数据中心作为新基建信息化基础设施的代表,在国家政策和市场需求的双牵引下,将步入新的发展阶段,加快建设扩容步伐和技术演进升级。与此同时,数据中心发展过程中可能新产生的安全问题需要加以重视、提前应对。
一、数据中心不断发展升级,构筑新基建坚实数字底座
新基建概念提出后,数据中心被比喻为“新型基础设施的基础设施”。其对接了5G、物联网、工业互联网等新型通信网络,也是互联网、云计算和人工智能等领域的通用支撑技术,同时又承载着未来生产要素——数据的计算、存储和交互,是公认的新基建重点方向之一。
(一)数据中心技术在信息化浪潮下不断发展变革
在组网架构和实现技术方面,数据中心近十年来经历了三次重大变革。随着5G、物联网、车联网、工业互联网的推广应用,为适应海量数据处理的新需求,处于第三次变革期的数据中心正在向纵深发展升级:一是向更加灵活的模块化方向发展,通过SDN和NFV等技术构建超融合集成网络,使网络构建更加灵活高效、云连接能力大幅增强、自动化管理功能更加强大;二是进一步向云化方向发展,通过更新型的虚拟化技术打破用户和资源的束缚,让复杂系统简化,让网络资源高效利用;三是实现高效绿色节能,通过液体冷却、能效管理、电力分配等新型技术,在提升网络性能的同时实现节能降耗,降低运维成本;四是将稳定安全作为基本属性,新型数据中心在规划阶段就把安全防护能力考虑在内,确保在超大规模和复杂网络环境下,应对日趋增长的安全威胁和容灾容错需求。
(二)数据中心将为新基建构筑坚实数字底座
数据中心在我国经历多年稳步发展,为各种互联网服务提供基础支撑,在新基建和数据市场化配置等利好政策推动下,其发展空间和市场规模将显著增长。
在市场需求方面,一方面,未来数据的爆炸式增长将为数据中心市场带来巨大红利。2000年我国数据的增长速度大约只有每天100GB,而现在已达到每秒约5TB。数字应用所催生的数据核爆与数据价值,必然带来对信息基础设施的需求。另一方面,我国数据中心产业正处于高速发展的过程中。据中国信息通信研究院全国互联网信息安全管理系统数据显示,目前我国互联网数据中心业务持证企业已达1925家,近3年年均增长率保持9%左右。据智研咨询和赛迪顾问数据显示,截止2019年底,我国已有7.4万余个数据中心,占全球数据中心总量的23%;我国大规模及超大规模数据中心数量全球占比已接近50%,数据中心机架数量全球占比达到45.9%。
在产业带动方面,数据中心的建设发展,能够创造新型的信息消费市场,为经济增长提供更多动能。数据中心的产业链主要包括三大环节,上游是宽带、制冷设备、电力供应、土建等基础设施建设环节;中游是运营商、云厂商和第三方服务商等增值服务环节;下游是应用环节,涵盖互联网、制造业、金融、医疗等多种类型行业。数据中心建设将带动众多产业协同发展,实现产业联动。此外,数据中心将带动城市核心地区和边远地区双向发展。大型数据中心逐渐从一线城市核心向周边地区及能耗指标更充足的中西部地区转移,为地区经济发展建设提供动能。
实际上,在此次抗击新冠肺炎疫情过程中,在线教育、远程办公、制造业、人工智能等领域应用空前增长,其背后正是数据中心作为关键信息化基础设施有力地保障支撑,数据中心的巨大价值由此凸显。数据中心不仅在提供算力助力疫情防控等信息化领域作用突出,更在稳投资、助升级、培植经济发展新动能等方面潜力巨大。
二、新基建数据中心面临的安全风险和挑战
(一)传统网络空间安全风险依旧存在且不断升级
随着新基建启动,数据中心将进一步向虚拟化、自动化、智能化程度更高的智能计算中心发展,传统安全风险仍然存在且进一步升级的同时,还将面对更新型的安全威胁和更加严峻的安全挑战。
1.数据安全风险
数据是数字经济时代的核心生产要素,数据中心则是大数据全生命周期的关键载体。大数据从采集、传输、存储、处理、交换直至销毁,任一环节都可能依赖数据中心完成,数据中心安全将与数据安全紧密相关。数据中心导致的数据安全风险主要来自两方面,一是来自外部的数据窃取或篡改风险,攻击者往往利用各种手段突破数据中心安全防护措施以获取内部访问权限,一旦攻击成功,海量数据将直接暴露在攻击者面前。2017年,美国五角大楼部署在亚马逊云存储上的数据库配置错误被攻击者利用,导致美国防部在全球社交媒体平台收集的18亿条用户个人数据被公开。二是来自内部的数据泄露风险,如果数据中心未采取有效的数据访问权限管理、身份认证管理、数据利用控制等措施,加之管理不够完善,不法分子可能从数据中心内部盗取数据进行贩卖,以换取经济利益。京东与腾讯的安全团队曾联手协助公安部破获一起特大窃取贩卖公民个人信息案,其主犯乃企业内部员工,通过内部信息系统盗取涉及交通、物流、医疗、社交、银行等个人信息50亿条并在网络黑市贩卖。
此外,随着数据价值的不断提高,数据滥用和违规共享的风险也值得进一步关注,数据中心服务商作为数据的实际控制者,具备最便捷接触用户数据的条件,如何为用户数据建立动态的信任边界是未来数据中心所必须考虑的。
2.网络安全风险
DDoS攻击仍是未来数据中心所面临的最主要安全风险之一,网络攻防的规模将更大也更具针对性。2019年双十一期间,阿里云遭遇了来自184个国家、8万个IP的15.03亿次攻击,最大攻击流量达到401Gbps。
此外,云计算、虚拟化等技术的进一步应用,使数据中心面临的新型网络安全风险也将升级,主要体现在三方面。首先是权限认证环境异常复杂。数据中心为提高海量用户访问资源的便利性,在实现用户身份认证的自动化、便捷化同时也伴生安全风险,入侵者可能利用租用的数据中心资源攻击认证入口,进而获取更大权限进行攻击。其次是虚拟化模糊网络边界。数据中心为最大程度实现计算存储资源的智能分配,虚拟机将被动态地创建或迁移。若安全策略及防护措施不能及时匹配,容易面临内部安全攻击。再次是分布式网络扩大受攻击面。云数据中心采用分布式网络和SDN、NFV等新型网络技术,存在分布式路由部署、域名配置复杂等特点,在调动资源完成相应计算需求的同时也扩展了网络的受攻击面。
3.信息安全风险
数据中心发展和新技术引入将使传统的信息安全风险增大升级。首先,海量数据的集中存储将为违法有害信息内容提供更加隐蔽的土壤,数据中心对信息内容的监测处置能力将面临全新的挑战。其次,数据中心的加速发展使越来越多的主体加入数据中心的建设和运营中,多方参与模式容易导致对第三方接入资源审核不严,为违法违规信息接入提供了可乘之机。第三,随着内容分发、边缘计算、信息加密等技术的使用,信息内容监测、审核、处置难度将持续加大。
4.数据中心配套设施安全风险
数据中心配套设施主要包括配电、冷却等设施,如机柜的配电装置和功耗监控系统,这些设施所使用的工控系统将可能成为攻击数据中心所借助的跳板。攻击者利用这些系统的漏洞,通过非传统手段来威胁数据中心安全。此外,随着数据中心不断向智能化、自动化管理方向发展,智能物联技术为数据中心的冷却、电力系统和监控摄像机等基础设施提供了IP地址和网络接入能力。一旦接入网络且未纳入数据中心安全防护体系,智能物理设施可能会成为攻击者潜入数据中心的新突破口。2018年,网络安全公司FireEye发现Triton病毒可有效攻击数据中心电力系统和冷却系统,专家表示这种攻击所造成的影响半径将远超传统网络攻击,使数据中心遭遇不可逆的破坏,例如远程控制打开消防系统的喷头来销毁服务器,修改能源系统以引发火灾或爆炸等。
(二)国际竞争博弈带来的安全挑战不容忽视
在国际形势、市场环境的不断发展变化下,数据中心也面临着严峻的安全挑战。
1.网络战争严重威胁数据中心等新型基础设施安全
为了保护自身信息化设施的安全或实现一定的政治、军事目的,数字世界里的网络战阴影时隐时现。无论是美国东部的物联网DDoS攻击断网事件,还是委内瑞拉电“战”、沙特炼油厂被代码“引爆”未遂,网络空间攻击者对新型基础设施所造成的破坏威力日益显著。如今,以数据中心为代表的关键信息化基础设施先后被各国列为与能源、交通相等同的重要战略资源,更成为网络战中的首要打击目标。如何在网络战中有效攻击敌方的关键基础设施并降低对方攻击影响,也将成为决定未来战争获胜的关键。
2.核心技术将成为影响数据中心产业发展关键因素
随着虚拟化、分布式计算、边缘计算以及节能等越来越多的数据中心核心技术被应用,以及数据中心逐渐向国家级数据中心、政务数据中心等方向发展延伸,对核心技术具有国际竞争力提出了更高更迫切的要求。核心技术的自主创新能力关系到我国数据中心产业安全可持续发展,否则与美国制裁导致芯片断供一样,数据中心产业将无法掌握主导权,数据安全始终不能得到保障,更无法成为支撑我国数字经济发展的核心基础设施。
3.电信业务开放可能给安全监管带来挑战
近年来,我国在参与全球经济贸易的过程中,电信业务对外开放不断扩大。工业和信息化部鼓励民间资本进入增值电信业务领域,并逐步提升对外开放水平,商务部今年也表示将加快修订发布新的外资准入负面清单,进一步压减现行负面清单内容并扩大外资市场准入。但在我国其他电信业务开放的监管实践过程中,出现了个别外资企业不遵守我国电信业务管理政策,“借照”“无照”经营电信业务或借外资开放获取敏感数据,进而危害国家安全的违法违规情况,值得高度关注和预防。
三、新基建数据中心安全保障体系建设思路及建议
在新基建浪潮的推动下,数据中心将迎来高速高质量大规模的发展阶段,随着数字经济发展和数据市场化配置的推进,数据将在数据中心进一步汇集,数据中心的战略地位将进一步凸显,构建全面、可靠的安全体系将是保障数据中心产业健康稳定发展的关键所在。立足国家的信息化发展战略,把握以发展促安全、以安全保发展的整体思路,建议从以下方面积极加强新型数据中心安全保障体系建设:
一是加强顶层设计。加速研究出台促进新型数据中心安全发展的指导意见,明确新型数据中心建设的整体目标和分阶段实施路径,将安全作为内生需求嵌入新型数据中心的规划、设计、建设和使用阶段。构建数据中心国家级安全保障体系,完善相关法律法规政策,围绕设备、网络、平台、数据等重点领域,建立数据中心分级分类、安全能力评估测试、数据安全防护等相关标准体系,通过明确数据分级、所有权界定、数据共享、数据脱敏等要求建立以数据为中心的监管机制,配套完善安全态势感知、数据安全监测预警、安全应急指挥等技术平台。使安全保障与产业发展同规划、同部署、同推进,为数据中心产业打造可靠的发展环境。
二是加强技术创新。预判未来数据中心发展趋势,通过政策、资金等支持,引导鼓励企业和科研机构开展数据中心核心技术的攻关研究,如智能边缘数据中心、软件定义、超大规模开放式架构、设施模块化、智慧节能等核心软硬件技术和主动防御、动态防护、安全设备虚拟化、智能集中管控等安全技术,实现关键技术能力和关键环节的可管可控。针对数据安全,加强越权访问、滥用等监测预警技术和去隐私化等安全防护技术研究,确保数据安全可控前提下实现数据价值的充分利用。以技术创新推动新型数据中心安全态势感知能力、安全防御能力、数据安全能力全面提升。
三是加强融通应用。通过实践和应用牵引数据中心内生安全生态体系构建,例如围绕全网络层级安全防御模型搭建、以数据为中心的安全防护体系构建等,开展新型数据中心安全保障能力的试点示范应用。同步积极推动数据中心的网络安全服务市场发展,鼓励传统安全产业市场由安全产品销售向安全服务合作的模式转变,把安全体系设计、安全架构搭建、防护措施部署、模块化安全能力定制等服务融入数据中心规划、建设、运营各个阶段,让安全成为数据中心及用户的必选项。通过实践应用不断加速数据中心安全技术和研究成果的孵化落地,为行业发展提供坚实保障。
四是加强对外合作。稳妥积极对外开放,以完善负面清单、设定安全基线为前提统筹协调开放。依托“一带一路”等深化国际交流合作,与沿线国家实现优势互补,在数据中心建设国际化拓展等领域实现协同共赢。通过提高数据中心安全能力、强化应急协作水平、加强设施建设合作等,持续提升我国网络安全国际影响力。加快推动我国数据中心龙头企业的国际化进程,积极学习国外先进的业务经营模式和安全技术体系,通过技术创新形成国际竞争力,为国内产业引入先进的安全发展理念,树立我国数据中心产业的国际地位。
四、结束语
在国家政策的支持下,要把握好发展与安全的关系,为数据中心等新型基础设施的稳定、快速发展保驾护航。数据中心等新一代基础设施,既是战略性新兴产业、新型信息消费市场,也是其他领域新基建的通用支撑技术,传统产业数字化的新引擎。作为我国产业向信息化转型的关键,数据中心产业未来必将为新基建构筑坚实的数字底座,为我国数字经济高质量发展贡献重要力量。
(本文刊登于《中国信息安全》杂志2020年第9期)
