简讯:保障物理安全是数据安全的基石

2022-08-17 19:34:04    来源:中国科学报 发布时间:2022/8/17 19:17:17
选择字号:
保障物理安全是数据安全的基石

 

近日,谷歌公司位于美国爱荷华州的一处数据中心遭遇电力事故。3名电工在数据中心大楼附近一个变电站工作时发生电弧闪光,引发爆炸并造成人员受伤。

数据中心作为信息产业的基础,在社会经济发展中的作用越来越重要。同时,数据中心设备多、耗电量大,且机房线缆布线复杂,容易出现火灾等各类事故。随着我国数字新基建升温和“东数西算”战略布局的实施,如何在数据中心建设运行中避免此类问题,如何妥善保护我们的数据安全?

安全问题屡发

对数据中心相关安全事故稍作梳理,我们会发现几乎每年都能看到数据中心失火的报道。

2021年欧洲云计算巨头OVH位于法国莱茵省首府斯特拉斯堡的数据中心发生严重火灾;同年,主机托管公司WebNX位于美国犹他州的奥格登数据中心着火导致该市的一些IT服务瘫痪;2020年8月,澳洲电信Telstra位于英国首都伦敦的托管数据中心由于UPS故障引起火灾并引起宕机;2018年8月亚马逊AWS东京数据中心发生火灾,大火燃烧了8个小时,导致五人死亡,五十人受伤。

就在不久前,谷歌托管其伦敦云区域之一的数据中心也遭遇“多个冗余冷却系统同时发生故障”。虽然谷歌公司没有透露故障具体原因,但表示将审查全球谷歌数据中心的冷却系统设备……

数据中心事故多集中在电器短路、负载过大、线缆设备老旧、环境恶劣、高温、多雷雨天气等方面。

谷歌位于爱荷华州的数据中心占地超过1万平方米,有超过7万台服务器。有媒体报道称,如果算上制冷、照明等配套设备的耗电,该数据中心1天的耗电量将达到惊人的180万千瓦。虽然数据中心在设计的时候,都会做容量规划,但随着服务器运行效率、外界环境温度变化、人们对数据服务的需求增加等条件改变,数据中心的能耗也越来越多,稍大的功率波动,就会导致变压器超负荷。

管理问题更为突出

“数据中心安全,既包括数据安全,也包括物理安全,很多时候事故都和管理规范有关。”桂林电子科技大学计算机与信息安全学院教授刘忆宁对《中国科学报》说,“从本质上说,水、火、高温、雷电等自然灾害和数据安全之间没有特别的关联,和对其他设施的危害是一样的。”

刘忆宁认为,这些灾害本身不会对数据造成损害,但自然灾害造成的电力中断、火灾、水淹等意外事故会给数据恢复带来麻烦。但这属于“数据业务的连续性与灾备方面的问题”,通常情况下,数据中心会想办法来保障连续供电并做好数据备份。

“数据中心管理、运维涉及成本、建设规范等方面。”刘忆宁补充说,“商场、建筑物工人施工操作不规范,电焊引起火灾的事故时有耳闻。同样,数据方面的很多事故也是因为没有按规范操作,或规范没被严格执行引起。”

物理安全是基础

“数据中心安全并非一个新话题。”中国科学技术大学网络空间安全学院教授、中国信息安全研究院原副院长左晓栋告诉《中国科学报》。

1993年,我国就发布了强制性国家标准GB 50174《电子计算机机房设计规范》。此后,该标准于2008年和2017年先后修订,最新版本为GB50174-2017《数据中心设计规范》。

“应该说,这些标准对数据中心的规范要求中,已经包含了安全方面要求,甚至在某种程度上,其主要要求都是从物理安全角度考虑的。”左晓栋说,“例如,标准中有‘数据中心选址’专题,涉及电力、通信、交通、水源、环境、节能等因素。”

近年来很多网络安全标准虽然并非专门针对物理安全,但都涉及数据中心的物理安全。例如,等级保护基础标准GB/T 22239《信息安全技术—网络安全等级保护基本要求》中,明确列出了“安全物理环境”,涉及到物理访问控制、防盗窃和防破坏、防雷击、防火、温湿度控制、电力供应等。

左晓栋曾作为第一执笔人,起草了《信息安全技术—云计算服务安全能力要求》。他介绍说,2019年7月,国家互联网信息办公室等发布了《云计算服务安全评估办法》,规定参照国家标准《信息安全技术—云计算服务安全能力要求》《信息安全技术—云计算服务安全指南》,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。

目前数据中心基本都采用云架构,所以《信息安全技术—云计算服务安全能力要求》是当前我国数据中心需要遵循的重要技术文件。考虑到数据安全的重要性与日俱增,该标准在当前修订过程中专门增加了“数据保护”安全能力要求,确保客户迁移数据过程中的业务连续性和数据完整性,且增加了云管平台、Web访问、API访问等方面的安全要求。

“随着大数据时代来临,人们对数据安全、云服务安全高度关注。这是好事,但有时候也会因此忽视了最基础的物理安全。事实上,物理安全永远是关键。”左晓栋补充说,“社会在不断发展,人们对物理安全的认识也需要不断深化。而且,数据中心安全不能简单让位于经济发展。”

左晓栋举例说,以前人们不会考虑无人机侵扰造成的威胁,但现在这类问题已经十分典型。此外,由于用地紧张,一些居于闹市区的数据中心无法严格做到与某些场所保持足够距离,这也影响到数据中心安全。“这次谷歌数据中心发生的电弧闪光事故就是一例,对此也应予以重视”。

 
版权声明:凡本网注明“来源:中国科学报、科学网、科学新闻杂志”的所有作品,网站转载,请在正文上方注明来源和作者,且不得对内容作实质性改动;微信公众号、头条号等新媒体平台,转载请联系授权。邮箱:shouquan@stimes.cn。
<script src="/html/js/share.js" type="text/javascript"></script>
 
 打印  发E-mail给: 
    
 

近日,谷歌公司位于美国爱荷华州的一处数据中心遭遇电力事故。3名电工在数据中心大楼附近一个变电站工作时发生电弧闪光,引发爆炸并造成人员受伤。


(资料图片)

数据中心作为信息产业的基础,在社会经济发展中的作用越来越重要。同时,数据中心设备多、耗电量大,且机房线缆布线复杂,容易出现火灾等各类事故。随着我国数字新基建升温和“东数西算”战略布局的实施,如何在数据中心建设运行中避免此类问题,如何妥善保护我们的数据安全?

安全问题屡发

对数据中心相关安全事故稍作梳理,我们会发现几乎每年都能看到数据中心失火的报道。

2021年欧洲云计算巨头OVH位于法国莱茵省首府斯特拉斯堡的数据中心发生严重火灾;同年,主机托管公司WebNX位于美国犹他州的奥格登数据中心着火导致该市的一些IT服务瘫痪;2020年8月,澳洲电信Telstra位于英国首都伦敦的托管数据中心由于UPS故障引起火灾并引起宕机;2018年8月亚马逊AWS东京数据中心发生火灾,大火燃烧了8个小时,导致五人死亡,五十人受伤。

就在不久前,谷歌托管其伦敦云区域之一的数据中心也遭遇“多个冗余冷却系统同时发生故障”。虽然谷歌公司没有透露故障具体原因,但表示将审查全球谷歌数据中心的冷却系统设备……

数据中心事故多集中在电器短路、负载过大、线缆设备老旧、环境恶劣、高温、多雷雨天气等方面。

谷歌位于爱荷华州的数据中心占地超过1万平方米,有超过7万台服务器。有媒体报道称,如果算上制冷、照明等配套设备的耗电,该数据中心1天的耗电量将达到惊人的180万千瓦。虽然数据中心在设计的时候,都会做容量规划,但随着服务器运行效率、外界环境温度变化、人们对数据服务的需求增加等条件改变,数据中心的能耗也越来越多,稍大的功率波动,就会导致变压器超负荷。

管理问题更为突出

“数据中心安全,既包括数据安全,也包括物理安全,很多时候事故都和管理规范有关。”桂林电子科技大学计算机与信息安全学院教授刘忆宁对《中国科学报》说,“从本质上说,水、火、高温、雷电等自然灾害和数据安全之间没有特别的关联,和对其他设施的危害是一样的。”

刘忆宁认为,这些灾害本身不会对数据造成损害,但自然灾害造成的电力中断、火灾、水淹等意外事故会给数据恢复带来麻烦。但这属于“数据业务的连续性与灾备方面的问题”,通常情况下,数据中心会想办法来保障连续供电并做好数据备份。

“数据中心管理、运维涉及成本、建设规范等方面。”刘忆宁补充说,“商场、建筑物工人施工操作不规范,电焊引起火灾的事故时有耳闻。同样,数据方面的很多事故也是因为没有按规范操作,或规范没被严格执行引起。”

物理安全是基础

“数据中心安全并非一个新话题。”中国科学技术大学网络空间安全学院教授、中国信息安全研究院原副院长左晓栋告诉《中国科学报》。

1993年,我国就发布了强制性国家标准GB 50174《电子计算机机房设计规范》。此后,该标准于2008年和2017年先后修订,最新版本为GB50174-2017《数据中心设计规范》。

“应该说,这些标准对数据中心的规范要求中,已经包含了安全方面要求,甚至在某种程度上,其主要要求都是从物理安全角度考虑的。”左晓栋说,“例如,标准中有‘数据中心选址’专题,涉及电力、通信、交通、水源、环境、节能等因素。”

近年来很多网络安全标准虽然并非专门针对物理安全,但都涉及数据中心的物理安全。例如,等级保护基础标准GB/T 22239《信息安全技术—网络安全等级保护基本要求》中,明确列出了“安全物理环境”,涉及到物理访问控制、防盗窃和防破坏、防雷击、防火、温湿度控制、电力供应等。

左晓栋曾作为第一执笔人,起草了《信息安全技术—云计算服务安全能力要求》。他介绍说,2019年7月,国家互联网信息办公室等发布了《云计算服务安全评估办法》,规定参照国家标准《信息安全技术—云计算服务安全能力要求》《信息安全技术—云计算服务安全指南》,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。

目前数据中心基本都采用云架构,所以《信息安全技术—云计算服务安全能力要求》是当前我国数据中心需要遵循的重要技术文件。考虑到数据安全的重要性与日俱增,该标准在当前修订过程中专门增加了“数据保护”安全能力要求,确保客户迁移数据过程中的业务连续性和数据完整性,且增加了云管平台、Web访问、API访问等方面的安全要求。

“随着大数据时代来临,人们对数据安全、云服务安全高度关注。这是好事,但有时候也会因此忽视了最基础的物理安全。事实上,物理安全永远是关键。”左晓栋补充说,“社会在不断发展,人们对物理安全的认识也需要不断深化。而且,数据中心安全不能简单让位于经济发展。”

左晓栋举例说,以前人们不会考虑无人机侵扰造成的威胁,但现在这类问题已经十分典型。此外,由于用地紧张,一些居于闹市区的数据中心无法严格做到与某些场所保持足够距离,这也影响到数据中心安全。“这次谷歌数据中心发生的电弧闪光事故就是一例,对此也应予以重视”。

[责任编辑:h001]
关键词:

相关新闻

联系邮箱:99 25 83 5@qq.com

备案号:豫ICP备2020035338号-4 营业执照公示信息

产经时报 版权所有