“東數(shù)西算”工程算力樞紐安全能力建設(shè)白皮書

2 3 五、攜手助力樞紐節(jié)點安全能力構(gòu)建 結(jié)語 4前言5一、“東數(shù)西算”工程介紹協(xié)同創(chuàng)新體系的指導(dǎo)意見》正式印發(fā)（發(fā)改高技〔2020〕1922號/zhengce/zh6碳達(dá)峰碳中和目標(biāo)要求推動數(shù)據(jù)中心和5G等新型基礎(chǔ)設(shè)施綠色高質(zhì)量4.html?code=&state=123指出到2025成綠色集約一體化運行格局。加速提升我國數(shù)字經(jīng)濟在國民經(jīng)濟中的占比算力指數(shù)達(dá)到60分以上時，對GDP的拉動將進(jìn)一見，算力正成為我國在新發(fā)展格局下衡量經(jīng)濟狀況的“7加速發(fā)展。8可再生能源使用率，對我國實現(xiàn)碳達(dá)峰碳中和目標(biāo)（三）國家樞紐節(jié)點建設(shè)情況介紹互為補充，以此支撐推動算力資源有序向西轉(zhuǎn)移，加快解決東西據(jù)中心集群。八大樞紐節(jié)點根據(jù)當(dāng)?shù)刭Y源、需求和承擔(dān)責(zé)任等不分為“四數(shù)四算”。9加工、離線分析、數(shù)據(jù)存儲等業(yè)務(wù)。樞紐節(jié)點承建城市起步區(qū)建設(shè)指導(dǎo)建設(shè)內(nèi)容韶關(guān)數(shù)據(jù)中心集群起步區(qū)邊界為韶關(guān)2.優(yōu)化東西部間互聯(lián)網(wǎng)絡(luò)和樞紐節(jié)3.網(wǎng)絡(luò)實現(xiàn)動態(tài)監(jiān)用1.天府?dāng)?shù)據(jù)中心集群起步區(qū)為成都市雙流區(qū)、郫都2.重慶數(shù)據(jù)中心集群起步區(qū)為重慶市兩江新區(qū)水土科學(xué)城璧山片區(qū)、重慶經(jīng)濟技群，抓緊優(yōu)化算力布局，平衡好城市與城市周邊的算力資源部署，做好與“東數(shù)西上海、蘇州、縣、蕪色一體化發(fā)展示范區(qū)數(shù)據(jù)中心集群起步區(qū)群，抓緊優(yōu)化算力布局，積極承接長三角中心城市實時性算力湖為上海市青浦省嘉興市嘉善縣集群起步區(qū)為向西部遷移，構(gòu)建長三角地區(qū)算力資源“一體協(xié)同、輻射全張家口數(shù)據(jù)中心集群起步區(qū)為張家口抓緊優(yōu)化算力布局，積極承接北京等地實溫冷業(yè)務(wù)向西部遷移，構(gòu)建輻射華北、東北乃至全國的實時貴安數(shù)據(jù)中心集群起步區(qū)邊界為貴安新區(qū)貴安電子信息群，抓緊優(yōu)化存量，提升資源利用效率，以支持長三角、粵港澳大灣區(qū)等為主，積極承接?xùn)|部地區(qū)算力慶陽數(shù)據(jù)中心集群起步區(qū)邊界為慶陽西峰數(shù)據(jù)信息產(chǎn)業(yè)打造以綠色、集約、安全為特色的數(shù)據(jù)中心集群，重點服務(wù)京津冀、長三角、粵港澳大灣區(qū)等區(qū)域的算呼和浩特烏蘭察布和林格爾數(shù)據(jù)中心集群起步區(qū)邊界為和林格爾新區(qū)和集為京津冀高實時性算力需求提供支援，為長三角燈區(qū)域提供非中衛(wèi)國家數(shù)據(jù)中心集群起步區(qū)邊界為中衛(wèi)工業(yè)園西部云積極承接?xùn)|部算力需高效、清潔、集約、二、算力樞紐安全風(fēng)險與建設(shè)現(xiàn)狀（一）算力樞紐安全風(fēng)險（二）算力樞紐安全能力建設(shè)現(xiàn)狀基于對典型樞紐節(jié)點的實地調(diào)研以及與相關(guān)監(jiān)管主管單位和各建設(shè)算力和安全資源進(jìn)行整合實現(xiàn)算力輸出和安全保障提升多以點狀建設(shè)為三、算力樞紐安全能力建設(shè)目標(biāo)和各方責(zé)任（一）算力樞紐安全能力建設(shè)目標(biāo)在《關(guān)于加快構(gòu)建全國一體化大數(shù)據(jù)中心協(xié)同創(chuàng)新體系的指導(dǎo)意見》務(wù)在線安全運行。分級分類，研究制定相關(guān)規(guī)范標(biāo)準(zhǔn)促進(jìn)數(shù)據(jù)有序流通。（二）相關(guān)方安全責(zé)任建設(shè)運營者保障數(shù)據(jù)中心物理安全并為數(shù)據(jù)中心使用者提供基本的網(wǎng)絡(luò)的計算環(huán)境并為租戶提供面向其租戶環(huán)境的獨立進(jìn)行使用的安全能力賦方提供的安全能力，保障自有計算環(huán)境中網(wǎng)絡(luò)四、算力樞紐安全能力建設(shè)框架（一）安全能力建設(shè)總體架構(gòu)搭建全國一體化算力網(wǎng)絡(luò)國家樞紐節(jié)點“數(shù)盾”體系，從管理和技術(shù)兩云上盾、數(shù)據(jù)盾、應(yīng)用盾4個層次搭建一體化信息安下圖所示：（二）安全自主創(chuàng)新能力建設(shè)1.可信算力基礎(chǔ)設(shè)施化軟件、數(shù)據(jù)庫、應(yīng)用軟件等）提供基礎(chǔ)安全能到整個計算機系統(tǒng)。②基于硬件可信根的信任鏈，實現(xiàn)安全啟③支持運行過程中對系統(tǒng)完整性進(jìn)行度量并提部加載的代碼和數(shù)據(jù)在機密性和完整性方面區(qū)域具有更高的安全等級，非安全區(qū)域內(nèi)，即使③安全區(qū)與非安全區(qū)之間的采用標(biāo)準(zhǔn)化的接硬件攻擊的目標(biāo)側(cè)重于計算系統(tǒng)中使用的物理硬件的芯片板、設(shè)備端口或包括計算機系統(tǒng)及嵌入式系統(tǒng)在內(nèi)的其他組替換、修改和利用。從而達(dá)到獲取內(nèi)部程序或數(shù)據(jù)的目的攻擊后是否被破壞，物理攻擊可分為三種類型：侵入式攻②針對故障注入攻擊，支持邏輯&時間冗余，金屬外殼&特殊封裝，漏洞利用是黑客通過程序中的某些漏洞，來得到計算機的控制權(quán)(使自己編寫的代碼越過具有漏洞的程序的限制，從而獲得運行權(quán)限)。漏洞包括以下兩個方面：②安全存儲依托于機密計算可信執(zhí)行環(huán)境技術(shù)，硬件境才可以訪問，即加密數(shù)據(jù)只能在TEE內(nèi)被解密。安全為了確保加解密的隨機性，需要支持硬件隨機數(shù)發(fā)生器，集成多個獨密碼加速引擎是通過硬件方式或者CPU的專密碼加速引擎應(yīng)支持多種主流商用密碼算法，如：SM3、2.可信數(shù)字應(yīng)用安全啟動的過程。具體的安全啟動過程描述如圖所①基于硬件的不可被篡改的計算物理可信根可信的基礎(chǔ)，涉及的數(shù)字根證書通常在計算③計算固件安全啟動后，進(jìn)一步對計算系完整性進(jìn)行校驗，確保計算系統(tǒng)軟件未被篡改后，加④計算系統(tǒng)軟件可信加載后，機密計算系以正常運行，傳統(tǒng)意義上的啟動流程結(jié)束。在有些對高的計算過程中，安全啟動可擴展到每個安全應(yīng)用的信應(yīng)用進(jìn)行校驗，確保安全應(yīng)用未被篡改后，加載可遠(yuǎn)程證明是可信計算領(lǐng)域的一個重要環(huán)節(jié)，其主要系統(tǒng)的可信啟動支持，實現(xiàn)對目標(biāo)系統(tǒng)的平臺、系統(tǒng)及應(yīng)用的完知和檢測，為數(shù)據(jù)中心管理工具及云平臺系統(tǒng)資源編排工具提供務(wù)器（RAS）通過與遠(yuǎn)程證明客戶端（RAC）的協(xié)同驗證并服務(wù)器可信狀態(tài)。在如圖所示的遠(yuǎn)程證明應(yīng)用架構(gòu)中，兩個核心的組件分證書，管理工作服務(wù)器可信相關(guān)的數(shù)據(jù)信息，接收可信報告使能，在目標(biāo)系統(tǒng)上獲取遠(yuǎn)程證明所需的各種數(shù)據(jù)信基于機密計算的可信應(yīng)用優(yōu)勢在于它兼顧了安全效性，不僅可以無縫支持通用計算框架和應(yīng)用，而且計算性能基敵明文計算。它可以單獨用于保護(hù)計算狀態(tài)中的數(shù)據(jù)，也可以與術(shù)結(jié)合在一起來保護(hù)數(shù)據(jù)，尤其對于安全可信云計算、大規(guī)模數(shù)協(xié)作、隱私保護(hù)的深度學(xué)習(xí)等涉及大數(shù)據(jù)、高性能、通用隱私計景，是重要的技術(shù)手段，有效緩解數(shù)據(jù)價值共享當(dāng)中面臨的“不敢、不能”難題。在典型的機密計算可信應(yīng)用場景中，所涉及的關(guān)鍵算程序提供方、機密計算服務(wù)提供方、機密計算平臺提供方、數(shù)據(jù)①計算程序提供方：負(fù)責(zé)提供需在機密計序，計算程序應(yīng)和需求方的計算需求描述相符，程序會置入機②機密計算服務(wù)提供方：為用戶提供機密務(wù)提供方也提供服務(wù)的管理功能，如支持計算程序的錄入與③機密計算平臺提供方：要提供機密計算成在計算平臺內(nèi)部的硬件可信根、可信執(zhí)行環(huán)境等，負(fù)責(zé)實現(xiàn)④數(shù)據(jù)提供方：負(fù)責(zé)提供計算任務(wù)的計算⑤結(jié)果需求方：一般是計算需求的發(fā)起方求描述給機密計算服務(wù)，包括需要運行的程序，程序運行時需碼算法的安全強度不小于被加密密鑰本身所用于密碼算執(zhí)行環(huán)境內(nèi)使用。可審核性：密鑰的生成、使用、更新、銷毀等操②證書導(dǎo)入應(yīng)至少具備校驗證書有效期、加密算法強度③應(yīng)至少具備證書有效期檢查，并在證書有效④證書的私鑰或加密口令需要加密保存，3.可控安全核心能力決。在“東數(shù)西算”樞紐節(jié)點建設(shè)過程中，必須加強在網(wǎng)絡(luò)安全領(lǐng)域的基于國產(chǎn)化平臺適配環(huán)境，基于獲取報文、解碼報文、監(jiān)測報文和議識別并依次完成解碼，使用HS多模式匹配算法，將報文和特征分組建立威脅情報信息庫，實現(xiàn)情報的生命周期管理并與各安全系統(tǒng)聯(lián)動形成標(biāo)準(zhǔn)處置流程包括但不限于一下內(nèi)容并并重點拓展國產(chǎn)化環(huán)境漏研究完善探針感知用戶事件和基于事件的告警能力，拓展有效檢測（三）網(wǎng)絡(luò)和端點安全能力建設(shè)（網(wǎng)端盾）邊界防護(hù)安全：配置邊界訪問控制策略，檢入侵防范：邊界處部署威脅檢測設(shè)備實現(xiàn)對攻擊實惡意代碼防護(hù)：邊界部署惡意代碼防護(hù)系統(tǒng)對惡意全的移動工作空間。（四）云平臺和云負(fù)載安全能力建設(shè)（云上盾）入侵防范：提供了主機防火墻功能并檢測和應(yīng)用控制：管控應(yīng)用程序的網(wǎng)絡(luò)的訪問和操作行為完整性保護(hù)：監(jiān)測關(guān)鍵文件目錄、注冊表，發(fā)現(xiàn)和微隔離：定義并控制主機、主機應(yīng)用間的細(xì)（五）數(shù)據(jù)安全能力建設(shè)（數(shù)據(jù)盾）（六）應(yīng)用安全能力建設(shè)（應(yīng)用盾）漏洞修復(fù)提供依據(jù)，并組織技術(shù)力量對漏洞進(jìn)行修補，預(yù)提供web應(yīng)用的7*24實施監(jiān)測服務(wù)，包括網(wǎng)站脆弱性檢測、網(wǎng)站（七）安全管理體系建設(shè)等級測評、服務(wù)供應(yīng)商選擇等建設(shè)過程的安全（八）安全監(jiān)管體系建設(shè)（九）安全運營體系建設(shè)的可視化網(wǎng)絡(luò)安全運營服務(wù)。五、攜手助力樞紐節(jié)點安全能力構(gòu)建（一）信息化百人會介紹（二）華為鯤鵬計算產(chǎn)業(yè)介紹涵蓋從底層硬件、基礎(chǔ)軟件到上層行業(yè)應(yīng)用的全產(chǎn)業(yè)鏈條。鯤鵬計算從1.硬件開放鵬處理器基于多核數(shù)設(shè)計（最高提供64核處理器綜合性能、并發(fā)能寬，大幅提升應(yīng)用處理效率。鯤鵬主板全面共享華為在服務(wù)器領(lǐng)域積累準(zhǔn)部件，幫助整機合作伙伴快速推出自有品化部件，打造創(chuàng)新整機產(chǎn)品。2.基礎(chǔ)軟件署，目前90%主流開源軟件已支持鯤鵬，實現(xiàn)開源軟件在鯤開箱即用。戶構(gòu)建業(yè)界領(lǐng)先的解決方案，使能鯤鵬在行業(yè)核心五大加速組件之一——機密計算TrustZone套件：基于ARM（三）亞信安全企業(yè)介紹（四）亞信安全基于鯤鵬全棧安全整體解決方案助力“東數(shù)西算”工程樞紐節(jié)點打造真正自主創(chuàng)新的高可信安1.全面覆蓋的安全防護(hù)組件云上盾解決方案由云上負(fù)載保護(hù)和云安全資源池兩個子方案整合構(gòu)數(shù)據(jù)盾解決方案由數(shù)據(jù)安全防護(hù)和數(shù)據(jù)安全綜合治理兩個子方案整務(wù)管理運營中心。2.原生可信的安全應(yīng)用部署境（REE）側(cè)分別擁有自己的操作系統(tǒng)，用來執(zhí)行用戶的可信應(yīng)用。Cert申請獲得華為鯤鵬簽發(fā)的證書進(jìn)行可信應(yīng)用亞信根據(jù)業(yè)務(wù)重要性，將“信艙”云主機深度安全防殺毒事件、防火墻/入侵檢測事件、日志審計事件本業(yè)務(wù)功能處理。后者負(fù)責(zé)安全數(shù)據(jù)存儲，將配置、證書、上報事件等據(jù)及防護(hù)策略，使得防護(hù)系統(tǒng)失效。3.軟硬聯(lián)動的精準(zhǔn)安全管控虛擬貨幣“挖礦”活動指通過專用“礦機”計算生產(chǎn)虛程，能源消耗和碳排放量大，對國民經(jīng)濟貢獻(xiàn)度低，對進(jìn)步等帶動作用有限，加之虛擬貨幣生產(chǎn)、交易環(huán)節(jié)衍生的風(fēng)險出，其盲目無序發(fā)展對推動經(jīng)濟社會高質(zhì)量發(fā)展和節(jié)能減排帶來全面整治虛擬貨幣"挖礦"活動。場，其利用“挖礦”程序來獲取經(jīng)濟利益，使得“挖礦”僅老病毒變種頻繁，新病毒也層出不窮，如：利用多種漏洞攻擊化，很難通過單一安全產(chǎn)品實現(xiàn)有效的防護(hù)，需要進(jìn)行有今天的勒索攻擊最大的特征已然不是一個黑客，一個小完成的，非常多的勒索黑客們已經(jīng)發(fā)展成一個龐大了巨大的損失，為了應(yīng)對這樣的威脅，需要我們深入洞察這些程和團伙背后的原理，才能真正產(chǎn)生檢測、阻斷模都非常平常了，每個團伙成員分工明確，包括各種初始入侵，偵如上圖所示，現(xiàn)代勒索攻擊的轉(zhuǎn)變升級主要體現(xiàn)在Service）的興起使得勒索的作戰(zhàn)模式從傳統(tǒng)的小型團為模塊化、產(chǎn)業(yè)化、專業(yè)化的大型團伙作戰(zhàn)，其造成的勒索攻更廣，危害程度顯著增加；對于勒索攻擊的目標(biāo)，也從過往的蟲式攻擊升級成為針對政府、關(guān)鍵基礎(chǔ)設(shè)施、各類企業(yè)的定向外，從勒索方式來看，現(xiàn)代勒索攻擊已經(jīng)從傳統(tǒng)的支付贖金恢致