东数西算工程国家枢纽节安全建设探索

全文共2626字，阅读大约需5分钟。

全国一体化算力网是中国式现代化的数字基座，国家枢纽节点及数据中心集群安全已成为“东数西算”工程安全保障的核心。随着“东数西算”工程不断推进，其安全风险和对策研究变得越来越迫切，特别是集群后的安全风险会造成更大范围、更大程度的损失。2023年12月，国家数据局等联合印发了《关于深入实施“东数西算”工程加快构建全国一体化算力网的实施意见》（发改数据〔2023〕1779号），明确指出“要统筹算力发展与安全保障的一体化推进”。同步由国家信息中心作为牵头单位，绿盟科技深度参与编制的《“数盾”体系总体能力要求》团体标准已经公开征集意见，可以有效帮助数据中心集群各参与方规范建立安全协同防护体系，并形成最佳实践。

随着数据中心集群算力高速直连网络连接的数据中心越来越多、范围越来越广，导致东西向安全风险越来越高，统一的数据中心集群安全防护体系和一体化安全保障服务能力亟待加强。

安全防护能力参差不齐，横向移动风险高

当前，算力网统一的安全标准体系尚未建立，造成集群内各数据中心安全防护能力参差不齐，攻击者通过算力直连网络重点突破集群数据中心安全防护薄弱环节，开展跨算力中心横向攻击。

海量数据跨域流通链路长，安全防护难

全国一体化算力网数据传输，将面临数据长距离、多环节的跨区域、跨集群流动，数据中心完成了以边界防御、病毒防范等为主的合规性安全体系建设，但面对APT等隐蔽性强的新型网络攻击时，“被动防御”体系无法进行有效对抗，无法快速识别和处置未知威胁，容易遭受持续的潜伏攻击，导致数据泄露点难以识别、难以感知。

安全产品碎片化部署，能力聚合难

市面上安全产品的碎片化导致数据安全防护体系建设落地的难度较大，数据安全产品基本是基于单一场景、单点能力进行设计和防护，缺乏统一规范的安全数据标准、安全资源接口标准和安全服务接口标准可以遵循，落地之后无法实现全局化的风险监测和全局化的安全管控。

绿盟科技秉持“统筹发展安全，建设数字中国”的指导思想，以体系化建设为指引，长期参与一体化算力网安全研究支撑和“数盾”体系标准编写，同时积极打通与运营商、互联网等企事业单位的安全协同，围绕构建安全一体化协同能力，可以在国家、区域、单体等不同层面有效支持东数西算国家枢纽节点开展重点安全防护工程建设，重点围绕数据安全基础设施、网络和数据攻防演习靶场以及算力网安全应用技术试验场等开展研究部署，可为枢纽节点建设各个参与方提供安全、合规、可靠落地建设支撑。

“东数西算”工程是一个全国协同的一体化建设工程，各个枢纽节点建设相关方需要从算力设施、网络、数据等各个维度进行统筹规划，构建以数据中心集群级安全中心监督管理为保障、以数据中心级安全中心风险管理为基础的自上而下、多维度的全国一体化数据安全协同防护体系。

图1 国家枢纽节点安全协同防护体系

（一）一体贯穿的安全监测能力支撑

面向国家枢纽节点，绿盟科技可以协同集群节点主管部门统筹打造安全监测预警指挥能力，建设集群级安全防护平台，形成统一监测、统一指挥、快速处置、信息共享的一体化安全防护能力。基于威胁情报库、漏洞库、密码资源池等公共基础设施和服务方面技术优势，配合建立健全共享共用、互认互通的安全资源体系，形成服务整个枢纽节点的安全资源保障能力。

面向数据中心，绿盟科技可支撑国家枢纽节点数据中心运营商建设安全运营平台，提供安全防护、安全服务、安全响应、威胁情报一体化服务，实现全网威胁情报的集中式管理访问、查询、共享和处置，保证网络持续高可靠运行，同步根据法律法规要求配合数据中心运营者完成安全监测和网络安全信息报送、安全事件处置等工作。

（二）全栈式算力设施防护能力

绿盟科技立足于“东数西算”算力基础设施集中化、云化趋势，聚焦云网安全需求与攻防实战，创新安全核心技术与技术架构，完善安全产品服务体系，持续丰富面向算力基础设施的云网安全解决方案，可以协助行业客户有效应对算力基础设施建设安全风险。面向党政机关、关键信息基础设施服务的云平台，提供云计算服务安全评估服务，不断提升风险实时告警、分析、处置和追溯能力，保障云平台和云租户安全。同步参考关键信息基础设施保护要求，协同配合各云服务商构建覆盖基础设施安全、云平台、容器、应用、运营的全栈防护能力体系。

（三）网络传输安全协同能力

绿盟科技积极开展弹性网络、可信网络等技术研究，可以协同配合国家枢纽节点网络运营商建设基于枢纽间算力高速传输网络安全能力中台，统一运营网络安全防护能力组件，在保障核心节点网络防护的同时，分发防护能力辐射整个算力集群的网、云、边、端，同步提供安全防护、安全服务、安全响应、威胁情报一体化服务，实现全网威胁情报的集中式管理访问、查询、共享和处置。重点增强高速网络通道的大型DDoS、僵木蠕、移动恶意程序、APT攻击等风险防控水平，保证网络持续高可靠运行。

图2 网络传输安全协同防护体系建设

（四）数据全生命周期安全屏障

绿盟科技长期聚焦于政府、金融、运营商、能源、交通、科教文卫、企业等行业相关规范要求，提出了“知”“识”“控”“察”“行”数据安全治理方法论，已经初步形成符合 “东数西算”工程场景需求的完整解决方案，可以有效支撑各相关主体开展多方数据安全融通新模式创新，打造“可知、可视、可管、可控、可溯”的数据全生命周期安全防护能力。在促进数据可靠流通方面，绿盟科技依托隐私计算相关技术积累，研发基于TEE技术的隐私计算产品，可有效配合有条件的国家枢纽节点、数据中心集群探索数据流通安全防护基础设施建设。

（五）AI安全大模型协同创新

在AI安全创新领域，绿盟科技推出“风云卫大模型”，是基于海量安全专业知识训练而构建的一套覆盖安全运营、检测响应、攻防对抗和知识问答等多种场景的网络安全运营辅助决策系统，可以有效协同国家枢纽节点安全运营方解决实战态势指挥调度、红蓝对抗辅助决策以及安全运营效能提升等关键问题。

图3 “风云卫” 垂直领域大模型构建AI安全能力平台

绿盟科技作为国家级应急响应支撑单位，“数盾”体系研究核心单位，承担着多项国家级重点项目、基金和课题的开发和实施，参与各类国家安全标准、行业安全规范的编写。秉持“统筹发展安全，建设数字中国”的指导思想，着力于在数字政务、数字经济、数字科技和基础设施等领域开展网络安全和数据安全工作和产业投入，积极参与全国一体化算力体系安全建设，可以为行业用户提供全面的安全解决方案，推动网络安全持续发展，护航“十四五”国家战略。