摘要：為解決國家高能物理科學(xué)數(shù)據(jù)中心面臨的數(shù)據(jù)安全問題，本文在傳統(tǒng)的網(wǎng)絡(luò)安全相關(guān)研究基礎(chǔ)上，分析我國高能物理科學(xué)數(shù)據(jù)中心面臨的科學(xué)數(shù)據(jù)安全風(fēng)險，總結(jié)出高能物理科學(xué)數(shù)據(jù)安全保障的特點，提出了適合我國高能物理領(lǐng)域科學(xué)數(shù)據(jù)的安全管理體系、技術(shù)體系和運維體系，以期為科學(xué)數(shù)據(jù)安全問題的實踐應(yīng)用提供參考借鑒。本文提出的高能物理科學(xué)數(shù)據(jù)安全保障體系，覆蓋數(shù)據(jù)全生命周期，可以有效保障數(shù)據(jù)在傳輸、存儲和使用過程中的機密性、完整性和可用性，防止未經(jīng)授權(quán)的訪問、竊取、破壞、篡改和泄露等安全事件的發(fā)生。

關(guān)鍵詞：科學(xué)數(shù)據(jù)；數(shù)據(jù)安全；高能物理；保障體系

1 "引言

數(shù)據(jù)安全問題是關(guān)系到內(nèi)部安全、外部安全以及經(jīng)濟(jì)社會發(fā)展的重大問題。2017年12月8日，在中央政治局集體學(xué)習(xí)會議上習(xí)近平總書記強調(diào)要在推動實施國家大數(shù)據(jù)戰(zhàn)略的同時保障數(shù)據(jù)安全。2021年6月10日，十三屆全國人大常委會第二十九次會議上，具有歷史意義的《中華人民共和國數(shù)據(jù)安全法》獲得通過。這部法律不僅是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，也是國家安全法律體系的重要組成部分，更是我國首部專門針對數(shù)據(jù)安全領(lǐng)域的立法，于2021年9月1日起正式施行。該部法律貫徹了總體國家安全觀的立法宗旨，為聚焦數(shù)據(jù)安全領(lǐng)域的關(guān)鍵問題提供了法律框架，確立了數(shù)據(jù)分類分級管理、風(fēng)險評估、監(jiān)測預(yù)警、應(yīng)急處置和數(shù)據(jù)安全審查等基本制度，并明確了相關(guān)主體的數(shù)據(jù)安全保護(hù)義務(wù)。

隨著國家各個層面對數(shù)據(jù)安全問題重視程度的不斷提高，國內(nèi)相關(guān)研究也如雨后春筍般涌現(xiàn)，這些研究的內(nèi)容主要集中在數(shù)據(jù)安全治理體系構(gòu)建[1]、圖書館數(shù)據(jù)安全及保障策略[2]、數(shù)據(jù)安全風(fēng)險評估與檢測[3]、數(shù)據(jù)存儲與傳輸安全[4]、新興技術(shù)在數(shù)據(jù)安全防護(hù)中的應(yīng)用[5]、特定行業(yè)領(lǐng)域數(shù)據(jù)安全[6]、數(shù)據(jù)安全管理政策[7]、個人隱私數(shù)據(jù)保護(hù)[8]等方面。盡管關(guān)于數(shù)據(jù)安全的研究成果已較為豐富，但聚焦到科學(xué)數(shù)據(jù)安全的研究成果卻比較匱乏。

作為數(shù)據(jù)資源的特殊類型，科學(xué)數(shù)據(jù)已經(jīng)成為解決復(fù)雜問題的關(guān)鍵要素、驅(qū)動科學(xué)發(fā)現(xiàn)的戰(zhàn)略資源和支撐國家創(chuàng)新的基本要素。盡管我國科學(xué)數(shù)據(jù)開放共享已取得一定成效，但科學(xué)數(shù)據(jù)安全問題同樣值得關(guān)注，科學(xué)數(shù)據(jù)開放共享與數(shù)據(jù)安全之間的博弈關(guān)系存在失衡現(xiàn)象。雖然相關(guān)政策劃定了科學(xué)數(shù)據(jù)利益相關(guān)者（機構(gòu)及個人）的職責(zé)和義務(wù)，但總體而言，國家法律法規(guī)/條例均僅從宏觀角度概括了科學(xué)數(shù)據(jù)安全的相關(guān)原則，如何將其具體細(xì)化到各類行為主體并應(yīng)用于科學(xué)數(shù)據(jù)管理實踐工作中去還需持續(xù)跟進(jìn)與研究。

本文以國家高能物理科學(xué)數(shù)據(jù)中心為例，闡述高能物理科學(xué)數(shù)據(jù)保障體系研究與規(guī)劃。高能物理科學(xué)數(shù)據(jù)包括高能物理領(lǐng)域科研活動產(chǎn)生的實驗數(shù)據(jù)和衍生數(shù)據(jù)，包括粒子物理、中子科學(xué)、光子科學(xué)、天體物理等領(lǐng)域，同時涵蓋與高能物理相關(guān)的交叉學(xué)科數(shù)據(jù)，并兼顧其他相關(guān)數(shù)據(jù)，如科研條件、管理和信息系統(tǒng)數(shù)據(jù)等，用于開展物質(zhì)的基本構(gòu)成以及宇宙起源等粒子物理最前沿的研究。由于高價值和集中存放的特性，高能物理科學(xué)數(shù)據(jù)容易成為攻擊和竊取的目標(biāo)，也容易因利益相關(guān)者的漠視而導(dǎo)致科學(xué)數(shù)據(jù)外泄。目前，我國面臨的高能物理科學(xué)數(shù)據(jù)安全威脅主要表現(xiàn)在利益相關(guān)者安全意識不足、重點科學(xué)數(shù)據(jù)外泄、科學(xué)數(shù)據(jù)安全危機仍然存在等方面[9]。

針對高能物理科學(xué)領(lǐng)域所面臨的數(shù)據(jù)安全挑戰(zhàn)，本文在深入分析數(shù)據(jù)安全風(fēng)險的基礎(chǔ)上，提出高能物理科學(xué)數(shù)據(jù)安全保障體系，該體系從高能物理科學(xué)數(shù)據(jù)全生命周期安全角度，構(gòu)建管理體系、技術(shù)體系和運維體系，旨在確?？茖W(xué)數(shù)據(jù)的完整性、可用性和機密性，為高能物理科學(xué)數(shù)據(jù)營造一個穩(wěn)固的安全基礎(chǔ)，支持科學(xué)家們在數(shù)據(jù)驅(qū)動的科學(xué)探索中無后顧之憂地前行。

2 "高能物理科學(xué)數(shù)據(jù)安全

2.1 "高能物理科學(xué)數(shù)據(jù)安全風(fēng)險分析

綜合考慮高能物理科學(xué)數(shù)據(jù)的敏感性、價值、存儲和傳輸方式、訪問控制、網(wǎng)絡(luò)安全、合規(guī)性需求等多個因素后，我們將其面臨的主要安全風(fēng)險分為數(shù)據(jù)完整性破壞、數(shù)據(jù)機密性破壞和數(shù)據(jù)可用性破壞三類。

高能物理科學(xué)數(shù)據(jù)完整性的高風(fēng)險點主要源于黑客入侵，這可能導(dǎo)致科研數(shù)據(jù)被惡意篡改。中等風(fēng)險點涵蓋軟硬件故障或中間人攻擊引起的數(shù)據(jù)傳輸錯誤，以及軟硬件故障引起的數(shù)據(jù)讀寫錯誤。數(shù)據(jù)完整性的破壞可能使科研數(shù)據(jù)無法正常使用，甚至導(dǎo)致錯誤的科研結(jié)論。

高能物理科學(xué)數(shù)據(jù)機密性的高風(fēng)險點涉及權(quán)限管控不當(dāng)、員工數(shù)據(jù)泄露、應(yīng)用系統(tǒng)漏洞，以及數(shù)據(jù)未脫敏或明文傳輸所導(dǎo)致的敏感數(shù)據(jù)泄露。此外，黑客入侵和竊密木馬也可能導(dǎo)致關(guān)鍵數(shù)據(jù)被竊取，進(jìn)而危及國家安全和公共利益。

高能物理科學(xué)數(shù)據(jù)可用性高風(fēng)險點包括勒索病毒導(dǎo)致數(shù)據(jù)被惡意加密、操作失誤導(dǎo)致數(shù)據(jù)被誤刪除，以及軟硬件故障引起的數(shù)據(jù)破壞。這些威脅可能導(dǎo)致數(shù)據(jù)丟失，進(jìn)而使科研工作無法順利開展。

此外，還可能存在開放源代碼漏洞、社會工程和釣魚攻擊、不當(dāng)?shù)臄?shù)據(jù)共享、數(shù)據(jù)歸檔和銷毀不當(dāng)、法規(guī)和合規(guī)性問題等安全風(fēng)險。為了降低潛在的安全風(fēng)險，可以采用綜合性的方法，包括技術(shù)、政策和培訓(xùn)等手段，以確保科學(xué)研究數(shù)據(jù)的完整性、可用性和保密性。

2.2 "高能物理科學(xué)數(shù)據(jù)安全保障難點

高能物理科學(xué)數(shù)據(jù)與非科學(xué)數(shù)據(jù)面臨著相似的安全風(fēng)險和安全保障需求，因而可以采用類似的安全防護(hù)手段。然而，相較于非科學(xué)數(shù)據(jù)，高能物理科學(xué)數(shù)據(jù)呈現(xiàn)出一些獨特的特點，這為高能物理科學(xué)數(shù)據(jù)安全保障工作帶來了更為嚴(yán)峻的考驗。

首先，高能物理科學(xué)數(shù)據(jù)的特點在于其數(shù)據(jù)容量龐大、非結(jié)構(gòu)化數(shù)據(jù)比例高和來源多樣化。對其進(jìn)行分類的主要維度包括：子學(xué)科領(lǐng)域（比如粒子物理、中子科學(xué)、光子科學(xué)、天體物理、其他），數(shù)據(jù)源或?qū)嶒炑b置（比如BESIII、LHAASO、JUNO、DYB、CMS、ATLAS等），數(shù)據(jù)生命周期（比如原始數(shù)據(jù)、模擬數(shù)據(jù)、重建數(shù)據(jù)等）。從管理體系角度來看，為了防止數(shù)據(jù)泄露，要根據(jù)數(shù)據(jù)遭到泄露、破壞或非法使用時產(chǎn)生的危害的影響程度進(jìn)行分級，對不同級別的數(shù)據(jù)采取不同的保護(hù)策略。然而，我們目前并沒有相對成熟的針對非結(jié)構(gòu)化數(shù)據(jù)的安全保障體系，現(xiàn)行的數(shù)據(jù)安全策略實施過程中，常因體系的不健全而受阻，這不僅對數(shù)據(jù)的安全性處理提出了嚴(yán)峻的挑戰(zhàn)，同時也導(dǎo)致了數(shù)據(jù)災(zāi)備成本的顯著增加。

其次，高能物理科學(xué)數(shù)據(jù)需要開放共享。盡管開放共享對推動科學(xué)研究具有積極的影響，但如何在保持?jǐn)?shù)據(jù)開放性的同時確保其安全性，目前尚未有明確的指導(dǎo)原則和操作流程，且數(shù)據(jù)共享過程中的安全漏洞可能導(dǎo)致未經(jīng)授權(quán)的訪問或數(shù)據(jù)的不當(dāng)使用。鑒于高能物理科學(xué)數(shù)據(jù)具有極高的價值，集中存儲的數(shù)據(jù)成為潛在的攻擊目標(biāo)。現(xiàn)有的安全防護(hù)措施未能充分考慮數(shù)據(jù)的特定需求，缺乏針對性的安全設(shè)計和策略，尤其是在關(guān)鍵領(lǐng)域如數(shù)據(jù)加密、訪問控制和入侵檢測等方面?？蒲腥藛T往往對數(shù)據(jù)安全的認(rèn)識不夠深刻，對科學(xué)數(shù)據(jù)安全的投入也未能滿足實際需求，這在數(shù)據(jù)開放共享的背景下，使得數(shù)據(jù)安全性難以得到全面的保障。

第三，數(shù)據(jù)安全管理工作過度依賴于人工干預(yù)。目前數(shù)據(jù)全生命周期的管理過程中，部分環(huán)節(jié)自動化水平不足，導(dǎo)致數(shù)據(jù)安全管理工作依賴人工干預(yù)，也是數(shù)據(jù)安全保障面臨的重大挑戰(zhàn)之一。這不僅提高了操作失誤的風(fēng)險，也延長了對安全事件的響應(yīng)時間。因此，建立一套面向高能物理科學(xué)數(shù)據(jù)全生命周期需求的自動化運維體系，提高自動化水平和運維效率，成為確保數(shù)據(jù)安全不可或缺的一環(huán)。通過優(yōu)化運維流程和提升技術(shù)水平，可以有效減輕數(shù)據(jù)安全管理的負(fù)擔(dān)，降低風(fēng)險，并為高能物理科學(xué)數(shù)據(jù)的安全保障提

供堅實的支撐。

3 "高能物理科學(xué)數(shù)據(jù)全生命周期安全保障體系

針對高能物理科學(xué)數(shù)據(jù)中心數(shù)據(jù)安全面臨的嚴(yán)峻

安全問題，重點突破傳統(tǒng)威脅檢測方法，未知攻擊識別能力弱，風(fēng)險識別模糊和預(yù)警滯后等問題，提出融合縱深防御思想的安全保障體系，針對數(shù)據(jù)在采集、存儲、處理、傳輸、交換、銷毀的全生命周期中可能存在的破壞、篡改、竊取等風(fēng)險，研究數(shù)據(jù)傳輸及存儲加密方式、數(shù)據(jù)安全訪問控制、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏、狀態(tài)監(jiān)控與日志審計等方法保障數(shù)據(jù)中心的數(shù)據(jù)安全。整體架構(gòu)如圖1所示。

3.1 "管理體系

科學(xué)數(shù)據(jù)管理體系包括數(shù)據(jù)安全管理制度、組織機構(gòu)和安全責(zé)任制、數(shù)據(jù)安全協(xié)調(diào)機制、數(shù)據(jù)分類分級管理和數(shù)據(jù)安全意識教育。

（1）數(shù)據(jù)安全管理制度

國家高能物理科學(xué)數(shù)據(jù)中心根據(jù)數(shù)據(jù)安全相關(guān)規(guī)范性文件《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等，以及參考中國科學(xué)院重要數(shù)據(jù)和核心數(shù)據(jù)識別規(guī)范、科學(xué)數(shù)據(jù)安全分類分級指南（征求意見稿）等，制定國家高能物理科學(xué)數(shù)據(jù)中心安全管理制度體系，參見圖2。

（2）組織機構(gòu)與責(zé)任制

組織機構(gòu)的任務(wù)是協(xié)調(diào)各種關(guān)系，有效地運用每個組織成員的才能，充分發(fā)揮組織系統(tǒng)的力量，達(dá)成團(tuán)體的目標(biāo)。高能物理科學(xué)數(shù)據(jù)安全組織機構(gòu)由數(shù)據(jù)安全工作協(xié)調(diào)組和網(wǎng)信領(lǐng)導(dǎo)小組作為領(lǐng)導(dǎo)機構(gòu)，負(fù)責(zé)對安全組織進(jìn)行協(xié)調(diào)、領(lǐng)導(dǎo)工作，確定安全組織的指導(dǎo)思想、總體目標(biāo)、基本原則。其次是主要負(fù)責(zé)人，負(fù)責(zé)管理安全職能部門，在安全職能部門中，系統(tǒng)管理員負(fù)責(zé)系統(tǒng)安全保障，安全運維團(tuán)隊負(fù)責(zé)安全保障體系的建設(shè)與運維，數(shù)據(jù)管理員負(fù)責(zé)數(shù)據(jù)安全管理，安全管理過程中采取責(zé)任制，由各級簽署安全責(zé)任書，落實數(shù)據(jù)安全責(zé)任。

（3）數(shù)據(jù)安全協(xié)調(diào)機制

高能物理科學(xué)數(shù)據(jù)中心成立了數(shù)據(jù)安全工作協(xié)調(diào)小組，落實國家、中科院數(shù)據(jù)安全有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)高能所數(shù)據(jù)安全重大事項和重要工作，每年召開一次會議。并成立數(shù)據(jù)安全工作推進(jìn)小組負(fù)責(zé)進(jìn)

一步的任務(wù)，推進(jìn)數(shù)據(jù)分類分級保護(hù)，數(shù)據(jù)安全監(jiān)測預(yù)警、數(shù)據(jù)安全審查等具體工作，貫徹落實高能所數(shù)據(jù)安全工作協(xié)調(diào)小組的決策部署，完成協(xié)調(diào)小組交辦的其他工作任務(wù)。每半年召開一次會議。

（4）數(shù)據(jù)分類分級管理

國家高能物理科學(xué)數(shù)據(jù)中心根據(jù)高能物理領(lǐng)域科研和數(shù)據(jù)處理工作實際情況，遵循《國家高能物理科學(xué)數(shù)據(jù)中心數(shù)據(jù)安全分類分級指南》，構(gòu)建了一套數(shù)據(jù)資源分級分類管理體系。該體系依據(jù)數(shù)據(jù)來源和整個生命周期的不同階段，將數(shù)據(jù)劃分為五大類別：粒子物理數(shù)據(jù)、中子科學(xué)數(shù)據(jù)、光子科學(xué)數(shù)據(jù)、天體物理數(shù)據(jù)和其他高能物理相關(guān)數(shù)據(jù)。其中，粒子物理數(shù)據(jù)源自各類實驗裝置，服務(wù)于基本物質(zhì)構(gòu)成和宇宙起源研究；中子科學(xué)數(shù)據(jù)基于脈沖中子源實驗，支持多個學(xué)科及各領(lǐng)域基礎(chǔ)研發(fā)；光子科學(xué)數(shù)據(jù)借助同步輻射光源揭示微觀結(jié)構(gòu)演變規(guī)律，為諸多高科技領(lǐng)域提供理論支撐；天體物理數(shù)據(jù)則來源于宇宙線實驗和空間天文觀測，聚焦高能宇宙線起源及相關(guān)宇宙學(xué)課題。在上述大類下，進(jìn)一步按具體實驗裝置（例如BESIII、JUNO等）和數(shù)據(jù)處理流程（原始數(shù)據(jù)、模擬數(shù)據(jù)、重建數(shù)據(jù)等）細(xì)化分類。

3.2 "技術(shù)體系

國家高能物理科學(xué)數(shù)據(jù)技術(shù)體系設(shè)計了分級分域的網(wǎng)絡(luò)結(jié)構(gòu)，加強網(wǎng)絡(luò)邊界的入侵監(jiān)測和防御，支持多維安全威脅檢測、數(shù)據(jù)全流程安全防護(hù)、多源風(fēng)險融合預(yù)警等功能。主要包括通用網(wǎng)絡(luò)安全防護(hù)、認(rèn)證

與授權(quán)、數(shù)據(jù)完整性校驗、自動化分級分類、數(shù)據(jù)備份、數(shù)據(jù)傳輸加密與脫敏等。

（1）通用網(wǎng)絡(luò)安全防護(hù)

由于科學(xué)數(shù)據(jù)的開放共享，科學(xué)數(shù)據(jù)會暴露在互聯(lián)網(wǎng)上，為了應(yīng)當(dāng)對互聯(lián)網(wǎng)上的網(wǎng)絡(luò)威脅可以使用通用的網(wǎng)絡(luò)安全防護(hù)方法。首先，國家高能物理科學(xué)數(shù)據(jù)中心部署必要的邊界安全防護(hù)，包括防火墻、IDS/IPS、VPN、WAF等網(wǎng)絡(luò)安全設(shè)備，其次，需要部署入侵檢測與防護(hù)設(shè)備及時有效地檢測網(wǎng)絡(luò)威脅，例如NIDS， HIDS， EDR， SOC，第三，對檢測的網(wǎng)絡(luò)安全事件進(jìn)行快速響應(yīng)處置，阻斷攻擊進(jìn)一步蔓延。與此同時，為了減小數(shù)據(jù)中心的網(wǎng)絡(luò)安全風(fēng)險，對科學(xué)數(shù)據(jù)采集、存儲、處理、傳輸、交換、銷毀全生命周期中包括的資產(chǎn)進(jìn)行定期的漏掃和滲透測試，對識別到的高危漏洞進(jìn)行及時有效等修復(fù)。

（2）認(rèn)證與授權(quán)

國家高能物理X.509證書是全球高能物理計算網(wǎng)格通用的數(shù)字證書，高能物理網(wǎng)格計算環(huán)境中使用X.509證書認(rèn)證來保障計算環(huán)境的安全。另一方面，研發(fā)部署統(tǒng)一認(rèn)證系統(tǒng)，能夠支持OAuth2.0，LDAP， Shibboleth認(rèn)證協(xié)議，通過CARSI加入了eduGAIN認(rèn)證聯(lián)盟，構(gòu)建基于IAM的認(rèn)證框架。同時，對于科學(xué)數(shù)據(jù)的訪問授權(quán)，由科學(xué)數(shù)據(jù)管理員負(fù)責(zé)管理，基于用戶認(rèn)證信息、組信息、用戶位置IP和自身權(quán)限管理數(shù)據(jù)庫判斷用戶權(quán)限。

（3）數(shù)據(jù)完整性校驗

數(shù)據(jù)的Hash值有CRC32、MD5和SHA，高能物理科學(xué)數(shù)據(jù)在數(shù)據(jù)采集階段計算初始hash值，然后將Hash值保存到科學(xué)元數(shù)據(jù)管理系統(tǒng)。在數(shù)據(jù)傳輸、數(shù)據(jù)交換前后讀取元數(shù)據(jù)管理系統(tǒng)中的Hash值進(jìn)行數(shù)據(jù)校驗，同時在數(shù)據(jù)處理前也需要進(jìn)行Hash值校驗。

（4）數(shù)據(jù)加解密與數(shù)據(jù)脫敏

為了保證高能物理科學(xué)數(shù)據(jù)保存、傳輸和接口安全，需要對敏感數(shù)據(jù)進(jìn)行加密和脫敏。數(shù)據(jù)加密可以使用對稱加密算法、公鑰加密算法、國密算法，網(wǎng)站使用HTTPS加密傳輸協(xié)議。數(shù)據(jù)脫敏采用專門的脫敏算法對敏感數(shù)據(jù)進(jìn)行變形、屏蔽、替換、隨機化、加密，并將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)。

（5）自動化分級分類

科學(xué)數(shù)據(jù)自動分級分類可以通過對科學(xué)元數(shù)據(jù)的文本數(shù)據(jù)進(jìn)行分析，自動劃分?jǐn)?shù)據(jù)級別。首先使用自然語言處理技術(shù)基于元數(shù)據(jù)內(nèi)容對數(shù)據(jù)集進(jìn)行分類，在獲取到數(shù)據(jù)集的類別之后，使用大語言模型識別元數(shù)據(jù)中的敏感內(nèi)容，側(cè)重個人信息，地理位置信息等關(guān)鍵信息的抽取。然后再加權(quán)科學(xué)數(shù)據(jù)敏感性和所屬類別，最后加權(quán)得分對照分級的標(biāo)準(zhǔn)得到科學(xué)數(shù)據(jù)級別。

（6）科學(xué)數(shù)據(jù)備份

數(shù)據(jù)存儲之后需要備份，以防因不可控因素受損

或丟失。在確保數(shù)據(jù)物理安全的基礎(chǔ)上，需要對數(shù)據(jù)進(jìn)行專業(yè)評估，評估數(shù)據(jù)的安全等級、重要程度等，以分級分類進(jìn)行安全歸檔管理。高能物理科學(xué)數(shù)據(jù)采用分級多副本的存儲方式，利用磁盤存儲、磁帶存儲、私有云存儲，同時CEPH、EOS存儲實行三副本配置。

數(shù)據(jù)存儲盤陣使用RAID 6+2。對于重要的科學(xué)數(shù)據(jù)使用大容量磁帶進(jìn)行容災(zāi)備份，同時進(jìn)行異地備份。

3.3 "運維體系

本文提出了基于機器學(xué)習(xí)算法的海量安全數(shù)據(jù)分析預(yù)警運維體系，實現(xiàn)運維的自動化響應(yīng)處理，包括安全運維平臺、安全運維團(tuán)隊以及數(shù)據(jù)安全聯(lián)盟與協(xié)作，使數(shù)據(jù)安全的運維自動化向運維智能化轉(zhuǎn)換。

（1）安全運維平臺

由于科學(xué)數(shù)據(jù)中心的網(wǎng)絡(luò)安全數(shù)據(jù)異構(gòu)多樣，未充分發(fā)揮海量數(shù)據(jù)的關(guān)聯(lián)分析價值，因此構(gòu)建安全運維平臺，對各類型安全日志、資產(chǎn)、漏洞進(jìn)行集中管理，設(shè)置安全數(shù)據(jù)采集、預(yù)處理、存儲、分析、應(yīng)用的五層架構(gòu)，如下圖6所示。安全運維平臺通過態(tài)勢感知、威脅發(fā)現(xiàn)、告警處置、資產(chǎn)與漏洞管理、安全策略管理等功能實現(xiàn)科學(xué)數(shù)據(jù)中心的安全監(jiān)測、分析、預(yù)警、處置的閉環(huán)流程，提供持續(xù)、迭代、螺旋上升的安全保障與支持能力，形成面向科學(xué)數(shù)據(jù)中心的動態(tài)演進(jìn)的體系化的安全防御平臺。

安全運維平臺目前已經(jīng)應(yīng)用到了包含BEPC、CSNS、NSRL等在內(nèi)的5個大裝置和4個科學(xué)數(shù)據(jù)中心。該平臺為中科院大裝置和科學(xué)數(shù)據(jù)中心網(wǎng)絡(luò)安全保障工作作出了重要貢獻(xiàn)。它基于大裝置和數(shù)據(jù)中心運行單位之間的共享情報與安全事件協(xié)同應(yīng)急響應(yīng)，累計安全日志達(dá)到了34.6億條，發(fā)現(xiàn)各類威脅9200多個。利用該平臺處理各大裝置和數(shù)據(jù)中心安全事件超過30次，自動化檢測及響應(yīng)高危網(wǎng)絡(luò)攻擊超過44萬次，平均響應(yīng)時間達(dá)到分鐘級，誤報率小于0.1%，累計特色情報達(dá)到23萬多條，有效保障了大裝置和數(shù)據(jù)中心的安全穩(wěn)定運行。

（2）安全運維團(tuán)隊

建設(shè)安全運維團(tuán)隊，成員分為三類：一線運維人員、二線運維人員、運維研發(fā)人員，分別負(fù)責(zé)安全事件應(yīng)急響應(yīng)處置、安全事件溯源分析和研判以及開發(fā)自動化檢測和處置工具，有效提高運維效率。團(tuán)隊具備應(yīng)急響應(yīng)能力，能獨立處置數(shù)據(jù)中心各類安全事件，及時對網(wǎng)絡(luò)進(jìn)行安全加固，同時通過應(yīng)急響應(yīng)、安全競賽和攻防演習(xí)，不斷提升團(tuán)隊實戰(zhàn)化運維技術(shù)能力。

（3）安全聯(lián)盟與協(xié)作

為了形成有效的多科學(xué)數(shù)據(jù)中心聯(lián)動的運營體系，需要建立科學(xué)數(shù)據(jù)中心安全聯(lián)盟，加強多個科學(xué)數(shù)據(jù)中心之間的信任和協(xié)作機制建設(shè)。安全聯(lián)盟主要

協(xié)作機制包括：定期召開會議，建立郵件列表、微信群等溝通渠道；建立基于TLP的安全情報共享信任機制；共同推動科學(xué)數(shù)據(jù)安全規(guī)范的研制和落地；依托安全運維平臺的威脅情報子系統(tǒng)，建立情報和知識庫共享機制；依托安全運維平臺的事件響應(yīng)處置子系統(tǒng)，建立安全人員共享與協(xié)作機制。

4 "總結(jié)

國家高能物理科學(xué)數(shù)據(jù)安全保障體系的研究對于高能物理實驗數(shù)據(jù)的安全保障具有重要意義。隨著科學(xué)數(shù)據(jù)量的增加，數(shù)據(jù)共享程度的擴大，高能物理科學(xué)數(shù)據(jù)中心將在數(shù)據(jù)安全方面面臨更嚴(yán)峻的考驗，因此構(gòu)建一個適合科學(xué)數(shù)據(jù)中心的網(wǎng)絡(luò)保障體系顯得十分必要。本文對國家高能物理科學(xué)數(shù)據(jù)安全保障體系進(jìn)行了詳細(xì)探討，通過構(gòu)建完善的制度體系、技術(shù)體系和運維體系，加強職工數(shù)據(jù)安全意識培訓(xùn)，以及建立應(yīng)急響應(yīng)處理能力，可以有效提高高能物理科學(xué)數(shù)據(jù)中心整體的安全性，為高能物理科學(xué)研究提供更加可靠的數(shù)據(jù)支持。

參考文獻(xiàn)

[1] 都婧.新形勢下對于構(gòu)建數(shù)據(jù)安全治理體系的思考與建議[J].中國信息安全，2019（12）：68-70.

[2] 鮑劼，李丕仕，都平平，等.高校圖書館面臨的數(shù)據(jù)安全問題及防護(hù)策略研究[J].現(xiàn)代情報，2017， 37（7）：93-96.

[3] 徐湖鵬，吳宗大，盧成浪，等.私有云的數(shù)據(jù)安全風(fēng)險評估體系的構(gòu)建與應(yīng)用[J].單片機與嵌入式系統(tǒng)應(yīng)用，2019，19（12）：23-25，28.

[4] 王軍.網(wǎng)絡(luò)數(shù)據(jù)動態(tài)傳輸與存儲安全自動監(jiān)測系統(tǒng)設(shè)計[J].自動化與儀器儀表，2020（1）：70-73.

[5] 馮濤，焦瀅，方君麗，等.基于聯(lián)盟區(qū)塊鏈的醫(yī)療健康數(shù)據(jù)安全模型[J].計算機科學(xué)，2020，47（4）：305-311.

[6] 竇佐超，汪誠弘，鄧杰仁，等.生物醫(yī)療大數(shù)據(jù)隱私與安全保護(hù) "的應(yīng)對策略與技術(shù)[J].中華醫(yī)學(xué)圖書情報雜志，2019， 28（11）： 11-15.

[7] 張濤，馬海群.基于政策文本計算的開放數(shù)據(jù)與數(shù)據(jù)安全政策協(xié)同研究[J].情報理論與實踐，2020，43（6）：149-155，141.

[8] 魏丹陽，馬海群.網(wǎng)絡(luò)環(huán)境下個人數(shù)據(jù)存儲安全和隱私保護(hù)影響因素研究[J].圖書館理論與實踐，2018（1）：89-95，100.

[9] Li Yang， Wen Liangming. Research on security guarantee path of scientific data in China [J]. Library， 2021， （3）：99-105.

引用格式：王佳榮，周彩秋，苑新陽，朱一鳴，孫千然，顏田，陳剛，齊法制.國家高能物理科學(xué)數(shù)據(jù)安全保障體系[J].農(nóng)業(yè)大數(shù)據(jù)學(xué)報，2024，6（2）：269-277. DOI： 10.19788/j.issn.2096-6369.000028.

CITATION： WANG JiaRong， ZHOU CaiQiu， YUAN XinYang， ZHU YiMing， SUN QianRan， YAN Tian， CHEN Gang， QI FaZhi. National High Energy Physics Science Data Security System[J]. Journal of Agricultural Big Data， 2024，6（2）：269-277. DOI： 10.19788/j.issn.2096-6369.000028.

National High Energy Physics Science Data Security System

WANG JiaRong1， ZHOU CaiQiu1，2， YUAN XinYang1， ZHU YiMing1， SUN QianRan1， YAN Tian1， CHEN Gang1，2， QI FaZhi1，2*

1. Institute of High Energy Physics， Chinese Academy of Sciences， Beijing 100049， China; 2. Spallation Neutron Source Science Center， Dongguan 523000， Guangdong， China

Abstract： To address the data security issues faced by the National High Energy Physics Data Center， this paper analyzes the scientific data security risks faced by High Energy Physics Data Center based on traditional network security， and summarizes the characteristics of high energy physics science data security and proposes a data security management system， technical system， and operation system suitable for China's high energy physics science， aiming to provide reference and inspiration for the practical application of scientific data security issues. The system covers the entire data lifecycle， effectively ensuring the confidentiality， integrity， and availability of data during transmission， storage， and applications， preventing unauthorized access， theft， destruction， tampering， and leakage of security events.

Keywords： scientific data; data security; high energy physics; security system