隨著國家數(shù)字化建設不斷提速��,數(shù)字經(jīng)濟進入算力時代��。2022年我國全面啟動“東數(shù)西算”工程�,提出構建數(shù)據(jù)中心��、云計算���、大數(shù)據(jù)一體化的新型算力網(wǎng)絡體系�。在算力網(wǎng)絡進入探索性建設初級階段的同時�,加快提升算力網(wǎng)絡安全保障能力成為新的議題。近年來���,我國陸續(xù)發(fā)布算力網(wǎng)絡相關政策�����,對一體化算力網(wǎng)絡建設���、強化安全防護提出明確要求,算力網(wǎng)絡的安全保障已成為重要關切點���。此外���,作為數(shù)字時代核心生產(chǎn)力�,算力網(wǎng)絡安全問題直接關系經(jīng)濟社會持續(xù)安全穩(wěn)定運行�。因此,前置性地做好網(wǎng)絡安全工作至關重要��。未來�,產(chǎn)學研用各方協(xié)同發(fā)力,共同提升算力網(wǎng)絡安全保障能力�����,推動全國數(shù)字經(jīng)濟協(xié)同發(fā)展���。
算力網(wǎng)絡是融合分布式計算�����、存儲�、傳輸資源的新型網(wǎng)絡
根據(jù)2021年發(fā)布的國際電信聯(lián)盟標準(ITU-T Y.2501)定義���,算力網(wǎng)絡(Computing Power Network���,CPN)通過集中控制器�����、分布式路由協(xié)議等網(wǎng)絡管理面系統(tǒng)�����,融合分布式服務節(jié)點的計算、存儲�����、傳輸?shù)荣Y源��,實現(xiàn)資源優(yōu)化配置�����。
具體來說���,算力網(wǎng)絡包含3類要素:一是“編排”���,通過智能調(diào)度、運營服務等管理面系統(tǒng),統(tǒng)籌調(diào)度網(wǎng)絡和算力��;二是“算”��,聚集云�、邊、端��、IDC�����、超算中心等算力資源�����,提供分布式海量計算和存儲能力���;三是“網(wǎng)”����,連接算力中心節(jié)點�,靈活調(diào)度電信網(wǎng)、互聯(lián)網(wǎng)����、國家樞紐節(jié)點直連網(wǎng)等網(wǎng)絡資源����,打造毫秒級數(shù)據(jù)通路�����。
算力網(wǎng)絡充分整合IDC����、超算中心、邊端算力等資源�����,以基礎通信網(wǎng)絡����、數(shù)據(jù)中心直連網(wǎng)等為承載��,以算力按需調(diào)度�����、多網(wǎng)異構互聯(lián)、算網(wǎng)隨行隨動為特點�����,是云網(wǎng)融合的發(fā)展趨勢��。
算網(wǎng)建設全面提速
算網(wǎng)安全是重中之重
“東數(shù)西算”工程推動算力網(wǎng)絡建設全面提速��。目前����,我國已形成算力資源儲備充足、算力調(diào)度初具規(guī)模�、算力交易已現(xiàn)雛形的算網(wǎng)服務體系,算力網(wǎng)絡初步構建����。我國主張打造算網(wǎng)融合的基礎設施,由“東數(shù)西算”工程牽引�,打造更多算力基礎設施,重視算力和網(wǎng)絡資源融合以實現(xiàn)網(wǎng)絡一體化����、算力一體化發(fā)展。
我國當前仍依托云�、基礎通信網(wǎng)等現(xiàn)有網(wǎng)絡的安全能力實現(xiàn)算力網(wǎng)絡安全保障����。但是�����,針對算力網(wǎng)絡的攻擊面廣��,可能引起嚴重危害�。算力網(wǎng)絡是公共服務、金融��、能源����、交通、商貿(mào)�、工業(yè)制造等千行百業(yè)應用的基石底座�����,“東數(shù)西算”云網(wǎng)與數(shù)據(jù)融合加速����,針對網(wǎng)�����、云���、算、數(shù)任一維度的攻擊���,都能“以點帶面”實現(xiàn)對行業(yè)應用�����、算力網(wǎng)絡乃至現(xiàn)實世界的災難性打擊�����,直接影響14億國民的正常生活�����,危害經(jīng)濟社會持續(xù)安全穩(wěn)定運行��。
算力網(wǎng)絡架構特性復雜
安全風險無處不在
算力網(wǎng)絡架構涉及基礎通信網(wǎng)層��、算網(wǎng)融合層����、算力服務層、算力網(wǎng)絡運營層���、用戶層5個層級����。在最底層的為基礎通信網(wǎng)層����,主要為電信運營商提供網(wǎng)絡服務;在其之上的算網(wǎng)融合層�����,算力調(diào)度平臺運營者(通常政府牽頭�、運營商建設)負責實現(xiàn)算網(wǎng)資源融合編排、打造生態(tài)�����;中間的算力服務層涉及云廠商��、超算服務商等算力供應商作為主體����,提供各類算力資源;算力網(wǎng)絡運營層的主體為算力交易平臺運營者�����,主要負責保障交易雙方安全���、誠信開展算力交易�����;最上層的用戶層為使用���、購買算力的業(yè)務服務供應商和千行百業(yè)。
算力網(wǎng)絡在基礎通信網(wǎng)絡的基礎上��,具有網(wǎng)絡與算力深度融合�、海量異構算力等架構特性,且有產(chǎn)業(yè)生態(tài)鏈條長�、安全角色交叉等生態(tài)特點,其新增了行業(yè)與算網(wǎng)交易等業(yè)務模式�����,可能帶來跨域身份、邊界防護等總體架構安全風險����,算力環(huán)境、數(shù)據(jù)安全等重要點位安全風險����,協(xié)同調(diào)度、算力交易等新增平臺安全風險���,以及生態(tài)協(xié)同風險���。
算與網(wǎng)深度融合
總體安全風險級聯(lián)放大
一是動態(tài)的網(wǎng)絡架構沖擊原有固定安全體系。算力網(wǎng)絡需基于對全網(wǎng)資源感知及算力意圖分析�,實現(xiàn)異構算力需求的按需調(diào)度,原有安全防護體系無法適配隨時可能動態(tài)調(diào)整的算力網(wǎng)絡架構�,安全防護的疏漏會引發(fā)較大安全風險。
二是安全風險將通過信任體系沖擊防御體系的根基��。算網(wǎng)資源集中化編排下的跨域身份安全風險有機會擊穿業(yè)務系統(tǒng)�,可能存在用戶數(shù)據(jù)泄露等風險。因此�����,跨域身份和信任體系需具備更高安全性����。
三是更復雜的網(wǎng)絡場景提高了安全防護和運營的難度。數(shù)量種類繁多的防護資產(chǎn)�����、大幅增加的安全節(jié)點�,都使得算力網(wǎng)絡安全運維成本和運營難度指數(shù)上升,錯誤的策略配置可能造成業(yè)務中斷��。
四是安全邊界泛化程度加大��,攻擊內(nèi)網(wǎng)蔓延跨域�����、跨網(wǎng)傳播風險增加�。云網(wǎng)、多云協(xié)同導致安全邊界進一步泛化��,降低隔離效果���,增加網(wǎng)絡暴露面�,同時也加劇了安全威脅傳播風險。
傳統(tǒng)與新型安全風險并存
沖擊現(xiàn)有防護手段
一是多主體算力加大協(xié)同力度����,算力可信和數(shù)據(jù)安全風險凸顯。對于供給方來說���,差異化算力協(xié)同增加算力可信難度��。不同算力節(jié)點安全級別參差不齊����,多種算力類型的融合��,使得算力環(huán)境安全�、可信安全隔離與算力安全感知等面臨嚴峻挑戰(zhàn)。對于需求方來說����,算力協(xié)同凸顯數(shù)據(jù)安全風險及錢包賬戶安全。算力網(wǎng)絡引入了多元化的數(shù)據(jù)處理主體和計算場景����,導致數(shù)據(jù)暴露面增加���,交易過程中數(shù)據(jù)安全風險加劇。
二是新型服務模式挑戰(zhàn)現(xiàn)有防護有效性�����。一方面����,大量新系統(tǒng)的引入使得管理面高度集中�,安全威脅“牽一發(fā)而動全身”。若攻擊者劫持管理面數(shù)據(jù)庫�����,獲取算力節(jié)點拓撲��,可定向發(fā)起DDoS攻擊使關鍵節(jié)點失效����,導致計算作業(yè)失敗,甚至算力網(wǎng)絡癱瘓�。另一方面,安全防護措施的缺失將影響算網(wǎng)服務交易開展���,造成交易雙方的經(jīng)濟損失����。算網(wǎng)服務交易是依托算網(wǎng)建設應運而生的新型業(yè)務模式,交易主體責任體系�、交易過程合規(guī)、安全合約技術等方面安全措施亟須與建設同步落地實施�。
三是生態(tài)主體多,安全責任落實難度加劇���。算力網(wǎng)絡產(chǎn)業(yè)生態(tài)涉及電信運營商��、云服務商�、設備商�、安全提供商、用戶等諸多角色�,具有鏈條長、安全責任交叉等特點��。在實際運營中���,算力網(wǎng)絡服務關系存在多級嵌套的情況�,安全責任邊界亟待厘清��,威脅所帶來的風險也依附產(chǎn)業(yè)鏈不斷滲透,現(xiàn)有防護模式有效性受到挑戰(zhàn)���。
針對上述問題和挑戰(zhàn)�,要強化頂層設計和整體統(tǒng)籌�,規(guī)范引領安全。
一是制定算力網(wǎng)絡安全工作指導文件���。以“誰管理誰負責、誰運營誰負責”的思路和原則��,明確各單位的主體責任邊界����;明確算力網(wǎng)絡中不同算力基礎設施、系統(tǒng)平臺的安全防護�����、通信速度��、業(yè)務運行等方面安全基線要求��;建立網(wǎng)絡安全風險事件報告機制����,強化安全監(jiān)管��。
二是加強算力網(wǎng)絡安全標準體系建設��。制定算網(wǎng)安全標準研究框架����,依托標準開展節(jié)點安全等級標記���,完善安全防護機制����;建立健全算網(wǎng)安全測評體系����,加快風險評估、能力成熟度評價等相關工作開展��。
三是搭建多角色協(xié)同工作機制���,建立安全標準體系�。建立算力網(wǎng)絡主體安全責任共擔模型��,明確劃分安全責任邊界,建立適應多主體角色的協(xié)同工作和管理機制�����;建立算力網(wǎng)絡安全標準體系����,優(yōu)化算力網(wǎng)絡安全治理結構,增強安全治理效能��。
升級擴容的同時探索創(chuàng)新�����,全面保障安全���。
一是構建統(tǒng)一算力網(wǎng)絡安全防御體系架構��。依托已有國家級防護平臺和體系�����,構建立體防御平臺�����、打造全國態(tài)勢感知系統(tǒng)中心��、構建算網(wǎng)內(nèi)生安全框架。
二是打造持續(xù)評估的跨域信任體系��。構建動態(tài)的身份信任體系,秉持“持續(xù)驗證��,永不信任”原則,充分利用安全代理����、網(wǎng)絡隔離、身份安全�����、信任評估等核心技術���,對主體身份進行動態(tài)授權管理,并進行持續(xù)信任評估���。
三是積極探索新技術與新應用����。開展網(wǎng)絡安全技術創(chuàng)新應用���,例如構建安全編排能力�����、推進密碼資源應用���、引入網(wǎng)絡安全保險�;探索更安全的數(shù)字化技術,如探索應用數(shù)字孿生等技術���;開展內(nèi)生數(shù)據(jù)安全能力建設���,如隱私計算等技術。
浙公網(wǎng)安備33021202002561號