内生安全,护航算力网络健康可持续发展
发布时间:2022-09-19 作者:中兴通讯 王继刚,葛林娜 阅读量:

 

 

在当今国际形势和全球数字经济发展大潮下,随着数据要素化的快速推进,以及《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规和条例的生效实施,算力网络安全(以下简称“算网安全”)已成为护航算力网络健康可持续发展的关键底座能力之一。

 

 

算网安全的风险与诉求

 

安全问题的核心涉及人、科技工具和价值博弈,受攻击风险指数与攻击标的价值基本呈正比关系。算网时代,信息基础设施深度赋能关键垂直行业数字化转型,数据作为商品流通,形成新型数据经济和商业交易模式,数据空间主权也成为国家主权的组成部分,算网信息基础设施及其衍生数据的价值均大幅提升,算网被攻击的风险明显增大。与此同时,攻击手段也在升级,攻击方式往往极为隐蔽,且存在长期性、不可预测性及持续性、自动变种等特点。

 

相对于传统网络,算网安全风险的变化主要体现在四个方面:一是算网终端的泛在接入导致的攻击暴露面增加;二是算网网络架构变化及新网元实体引入导致的风险增大,尤其是承载感知、决策和控制能力的网络功能单元,如新增算网大脑单元风险、SRv6技术及其承载单元的安全风险等;三是算网全网安全的高效闭环管控复杂度提升;四是因数据交易新商业引入的端到端数据安全风险和管理复杂度双提升,如数据暴露面增加、存证溯源复杂度和要求提升等。

 

面对算网安全新形势和新风险,传统的外挂补丁式防御存在诸多问题。一方面,补救措施严重滞后,导致风险和损失无法及时控制;另一方面,安全防御方式被动,安全投资建设无法收敛,效果得不到保证。因此,转变安全理念,构建一体化的算网内生安全能力体系,实现算网安全能力的体系化、底座化、内在化、协同化、泛在化,成为算网对安全的新诉求。此外,算网基础设施作为关键基础设施,全面满足合规监管和自主可控,也是算网安全的重要诉求。

 

 

基于免疫的算网内生安全解决方案

 

受人体生物学免疫体系启发,中兴通讯于2019年底提出了基于免疫的网络内生安全创新方法论,并基于该方法论构建了算网内生安全能力体系(见图1)。算网内生安全的目标是为算网构建免疫能力体系,其基础是算网统一身份与信任评估体系,由边界安全、网元安全、全网安全三道防线共同构成。算网安全既与算网网络架构及功能深度一体化,又能独立成为完整的安全平面,以内生可控可收敛的方式,一方面实现对算网安全风险的可控,另一方面向上支撑数据流转交易等算网各业务场景。

 

Network diagram

 

       图1   基于免疫的算网内生安全能力体系

 

 

算网统一身份与信任评估体系

 

全网统一的算网身份与信任评估体系,是实现算网内生安全的基石。身份标识是安全识别及风险管理的核心要素,信任评估体系是实现安全与效率之间平衡的有效手段。算网身份应支持唯一性标识,且具备不可伪造、不可抵赖、可存证溯源等特点。信任评估体系可基于身份、标识、权限、行为等多种安全因子给予信用评分,向上支撑边界安全等安全交互设计。基于AI、大数据技术、区块链和隐私保护技术,基于统一标识和信任关系,算网的信任评估模型能够自行训练学习和自我完善,同时形成多维度的安全关系知识库,便于多方存证及溯源等。

 

 

算网边界安全

 

算网边界是算网内生安全对风险控制的第一道防线。边界安全的核心在于构建泛在弹性的算网边界接入安全控制机制,对于所有接入的算网节点进行统一管控,从而及时识别和防范恶意终端、恶意接入、恶意请求等风险。算网边界安全管控包括基于统一身份、加密、完整性校验等技术的协议级统一算网接入认证,以及基于SDP(Software-Defined Perimeter)、云化服务安全接入等技术的算力终端安全管理等。算网接入边界一旦识别出异常,及时进行预警联动,将风险第一时间在边界进行发现和拦截,最大化降低威胁影响。

 

 

算网网元安全

 

算网网元内生安全能力是算网安全风险控制的第二道防线。在新网元方面,以算网大脑为例,算网大脑的权限、请求机制、编排调度算法等,均考虑对恶意请求的发现识别、对资源的恶意消耗处理、对异常的预警等内生设计和异常预警联动。在新技术方面,SRv6技术引入的源路由攻击风险、网络拓扑泄露等风险,可以通过定义SRv6信任域、感知SRv6状态等内生设计来防范,同时也应支持异常预警。此外,基于AI等技术,关键算网网元也具备本地安全策略的自主记忆和自学习能力。

 

 

算网全网安全管理

 

算网全网安全是算网安全风险管控的第三道防线,也是实现算网全网级体系化、智能化协同的核心。通过以安全为视角的算网全网安全集中管控中心,聚合算网边界、算网各网元的安全能力,形成算网全网协同一致的智能安全管控逻辑平面,包括算网全网级的资产安全管理、算网全网安全态势感知及关联分析、算网安全能力编排与全网安全策略管控、算网联动预警与应急处置等。基于AI、区块链等技术,在数据保密和隐私保护的前提下,算网全网安全管控能力应支持自动化的记忆与学习能力。

 

 

算网数据安全

 

        数据交易是算网未来要支撑的核心商业形态,数据安全是保障算网数据交易可持续发展的核心环节。算网数据安全的能力存在于边界、网元、全网各个部分,提供天然的数据安全体系化支撑能力。基于数据管理全生命周期,在数据生成、采集环节,对数据进行即生即标即分级;在数据传输环节进行端到端的加密传输,支持自动加密和分类分级分区分权的安全存储;在数据的流转流通交易环节,基于隐私保护的前提,支持面向海量数据计算和共享交换的可管可控,包括请求合法校验、存证溯源等;在销毁与清除环节,基于权责设计合理的销毁确认及取证溯源等。此外,在识别并发现数据安全异常时,也应支持实时联动预警与安全策略协同。

 

 

算网内生安全愿景

 

作为算网基础底座能力之一,算网内生安全始于算网架构及顶层设计,通过将安全能力全面内生化、体系化、协同化,形成一体化、智能、协同的网络免疫能力。算网内生安全能力体系是一个分阶段分重点,由浅入深的过程。

 

当前阶段,正处于算网架构设计的关键时期,是当前算网内生安全先天免疫能力的最佳构建期。在江苏,中兴通讯与江苏移动合作,为南京滨江专属云提供云边端协同算力创新服务,同时围绕云边端园区算力协同安全防护关键技术进行攻关,保障业务系统基础设施安全,实现安全单点可控,探索内生安全能力的实现方案,以及一体化全程可信的技术路线。

 

未来,通过三道防线安全能力和体系级协同能力的不断自学习自成长,循环促进基础免疫体系进化乃至网络架构演进,持续护航算网和数据经济发展,是算网内生安全的长期愿景和目标。