“東數西算”全國一體協同數據安全防護體系建設思路初探

朱洪林，國強，壽貝寧

1.甘肅省經濟研究院，甘肅 蘭州 730000；

2.國家信息中心，北京 100045

0 引言

數據顯示，從2012年至2021年，我國數字經濟規(guī)模從11萬億元增長到45.5萬億元，數字經濟占國內生產總值比重由21.6%提升至39.8%[1]。數字經濟已成為驅動我國經濟高質量發(fā)展的新引擎。在此背景下，國家發(fā)展改革委、中央網信辦、工業(yè)和信息化部、國家能源局四部委聯合印發(fā)了《關于加快構建全國一體化大數據中心協同創(chuàng)新體系的指導意見》（以下簡稱“意見”），提出優(yōu)化數據中心基礎設施建設布局，加快實現數據中心集約化、規(guī)?；?、綠色化發(fā)展，并提出在全國范圍內建設構建“數網、數紐、數鏈、數腦、數盾”五大體系。隨后，四部委又聯合印發(fā)通知，同意在京津冀、長三角、粵港澳大灣區(qū)、成渝、內蒙古、貴州、甘肅、寧夏八地啟動建設國家算力樞紐節(jié)點，并規(guī)劃了10個國家數據中心集群。至此，全國一體化大數據中心體系完成總體布局設計，“東數西算”工程正式全面啟動?！皷|數西算”正為數字經濟發(fā)展繪就新版圖、開拓新空間、增添新動能。

《全國一體化大數據中心協同創(chuàng)新體系算力樞紐實施方案》明確指出，加強對基礎網絡、數據中心、云平臺、數據和應用的一體化安全保障，提高大數據安全可靠水平。加強對個人隱私等敏感信息的保護，確保基礎設施和數據的安全。

“東數西算”工程作為國家級關鍵信息基礎設施，承載著數字經濟的豐富算力及海量數據，是境外敵對勢力和不法分子重點攻擊的對象。他們對“東數西算”算力網絡體系等基礎設施發(fā)起的網絡攻擊、漏洞攻擊、定向攻擊、數據竊取等，極易造成信息泄露、應用系統(tǒng)無法使用等問題，不僅影響公民和組織的合法權益，甚至將對國家安全、社會穩(wěn)定造成嚴重的威脅。

在“東數西算”龐大、復雜的場景下，數據安全成為全國一體化大數據中心安全保障的核心。與此同時，采集、存儲、流通、交換、共享、使用等數據全生命周期中的安全保障都面臨著巨大挑戰(zhàn)。首先，在數據傳輸階段，數據完整性、機密性、可用性的高標準提出了挑戰(zhàn)；第二，在數據存儲階段，數據的臨時存儲、容災備份對相關數據設施的安全保障能力帶來挑戰(zhàn)；第三，數據訪問階段的制度和技術措施保障提出了挑戰(zhàn)；第四，數據使用階段，對事前可預防、事中可阻斷、事后可溯源的全方位數據安全態(tài)勢感知能力提出了挑戰(zhàn)；最后，如何保障大數據平臺的各類計算組件的正確配置、各組件之間的接口正確調用，在如此龐大的工程中也是一大挑戰(zhàn)。

傳統(tǒng)基于邊界的縱深安全防護體系已不能靈活地適應新技術發(fā)展趨勢。而隨著大數據存儲、計算、分析等技術的快速進步，很多新型網絡攻擊手段出現，使得人們僅依靠傳統(tǒng)固化邊界防護的理念在進行數據安全防護顯得力不從心。傳統(tǒng)防護方式在數據安全防護方面缺乏安全能力、靈活調度及統(tǒng)一運營機制，難以適應云架構環(huán)境下的業(yè)務流、數據流的融合變化，安全邊界逐漸模糊，這些都對數據防護提出了新的安全保障需求。因此需要一個高度集中化的數據安全平臺，實現數據安全能力的體系化集成，統(tǒng)籌調度圍繞數據的資產識別、分類分級、流動監(jiān)測、風險分析、風險評估、事件溯源等能力，向下實現安全資源拉通，向上提供安全服務支撐，構建合規(guī)有序、有效保護、高效運營的數據安全一體化防護體系。

1 一體化大數據中心安全防護體系的研究與建設現狀

1.1 研究現狀

通過查閱研究有關文獻發(fā)現，國外學者在一體化大數據中心安全防護體系建設領域的研究文獻相對較少，國內學者在該領域的研究主要集中在算力網絡安全防護體系研究與新型數據中心網絡安全架構研究兩個方面。

第一，構建算力網絡安全與數據安全防護體系。

易成岐等[2]提到，全國一體化大數據中心協同創(chuàng)新體系總體框架主要由國家“數網”體系、“數紐”體系、“數鏈”體系、“數腦”體系、“數盾”體系五大部分組成，既涵蓋工程建設內容，也囊括政策工具內容，著重強調了數據安全防護亟待自主化的問題。

國家信息中心信息與網絡安全部“數盾”研究小組[3]以問題為導向，對相關法律法規(guī)、政策文件、產業(yè)基礎、技術發(fā)展以及數據安全面臨的核心問題，特別是對數盾的基本概念、基本功能、核心價值等問題進行了研究和初步探索，提出了數盾體系技術架構。

石勇等[4]通過實地調研，提出：一要盡快編制出臺統(tǒng)一的標準規(guī)范；二要建立數據采集標準，提升數據質量，解決數據孤島問題；三要構建數據安全防護體系，保障數據體系發(fā)展；四要強化人才支撐，加大核心技術研發(fā)力度。

邱勤等[5]提出，算力網絡作為提供算力和網絡深度融合、一體化服務的新型基礎設施，為網絡強國、數字中國、智慧社會建設提供重要支撐。當前算力網絡規(guī)劃建設已步入關鍵時期，算力網絡安全相關工作正逐步推進，但尚未形成體系化的安全架構。他們總結國內外算力網絡相關研究進展，分析算力網絡面臨的網絡安全機遇和挑戰(zhàn)，提出安全參考架構，并梳理安全支撐技術，為推動完善算力網絡安全體系建設，部署應用算力網絡安全機制提供參考。

第二，開展新型數據中心網絡安全架構研究。

徐建等[6]對單一數據中心的IT網絡安全體系和OT網絡安全體系等相關問題進行了分析研究，提出新型數據中心作為數字經濟的“信息底座”，具有“高技術、高算力、高能效、高安全”的“四高”典型特征。根據國家頂層相關指導文件，結合新型數據中心典型特征和發(fā)展趨勢，他們從運營技術和信息技術兩個視角研究了新型數據中心安全防護體系。

綜上所述，國內在大數據中心安全防護體系建設相關領域的工作一直在持續(xù)推進中，國內大多數研究提出了框架性建議，但還未對“東數西算”工程，特別是集群級、樞紐級的安全防護能力建設面臨的體系化布局、統(tǒng)籌組織推進、統(tǒng)一標準規(guī)范等問題進行深入研究，還未形成以問題為導向的全國一體協同數據安全防護體系研究的公開成果。

1.2 工程建設現狀

全國一體化大數據中心協同創(chuàng)新體系八大樞紐、十大集群的產業(yè)發(fā)展基礎不一。

在基礎設施方面，大部分集群具有一定規(guī)模的數據中心，少數集群（如甘肅慶陽、安徽蕪湖、廣東韶關等數據中心）基礎薄弱。然而，已有一定規(guī)模數據中心的集群仍然面臨著向算力為主的轉型；而基礎薄弱的數據中心集群也需要一定時間加快基礎設施的建設。

從數據中心算力方面看，東部地區(qū)數據中心在算力能力、周邊應用等方面明顯優(yōu)于西部地區(qū)，西部地區(qū)數據中心的閑置率較高、算力能力不足。

從2022年開始，“東數西算”工程加快推進，各大樞紐節(jié)點建設進入提速升級階段，一批重大示范項目相繼開工建設。因此，在現階段加快研究和布局構建一體化國家大數據中心安全防護體系正當其時。

2 “東數西算”工程安全防護能力建設面臨新挑戰(zhàn)

“東數西算”工程面臨著參與主體多、跨“云網數安算”等技術層級和數據中心-集群-樞紐-國家的管理層級多等問題，具有跨區(qū)域交互、跨網絡傳輸、多業(yè)務場景數據調用、數據安全邊界模糊等特性，對數據安全防護體系頂層設計、協同防護機制、統(tǒng)一標準規(guī)范等提出了全新的挑戰(zhàn)。

（1）“東數西算”工程安全防護能力建設的參與主體多，亟待統(tǒng)籌推進建設。

數據安全防護體系工程建設各相關方的主體責任、責任邊界、協同機制還未明確建立，需盡快推動構建責任明確的數據安全治理格局。

（2）“東數西算”工程安全防護能力建設涉及的層級多，亟待體系化布局。

一體化安全防護體系建設所跨“云網數安算”等技術層級和數據中心-集群-樞紐-國家的管理層級多。數據安全防護體系工程建設需盡快在技術層面上構建“云網數安算”一體協同的防護體系，也需在管理層面上構建“數據中心-集群-樞紐-國家”一體協同的安全防護機制。

（3）“東數西算”工程安全防護能力建設涉及技術、服務、運營等不同方面，亟待統(tǒng)一標準。

國內尚未出臺超大規(guī)模數據中心集群建設的標準與規(guī)范，特別是缺少集群安全防護體系建設標準，不能滿足當前數據中心集群建設的需要。在“云網數安算”各技術層面，需在統(tǒng)一的策略指導下統(tǒng)籌調度眾多安全設備形成協同防護能力進行一體化防護，這就迫切需要建設一套統(tǒng)一的技術標準規(guī)范實現安全能力的統(tǒng)一納管、一體協同。

（4）跨區(qū)域數據交互，數據調用傳輸有風險。

“東數西算”需在全國范圍內統(tǒng)籌調度算力資源、存儲資源、網絡資源、數據資源進行算力綜合運算，導致整個數據傳輸和計算過程跨區(qū)域、遠程化、網絡化完成。這種海量數據跨地域交互，勢必對海量數據的識別、脫敏、防泄露等手段提出新的挑戰(zhàn)和要求。

（5）多業(yè)務調用數據，數據分類分級有難度。

高效利用數據是“東數西算”的核心要求，由于參與計算的數據主體繁多，模型大小不一，業(yè)務場景豐富、數據量大、數據結構和信息多元化，傳統(tǒng)的數據分類分級方式效率低下，這對基于權屬、區(qū)域、場景等屬性將數據自動、智能、精準進行分類分級的手段提出了新的挑戰(zhàn)和要求。

（6）全新的管控架構，安全能力聚合有挑戰(zhàn)。

“東數西算”以數據要素與流通共享為前提，在保障數據安全的同時，應當探索安全新方向，協同數據資源創(chuàng)造更大價值。從數據流動規(guī)范性、安全性、可管控性等方面考慮，亟須建立一套統(tǒng)一完善的數據安全防護體系，將數據安全產品能力進行規(guī)范和聚合，用于高效應對和滿足算網融合、數據開放、技術創(chuàng)新等的新挑戰(zhàn)和新要求。

本文重點對“東數西算”工程安全防護能力建設中急需破題的“構建責任明確的數據安全治理格局、構建國家-樞紐（集群）-數據中心三級一體協同的防護體系、加強防護體系建設的統(tǒng)籌指導能力”3個問題進行分析。

3 構建“東數西算”全國一體協同的數據安全防護體系初步思路

3.1 推動構建責任明確的數據安全治理格局

“東數西算”工程八大樞紐、十大集群的建設參與主體非常多元化，既有當地政府主管部門指定的參建單位，也有三大運營商、數據中心提供商、信息技術產品和服務提供商、大型互聯網平臺企業(yè)和大數據公司，還有基于算力基礎設施開展數鏈、數腦業(yè)務的社會上的各種業(yè)務主體。

樞紐節(jié)點的數據安全防護體系建設的核心問題是要把數據安全治理體系建立起來，把參與樞紐建設發(fā)展的各責任主體梳理出來，梳理清楚“東數西算”工程各參與主體在工程建設、管理、運行、服務、監(jiān)管等不同環(huán)節(jié)的相互關系，以及對應的網絡和數據安全責任及其責任邊界。對應邊界模糊的新發(fā)展態(tài)勢，還應建立交叉區(qū)域的齊抓共管機制。按照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國密碼法》等國家法律法規(guī)要求，以及《信息安全技術 關鍵信息基礎設施安全保護要求》《信息安全等級保護管理辦法》等標準規(guī)范要求，形成條塊結合、網格化管理、共商共建共享的數據安全治理格局。數據安全體系建設各方責任主體如圖1所示。

圖1 數據安全體系建設各方責任主體

數據安全治理框架確立之后，從具體落實層面來講，應從管理、技術、運營3個方面，以管理體系為指導，以數據安全管控策略為核心，以技術體系為支撐，以運營體系為貫徹執(zhí)行，構建三 位一體的數據安全治理體系，如圖2所示。

圖2 三位一體的數據安全治理體系示意圖

3.2 構建國家-樞紐（集群）-數據中心一體協同的防護體系

從“東數西算”工程安全防護能力建設角度看，集群內部各數據中心為最小安全層級。由于其主要以市場化為主體進行建設，在安全系統(tǒng)建設上具有既要符合國家網絡信息安全相關要求，又要滿足自身安全需求的特點。該層級的安全需求場景多樣，數量眾多，難以統(tǒng)一建設標準，組織建設和統(tǒng)一管理的難度較大，應從統(tǒng)一安全標準、統(tǒng)一接入標準和統(tǒng)一監(jiān)測標準方面予以明確其安全責任?；谝陨峡紤]，數據安全防護體系建議設計為3層架構，總體框架如圖3所示。

圖3 “東數西算”工程安全防護體系建設總體框架

建設一體化的國家級數據安全防護平臺-樞紐級數據安全防護平臺-集群級數據安全防護平臺，構建以集群級安全中心風險管理為基礎、以樞紐級安全中心信息共享為導向、以國家級安全中心統(tǒng)籌監(jiān)管為核心的自上而下、多維度的全國一體化數據安全防護體系，并為今后向城市數據中心延伸數據安全防護平臺做好設計規(guī)劃。應進一步對數據安全防護相關技術標準、服務標準、管理要求進行優(yōu)化和改進，以期未來能夠實現全國定制化和大規(guī)模復制推廣?？紤]到現有八大樞紐在全國范圍內布局較為均衡，建設樞紐級安全中心，既具有承上啟下的作用，在各樞紐內新增集群時減輕國家級安全中心的負擔，也便于今后對樞紐外周邊區(qū)域的新增集群進行安全管控，有利于今后在全國范圍內打造成8個大型區(qū)城級安全中心。

3.3 加強數據安全防護體系建設的統(tǒng)籌指導能力

3.3.1 建立健全數據安全防護標準規(guī)范體系

從關鍵信息基礎設施的保護要求、控制措施、邊界識別、保障指標、應急體系、檢查評估等方面，加強制度規(guī)范落地建設、加強技術標準體系建設、加強應急體系規(guī)劃設計。統(tǒng)一標準規(guī)范、統(tǒng)一內部數據交換接口和級聯接口、統(tǒng)一應急處置、統(tǒng)一安全監(jiān)測、統(tǒng)一運行監(jiān)控等。特別是數字認證和密碼應用體系的設計，一定要遵循自上而下的原則。數據安全防護體系標準規(guī)范框架如圖4所示。

圖4 數據安全防護體系標準規(guī)范框架

從安全防護工作的管理、技術、服務3個方面建立標準規(guī)范。

推進建立“東數西算”安全防護體系的管理規(guī)范，從總體安全管理制度、數據分級分類、安全策略管理、安全傳輸管理、安全防護事件信息管理等方面，構建協同統(tǒng)一的管理制度體系，形成步調一致的安全管理工作標準。

建立“東數西算”安全技術規(guī)范體系，包括組件接入認證API標準、密碼使用規(guī)范標準、數據外發(fā)和接收規(guī)范、數據交互標準等規(guī)范體系。推進“東數西算”各級算力節(jié)點參照規(guī)范進行安全防護能力建設。

創(chuàng)新探索“東數西算”安全服務規(guī)范。建立安全服務管理指南、服務質量評價標準、應急響應服務指南、安全監(jiān)測服務指南等規(guī)范內容。強化安全運營服務管理要求，增強安全防護體系的實戰(zhàn)運營能力。

3.3.2 構建數據安全防護安全公共服務能力

構建一體化的數據安全防護能力。從算網安全、數據安全、信息共享、監(jiān)測預警等方面系統(tǒng)推進，構建國家、樞紐、集群三級一體化的數據安全防護以及網絡出口邊界防護能力，構建數據安全融合計算能力（隱私計算平臺），構建重點應用的數據安全備份能力，打造數據安全防護安全監(jiān)測中心、應急處置中心，搭建數據安全防護安全攻防實訓靶場。

3.3.3 加強數據安全防護安全監(jiān)督管理職能

建立全國統(tǒng)一的一體化安全管理協調機構，從安全管理、安全建設、安全運維3個角度出發(fā)，構建安全防護管理框架，加強安全數據匯聚和態(tài)勢感知、加強安全情報跨領域共享交換、加強安全事件的指揮調度能力、推動開展安全合規(guī)監(jiān)督檢查，打造一體化安全運營新模式，并協助網信、國安、公安等監(jiān)管部門做好網絡和數據安全工作的監(jiān)督指導。

3.4 數據安全防護體系建設組織推進模式的建議

3.4.1 數據中心級數據安全防護體系建設

數據中心微觀層面“管建”，該級別的安全能力建設主要以保障業(yè)務連續(xù)運行、極其重要數據不受破壞為重點，通過分析識別、安全防護、主動防御、事件處置等安全控制措施，以關鍵業(yè)務為核心實現自身的整體防控。該級別的安全能力建議主要以統(tǒng)一安全標準，并與集群安全中心做好統(tǒng)籌規(guī)劃、綜合管理、智能聚合為主。

3.4.2 集群/樞紐級數據安全防護體系建設

集群級層面“管戰(zhàn)”，以各樞紐的集群投資建設單位（以企業(yè)為主體）為責任主體，以數據安全能力建設為核心目標，建立以數據安全為核心的集群安全中心，重點建設集群內部的獨立數盾防護體系，從網絡安全、云安全、數據安全、應用安全、安全管理等維度搭建各集群安全防護技術支撐框架。集群級數據安全防護體系以數據安全防護平臺為切入點，建設安全運營中心、安全數據中心、安全能力中心，實現集群內各數據中心及其入駐單位（服務對象一般是政府/企業(yè)）的安全能力共享和安全運營協同。原則上要避免跨樞紐共用安全數據中心的情況。

集群級數據安全防護體系主要由集群安全中心投資建設單位負責建設、管理和運營。

樞紐級中觀層面“管統(tǒng)”，以當地樞紐建設的主管部門為建設單位和責任主體，以數據安全體系化協同保護為核心目標，以信息共享為導向開展協同聯防，統(tǒng)籌調度各微觀層面數據安全能力，建立信息共享、統(tǒng)一指揮、快速調度、智能響應的區(qū)域一體化數據安全防護體系。以數據流動安全為中心，建立圍繞跨行業(yè)、跨層級的流動防護體系。建立網絡信息安全事件管理制度，對下管理、對上匯報，橫向與國家有關平臺對接，實現協同聯動和安全數據共享（提供給樞紐節(jié)點的網信、國安、公安等監(jiān)管部門的橫向接口）。建設樞紐級數據安全防護安全基礎設施，實現跨系統(tǒng)、跨區(qū)域的安全能力復用，保障政府和社會的數據共享和數據交換，實現跨層面、跨系統(tǒng)、跨區(qū)城的數據保護。在地域相同的情況下，樞紐級安全中心也可與集群級安全中心合并建設。

按照“管運適度分離”原則，樞紐級數據安全防護體系可由各樞紐主管部門指定的事業(yè)單位與有能力的國有企業(yè)共同負責數據安全防護基礎設施的建設、管理和本地化運營服務。

3.4.3 國家級數據安全防護體系建設

宏觀層面“管總”，以國家“東數西算”工程主管部門為建設單位和責任主體，以數據安全情報共享、能力統(tǒng)籌、體系化保護為核心目標，統(tǒng)籌指揮調度各區(qū)域數據安全能力，建立全國一體化數據安全防護體系的統(tǒng)籌協同機制。

按照“管運適度分離”原則，國家級數據安全防護體系可由國家“東數西算”工程主管部門指定的事業(yè)單位或國有企業(yè)負責國家級數據安全防護基礎設施的建設、管理和運營。

整套數據安全防護技術體系全面構筑數據安全防護技術體系建設框架，以關鍵信息基礎設施安全保護要求為指導，以標準規(guī)范為理論依據和實施基礎，向上對接國家級數據安全防護總平臺、向下銜接數據中心級數據安全防護技術平臺，構建集群樞紐的安全防護和安全監(jiān)管兩大能力，充分調動數據交換、情報共享和協調指揮等作用，實現跨區(qū)域、跨部門、跨層級地協同聯動。以數據安全流通與增值為一大目標推進數據要素市場化，同步打造數據安全防護產業(yè)生態(tài)體系，著力引導網絡安全產業(yè)聚集。

4 總結與展望

隨著2022年年初四部委聯合印發(fā)通知，8個國家算力樞紐和10個國家數據中心集群宣布確立，“東數西算”工程從規(guī)劃階段正式進入建設階段。各樞紐在提升數據中心規(guī)模化、集約化和綠色化水平的同時，網絡安全、數據安全等安全保障技術、措施和手段需要遵從三同步原則，因此“數盾”體系的規(guī)劃建設也需要同步提上“東數西算”的重要議事日程，同其他“四數”一樣開始同步規(guī)劃、同步建設、同步使用，從而保障“東數西算”工程安全有序實施。

“東數西算”是我國推進數字經濟發(fā)展的一項重大戰(zhàn)略工程，工程的安全防護體系是工程能否發(fā)揮作用的前提。隨著建設推進和技術創(chuàng)新，安全風險呈現出新的形態(tài)，由關注邊界網絡安全防護，演化到解決數據流通、共享交換和算網協同的數據安全問題，以真正發(fā)揮數據要素價值。這就要求“東數西算”工程安全防護能力建設必須做好前瞻性的規(guī)劃設計，切實發(fā)揮全國一體協同創(chuàng)新的作用。

“東數西算”工程的安全防護能力建設應采用國家-樞紐（集群）-數據中心三級一體化協同的思路構建；在明確安全主體、厘清安全主體責任邊界的基礎上，構建責任明確、一體協同的數據安全工作機制；加強安全防護體系的頂層設計和標準體系的統(tǒng)籌指導，為工程建設、互聯互通、評價評測提供參考依據。