1、1中国联通算力网络安全中国联通算力网络安全白皮书白皮书(2 202024 4)中国联通研究院下一代互联网宽带业务应用国家工程研究中心2024 年 7 月中国联通算力网络安全白皮书(2024)3目目 录录目 录.3一、发展现状.71.1 政策.71.2 产业.91.2.1 产业发展现状.91.2.2 产业发展成果.111.3 技术.15二、安全需求.162.1 安全风险分析.162.2 合规监管要求.17三、安全理念与架构.183.1 安全愿景.183.2 安全目标.193.3 安全体系架构.203.4 技术架构.22四、算力网络安全技术体系.244.1 基础设施安全.244.1.1 算力基础设
2、施安全.244.1.2.网络基础设施安全.314.2 编排管理安全.364.2.1 安全感知.364.2.2 安全编排.374.2.3 安全调度.374.2.4 安全管控.384.3 运营服务安全.394.3.1 运营安全.394.3.2 能力开放安全.414.3.3 融合应用安全.434.4 通用安全技术.444.4.1 身份标识.44中国联通算力网络安全白皮书(2024)44.4.2.密码技术.454.4.3 区块链技术.454.4.4 隔离与访问控制技术.464.4.5 AI 智能安全检测.464.5 数据安全.474.5.1 数据资产安全管理.484.5.2 数据泄露防护.494.5.
3、3 数据可信流通.494.5.4 数据隐私计算.50五、发展建议.51附录 1 参考文献.53中国联通算力网络安全白皮书(2024)5前 言当前新一轮科技革命和产业变革正在重塑全球经济结构,算力网络成为带动数字经济发展的主引擎。我国积极推进算力网络建设,实施“东数西算”战略,构建全国一体化算力网,算力规模飞速增长,智算发展迅猛。中国联通加快发展新质生产力,创造联网通信新价值、开拓算网数智新蓝海。加快建设“新八纵八横”国家骨干网,在“东数西算”国家枢纽节点间部署超高速互联通道,打造一张高通量、高性能、高智能的算力智联网,实现全域算力的智能调度,提供“通算+智算+超算”的一体化算力服务,将算力送达
4、千行百业、千家万户。算力网络在丰富数字生产生活场景的同时,也带来了新的安全挑战。开展算力网络安全技术体系研究,对推动算力网络安全能力建设、推进数字经济时代新基建高质量发展意义重大。本白皮书以国家整体安全观为指导,充分发挥网络安全现代产业链链长的主体支撑和融通带动作用,提出算力网络“新质安全、共链可信”的安全愿景和“构建开放融合+内生免疫+弹性健壮+网安智治的一体化安全”的安全目标。从运营商开展网络建设和应用部署的角度出发,设计了算力网络安全技术体系,以期为算力网络体系建设提供安全方面的参考。本白皮书目标读者包括但不限于移动运营商、通信设备提供商、安全产品提供商、安全服务提供商、系统集成商,以及
5、其他关心算力网络安全相关的机构和个人。中国联通算力网络安全白皮书(2024)6编写编写单位:单位:中国联通研究院、下一代互联网宽带业务应用国家工程研究中心、中国联通集团网络与信息安全部、华为技术有限公司编写组成员编写组成员(排名不分先后):总策划总策划:李红五、叶晓煜、徐雷、郑涛、曹畅编委会编委会:傅瑜、王翠翠、王蕴实、张小梅、葛然、王瑶、董婷婷、史金雨、王莹、贾雅清、蓝鑫冲、郭新海、丁攀、张岩、王施霁、佟恬、蒋武、石航、李振斌、张越威、盛杰成、孙佳中国联通算力网络安全白皮书(2024)7一、一、发展现状发展现状1.11.1 政策政策当前,随着数字经济时代全面开启,以 5G、智能宽带等为代表的
6、新型网络技术的发展和商用规模化的部署,带动了工业互联网、车联网、智慧医疗、智慧商业等垂直行业应用的蓬勃发展,新一轮科技革命和产业变革正在向纵深演进。据统计,到 2025 年,全球网联设备总数将超过 270 亿,而全球的数据总量则将达到 142.6ZB,这些都需要巨量的算力资源来支撑。算力资源已不再是单一的云资源池的形式,而是由云资源与广泛部署的边缘节点共同构成。在这种演进的趋势下,算力资源的协同是关键要点,算力网络应时而生。通过无处不在的网络连接,算力网络整合多级算力、存储等,为不同的行业提供最佳的资源分配方案,进而实现整网资源的最优使用,算力基础设施的重要性不断提升。作为算力的主要载体,算力
7、基础设施是支撑数字经济发展的重要资源和基础设施,对于实现数字化转型、培育未来产业,以及形成经济发展新动能等方面具有重要作用。算力作为数字经济的核心生产力,也已经成为全球战略竞争的新焦点,将带动数字经济创新发展迈向新台阶。习近平总书记多次强调,要加快新型基础设施建设,推动数字经济和实体经济融合发展。作为国家重点发展领域之一,算力网络利好政策持续出台。2020 年 12 月,关于加快构建全国一体化大数据中中国联通算力网络安全白皮书(2024)8心协同创新体系的指导意见 首次提出全国范围内数据中心形成布局合理、绿色集约的一体化格局。2021 年 5 月,国家发展和改革委员会、工业和信息化部等四部委提
8、出联合布局全国算力网络国家枢纽节点的“东数西算”工程,打通网络传输通道,提升跨区域算力调度能力。2021 年 7 月,工信部发布新型数据中心发展三年行动计划(2021-2023 年),计划建设全国一体化算力网络。2022 年 1 月,国务院印发“十四五”数字经济发展规划,明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。其中与算力相关的数字基础设施、数实融合等成为重点。2022 年 2 月,发改委发布国家发展改革委等部门关于同意京津冀地区启动建设全国一体化算力网络国家枢纽节点的复函,全国一体化大数据中心体系完成总体布局,我国将形成一体化的新型算力网络体
9、系。2023 年 2 月,中共中央、国务院发布数字中国建设整体布局规划,将数字基础设施列为数字中国建设的两大底座之一。2023 年 4 月 17 日,科技部启动国家超算互联网工作,成立了国家超算互联网联合体。为进一步凝聚产业共识、强化政策引导,全面推动我国算力基础设施高质量发展,2023 年 10 月 8 日,工业和信息化部等 6 部门联合印发算力基础设施高质量发展行动计划。2023 年12 月,国家发展改革委等部门发布关于深入实施“东数西算”工程加快构建全国一体化算力网的实施意见,进一步加快构建全国一体化算力网,以算力高质量发展支撑经济高质量发展。中国联通算力网络安全白皮书(2024)91.
10、21.2 产业产业1 1.2.1.2.1 产业发展现状产业发展现状经过多年发展,我国算力产业加速壮大升级,供给水平大幅提升,先进计算创新成果不断涌现,已形成体系较完整、规模体量庞大、创新活跃的计算产业,在全球产业分工体系中的重要性日益提升。当前,我国计算产业规模约占电子信息制造业的 20%以上,2022 年我国以计算机为代表的计算产业规模达 2.6 万亿元,计算技术国内有效发明专利数量位列各行业分类第一,产业高质量发展新格局正加快构建。一一是整机市场份额不断攀升是整机市场份额不断攀升。通用计算领域,根据 IDC 数据显示,浪潮、新华三、华为、中兴、宁畅排名我国服务器市场前五名,国产品牌市场份额
11、合计接近 81%。智能计算领域,浪潮、新华三、宁畅排名我国人工智能服务器市场前三名,国产品牌市场份额达 79%,2022 年MLPerf 基准评测中浪潮 AI 服务器获超半数赛道的冠军。高性能计算领域,我国超算系统占有量与制造商总装机量均保持全球领先。二是二是智算资源部署不断完善智算资源部署不断完善,阿里云 2022 年在河北张北、内蒙古乌兰察布启用了两座智算中心,为小鹏汽车等客户提供智能计算服务。百度在山西阳泉、江苏盐城、湖北宜昌建成了三座智算中心,用于自动驾驶训练或服务区域政府数字大脑、制造企业智能化。三是产业生态不三是产业生态不断完善。断完善。国产芯片已初具规模,X86、ARM、自主架构
12、 CPU 持续深化规模应用,华为、百度、寒武纪等 AI 芯片加速迭代优化。国产操作系统逐步向金融、电信、医疗等行业应用渗透,鲲鹏生态、PKS 体系等中国联通算力网络安全白皮书(2024)10计算产业生态日渐完善,覆盖底层软硬件、整机系统及应用等关键环节。随着我国算力规模的持续扩大,互联网、大数据、人工智能等与实体经济深度融合,算力应用的新业态、新模式正加速涌现,一方面算力正加速向政务、工业、交通、医疗等各行业各领域渗透,成为传统产业智能化改造和数字化转型的重要支点。另一方面,围绕“大算力+大数据+大模型”,智能算力成为全球数字化转型升级的重要竞争力。从应用领域看从应用领域看,我国算力应用已加速
13、从互联网、电子政务等传统领域,向服务电信、金融、制造、教育等行业拓展。在通用算力领域,互联网行业仍是算力需求最大的行业,占通用算力 39%的份额;电信行业加强算力基础设施投入力度,算力份额首次超过政府行业,位列第二。政府、服务、金融、制造、教育、运输等行业分列三到八位。在智能算力领域,互联网行业对数据处理和模型训练的需求不断提升,是智能算力需求最大的行业,占智能算力 53%的份额;服务行业快速从传统式向新兴智慧模式发展,算力份额占比位列第二;政府、电信、制造、教育、金融、运输等行业分列第三到八位。从支撑能力看从支撑能力看,算力应用场景向工业制造、城市治理、智能零售、智能调度等领域延伸,激发了数
14、据要素驱动的创新活力。“工业大脑”和“城市大脑”建设初具规模。“工业大脑”将工业企业的各种数据进行布局和融合,在上层构建工业数据中台,用智能的算法将数据的价值挖掘出来,实现数据采集监控、工业现场管控、设备智能控制等功能,快速提升工业中国联通算力网络安全白皮书(2024)11制造水平。“城市大脑”通过对城市全域运行数据进行实时汇聚、监测、治理和分析,全面感知城市生命体征,辅助宏观决策指挥,预测预警重大事件,配置优化公共资源,保障城市安全有序运行,支撑政府、社会、经济数字化转型。以中文大模型为代表的办公生产力应用加速推进。2023 年 3 月百度发布文心一言,4 月华为发布盘古大模型,阿里发布通义
15、千问大模型,商汤科技公布日日新大模型体系,5 月科大讯飞发布星火大模型,多家上市公司亦开始布局,助力 AI 大模型产业化。1.2.21.2.2 产业发展成果产业发展成果至今为止,我国对算力网络的愿景已在业界得到广泛的认可,算力网络在标准制定、生态建设、试验验证等领域均取得了一定进展。(1)标准制定国内三大运营商及相关企业高度重视算力网络的发展,在国内外标准化组织牵头推动算力网络相关标准的制定。华为联合国内运营商在欧洲电信标准化协会和宽带论坛(BBF)也启动了包括 NWI、城域算网在内的多个项目。中国电信、中国移动与中国联通在 ITU-T(International Telecommunicat
16、ion Union-T,国际电信联盟电信标准分局)立项了 Y.CPN、Y.CAN 和 Q.CPN 等系列标准,在 IETF(Internet Engineering Task Force,互联网工程任务组)开展了Computing First Network Framework 等系列研究。其中,由中国电信联合中国联通共同研究的算力网络框架与架构标准(Computing中国联通算力网络安全白皮书(2024)12Power Network-framework and architectrue,Y.2501)已于 2021 年发布,成为首项获得国际标准化组织通过的算力网络标准,也是算力网络从国内走
17、向国际的重要一步,在算力网络发展中具有里程碑式的意义。2021 年 7 月,中国通信学会成立算网融合标准工作组,开始算网融合领域的团标制定;2022 年 8 月,中国通信标准化协会 TC3 通过了 算力网络总体技术要求 行标报批稿,算力网络需求与架构以及 算力感知网络关键技术研究 等多项研究也在有序开展;此外,在 IMT-2030(6G)网络工作组也成立了算力网络研究组,研究在 6G网络中计算、网络融合对于未来网络架构的影响和关键使能技术;互联网研究专门工作组(Internet Research Task Force,IRTF)成立了在网计算研究组,面向可编程网络设备内生功能的场景、潜在有益点
18、展开研究。2023 年 3 月,国际互联网工程任务组(The InternetEngineering Task Force,IETF)成立算力路由(CATS)工作组,中国移动专家担任工作组主席,制定算力路由场景、需求、架构的国际标准,2024 年世界移动通信大会上,中国移动发布了全球首台算力路由器(CATS Router),标志着中国在算力网络技术上的原创性进展,也预示着算力与网络融合的未来已触手可及。(2)生态建设2020 年 6 月,CCSA TC614(网络 5.0 产业和技术创新联盟)成立了算力网络特别工作组,依托联盟的平台和资源,联合多方力量,共中国联通算力网络安全白皮书(2024)
19、13推、共创算力网络产业影响力,构建算力网络生态圈。CCSA 的部分标准推进委员会也在进行与算力服务相关的团标研究工作,例如TC608(云计算标准和开源推进委员会)、TC614(网络 5.0 技术标准推进委员会)和 TC621(算网融合产业及标准推进委员会)等组织,正在构建算力网络生态圈。移 动 边 缘 计 算 领 域 的 多 个 开 源 组 织 发 起 了 KubeEdge、Edge-Gallery 等开源项目;2019 年底,在中国联通、中国移动和边缘计算网络产业联盟(ECNI)均发布了算力网络领域相关白皮书,进一步阐述了算网融合的重要观点。除此之外,中国联通、中国移动、中国电信三大运营商
20、均已明确提出算力网络发展战略及相关举措,聚合计算与网络资源的能力,加快提供算网一体化服务。中国联通为数字经济打造“第一算力引擎”,加快建设“新八纵八横”国家骨干网,在“东数西算”国家枢纽节点间部署超高速互联通道,打造高速互通、性能优越、安全可靠的算力智联网,实现全局算力的网络化智能调度,支持训练推理的有效协同,并通过联通云的星罗算力调度平台,提供“通算+智算+超算”的一体化算力服务。当前,中国联通已形成“1+N+X”智算梯次布局,“一市一池”覆盖 200多个城市。未来,还将通过统一运营管理,提供“联接+感知+计算+智能”的算网一体化服务,满足“中训边推”“西训东推”对超大带宽、超低时延、超高可
21、靠的需求。中国联通算力网络安全白皮书(2024)14中国移动正构建以“5G、算力网络、智慧中台”为重点的新型信息基础设施,发展“连接+算力+能力”的新型信息服务体系。算力网络明确为中国移动的关键战略领域,围绕“基础设施建设、业务创新、技术引领”三条主线推动算力网络创新发展。2022 年中国移动算力整体规模已达 7.3EFLOPS,并通过建设“CFITI”试验网,发布算网服务 1.0、算力网络技术白皮书等系列举措,有力提升行业影响。中国电信认为算力网络是云网融合数字基础设施的特征和重要组成部分,2022 年发布“云网融合 3.0”,提出六大特征:云网一体、要素聚合、智能敏捷、安全可信、能力开放、
22、绿色低碳。中国电信在智能算力领域布局相对领先,率先构建“6+31+N+X”的四级 AI 算力架构,将有力提升天翼视联网等重点业务的数智化能力。(3)试验验证2024 年 2 月 26 日至 29 日,2024 年世界移动通信大会(MWC 2024)在西班牙巴塞罗那顺利举办。会上,中国运营商发布了多项算力网络创新成果。中国联通面向东数西算的全光直连需求,开展了 DC 间高通量高性能长距离 RDMA 无损传输试验,首次实现了基于 OTN 无损流控和端网协同拥塞控制的 3000 公里长距 RDMA 流量传输现网验证,端口带宽利用率从 20%提升到 90%以上,为业内首个面向智算的 3000 公里高通
23、量无损传输现网验证,为“东数西算”场景下的智算互联奠定了技术基础。中国联通算力网络安全白皮书(2024)151.31.3 技术技术在学术研究领域,算力网络的概念最初于 2019 年被提出来。结合国内外的研究报告和论文分析结果,可以将与算力网络相关的研究任务归纳为 4 个主要的类别。其一,对算力网络的发展愿景和需求目标进行明确的分析,在此基础上,重点研究算力网络的结构和关键技术,其二,研究和明确算力基础设施如何才能充分地融合云、边、端等多样性的算力,同时要对算力一体化服务的新型信息基础设施和现有网络基础设施的深度融合方案进行重点分析,其三,提出明确的算力任务调度算法、算力感知相关机制以及资源分配
24、和管理机制,其四,提出在区块链技术之上的算力交易安全保障技术和一种在算力网络中部署联邦学习的安全运营方式,同时为算力网络中的边缘计算节点设计一种看门狗协议。算力网络是一个由多个层面组成的复杂系统,其功能和架构已经在业界形成了初步共识,首先,基础设施层基础设施层作为计算网络的关键部分主要任务是将位于云、边、端等不同位置的计算资源连接起来,确保数据信息以高速且无损的方式传输。其次,编排管理层编排管理层作为计算网络的运行核心,融合了大数据和 AI 技术,能全面优化、整合、管理并智能调度计算网络资源。最后,运营服务层运营服务层作为平台,为用户提供计算网络服务。其提供了一种集成的计算网络产品供应服务模式
25、,为大部分用户创造了无感知的智能体验和一站式服务。中国联通算力网络安全白皮书(2024)16二、二、安全需求安全需求2.12.1 安全风险分析安全风险分析由于算力网络涉及多源、泛在算力节点,无法保证每个节点都能做到安全可靠,同时数据分散到多方算力节点进行计算,会导致三大安全影响:基础设施层面基础设施层面,攻击暴露面增加攻击暴露面增加:算力网络具有算力泛在、灵活接入等特点,频繁的资源链接将会导致资源的攻击暴露面增加。与此同时,网络攻击手段也在不断迭代升级,这些都使得资源受到攻击的概率大幅提升;随着云边端算力的泛在化分布,算力节点互联需求进一步加深,使网络连接面临安全风险的环境更加复杂。算力的动态
26、调度对跨系统、跨域甚至跨境的多场景点对点网络连接以及动态连接机制提出了新的需求,为攻击者提供了更多的攻击路径,增加了网络安全风险。此外,SD-WAN、IPv6/SRv6 等网络新技术的应用会对算力网络带来潜在的安全问题。算力编排管理层面算力编排管理层面,管控复杂度提升管控复杂度提升:相较于传统网络架构,算网新型架构新增网元如算网感知单元和算网控制单元等,这些网元的引入将导致算网全网安全的管理复杂度提升,安全风险也随之增加。算网信息在编排管理层汇聚,算力信息的正确性、完整性、安全性将影响算力网络正常编排调度服务的开展。由于算力节点的多源泛在特性,一旦节点被攻击或仿冒,造成虚假算力信息上传,将严重
27、影响算网的中国联通算力网络安全白皮书(2024)17可靠性。同时,基础设施信息的大量集中存储,增加了黑客对编排管理层进行攻击,窃取或篡改数据的风险。一旦数据被窃取,可能会导致黑客对算力网络的非法利用,若数据被篡改,还会造成用户数据的泄露,影响运营服务的正常开展。算力网络运营层面算力网络运营层面,存证溯源困难存证溯源困难:算力服务是端到端服务,用户群体庞大,分布式资源节点数量较多,数据信息管理起来较为繁杂,这导致存证溯源的复杂度提升,出现安全问题时难以快速定位安全威胁源。算力网络为多方算力节点提供算力对外输出的平台,可充分利用闲散算力资源,但存在引入不安全节点或恶意节点的可能性,影响计算结果可信
28、度,攻击者或恶意节点还可能发起网络攻击或执行数据窃取等攻击行为,对服务稳定性、数据安全性等造成威胁。算力网络面向海量用户及节点提供算力交易服务,交易管理复杂,不诚实的交易参与方可能会篡改或否认交易结果,引发恶意计费、逃避计费等问题,影响算力交易的公平公正。2.22.2 合规监管要求合规监管要求算力网络作为新型信息基础设施,需遵循相关法律法规,满足安全监管要求,同时在规划、建设和运营过程中做好安全“三同步”。在法律法规方面,应符合网络安全法、密码法、数据安全法、个人信息保护法、关键信息基础设施安全保护条例和网络安全审查办法等的相关要求,明确运营主体的安全责任。同中国联通算力网络安全白皮书(202
29、4)18时,需遵从网络安全等级保护基本要求系列标准,合理设计体系布局和层次形态,确定各部分的安全防护等级,构建相应的安全防护体系,提供既切合业务需求又安全可靠的算力网络服务。三、三、安全理念与架构安全理念与架构3.13.1 安全愿景安全愿景中国联通坚定履行数字经济时代网络安全的使命任务,聚焦建设网络强国、数字中国主责,拓展联网通信、算网数智主业,充分发挥网络安全现代产业链链长的主体支撑和融通带动作用,提出算力网络“新质安全新质安全、共链、共链可信可信”的安全愿景。新质安全新质安全:数字经济时代,算力成为代表性新质生产力,算力网络成为下一代网络的演进方向。算力网络安全也应该紧随技术革命性突破、生
30、产要素创新性配置、产业深度转型升级而产生新的安全质态。我们应该在算力网络中探索新质安全,拓展算力网络中安全的新模式、新场景和新应用。共链可信共链可信:实现“算”与“网”的全面融合,破除“领域、专业、产业”壁垒,是算力网络健康发展的重中之重。安全互信是融合发展的前提基础,我们应该凝聚算力网络安全产业链共识,打造安全开放的产业发展环境,构建全链条算力网络的可信能力,实现多领域、多专业,多产业安全融通发展,通过技术创新和生态合作实现共链可信。中国联通算力网络安全白皮书(2024)193.23.2 安全目标安全目标面向算力新时代,中国联通积极构建综合性新型数字信息基础设施,推进算网融合,以网强算。算力
31、作为转换数据价值的生产要素,已成为支撑数字经济持续纵深发展的重要动力,维护算力网络安全尤为重要,同时人工智能的发展也为算网安全带来了新的机遇与挑战。因此,充分利用安全新技术,构建坚实的基础设施安全底座,实现智能的编排管理,是保障算力网络以及数据安全的关键,从而实现“开放融合+内生免疫+弹性健壮+网安智治的一体化安全”的算力网络安全目标。开放融合:实现“算”、“网”深度融合,安全不成为开放融合的桎梏,而成为开放融合的新动能。构建具备公信力的算力网络环境,保证算力资源在全生命周期中被有效保护和合法利用,处置行为可审计、可溯源。内生免疫:保证全节点、全流程的高度安全可靠。建立算力网络内生免疫的安全能
32、力,主动从源头屏蔽攻击,提升算力网络抵御潜在未知威胁的能力。弹性健壮:具备应对大规模攻击的承受力,通过构建自适应的安全防御能力,提高确保关键业务及数据的快速可靠恢复。通过网络资产隐身,业务和数据无固定承载实体,使得攻击者无法精准定位目标。中国联通算力网络安全白皮书(2024)20 网安智治:具备网络、业务、安全一体化服务能力,实现算力网络安全的感知、分析、决策、执行的全流程闭环管理,从为丰富的数字经济应用提供安全的支持和服务。通过解构分析算力任务的安全需求等级,可动态调度算力网络中安全可信程度与算力任务匹配的计算节点资源,提供面向业务的智能安全保障能力。3.33.3 安全体系架构安全体系架构随
33、着云计算和大数据技术的快速发展,算力网络的安全问题已经成为了互联网行业中的一个重要话题。为了确保算力网络的安全性,需要采取一系列的安全措施,建立起一个完整的安全体系架构。这个安全体系架构应该包括三个层次,基于“基础设施安全、编排管理安全、运营服务安全”三层架构的算力网络安全体系架构,使用先进的通用安全技术,建立一个完整的安全保障体系,有效保障算力网络的安全性和可靠性,保护算网用户数据安全,为互联网行业的发展提供有力支持。中国联通算力网络安全白皮书(2024)21图 1 算力网络安全体系架构通用安全是基础,通过身份标识技术、密码技术、区块链技术、隔离与访问控制技术和 AI 智能安全检测为算力网络
34、安全体系架构的建设提供能力支撑;基础设施安全是算力网络安全的第一层,主要包括算力基础设施安全和网络基础设施安全,是算力网络安全体系架构的建设基石;编排管理安全是算力网络安全的第二层,包括安全需求感知、编排安全保障、智能安全调度、算力安全管控,是算力网络安全体系架构的管控核心;运营服务安全是算力网络安全的第三层,包括运营安全、安全能力开放、融合应用安全,是算力网络安全体系架构的能力中心;最终通过数据资产管理、数据防泄漏、数据可信流通以及数据隐私计算等数据安全能力做好算力网络安全的保障。算力网络的安全理念是基于安全内生智治的思想,通过建立全面中国联通算力网络安全白皮书(2024)22覆盖的网络安全
35、体系,实现算力泛在互联的目标。致力于提供可靠的网络安全服务,确保用户数据和隐私安全,保护用户权益。因此,我们的目标是构建“开放融合+内生免疫+弹性健壮+网安智治的一体化安全”算力网络,为用户提供全面的安全保障,为数字经济的发展做出贡献。3.43.4 技术架构技术架构基础设施层面基础设施层面,算力网络技术设施包括基于光电联动的全光网络底座,构建于底座之上的云、边、端全连接智能网络,以及满足超高带宽、超低延迟和超高可靠的确定性网络。基础设施安全包括算力基础设施安全、网络基础设施安全,以及算网融合一体发展趋势下算力基础设施安全和网络基础设施安全共生的安全要素。算网融合安全涵盖云计算安全、边缘计算安全
36、,端计算安全以及存储设施安全的算力基础设施安全,以及软件定义关于网络(software defined wide areanetwork,SD-WAN)与基于 IPv6 的分段路由(Segment routing IPv6,SRv6)的融合组网安全以及确定性网络安全的网络基础设施安全两部分。云计算是指通过互联网将计算资源、数据存储和应用程序提供给用户的一种方式。云计算安全主要面临数据隐私保护、虚拟化安全、网络安全等方面的挑战;边缘计算是指将计算资源和数据存储在离用户更近的地方,以提高应用程序的响应速度和可靠性。边缘计算安全主要面临设备安全、通信安全、数据安全等方面的挑战;端计算是指将计算资源和
37、数据存储在用户终端设备上,以提高应用程序的响应速中国联通算力网络安全白皮书(2024)23度和隐私保护。端计算安全主要面临设备安全、软件安全、数据安全等方面的挑战;存储设施安全是指对存储设备和数据进行保护,防止数据泄露、损坏、篡改等安全问题,存储设施安全主要面临数据备份、数据加密、存储设备管理等方面的挑战;SRv6 是一种基于 IPv6 的网络路由技术,主要面临的挑战集中在拒绝服务攻击、报文伪造和篡改、隐私泄露、未授权访问等方面;应用感知网络(Application-awareNetworking)通过 IPv6 扩展头将业务报文的相关应用信息(包括应用标识信息及其对网络的性能需求等)携带进入
38、网络,使得网络具备感知应用和服务的能力,主要面临隐私泄露的风险;SD-WAN 即软件定义广域网络,是 SDN 技术在广域网中的一种应用,主要面临的安全挑战是组件自身安全以及组件间通信安全;算力路由技术是将算力信息通过路由协议从算侧带给网侧,供网络设备完成算力请求的调度,通过在随路的网络设备上完成算力请求的调度,在算力信息的分发过程中,需要遵循信息最小化原则,同时需要增加安全措施防止算力信息的泄露和篡改。编排管理层面编排管理层面,面向高度复杂的算网环境,针对多样化、定制化的算力需求,对算力网络各个域的资源进行协同调度。编排管理安全包括编排安全保障、智能安全调度和算力安全管控,通过安全分级和标识、
39、动态安全分配、调度监控授权等措施保障算力网络安全资源分配调用的安全性。在算力网络安全感知过程中,需要对算网节点身份进行统一标识,便于进行统一身份认证、安全风险溯源及安全事件及中国联通算力网络安全白皮书(2024)24时处置;算力网络安全编排过程中,通过安全通道收集网络和算力资源信息数据,对用户信息、任务数据、算力资源分布信息等算力敏感数据进行实时和防护;算力和网络跨域拉通时,建立管理通道和控制通道应进行双向认证,加强访问控制,结合算力用户、算力任务、算力节点以及算力资源的安全等级标识,将任务调度到具有相应安全等级的资源节点处;安全管控需要从被动防御转变为自主检测和主动防御,过对算力资源进行访问
40、控制确保只有授权用户和程序能够使用所辖算力资源,在检测到安全状态异常时应触发告警或其它自动响应机制。运营服务层面运营服务层面,主要保障算力网络服务的安全性,包含能力开放安全、运营安全和融合应用安全 3 部分,其中,能力开放安全基于算力网络的计算和连接调度资源优势,封装形成原子化安全能力,并叠加标准化安全能力,对内外部应用提供安全服务;基于算力网络底层资源和开放的安全能力,运营安全实现安全交易、安全监控和安全审计等;融合应用安全面向数字生活、智慧生产、数字社会等差异化应用场景,提供灵活、动态、端到端的业务安全保障。四、算力网络安全技术体系四、算力网络安全技术体系4.14.1 基础设施安全基础设施
41、安全4.4.1 1.1.1 算力基础设施安全算力基础设施安全算力网络中的算力基础设施是指由一系列计算机、服务器、存储设备等硬件设施和相应的软件系统组成的基础设施。算力基础设施通中国联通算力网络安全白皮书(2024)25过集成大量计算机和服务器,为算力网络提供强大的计算能力,支持处理海量数据和复杂计算任务;算力基础设施还提供了大规模的存储设备,用于存储算力网络中的数据和信息;算力基础设施通过高速网络连接,实现不同节点之间的数据传输和通信,保障算力网络的高效运行。算力基础设施包含云计算、边缘计算以及终端,在为上层应用提供强大算力技术支撑服务的同时,也面临着较多风险,需对云计算、边缘计算、终端构建全
42、面、系统、立体的防护手段。4.1.1.1 云计算安全算力网络中,云主机凭借单性扩展、稳定性和高算力的特点完成算力的计算任务。主机集成了性能优异和高效算力的计算服务器和高速网络的带宽,云主机的安全方面,直接关系到虚拟化、容器等的安全。云计算的威胁除了传统的安全风险以外,还有云计算技术带来的新威胁。传统威胁主要包含来自外部网络的威胁,例如网络 IP 攻击、操作系统与软件漏洞、病毒植入。其次是来自网络内部的威胁,例如攻击技术和攻击手段日新月异内部防范愈发困难、安全漏洞补丁和安全库更新不及时导致病毒扩散;安全管理制度缺乏技术手段约束,安全策略无法有效落实。由于算力网络具备算力多、计算量大、AI 应用广
43、泛使用等特点,中国联通算力网络安全白皮书(2024)26云计算系统的计算资源使用方式和管理方式发生变化,给云计算带来了新的安全风险和威胁,例如随着虚拟化技术的应用,虚拟管理层成为风险发生高危区;资源按需分配使得对恶意攻击者的追溯困难;用户通过互联网开放环境接入,开放接口更容易受到攻击者的攻击;用户数据存储在云端,资源在多租户间共享,隔离不当会造成用户数据泄露;AI 模型作为核心资产容易被攻击破坏和窃取。根据云计算面临的威胁与挑战,需要提供安全解决方案,提供能力保障云计算平台及服务安全。4.1.1.2 边缘计算安全随着产业数字化转型的快速发展,针对边缘计算节点的安全攻击越来越多,边缘安全成为产业
44、用户重点关注的问题。边缘计算环境的主要威胁来自于边缘接入、边缘服务器、边缘管理。主要包括:边缘接入:不安全的通信协议、恶意边缘节点。边缘计算:边缘节点数据破坏;隐私数据保护不足;不安全的系统与组件;易发起分布式拒绝服务;易蔓延 APT 攻击;硬件安全支持不足。边缘管理:身份、凭证和访问管理不足;账号信息易被劫持;不安全的接口和 API;难监管的恶意管理员。需要从边缘基础设施安全、边缘网络安全、边缘应用安全、边缘数据安全整体构建边缘计算安全架构,防范边缘计算风险。中国联通算力网络安全白皮书(2024)274.1.1.3 终端安全由于算力网络中接入中单种类多,数量巨大,接入算力网络中的海量设备安全
45、能力参差不齐,很容易被黑客非法攻击,存在被劫持的风险,一但被劫持,黑客可以窃取用户敏感数据、入侵算力网络边缘节点和云计算平台。因此必须要有体系化的安全技术对算力网络中的终端进行保护,围绕终端的硬件层、系统层、网络层、应用层构建端到端防护方案,提升终端自身安全防护能力,有效防护终端被劫持的风险,在算力网络最末端做到有效的安全防护。图 2 算力网络终端安全技术框架 硬件层安全:通过使用硬件三防、安全启动、硬件加密等技术,解决终端被劫持、植入恶意程序、密钥泄露等风险。系统层安全:通过系统加固、漏洞防利用、入侵检测、固件保护、安全升级、安全审计等技术,解决漏洞利用、终端入侵等风险。中国联通算力网络安全
46、白皮书(2024)28 网络层安全:通过安全接入认证、网络层访问控制、端到端加密等技术,解决终端仿冒接入、数据泄露、通信窃听和篡改等风险。应用层安全:通过应用签名、应用隔离等技术,解决供应链投毒、恶意程序植入等风险;通过 AI 模型保护技术,解决终端侧模型窃取和破坏等风险。4.1.1.4 存储设施安全(1)数据防勒索勒索病毒已成为全球主要网络威胁,严重影响着数字经济的发展,全球大约 37%的企业均遭受过某种形式的勒索病毒攻击。传统网络安全解决方案并不能有效抵御所有攻击行为,当网络被入侵后,很容易扩散到内网所有的设备,包括生产设备、网络设备、存储设备等;不仅如此,勒索病毒在加密数据前,都会嗅探整
47、个网络环境中的备份数据,定向攻击备份系统,加密破坏备份数据,导致备份的数据无法恢复业务数据,从而达到勒索的目的。存储设施作为数据的“最直接的载体”,需要构筑有效的防勒索体系,补齐传统安全解决方案中数据防护的不足,当网络层和主机层漏防后,面对勒索软件对存储中数据进行加密时,通过隔离存储、数据防篡改、侦测分析技术等技术,实现在一个不被攻击的环境的中,有至少一份不被篡改的数据,并且这个数据是“干净”可用于安全恢复,将业务系统的损失降为最小。中国联通算力网络安全白皮书(2024)29图 3数据防勒索示意图 隔离存储:安全隔离域存储设备只有在数据复制时复制端口才会打开,仅允许复制任务单向传入到隔离域,当
48、数据复制完毕,复制端口立即禁用,最大程度减少安全隔离域的暴露面,降低数据被攻击风险。数据防篡改:根据数据写入特点,分别在生产中心的主存储和备份存储提供安全快照或 WORM 文件系统,防止勒索病毒加密数据或者非法获取管理员权限后删除数据或快照,造成数据被篡改或删除。侦测分析:数据安全一体机实时采集存储系统审计日志信息,检测 I/O 行为是否异常,如发现异常 I/O 行为,则立即生产安全快照,另外存储定时生成快照,借助快照建立历史数据基线模型,分析文件大小变化、熵值变化等,标记该快照为未污染或已感染,当快照为为污染状态会自动转为安全快照。网存算联动:基于网络、存储、计算防勒索能力,通过三方联动情报
49、共享,实现跨域整网快速响应协同,实现网络先发现并阻断,通知存储快照、计算查杀;存储先发现并快照,通知网络阻断、中国联通算力网络安全白皮书(2024)30计算查杀;计算先发现从查杀,通知网络阻断、存储快照。(2)存储加密专用备份存储系统需要支持数据加密特性,通过配置加密存储池和内置密管或者外置密管,和系统加密引擎配合完成数据静态加密,从而保证数据的安全性。图 4 存储加密安全 内置密管:系统自带的内置密钥管理应用,对密钥进行生命周期管理,包括密钥分层保护、密钥备份、密钥恢复、密钥产生、密钥更新、密钥销毁。内置密管具有易部署、易配置、易管理的特点。外置密管:外置密管采用 KMIP+TLS 的标准协
50、议,可以支持对接第三方密钥管理。如果数据中心多场景需要密钥集中管理,或者需要通过密码模块安全标准的认证,建议选择外置密管。外置密管支持密钥产生、更新、销毁、备份、恢复等操作。同时支持双 机模式,两个密管之间会进行密钥的实时同步,保证密钥可靠性。加密引擎:内置加密引擎,集成硬件的加解密算法的卸载能力,为数据加解密提供基础能力,开启数据加密后,对数据进行读写中国联通算力网络安全白皮书(2024)31时,通过内置加密引擎完成写入数据加密和读 取数据解密。4.4.1 1.2.2 网络基础设施安全网络基础设施安全4.1.2.1 SRv6SRv6(Segment Routing over IPv6)是一种
浙ICP备2021020529号-1 | 浙B2-20240490 
