内生安全，护航算力网络健康可持续发展

       图1   基于免疫的算网内生安全能力体系

算网统一身份与信任评估体系

全网统一的算网身份与信任评估体系，是实现算网内生安全的基石。身份标识是安全识别及风险管理的核心要素，信任评估体系是实现安全与效率之间平衡的有效手段。算网身份应支持唯一性标识，且具备不可伪造、不可抵赖、可存证溯源等特点。信任评估体系可基于身份、标识、权限、行为等多种安全因子给予信用评分，向上支撑边界安全等安全交互设计。基于AI、大数据技术、区块链和隐私保护技术，基于统一标识和信任关系，算网的信任评估模型能够自行训练学习和自我完善，同时形成多维度的安全关系知识库，便于多方存证及溯源等。

算网边界安全

算网边界是算网内生安全对风险控制的第一道防线。边界安全的核心在于构建泛在弹性的算网边界接入安全控制机制，对于所有接入的算网节点进行统一管控，从而及时识别和防范恶意终端、恶意接入、恶意请求等风险。算网边界安全管控包括基于统一身份、加密、完整性校验等技术的协议级统一算网接入认证，以及基于SDP（Software-Defined Perimeter）、云化服务安全接入等技术的算力终端安全管理等。算网接入边界一旦识别出异常，及时进行预警联动，将风险第一时间在边界进行发现和拦截，最大化降低威胁影响。

算网网元安全

算网网元内生安全能力是算网安全风险控制的第二道防线。在新网元方面，以算网大脑为例，算网大脑的权限、请求机制、编排调度算法等，均考虑对恶意请求的发现识别、对资源的恶意消耗处理、对异常的预警等内生设计和异常预警联动。在新技术方面，SRv6技术引入的源路由攻击风险、网络拓扑泄露等风险，可以通过定义SRv6信任域、感知SRv6状态等内生设计来防范，同时也应支持异常预警。此外，基于AI等技术，关键算网网元也具备本地安全策略的自主记忆和自学习能力。

算网全网安全管理

算网全网安全是算网安全风险管控的第三道防线，也是实现算网全网级体系化、智能化协同的核心。通过以安全为视角的算网全网安全集中管控中心，聚合算网边界、算网各网元的安全能力，形成算网全网协同一致的智能安全管控逻辑平面，包括算网全网级的资产安全管理、算网全网安全态势感知及关联分析、算网安全能力编排与全网安全策略管控、算网联动预警与应急处置等。基于AI、区块链等技术，在数据保密和隐私保护的前提下，算网全网安全管控能力应支持自动化的记忆与学习能力。

算网数据安全

        数据交易是算网未来要支撑的核心商业形态，数据安全是保障算网数据交易可持续发展的核心环节。算网数据安全的能力存在于边界、网元、全网各个部分，提供天然的数据安全体系化支撑能力。基于数据管理全生命周期，在数据生成、采集环节，对数据进行即生即标即分级；在数据传输环节进行端到端的加密传输，支持自动加密和分类分级分区分权的安全存储；在数据的流转流通交易环节，基于隐私保护的前提，支持面向海量数据计算和共享交换的可管可控，包括请求合法校验、存证溯源等；在销毁与清除环节，基于权责设计合理的销毁确认及取证溯源等。此外，在识别并发现数据安全异常时，也应支持实时联动预警与安全策略协同。

算网内生安全愿景

作为算网基础底座能力之一，算网内生安全始于算网架构及顶层设计，通过将安全能力全面内生化、体系化、协同化，形成一体化、智能、协同的网络免疫能力。算网内生安全能力体系是一个分阶段分重点，由浅入深的过程。

当前阶段，正处于算网架构设计的关键时期，是当前算网内生安全先天免疫能力的最佳构建期。在江苏，中兴通讯与江苏移动合作，为南京滨江专属云提供云边端协同算力创新服务，同时围绕云边端园区算力协同安全防护关键技术进行攻关，保障业务系统基础设施安全，实现安全单点可控，探索内生安全能力的实现方案，以及一体化全程可信的技术路线。

未来，通过三道防线安全能力和体系级协同能力的不断自学习自成长，循环促进基础免疫体系进化乃至网络架构演进，持续护航算网和数据经济发展，是算网内生安全的长期愿景和目标。