专家观点 | 强化算力网络安全保障能力护航数字经济稳定发展 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 中国信息通信研究院安全研究所张涵羽周杨黄媛媛

随着国家数字化建设不断提速，数字经济进入算力时代。2022年我国全面启动“东数西算”工程，提出构建数据中心、云计算、大数据一体化的新型算力网络体系。在算力网络进入探索性建设初级阶段的同时，加快提升算力网络安全保障能力成为新的议题。近年来，我国陆续发布算力网络相关政策，对一体化算力网络建设、强化安全防护提出明确要求，算力网络的安全保障已成为重要关切点。此外，作为数字时代核心生产力，算力网络安全问题直接关系经济社会持续安全稳定运行。因此，前置性地做好网络安全工作至关重要。未来，产学研用各方协同发力，共同提升算力网络安全保障能力，推动全国数字经济协同发展。

算力网络是融合分布式计算、存储、传输资源的新型网络

根据2021年发布的国际电信联盟标准（ITU-T Y.2501）定义，算力网络（Computing Power Network，CPN）通过集中控制器、分布式路由协议等网络管理面系统，融合分布式服务节点的计算、存储、传输等资源，实现资源优化配置。

具体来说，算力网络包含3类要素：一是“编排”，通过智能调度、运营服务等管理面系统，统筹调度网络和算力；二是“算”，聚集云、边、端、IDC、超算中心等算力资源，提供分布式海量计算和存储能力；三是“网”，连接算力中心节点，灵活调度电信网、互联网、国家枢纽节点直连网等网络资源，打造毫秒级数据通路。

算力网络充分整合IDC、超算中心、边端算力等资源，以基础通信网络、数据中心直连网等为承载，以算力按需调度、多网异构互联、算网随行随动为特点，是云网融合的发展趋势。

算网建设全面提速算网安全是重中之重

“东数西算”工程推动算力网络建设全面提速。目前，我国已形成算力资源储备充足、算力调度初具规模、算力交易已现雏形的算网服务体系，算力网络初步构建。我国主张打造算网融合的基础设施，由“东数西算”工程牵引，打造更多算力基础设施，重视算力和网络资源融合以实现网络一体化、算力一体化发展。

我国当前仍依托云、基础通信网等现有网络的安全能力实现算力网络安全保障。但是，针对算力网络的攻击面广，可能引起严重危害。算力网络是公共服务、金融、能源、交通、商贸、工业制造等千行百业应用的基石底座，“东数西算”云网与数据融合加速，针对网、云、算、数任一维度的攻击，都能“以点带面”实现对行业应用、算力网络乃至现实世界的灾难性打击，直接影响14亿国民的正常生活，危害经济社会持续安全稳定运行。

算力网络架构特性复杂安全风险无处不在

算力网络架构涉及基础通信网层、算网融合层、算力服务层、算力网络运营层、用户层5个层级。在最底层的为基础通信网层，主要为电信运营商提供网络服务；在其之上的算网融合层，算力调度平台运营者（通常政府牵头、运营商建设）负责实现算网资源融合编排、打造生态；中间的算力服务层涉及云厂商、超算服务商等算力供应商作为主体，提供各类算力资源；算力网络运营层的主体为算力交易平台运营者，主要负责保障交易双方安全、诚信开展算力交易；最上层的用户层为使用、购买算力的业务服务供应商和千行百业。

算力网络在基础通信网络的基础上，具有网络与算力深度融合、海量异构算力等架构特性，且有产业生态链条长、安全角色交叉等生态特点，其新增了行业与算网交易等业务模式，可能带来跨域身份、边界防护等总体架构安全风险，算力环境、数据安全等重要点位安全风险，协同调度、算力交易等新增平台安全风险，以及生态协同风险。

算与网深度融合总体安全风险级联放大

一是动态的网络架构冲击原有固定安全体系。算力网络需基于对全网资源感知及算力意图分析，实现异构算力需求的按需调度，原有安全防护体系无法适配随时可能动态调整的算力网络架构，安全防护的疏漏会引发较大安全风险。

二是安全风险将通过信任体系冲击防御体系的根基。算网资源集中化编排下的跨域身份安全风险有机会击穿业务系统，可能存在用户数据泄露等风险。因此，跨域身份和信任体系需具备更高安全性。

三是更复杂的网络场景提高了安全防护和运营的难度。数量种类繁多的防护资产、大幅增加的安全节点，都使得算力网络安全运维成本和运营难度指数上升，错误的策略配置可能造成业务中断。

四是安全边界泛化程度加大，攻击内网蔓延跨域、跨网传播风险增加。云网、多云协同导致安全边界进一步泛化，降低隔离效果，增加网络暴露面，同时也加剧了安全威胁传播风险。

传统与新型安全风险并存冲击现有防护手段

一是多主体算力加大协同力度，算力可信和数据安全风险凸显。对于供给方来说，差异化算力协同增加算力可信难度。不同算力节点安全级别参差不齐，多种算力类型的融合，使得算力环境安全、可信安全隔离与算力安全感知等面临严峻挑战。对于需求方来说，算力协同凸显数据安全风险及钱包账户安全。算力网络引入了多元化的数据处理主体和计算场景，导致数据暴露面增加，交易过程中数据安全风险加剧。

二是新型服务模式挑战现有防护有效性。一方面，大量新系统的引入使得管理面高度集中，安全威胁“牵一发而动全身”。若攻击者劫持管理面数据库，获取算力节点拓扑，可定向发起DDoS攻击使关键节点失效，导致计算作业失败，甚至算力网络瘫痪。另一方面，安全防护措施的缺失将影响算网服务交易开展，造成交易双方的经济损失。算网服务交易是依托算网建设应运而生的新型业务模式，交易主体责任体系、交易过程合规、安全合约技术等方面安全措施亟须与建设同步落地实施。

三是生态主体多，安全责任落实难度加剧。算力网络产业生态涉及电信运营商、云服务商、设备商、安全提供商、用户等诸多角色，具有链条长、安全责任交叉等特点。在实际运营中，算力网络服务关系存在多级嵌套的情况，安全责任边界亟待厘清，威胁所带来的风险也依附产业链不断渗透，现有防护模式有效性受到挑战。

针对上述问题和挑战，要强化顶层设计和整体统筹，

规范引领安全。

一是制定算力网络安全工作指导文件。以“谁管理谁负责、谁运营谁负责”的思路和原则，明确各单位的主体责任边界；明确算力网络中不同算力基础设施、系统平台的安全防护、通信速度、业务运行等方面安全基线要求；建立网络安全风险事件报告机制，强化安全监管。

二是加强算力网络安全标准体系建设。制定算网安全标准研究框架，依托标准开展节点安全等级标记，完善安全防护机制；建立健全算网安全测评体系，加快风险评估、能力成熟度评价等相关工作开展。

三是搭建多角色协同工作机制，建立安全标准体系。建立算力网络主体安全责任共担模型，明确划分安全责任边界，建立适应多主体角色的协同工作和管理机制；建立算力网络安全标准体系，优化算力网络安全治理结构，增强安全治理效能。

升级扩容的同时探索创新，全面保障安全。

一是构建统一算力网络安全防御体系架构。依托已有国家级防护平台和体系，构建立体防御平台、打造全国态势感知系统中心、构建算网内生安全框架。

二是打造持续评估的跨域信任体系。构建动态的身份信任体系，秉持“持续验证，永不信任”原则，充分利用安全代理、网络隔离、身份安全、信任评估等核心技术，对主体身份进行动态授权管理，并进行持续信任评估。

三是积极探索新技术与新应用。开展网络安全技术创新应用，例如构建安全编排能力、推进密码资源应用、引入网络安全保险；探索更安全的数字化技术，如探索应用数字孪生等技术；开展内生数据安全能力建设，如隐私计算等技术。

（来源：人民邮电报）

分享网络安全知识强化网络安全意识