基于數據中心的網絡空間安全運維能力體系建設研究

高雄波 王喜

摘要：數據中心作為關鍵基礎設施，給5G、云計算、大數據、人工智能等技術發展提供了有力的支撐。該文闡述了數據中心網絡空間安全的基本特征，提出了一種數據中心網絡空間安全運營能力體系模型，能夠有效預防監測、分析，應對日益多樣化、多元化的網絡安全攻擊和威脅行為，有效提高數據中心運營的安全水平，保障數據中心安全可靠地運行。

關鍵詞：網絡空間安全；數據中心；網絡安全；運維能力

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）31-0068-03

1 研究背景

近年來，世界各國進入了以5G、云計算、大數據、人工智能等技術引領經濟社會發展時代，并相互影響、互相融合，全面深入融入國家治理、軍工、金融、教育醫療、通信、百姓日常等方面，給社會帶來了顛覆性改變。網絡空間（Cyberspace） 是指依托計算機構建的虛擬領域，依靠物理網絡連接各個獨立且互相依存的工作站或主機來組成數據鏈路，以達到資源互相共享、交流通信等目的[1-3]。5G作為關鍵新型基礎設施，具有高速率、低時延和大連接的特點，融入經濟社會的各行各業。5G網絡的普及讓人、機、物等萬物互聯成為可能，推動了整個經濟社會轉型進入數字化時代，但網絡空間信息安全也成為重要的課題。

2021年7月，國家計算機網絡應急技術處理協調中心（CNCERT/CC） 正式發布了《2020年中國互聯網網絡安全報告》，指出“勒索病毒持續活躍，全年捕獲勒索病毒軟件78.1萬余個，近年來，勒索病毒逐漸從‘廣撒網轉向定向攻擊，表現出更強的針對性，攻擊目標主要是大型高價值機構” [4]。以5G、人工智能、云計算等為代表的新一代信息通信技術與工業、醫療、金融、教育、智能駕駛、文旅、智慧城市等快速融合，推動社會進入萬物互聯的時代，同時也給入侵者尋找勒索目標帶來便利，入侵者具有全天候對勒索目標攻擊能力[5]。

2021年7月，工業和信息化部印發了《新型數據中心發展三年行動計劃（2021—2023年）》，強調新型數據中心是以支撐經濟社會數字轉型、智能升級、融合創新為導向，以5G、工業互聯網、云計算、人工智能等應用需求為牽引，匯聚多元數據資源、運用綠色低碳技術、具備安全可靠能力、提供高效算力服務、賦能千行百業應用的新型基礎設施，加快新型數據中心集群建設進度[6]。為了推動產業高質量發展，賦能數字經濟和社會發展，大力建設新型數據中心同時，更需要全方位思考關注構建網絡空間安全體系。

本文提出了一種數據中心網絡空間安全運營能力體系構建模型，能夠有效預防監測、分析、應對日益多樣化、多元化的網絡安全攻擊和威脅行為，有效提高數據中心運營的安全水平，保障數據中心安全可靠地運行，讓數據中心成為推動產業轉型升級社的重要的基礎設施。

2 數據中心網絡空間安全現狀特征

傳統信息安全是指利用各種技術手段為數據處理系統提供安全防護，防止計算機物理硬件、系統軟件、電子數據不會因偶發性或主觀惡意的行為而被損壞、泄密、更改或植入木馬病毒等[7]。網絡空間信息安全包含傳統信息安全、硬件損毀，還需要防止病毒通過網絡傳播，癱瘓主機，竊取主機信息等，保證信息正常傳輸。

近年來，數據中心遭遇越來越復雜多變的網絡安全威脅：一是傳統的安全服務能否有效面對變化多端、快速迭代網絡安全威脅；二是國家逐漸加強網絡空間安全監管力度，不斷提高數據行業安全管理的要求；三是數據中心在運維過程中需要解決網絡黑客入侵、分布式拒絕服務攻擊等。建設網絡空間安全運維體系能夠有效保障數據中心網絡安全、信息安全等，以達到數據中心運維可靠性。

3 網絡空間安全運維能力體系架構分析

數據中心承載了巨量數據可以說是物聯網、大數據、智慧城市、移動互聯網等技術發展的基石，但也存在信息泄露，從而給網絡犯罪提供了可能，外部安全攻擊的多樣性和變化性威脅著數據中心的正常運行。構建網絡空間安全運維能力體系應以持續監控、分析預測為工作中心點，覆蓋預防監控、風險監測、危機處置、預測分析四個方面，構建統一安全策略模式來應對未來更加多樣化、多元化的攻擊。結合數據中心運營現狀，本文提出了一套基于信息安全威脅全生命周期角度構建數據中心網絡空間安全運維體系，如圖1所示。

如圖1所示，數據中心網絡空間安全運維能力體系包含安全預防監測中心、數據分析預警中心、應急處置管理中心、人員行為管理等四個維度能力，基于參考國際化、標準化的信息安全管理制度體系，以全面保障數據中心安全穩定運行。

4 網絡空間安全運維能力體系構建實施

基于數據中心行業現狀，本文提出構建一種網絡空間安全運營能力體系模型，希望能夠有效預防監測、分析，應對日益多樣化、多元化的網絡安全攻擊和威脅行為，其體系架構圖如圖2所示。

4.1 安全預防監測中心

建設數據中心安全預防監測中心，核心指導思想就是不間斷地監測，建立安全監控總控職能，通過數字化、圖形化、矩陣圖、三維視圖等多種形式按照不同的權限以可視化方式提供給數據中心運維管理部門，直觀全面掌控數據中心運維及設備運轉狀況，達到全面有序預防監測網絡空間安全的目的。

數據中心在運營需做到全流程的監測，如圖3所示，通常來說存在三種被監測對象：第一種被監測對象是網絡傳輸信息數據狀況，利用防火墻、漏洞掃描系統、外來訪問檢測系統、終端管理系統、病毒預防系統等構建堅固預防堡壘與屏障；第二種被監測對象主要是在物理安全方面通過合理視頻監控體系、樓宇大樓信息采集，數據中心基礎設施，包括變配電室、柴油發電機、電池間、空調機房、UPS間、消防設施間等，通過系統地采集網絡安全風險管理相關的指標數據，為數據分析沉淀數據；第三種被監測對象主要是信息資產監測管理，信息資產大體來說可分三類：第一類是各種監測沉淀的數據，運維體系文件、其他電子文件等；第二類各種信息化軟件資產包含應用軟件、中間件、數據庫、操作系統、開源軟件、商業軟件等；第三類是各種硬件資產包含計算資源、網絡資源和存儲資源等。通過建立數據中心安全預防監測中心的運行，時刻保障數據中心安全穩定高效地運行。

4.2 數據分析預警中心

建設數據中心數據分析預警中心，需要采集網絡空間安全數據、威脅情報信息，全面掌控數據中心在能耗、運維和人員行為管理等方面的數據，利用機器學習、數據挖掘、深度學習等算法模型分析，得出有效的辦法，從而做到精細化管理數據中心，最終達到強化預警監測，同時組建數據中心決策分析技術專家組來驗證，主動采取防御應對措施。另外通過對數據中心年度月度總用電量、機柜出租率、樓宇大樓IT設備用電量、柴油發電機、UPS等進行實時監控，并根據相關歷史數據對比分析，方便管理人員綜合了解數據中心運營情況。

4.3 應急處置管理中心

建立數據中心應急處置管理團隊，團隊成員專業主要分布在服務器、網絡、信息安全、軟件工程、安防、電氣、弱電、暖通等方面，實施對網絡空間安全應急事件分析判斷，決策應急處置方案，快速實施，達到科學、高效、行之有效的應急處置管理體系與工作方法，構建應急處置管理中心，提高應對網絡空間安全事件的處理能力，最大程度降低損失。

4.4 人員行為管理

建立人員行為管理制度體系，需要監測管理對象行為是：管理者行為、員工行為、外來者行為、網絡操作行為等，建立數據中包括了管理者、員工及客戶訪問的數據中心管理行為分級體系，涉及不同數據訪問線路、設備管理、訪問控制等諸多方面。

5 數據中心網絡空間安全運營能力體系管理制度建設

數據中心網絡空間安全運營能力制度體系需參考國際化、標準化的信息安全管理體系制定體系文件，如圖4，作為數據中心各個行為人工作的準則，按照制度執行日常運營工作。

5.1 制度體系建設

建立數據中心網絡空間安全運營能力制度體系是保證數據中心安全穩定可靠的運營前提，設計了整體的運維操作體系，包括每一個操作步驟前置條件、業務規范、結果反饋等，確保操作流程所涉及的每個行為管理人都按照統一規范標準去執行，制度執行需要量化數據中心網絡空間安全運維工作量，設置考核標準。制度體系流程包含了：監控總臺管理、數據分析預警管理、應急事件處理、人員行為管理、信息資產管理等子制度。

5.2 組織管理建設

建立數據中心網絡空間安全運營能力組織結構體系，包含管理者、員工及客戶訪問的數據中心管理結構體系，明確相應責任與權利關系，以使數據中心間各成員互相配合、各司其職，有效保證數據中心安全穩定可靠地運行。

6 結束語

目前數據中心網絡空間安全運維體系能力建設研究尚處在摸索實施階段，數據中心網絡空間安全運營能力體系建設是在5G、工業互聯網、區塊鏈、云計算、人工智能等新一代信息技術引領下進入萬物互聯時代保障數據中心穩定安全可靠運營的重要手段，其能夠有效預防監測、分析、應對日益多樣化、多元化的網絡安全攻擊和威脅行為，保障數據中心業務穩定健康運行。

參考文獻：

[1] 張煥國，韓文報，來學嘉，等.網絡空間安全綜述[J].中國科學：信息科學，2016，46（2）：125-164.

[2] 王群，李馥娟，周倩.網絡空間安全體系結構及其關鍵技術研究[J].南京理工大學學報，2019，43（4）：495-504.

[3] 張蕾，崔勇，劉靜，等.機器學習在網絡空間安全研究中的應用[J].計算機學報，2018，41（9）：1943-1975.

[4] 國家互聯網應急中心.《2020年中國互聯網網絡安全報告》全文[EB/OL].[2021-07-04].http：//www.gov.cn/zhengce/zhengceku/2021-07/14/content_5624964.htm.

[5] 康昊，沈學東，王軍.從永恒之藍勒索病毒事件淺談企業網絡安全[J].網絡安全技術與應用，2020（10）：141-142.

[6] 工業和信息化部.《新型數據中心發展三年行動計劃（2021—2023年）》[EB/OL].[2021-07-21]

[7] 張利，彭建芬，杜宇鴿，等.信息安全風險評估的綜合評估方法綜述[J].清華大學學報（自然科學版），2012，52（10）：1364-1369.

【通聯編輯：代影】

收稿日期：2022-03-15

作者簡介：高雄波（1982—） ，男，湖北天門人，工程師，碩士，主要研究方向為技術管理；王喜（1988—） ，男，山西繁峙人，副教授，博士，蘇州工業職業技術學院軟件學院副院長，主要研究方向為云計算技術。