提供了可乘之機。第三，隨著內(nèi)容分發(fā)、邊緣計算、信息加密等技術(shù)的使用，信息內(nèi)容監(jiān)測、審核、處置難度將持續(xù)加大。

4.數(shù)據(jù)中心配套設(shè)施安全風(fēng)險

數(shù)據(jù)中心配套設(shè)施主要包括配電、冷卻等設(shè)施，如機柜的配電裝置和功耗監(jiān)控系統(tǒng)，這些設(shè)施所使用的工控系統(tǒng)將可能成為攻擊數(shù)據(jù)中心所借助的跳板。攻擊者利用這些系統(tǒng)的漏洞，通過非傳統(tǒng)手段來威脅數(shù)據(jù)中心安全。此外，隨著數(shù)據(jù)中心不斷向智能化、自動化管理方向發(fā)展，智能物聯(lián)技術(shù)為數(shù)據(jù)中心的冷卻、電力系統(tǒng)和監(jiān)控攝像機等基礎(chǔ)設(shè)施提供了IP地址和網(wǎng)絡(luò)接入能力。一旦接入網(wǎng)絡(luò)且未納入數(shù)據(jù)中心安全防護體系，智能物理設(shè)施可能會成為攻擊者潛入數(shù)據(jù)中心的新突破口。2018年，網(wǎng)絡(luò)安全公司FireEye發(fā)現(xiàn)Triton病毒可有效攻擊數(shù)據(jù)中心電力系統(tǒng)和冷卻系統(tǒng)，專家表示這種攻擊所造成的影響半徑將遠超傳統(tǒng)網(wǎng)絡(luò)攻擊，使數(shù)據(jù)中心遭遇不可逆的破壞，例如遠程控制打開消防系統(tǒng)的噴頭來銷毀服務(wù)器，修改能源系統(tǒng)以引發(fā)火災(zāi)或爆炸等。

（二）國際競爭博弈帶來的安全挑戰(zhàn)不容忽視

在國際形勢、市場環(huán)境的不斷發(fā)展變化下，數(shù)據(jù)中心也面臨著嚴峻的安全挑戰(zhàn)。

1.網(wǎng)絡(luò)戰(zhàn)爭嚴重威脅數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施安全

為了保護自身信息化設(shè)施的安全或?qū)崿F(xiàn)一定的政治、軍事目的，數(shù)字世界里的網(wǎng)絡(luò)戰(zhàn)陰影時隱時現(xiàn)。無論是美國東部的物聯(lián)網(wǎng)DDoS攻擊斷網(wǎng)事件，還是委內(nèi)瑞拉電“戰(zhàn)”、沙特?zé)捰蛷S被代碼“引爆”未遂，網(wǎng)絡(luò)空間攻擊者對新型基礎(chǔ)設(shè)施所造成的破壞威力日益顯著。如今，以數(shù)據(jù)中心為代表的關(guān)鍵信息化基礎(chǔ)設(shè)施先后被各國列為與能源、交通相等同的重要戰(zhàn)略資源，更成為網(wǎng)絡(luò)戰(zhàn)中的首要打擊目標。如何在網(wǎng)絡(luò)戰(zhàn)中有效攻擊敵方的關(guān)鍵基礎(chǔ)設(shè)施并降低對方攻擊影響，也將成為決定未來戰(zhàn)爭獲勝的關(guān)鍵。

2.核心技術(shù)將成為影響數(shù)據(jù)中心產(chǎn)業(yè)發(fā)展關(guān)鍵因素

隨著虛擬化、分布式計算、邊緣計算以及節(jié)能等越來越多的數(shù)據(jù)中心核心技術(shù)被應(yīng)用，以及數(shù)據(jù)中心逐漸向國家級數(shù)據(jù)中心、政務(wù)數(shù)據(jù)中心等方向發(fā)展延伸，對核心技術(shù)具有國際競爭力提出了更高更迫切的要求。核心技術(shù)的自主創(chuàng)新能力關(guān)系到我國數(shù)據(jù)中心產(chǎn)業(yè)安全可持續(xù)發(fā)展，否則與美國制裁導(dǎo)致芯片斷供一樣，數(shù)據(jù)中心產(chǎn)業(yè)將無法掌握主導(dǎo)權(quán)，數(shù)據(jù)安全始終不能得到保障，更無法成為支撐我國數(shù)字經(jīng)濟發(fā)展的核心基礎(chǔ)設(shè)施。

3.電信業(yè)務(wù)開放可能給安全監(jiān)管帶來挑戰(zhàn)

近年來，我國在參與全球經(jīng)濟貿(mào)易的過程中，電信業(yè)務(wù)對外開放不斷擴大。工業(yè)和信息化部鼓勵民間資本進入增值電信業(yè)務(wù)領(lǐng)域，并逐步提升對外開放水平，商務(wù)部今年也表示將加快修訂發(fā)布新的外資準入負面清單，進一步壓減現(xiàn)行負面清單內(nèi)容并擴大外資市場準入。但在我國其他電信業(yè)務(wù)開放的監(jiān)管實踐過程中，出現(xiàn)了個別外資企業(yè)不遵守我國電信業(yè)務(wù)管理政策，“借照”“無照”經(jīng)營電信業(yè)務(wù)或借外資開放獲取敏感數(shù)據(jù)，進而危害國家安全的違法違規(guī)情況，值得高度關(guān)注和預(yù)防。

三、新基建數(shù)據(jù)中心安全保障體系建設(shè)思路及建議

在新基建浪潮的推動下，數(shù)據(jù)中心將迎來高速高質(zhì)量大規(guī)模的發(fā)展階段，隨著數(shù)字經(jīng)濟發(fā)展和數(shù)據(jù)市場化配置的推進，數(shù)據(jù)將在數(shù)據(jù)中心進一步匯集，數(shù)據(jù)中心的戰(zhàn)略地位將進一步凸顯，構(gòu)建全面、可靠的安全體系將是保障數(shù)據(jù)中心產(chǎn)業(yè)健康穩(wěn)定發(fā)展的關(guān)鍵所在。立足國家的信息化發(fā)展戰(zhàn)略，把握以發(fā)展促安全、以安全保發(fā)展的整體思路，建議從以下方面積極加強新型數(shù)據(jù)中心安全保障體系建設(shè)：

一是加強頂層設(shè)計。加速研究出臺促進新型數(shù)據(jù)中心安全發(fā)展的指導(dǎo)意見，明確新型數(shù)據(jù)中心建設(shè)的整體目標和分階段實施路徑，將安全作為內(nèi)生需求嵌入新型數(shù)據(jù)中心的規(guī)劃、設(shè)計、建設(shè)和使用階段。構(gòu)建數(shù)據(jù)中心國家級安全保障體系，完善相關(guān)法律法規(guī)政策，圍繞設(shè)備、網(wǎng)絡(luò)、平臺、數(shù)據(jù)等重點領(lǐng)域，建立數(shù)據(jù)中心分級分類、安全能力評估測試、數(shù)據(jù)安全防護等相關(guān)標準體系，通過明確數(shù)據(jù)分級、所有權(quán)界定、數(shù)據(jù)共享、數(shù)據(jù)脫敏等要求建立以數(shù)據(jù)為中心的監(jiān)管機制，配套完善安全態(tài)勢感知、數(shù)據(jù)安全監(jiān)測預(yù)警、安全應(yīng)急指揮等技術(shù)平臺。使安全保障與產(chǎn)業(yè)發(fā)展同規(guī)劃、同部署、同推進，為數(shù)據(jù)中心產(chǎn)業(yè)打造可靠的發(fā)展環(huán)境。

二是加強技術(shù)創(chuàng)新。預(yù)判未來數(shù)據(jù)中心發(fā)展趨勢，通過政策、資金等支持，引導(dǎo)鼓勵企業(yè)和科研機構(gòu)開展數(shù)據(jù)中心核心技術(shù)的攻關(guān)研究，如智能邊緣數(shù)據(jù)中心、軟件定義、超大規(guī)模開放式架構(gòu)、設(shè)施模塊化、智慧節(jié)能等核心軟硬件技術(shù)和主動防御、動態(tài)防護、安全設(shè)備虛擬化、智能集中管控等安全技術(shù)，實現(xiàn)關(guān)鍵技術(shù)能力和關(guān)鍵環(huán)節(jié)的可管可控。針對數(shù)據(jù)安全，加強越權(quán)訪問、濫用等監(jiān)測預(yù)警技術(shù)和去隱私化等安全防護技術(shù)研究，確保數(shù)據(jù)安全可控前提下實現(xiàn)數(shù)據(jù)價值的充分利用。以技術(shù)創(chuàng)新推動新型數(shù)據(jù)中心安全態(tài)勢感知能力、安全防御能力、數(shù)據(jù)安全能力全面提升。

三是加強融通應(yīng)用。通過實踐和應(yīng)用牽引數(shù)據(jù)中心內(nèi)生安全生態(tài)體系構(gòu)建，例如圍繞全網(wǎng)絡(luò)層級安全防御模型搭建、以數(shù)據(jù)為中心的安全防護體系構(gòu)建等，開展新型數(shù)據(jù)中心安全保障能力的試點示范應(yīng)用。同步積極推動數(shù)據(jù)中心的網(wǎng)絡(luò)安全服務(wù)市場發(fā)展，鼓勵傳統(tǒng)安全產(chǎn)業(yè)市場由安全產(chǎn)品銷售向安全服務(wù)合作的模式轉(zhuǎn)變，把安全體系設(shè)計、安全架構(gòu)搭建、防護措施部署、模塊化安全能力定制等服務(wù)融入數(shù)據(jù)中心規(guī)劃、建設(shè)、運營各個階段，讓安全成為數(shù)據(jù)中心及用戶的必選項。通過實踐應(yīng)用不斷加速數(shù)據(jù)中心安全技術(shù)和研究成果的孵化落地，為行業(yè)發(fā)展提供堅實保障。

四是加強對外合作。穩(wěn)妥積極對外開放，以完善負面清單、設(shè)定安全基線為前提統(tǒng)籌協(xié)調(diào)開放。依托“一帶一路”等深化國際交流合作，與沿線國家實現(xiàn)優(yōu)勢互補，在數(shù)據(jù)中心建設(shè)國際化拓展等領(lǐng)域?qū)崿F(xiàn)協(xié)同共贏。通過提高數(shù)據(jù)中心安全能力、強化應(yīng)急協(xié)作水平、加強設(shè)施建設(shè)合作等，持續(xù)提升我國網(wǎng)絡(luò)安全國際影響力。加快推動我國數(shù)據(jù)中心龍頭企業(yè)的國際化進程，積極學(xué)習(xí)國外先進的業(yè)務(wù)經(jīng)營模式和安全技術(shù)體系，通過技術(shù)創(chuàng)新形成國際競爭力，為國內(nèi)產(chǎn)業(yè)引入先進的安全發(fā)展理念，樹立我國數(shù)據(jù)中心產(chǎn)業(yè)的國際地位。

四、結(jié)束語

在國家政策的支持下，要把握好發(fā)展與安全的關(guān)系，為數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施的穩(wěn)定、快速發(fā)展保駕護航。數(shù)據(jù)中心等新一代基礎(chǔ)設(shè)施，既是戰(zhàn)略性新興產(chǎn)業(yè)、新型信息消費市場，也是其他領(lǐng)域新基建的通用支撐技術(shù)，傳統(tǒng)產(chǎn)業(yè)數(shù)字化的新引擎。作為我國產(chǎn)業(yè)向信息化轉(zhuǎn)型的關(guān)鍵，數(shù)據(jù)中心產(chǎn)業(yè)未來必將為新基建構(gòu)筑堅實的數(shù)字底座，為我國數(shù)字經(jīng)濟高質(zhì)量發(fā)展貢獻重要力量。

（本文刊登于《中國信息安全》雜志2020年第9期）