新基建主题系列——互联网数据中心网络和数据安全合规性分析(下)
我们已在《新基建主题系列——互联网数据中心网络和数据安全合规性分析(上)》文章中从电信业务合规角度为数据中心企业梳理了在建设、运营数据中心过程中保障数据中心安全的相关要求,并将继续在本篇从网络安全保护角度为数据中心企业梳理相关要求。
数据中心网络运营者的安全保护义务
数据中心的运营者,符合《网络安全法》中“网络运营者”的定义。根据《网络安全法》第21条,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
并且,根据《国家网络安全检查操作指南》,“数据中心/云服务”属于“关键信息基础设施业务判定表”中所列举的“电信与互联网”行业的关键业务,按照确定关键信息基础设施步骤,数据中心的信息系统很可能被认定为“关键信息基础设施”。[1]因此,根据《网络安全法》第34条,数据中心的运营者作为关键信息基础设施的运营者(“CIIO”),还应当履行“对重要系统和数据库进行容灾备份”等安全保护义务。
同时,作为数据中心的运营者,还需要参照《数据中心设计规范》(GB50174—2017)、《计算机场地安全要求》(GB/T 9361-2011)、《云计算数据中心基本要求》(GB/T 34982-2017)等相关国家标准中的相关要求,确保数据中心的网络与数据安全。
1. 数据中心的网络运行安全
对于不同的互联网数据中心来说,其系统所需要安全保障的要求不同。在明确对数据中心系统的安全保障具体要求之前,首先需要介绍对于数据中心的分级。
依据《数据中心设计规范》(GB50174—2017),根据数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度,数据中心被划分为A级、B级、C级三个等级。A级的数据中心电子信息系统运行中断将造成重大的经济损失,或将造成公共场所秩序严重混乱;B级的数据中心电子信息系统运行中断将造成较大的经济损失,或将造成公共场所秩序混乱;不在A级、B级之列的数据中心定为C级。[2]
依据《计算机场地安全要求》(GB/T 9361-2011),根据计算机系统运行中断的影响程度,计算机场地的安全被分为A级、B级、C级三个等级。A级的标准为计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成严重损害,对计算机场地的安全有严格的要求,需要有完善的计算机场地安全措施;B级的标准为计算机系统运行中断后,会对国家安全、社会秩序、公共利益造成较大损害,对计算机场地的安全有较严格的要求,需要有较完善的计算机场地安全措施;C级的标准对计算机场地的安全有基本的要求,需要有基本的计算机场地安全措施。[3]
按照美国TIA 942标准与Uptime Institute的定义,依据数据中心基础设施的可用性(Availability)、稳定性(Stability)和安全性(Security),数据中心的等级由高到低分为四级,特点分别对应为“有容错能力”、“在线保护”、“有冗余”、“无冗余”。[4]
不论是我国的标准,还是国外的标准,对于不同等级的数据中心,不同等级的计算机系统,在系统安全保障方面的要求是存在差异的,一般来说,数据中心或其系统受影响后带来的后果越严重,安全保障的要求也越高。为确保数据中心的系统安全可靠,数据中心企业需要着眼于数据中心的设备部署的安全性、数据中心的网络系统的安全性、数据中心内的安全防范系统设置等方面。
(1) 数据中心的设备部署
数据中心设计时应当遵循设备部署的安全要求,数据中心运维时同样也需要确保使用设备或调整设备部署严格遵循安全方面的要求。根据《数据中心设计规范》(GB50174—2017),数据中心内的各类设备应根据工艺设计进行布置,应满足系统运行、运行管理、人员操作和安全、设备和物料运输、设备散热、安装和维护的要求。[5]《计算机场地安全要求》(GB/T 9361-2011)中有机房部署的相关安全要求,例如,在防水的安全性方面,A级机房、低压配电室、不间断电源室、蓄电池室区域设备上方不应穿过水管。A级、B级机房计算机电气设备和线路采用活动地板下布线时,线路不得紧贴地面敷设。[6]机房防水最主要的目的就在于防止发生漏电、断电等安全事故。即使是亚马逊的数据中心,也曾发生过断电事故,导致客户数据丢失。[7]为防止断电等安全事故发生,最基本的要求便是在数据中心的设备部署上严格遵循安全的标准和要求,避免设备部署上存在安全隐患。
(2) 数据中心的网络系统
对于数据中心网络系统的要求,既包括上述提到的《网络安全法》下对于网络运营者和CIIO的要求,也包括相关国家标准中关于网络安全等级保护的要求,及针对数据中心网络安全方面的要求。例如,根据《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)[8],按照第三级安全要求,在网络架构方面,应保证网络各个部分的带宽满足业务高峰期需要;应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。在边界防护方面,应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信。在入侵防范方面,应在关键网络节点处检测、防止或限制内外部的网络攻击行为;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。[9]《数据中心设计规范》(GB50174—2017)要求数据中心网络系统应根据用户需求和技术发展状况进行规划和设计。数据中心网络应包括互联网络、前端网络、后端网络和运管网络。前端网络可采用三层、二层和一层架构。A级数据中心的核心网络设备应采用容错系统,并应具有可扩展性,相互备用的核心网络设备宜布置在不同的物理隔间内。[10]
数据中心的网络系统所面临的攻击并非肉眼可见,但却时常发生。百度安全分析的数据显示,每天至少有4起100Gbps以上的峰值攻击,而超过10Gbps峰值攻击,日均可达52起。假设这些攻击发生在全国数据中心机房,超过一半的数据中心机房出口带宽都有被打超的风险。[11]按照上述关于网络系统安全保障的要求,部署安全防御的软硬件系统,是对频发的网络攻击最好的应对,也是数据中心企业必须时刻做到的安防义务。
(3) 数据中心的安防系统
为了保护数据中心内系统的安全,数据中心运营者还需要专门设置一些安全防范系统。例如,《数据中心设计规范》(GB50174—2017)中提到了视频安防监控系统、入侵报警系统和出入口控制系统等安防系统。[12]先进的安全防范系统,还需要由专业的工作人员科学使用,才能确保数据中心的安防工作行之有效。
2017年6月,新浪微博经历了“黑色一小时”,几乎全平台瘫痪,经查事故原因是外部机房整层掉电,对外披露的事故分析中提到管理可能存在漏洞,负责人员的值班状态有待确认。[13]可见,想要科学预防安全事故、及时处置安全事故,先进完备的安防系统与专业负责的安防人员缺一不可。
除了上述提到的各方面的安全保障,数据中心企业还需要从总体上规划设计,全面提高数据中心的容灾能力。如上所述,对重要系统和数据库进行容灾备份是CIIO应当履行的安全保护义务。具体如何进行容灾备份,数据中心企业可以遵循《信息系统灾难恢复规范》(GB/T 20988-2007)[14],并学习借鉴在容灾方面的实践经验。
例如,支付宝的数据中心就具备强大的容灾能力,阿里在总体规划上通过双活、热备份、冷备份等措施,提升了数据中心抵御攻击的能力(Resistance)和遭受攻击后恢复的能力(Resilience)。
2. 数据中心的数据安全
数据中心的核心功能在于存储大量数据,数据安全与数据合规二者密不可分。数据安全考虑的是数据的完整性、保密性与可用性。数据合规是从数据中心管理数据的场景出发,保证对数据的存储、访问、使用及传输等符合法律要求。
(1) 数据安全的技术性要求
数据中心企业存储的数据可能是企业自己的数据,也可能是为客户存储保管的数据。但无论是谁的数据,确保这些数据的安全是数据中心企业的本职工作。数据中心中存储的数据可能既包括个人信息,也包括企业数据、行业数据等。依据《网络安全法》第10条的规定,“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性”。
数据中心企业在数据存储方面需要符合国家标准中的相关要求。例如,根据《云计算数据中心基本要求》(GB/T 34982-2017),云计算数据中心的存储资源池,应能够实现数据的分层存储及数据的生命周期管理;应支持多种数据类型的数据存取;应具备冗余的数据存储能力,并能够实现存储资源的动态调整、数据高可用性、数据迁移、自动精简配置;应支持存储多路径技术;应提供完整性保障机制;应提供本地数据备份能力,宜提供异地数据灾备能力等。[15]
数据的完整性和可用性主要依靠技术措施来保障。例如,通过数据备份,可以减少数据中心发生事故后造成用户数据丢失,保证数据的完整性。又例如,通过数据的加密、解密技术以及数据传输技术,可以让客户随时安全地取用数据。
数据的保密性则需要依赖于先进的技术措施和科学的管理体系。为确保数据的保密性,需要保证数据中心的数据仅被有权限的主体访问和使用。而实践中数据非法访问甚至数据泄露的风险可能来自黑客,也可能来自“内鬼”。例如,美国国家安全局在犹他州的计算机系统曾经历大规模的网络攻击,每天遭受多达3亿次黑客攻击行为。[16]又例如,顺丰和华住等企业先后传出上亿条用户数据泄密的事件,可能均与内部员工泄密有关,兜售这些数据的高额售价是“内鬼”层出不穷的重要原因。[17]
为应对黑客等无差别的非法访问,数据中心企业可以采用恶意代码防范等方法来提高数据的保密性。为了解决无权、越权访问的问题,在数据中心的管理中需要对数据访问者、使用者的身份进行鉴别,比如采用两种或两种以上组合的鉴别技术实现用户身份鉴别。[18]同时,还需要明确内部管理、运维、操作人员各自的数据访问、使用权限,在人员变动、离岗时及时变更和取消权限。[19]
随着科技的发展,产生了越来越多兼具数据保护和物理安全防护功能的新设备,使安全防护的要求能通过简单易控设备实现。比如,一个IP端口的设备具备两种或多种功能,可以同时满足电子访问控制与环境监测的需求。[20]
(2) 数据安全的合规性要求
数据中心的数据管理最重要的是数据存储方面的管理。如本篇第2节第(1)项“数据安全的技术性要求”中所述,数据中心管理的数据可能是企业自己的数据,也可能有客户的数据。对于不同数据主体的数据,数据中心企业宜采取分类存储的方式,一方面避免不同主体的数据混同,另一方面避免在发生意外事件时全部数据全部灭失、泄露。存储多路径技术、数据备份等数据管理方面的技术要求在上述“数据安全的技术性要求”部分已经提及,这些措施同样是数据管理中所依仗的重要手段。
数据中心的运营过程还会涉及数据的跨境传输。例如,苹果在贵州的数据中心想要把收集的用户数据汇总到美国的苹果总部,数据就需要出境。如上所述,数据中心企业很可能会被认定为CIIO。根据《网络安全法》第37条,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等规定虽未正式施行,但其中关于重要数据类型的列举,安全评估的具体流程和要求的阐释等可作为重要参考。如果数据中心企业需要跨境传输的数据是来自能源、化工、国防、金融、交通等行业的重要数据,数据出境前必须进行安全评估。因此,数据中心企业的数据出境应当符合有关法律法规和规范要求,从而避免非法数据出境。
[注]
[1]《国家网络安全检查操作指南》,中央网络安全和信息化领导小组办公室、网络安全协调局于2016年6月发布实施,第3.2条,“确定关键信息基础设施步骤”。
[2]《数据中心设计规范》(GB50174—2017),3.1分级。
[3]《计算机场地安全要求》(GB/T 9361-2011),4安全分级。
[4] 参考51CTO博客,“浅谈数据中心分级”,https://blog.51cto.com/juispan/1947950 访问时间:2020年5月2日。
[5]《数据中心设计规范》(GB50174—2017),4.3设备布置。
[6]《计算机场地安全要求》(GB/T 9361-2011),10.1防水。
[7] IDC圈,“AWS 数据中心再出断电事故,丢失数据超过1TB”,http://news.idcquan.com/gjzx/169621.shtml 访问时间:2020年5月5日。
[8]《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019),中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会于2019年5月10日发布,2019年12月1日实施。
[9]《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019),7.1.2网络和通信安全。
[10]《数据中心设计规范》(GB50174—2017),10.1网络系统。
[11] 人民网,“IDC DDoS攻击报告:单个IP最多被攻击数千次”,http://it.people.com.cn/n1/2018/0322/c1009-29883721.html 访问时间:2020年5月5日。
[12]《数据中心设计规范》(GB50174—2017),11.3安全防范系统。
[13] IDC圈,“业内资深人士:新浪微博机房宕机 人为原因可能性最大”,http://www.idcquan.com/mp/2017/0619/119128.shtml 访问时间:2020年5月5日。
[14]《信息系统灾难恢复规范》(GB/T 20988-2007),国务院信息化工作办公室领导编制,2007年11月1日实施。
[15]《云计算数据中心基本要求》(GB/T 34982-2017),5.2.3存储资源池。
[16] IDC圈,“美国国家安全局数据中心遭受黑客大肆攻击”,http://news.idcquan.com/gjzx/84976.shtml 访问时间:2020年5月5日。
[17] IDC圈,“八成数据泄漏因为内鬼,优质信息售价惊人”,http://cloud.idcquan.com/yaq/151440.shtml 访问时间:2020年5月5日。
[18]《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019),7.1.4.1身份鉴别。
[19]《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019),7.2.2.7人员离岗。
[20] IDC圈,“应对欧盟GDPR法规 企业数据中心应该做好哪些准备?”,http://news.idcquan.com/gjzx/140986.shtml访问时间:2020年5月5日。
新基建主题系列阅读
点击下列文章标题可查看原文
1. 《新基建主题系列——关注特高压及新能源项目的用地法律风险》
2. 《新基建主题系列——IDC行业有关运营和架构的法律考量》
3. 《“新基建”风口下投资新能源汽车充电桩项目的法律问题》
4. 《新基建主题系列——智能家居出海的八个数据保护关键词》
5. 《“新基建”投资背景下PPP-ICT项目交易结构设计要点》
6. 《新基建主题系列——数字金融的应用、监管及合规思考》
7. 《新基建主题系列——人工智能之间达成“垄断协议”?算法合谋的反垄断法律风险分析》
8. 《新基建主题系列——人工智能技术开发中的知识产权法律风险》
9. 《新基建主题系列——大数据从何而来,涉足大数据业务需留意的网络爬虫技术合规风险》
10. 《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》
11. 《新基建主题系列——机器学习行业如何避免个人信息合规风险?》
12. 《新基建主题系列——IDC工程建设的“危”与“机”(上)》
13. 《新基建主题系列——IDC工程建设的“危”与“机”(中)》
14. 《新基建主题系列——IDC工程建设的“危”与“机”(下)》
15. 《新基建背景下的投资新贵(上):中国数据中心行业发展》
17. 《新基建背景下的投资新贵(下):数据中心基础设施准入》
18. 《新基建主题系列——金融机构建立数据中心的合规要点分析》
19. 《新基建主题系列——投资IDC项目的法律尽职调查要点(上)》
20. 《新基建主题系列——投资IDC项目的法律尽职调查要点(中)》
21. 《新基建主题系列——投资IDC项目的法律尽职调查要点(下)》
The End
作者简介
周洋 律师
上海办公室 合伙人
业务领域:收购兼并, 资本市场/证券, 合规/政府监管, 科技、电信与互联网
王佳一
上海办公室 公司部
作者往期文章推荐:
《新基建主题系列——互联网数据中心网络和数据安全合规性分析(上)》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。