新基建背景下数据中心数据安全保护策略研究

张则阳，庞 妺

（中国信息通信研究院安全研究所，北京 100191）

2018年“新型基础设施建设”首次正式提出，2020年数据中心被明确纳入新型基础设施建设条目。为促进新基建高质量发展，四部委联合发布文件，规范全国一体化大数据中心建设，积极应对潜在安全风险，提升数据安全保障能力。在新基建背景下，随着数据价值的提升，数据中心作为数字基础设施的基础设施，事关企业生产、社会经济乃至国家安全，一旦发生窃取、泄露等数据安全事件，将对社会经济和国家安全造成严重威胁。因此，数据安全保护意义重大。

1.数据中心新内涵及新特点

1.1 数据中心新内涵

与传统基础设施相比，新型基础设施具有技术先进性，支撑经济生产、居民生活、公共服务和社会治理[1]。数据中心作为支撑5G、云计算、人工智能等新兴技术的基础设施，功能将不仅仅局限于提供计算资源，其新内涵将包括传统数据中心、新型数据中心以及数据交易流通平台。

1.2 数据中心新特点

数据中心作为海量数据存储、计算和汇聚的中心，除了绿色化、模块化等特点外，在新基建浪潮下呈现出如下新的变化特点：一是体系一体化。加强国家大数据中心一体化建设是实施网络强国战略的重要实践之一。全国一体化数据中心建设，将通过数据中心与云计算资源的分级互联，以技术、业务和数据等三个融合，支撑政企、行业、区域、业务的协同管理和服务，实现政府决策科学化、社会治理精准化和公共服务高效化[2]。二是运维智能化。随着云计算、人工智能等新技术的普及，数据量级飞速上涨，数据中心规模不断扩张，设备数量呈倍数增长。因此，统一管理海量设备，提高运维效率，成为大数据中心亟待解决的问题[3]。基于人工智能和大数据技术的智能运维将部分取代人力的重复繁琐劳动，监控和管理潜在的安全问题，变被动人工运维为主动智能运维。三是部署边缘化。我国移动网络通信技术的迅猛发展，迫切需要VR/AR、自动驾驶等业务场景低时延、多连接，集中式计算处理因遇到难解的瓶颈而难以满足上述业务需求。边缘数据中心可提供存储、计算、网络等资源，更好地支撑低时延等业务场景，因而将成为有效解决方式[4]。四是数据流通化。数据是一种新型生产要素。数据价值的发挥需依托数据以共享、开放和交易等形式“动起来”[5]。发挥数据中心汇集规模庞大数据的集合体作用，建立数据流动平台，实现数据要素的融通共享、价值再造、红利扩大将成为数据中心发展新方向。

2.数据中心数据安全保护需求

2.1 数据中心一体化效益凸显，数据安全保障面临严峻考验

一是数据集中化存储，易成为外部重点攻击的目标。数据中心一体化将带动数据不断向数据中心汇聚，其中存储的数据量和价值的不断升高将更加考验数据中心的安全保障能力。目前，我国数据治理安全保障体系已经建立，包括登录授权、域名审查和数据处理分析等，但在数据流安全支撑体系仍存在不足。随着数据中心一体化进程的不断推进，数据安全保障能力将面临更加严峻的考验。二是承载业务多样化，安全保障存在“木桶效应”。数据安全就像一个“木桶”，整体的安全性取决于最薄弱的环节。随着数据中心平台上部署的业务应用逐渐增多，各业务间将共享相关资源，一旦某个防护较弱的业务应用被攻破，容易影响平台上其他应用的安全运行。此外，随着数据中心对外接口数量和复杂性的增加，安全风险监测、排查的难度也会随之加大。

2.2 数据中心融合大量新技术，安全风险敞口加大

一是运维日渐智能化，需警惕人工智能自身数据安全风险。在人工智能驱动下，进一步加速了数据中心运维自动化、智能化、高效化和精准化。由于人工智能自动学习和自主决策能力较强，使现有数据安全技术手段对专业人员分析判断的高度依赖有效缓解，能够自动和智能监测防护动态变化数据安全风险。但是，人工智能技术自身会面临数据投毒、对抗样本攻击等安全隐患。此外，人工智能技术的应用也可能导致数据过度采集、数据歧视、数据滥用等风险。二是数据中心云化，传统安全架构保护效率降低。云计算是以数据资源的形式向用户展示存储功能，云计算技术使得数据中心基础架构由原来的各业务系统独立建设模式转变为资源池建设模式[6]。基础架构的变化将导致传统安全架构的性能受到影响，传统安全架构在受到外界干扰时，可能导致数据中心不安全。云计算数据中心因为虚拟化技术增加了安全设备识别难度，已经较难满足目前海量数据的存储，给数据集中带来一定安全隐患[7]。

2.3 边缘数据中心高速发展，存在传统安全边界防护隐患

一是部署位置边缘化，易遭到物理攻击。边缘数据中心通常远离安全措施完备的中心机房，部署在对外开放且不受控制的网络边缘环境中运行，比如野外环境、人流密集的公共环境等。不法分子攻击距离较短，容易遭到物理篡改和攻击，如引入有害软硬件进行数据窃取、设备物理性恶意损害导致数据丢失等。二是数据处理分布化，存在薄弱环节。边缘计算服务模式具有复杂性和实时性，由于数据的感知性、多源异构性和终端的资源受限特性，使得传统云计算环境下的访问控制、数据加密等数据安全机制，难以满足边缘设备的安全保障需求[8]。同时，分布式并行的数据处理方式也将存在隐私泄露、数据篡改等数据安全风险。

2.4 数据流动日益频繁，配套安全支撑体系建设方面存在不足

一是数据流动化，配套安全技术不成熟。新基建充分带动了数据的流动和集中，数据流转的速度越来越快，数据总量将以指数级增长，但保障数据流转安全的同态加密、安全多方计算、联邦学习等新兴技术手段均处于初步发展阶段；以数字水印和数据血缘技术为代表的数据流动溯源技术处于研究验证阶段，难以满足数据量级大、流动速度快场景下的安全保护需求[9]。二是数据交易频繁化，配套规则滞后。数据作为生产要素，通过数据交易平台进行交易，为数据市场化的发展提供了一种切实可行的途径，能够产生巨大的经济效益和研究价值。但目前我国数据交易流通处于初级发展阶段，目前对数据交易市场的监管所依据的法律文件主要是依靠《合同法》和《网络安全法》等规范性文件中的有关条文来进行，特为数据交易创设的法律法规尚未制定，各交易平台各自为政，高层次立法缺失[10]。同时，数据权属认定以及定价方面也存在一定困难，可能引发一系列数据产权和安全方面的纠纷。

3.对策与建议

3.1 加强数据安全风险防范

一是提升数据安全风险监测技术能力。充分利用数据中心强大的资源共享和运算能力，形成风险监测预警机制，反映数据中心数据安全现状与风险趋势等态势情况，明确数据安全风险防控着力点。二是提高数据安全风险防范能力和意识。加强数据安全风险防范，关键在人才，基础在教育。目前我国数据管理、开发和运维人才极为短缺，难以满足数据中心产业发展需求。一方面，完善数据安全专业人才培养机制，依托高校、科研院所等机构开展数据安全相关研究项目和教育培训，提升数据安全重要性；另一方面，加强国民通识教育，让数据安全教育深入全民，培育公民数据安全意识。

3.2 强化数据安全保障与风险评估

一是加强数据安全保障。推动芯片、操作系统、数据库等数据中心产业链上游软硬件核心技术突破及应用，保障产业链安全。同时，加快研究数据风险识别、数据脱敏技术及数据资产识别等相关技术手段，保障业务安全运行[11]。二是开展数据安全风险评估。针对融合云计算、物联网等新兴技术的业务，在隐私保护、身份认证、访问控制等方面开展风险评估，于业务上线前评估存在的安全风险并采取应对措施，减少新兴技术带来的数据安全风险。

3.3 加快推进边缘环境数据安全

一是优化传统数据安全方案。保障边缘环境中的数据安全，需对传统数据加密等安全方案进行优化升级，实现与边缘数据中心的特性相结合，构建轻量级、分布式的数据安全防护体系。二是制定数据安全相关标准。目前边缘数据中心等领域缺乏统一标准[4]，各行业应结合业务发展特点，针对边缘数据中心部署位置、分级标准、数据保障措施制定相关标准，构建面向边缘数据中心的安全管理标准体系，指导提升边缘数据中心安全能力。

3.4 推动建立数据流动安全保障机制

一是加强数据流动监测和管理。推动建立数据流动轨迹和交易链条的安全风险监测追溯与综合管理平台，持续研发数字水印、数据血缘、区块链等数据流动共享安全技术，监测流动数据的风险态势并进行异常预警和溯源处置，强化流动共享数据安全保障。二是完善数据交易流通规则制度。结合我国数据交易实践情况，面对数据交易流通过程中可能出现的安全风险问题，制定数据交易安全规则，明确数据提供者与需求者安全保障义务、数据清洗标准、数据交易过程安全标准等内容，打造安全、可靠、合法的数据交易市场营商环境。

4.结语

新基建背景下数据中心数据安全保护非常重要，要坚持发展与安全并重是新基建数据中心发展的指导思想，构建数据中心数据安全保障体系，逐步完善数据安全防护体系架构，为数据中心数据安全提供更可靠更有效的保护，推动新基建高质量发展。