柴瑤琳，穆琙博，張?jiān)茣常h小東

（中國信息通信研究院，北京 100191）

0 引 言

當(dāng)前，信息技術(shù)（Information Technology，IT）/通信技術(shù)（Communication Technology，CT）/安全技術(shù)（Security Technology，SecT）等形成了漸進(jìn)式演進(jìn)的創(chuàng)新發(fā)展模式。IT 行業(yè)依托跨域算力基礎(chǔ)設(shè)施，構(gòu)建網(wǎng)絡(luò)化的異構(gòu)算力互聯(lián)網(wǎng)；CT 行業(yè)基于智能網(wǎng)絡(luò)設(shè)施，不斷釋放網(wǎng)絡(luò)計(jì)算能力，全面升級算網(wǎng)服務(wù)能力；SecT 行業(yè)則全面貫徹新的安全理念，積極研發(fā)解決方案，重塑算網(wǎng)安全新體制。

自“十四五”發(fā)展階段以來，算網(wǎng)融合[1]已經(jīng)成為信息通信技術(shù)（Information and Communications Technology，ICT）領(lǐng)域創(chuàng)新的高頻熱詞，頻頻出現(xiàn)在我國頂級政策布局和發(fā)展指導(dǎo)意見等文件中，被廣泛視為推動數(shù)智融合、加速數(shù)字經(jīng)濟(jì)轉(zhuǎn)型的核心。2022年1月，國務(wù)院印發(fā)《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》[2]，明確指出“推進(jìn)云網(wǎng)協(xié)同和算網(wǎng)融合發(fā)展、有序推進(jìn)基礎(chǔ)設(shè)施智能升級”。隨后，在“新基建”“數(shù)字中國”“東數(shù)西算”等國家級戰(zhàn)略布局有關(guān)的文件中，提出了要大力發(fā)展融合型的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施和算力基礎(chǔ)設(shè)施[3]，綜合地域地區(qū)差異，分批次、分梯度地進(jìn)行合理布局，發(fā)力算力網(wǎng)絡(luò)，打通數(shù)字設(shè)施的大動脈。總體來看，算網(wǎng)融合已成為支撐企業(yè)數(shù)字化轉(zhuǎn)型和國家數(shù)字經(jīng)濟(jì)發(fā)展的重要基石，算網(wǎng)安全則是算網(wǎng)融合發(fā)展的重要保障。

算網(wǎng)安全是算網(wǎng)產(chǎn)業(yè)全面發(fā)展的安全基石，也是算網(wǎng)應(yīng)用全面創(chuàng)新的重要延伸。算網(wǎng)安全兼顧了算網(wǎng)業(yè)務(wù)的整體發(fā)展需求，聚焦了多個(gè)防護(hù)對象，全面覆蓋從需求規(guī)劃、安全設(shè)計(jì)、安全防護(hù)、安全運(yùn)營，到持續(xù)安全運(yùn)行、維護(hù)包括安全監(jiān)測、威脅防御、應(yīng)急響應(yīng)在內(nèi)的全生命周期安全，致力于打造安全新閉環(huán)。

本文將聚焦算網(wǎng)安全這一主題，從國家戰(zhàn)略和行業(yè)發(fā)展兩個(gè)方面入手，剖析算網(wǎng)安全的發(fā)展背景，提煉算網(wǎng)安全的概念和內(nèi)涵，圍繞技術(shù)實(shí)現(xiàn)和部署實(shí)踐，概述算網(wǎng)安全的發(fā)展現(xiàn)狀，最后給出發(fā)展建議。

1 算網(wǎng)安全的提出

1.1 戰(zhàn)略驅(qū)動：國際安全形勢日益復(fù)雜

近年來，百年變局與世紀(jì)疫情交織疊加，國際環(huán)境日趨復(fù)雜，網(wǎng)絡(luò)空間對抗趨勢尤為突出，大規(guī)模針對性的網(wǎng)絡(luò)攻擊行為不斷增加，特別是規(guī)模化的網(wǎng)絡(luò)勒索事件，已觸碰到了世界主要國家的安全紅線，嚴(yán)重威脅了各國關(guān)鍵基礎(chǔ)設(shè)施。2017年，WannaCry 勒索病毒席卷全球，造成80 億美元的經(jīng)濟(jì)損失，并衍生了未來三年80%的病毒變種；2021年5月，美國最大的燃油管道公司Colonial Pipeline 遭到攻擊，引發(fā)美國3 個(gè)地區(qū)進(jìn)入緊急狀態(tài)；2021年6月，美國核武器合同商遭遇REvil 勒索攻擊，使得核武機(jī)密面臨泄露風(fēng)險(xiǎn)。當(dāng)前，安全漏洞和安全勒索已經(jīng)嚴(yán)重威脅各國國家安全命脈，成為亟須應(yīng)對的重要問題。

從技術(shù)視角來看，面對計(jì)算+網(wǎng)絡(luò)融合發(fā)展的大趨勢，傳統(tǒng)的網(wǎng)絡(luò)安全手段開始捉襟見肘。以人工智能、高性能計(jì)算、量子計(jì)算為代表的新一代計(jì)算技術(shù)逐步成熟，計(jì)算能力和計(jì)算方法均出現(xiàn)了重大突破。面對基于新型計(jì)算技術(shù)的網(wǎng)絡(luò)攻擊，現(xiàn)有依賴大數(shù)分解和質(zhì)數(shù)判定原理構(gòu)建的網(wǎng)絡(luò)安全加密技術(shù)會被輕松破解，而基于網(wǎng)絡(luò)規(guī)則和特征檢測的傳統(tǒng)網(wǎng)絡(luò)防御方式更加難以識別惡意攻擊，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)即將面臨非對稱式的挑戰(zhàn)和打擊。總體來看，隨著虛擬化、軟件化、智能化技術(shù)的廣泛應(yīng)用，算網(wǎng)融合新設(shè)施、新應(yīng)用、新場景將面臨嚴(yán)峻的安全挑戰(zhàn)，針對“云網(wǎng)邊端數(shù)”的多個(gè)環(huán)節(jié)都將可能成為被攻擊的對象。

我國秉持“安全是發(fā)展的前提，發(fā)展是安全的保障”這一理念，高度重視網(wǎng)絡(luò)安全與信息化的同步發(fā)展，相繼出臺了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》等系列文件，構(gòu)建了國家安全體系法律法規(guī)框架，強(qiáng)化了國家安全戰(zhàn)略指導(dǎo)和能力建設(shè)。面向網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國建設(shè)的新安全需求，網(wǎng)絡(luò)安全產(chǎn)業(yè)也迎來新的發(fā)展機(jī)遇。

1.2 行業(yè)驅(qū)動：算網(wǎng)融合應(yīng)用指數(shù)級增長

從行業(yè)視角來看，在數(shù)字經(jīng)濟(jì)大發(fā)展的背景下，算網(wǎng)融合領(lǐng)域的應(yīng)用創(chuàng)新包括超算互聯(lián)網(wǎng)、東數(shù)西算等國家級工程項(xiàng)目，也涵蓋了軟件定義廣域網(wǎng)絡(luò)（Software Define Ware Area Network，SD-WAN）、網(wǎng)際互聯(lián)協(xié)議版本6（Internet Protocol Version 6，IPv6+）、算力網(wǎng)絡(luò)、零信任、隱私計(jì)算等多個(gè)創(chuàng)新場景，行業(yè)應(yīng)用廣泛。根據(jù)中國通信標(biāo)準(zhǔn)化協(xié)會算網(wǎng)融合產(chǎn)業(yè)及標(biāo)準(zhǔn)推進(jìn)委員會發(fā)布的《算網(wǎng)融合技術(shù)與產(chǎn)業(yè)白皮書（2022年）》[4]中相關(guān)數(shù)據(jù)可知：2021年，我國算網(wǎng)融合的產(chǎn)業(yè)規(guī)模達(dá)到了5 532.4 億元，后續(xù)發(fā)展前景非?？捎^。

面向日益繁榮的應(yīng)用創(chuàng)新態(tài)勢，當(dāng)前，產(chǎn)業(yè)在全面發(fā)力融合創(chuàng)新的同時(shí)，支持?jǐn)?shù)字化、網(wǎng)絡(luò)化、智能化的數(shù)字服務(wù)方式，使網(wǎng)絡(luò)邊界被打破，以邊界防御+縱深防御為主要特征的傳統(tǒng)安全防御機(jī)制將面臨失效風(fēng)險(xiǎn)，并加大了安全挑戰(zhàn)和安全風(fēng)險(xiǎn)，主要包括以下方面：

（1）節(jié)點(diǎn)不可信。云、邊、端側(cè)的每個(gè)節(jié)點(diǎn)都可能被調(diào)度使用，需保證每個(gè)節(jié)點(diǎn)安全可信。

（2）暴露面增多。算力向邊緣和端側(cè)泛在演進(jìn)，導(dǎo)致暴露面急劇增多，泛終端易成為安全短板。

（3）數(shù)據(jù)泄露。數(shù)據(jù)資源在傳輸、調(diào)度、計(jì)算過程中遭受泄露、被篡改等風(fēng)險(xiǎn)。

（4）算力濫用。惡意攻擊者利用強(qiáng)大算力發(fā)起網(wǎng)絡(luò)攻擊或進(jìn)行密碼拆解。

（5）審計(jì)溯源復(fù)雜。算力網(wǎng)絡(luò)面向海量用戶及節(jié)點(diǎn)提供計(jì)算任務(wù)執(zhí)行、算力交易等服務(wù)，需對分布式節(jié)點(diǎn)的協(xié)同行為開展審計(jì)溯源。

2 算網(wǎng)安全的理解

2.1 算網(wǎng)安全的概念與內(nèi)涵

算網(wǎng)安全是算網(wǎng)融合的內(nèi)生安全能力[5]，是保障算網(wǎng)安全一體化、自主化、數(shù)字化的使能技術(shù)體系。算網(wǎng)安全也是一個(gè)復(fù)雜的系統(tǒng)工程，需圍繞應(yīng)用、平臺、設(shè)施、數(shù)據(jù)等多維防護(hù)對象，實(shí)現(xiàn)從需求規(guī)劃、安全設(shè)計(jì)、安全防護(hù)、安全運(yùn)營，到持續(xù)安全運(yùn)行、維護(hù)包括安全監(jiān)測、威脅防御、應(yīng)急響應(yīng)等的全生命周期安全閉環(huán)。

（1）應(yīng)用安全。算網(wǎng)應(yīng)用必須保證在算網(wǎng)上運(yùn)行的應(yīng)用能夠完整且安全地傳輸數(shù)據(jù)，安全有效地實(shí)現(xiàn)預(yù)期功能。應(yīng)用安全能力包括應(yīng)用訪問身份安全管理、算力交易安全、業(yè)務(wù)敏感信息全生命周期的隱私保護(hù)等。

（2）平臺安全。算網(wǎng)平臺結(jié)合人工智能、大數(shù)據(jù)等技術(shù)，為算網(wǎng)融合提供基于數(shù)據(jù)分析的網(wǎng)絡(luò)智能運(yùn)維和監(jiān)控，構(gòu)建多種類型的算力服務(wù)模型，實(shí)現(xiàn)對算力服務(wù)的統(tǒng)一編排和調(diào)度，使得算網(wǎng)平臺成為算網(wǎng)融合的智慧中樞，一旦算網(wǎng)平臺被攻擊者控制，整個(gè)算網(wǎng)都將陷入癱瘓狀態(tài)，因此，其安全防護(hù)的重要性不言而喻。平臺安全能力包括算網(wǎng)資源編排安全、運(yùn)維安全、調(diào)度安全、協(xié)同安全等。

（3）設(shè)施安全。算網(wǎng)基礎(chǔ)設(shè)施安全結(jié)合自動化安全監(jiān)測、入侵檢測、可信計(jì)算、虛擬化安全等能力，全面實(shí)現(xiàn)對算力基礎(chǔ)設(shè)施、云計(jì)算平臺、網(wǎng)絡(luò)設(shè)備、邊緣設(shè)備、算力網(wǎng)絡(luò)路由安全、邊緣訪問安全等的安全保障。

（4）數(shù)據(jù)安全。算網(wǎng)數(shù)據(jù)安全，指算力數(shù)據(jù)、云數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、邊緣數(shù)據(jù)、平臺數(shù)據(jù)、應(yīng)用數(shù)據(jù)等各類算網(wǎng)融合數(shù)據(jù)安全等。算網(wǎng)數(shù)據(jù)安全能力包括數(shù)據(jù)安全監(jiān)測與智能分析，數(shù)據(jù)協(xié)同安全，數(shù)據(jù)防泄漏，數(shù)據(jù)存儲、備份、恢復(fù)安全等。

2.2 算網(wǎng)安全的參考架構(gòu)及能力要求

算網(wǎng)安全的體系架構(gòu)包括了應(yīng)用安全、平臺安全、基礎(chǔ)設(shè)施安全3 個(gè)層面以及貫穿其中的數(shù)據(jù)安全，算網(wǎng)安全能力框架如圖1 所示。

圖1 算網(wǎng)安全能力框架

2.2.1 算網(wǎng)應(yīng)用安全能力

算網(wǎng)應(yīng)用的安全范疇包括算力交易安全、算網(wǎng)服務(wù)安全、身份安全管理等內(nèi)容。

（1）算力交易安全。通過明確算力交易流程和標(biāo)準(zhǔn)，規(guī)范算力注冊、接入、度量、運(yùn)行、計(jì)費(fèi)、評級等閉環(huán)流程，實(shí)現(xiàn)了對多方泛在、形態(tài)異構(gòu)的算力進(jìn)行統(tǒng)一的納管、封裝、使用。

（2）算網(wǎng)服務(wù)安全。主要包括全流程的編排管理和運(yùn)營服務(wù)，為上下游供應(yīng)鏈和異構(gòu)功能模塊提供一致性的安全聯(lián)動。

2.2.2 算網(wǎng)平臺安全能力

算網(wǎng)平臺的安全范疇包括接口安全、安全漏洞管理、資源編排調(diào)度安全等內(nèi)容。

（1）接口安全。這里的接口主要是指資源代表狀態(tài)轉(zhuǎn)移、應(yīng)用程序接口（Application Programming Interface，API）、簡單對象訪問協(xié)議等格式類型，強(qiáng)調(diào)為用戶、應(yīng)用提供不同類型的算力服務(wù)，比如，對接入的用戶具有認(rèn)證能力，以確保接入的合法性，且方便進(jìn)行合理的統(tǒng)計(jì)計(jì)費(fèi)，或者對接口提供監(jiān)測和異常處置服務(wù)，對超頻次調(diào)用、異常接入等行為具有發(fā)現(xiàn)和處置的能力。

（2）安全漏洞管理。算網(wǎng)平臺需要不斷檢測各種設(shè)施的安全漏洞，并進(jìn)行及時(shí)修補(bǔ)。比如，集群管理平臺定期對集群各節(jié)點(diǎn)的系統(tǒng)、組件進(jìn)行漏洞檢測，根據(jù)掃描情況，決策是否下發(fā)補(bǔ)丁并同步到其他管理模塊。

（3）資源編排調(diào)度安全。算網(wǎng)平臺需要對網(wǎng)絡(luò)節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)等節(jié)點(diǎn)的安全能力進(jìn)行全面度量，以整合整體端到端的安全能力。比如，當(dāng)用戶使用算力網(wǎng)絡(luò)服務(wù)，對數(shù)據(jù)保護(hù)具有特殊要求時(shí)，調(diào)度具有相應(yīng)安全服務(wù)能力的節(jié)點(diǎn)承擔(dān)計(jì)算任務(wù)。

2.2.3 算網(wǎng)基礎(chǔ)設(shè)施安全能力

算網(wǎng)基礎(chǔ)設(shè)施的安全范疇包括設(shè)施通用安全、算力設(shè)施安全、網(wǎng)絡(luò)設(shè)施安全等內(nèi)容。

夏天太陽最毒最烈的那段時(shí)間，學(xué)校正好放暑假了，我陪著父親在后山的坡嶺上挖土制磚。那時(shí)我八歲，我的童年與我們那兒其他孩子有著相同的味道。

（1）設(shè)施通用安全。這里需要通盤考慮物理安全、系統(tǒng)安全、虛擬化層安全、容器安全、資產(chǎn)識別與管理、密碼技術(shù)、軟硬件入侵檢測、安全威脅風(fēng)險(xiǎn)評估、可信計(jì)算技術(shù)等多個(gè)方面。

（2）算力設(shè)施安全。近年來，隨著云—邊—端三級算力架構(gòu)的普及，算力設(shè)施安全需要通盤考慮云計(jì)算安全、邊緣計(jì)算安全、端計(jì)算安全等方面的要求。

（3）網(wǎng)絡(luò)設(shè)施安全。IPv6+、SD-WAN、確定性網(wǎng)絡(luò)等是算網(wǎng)融合的典型網(wǎng)絡(luò)創(chuàng)新技術(shù)，對于網(wǎng)絡(luò)設(shè)施來說，需要兼顧數(shù)據(jù)平面和控制平面兩個(gè)方面的安全防護(hù)能力，實(shí)現(xiàn)全方位的安全防護(hù)。

2.2.4 算網(wǎng)數(shù)據(jù)安全能力

算網(wǎng)數(shù)據(jù)的安全范疇包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)處理安全、數(shù)據(jù)安全審計(jì)等內(nèi)容。

（1）數(shù)據(jù)采集安全。算網(wǎng)服務(wù)提供者或運(yùn)營者需要：制定數(shù)據(jù)采集規(guī)則，并評估采集數(shù)據(jù)的合規(guī)性；對不同類和級別的數(shù)據(jù)實(shí)施相應(yīng)的安全管理措施；對數(shù)據(jù)采集環(huán)境、設(shè)施和技術(shù)采取必要的安全管控措施；滿足GB/T 35273—2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的相關(guān)要求。

（2）數(shù)據(jù)傳輸安全。算網(wǎng)服務(wù)提供者或運(yùn)營者需要：明確數(shù)據(jù)傳輸安全的策略和技術(shù)保護(hù)措施，傳輸敏感信息時(shí)應(yīng)采取加密等安全手段；對數(shù)據(jù)傳輸接口進(jìn)行梳理和管控，包括傳輸速率控制、接口安全、流量監(jiān)控等；涉及數(shù)據(jù)出入境傳輸時(shí)，應(yīng)遵循相關(guān)的法律法規(guī)和國家標(biāo)準(zhǔn)要求；數(shù)據(jù)在交易和流轉(zhuǎn)過程中應(yīng)具備安全事件監(jiān)測、異常行為監(jiān)測和多種溯源能力，如對數(shù)據(jù)進(jìn)行簽名、添加數(shù)字水印等。

（3）數(shù)據(jù)處理安全。算網(wǎng)服務(wù)提供者或運(yùn)營者需要：明確數(shù)據(jù)處理和使用的目的與范圍，并在執(zhí)行時(shí)不超出該目的與范圍；遵循最小授權(quán)原則，采用必要的數(shù)據(jù)訪問控制機(jī)制；對數(shù)據(jù)處理過程的關(guān)鍵環(huán)節(jié)進(jìn)行審計(jì)，記錄和管理數(shù)據(jù)處理活動中的關(guān)鍵操作。

（4）數(shù)據(jù)安全審計(jì)。算網(wǎng)服務(wù)提供者或運(yùn)營者需要：支持基于數(shù)據(jù)庫通信協(xié)議審計(jì)和數(shù)據(jù)庫語句的解析和審計(jì)；支持面向數(shù)據(jù)庫運(yùn)維和安全管理人員，實(shí)現(xiàn)對數(shù)據(jù)庫操作、訪問用戶，以及外部應(yīng)用用戶的審計(jì)；具備全面、準(zhǔn)確、高效的數(shù)據(jù)庫監(jiān)控告警和審計(jì)追蹤能力，主動和實(shí)時(shí)地監(jiān)控?cái)?shù)據(jù)庫通信信息包。

3 我國算網(wǎng)安全的技術(shù)實(shí)踐及展望

3.1 算網(wǎng)安全的技術(shù)創(chuàng)新

作為一種新的技術(shù)范式，算網(wǎng)安全已經(jīng)得到了廣泛的行業(yè)認(rèn)同，其中有代表性的技術(shù)創(chuàng)新實(shí)踐包括零信任、安全訪問服務(wù)邊緣（Secure Access Service Edge，SASE）和區(qū)塊鏈。

（1）零信任。零信任將傳統(tǒng)集中式網(wǎng)絡(luò)防御邊界細(xì)化到每個(gè)資源，不再根據(jù)物理或網(wǎng)絡(luò)位置對用戶授予完全可信的權(quán)限，而是基于永不信任、持續(xù)驗(yàn)證的核心思想，對每次資源訪問行為進(jìn)行信任評估和動態(tài)授權(quán)，從而實(shí)現(xiàn)資源最小化權(quán)限控制。零信任關(guān)鍵技術(shù)包括軟件定義邊界、身份安全、微隔離等。將零信任技術(shù)引入到算網(wǎng)場景中可有效解決算網(wǎng)資源安全管控的難題，提升算網(wǎng)應(yīng)用安全水平。

在算網(wǎng)安全場景下，算力和網(wǎng)絡(luò)資源變得更加透明，與傳統(tǒng)打補(bǔ)丁方式部署安全設(shè)備或組件被動采集安全數(shù)據(jù)的做法相比，通過部署零信任架構(gòu)可以實(shí)時(shí)動態(tài)監(jiān)測算力狀態(tài)、網(wǎng)絡(luò)狀態(tài)、算力路由路徑等，以實(shí)現(xiàn)更加廣泛的主動的算網(wǎng)環(huán)境感知功能。

算網(wǎng)融合的算力來源具有多樣性，涉及多源、泛在算力節(jié)點(diǎn)，無法保證每個(gè)算力節(jié)點(diǎn)均安全可靠，在算網(wǎng)安全零信任架構(gòu)部署實(shí)施過程中要對接入算力網(wǎng)絡(luò)的算力用戶、計(jì)算任務(wù)、算力節(jié)點(diǎn)進(jìn)行安全等級標(biāo)識，針對不同的安全等級標(biāo)識，在動態(tài)授權(quán)過程中建立合適的認(rèn)證鑒權(quán)機(jī)制，同時(shí)在此基礎(chǔ)上進(jìn)行算網(wǎng)資源動態(tài)安全分配，實(shí)現(xiàn)算力的安全調(diào)度，并進(jìn)行動態(tài)權(quán)限評估。

面向算網(wǎng)安全的零信任模型的實(shí)施過程需要廣泛采集主體、客體和環(huán)境的安全依賴性數(shù)據(jù)，零信任創(chuàng)新技術(shù)應(yīng)用場景如圖2 所示，這些安全依賴性數(shù)據(jù)包括但不局限于：身份屬性數(shù)據(jù)、主體環(huán)境數(shù)據(jù)、網(wǎng)絡(luò)環(huán)境數(shù)據(jù)、訪問路徑數(shù)據(jù)、客體環(huán)境數(shù)據(jù)、歷史行為數(shù)據(jù)、訪問上下文數(shù)據(jù)等多維度數(shù)據(jù)信息，構(gòu)建智能化信任評估模型，對每次訪問行為進(jìn)行自動化、個(gè)性化的綜合信任度評估，提供信任和風(fēng)險(xiǎn)結(jié)果作為決策依據(jù)。在算網(wǎng)安全的零信任場景下，能夠獲得更加豐富安全的依賴性數(shù)據(jù)，因此也能夠進(jìn)行更加智能的信任評估。

圖2 零信任創(chuàng)新技術(shù)應(yīng)用場景

（2）SASE。算網(wǎng)融合時(shí)代，信息基礎(chǔ)設(shè)施深度賦能關(guān)鍵垂直行業(yè)數(shù)字化轉(zhuǎn)型，數(shù)據(jù)作為商品進(jìn)行流通，形成新型數(shù)據(jù)經(jīng)濟(jì)和商業(yè)交易模式，算網(wǎng)信息基礎(chǔ)設(shè)施及其衍生數(shù)據(jù)的價(jià)值均大幅提升，算網(wǎng)被攻擊的風(fēng)險(xiǎn)明顯增大。與傳統(tǒng)的網(wǎng)絡(luò)相比，算網(wǎng)融合的安全風(fēng)險(xiǎn)具有以下特點(diǎn)：一是算網(wǎng)終端的泛在接入導(dǎo)致的攻擊暴露面增加；二是算網(wǎng)網(wǎng)絡(luò)架構(gòu)變化導(dǎo)致的風(fēng)險(xiǎn)增大；三是端到端數(shù)據(jù)安全風(fēng)險(xiǎn)和管理復(fù)雜度的提升，如數(shù)據(jù)暴露面的增加、存證溯源復(fù)雜度和要求的提升等。

安全訪問服務(wù)邊緣SASE 集云、網(wǎng)、算、安于一體，SASE 創(chuàng)新技術(shù)架構(gòu)如圖3 所示，全面融合零信任網(wǎng)絡(luò)訪問、SD-WAN、云原生網(wǎng)絡(luò)、網(wǎng)絡(luò)安全即服務(wù)等技術(shù)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全一體化，滿足算網(wǎng)安全應(yīng)用的需求，賦能業(yè)務(wù)創(chuàng)新。SASE 具有身份驅(qū)動、云原生架構(gòu)、支持所有邊緣、全球分布等特點(diǎn)，身份驅(qū)動可解決算網(wǎng)中算力終端的安全接入問題，并通過結(jié)合零信任技術(shù)消除互聯(lián)網(wǎng)暴露面的問題；SASE 的云原生架構(gòu)天然適配算力網(wǎng)絡(luò)的云計(jì)算技術(shù)基礎(chǔ)架構(gòu)，通過云安全能力解決算網(wǎng)中的云內(nèi)安全問題；此外，SASE 支持在全球邊緣分布部署可適配算網(wǎng)中的計(jì)算節(jié)點(diǎn)、消費(fèi)節(jié)點(diǎn)的接入及安全需求，保障算網(wǎng)節(jié)點(diǎn)的靈活性和安全性。

圖3 SASE 創(chuàng)新技術(shù)架構(gòu)

（3）區(qū)塊鏈。算網(wǎng)融合在算力交易結(jié)算階段面臨算力交易的可信問題：算力網(wǎng)絡(luò)提供算力交易服務(wù)，可能引發(fā)惡意計(jì)費(fèi)、逃避計(jì)費(fèi)等抵賴行為。

針對算網(wǎng)融合的交易可信安全問題，借助區(qū)塊鏈技術(shù)，對交易信息（服務(wù)對象、算力需求、算力消耗、服務(wù)時(shí)間、計(jì)費(fèi)信息、支付信息等）進(jìn)行記錄并上鏈存儲，確保計(jì)費(fèi)可審計(jì)、可追溯。除此之外，和算力交易相關(guān)的算力服務(wù)請求（安全需求、算力需求、網(wǎng)絡(luò)需求、算法需求等）、編排管理結(jié)果（計(jì)算節(jié)點(diǎn)、數(shù)據(jù)安全處理方法、安全計(jì)算方法等）均需上鏈存儲，解決算力消費(fèi)者和算力網(wǎng)絡(luò)之間的安全信任問題?；趨^(qū)塊鏈的算網(wǎng)安全創(chuàng)新技術(shù)應(yīng)用場景如圖4 所示，在算網(wǎng)業(yè)務(wù)運(yùn)行時(shí)，需要上鏈存證的數(shù)據(jù)包括：一是用戶接入階段的算力消費(fèi)者向算力網(wǎng)絡(luò)發(fā)起的算力需求；二是算網(wǎng)編排階段的編排調(diào)度結(jié)果；三是任務(wù)執(zhí)行階段的用戶數(shù)據(jù)和最終計(jì)算結(jié)果的數(shù)字簽名；四是交易結(jié)算階段的完整交易信息。

圖4 基于區(qū)塊鏈的算網(wǎng)安全創(chuàng)新技術(shù)應(yīng)用場景

3.2 算網(wǎng)安全的發(fā)展建議

作為一種融合創(chuàng)新技術(shù)，算網(wǎng)安全發(fā)展逐漸向可信互聯(lián)、自動防御、安全融合的趨勢不斷演進(jìn)。同步算網(wǎng)安全創(chuàng)新發(fā)展面臨著技術(shù)研究薄弱、產(chǎn)業(yè)發(fā)展初期、商業(yè)創(chuàng)新難等挑戰(zhàn)，仍需整合政產(chǎn)學(xué)研用各方力量，形成合力，有針對性地做好能力儲備工作，針對上述問題提出以下措施：

（1）構(gòu)建算網(wǎng)安全創(chuàng)新技術(shù)體系。構(gòu)建算網(wǎng)安全技術(shù)體系，將安全能力內(nèi)置于整個(gè)算網(wǎng)體系中，采用內(nèi)生安全的一體化應(yīng)用模式，根據(jù)擬態(tài)防御、可信計(jì)算、零信任、DevSecOps 等多元安全技術(shù)路線，構(gòu)建開放創(chuàng)新的開源社區(qū)，打造創(chuàng)新試驗(yàn)床，鼓勵(lì)創(chuàng)新算網(wǎng)安全產(chǎn)品和方案，推動算網(wǎng)技術(shù)創(chuàng)新發(fā)展。

（2）加速算網(wǎng)安全行業(yè)應(yīng)用實(shí)踐落地。算網(wǎng)安全技術(shù)發(fā)展以及應(yīng)用場景具有廣泛性、開放性、挑戰(zhàn)性和多元性等特點(diǎn)，即需要明確網(wǎng)絡(luò)運(yùn)營商、設(shè)備供應(yīng)商、行業(yè)應(yīng)用服務(wù)提供商等產(chǎn)業(yè)鏈各環(huán)節(jié)不同主體的責(zé)任和義務(wù)，擴(kuò)大算網(wǎng)安全技術(shù)在國內(nèi)網(wǎng)絡(luò)安全市場的份額占比，適配金融、能源、交通等行業(yè)領(lǐng)域建立多維度算網(wǎng)安全評估體系，推進(jìn)科技創(chuàng)新成果轉(zhuǎn)化與行業(yè)應(yīng)用融合發(fā)展。

（3）打造算網(wǎng)安全產(chǎn)業(yè)合作平臺。充分發(fā)揮政府部門、企業(yè)、第三方組織等各方的能動性，構(gòu)建多方參與的算網(wǎng)安全生態(tài)體系，多舉措多層次組織開展交流論壇、項(xiàng)目推介、實(shí)踐比賽、案例評優(yōu)等活動，推動算網(wǎng)安全產(chǎn)業(yè)生態(tài)圈建設(shè)，構(gòu)建算網(wǎng)安全產(chǎn)業(yè)開放合作平臺。

4 結(jié) 語

算網(wǎng)安全是算網(wǎng)安全產(chǎn)業(yè)發(fā)展的基石，是網(wǎng)絡(luò)安全融合算力應(yīng)用的延伸，應(yīng)該以算力和網(wǎng)絡(luò)自身安全能力為基礎(chǔ)，主動從源頭屏蔽攻擊，實(shí)現(xiàn)“連接+算力+安全”一體化安全保護(hù)。當(dāng)前，算網(wǎng)安全作為算網(wǎng)融合技術(shù)發(fā)展的重要保障，面臨著諸多挑戰(zhàn)，仍需進(jìn)一步以市場需求為導(dǎo)向，強(qiáng)化算網(wǎng)安全創(chuàng)新應(yīng)用場景實(shí)踐，推動算網(wǎng)融合產(chǎn)業(yè)高質(zhì)量發(fā)展。未來，隨著算網(wǎng)安全技術(shù)及業(yè)務(wù)模式的不斷成熟，相關(guān)政策監(jiān)管將愈趨嚴(yán)格，產(chǎn)業(yè)發(fā)展更加規(guī)范化。同時(shí)，算網(wǎng)融合安全運(yùn)營機(jī)制及核心技術(shù)也將更加完善。