摘要
新型数据中心作为数字经济的“信息底座”,具有“高技术、高算力、高能效、高安全”的“四高”典型特征。根据国家顶层相关指导文件,结合新型数据中心典型特征和发展趋势,从运营技术和信息技术两个视角研究了新型数据中心安全防护体系。其中,面向运营技术层面,重点研究了底层设施的安全防护。面向信息技术层面,提出基于“监测预警、安全防护、应急响应、综合管理”的新型数据中心安全保障体系,保障数据资源安全。通过系统性的网络安全思考,为建立新型数据中心整体安全体系提供有益参考。
当前,新型基础设施建设已上升至国家战略,被赋予了数字化、智能化的新意义。作为算力基础设施,新型数据中心是信息基础设施中的重要内容,是数字政府、数字经济的“信息底座”,是未来引领数字经济发展的关键载体和支柱,已成为新基建的重要发力方向。
2020 年 12 月,国家发展改革委联合中央网信办、工业和信息化部、国家能源局共同印发《关于加快构建全国一体化大数据中心协同创新体系的指导意见》,优化数据中心基础设施“东数西算”建设布局,加快提升大数据安全水平,强化对算力和数据资源的安全防护,构建贯穿基础网络、数据中心、云平台、数据、应用等一体协同安全保障体系 。2021 年 7 月,工业和信息化部印发《新型数据中心发展三年行动计划(2021—2023 年)》,加快向新型数据中心演进,构建完善的安全保障体系,建设安全态势监测、威胁处置等安全技术手段能力,面向数据中心底层设施和关键设备加强安全检测,防范化解多层次安全风险隐患。2021 年9 月,国家正式实施《关键信息基础设施安全保护条例》,要求在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,保障关键信息基础设施安全稳定运行。
当前,国内外网络安全形势日趋严峻,新型数据中心作为数字经济时代的国家战略资源,在基础设施智能化运营、全融合数据共享开放、重要系统支撑数字化转型等背景下,其安全风险也日益凸显,不容忽视。
1
新型数据中心发展现状与趋势分析
1.1 新型数据中心典型特征
新型数据中心具有高技术、高算力、高能效、高安全的“四高”特征 ,具体表现在算力规模与密度逐步提高,“绿色低碳”新技术应用逐步扩大,本地或跨域智慧化运维管理逐步应用,信息技术与运营技术的一体化安全保障要求更高。传统与新型数据中心对比如图 1 所示。
图 1 新型数据中心“四高”特征
1.2 新型数据中心涉及的技术领域
新型数据中心根据管理对象和业务的不同,按照技术领域分为信息技术(Information Technology,IT)与运营技术(Operational Technology,OT)两个层面,如图 2 所示。
图 2 IT 与 OT 技术领域业务划分
(1)运营技术。主要面向数据中心底层基础设施的智能化运营管理,用于监测、测量相关基础设施工业控制系统、物联感知设备的状态及可用性,支持协同联动场景下的设备联动、控制。安全防护对象主要为数据中心基础设施关键设备与系统,如数据中心基础设施管理系统(DataCenter Infrastructure Management,DCIM)、楼宇自动化系统或建筑设备自动化系统( BuildingAutomation System,BAS)、电力监测系统、环境与设备监控系统以及安全防范系统等。(2)信息技术。作为算力基础设施上层所有信息处理技术的总和,其包括软件、硬件、通信技术及其他相关服务,涉及计算资源、网络资源、存储资源等资源,以及数据中心承载的信息系统。安全防护对象主要包括:网络、云平台、数据资源以及租户重要信息系统等。
1.3 新型数据中心发展现状与趋势
近年来,数据中心数量、机架总数迅猛增加,市场规模已超千亿。据统计,截至 2020 年底,我国在用数据中心机架总规模达到 400 余万架,国内互联网数据中心(Internet Data Center,IDC)市场总规模超过 2 230 亿元,同比增长约 40%[4-6]。随着行业相关政策的持续出台,以及各行业数字转型的飞速发展,数据中心行业建设将急剧加速。
1.3.1 业务现状与趋势
(1)基础设施 OT 运营技术更加集中化、智能化。“绿色低碳”的新技术将逐步扩大,存量数据中心加快应用高密度、高效率的 IT 设备和基础设施系统。随着大型、超大型数据中心占比的增加,以及人工智能、大数据等新技术在数据中心运营管理实践中的逐步应用,本地或跨域数据中心基础设施的集中监控、智能化和自动化运维管理已经成为发展趋势。通过建设 DCIM 系统,可开展基础设施运行状态监控,不断训练节能优化、设备监管、故障预警等数据模型,实现智能化运营管理。
(2)IT 信息技术快速发展,数据汇聚、智慧应用更加多样。新型数据中心以云计算、大数据、物联网、人工智能等 IT 技术为牵引,以支撑我国国民经济、重点产业、社会治理等数字化转型为核心目标,汇聚融合“数字中国”建设中海量数据资源,承载政务服务、社会治理、城市建设、数字经济等相关智慧化应用,支撑政府、产业实现数字化转型。
1.3.2 安全现状与趋势
现有数据中心网络安全保障主要是基于国家现行等级保护标准要求安全建设,构建堡垒式的刚性防护体系,整体取得了较为显著的成效。部分关键基础设施不定期开展网络安全攻防演练,应急处理能力在实战中得到提升。但安全保障覆盖面有所不足,防护对象主要是针对数据中心 IT 信息系统开展安全防护,而数据中心基础设施安全可靠方面的防护能力较为薄弱。近年来,随着网络安全形势的发展,网络安全保障体系建设已逐步从“安全合规”向“安全能力”演进。传统的分散建设、自我防护、边界扎篱笆式的安全防护已不能完全满足需求,如何构建集网络安全监测预警、安全防护、应急响应于一体的新型数据中心安全保障体系已逐步成为重要命题。
2
面临的安全威胁
2.1 基础设施运营安全防护薄弱,极易成为攻击入口
数据中心基础设施如安全防范、电力监控、BAS 等系统在建设过程中缺少安全保护设计,一旦遭受攻击将导致设备故障、系统损坏、数据泄露等安全问题,严重时甚至会对算力可靠性造成危害。以数据中心的变配电系统为例,数据中心基础设施管理人员通常通过智能化管理 DCIM系统或控制主机等方式开展运维,但因缺乏有效的安全保护措施,使得网络攻击者可以入侵远程监控系统,直接窃取数据,甚至恶意破坏基础设施设备。具体来看,数据采集层存在非法设备接入访问、控制信令篡改、设备自身脆弱性等风险;网络层存在明文传输数据泄露、远程运维非法接入、关键指令易篡改等风险;应用层存在身份仿冒、敏感数据泄露、缺乏操作审计、难以定责追溯和恶意病毒攻击等风险。
2.2 被动防御,安全体系不完善导致风险应对能力不足
在网络安全等级保护等制度的推行下,数据中心完成了以边界防御、病毒防范等为主的合规性安全体系建设,具备一定的安全防护能力,但缺乏态势感知、动态协同和快速处置恢复的能力,在面对 APT 这类变化快、隐蔽性强的新型网络攻击时,“被动防御”体系无法进行有效对抗,无法快速识别和处置未知威胁,容易遭受持续的潜伏攻击,严重时威胁国家安全。
2.3 海量数据在数据中心融合、共享与应用,数据泄露风险日益加大
在“数字中国”的建设浪潮下,数据资产将不断汇聚、融合和应用,原有的以防火墙及其他边界防护设备为主的网络安全保障体系已不能满足数据安全的需求,由于缺乏有针对性的安全保护手段,数据仍以明文形式进行传输和存储,那么敏感数据就很有可能被非法用户访问,甚至遭受恶意攻击,导致数据窃取、数据泄露、无法追责溯源等安全风险。
2.4 大量租户依托数据中心构建业务,面临网络攻击风险
租户利用数据中心提供的虚拟资源完成业务搭建,承载了大量业务与数据。随着云服务器虚拟化、容器技术的广泛使用,安全边界变得愈发模糊,容易遭受外部恶意攻击。一旦缺乏相应的安全防护措施,将面临拒绝服务攻击、主机入侵、容器镜像篡改、Web 应用漏洞攻击、数据窃取等网络攻击。
2.5 分散防护,缺乏整体网络安全监管能力
现有的关键基础设施、应用系统在安全防护方面缺乏统一规划,处于分散建设、自我防护的状态,缺乏协同联动,应急处置能效低下。当前部分网络安全监测手段较为传统,更多通过人工方式对设备、数据库或系统的运行状态、安全等情况进行监测,其范围、深度、频率、手段和时长等方面均有所欠缺,安全态势、事件管理、策略管控、安全运维等整体网络安全统一监管能力不足,易造成安全工作被动、安全威胁无法及时处置。
2.6 缺乏体系化的密码保障能力
未站在整体、全局的视角规划密码应用体系,将引发密码算法不合规、使用不正确、密钥缺乏全生命周期管理等突出问题,无法满足日益增多的数据安全、身份安全保障需求,难以发挥密码保障网络安全的主动防御价值。
3
新型数据中心网络安全体系研究
3.1 安全保障思路
面向新型数据中心的业务应用场景,结合现行网络安全标准,建设统一的安全基础设施,考虑从 5 个层面增强新型数据中心网络安全保障能力,建设安全运营管理中心,实现新型数据中心网络安全体系的统一监测、统一分析和统一处置。
3.1.1 加强数据中心基础设施安全防护
基于数据中心基础设施及智能化 DCIM 运维管理平台安全风险,考虑从采集、传输、应用等层面加强基础设施 OT 安全建设。例如,采用密码技术进行设备身份鉴别,定期进行底层设备系统软件升级,及时修复漏洞,使用安全传输协议并对重要指令数据进行机密性、完整性以及真实性保护。
3.1.2 构建“数盾”体系,保障数据全生命周期安全
覆盖数据采集、传输、存储、处理、交换、销毁等全生命周期,制定数据安全防护策略,通过数据加密传输、数据安全计算、数据资产溯源追踪、数据安全存储等技术措施,构建数据资产身份标识、数据流向权属监管等能力,实时监控数据资源安全态势,动态掌握数据资源分布和应用情况,最终形成“数盾”体系,确保数据安全。
3.1.3 加强租户应用安全保障
加强租户网络访问控制、入侵防范等,防范网络攻击;采用主机安全加固、容器镜像安全、入侵检测等措施保障租户安全,以应对 Web 攻击、病毒入侵等安全风险,确保虚拟机安全、容器安全;对登录用户进行身份鉴别,采取数字认证等密码技术确保身份真实性;加强应用访问管控,确保只有经过授权的用户才能进行操作;确保用户鉴别数据、配置信息等重要业务数据在传输、存储过程中的机密性和完整性。
3.1.4 深化密码应用,建立体系化密码保障能力
以密码安全合规使用为核心目标,围绕数据中心在物理与环境、网络与通信、设备与计算、应用与数据等方面的密码应用需求,为数据中心安全提供体系化的密码支撑,实现密码技术与业务应用的深度融合,加强密码技术在身份认证、数据安全及应用安全中的应用。
3.1.5 统筹打造新型数据中心安全运营管理中心
构建统一安全运营中心,统筹网络安全管控能力,协同控制网络中各个安全组件,以“协同防御”“全面预警”“态势感知”为核心,构建全面、主动的网络安全防御体系。能够及时发现外部攻击、横向威胁、资产外联等信息安全事件和威胁,对各类攻击行为和威胁进行追踪溯源,高效联动处置各类安全事件、威胁、预警事务,提升智能化、精准化、主动化的安全保障能力,使得网络安全可感知、可预判、可阻断、可追溯。
3.2 安全总体框架
针对新型数据中心的典型特征和面临的安全风险,以国家政策标准为准绳,以安全运营管理中心为抓手,通过夯实共性安全基础设施底座,加强纵深防护体系建设,提供安全及密码服务能力并持续改进安全运营保障,打造出IT 安全和 OT 安全一体化的新型数据中心安全保障体系。新型数据中心整体网络安全架构如图 3所示。
图 3 新型数据中心整体网络安全架构
(1)物理安全层。从数据中心选址、环境温湿度控制、物理访问控制及防盗防破坏、防火、防雷接地、防电磁干扰、防静电等方面布设物理安全防护措施,并保障数据中心可靠的电力供应。
(2)安全基础设施层。围绕网络信息安全能力基础要素构建,打造以电子认证、密钥管理、密码服务平台、统一身份认证等为核心的网络安全基础设施,为新型数据中心网络安全体系提供基础支撑。
(3)OT 安全。在确保其基础设施性能可靠、冗余配置等物理安全的基础上,以安全运营管理中心为抓手,从采集层、网络层、应用层等层面构建纵深 OT 基础设施安全体系,保障数据中心底层设施和关键设备运营安全。
(4)IT 安全。围绕网络、云平台、数据、租户的安全需求,以安全基础设施为基石,以安全运营管理中心为统领,构建“主动、精准、纵深”一体化的网络安全防护体系,打造全面监测、智能分析、威胁预警、安全防护和安全服务能力,保障新型数据中心网络及数据安全。
(5)安全及密码服务。以弹性、按需供给的方式提供安全及密码服务,实现网络安全风险可发现、可管控、可处置,持续保障新型数据中心安全。
(6)政策法规标准。遵照国家相关法律法规,制定切合实际的网络信息安全标准规范,科学导新型数据中心网络信息安全保障体系建设。
(7)安全运营保障。以安全运营为保障目标,通过决策规划、组织管理、协调监督、改进评价等手段,构建安全运营管理体系。
(8)安全运营管理中心。以大数据融合分析、人工智能为基础,打造高度智能化的新型数据中心网络信息安全管理和指挥中枢,统筹开展数据中心 IT 与 OT 安全管理,打造安全态势智能感知、体系联动的监测预警、弹性动态的系统防护、攻防博弈的渗透检测、高效及时的应急处置能力,构筑一体化的网络信息安全防线。
3.3 新型数据中心 IT 网络安全体系研究
构建“11412”的新型数据中心 IT 网络安全保障体系,涵盖从信息网络、云平台、数据到云租户的纵深安全防护,满足网络安全等级保护、密码应用安全等规范的要求。新型数据中心 IT 网络安全框架如图 4 所示。
图 4 新型数据中心 IT 网络安全框架
(1)“1”个安全运营管理中心。安全运营管理中心平台由“3+2+N”体系构成,包括 3 个平台:指挥管理平台、监测分析平台、安全运维平台;2 个基础:资产管理平台、威胁情报平台;N 个运营工具(如安全运营门户、网站云防等)。
(2)“1”个安全基础设施。包括统一身份认证、电子认证基础设施、密钥管理基础设施、安全区块链服务平台、密码服务平台等。统一提供网络实体信任服务、区块链、密钥管理以及密码应用支撑等,构建以密码为基石的网络安全保障体系基础底座。
(3)“4”层纵深安全防护。构建覆盖网络安全、云平台安全、数据安全、租户安全的纵深防护体系,通过体系化的网络安全治理,打造新型数据中心安全保障体系,有效降低安全风险。
(4)“1”个安全及密码服务。包括风险评估、渗透测试、代码审计、专家咨询以及密码计算、证书管理、密钥管理等安全及密码服务。
(5)“2”个保障。包括安全运营保障和政策法规标准,为新型数据中心网络信息安全的持续发展提供创新牵引和机制保障。
3.4 新型数据中心 OT 网络安全体系研究
数据中心 OT 安全从基础设施底层的采集层、网络层、应用层的安全需求出发,构建一体化网络安全体系,覆盖智能化运营的重要场景,满足网络安全等级保护、密码应用安全性等规范的要求。
构建“11312”的新型数据中心 OT 网络安全保障体系,如图 5 所示。
图 5 新型数据中心 OT 网络安全框架
(1)“1”个 OT 安全运营管理中心。统筹建设 OT 安全管理中心,对全网 OT 资产进行统一探测管理,对底层设备进行状态监控、行为审计及安全管控等,结合云端威胁情报,对 OT基础设施设备安全态势进行预测、防护、监控和响应。例如,实现 OT 设备 [ 如安全视频监控设备、门禁控制器、安全直接数字控制(Direct Digital Control,DDC)采集器等 ] 资产实体数字身份标识管理、设备资源加密与签名密钥管理、安全组件策略管理、设备安全状态与漏洞以及工控和网络安全态势呈现等。
(2)“1”个安全基础设施。包括电子认证基础设施、密钥管理基础设施、密码服务平台等。统一提供电子认证、密钥管理以及密码应用支撑等,构建 OT 网络安全保障体系基础底座。例如,提供设备身份标识证书申请注册与签发、密码计算等共性支撑。
(3)“3”层重点安全防护。构建采集层安全、网络层安全、应用层安全纵深防护体系。
采集层设备采用身份认证、安全加固、信令安全、接入认证等措施对数据采集层设备进行安全防护。例如,采集层视频监控设备可通过安全基础设施在线申请标识设备身份的数字证书,防止非法设备被仿冒、替换,并针对控制信令进行验证,避免信令被篡改;对于电力配电、暖通空调、动力环境等不易改造的设备,通过在终端网络接入侧部署物联网安全网关,实现接入认证与数据传输安全保护。网络层采用身份鉴别、传输加密等方式进行防护,对本地、跨域数据中心管理、控制、监测的敏感数据保密性、完整性进行保护。例如,通过工业防火墙等措施,实现工控协议指令、地址及值域范围级别的细粒度精准控制;采用物联网安全网关进行通信完整性保护和重要数据加密,避免工控信令或重要监测数据被恶意篡改或泄露。
应用层重点关注数据中心基础设施管理系统(DCIM)、控制主机等安全防护。加强运维管理人员的身份认证、数据加密、访问控制、安全审计等措施,进一提高安全等级。加强控制主机的恶意代码防范、终端身份鉴别、外设管控和主机监控与审计,及时进行主机安全加固,避免攻击者通过病毒或木马程序下发恶意指令或执行其他违规操作。
(4)“1”个安全及密码服务。包括风险评估、渗透测试、代码安全监测、专家咨询以及密码计算、证书管理、密钥管理等密码服务。例如,定期对工业控制主机、DCIM 系统、重要网络设备及关键工控设备等开展渗透测试与风险评估等,最大限度地挖掘系统存在的漏洞、脆弱点等不安全因素,尽可能减少安全隐患。
(5)“2”个保障。包括安全运营保障和政策法规标准,为新型数据中心 OT 网络安全的持续发展提供标准规范、组织机制保障。
4
结 语
引用格式:徐建 , 郑伟 , 郭晓春 , 等 . 新型数据中心网络安全体系研究 [J]. 信息安全与通信保密 , 2022(7):123-132.
作者简介 >>>
选自《信息安全与通信保密》2022年第7期(为便于排版,已省去原文参考文献)
发表评论
您还未登录,请先登录。
登录