当前,新型基础设施建设已上升至国家战略,被赋予了数字化、智能化的新意义。作为算力基础设施,新型数据中心是信息基础设施中的重要内容,是数字政府、数字经济的“信息底座”,是未来引领数字经济发展的关键载体和支柱,已成为新基建的重要发力方向。
2020 年 12 月,国家发展改革委联合中央网信办、工业和信息化部、国家能源局共同印发《关于加快构建全国一体化大数据中心协同创新体系的指导意见》,优化数据中心基础设施“东数西算”建设布局,加快提升大数据安全水平,强化对算力和数据资源的安全防护,构建贯穿基础网络、数据中心、云平台、数据、应用等一体协同安全保障体系 。2021 年 7 月,工业和信息化部印发《新型数据中心发展三年行动计划(2021—2023 年)》,加快向新型数据中心演进,构建完善的安全保障体系,建设安全态势监测、威胁处置等安全技术手段能力,面向数据中心底层设施和关键设备加强安全检测,防范化解多层次安全风险隐患。2021 年9 月,国家正式实施《关键信息基础设施安全保护条例》,要求在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行。
当前,国内外网络安全形势日趋严峻,新型数据中心作为数字经济时代的国家战略资源,在基础设施智能化运营、全融合数据共享开放、重要系统支撑数字化转型等背景下,其安全风险也日益凸显,不容忽视。
1、新型数据中心发展现状与趋势分析
与传统数据中心相比,新型数据中心具有新的典型特征,其涉及的技术领域包括信息技术和运营技术。随着“新基建”国家战略的快速落地,新型数据中心业务发展迅猛,“合规”安全防护已不能满足当前形势发展需要。
1.1 新型数据中心典型特征
新型数据中心具有高技术、高算力、高能效、高安全的“四高”特征 ,具体表现在算力规模与密度逐步提高,“绿色低碳”新技术应用逐步扩大,本地或跨域智慧化运维管理逐步应用,信息技术与运营技术的一体化安全保障要求更高。传统与新型数据中心对比如图 1 所示。
1、新型数据中心发展现状与趋势分析
与传统数据中心相比,新型数据中心具有新的典型特征,其涉及的技术领域包括信息技术和运营技术。随着“新基建”国家战略的快速落地,新型数据中心业务发展迅猛,“合规”安全防护已不能满足当前形势发展需要。
1.1 新型数据中心典型特征
新型数据中心具有高技术、高算力、高能效、高安全的“四高”特征 ,具体表现在算力规模与密度逐步提高,“绿色低碳”新技术应用逐步扩大,本地或跨域智慧化运维管理逐步应用,信息技术与运营技术的一体化安全保障要求更高。传统与新型数据中心对比如图 1 所示。
3、新型数据中心网络安全体系研究
本文根据国家顶层相关指导文件,贴合新型数据中心典型特征和发展趋势,从运营技术和信息技术两个视角研究了新型数据中心安全防护体系,尤其对关键信息基础设施的底层设施、关键设备和智能化管理的安全防护展开了思考。
3.1 安全保障思路
面向新型数据中心的业务应用场景,结合现行网络安全标准,建设统一的安全基础设施,考虑从 5 个层面增强新型数据中心网络安全保障能力,建设安全运营管理中心,实现新型数据中心网络安全体系的统一监测、统一分析和统一处置。
3.1.1 加强数据中心基础设施安全防护
基于数据中心基础设施及智能化 DCIM 运维管理平台安全风险,考虑从采集、传输、应用等层面加强基础设施 OT 安全建设。例如,采用密码技术进行设备身份鉴别,定期进行底层设备系统软件升级,及时修复漏洞,使用安全传输协议并对重要指令数据进行机密性、完整性以及真实性保护。
3.1.2 构建“数盾”体系,保障数据全生命周期安全
覆盖数据采集、传输、存储、处理、交换、销毁等全生命周期,制定数据安全防护策略,通过数据加密传输、数据安全计算、数据资产溯源追踪、数据安全存储等技术措施,构建数据资产身份标识、数据流向权属监管等能力,实时监控数据资源安全态势,动态掌握数据资源分布和应用情况,最终形成“数盾”体系,确保数据安全。
3.1.3 加强租户应用安全保障
加强租户网络访问控制、入侵防范等,防范网络攻击;采用主机安全加固、容器镜像安全、入侵检测等措施保障租户安全,以应对 Web 攻击、病毒入侵等安全风险,确保虚拟机安全、容器安全;对登录用户进行身份鉴别,采取数字认证等密码技术确保身份真实性;加强应用访问管控,确保只有经过授权的用户才能进行操作;确保用户鉴别数据、配置信息等重要业务数据在传输、存储过程中的机密性和完整性。
3.1.4 深化密码应用,建立体系化密码保障能力
以密码安全合规使用为核心目标,围绕数据中心在物理与环境、网络与通信、设备与计算、应用与数据等方面的密码应用需求,为数据中心安全提供体系化的密码支撑,实现密码技术与业务应用的深度融合,加强密码技术在身份认证、数据安全及应用安全中的应用。
3.1.5 统筹打造新型数据中心安全运营管理中心
构建统一安全运营中心,统筹网络安全管控能力,协同控制网络中各个安全组件,以“协同防御”“全面预警”“态势感知”为核心,构建全面、主动的网络安全防御体系。能够及时发现外部攻击、横向威胁、资产外联等信息安全事件和威胁,对各类攻击行为和威胁进行追踪溯源,高效联动处置各类安全事件、威胁、预警事务,提升智能化、精准化、主动化的安全保障能力,使得网络安全可感知、可预判、可阻断、可追溯。
3.2 安全总体框架
针对新型数据中心的典型特征和面临的安全风险,以国家政策标准为准绳,以安全运营管理中心为抓手,通过夯实共性安全基础设施底座,加强纵深防护体系建设,提供安全及密码服务能力并持续改进安全运营保障,打造出IT 安全和 OT 安全一体化的新型数据中心安全保障体系。新型数据中心整体网络安全架构如图 3所示。