大数据中心安全

　　摘要：本文总结目前数据中心普遍存在数据合规性、基础设施物理、人工智能自身以及数据、平台、业务等数据安全风险，指出了当前数据中心在数据流和安全支撑体系、配套安全支撑体系建设等方面存在的不足，边缘数据中心存在传统安全边界隐患；介绍了包含安全威胁与感知、边界安全与防护、平台安全及防护、业务链安全和防护、数据流动安全和防护等多重技术纵深安全防御的体系。

　　引言

　　数据中心[1]是集信息储存、信息加速、信息计算、信息展示为一体的系统，在人工智能和虚拟化以及新基建[2]浪潮的推动下，数据中心系统正在不断演变，其具有如下新特点：首先是数据中心系统一体化，按照一个中心三套体系、多种运用的顶层架构设计模式展开，通过数据中心系统应用来带动全局网络一体化发展，运用云计算[3]整合海量数据资源，连接信息技术以及业务三个板块，从而支撑起行政、企业、社会的公共管理和协同服务。其次是分析研测系统智能化。随着5G网络、云计算的普及，人们的各种社会活动会产生海量的数据，导致数据中心系统的规模不断扩大，数据中心基础设施设备需求飞速增长。众多型号的设备需要专人进行维护、统一运行管理，并且要坚持定期测试机器性能、排查和维护，提高整机运行效率，为进一步分析数据做好基础准备。数据中心庞大复杂的网络计算存储能力以及智能系统，也将能部分或完全取代传统人工分析计算能力以及运维分析，进行网络定期和自我监测，并有效处理数据中心潜在的网络运行问题，将数据中心被动人为计算分析逐渐转变为主动网络运维计算分析。最后是部署边缘化，进行数据中心边缘计算系统的自主研发。

　　1. 数据中心安全保护需求

　　1.1 合规性风险

　　数据中心机房的网络安全建设也需满足等级安全保护标准或分级安全保护标准，即还需要建设完善的安全防范技术、管理、运维安全体系，达到数据安全可信、可控、可观化的目标。为了全面满足合规性需求，需要用户在安全的技术、运维、管理等各个方面使操作方式更加简单灵活，但是目前一些企业和组织建设的数据中心仍然存在冗余的建设，主要是在安全技术、运维、管理等方面的管控比较薄弱。

　　1.2 基础设施物理安全风险

　　物理层的安全主要是指保护范围的安全，包括在整个移动通信基础网络架构环境中的最重要的物理信息机房、通信线路、硬件设备系统等，保证所有重要计算机信息系统基础设施真正达到物理结构上的安全，这是保障整个移动大数据云平台系统安全且正常使用下去的技术前提。

　　1.3 数据流安全支撑体系仍存在不足

　　一是海量的数据被集结起来，在数据中心存储，容易受到外部入侵者重点拦截或攻击等，并且容易成为威胁袭击的最关键目标。二是未来由于数据中心承载及业务形式越来越多样化，安全技术防护的保障水平存在结构性木桶效应。数据的存储和安全系统就像是一个小木桶，整体数据的储存安全性会成为最容易遭遇攻击的环节。

　　1.4 人工智能自身数据存在安全风险

　　数据中心智能化融合了大量人工智能技术，安全管理风险持续加大，运维也日渐接近智能化，须进一步警惕数据中心人工智能系统自身的数据和安全管理风险。在大量人工智能系统驱动条件下，进一步提高了整个数据中心智能运维人员的自主性和能动性。人工智能技术应用自身同时还会面临大规模数据投毒、对抗大样本病毒攻击等安全隐患。此外，人工智能技术的大量应用也随时可能导致大数据内容过度人工采集、数据歧视、数据源滥用等一系列风险。此外，由于传统数据中心的云计算化，传统的安全云架构数据保护和效率明显降低。

　　1.5 边缘数据中心存在传统安全边界隐患

　　边缘数据中心的高速发展，存在传统的安全边界防护隐患。数据中心网络攻击的边界一般包括被介入网络的固定终端、服务器主机、网络节点等，终端节点包括所有的固定终端节点和移动终端节点，可能存在着设备被攻击者恶意感染、破坏数据，以及被入侵者篡改数据的两种攻击风险，服务器主机同样存在数据设备被恶意入侵、破坏和篡改数据的风险，数据中心网络也同样存在入侵、攻击、非法访问等风险。此外，部署位置边缘化，易遭到物理攻击。边缘数据中心系统通常还应远离其他一些安全环境保护技术措施相对比较严格、完备、可靠的大型网络中心机房，部署在能够完全对外开放运行的且内部不受控制管理的大型网络边缘环境系统中，比如野外环境、人流相对过于密集且拥挤的大型网络公共商业环境等。不法黑客分子针对的物理攻击的目标距离普遍较短，容易直接导致数据中心设备遭到更大规模的恶性篡改、破坏系统和其他恶意攻击，如黑客通过引入一些极其有害的软硬件漏洞而进行大规模数据资源的窃取、对设备物理性的恶意篡改，从而导致物理设备大量数据丢失或者系统破坏等。另外，数据处理分布化，存在安全性薄弱环节。边缘云计算服务的安全服务传输模式也具有相对的复杂性和边缘数据的实时性，由于其边缘数据的采集过程的高可感知性、多源异构性等特点，以及边缘终端设备自身的信息存储资源受限等一些特性，使得如果采用一些传统的在云计算环境支持模式下的方式，如数据远程访问处理和安全控制、数据加密和处理机制等多种边缘数据采集的安全服务传输的机制，数据中心难以真正满足其边缘设备和服务安全技术的保障和需求。

　　1.6 平台、业务安全风险

　　数据平台中的大多产品在产品立项之初都对数据安全风险因素的考虑较少，在客户身份安全认证、访问与控制的授权、审计等数据安全防护方面较为薄弱，存在着冒名、越权访问等潜在风险，需要系统进行更全方位、多层次的数据安全保护加固。而基于大数据平台的应用模式和业务都是全新的，在代码安全、系统漏洞、Web内容安全、访问控制和安全审计机制等多个细节方面，仍存在一些安全操作风险。

　　1.7 配套安全支撑体系建设方面存在不足

　　数据[4]的流动传输日益频繁，配套及安全防护支撑保障体系等建设管理方面均存在不足。数据还无法实时流动化，配套应用的安全认证等技术条件仍然不成熟。新农村基建充分促进了现代社会数据流量资源的迅速流动与发展，以及信息的快速集中，使得数据流转和发展的速度越来越快，数据总量也持续以指数级的形式增长，但同时保障了数据的高效流转加密与数据安全的同态加密、多方安全。云计算是一种整合起来的海量数据信息及智能运维的前提。此外，由于数据交易过度频繁化，导致配套法律规则严重滞后。数据交易作为数据生产基础要素，通过第三方数据集中交易信息平台等进行公开交易，为大数据服务市场化建设进一步发展提供了一个快捷的途径，能够迅速产生更深远的经济效益意义和社会研究价值。但由于目前我国互联网数据市场交易的流通还处于一种初级的发展阶段，针对互联网数据市场交易进行自律监管所出台的相应的一些法律文件，只能以其他一些相关规范性文件作为参考依据，各网络交易服务平台还是各自为政，高层次的立法缺失。

　　2. 数据中心安全保护的对策

　　2.1 建立威胁感知体系

　　建立一套基于大数据进行安全预警分析技术和威胁预测情报系统的安全云计算中心[5]，形成可以有效对抗多种新型安全威胁的综合防御机制和入侵检测技术体系，通过构建该防护体系，可以快速挖掘各种未知新威胁、预知各种风险，全面、快速、准确地有效感知过去、现在、未来的各类威胁的态势，同时将分析、提炼、筛选后得到的各类情报信息，自动、实时、同步传递到各个边界、业务、数据的安全云防护技术体系环境中，大幅度提升边界、平台、业务、数据体系的整体安全技术防护支撑能力。

　　2.2 建立边界安全防护，加快推进边缘环境数据安全

　　基于业务中的各种风险防范和入侵控制应用需求[6]，划分为不同等级的网络物理安全/业务逻辑安全防护区域，在物理安全防御区域边界、网络安全出口接入边界、无线路由器接入区域边界、终端接入区域边界中，建立较为健全合理的网络边界安全立体入侵防控应用体系，基于天擎终端安全、天擎关安全等网络安全产品，实现多边界入侵协同与防御，同时也通过与威胁情报中心系统的实时情报采集交互，以及对流量的实时上下文情景的感知分析，实现动态策略信息自动的下发跟踪与阻断，将各类已知威胁或未知的威胁信息阻断并排除在安全边界区之外，有效保护网络各安全边界区域间的网络信息数据安全。加快推进边缘环境数据安全。一是调整、优化、完善传统的数据加密安全技术方案。保障数据中心边缘环境建设中重要的关键数据信息安全，需同时对数据中心传统的数据加密技术等相关安全保护方案技术进行整体优化或升级，实现信息技术与边缘数据中心安全的新特性技术相结合，构建一套轻量级、分布式安全的数据加密安全与防护标准体系。二是重新制定数据加密安全保护相关标准。目前国内边缘数据中心建设等重点领域仍然缺乏国家统一网络安全标准，各行业还应继续结合自己业务领域发展新特点，针对各类边缘数据中心安全部署和位置、分级管理标准、数据系统安全保障管理措施分类制定完善相关信息安全标准，构建完整面向整个边缘数据中心网络的统一安全保护管理与标准体系，全面提升整个边缘数据中心网络系统安全能力。

　　2.3 建立平台安全防护、业务安全防护、数据安全防护

　　通过建立一个基于大数据分布式环境体系架构中相对完整可靠的4个认证A类认证体系(账号Account、认证Authentication、授权Authorization、审计Audit)的系统，保证平台内只有极少数人持有合法账号、通过身份识别和认证、经过合法有效的访问权限与认证授权审查资格验证，获得使用大数据平台的权限。

　　通过对业务场景和行业应用系统的深入分析，从业务系统本身的代码缺陷、自身安全加固等不足处入手，再辅以对用户数据业务系统访问的行为做详细的审计及分析，进行系统源代码的安全漏洞检测、分析、溯源、缺陷化管理，建立业务系统漏洞化管理平台和紧急响应工作机制；对整个Web应用系统进行实时安全的扫描、监测、防护工作；对系统进行系统日志、数据库、大流量数据方面安全的审计。

　　对大数据平台服务器中采集的海量数据实时进行安全加密校验和数据密级保护管理，基于实时分布式的数据复制、校验分析等新技术，以实现大数据存储的实时完整性、可用性，通过对网关数据敏感信息的检查、终端数据敏感信息的检查、终端数据的加密，以实现终端数据信息的绝对安全可控化和数据防泄漏。

　　2.4 加强数据安全风险防范

　　首先是提升数据中心风控管理监测技术能力[7]，充分发挥云计算的优势以及人工智能的强大运维能力，建立风险监测以及防控机制，实时分析数据中心安全现状以及稳定性情况，提高数据中心风控的监测效率。其次是加强数据中心人才队伍的培养。做好数据中心风控防范措施，关键在于人才的培养。目前来看，我国数据中心建设人才资源短缺，高素质人才较少，难以维持当下数据中心建设的飞速发展，无法满足数据产业创新需求。一是要提高我国数据中心风控防范的意识，普及科学知识，加强国民教育，使得保护个人数据安全观念深入民心。二是完善数据人才培养机制，形成从大学高校、科技院所到工作实践的创新的良性开环，引进数据计算机方面高素质人才教授，做好数据中心知识教育培训。

　　2.5 强化数据安全保障与风险评估

　　一是继续加强网络数据传输安全和保障[8]。推动芯片、操作系统、数据库平台等大型数据中心产业链各上游核心软硬件关键技术研究及成熟应用，保障核心产业链技术安全。二是进一步开展网络数据信息安全及风险等级评估。针对需要融合于云计算、物联网平台等一些新兴应用技术平台的业务，在信息隐私的保护、身份信息认证、访问和控制技术等几个方面着重开展风险评估，于各业务应用上线使用前重点评估所存在的潜在安全保障风险，并据此采取安全应对性措施，减少应用新兴平台技术可能带来的网络数据隐私安全风险。

　　2.6 推动建立数据流动安全保障机制

　　首先是加强信息流动的管理，建设可以实时监测掌控信息流动轨迹以及交易动态回溯的综合信息应用系统，加强数据安全系统建设，例如，区块链技术、数字亲缘技术、数字指纹技术。其次是营造安全公平的数据交易市场环境。鉴于我国数据交易笔数众多、稳定性较低、风险较高的现状，应打造一种线上数据交易流通规章，明确交易双方的权利及义务，针对可能出现的资金安全问题，保证每一位数据交易者的安全并记录，制定一个数据安全交易标准并经常进行交易数据清洗，提高我国数据交易市场的商业竞争力。

　　结语

　　本文全面概述总结了国内目前主要数据中心普遍存在的数据合规性、基础设施物理、人工智能和自身的数据、平台、业务等数据安全问题，指出了当前数据中心在数据流和安全支撑体系、配套安全支撑体系建设等方面的不足，边缘数据中心存在传统安全边界隐患。同时，针对数据中心安全与大数据流动安全面临威胁来源的更加多样化、体系化，本文特别提出并研究了如何构建一套同时包含威胁风险感知、边界节点安全与防护、平台系统安全和防护、业务数据安全和防护、数据流动安全与防护等多重威胁纵深安全防御机制体系，加强重大数据流动安全关键风险节点防范，强化核心数据的安全技术保障管理与威胁风险识别评估，推动企业建立重大数据的流动安全风险保障防控机制，为大型数据中心用户提供数据源头全方位保护，从而更好地发挥数据中心是汇集各种规模和庞大信息数据载体的大集合体作用。

　　参考文献：

　　[1]于克辰,郭莉,阴宏伟,等.面向数据中心场景的基于区块链与博弈论的高价值数据共享模型[J].信息网络安全,2022, 22 (6):73-85.

　　[2]李慧琦.新基建背景下数据中心建设浅析[J].中国信息化,2022,(5):107-108.

　　[3]宋东海,李忠鹏.云数据中心安全综合防护研究[J].信息系统工程,2022, (3): 133-136.

　　[4]李莉,刘路,刘佳.数据中心网络安全的分析[J].中国设备工程,2022,(5):75-76.

　　[5]王鹏,王玉.构建共享数据中心安全防护体系[J].中国教育网络,2022,(1):79-80.

　　[6]本刊编辑部.网络安全、数据中心、IT运维三大领域洞察[J].网络安全和信息化, 2021,(12):40-44.

　　[7]崔辰.大数据背景下信息安全风险框架及应对策略研究[J].电子测试,2021, (8):60-62.

　　[8]辛云龙.大数据下网络信息安全风险和策略探究[J].电子元器件与信息技术,2021,(8):139-140.

　　作者简介：宋雪娇，本科，中级测评师，研究方向：网络安全。

关注读览天下微信， 100万篇深度好文， 等你来看……