新型數(shù)據(jù)中心高安全技術(shù)體系白皮書

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

[編號ODCC-2022-08003]

分布式存儲技術(shù)與產(chǎn)業(yè)新型數(shù)據(jù)中心高安全

技術(shù)體系白皮書分析報(bào)告

開放數(shù)據(jù)中心標(biāo)準(zhǔn)推進(jìn)委員會

2022-019發(fā)布

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

版權(quán)聲明

ODCC（開放數(shù)據(jù)中心委員會）發(fā)布的各項(xiàng)成果，受《著作權(quán)法》保護(hù)，

編制單位共同享有著作權(quán)。

轉(zhuǎn)載、摘編或利用其它方式使用ODCC成果中的文字或者觀點(diǎn)的，應(yīng)注明

來源：“開放數(shù)據(jù)中心委員會ODCC”。

對于未經(jīng)著作權(quán)人書面同意而實(shí)施的剽竊、復(fù)制、修改、銷售、改編、匯

編和翻譯出版等侵權(quán)行為，ODCC及有關(guān)單位將追究其法律責(zé)任，感謝各單位

的配合與支持。

I

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

編制說明

本報(bào)告由ODCC安全特設(shè)組牽頭撰寫，在撰寫過程中得到了多家單位的大

力支持，在此特別感謝以下參編單位和參編人員：

參編單位（排名不分先后）：

中國移動通信集團(tuán)有限公司、中國信息通信研究院（云大所數(shù)據(jù)中心團(tuán)

隊(duì)）、中國電信股份有限公司研究院、華為技術(shù)有限公司、新華三信息安全技

術(shù)有限公司、杭州迪普科技股份有限公司

參編人員（排名不分先后）：

楊?？　⑧u珂龍、杜海濤、程宇、尹偉、韓敏玲、謝麗娜、江暢、王素彬、

王雪榮、嚴(yán)菲、初利寶、王健、孫健

項(xiàng)目經(jīng)理：鄒珂龍zoukelong@

II

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

前言

隨著5G、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、人工智能等業(yè)務(wù)的蓬勃發(fā)展，傳統(tǒng)數(shù)據(jù)中

心正在向著以“高技術(shù)、高算力、高能效、高安全”為特征的新型數(shù)據(jù)中心發(fā)

展。新型數(shù)據(jù)中心作為關(guān)鍵信息基礎(chǔ)設(shè)施，是網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智慧社會

建設(shè)的重要基礎(chǔ)，也是支撐我國數(shù)字經(jīng)濟(jì)發(fā)展的底座。

本白皮書以數(shù)據(jù)中心行業(yè)發(fā)展政策為指導(dǎo)，立足當(dāng)前建設(shè)新型數(shù)據(jù)中心面

臨的安全威脅和攻擊變化，創(chuàng)新性提出新型數(shù)據(jù)中心高安全的四大目標(biāo)特征及

四層三面的技術(shù)體系。本白皮書探討了基礎(chǔ)設(shè)施、算網(wǎng)一體、應(yīng)用及數(shù)據(jù)等方

面的安全技術(shù)要求，從系統(tǒng)建設(shè)、核心業(yè)務(wù)和安全運(yùn)營三個維度對新型數(shù)據(jù)中

心安全管理新內(nèi)涵進(jìn)行了系統(tǒng)性的總結(jié)，梳理了新型數(shù)據(jù)中心安全產(chǎn)品和技術(shù)

圖譜，最后提出了新型數(shù)據(jù)中心安全等級評估的必要性和工作方向。

由于水平有限，白皮書必然存在不足或錯誤之處，歡迎業(yè)界各位批評指正，

大家共同開展相關(guān)領(lǐng)域的探討。

本白皮書的版權(quán)歸ODCC所有，未經(jīng)授權(quán)，任何單位或個人不得復(fù)制或拷

貝本白皮書之部分或全部內(nèi)容。

III

一、新型數(shù)據(jù)中心安全發(fā)展的必要性及目標(biāo)

1.1背景

作為信息社會的數(shù)字底座,數(shù)據(jù)中心已經(jīng)成為推動社會發(fā)展的戰(zhàn)略性基礎(chǔ)設(shè)

施，是助推數(shù)字經(jīng)濟(jì)發(fā)展的重要力量。早在2017年，我國就提出“要構(gòu)建以數(shù)

據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)，要切實(shí)保障國家數(shù)據(jù)安全，要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)

施安全保護(hù)，強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能

力?！睌?shù)據(jù)中心作為數(shù)字經(jīng)濟(jì)及其數(shù)據(jù)安全的主戰(zhàn)場，其安全問題近年來愈發(fā)

得到相關(guān)政府部門、運(yùn)營商和企業(yè)的高度重視。2021年7月，工信部印發(fā)《新

型數(shù)據(jù)中心發(fā)展三年行動計(jì)劃（2021-2023年）》，指出新型數(shù)據(jù)中心具有高

技術(shù)、高算力、高能效、高安全的特征。新型數(shù)據(jù)中心在構(gòu)建高效算力服務(wù)的

同時，“高安全”作為其建設(shè)和發(fā)展的基本特征和要求也被正式提出。2021年

12月，國務(wù)院印發(fā)“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃通知，其中明確強(qiáng)調(diào)要著力強(qiáng)

化數(shù)字經(jīng)濟(jì)安全體系，要求增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力，提升數(shù)據(jù)安全保障水平，

切實(shí)有效防范各類風(fēng)險(xiǎn)。

1.2新型數(shù)據(jù)中心面臨的安全威脅和挑戰(zhàn)

相比于傳統(tǒng)數(shù)據(jù)中心，新型數(shù)據(jù)中心在業(yè)務(wù)云化與數(shù)字化轉(zhuǎn)型的浪潮中，

主要面臨三大安全威脅和挑戰(zhàn)：

?安全威脅面在不斷增加和擴(kuò)大。隨著數(shù)據(jù)中心IT架構(gòu)不斷變革，多云、

混合云部署成為常態(tài)，算力設(shè)施資源從傳統(tǒng)物理設(shè)備向虛擬化、容器化

演進(jìn)，各類網(wǎng)絡(luò)及業(yè)務(wù)訪問更加多元化；數(shù)網(wǎng)協(xié)同、數(shù)云協(xié)同、云邊協(xié)

同帶來更多開放性，傳統(tǒng)安全邊界在逐步消失。

?網(wǎng)絡(luò)攻擊手段和技術(shù)不斷升級。地緣政治摩擦、全球貿(mào)易爭端以及日漸

激烈的市場環(huán)境，攻擊手段和技術(shù)越來專業(yè)化和“國家化”，迫切需要

數(shù)據(jù)中心建設(shè)發(fā)展成為可信、安全、合規(guī)的運(yùn)營基石，以應(yīng)對當(dāng)下如供

應(yīng)鏈攻擊、勒索病毒等日益增多的新威脅事件以及未來的不確定性挑戰(zhàn)。

1

?安全防護(hù)產(chǎn)品和技術(shù)能力參差不齊。近年來安全技術(shù)和產(chǎn)品迭代迅速，

市場上各類安全產(chǎn)品日益增多，但這些產(chǎn)品彼此孤立、松散組合，使得

新型數(shù)據(jù)中心的安全建設(shè)愈加復(fù)雜，并帶來了諸多安全隱患，比如操作

復(fù)雜性、可視化孤島、安全響應(yīng)復(fù)雜性、防御盲點(diǎn)等。

面對當(dāng)下日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，缺乏頂層設(shè)計(jì)、查缺補(bǔ)漏的安全

架構(gòu)已經(jīng)不能滿足新型數(shù)據(jù)中心的安全建設(shè)需求，亟需建立一體化數(shù)據(jù)中

心安全技術(shù)體系，全方位賦能新型數(shù)據(jù)中心建設(shè)發(fā)展，實(shí)現(xiàn)新型數(shù)據(jù)中心

可視可防可控的立體化安全。

1.3新型數(shù)據(jù)中心高安全總體目標(biāo)

隨著新的安全形勢發(fā)展和網(wǎng)絡(luò)安全相關(guān)法規(guī)條例的實(shí)施，新型數(shù)據(jù)中心迎

來新的安全理念和技術(shù)要求。為了實(shí)現(xiàn)快速及時的算力安全服務(wù)、網(wǎng)絡(luò)安全防

御、數(shù)據(jù)安全存儲和運(yùn)營安全處置，新型數(shù)據(jù)中心高安全技術(shù)體系必須落實(shí)不

同維度、不同側(cè)重的各類監(jiān)管合規(guī)要求，覆蓋日常運(yùn)營、安全評估、應(yīng)急和重

保等各類運(yùn)營場景，有效識別和抵御業(yè)務(wù)訪問、運(yùn)維管理、開發(fā)測試、數(shù)據(jù)服

務(wù)等數(shù)據(jù)中心各環(huán)節(jié)面臨的外部威脅和內(nèi)部風(fēng)險(xiǎn)。為此，新型數(shù)據(jù)中心的安全

技術(shù)體系應(yīng)達(dá)到以下四個目標(biāo)：

?安全內(nèi)生

隨著開源代碼等的廣泛應(yīng)用和數(shù)據(jù)中心內(nèi)各類系統(tǒng)的日益復(fù)雜，數(shù)據(jù)中心

內(nèi)各類設(shè)備自身漏洞常常成為遭受攻擊的突破點(diǎn)和重災(zāi)區(qū)。尤其是IT硬件設(shè)備

和軟件系統(tǒng)，自身的安全問題層出不窮，提升數(shù)據(jù)中心各類基礎(chǔ)設(shè)施自身的安

全性不可或缺且迫在眉睫。通過不斷加強(qiáng)設(shè)備自身健壯性和“內(nèi)置式”主動防

御能力，構(gòu)建主動免疫的安全體系新防線。

?安全可視

2

有力的安全防御手段依賴于對業(yè)務(wù)正常行為和異常事件的準(zhǔn)確識別和展示，

及時發(fā)現(xiàn)調(diào)查取證并最終確認(rèn)安全威脅，才能在確保數(shù)據(jù)中心業(yè)務(wù)不受影響的

情況下做到“不漏檢、不誤殺”。業(yè)務(wù)正常行為的準(zhǔn)確識別，前提是必須要對

數(shù)據(jù)中心資產(chǎn)、網(wǎng)絡(luò)拓?fù)浼案黝惿a(chǎn)數(shù)據(jù)實(shí)現(xiàn)識別認(rèn)知能力，做到資產(chǎn)、網(wǎng)絡(luò)、

數(shù)據(jù)的可視；而只有具有對數(shù)據(jù)中心安全信息統(tǒng)一全局的監(jiān)測視野，才能做到

“一點(diǎn)及時發(fā)現(xiàn)，全網(wǎng)協(xié)同防御”的可視化目標(biāo)。

?融合聯(lián)動

當(dāng)下新型網(wǎng)絡(luò)攻擊經(jīng)?；旌鲜褂枚喾N手段和戰(zhàn)術(shù)，逐步滲透并侵入數(shù)據(jù)中

心核心資產(chǎn)，這使得傳統(tǒng)的靜態(tài)的攻擊威脅識別難以形成有效的防御。因此需

要基于人工智能等新技術(shù)，站在數(shù)據(jù)中心全局安全的角度對主機(jī)端點(diǎn)事件、網(wǎng)

絡(luò)威脅事件、歷史日志信息等多點(diǎn)異常融合分析，并實(shí)現(xiàn)針對安全事件的邊界

節(jié)點(diǎn)就近實(shí)時聯(lián)動處置，把安全威脅扼殺在最小影響范圍內(nèi)。

?綠色高效

綠色低碳是新型數(shù)據(jù)中心的顯著特征。近年來隨著數(shù)據(jù)中心安全新技術(shù)的

涌現(xiàn)，數(shù)據(jù)中心內(nèi)部各類安全產(chǎn)品逐年增多，重復(fù)臃腫的安全產(chǎn)品引入和建設(shè)

不僅違背了新型數(shù)據(jù)中心綠色發(fā)展理念，而且加大了數(shù)據(jù)中心運(yùn)維管理復(fù)雜度，

同時也顯著增加了內(nèi)外部業(yè)務(wù)時延。在算力時代全國數(shù)據(jù)中心集群統(tǒng)一高效調(diào)

度的大背景下，新型數(shù)據(jù)中心的安全建設(shè)必將向著去冗余、重編配的綠色高效

方向發(fā)展。

二、新型數(shù)據(jù)中心高安全技術(shù)體系

為應(yīng)對內(nèi)外部日益加劇的安全風(fēng)險(xiǎn)和挑戰(zhàn)，強(qiáng)化以數(shù)據(jù)為核心要素的數(shù)據(jù)

中心安全建設(shè)，實(shí)現(xiàn)安全內(nèi)生、安全可視、融合聯(lián)動、綠色高效的總體目標(biāo)，

新型數(shù)據(jù)中心需要形成“四層三面”的高安全技術(shù)體系架構(gòu)。

3

圖1新型數(shù)據(jù)中心“四層三面”安全技術(shù)體系架構(gòu)

“四層”主建，從安全能力建設(shè)的視角，自下而上覆蓋數(shù)據(jù)中心內(nèi)安全防

御的主要對象，分為基礎(chǔ)設(shè)施安全層、算網(wǎng)一體安全層、應(yīng)用安全層和數(shù)據(jù)安

全層。

“三面”主管，從安全防范管理的視角，把四層安全能力協(xié)同貫穿起來，

形成系統(tǒng)化的風(fēng)險(xiǎn)抵御和運(yùn)營管理能力，主要分為系統(tǒng)建設(shè)管理平面、核心業(yè)

務(wù)管理平面和安全運(yùn)營管理平面。

數(shù)據(jù)中心各類基礎(chǔ)設(shè)施是系統(tǒng)管理員的領(lǐng)地，其安全是數(shù)據(jù)中心安全的根

基；開展數(shù)據(jù)處理、存儲及服務(wù)的各類核心業(yè)務(wù)是業(yè)務(wù)管理員的領(lǐng)地，其安全

是數(shù)據(jù)中心安全的核心；而數(shù)據(jù)中心安全監(jiān)測、告警和態(tài)勢感知等安全運(yùn)營管

理是安全團(tuán)隊(duì)的主戰(zhàn)場，其安全是數(shù)據(jù)中心安全的大腦。

2.1基礎(chǔ)設(shè)施安全層

基礎(chǔ)設(shè)施安全是數(shù)據(jù)中心安全可靠的基礎(chǔ)，從設(shè)計(jì)建設(shè)角度來說主要包括

兩方面，一方面是數(shù)據(jù)中心的物理環(huán)境安全，包括風(fēng)火水電等基礎(chǔ)資源；另一

4

方面是數(shù)據(jù)中心內(nèi)各類設(shè)備的自身安全，通過強(qiáng)化自身安全健壯性，最大程度

避免被攻擊利用。

2.1.1物理環(huán)境安全

物理環(huán)境安全是指確保數(shù)據(jù)中心內(nèi)一切設(shè)施有一個良好的電磁兼容工作環(huán)

境，并防止非法用戶進(jìn)入和各種偷竊、破壞活動的發(fā)生。這涉及機(jī)房選址、規(guī)

劃設(shè)計(jì)、機(jī)房環(huán)境、機(jī)房管理、設(shè)備與介質(zhì)管理等。如：

?選址避開自然災(zāi)害不利或危險(xiǎn)的地區(qū)，滿足國家防災(zāi)要求。

?具備防震、防火、防水、防靜電的“四防”能力，基礎(chǔ)設(shè)施支持7*24

小時不中斷的電力保障、訪問控制及監(jiān)控，滿足國家新型數(shù)據(jù)中心建設(shè)

標(biāo)準(zhǔn)。

?有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶的各種臨近攻擊。

2.1.2設(shè)備自身安全

設(shè)備自身安全是指設(shè)備在開發(fā)及應(yīng)用過程中，自身防仿冒防篡改、抗攻擊

的韌性能力，主要包括硬件可信、軟件可信及供應(yīng)鏈可信等。

?硬件可信：硬件唯一可信根，軟硬件互相校驗(yàn)。避免使用仿冒硬件，或

者軟件被篡改植入惡意代碼。

?軟件可信：軟件防篡改抗攻擊，軟件安全啟動、安全運(yùn)行、安全審計(jì)等

防篡改能力，并能做到進(jìn)程隔離、進(jìn)程級異常檢測和重啟、邏輯/芯片

級異常檢測和自動復(fù)位能力等，提升系統(tǒng)韌性。

?供應(yīng)鏈可信：從軟件安全的開源和第三方、升級補(bǔ)丁等相關(guān)安全來源的

可信，避免系統(tǒng)被劫持利用。

2.2算網(wǎng)一體安全層

2.2.1網(wǎng)絡(luò)安全

5

新型數(shù)據(jù)中心安全從技術(shù)上離不開網(wǎng)絡(luò)安全的保障。隨著云化、虛擬化演

進(jìn)，網(wǎng)絡(luò)安全從傳統(tǒng)網(wǎng)絡(luò)邊界安全向內(nèi)移到零信任、微隔離等技術(shù)代表的新的

邊界安全，一層層網(wǎng)絡(luò)安全能力疊加形成防御縱深。

?網(wǎng)絡(luò)邊界安全

傳統(tǒng)網(wǎng)絡(luò)安全措施，以數(shù)據(jù)中心為防護(hù)對象，在邊界上部署如防火墻、IPS、

抗DDoS等網(wǎng)絡(luò)安全防護(hù)設(shè)備。對于新型數(shù)據(jù)中心來說，邊界防護(hù)仍然是基本的

安全保障，提供高性能高可靠的抵御外部攻擊的邊界隔離能力。但是，隨著數(shù)

據(jù)中心內(nèi)部應(yīng)用的彈性增長，需要傳統(tǒng)網(wǎng)絡(luò)邊界安全產(chǎn)品能適應(yīng)應(yīng)用彈性部署

的要求，可做到池化部署能力，向SDN編排、低時延等技術(shù)能力演進(jìn)，實(shí)現(xiàn)資

源編排（突破單設(shè)備性能瓶頸）、流量編排（突破設(shè)備協(xié)同瓶頸）和策略編排

（突破部署效率瓶頸）。

?內(nèi)移邊界安全

IT架構(gòu)云化虛擬化后，數(shù)據(jù)中心內(nèi)東西向流量持續(xù)規(guī)模增長。東西向互訪

連接增多使得數(shù)據(jù)中心網(wǎng)絡(luò)邊界內(nèi)移到區(qū)域邊界、微服務(wù)邊界。當(dāng)前微服務(wù)間

存在合理的流量訪問關(guān)系，同時也存在惡意的探測、攻擊等。這使得傳統(tǒng)網(wǎng)絡(luò)

邊界信任機(jī)制被打破，內(nèi)網(wǎng)外隔離的傳統(tǒng)方式已經(jīng)無法適應(yīng)業(yè)務(wù)IT化轉(zhuǎn)型后的

安全發(fā)展需要。對于新型數(shù)據(jù)中心，在原有網(wǎng)絡(luò)邊界安全的基礎(chǔ)上，基于零信

任技術(shù)實(shí)現(xiàn)基于數(shù)據(jù)模型訪問關(guān)系的實(shí)時應(yīng)用訪問行為監(jiān)控成為新的要求。

?橫向流量安全

橫向移動是現(xiàn)代網(wǎng)絡(luò)攻擊的重要部分，它充分利用了不安全的低級網(wǎng)絡(luò)資

產(chǎn)及內(nèi)網(wǎng)賬戶保護(hù)不力的漏洞，給新型數(shù)據(jù)中心安全帶來了嚴(yán)重威脅，故橫向

流量安全能力是新型數(shù)據(jù)中心網(wǎng)絡(luò)安全的重要補(bǔ)充。數(shù)據(jù)中心的業(yè)務(wù)主體是應(yīng)

用和數(shù)據(jù)，基于業(yè)務(wù)邏輯清晰劃分防御對象，建立基于微分段的安全策略保護(hù)，

避免非信任流量擴(kuò)散。同時，基于業(yè)務(wù)鏈技術(shù)把風(fēng)險(xiǎn)流量引流到“監(jiān)控/授權(quán)”

6

模塊聯(lián)動安全分析處置，實(shí)現(xiàn)微隔離。通過微隔離技術(shù)與零信任能力的疊加，

可以把新型數(shù)據(jù)中心面臨的新安全威脅風(fēng)險(xiǎn)控制在最小影響范圍。

總的來說，新型數(shù)據(jù)中心網(wǎng)絡(luò)安全需具有南北向和東西向邊界防護(hù)能力、

基于控制器的資源池化編排能力、基于虛機(jī)/微服務(wù)的微隔離能力及基于零信任

技術(shù)的網(wǎng)絡(luò)訪問保護(hù)等特征,其安全基本結(jié)構(gòu)如下：

圖2新型數(shù)據(jù)中心網(wǎng)絡(luò)安全基本結(jié)構(gòu)

2.2.2算力安全

?算力平臺安全

當(dāng)前虛擬化和容器化技術(shù)作為提供新型數(shù)據(jù)中心算力的基礎(chǔ)平臺，突破了

傳統(tǒng)操作系統(tǒng)與物理硬件之間的界限，在算力資源集中化管理、提高硬件利用

率、異構(gòu)算力資源整合等方面發(fā)揮了關(guān)鍵作用。但底層硬件資源的共享也帶來

了一定的安全風(fēng)險(xiǎn)。為此，需要進(jìn)一步做到虛擬層隔離安全和虛擬交換安全。

虛擬層隔離安全：同一物理機(jī)上不同虛擬機(jī)之間應(yīng)做到資源安全隔離，避

免虛擬機(jī)之間的數(shù)據(jù)竊取或惡意攻擊。但當(dāng)前數(shù)據(jù)中心內(nèi)仍存在虛擬機(jī)跳躍、

虛擬機(jī)逃逸、拒絕服務(wù)攻擊和VMBR（VirtualMachineBasedRootkit）攻擊

等安全隱患，故針對虛擬層開展定期配置檢查和及時漏洞補(bǔ)丁更新，確保vCPU

調(diào)度隔離、內(nèi)存隔離、磁盤I/O隔離安全，化解虛擬層隔離安全風(fēng)險(xiǎn)十分必要。

7

虛擬交換安全：OVS等虛擬交換機(jī)為數(shù)據(jù)中心內(nèi)東西向，尤其是同宿主機(jī)

算力單元之間的流量交換提供了極大便利。但其作為部署在硬件服務(wù)器內(nèi)的新

型軟件交換設(shè)備，區(qū)別于傳統(tǒng)物理交換機(jī)，其安全管理和策略控制極易忽視，

同樣存在安全風(fēng)險(xiǎn)。因此，虛擬交換機(jī)的流量可視化是虛擬交換安全的基礎(chǔ)，

在此基礎(chǔ)上還可考慮增加額外的防護(hù)手段，如部署虛擬防火墻等。

?算力單元安全

主機(jī)系統(tǒng)作為新型數(shù)據(jù)中心算力提供的基本單元，也是絕大多數(shù)數(shù)攻擊者

的最終入侵目標(biāo)。開展算力單元安全防護(hù)，進(jìn)行常態(tài)化的威脅檢測和防御，避

免主機(jī)劫持事件的發(fā)生是新型數(shù)據(jù)中心整體安全的最后一道也是最有效的防線，

其重要性不言而喻。具體手段包括基線核查、異常行為監(jiān)控、漏洞管理及病毒

防護(hù)等。

基線核查：主要針對主機(jī)配置的安全性和合理性進(jìn)行檢測，避免過度的暴

露面帶來不必要的風(fēng)險(xiǎn)。例如主機(jī)上僅開放少數(shù)幾個端口用于業(yè)務(wù)與維護(hù)使用，

有效應(yīng)對一些高危端口或未知端口帶來的病毒傳播；制定嚴(yán)格的訪問授權(quán)、密

碼管理等統(tǒng)一的主機(jī)安全策略等。

異常行為監(jiān)控：支持對防暴力破解等異常登錄行為、非法數(shù)字貨幣挖礦等

算力盜用行為、域名劫持等算力劫持行為，以主機(jī)維度或用戶維度建立訪問和

通信的大數(shù)據(jù)畫像，開展異常行為監(jiān)測和告警。

漏洞管理：一方面需要定期掃描主機(jī)漏洞并及時安全加固，嚴(yán)格測試和評

估新發(fā)布補(bǔ)丁的兼容性、可用性、可能帶來的副作用及采取的相應(yīng)緩解措施。

另一方面，虛擬機(jī)模板、容器鏡像存在系統(tǒng)漏洞將進(jìn)一步擴(kuò)大安全風(fēng)險(xiǎn)，故需

要盡量裁剪不必要的軟件組件或模塊，構(gòu)建最小化系統(tǒng)；并增加如容器鏡像簽

名等技術(shù)手段來確保系統(tǒng)的完整性。

病毒防護(hù)：部署防病毒軟件，對各類病毒、蠕蟲、惡意代碼、木馬等惡意

文件和進(jìn)程動態(tài)查殺及隔離，確保斬?cái)嗖《緜鞑?、寄生的每一個節(jié)點(diǎn)，實(shí)現(xiàn)病

8

毒的全面防范。當(dāng)前由于勒索攻擊威脅加劇，新型數(shù)據(jù)中心的病毒防護(hù)應(yīng)能夠

識別勒索軟件攻擊的典型癥狀，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中C&C異常通信或者文件異常加

密等可疑活動，應(yīng)可在攻擊者開始勒索之前預(yù)先發(fā)出告警。

?算力服務(wù)安全

隨著產(chǎn)業(yè)數(shù)字化進(jìn)程加速，未來算力需求將持續(xù)放大，算力或?qū)⒊蔀橐环N

可交易商品，從當(dāng)前公有云數(shù)據(jù)中心算力服務(wù)的孤島模式向全網(wǎng)算力如“水電”

一樣便捷獲取的公共服務(wù)演進(jìn)。由此帶來的算力調(diào)度安全和算力交易安全也需

要逐步納入新型數(shù)據(jù)中心安全建設(shè)要求中。

算力調(diào)度安全：未來算力網(wǎng)絡(luò)調(diào)度平臺通過聚合海量的算力資源，將形成

可持續(xù)擴(kuò)張的全國一體化算力服務(wù)資源池。因此需要建立一個安全可信的調(diào)度

機(jī)制，實(shí)現(xiàn)算力資源的安全流通，才能滿足國家重大戰(zhàn)略和醫(yī)療、交通、安防、

教育等各行業(yè)對算力服務(wù)的需求。

算力交易安全：當(dāng)算力成為一種可交易商品后，可基于區(qū)塊鏈、共識機(jī)制

與算法、智能合約等技術(shù)構(gòu)建可信算力交易平臺，對多方泛在、多樣算力進(jìn)行

運(yùn)營計(jì)費(fèi)，保證算力交易的安全可控、隱私高效。

2.3應(yīng)用安全層

2.3.1WEB應(yīng)用安全

隨著Web技術(shù)的普及，越來越多的應(yīng)用基于Web平臺部署，Web應(yīng)用是數(shù)

據(jù)中心對外提供的主要業(yè)務(wù)。而由于Web應(yīng)用自身多采用開源架構(gòu)和開放服務(wù)

的特點(diǎn)，其常成為應(yīng)用安全攻擊的入口。為實(shí)現(xiàn)Web應(yīng)用安全，在新型數(shù)據(jù)中

心內(nèi)部署Web防護(hù)及網(wǎng)頁防篡改模塊，是主要的防護(hù)手段。

?Web防護(hù)

9

通過智能引擎識別已知攻擊行為，包括SQL注入、XSS、命令注入、文件上

傳、反序列化攻擊等常見的Web攻擊行為，同時加強(qiáng)識別未知威脅及0day攻擊

行為，保障基于Web的業(yè)務(wù)系統(tǒng)安全可靠運(yùn)行。

?網(wǎng)頁防篡改

應(yīng)用內(nèi)核態(tài)文件驅(qū)動過濾技術(shù)，阻止攻擊者通過Web操作系統(tǒng)和服務(wù)程序

的漏洞，獲取Web服務(wù)器的控制權(quán)限后進(jìn)行非法的Web操作，包括內(nèi)容篡改、

數(shù)據(jù)盜取或惡意代碼植入等。

2.3.2API應(yīng)用安全

隨著業(yè)務(wù)的云化發(fā)展，新型數(shù)據(jù)中心內(nèi)大量的云服務(wù)通過API（如Restful

API）的形式對外提供業(yè)務(wù)和管理接口?？紤]到API對云服務(wù)承載的重要功能和

其在HTTP應(yīng)用層面臨的安全威脅，新型數(shù)據(jù)中心需要考慮把API視為云服務(wù)至

關(guān)重要的安全邊界，采用多重機(jī)制和措施進(jìn)行重點(diǎn)保護(hù)：

一是建立動態(tài)的API接口管理及使用機(jī)制。通過流量學(xué)習(xí)等手段來梳理活

躍的API應(yīng)用和暴露的API接口，依據(jù)API的狀態(tài)變化并結(jié)合用途屬性進(jìn)行分

級分類,區(qū)分在用API、廢棄API、測試API、異常API和未知API，形成動態(tài)更

新的API接口清單，及時發(fā)現(xiàn)API應(yīng)用隱患。

二是采用專用的API應(yīng)用網(wǎng)關(guān)設(shè)備。一方面增強(qiáng)API調(diào)用的認(rèn)證和權(quán)限控

制，限制API調(diào)用速率；另一方面通過部署API檢測和攻擊防護(hù)技術(shù)，識別

API訪問接口所遭受的各種自動化腳本、爬蟲工具和BOT工具的掃描和惡意調(diào)

用，從而提升應(yīng)用安全的整體防護(hù)能力，避免API濫用、盜用行為的發(fā)生。

2.4數(shù)據(jù)安全層

數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)安全是新型數(shù)據(jù)中心安全建設(shè)的核心。新型數(shù)據(jù)中心

數(shù)據(jù)安全應(yīng)借助組織人員的安全能力和管理制度，在數(shù)據(jù)安全分級分類、安全

10

可視的總原則下，以“數(shù)據(jù)采集安全”為基礎(chǔ)、“數(shù)據(jù)處理安全”為關(guān)鍵、

“數(shù)據(jù)存儲安全”為保障、“數(shù)據(jù)服務(wù)安全”為目標(biāo)，構(gòu)建全生命周期的數(shù)據(jù)

安全流程，實(shí)現(xiàn)數(shù)據(jù)的完整性、保密性、可用性和持久性。

圖3新型數(shù)據(jù)中心數(shù)據(jù)安全治理結(jié)構(gòu)

2.4.1數(shù)據(jù)采集安全

數(shù)據(jù)采集的目的是獲得有價值的數(shù)據(jù)資產(chǎn)，采集應(yīng)嚴(yán)格按照《網(wǎng)絡(luò)安全

法》、《個人信息保護(hù)法》等相關(guān)法律法規(guī)和行業(yè)規(guī)范執(zhí)行，數(shù)據(jù)中心內(nèi)數(shù)據(jù)

采集的方式主要包括應(yīng)用數(shù)據(jù)通過網(wǎng)絡(luò)采集、數(shù)據(jù)中心內(nèi)系統(tǒng)日志數(shù)據(jù)采集等。

組織開展數(shù)據(jù)采集活動的過程中，應(yīng)確保數(shù)據(jù)采集的合法性、正當(dāng)性和必要性：

定義采集數(shù)據(jù)的目的和用途，明確數(shù)據(jù)來源、采集方式、采集范圍等內(nèi)容，并

制定標(biāo)準(zhǔn)的采集模板、數(shù)據(jù)采集方法、策略和規(guī)范；對于初次采集的數(shù)據(jù)，需

采用人工與技術(shù)相結(jié)合的方式進(jìn)行數(shù)據(jù)采集確認(rèn)；最小化采集數(shù)據(jù)，不收集與

提供服務(wù)無關(guān)的個人信息和重要數(shù)據(jù)；對數(shù)據(jù)采集環(huán)境、設(shè)施和技術(shù)采取必要

的安全管理措施。

對采集的數(shù)據(jù)進(jìn)行分類分級是實(shí)現(xiàn)后續(xù)環(huán)節(jié)數(shù)據(jù)安全的前提。新型數(shù)據(jù)中

心應(yīng)對采集數(shù)據(jù)的存儲位置、存儲格式、存儲內(nèi)容和大小，依據(jù)國家《數(shù)據(jù)安

全法》、《個人信息保護(hù)法》等法規(guī)及《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》等

行業(yè)相關(guān)標(biāo)準(zhǔn)制定數(shù)據(jù)分類分級體系?；跀?shù)據(jù)安全監(jiān)測及數(shù)據(jù)防泄漏設(shè)備，

針對不同數(shù)據(jù)級別設(shè)置安全保護(hù)策略，為后續(xù)數(shù)據(jù)處理、數(shù)據(jù)存儲和數(shù)據(jù)服務(wù)

提供依據(jù)。

11

目前業(yè)界對數(shù)據(jù)的分級分類缺乏有效實(shí)施經(jīng)驗(yàn)，主要還依賴人工處理，工

作量大且效率低，而基于關(guān)鍵字、知識庫進(jìn)行自動分類分級誤判率高。新型數(shù)

據(jù)中心面對各行各業(yè)數(shù)據(jù)，數(shù)據(jù)的安全分級分類應(yīng)借助機(jī)器學(xué)習(xí)構(gòu)建的知識算

法，將專家經(jīng)驗(yàn)和方法固化為規(guī)則模型和識別引擎，通過自動化、智能化的分

類分級技術(shù)手段，提升數(shù)據(jù)分類分級的質(zhì)效。

2.4.2數(shù)據(jù)處理安全

新型數(shù)據(jù)中心的數(shù)據(jù)處理安全主要解決數(shù)據(jù)的隱私權(quán)問題，包括數(shù)據(jù)隱私

計(jì)算和數(shù)據(jù)的刪除銷毀。

?數(shù)據(jù)隱私計(jì)算

由于數(shù)據(jù)處理需要涉及多源、泛在的算力節(jié)點(diǎn)，無法保證每個算力節(jié)點(diǎn)都

是安全可靠的，數(shù)據(jù)分配到算力節(jié)點(diǎn)進(jìn)行計(jì)算的模式會使數(shù)據(jù)面臨隱私泄露的

風(fēng)險(xiǎn)，因此需要借助包含安全多方計(jì)算、可信執(zhí)行環(huán)境、聯(lián)邦學(xué)習(xí)等隱私計(jì)算

技術(shù)來實(shí)現(xiàn)數(shù)據(jù)的“可用不可見”。

?數(shù)據(jù)的刪除銷毀

依據(jù)數(shù)據(jù)中心合規(guī)政策和業(yè)務(wù)發(fā)展需求，對敏感數(shù)據(jù)或老化過時數(shù)據(jù)進(jìn)行

刪除銷毀，也是數(shù)據(jù)處理安全有效的重要環(huán)節(jié)。建立數(shù)據(jù)刪除銷毀策略和管理

制度，明確數(shù)據(jù)銷毀的場景、銷毀對象、銷毀方式和銷毀要求，通過覆寫法、

刪除、格式化等清零操作銷毀內(nèi)存和硬盤中的數(shù)據(jù)，通過物理摧毀、消磁等方

式實(shí)現(xiàn)各類數(shù)據(jù)存儲介質(zhì)的有效銷毀，杜絕信息泄漏風(fēng)險(xiǎn)。建立數(shù)據(jù)銷毀的管

理機(jī)制，對數(shù)據(jù)刪除銷毀操作保存完整記錄，滿足行業(yè)標(biāo)準(zhǔn)和安全回溯要求。

2.4.3數(shù)據(jù)存儲安全

新型數(shù)據(jù)中心的數(shù)據(jù)存儲安全是指數(shù)據(jù)存儲過程中的機(jī)密性和可靠性，主

要涉及底層的存儲系統(tǒng)和數(shù)據(jù)庫中間件。

12

?存儲系統(tǒng)安全

對于不同存儲系統(tǒng)，例如磁盤陣列、分布式存儲、全閃存存儲等，其存儲

的機(jī)密性一方面通過存儲系統(tǒng)自身的數(shù)據(jù)分塊/卷及散列來保證，另一方面也可

采用基于密鑰的數(shù)據(jù)加解密技術(shù)，通過專用硬件設(shè)備實(shí)現(xiàn)敏感數(shù)據(jù)加密存儲。

而為了實(shí)現(xiàn)數(shù)據(jù)存儲的高可靠性，存儲系統(tǒng)應(yīng)通過存儲前的一致性檢查、數(shù)據(jù)

分片冗余、自動快照、多副本備份與恢復(fù)等技術(shù)手段，為不同級別數(shù)據(jù)設(shè)置不

同數(shù)據(jù)可靠性策略，確保數(shù)據(jù)的完整性、一致性、準(zhǔn)確性和持久性。

?數(shù)據(jù)庫安全

數(shù)據(jù)庫作為承載關(guān)鍵生產(chǎn)經(jīng)營數(shù)據(jù)的主要載體，需要建立完整的數(shù)據(jù)庫安

全防護(hù)能力，涵蓋數(shù)據(jù)庫上線、使用、運(yùn)維、遷移全過程：數(shù)據(jù)庫上線前通過

安全基線進(jìn)行自動化的安全配置檢查，確保數(shù)據(jù)庫不帶安全隱患；使用過程中，

通過對數(shù)據(jù)庫訪問和操作行為進(jìn)行全面精確的審計(jì)和智能預(yù)警，防止核心數(shù)據(jù)

的泄露與破壞，確保數(shù)據(jù)庫訪問關(guān)系、數(shù)據(jù)庫攻擊威脅清晰可視；在運(yùn)維和遷

移過程中，采取針對性的技術(shù)和管理措施，建立標(biāo)準(zhǔn)化的操作流程，確保數(shù)據(jù)

庫運(yùn)維和遷移安全。

2.4.4數(shù)據(jù)服務(wù)安全

站在數(shù)據(jù)流通的角度，新型數(shù)據(jù)中心業(yè)務(wù)的本質(zhì)就是通過數(shù)據(jù)傳輸和共享

向用戶提供數(shù)據(jù)的服務(wù)。在技術(shù)方面，數(shù)據(jù)傳輸和共享應(yīng)該通過統(tǒng)一的身份管

理、權(quán)限管理和認(rèn)證管理確保數(shù)據(jù)服務(wù)對象的合法性；通過VPN、應(yīng)用層TLS

與證書管理等通道加密技術(shù)確保數(shù)據(jù)的傳輸安全，防止數(shù)據(jù)監(jiān)聽、竊取、偽造

和重放等數(shù)據(jù)傳輸風(fēng)險(xiǎn)，從而保證數(shù)據(jù)服務(wù)的安全性。同時，數(shù)據(jù)的傳輸和共

享還應(yīng)防止敏感數(shù)據(jù)泄漏，通過在數(shù)據(jù)傳輸邊界部署敏感數(shù)據(jù)識別設(shè)備，通過

語義識別、機(jī)器建模與匹配等技術(shù)實(shí)現(xiàn)對敏感數(shù)據(jù)的監(jiān)測和告警。

對于因業(yè)務(wù)開展需要涉及出境服務(wù)的數(shù)據(jù)，應(yīng)按照《數(shù)據(jù)出境安全評估辦

法》進(jìn)行數(shù)據(jù)出境的風(fēng)險(xiǎn)自評估、申報(bào)和監(jiān)測，保護(hù)國家信息安全。

13

2.5系統(tǒng)建設(shè)管理平面

系統(tǒng)建設(shè)管理是新型數(shù)據(jù)中心的安全根基，通過將安全建設(shè)理念植入到數(shù)

據(jù)中心系統(tǒng)建設(shè)的規(guī)劃、設(shè)計(jì)、集成、評估、交付全流程，消減數(shù)據(jù)中心的薄

弱點(diǎn)，才能筑牢抵御日常威脅的基層防護(hù)籬笆。

一是加強(qiáng)頂層設(shè)計(jì)。統(tǒng)籌系統(tǒng)建設(shè)的安全目標(biāo)，自上而下逐層開展安全架

構(gòu)設(shè)計(jì)，同時做好系統(tǒng)擴(kuò)展和迭代的長遠(yuǎn)考慮，用系統(tǒng)化的理念構(gòu)筑韌性的安

全架構(gòu)。對于系統(tǒng)集成，應(yīng)保障安全建設(shè)在整個系統(tǒng)建設(shè)中的投資占比，并對

安全設(shè)備和技術(shù)方案進(jìn)行統(tǒng)一規(guī)劃，避免安全設(shè)備五花八門、各自為戰(zhàn)，冗余

重疊。

二是遵循隔離原則。數(shù)據(jù)中心系統(tǒng)規(guī)劃、設(shè)計(jì)、集成和評估均應(yīng)充分考慮

安全域隔離設(shè)置原則，縮小攻擊事件的影響范圍。通過模塊化設(shè)計(jì)，物理上劃

分接入DMZ域、核心生產(chǎn)域、管理維護(hù)域，加強(qiáng)區(qū)域邊界安全。新型數(shù)據(jù)中心

還應(yīng)劃分獨(dú)立的測試驗(yàn)證域，一方面對新安全設(shè)備部署、安全策略調(diào)整、補(bǔ)丁

升級等進(jìn)行嚴(yán)格的離線仿真測試；另一方面用于生產(chǎn)系統(tǒng)安全應(yīng)急演練和人員

安全技術(shù)培訓(xùn)。

三是充分安全評估。在系統(tǒng)集成完成交付前，應(yīng)進(jìn)行充分的安全評估。通

過對安全資產(chǎn)的主動探測識別，梳理各類IT軟硬件資產(chǎn)和數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)，評

估潛在的供應(yīng)鏈安全；評估安全威脅的潛在傳播途徑，保證最有效的防護(hù)措施

應(yīng)用到可能被攻擊的關(guān)鍵線路上；評估安全區(qū)域的隔離效果及安全事件發(fā)生的

應(yīng)急預(yù)案，杜絕安全事件觸發(fā)系統(tǒng)癱瘓等重大隱患。

圖4新型數(shù)據(jù)中心系統(tǒng)建設(shè)管理流程安全框架

14

2.6核心業(yè)務(wù)管理平面

業(yè)務(wù)的安全管理是新型數(shù)據(jù)中心安全的核心。具體來說需要分為業(yè)務(wù)安全

設(shè)計(jì)和業(yè)務(wù)生命周期安全管理兩部分考慮。

?業(yè)務(wù)安全設(shè)計(jì)

在業(yè)務(wù)規(guī)劃設(shè)計(jì)時，需要從業(yè)務(wù)和威脅兩個視角來分解安全設(shè)計(jì)目標(biāo)。如

下圖所示，從業(yè)務(wù)視角不僅要遵從網(wǎng)絡(luò)安全法等國家相關(guān)標(biāo)準(zhǔn)，還應(yīng)考慮運(yùn)營

商、政務(wù)、金融、醫(yī)療、視頻、電商等不同行業(yè)的業(yè)務(wù)特點(diǎn)，將具體行業(yè)業(yè)務(wù)

作為安全設(shè)計(jì)的輸入，合理制定安全目標(biāo)；再通過業(yè)務(wù)流識別關(guān)鍵價值資產(chǎn)，

建立風(fēng)險(xiǎn)假設(shè)。而從威脅視角出發(fā)，應(yīng)從業(yè)務(wù)信息流分解目標(biāo)網(wǎng)規(guī)劃，通過數(shù)

據(jù)流分析風(fēng)險(xiǎn)暴露面和攻擊路徑，形成脆弱性評估結(jié)論，用于指導(dǎo)核心業(yè)務(wù)安

全解決方案建設(shè)和管理。

圖5新型數(shù)據(jù)中心核心業(yè)務(wù)安全設(shè)計(jì)

?業(yè)務(wù)生命周期安全管理

隨著以微服務(wù)、DevOps、持續(xù)交付為顯著特征的云原生應(yīng)用的發(fā)展，新型

數(shù)據(jù)中心業(yè)務(wù)的安全管理要求從原來以運(yùn)行時防護(hù)為重心進(jìn)一步前置，需要安

全賦能到業(yè)務(wù)的需求、設(shè)計(jì)、開發(fā)、測試、交付等生命周期的各個環(huán)節(jié)。

15

圖6新型數(shù)據(jù)中心業(yè)務(wù)生命周期安全管理

如上圖所示。在需求階段，需要對業(yè)務(wù)開發(fā)模式及安全現(xiàn)狀進(jìn)行充分調(diào)研，

評估最新安全監(jiān)管政策和業(yè)務(wù)場景的安全特性，明確業(yè)務(wù)的安全需求。在設(shè)計(jì)

階段，需要進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)分析，從業(yè)務(wù)框架、業(yè)務(wù)流程和測試驗(yàn)證維度進(jìn)

行詳細(xì)業(yè)務(wù)安全設(shè)計(jì)。在開發(fā)階段，需要業(yè)務(wù)開發(fā)者將增強(qiáng)抵抗力的安全理念

應(yīng)用于代碼開發(fā)階段，通過部署開發(fā)安全工具，將各種安全能力與DevOps流程

結(jié)合，高效準(zhǔn)確地識別業(yè)務(wù)開發(fā)中的安全缺陷及漏洞，實(shí)現(xiàn)安全防護(hù)“左移”。

在測試階段，需要制定嚴(yán)格的黑白盒測試方案，嘗試發(fā)掘業(yè)務(wù)否存在交易數(shù)據(jù)

篡改、接口未授權(quán)訪問、關(guān)鍵數(shù)據(jù)明文傳輸?shù)劝踩O(shè)計(jì)缺陷。在交付應(yīng)用階段，

應(yīng)結(jié)合業(yè)務(wù)開放的端口和屬性，對所在的硬件服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)

用中間件等，通過補(bǔ)丁升級、強(qiáng)化帳號安全、優(yōu)化訪問策略等方式進(jìn)行安全加

固和安全配置，提升業(yè)務(wù)安全防范水平。

2.7安全運(yùn)營管理平面

安全運(yùn)營管理是新型數(shù)據(jù)中心感知安全威脅與響應(yīng)處置事件的大腦，在新

型數(shù)據(jù)中心安全中起決定性作用。安全運(yùn)營管理相關(guān)技術(shù)也是近年安全領(lǐng)域最

活躍的技術(shù)，諸如態(tài)勢感知、UEBA、威脅情報(bào)、XDR、SOAR、安全知識圖譜、蜜

罐等技術(shù)層出不窮。新型數(shù)據(jù)中心需要建設(shè)統(tǒng)一的安全運(yùn)營中心，提高安全事

16

件的前瞻性預(yù)測能力，開展常態(tài)化安全監(jiān)測、威脅情報(bào)分析，對安全事件實(shí)現(xiàn)

自動響應(yīng)及快速處置，保障新型數(shù)據(jù)中心的運(yùn)營安全。

在運(yùn)營管理制度上，新型數(shù)據(jù)中心一方面應(yīng)以安全合規(guī)為驅(qū)動，主動落實(shí)

國家及行業(yè)相關(guān)安全政策法規(guī)，響應(yīng)安全等級評估及等保評測；另一方面應(yīng)以

業(yè)務(wù)目標(biāo)為驅(qū)動，匹配業(yè)務(wù)的安全屬性，制定針對性的安全運(yùn)營管理策略。

在安全運(yùn)營技術(shù)上，新型數(shù)據(jù)中心應(yīng)以安全事件為驅(qū)動，圍繞安全運(yùn)營中

心，構(gòu)建監(jiān)控檢測、威脅情報(bào)、響應(yīng)處置、能力沉淀的有機(jī)銜接和閉環(huán)體系，

支撐平戰(zhàn)一體的安全態(tài)勢研判及應(yīng)急指揮。而安全運(yùn)營中心應(yīng)以泛在感知、智

能分析、主動防御、自主學(xué)習(xí)為目標(biāo)向著安全運(yùn)營大腦持續(xù)演進(jìn)。

?監(jiān)控檢測：通過規(guī)模部署全流量安全監(jiān)測探針等，實(shí)現(xiàn)對各類風(fēng)險(xiǎn)流量、

可疑報(bào)文和安全漏洞的7x24不間斷監(jiān)測，并及時上報(bào)。

?威脅情報(bào)：基于外部情報(bào)設(shè)立動態(tài)的威脅情報(bào)數(shù)據(jù)庫，并利用人工智能

與大數(shù)據(jù)技術(shù)建立威脅模型，對監(jiān)測到的可疑行為和漏洞開展自動化、

智能化的安全運(yùn)營分析和預(yù)警。

?響應(yīng)處置：將發(fā)現(xiàn)的安全威脅結(jié)合安全數(shù)據(jù)分類分級進(jìn)行歸一化關(guān)聯(lián)處

理，實(shí)現(xiàn)各類告警的分級分類上報(bào)及安全態(tài)勢可視，并聯(lián)動各層級安全

防護(hù)能力協(xié)同防御。

?能力沉淀：打造專業(yè)的數(shù)據(jù)中心安全運(yùn)營團(tuán)隊(duì)，分層分級、專職專責(zé)，

做好基于事件響應(yīng)追蹤、威脅情報(bào)和處置措施的分析學(xué)習(xí)，依托智能化

安全運(yùn)營工具實(shí)現(xiàn)安全策略的動態(tài)更新和編排，從被動防御向主動威脅

狩獵進(jìn)發(fā)。

17

圖7新型數(shù)據(jù)中心安全運(yùn)營管理技術(shù)框架

三、新型數(shù)據(jù)中心安全等級評估

3.1安全等級評估的必要性和意義

國家政策和重大網(wǎng)絡(luò)安全事件是數(shù)據(jù)中心的安全建設(shè)的主要驅(qū)動因素。隨

著國內(nèi)外安全形勢的變化，新型數(shù)據(jù)中心的高安全標(biāo)準(zhǔn)將要求我們更加注重實(shí)

戰(zhàn)效力，注重安全與系統(tǒng)建設(shè)同步、與業(yè)務(wù)場景深度融合的“一體化”安全發(fā)

展。

我國數(shù)據(jù)中心安全技術(shù)迭代迅速，圍繞“四層三面”的安全技術(shù)體系，所

涉及的數(shù)據(jù)中心安全產(chǎn)品和技術(shù)繁多，如圖8。但當(dāng)前大多數(shù)的數(shù)據(jù)中心安全

建設(shè)缺乏統(tǒng)一規(guī)劃和標(biāo)準(zhǔn)，各數(shù)據(jù)中心建設(shè)者、運(yùn)營商部署的安全技術(shù)能力之

間差異較大、應(yīng)用不一，這種相對粗放的建設(shè)模式不但導(dǎo)致了數(shù)據(jù)中心安全產(chǎn)

品“煙囪式”孤島發(fā)展，而且也極易帶來整體安全技術(shù)防御體系的疏漏。

18

圖8數(shù)據(jù)中心現(xiàn)有安全產(chǎn)品圖譜

同時，在具體安全產(chǎn)品和技術(shù)能力的評測方面，目前業(yè)界普遍采用的還是

基于商用測試儀表或知名第三方工具的靜態(tài)測試方法，大多數(shù)只能針對已知攻

擊報(bào)文或威脅特征的防御效果進(jìn)行簡單的驗(yàn)證和識別。傳統(tǒng)的安全測試方法與

真實(shí)的安全攻擊手法、事件場景差距較大，過于依賴特征辨識，缺乏動態(tài)交互

式的多階段攻擊模擬，很難滿足后續(xù)新型數(shù)據(jù)中心的安全產(chǎn)品和技術(shù)能力評測

工作需要。

因此，推動建立我國新型數(shù)據(jù)中心的安全等級評估標(biāo)準(zhǔn)和機(jī)制，為數(shù)據(jù)中

心的安全建設(shè)和技術(shù)能力提供指導(dǎo)標(biāo)準(zhǔn)和評估、測評方法，勢在必行：

一是安全等級評估將評測數(shù)據(jù)中心安全產(chǎn)品和技術(shù)的優(yōu)劣，推動數(shù)據(jù)中心

安全技術(shù)能力的整合優(yōu)化及聯(lián)動協(xié)同，切實(shí)提高數(shù)據(jù)中心的安全建設(shè)水平和效

率。

二是安全等級評估將進(jìn)一步引導(dǎo)、健全我國數(shù)據(jù)中心的安全能力和技術(shù)發(fā)

展，總結(jié)數(shù)據(jù)中心安全治理優(yōu)秀經(jīng)驗(yàn)，提升數(shù)據(jù)中心安全事件應(yīng)急處置水平與

防護(hù)韌性。

3.2安全等級評估思路

19

基于新型數(shù)據(jù)中心高安全技術(shù)體系架構(gòu)，圍繞安全防范管理三大平面“系

統(tǒng)建設(shè)”、“核心業(yè)務(wù)”、“安全運(yùn)營”，根據(jù)新型數(shù)據(jù)中心的安全水平成熟

度，可劃分為四個等級：L1（靜態(tài)）、L2（動態(tài)）、L3（自動）、L4（意圖），

見圖9。

圖9新型數(shù)據(jù)中心安全等級成熟度模型

?L1（靜態(tài)）：通過離散的，一次性的技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)連接不中斷，

數(shù)據(jù)傳輸不泄露，確保網(wǎng)絡(luò)實(shí)現(xiàn)最基本的可達(dá)能力和數(shù)據(jù)保護(hù)能力。

?L2（動態(tài)）：通過持續(xù)的，隨業(yè)務(wù)環(huán)境改變的身份認(rèn)證，環(huán)境感知，行

為分析，實(shí)現(xiàn)接入身份安全，訪問行為可控，應(yīng)對身份和行為的不確定

風(fēng)險(xiǎn)。

?L3（自動）：面對惡意和非惡意的行為或攻擊，網(wǎng)絡(luò)可以自動感知、自

動分析、自動溯源并聯(lián)動處置，實(shí)現(xiàn)風(fēng)險(xiǎn)自處置、業(yè)務(wù)自恢復(fù)，應(yīng)對異

常情況下業(yè)務(wù)保障的不確定性風(fēng)險(xiǎn)。

?L4（意圖）：基于業(yè)務(wù)意圖，網(wǎng)絡(luò)通過對已知/未知風(fēng)險(xiǎn)進(jìn)行自主學(xué)習(xí)，

持續(xù)進(jìn)化，并進(jìn)行智能分析和決策，選擇并部署最佳防護(hù)方案，最大程

度消除潛在風(fēng)險(xiǎn)，實(shí)現(xiàn)自主防御，自主進(jìn)化的確定性新型數(shù)據(jù)中心網(wǎng)絡(luò)。

20

新型數(shù)據(jù)中心安全技術(shù)體系中的系統(tǒng)建設(shè)、核心業(yè)務(wù)及安全運(yùn)營三平面貫

穿了全部安全技術(shù)能力，這不僅為新型數(shù)據(jù)中心高安全能力提供了管理視角，

同時安全等級評估的推進(jìn)也可基于此三方面開展：

?系統(tǒng)建設(shè)管理安全評估：深入探究數(shù)據(jù)中心系統(tǒng)建設(shè)的安全設(shè)計(jì)，從頂

層規(guī)劃設(shè)計(jì)的思路、安全域劃分的邏輯、安全產(chǎn)品部署的層級和聯(lián)動、

系統(tǒng)交付前的安全評估結(jié)果等多維度考察安全建設(shè)的合理性、前瞻性。

針對各層級安全產(chǎn)品，開展安全技術(shù)能力測評，評估防護(hù)效果和性能。

?核心業(yè)務(wù)安全能力評估：評估數(shù)據(jù)中心核心業(yè)務(wù)需求設(shè)計(jì)、開發(fā)測試、

交付運(yùn)行全流程的引入的安全管理制度和技術(shù)手段，驗(yàn)證業(yè)務(wù)安全開展

的合規(guī)性、制度的完善性及有效性。

?安全運(yùn)營能力：通過定期組織開展基于ATT&CK等動態(tài)模型的安全攻擊

模擬和事件演練，檢測數(shù)據(jù)中心整體防御能力和安全運(yùn)營效果，確保新

型數(shù)據(jù)中心安全達(dá)到可控可視的基本能力，并促進(jìn)向風(fēng)險(xiǎn)感知、自主決

策的高等級安全運(yùn)營發(fā)展。

四、展望

當(dāng)前，以算力為核心生產(chǎn)力的數(shù)字經(jīng)濟(jì)時代正加速到來。新一輪新型數(shù)據(jù)

中心基礎(chǔ)設(shè)施建設(shè)正在全國各級樞紐節(jié)點(diǎn)全面推進(jìn)，原有“老舊小散”的傳統(tǒng)

數(shù)據(jù)中心加快改造。作為各個行業(yè)信息系統(tǒng)運(yùn)行的物理載體，數(shù)據(jù)中心安全建

設(shè)和技術(shù)發(fā)展對其實(shí)現(xiàn)安全可靠的行業(yè)支撐乃至信息通信產(chǎn)業(yè)的可持續(xù)發(fā)展至

關(guān)重要。

為切實(shí)貫徹落實(shí)國家戰(zhàn)略部署，統(tǒng)籌引導(dǎo)新型數(shù)據(jù)中心的高安全建設(shè)，推

動實(shí)現(xiàn)安全內(nèi)生、安全可視、融合聯(lián)動、綠色高效的總體安全目標(biāo)，助力打造

新型數(shù)據(jù)中心高質(zhì)量發(fā)展新格局，我們提出以下倡議：

21

一是共同加強(qiáng)數(shù)據(jù)中心的安全建設(shè)，推動數(shù)據(jù)中心相關(guān)安全技術(shù)發(fā)展，促

進(jìn)全國數(shù)據(jù)中心安全的標(biāo)準(zhǔn)化和能力協(xié)同。推動數(shù)據(jù)中心安全團(tuán)隊(duì)技術(shù)交流和

知識共享，共建互信互融、合作共贏、責(zé)任共擔(dān)的數(shù)據(jù)中心安全技術(shù)生態(tài)。

二是共同推進(jìn)數(shù)據(jù)中心安全等級評估，聯(lián)合產(chǎn)業(yè)上下游重點(diǎn)企業(yè)共同研究

制定面向新型數(shù)據(jù)中心的安全等級評估標(biāo)準(zhǔn)規(guī)范，建立健全數(shù)據(jù)中心安全等級

評估標(biāo)準(zhǔn)和評測體系，通過評優(yōu)評級方式引導(dǎo)新型數(shù)據(jù)中心的高安全建設(shè)和運(yùn)

營。

三是共同構(gòu)建專業(yè)權(quán)威、動態(tài)交互的安全測試平臺及測試能力，對數(shù)據(jù)中

心安全產(chǎn)品和技術(shù)能力進(jìn)行多維度“比武”評測，為數(shù)據(jù)中心安全建設(shè)提供技

術(shù)支撐。

22

23

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

目錄

版權(quán)聲明............................................................I

編制說明...........................................................II

前言............................................................III

一、新型數(shù)據(jù)中心安全發(fā)展的必要性及目標(biāo).............................1

1.1背景.........................................................1

1.2新型數(shù)據(jù)中心面臨的安全威脅和挑戰(zhàn).............................1

1.3新型數(shù)據(jù)中心高安全總體目標(biāo)...................................2

二、新型數(shù)據(jù)中心高安全技術(shù)體系.....................................3

2.1基礎(chǔ)設(shè)施安全層...............................................4

2.1.1物理環(huán)境安全...........................................5

2.1.2設(shè)備自身安全...........................................5

2.2算網(wǎng)一體安全層...............................................5

2.2.1網(wǎng)絡(luò)安全...............................................5

2.2.2算力安全...............................................7

2.3應(yīng)用安全層...................................................9

2.3.1WEB應(yīng)用安全...........................................9

2.3.2API應(yīng)用安全..........................................10

2.4數(shù)據(jù)安全層..................................................10

2.4.1數(shù)據(jù)采集安全..........................................11

2.4.2數(shù)據(jù)處理安全..........................................12

2.4.3數(shù)據(jù)存儲安全..........................................12

2.4.4數(shù)據(jù)服務(wù)安全..........................................13

IV

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

2.5系統(tǒng)建設(shè)管理平面............................................14

2.6核心業(yè)務(wù)管理平面............................................15

2.7安全運(yùn)營管理平面............................................16

三、新型數(shù)據(jù)中心安全等級評估......................................18

3.1安全等級評估的必要性和意義..................................18

3.2安全等級評估思路............................................19

四、展望..........................................................21

V

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

編制說明

本報(bào)告由ODCC安全特設(shè)組牽頭撰寫，在撰寫過程中得到了多家單位的大

力支持，在此特別感謝以下參編單位和參編人員：

參編單位（排名不分先后）：

中國移動通信集團(tuán)有限公司、中國信息通信研究院（云大所數(shù)據(jù)中心團(tuán)

隊(duì)）、中國電信股份有限公司研究院、華為技術(shù)有限公司、新華三信息安全技

術(shù)有限公司、杭州迪普科技股份有限公司

參編人員（排名不分先后）：

楊?？?、鄒珂龍、杜海濤、程宇、尹偉、韓敏玲、謝麗娜、江暢、王素彬、

王雪榮、嚴(yán)菲、初利寶、王健、孫健

項(xiàng)目經(jīng)理：鄒珂龍zoukelong@

II

新型數(shù)據(jù)中心高安全技術(shù)體系白皮書ODCC-2022-08003

告

前言

隨著5G、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、人工智能等業(yè)務(wù)的蓬勃發(fā)展，傳統(tǒng)數(shù)據(jù)中

心正在向著以“高技術(shù)、高算力、高能效、高安全”為特征的新型數(shù)據(jù)中心發(fā)

展。新型數(shù)據(jù)中心作為關(guān)鍵信息基礎(chǔ)設(shè)施，是網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智慧社會

建設(shè)的重要基礎(chǔ)，也是支撐我國數(shù)字經(jīng)濟(jì)發(fā)展的底座。

本白皮書以數(shù)據(jù)中心行業(yè)發(fā)展政策為指導(dǎo)，立足當(dāng)前建設(shè)新型數(shù)據(jù)中心面

臨的安全威脅和攻擊變化，創(chuàng)新性提出新型數(shù)據(jù)中心高安全的四大目標(biāo)特征及

四層三面的技術(shù)體系。本白皮書探討了基礎(chǔ)設(shè)施、算網(wǎng)一體、應(yīng)用及數(shù)據(jù)等方

面的安全技術(shù)要求，從系統(tǒng)建設(shè)、核心業(yè)務(wù)和安全運(yùn)營三個維度對新型數(shù)據(jù)中

心安全管理新內(nèi)涵進(jìn)行了系統(tǒng)性的總結(jié)，梳理了新型數(shù)據(jù)中心安全產(chǎn)品和技術(shù)

圖譜，最后提出了新型數(shù)據(jù)中心安全等級評估的必要性和工作方向。

由于水平有限，白皮書必然存在不足或錯誤之處，歡迎業(yè)界各位批評指正，

大家共同開展相關(guān)領(lǐng)域的探討。

本白皮書的版權(quán)歸ODCC所有，未經(jīng)授權(quán)，任何單位或個人不得復(fù)制或拷

貝本白皮書之部分或全部內(nèi)容。

III

一、新型數(shù)據(jù)中心安全發(fā)展的必要性及目標(biāo)

1.1背景

作為信息社會的數(shù)字底座,數(shù)據(jù)中心已經(jīng)成為推動社會發(fā)展的戰(zhàn)略性基礎(chǔ)設(shè)

施，是助推數(shù)字經(jīng)濟(jì)發(fā)展的重要力量。早在2017年，我國就提出“要構(gòu)建以數(shù)

據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)，要切實(shí)保障國家數(shù)據(jù)安全，要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)

施安全保護(hù)，強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能

力?！睌?shù)據(jù)中心作為數(shù)字經(jīng)濟(jì)及其數(shù)據(jù)安全的主戰(zhàn)場，其安全問題近年來愈發(fā)

得到相關(guān)政府部門、運(yùn)營商和企業(yè)的高度重視。2021年7月，工信部印發(fā)《新

型數(shù)據(jù)中心發(fā)展三年行動計(jì)劃（2021-2023年）》，指出新型數(shù)據(jù)中心具有高

技術(shù)、高算力、高能效、高安全的特征。新型數(shù)據(jù)中心在構(gòu)建高效算力服務(wù)的

同時，“高安全”作為其建設(shè)和發(fā)展的基本特征和要求也被正式提出。2021年

12月，國務(wù)院印發(fā)“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃通知，其中明確強(qiáng)調(diào)要著力強(qiáng)

化數(shù)字經(jīng)濟(jì)安全體系，要求增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力，提升數(shù)據(jù)安全保障水平，

切實(shí)有效防范各類風(fēng)險(xiǎn)。

1.2新型數(shù)據(jù)中心面臨的安全威脅和挑戰(zhàn)

相比于傳統(tǒng)數(shù)據(jù)中心，新型數(shù)據(jù)中心在業(yè)務(wù)云化與數(shù)字化轉(zhuǎn)型的浪潮中，

主要面臨三大安全威脅和挑戰(zhàn)：

?安全威脅面在不斷增加和擴(kuò)大。隨著數(shù)據(jù)中心IT架構(gòu)不斷變革，多云、

混合云部署成為常態(tài)，算力設(shè)施資源從傳統(tǒng)物理設(shè)備向虛擬化、容器化

演進(jìn)，各類網(wǎng)絡(luò)及業(yè)務(wù)訪問更加多元化；數(shù)網(wǎng)協(xié)同、數(shù)云協(xié)同、云邊協(xié)

同帶來更多開放性，傳統(tǒng)安全邊界在逐步消失。

?網(wǎng)絡(luò)攻擊手段和技術(shù)不斷升級。地緣政治摩擦、全球貿(mào)易爭端以及日漸

激烈的市場環(huán)境，攻擊手段和技術(shù)越來專業(yè)化和“國家化”，迫切需要

數(shù)據(jù)中心建設(shè)發(fā)展成為可信、安全、合規(guī)的運(yùn)營基石，以應(yīng)對當(dāng)下如供

應(yīng)鏈攻擊、勒索病毒等日益增多的新威脅事件以及未來的不確定性挑戰(zhàn)。

1

?安全防護(hù)產(chǎn)品和技術(shù)能力參差不齊。近年來安全技術(shù)和產(chǎn)品迭代迅速，

市場上各類安全產(chǎn)品日益增多，但這些產(chǎn)品彼此孤立、松散組合，使得

新型數(shù)據(jù)中心的安全建設(shè)愈加復(fù)雜，并帶來了諸多安全隱患，比如操作

復(fù)雜性、可視化孤島、安全響應(yīng)復(fù)雜性、防御盲點(diǎn)等。

面對當(dāng)下日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，缺乏頂層設(shè)計(jì)、查缺補(bǔ)漏的安全

架構(gòu)已經(jīng)不能滿足新型數(shù)據(jù)中心的安全建設(shè)需求，亟需建立一體化數(shù)據(jù)中

心安全技術(shù)體系，全方位賦能新型數(shù)據(jù)中心建設(shè)發(fā)展，實(shí)現(xiàn)新型數(shù)據(jù)中心

可視可防可控的立體化安全。

1.3新型數(shù)據(jù)中心高安全總體目標(biāo)

隨著新的安全形勢發(fā)展和網(wǎng)絡(luò)安全相關(guān)法規(guī)條例的實(shí)施，新型數(shù)據(jù)中心迎

來新的安全理念和技術(shù)要求。為了實(shí)現(xiàn)快速及時的算力安全服務(wù)、網(wǎng)絡(luò)安全防

御、數(shù)據(jù)安全存儲和運(yùn)營安全處置，新型數(shù)據(jù)中心高安全技術(shù)體系必須落實(shí)不

同維度、不同側(cè)重的各類監(jiān)管合規(guī)要求，覆蓋日常運(yùn)營、安全評估、應(yīng)急和重

保等各類運(yùn)營場景，有效識別和抵御業(yè)務(wù)訪問、運(yùn)維管理、開發(fā)測試、數(shù)據(jù)服

務(wù)等數(shù)據(jù)中心各環(huán)節(jié)面臨的外部威脅和內(nèi)部風(fēng)險(xiǎn)。為此，新型數(shù)據(jù)中心的安全

技術(shù)體系應(yīng)達(dá)到以下四個目標(biāo)：

?安全內(nèi)生

隨著開源代碼等的廣泛應(yīng)用和數(shù)據(jù)中心內(nèi)各類系統(tǒng)的日益復(fù)雜，數(shù)據(jù)中心

內(nèi)各類設(shè)備自身漏洞常常成為遭受攻擊的突破點(diǎn)和重災(zāi)區(qū)。尤其是IT硬件設(shè)備

和軟件系統(tǒng)，自身的安全問題層出不窮，提升數(shù)據(jù)中心各類基礎(chǔ)設(shè)施自身的安

全性不可或缺且迫在眉睫。通過不斷加強(qiáng)設(shè)備自身健壯性和“內(nèi)置式”主動防

御能力，構(gòu)建主動免疫的安全體系新防線。

?安全可視

2

有力的安全防御手段依賴于對業(yè)務(wù)正常行為和異常事件的準(zhǔn)確識別和展示，

及時發(fā)現(xiàn)調(diào)查取證并最終確認(rèn)安全威脅，才能在確保數(shù)據(jù)中心業(yè)務(wù)不受影響的

情況下做到“不漏檢、不誤殺”。業(yè)務(wù)正常行為的準(zhǔn)確識別，前提是必須要對

數(shù)據(jù)中心資產(chǎn)、網(wǎng)絡(luò)拓?fù)浼案黝惿a(chǎn)數(shù)據(jù)實(shí)現(xiàn)識別認(rèn)知能力，做到資產(chǎn)、網(wǎng)絡(luò)、

數(shù)據(jù)的可視；而只有具有對數(shù)據(jù)中心安全信息統(tǒng)一全局的監(jiān)測視野，才能做到

“一點(diǎn)及時發(fā)現(xiàn)，全網(wǎng)協(xié)同防御”的可視化目標(biāo)。

?融合聯(lián)動

當(dāng)下新型網(wǎng)絡(luò)攻擊經(jīng)?；旌鲜褂枚喾N手段和戰(zhàn)術(shù)，逐步滲透并侵入數(shù)據(jù)中

心核心資產(chǎn)，這使得傳統(tǒng)的靜態(tài)的攻擊威脅識別難以形成有效的防御。因此需

要基于人工智能等新技術(shù)，站在數(shù)據(jù)中心全局安全的角度對主機(jī)端點(diǎn)事件、網(wǎng)

絡(luò)威脅事件、歷史日志信息等多點(diǎn)異常融合分析，并實(shí)現(xiàn)針對安全事件的邊界

節(jié)點(diǎn)就近實(shí)時聯(lián)動處置，把安全威脅扼殺在最小影響范圍內(nèi)。

?綠色高效

綠色低碳是新型數(shù)據(jù)中心的顯著特征。近年來隨著數(shù)據(jù)中心安全新技術(shù)的

涌現(xiàn)，數(shù)據(jù)中心內(nèi)部各類安全產(chǎn)品逐年增多，重復(fù)臃腫的安全產(chǎn)品引入和建設(shè)

不僅違背了新型數(shù)據(jù)中心綠色發(fā)展理念，而且加大了數(shù)據(jù)中心運(yùn)維管理復(fù)雜度，

同時也顯著增加了內(nèi)外部業(yè)務(wù)時延。在算力時代全國數(shù)據(jù)中心集群統(tǒng)一高效調(diào)

度的大背景下，新型數(shù)據(jù)中心的安全建設(shè)必將向著去冗余、重編配的綠色高效

方向發(fā)展。

二、新型數(shù)據(jù)中心高安全技術(shù)體系

為應(yīng)對內(nèi)外部日益加劇的安全風(fēng)險(xiǎn)和挑戰(zhàn)，強(qiáng)化以數(shù)據(jù)為核心要素的數(shù)據(jù)

中心安全建設(shè)，實(shí)現(xiàn)安全內(nèi)生、安全可視、融合聯(lián)動、綠色高效的總體目標(biāo)，

新型數(shù)據(jù)中心需要形成“四層三面”的高安全技術(shù)體系架構(gòu)。

3

圖1新型數(shù)據(jù)中心“四層三面”安全技術(shù)體系架構(gòu)

“四層”主建，從安全能力建設(shè)的視角，自下而上覆蓋數(shù)據(jù)中心內(nèi)安全防