近年來，全球算力規(guī)模保持高速穩(wěn)定增長態(tài)勢，世界各國算力規(guī)模與經(jīng)濟發(fā)展水平呈現(xiàn)正相關(guān)，各國持續(xù)深化算力發(fā)展路徑，全球競爭愈加白熱化。加快夯實算力基礎(chǔ)底座，可以激發(fā)我國數(shù)字經(jīng)濟發(fā)展引擎。

　　在近日舉行的第24屆中國國際光電博覽會“算力網(wǎng)絡(luò)與光技術(shù)發(fā)展論壇”上，北京郵電大學(xué)電子工程學(xué)院執(zhí)行院長張杰以《算力光網(wǎng)絡(luò)安全保護技術(shù)》為題，做經(jīng)驗分享發(fā)言。

　　“要依托運營商算網(wǎng)基礎(chǔ)，融合接入安全、隔離安全、基本安全機制等安全能力，達到算力網(wǎng)絡(luò)節(jié)點隱身‘不可知’、攻擊威脅‘不可達’、算網(wǎng)系統(tǒng)‘不被控’的‘三重境界’安全愿景，推動算力網(wǎng)絡(luò)安全從‘單點可控’邁向‘一體化全程可信’。”張杰表示，踐行算力網(wǎng)絡(luò)核心安全發(fā)展理念，將護航新基建行穩(wěn)致遠。

　　算力網(wǎng)絡(luò)面臨四大安全挑戰(zhàn)

　　完整的算力網(wǎng)絡(luò)體系架構(gòu)包括：算網(wǎng)服務(wù)層、算網(wǎng)調(diào)度層、算力中心、邊緣算力/用戶中心、算力承載網(wǎng)絡(luò)五個部分。由于算力網(wǎng)絡(luò)涉及多源、泛在算力節(jié)點，無法保證每個節(jié)點都能做到安全可靠，同時數(shù)據(jù)分散到多方算力節(jié)點進行計算，會導(dǎo)致四大安全影響。

　　其一，算力網(wǎng)絡(luò)具有算力泛在、靈活接入等特點，頻繁的資源鏈接將導(dǎo)致資源的攻擊暴露面增加;其二，算力網(wǎng)絡(luò)中流通著海量且涉及機密隱私的數(shù)據(jù)，在傳輸過程中被篡改或泄露將造成嚴重后果;其三，算力服務(wù)是端到端服務(wù)，用戶群體龐大，分布式資源節(jié)點數(shù)量較多，數(shù)據(jù)信息管理較繁雜，存證溯源困難;其四，算網(wǎng)新型架構(gòu)新增算網(wǎng)感知單元、算網(wǎng)控制單元等網(wǎng)元，管控復(fù)雜度提升。

　　

 

　　“與算力網(wǎng)絡(luò)體系架構(gòu)相對應(yīng)，在基礎(chǔ)設(shè)施層、編排管理層、運營服務(wù)層等均面臨一定的安全風(fēng)險。”張杰指出，“倒金字塔”型體系架構(gòu)帶來物理層(光層)安全挑戰(zhàn)。當前，光通信安全仍依靠信號層面之上的網(wǎng)絡(luò)安全。為解決關(guān)鍵信息基礎(chǔ)設(shè)施的互連安全，需為高可靠傳輸提供物理防護。

　　多舉措提升物理層防護

　　據(jù)了解，物理層攻擊根據(jù)其造成的損害類型，可以分為中斷、竊聽兩類。其中，搭線竊聽攻擊只需攔截少量信號即可全部復(fù)制傳遞的信息。攔截劫持攻擊可以對傳輸信息進行插播、篡改，安全風(fēng)險更為嚴重。

　　“物理層防護聚焦于加密安全傳輸和與之相關(guān)的物理層密鑰協(xié)商技術(shù)。傳統(tǒng)的平均功率檢測、OTDR檢測和傳感光纖檢測都屬于此類防護�？山Y(jié)合人工智能等新技術(shù)，具有一定發(fā)展?jié)摿Α?rdquo;張杰表示，通過竊聽檢測系統(tǒng)進行竊聽定位的成功率已達到90%以上，而基于遞歸神經(jīng)網(wǎng)絡(luò)(RNN)的竊聽分類監(jiān)測方法，可根據(jù)每個竊聽方法的特征進行特征分析，實現(xiàn)對于竊聽方法的判斷。

　　“現(xiàn)階段，提升光層防護的重點工作還包括：不引入額外設(shè)備的長距離物理層安全密鑰生成與分發(fā);長距離、無中繼安全光傳輸;相干攻擊下QAM調(diào)制量子噪聲流密碼的安全性分析;構(gòu)建安全光路分層架構(gòu)，將亞波長業(yè)務(wù)映射至安全光路傳輸;構(gòu)建安全光網(wǎng)絡(luò)生存性模型，為工作路徑配置合理保護路徑。”張杰向與會觀眾介紹到。

　　鑄就四大堅盾，筑牢算力光網(wǎng)絡(luò)屏障

　　談及算力網(wǎng)絡(luò)未來的發(fā)展趨勢時，張杰表示，要以安全為基，筑牢算力光網(wǎng)絡(luò)屏障，搭建算力光網(wǎng)絡(luò)一體化安全防護技術(shù)支撐框架。

　　一是搭建“網(wǎng)端盾”，配合“數(shù)網(wǎng)”建設(shè)。加強網(wǎng)絡(luò)架構(gòu)安全、配置邊界訪問控制策略、研究訪問控制、入侵防范、惡意代碼防護、安全審計等加強算力+光的網(wǎng)絡(luò)安全，并部署統(tǒng)一終端管理管控終端應(yīng)用安裝和使用行為強化身份認證機制引入雙因素認證等加強終端安全加固并部署防護軟件檢測和阻斷攻擊并支持審計溯源。

　　二是推動“云上盾”，全面保護“數(shù)紐”安全。從云工作負載保護平臺、云租戶安全能力資源池等多個層面進行建設(shè)，構(gòu)建安全技術(shù)體系，為云上資源調(diào)度、云上租戶安全使用資源提供支撐保障。

　　三是打造“數(shù)據(jù)盾”，強化“數(shù)鏈”的數(shù)據(jù)安全保護。以加強數(shù)據(jù)安全防護防護建設(shè)為基礎(chǔ)，結(jié)合數(shù)據(jù)資產(chǎn)管理與風(fēng)險事件管理，實現(xiàn)能力聯(lián)動管理，達成自動化防護。

　　四是構(gòu)建“應(yīng)用盾”，保障“數(shù)腦”應(yīng)用安全全面有力。其中，“應(yīng)用盾”建設(shè)包括：應(yīng)用安全檢測平臺、應(yīng)用安全監(jiān)測平臺、應(yīng)用安全防護平臺、統(tǒng)一審計管理平臺、統(tǒng)一身份管理平臺等。