9月11日消息:近年来,全球算力规模保持高速稳定增长态势,世界各国算力规模与经济发展水平呈现正相关,各国持续深化算力发展路径,全球竞争愈加白热化。加快夯实算力基础底座,可以激发我国数字经济发展引擎。
在近日举行的第24届中国国际光电博览会“算力网络与光技术发展论坛”上,北京邮电大学电子工程学院执行院长张杰以《算力光网络安全保护技术》为题,做经验分享发言。
“要依托运营商算网基础,融合接入安全、隔离安全、基本安全机制等安全能力,达到算力网络节点隐身‘不可知’、攻击威胁‘不可达’、算网系统‘不被控’的‘三重境界’安全愿景,推动算力网络安全从‘单点可控’迈向‘一体化全程可信’。”张杰表示,践行算力网络核心安全发展理念,将护航新基建行稳致远。
算力网络面临四大安全挑战
完整的算力网络体系架构包括:算网服务层、算网调度层、算力中心、边缘算力/用户中心、算力承载网络五个部分。由于算力网络涉及多源、泛在算力节点,无法保证每个节点都能做到安全可靠,同时数据分散到多方算力节点进行计算,会导致四大安全影响。
其一,算力网络具有算力泛在、灵活接入等特点,频繁的资源链接将导致资源的攻击暴露面增加;其二,算力网络中流通着海量且涉及机密隐私的数据,在传输过程中被篡改或泄露将造成严重后果;其三,算力服务是端到端服务,用户群体庞大,分布式资源节点数量较多,数据信息管理较繁杂,存证溯源困难;其四,算网新型架构新增算网感知单元、算网控制单元等网元,管控复杂度提升。
“与算力网络体系架构相对应,在基础设施层、编排管理层、运营服务层等均面临一定的安全风险。”张杰指出,“倒金字塔”型体系架构带来物理层(光层)安全挑战。当前,光通信安全仍依靠信号层面之上的网络安全。为解决关键信息基础设施的互连安全,需为高可靠传输提供物理防护。
多举措提升物理层防护
据了解,物理层攻击根据其造成的损害类型,可以分为中断、窃听两类。其中,搭线窃听攻击只需拦截少量信号即可全部复制传递的信息。拦截劫持攻击可以对传输信息进行插播、篡改,安全风险更为严重。
“物理层防护聚焦于加密安全传输和与之相关的物理层密钥协商技术。传统的平均功率检测、OTDR检测和传感光纤检测都属于此类防护。可结合人工智能等新技术,具有一定发展潜力。”张杰表示,通过窃听检测系统进行窃听定位的成功率已达到90%以上,而基于递归神经网络(RNN)的窃听分类监测方法,可根据每个窃听方法的特征进行特征分析,实现对于窃听方法的判断。
“现阶段,提升光层防护的重点工作还包括:不引入额外设备的长距离物理层安全密钥生成与分发;长距离、无中继安全光传输;相干攻击下QAM调制量子噪声流密码的安全性分析;构建安全光路分层架构,将亚波长业务映射至安全光路传输;构建安全光网络生存性模型,为工作路径配置合理保护路径。”张杰向与会观众介绍到。
铸就四大坚盾,筑牢算力光网络屏障
谈及算力网络未来的发展趋势时,张杰表示,要以安全为基,筑牢算力光网络屏障,搭建算力光网络一体化安全防护技术支撑框架。
一是搭建“网端盾”,配合“数网”建设。加强网络架构安全、配置边界访问控制策略、研究访问控制、入侵防范、恶意代码防护、安全审计等加强算力+光的网络安全,并部署统一终端管理管控终端应用安装和使用行为强化身份认证机制引入双因素认证等加强终端安全加固并部署防护软件检测和阻断攻击并支持审计溯源。
二是推动“云上盾”,全面保护“数纽”安全。从云工作负载保护平台、云租户安全能力资源池等多个层面进行建设,构建安全技术体系,为云上资源调度、云上租户安全使用资源提供支撑保障。
三是打造“数据盾”,强化“数链”的数据安全保护。以加强数据安全防护防护建设为基础,结合数据资产管理与风险事件管理,实现能力联动管理,达成自动化防护。
四是构建“应用盾”,保障“数脑”应用安全全面有力。其中,“应用盾”建设包括:应用安全检测平台、应用安全监测平台、应用安全防护平台、统一审计管理平台、统一身份管理平台等。
