當前，在以信息技術(shù)為代表的新一輪科技革命和產(chǎn)業(yè)變革浪潮中，數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型升級進度加快，5G、6G、云計算和大數(shù)據(jù)等新技術(shù)激發(fā)算力需求不斷提升，以ChatGPT、Sora為代表的人工智能應(yīng)用、大模型訓練等新應(yīng)用、新需求推動算力需求急速增長。以新材料、生物制藥、基因技術(shù)、金融科技等為代表的前沿科技和未來產(chǎn)業(yè)，對算力基礎(chǔ)設(shè)施提出了新要求，特別是對算網(wǎng)深度融合實現(xiàn)算力靈活調(diào)度、高速數(shù)據(jù)傳輸?shù)膽?yīng)用需求與日俱增。為回應(yīng)產(chǎn)業(yè)需求，自2019年起，我國三大運營商、通信設(shè)備廠商分別提出算力網(wǎng)絡(luò)、算力感知網(wǎng)絡(luò)、計算優(yōu)先網(wǎng)絡(luò)等相關(guān)技術(shù)概念，開啟了算網(wǎng)融合方向技術(shù)探索的新篇章。

2021年7月，由中國電信研究院牽頭制定的算力網(wǎng)絡(luò)國際標準ITU-T Y。2501《算力網(wǎng)絡(luò)框架與架構(gòu)》在國際電信聯(lián)盟電信標準化部門報告人會議上審議通過，并于9月正式發(fā)布。標準中關(guān)于算力網(wǎng)絡(luò)的定義在業(yè)界基本達成共識，即算力網(wǎng)絡(luò)是一種新型網(wǎng)絡(luò)，通過網(wǎng)絡(luò)控制平臺（如集中式控制器、分布式路由協(xié)議等）分發(fā)計算、存儲、網(wǎng)絡(luò)等服務(wù)節(jié)點的資源信息，實現(xiàn)資源優(yōu)化分配。算力網(wǎng)絡(luò)中的計算資源（如CPU、GPU等處理能力）與通信網(wǎng)絡(luò)深度融合，通過“算力大腦”實現(xiàn)對網(wǎng)絡(luò)中算力的統(tǒng)一感知、編排與調(diào)度。

在國家政策大力支持下，算力網(wǎng)絡(luò)逐步成為產(chǎn)業(yè)發(fā)展熱點。由“東數(shù)西算”工程牽引，我國已形成算力資源儲備充足、算力調(diào)度初具規(guī)模、算力交易初現(xiàn)雛形的算網(wǎng)服務(wù)體系。

作為算力網(wǎng)絡(luò)建設(shè)的中堅力量，三大電信運營商高度重視算力網(wǎng)絡(luò)，積極開展算力網(wǎng)絡(luò)技術(shù)研究，算網(wǎng)融合平臺已經(jīng)從早期理論構(gòu)想走向加速建設(shè)階段。除電信運營商外，阿里云、騰訊云等云廠商，華為、中興、浪潮等數(shù)據(jù)中心服務(wù)廠商也積極參與算網(wǎng)融合建設(shè)，推動算力網(wǎng)絡(luò)關(guān)鍵設(shè)備研發(fā)，優(yōu)化算網(wǎng)功能、性能。

在算力基礎(chǔ)設(shè)施方面，“東數(shù)西算”工程推動全國數(shù)據(jù)中心建設(shè)步伐加快。截至2023年底，我國在用數(shù)據(jù)中心算力總規(guī)模達到230 EFLOPS，標準機架超過810萬架，位居世界第二。隨著八大國家算力樞紐節(jié)點、十大數(shù)據(jù)中心集群建設(shè)落地，算力一體化格局已初步顯現(xiàn)。同時，“IPv6+”“全光網(wǎng)”等相關(guān)產(chǎn)業(yè)快速發(fā)展，我國算力承載網(wǎng)絡(luò)基礎(chǔ)不斷夯實。在算力調(diào)度方面，算力調(diào)度平臺建設(shè)進展迅猛。八大國家算力樞紐節(jié)點均已開始建設(shè)各自的算力調(diào)度平臺。同時，運營商也積極開展算力調(diào)度平臺建設(shè)，中國電信、山東聯(lián)通相繼發(fā)布算力調(diào)度平臺“息壤”和“曜算”，中國移動牽頭啟動了“百川算力并網(wǎng)行動”，計劃打造能夠接入大規(guī)模算力、并入多類型算力、提供全服務(wù)模式的算力并網(wǎng)平臺。在算力網(wǎng)絡(luò)標準方面，技術(shù)標準研制有序開展。2023年5月，算力網(wǎng)絡(luò)方向行業(yè)標準——《算力網(wǎng)絡(luò) 總體技術(shù)要求》正式發(fā)布。2023年11月，算力基礎(chǔ)設(shè)施領(lǐng)域國家標準GB/T 43331—2023《互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）技術(shù)和分級要求》正式發(fā)布。

此外，算力標識、算力度量、算力路由、算網(wǎng)融合控制、算力安全等算力網(wǎng)絡(luò)相關(guān)標準也在加緊制定。在算力網(wǎng)絡(luò)技術(shù)方面，原創(chuàng)技術(shù)不斷突破。中國移動突破算力路由技術(shù)，推出算力路由器；中國電信創(chuàng)新算力網(wǎng)關(guān)，提出基于BGP的算力網(wǎng)絡(luò)核心協(xié)議CP-BGP；中國聯(lián)通提出CUBE-Net 3.0網(wǎng)絡(luò)創(chuàng)新體系；華為6G研究團隊率先提出基于端邊云環(huán)境通算融合的移動算力網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)；中興通訊創(chuàng)新推出面向未來網(wǎng)絡(luò)演進的服務(wù)感知網(wǎng)絡(luò)解決方案。

目前，算力網(wǎng)絡(luò)技術(shù)體系架構(gòu)逐步清晰，已形成了基礎(chǔ)設(shè)施、編排管理、運營服務(wù)3層技術(shù)架構(gòu)。其中基礎(chǔ)設(shè)施層是算力網(wǎng)絡(luò)運行的計算和網(wǎng)絡(luò)能力基礎(chǔ)，實現(xiàn)包括云、邊、端算力在內(nèi)的泛在異構(gòu)計算資源的高速互聯(lián)，同時保證數(shù)據(jù)進行高效無損的傳輸；編排管理層是算力網(wǎng)絡(luò)的“大腦”，實現(xiàn)對算力、網(wǎng)絡(luò)資源的感知和統(tǒng)一度量與標識，并通過融合編排技術(shù)對算網(wǎng)資源進行統(tǒng)一管控、按需調(diào)度和智能優(yōu)化；運營服務(wù)層面向用戶提供算力交易服務(wù)，提供一體化的算力網(wǎng)絡(luò)產(chǎn)品，實現(xiàn)一站式服務(wù)和智能無感的體驗。

建設(shè)算力網(wǎng)絡(luò)，必須重視安全保障，從多個維度構(gòu)建算力網(wǎng)絡(luò)安全保障體系，實現(xiàn)算網(wǎng)建設(shè)和安全保障一體化推進。算力網(wǎng)絡(luò)將云計算、人工智能、邊緣計算、區(qū)塊鏈等技術(shù)進行深度融合，并引入SD-WAN、SRv6等網(wǎng)絡(luò)新技術(shù)，導致其面臨的安全風險呈現(xiàn)新樣態(tài)。

實際上，在算網(wǎng)融合的架構(gòu)下，異構(gòu)節(jié)點數(shù)量龐大，網(wǎng)絡(luò)互聯(lián)程度升級，資源調(diào)度智能自動，安全邊界隨之打破，數(shù)據(jù)安全與網(wǎng)絡(luò)安全、新技術(shù)安全相互滲透、相互影響，單點風險可能產(chǎn)生全局影響。綜合來看，算力網(wǎng)絡(luò)基礎(chǔ)設(shè)施層、編排管理層、運營服務(wù)層面臨如下數(shù)據(jù)安全風險。

在基礎(chǔ)設(shè)施層，異構(gòu)算力節(jié)點的接入和網(wǎng)絡(luò)新技術(shù)的引入增加數(shù)據(jù)安全防護難度。基礎(chǔ)設(shè)施層涉及到云數(shù)據(jù)中心、邊緣計算設(shè)施、終端設(shè)備等多源、泛在算力節(jié)點，其安全能力存在較大差異，增加了節(jié)點數(shù)據(jù)安全策略管理復(fù)雜度。算力動態(tài)調(diào)度使得數(shù)據(jù)跨系統(tǒng)、跨域甚至跨境流動場景增加，客觀上增大了數(shù)據(jù)暴露面，防護難度進一步增加。此外，SD-WAN、SRv6等網(wǎng)絡(luò)新技術(shù)的應(yīng)用，使得業(yè)務(wù)流量可能在公網(wǎng)傳輸，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，數(shù)據(jù)遭泄露、篡改等風險加大。

在編排管理層，算力網(wǎng)絡(luò)特有的資源數(shù)據(jù)和智能化編排方式使得數(shù)據(jù)安全與網(wǎng)絡(luò)安全、新技術(shù)安全相互交織。一方面，編排管理層作為算網(wǎng)資源與運營服務(wù)間的樞紐，匯聚了大量算力資源數(shù)據(jù)、編排數(shù)據(jù)、調(diào)度數(shù)據(jù)等特有敏感數(shù)據(jù)。這些數(shù)據(jù)會成為新的攻擊目標，一旦這些數(shù)據(jù)被竊取，可能會導致算力網(wǎng)絡(luò)的非法利用；若這些數(shù)據(jù)被篡改，將影響運營服務(wù)的正常開展，甚至會造成算力網(wǎng)絡(luò)運行事故。另一方面，算網(wǎng)編排層通過對高復(fù)雜度的算網(wǎng)環(huán)境進行通用化數(shù)學建模，利用智能核心算法，實現(xiàn)一系列智能控制和自動決策。其中涉及到大量的人工智能模型算法，針對這些算法的數(shù)據(jù)投毒、模型竊取等攻擊，將直接影響算力網(wǎng)絡(luò)的運行調(diào)度。

在運營服務(wù)層，算網(wǎng)交易信息、算網(wǎng)用戶數(shù)據(jù)都面臨較大安全風險。一方面，運營服務(wù)層面向海量用戶及節(jié)點輸出算力服務(wù)，如果數(shù)據(jù)訪問權(quán)限管理不當，將會面臨交易數(shù)據(jù)泄露、交易信息篡改等數(shù)據(jù)安全風險，引發(fā)惡意計費、逃避計費等問題，擾亂算力交易正常秩序。另一方面，用戶數(shù)據(jù)脫離原始安全域，在不同算力節(jié)點、不同主體間流轉(zhuǎn)，算力節(jié)點的安全防護能力未知，數(shù)據(jù)在流轉(zhuǎn)和計算過程中可能發(fā)生泄露、丟失、篡改、濫用等多重風險。

算力網(wǎng)絡(luò)作為新型基礎(chǔ)設(shè)施，具有資源范圍廣、參與主體多、數(shù)據(jù)對象雜、技術(shù)架構(gòu)新等特點，為應(yīng)對上述數(shù)據(jù)安全風險與挑戰(zhàn)，本文提出算力網(wǎng)絡(luò)數(shù)據(jù)安全保護框架，旨在厘清算力網(wǎng)絡(luò)數(shù)據(jù)安全工作范疇和工作重點，為搭建算力網(wǎng)絡(luò)數(shù)據(jù)安全保護體系提供參考。

算力網(wǎng)絡(luò)數(shù)據(jù)安全保護框架包括安全管理和安全技術(shù)兩個方面。安全管理方面，包括組織機構(gòu)、人員管理、數(shù)據(jù)分類分級、權(quán)限管理等制度機制，建立算力網(wǎng)絡(luò)數(shù)據(jù)安全管理體系。安全技術(shù)方面，提出針對基礎(chǔ)設(shè)施層、編排管理層、運營服務(wù)層3個層級的主要數(shù)據(jù)安全技術(shù)措施，建立算力網(wǎng)絡(luò)數(shù)據(jù)安全保護框架，如圖1所示。

圖1   算力網(wǎng)絡(luò)數(shù)據(jù)安全保護框架

算力網(wǎng)絡(luò)數(shù)據(jù)安全保護框架的安全管理部分主要從算力網(wǎng)絡(luò)運營主體的角度出發(fā)，結(jié)合數(shù)據(jù)安全管理的通用元素和算力網(wǎng)絡(luò)業(yè)務(wù)自身特點，提出構(gòu)建算力網(wǎng)絡(luò)數(shù)據(jù)安全管理體系的框架和思路。

在組織機構(gòu)方面，算力網(wǎng)絡(luò)運營主體需要建立數(shù)據(jù)安全責任制，并明確數(shù)據(jù)安全責任部門。依據(jù)《中華人民共和國數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》等法律法規(guī)及相關(guān)標準要求，算力網(wǎng)絡(luò)運營主體作為電信數(shù)據(jù)處理者，需要指定數(shù)據(jù)安全管理的主要負責人和責任部門，并明確責任部門具體職責，包括但不限于組織制定數(shù)據(jù)安全管理規(guī)劃、制度和標準，牽頭組織開展數(shù)據(jù)分類分級，統(tǒng)籌負責數(shù)據(jù)處理活動安全監(jiān)督管理，組織開展數(shù)據(jù)安全宣貫培訓等。

在人員管理方面，算力網(wǎng)絡(luò)運營主體需要建立數(shù)據(jù)安全人員管理體系，將數(shù)據(jù)安全管理要求納入入職、定崗、離職等人力資源管理流程中，明確擔任數(shù)據(jù)安全責任部門以及其他數(shù)據(jù)安全相關(guān)崗位的專業(yè)資質(zhì)；定期進行數(shù)據(jù)安全培訓與考核；明確數(shù)據(jù)安全關(guān)鍵崗位及人員，并與其簽署保密協(xié)議或數(shù)據(jù)安全責任書。

在數(shù)據(jù)分類分級管理方面，算力網(wǎng)絡(luò)運營主體需要建立數(shù)據(jù)分類分級管理制度，對本機構(gòu)的數(shù)據(jù)資產(chǎn)進行盤點，形成資產(chǎn)清單，識別重要數(shù)據(jù)和核心數(shù)據(jù)，制定重要數(shù)據(jù)目錄并定期更新，采取措施開展數(shù)據(jù)分級防護，對重要數(shù)據(jù)和核心數(shù)據(jù)進行重點保護。

在數(shù)據(jù)權(quán)限管理方面，算力網(wǎng)絡(luò)運營主體需要建立數(shù)據(jù)訪問操作權(quán)限審批管理制度，重點關(guān)注超級管理員權(quán)限、默認賬號、離職人員賬號的權(quán)限管理，定期審計賬號授權(quán)情況，及時回收過期賬號或權(quán)限。

在算力交易主體管理方面，算力網(wǎng)絡(luò)運營主體需要建立針對算力交易主體的管理制度。參與算力交易的主體通常具有多樣性，算力網(wǎng)絡(luò)運營主體需要對接入算力交易平臺的交易主體建立準入、審計、退出等管理機制，從機構(gòu)基本情況、業(yè)務(wù)經(jīng)營情況、數(shù)據(jù)安全能力等方面審核交易主體，并建立交易行為監(jiān)測機制，對存在違規(guī)交易行為的交易主體，或機構(gòu)發(fā)生重大變化導致不再符合準入條件的交易主體，及時做好處置或清退。

在數(shù)據(jù)安全風險管理方面，算力網(wǎng)絡(luò)運營主體需要建立數(shù)據(jù)安全風險監(jiān)測預(yù)警工作機制，對數(shù)據(jù)處理活動、內(nèi)外部數(shù)據(jù)流動等實施監(jiān)測巡查，對異常數(shù)據(jù)操作行為進行排查預(yù)警和處置。

在應(yīng)急響應(yīng)方面，算力網(wǎng)絡(luò)運營主體需要建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)工作機制，制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期開展數(shù)據(jù)安全事件應(yīng)急演練。

在安全評估方面，算力網(wǎng)絡(luò)運營主體應(yīng)當依據(jù)法律法規(guī)及相關(guān)行業(yè)標準，定期開展數(shù)據(jù)安全風險評估，形成評估報告，對評估中發(fā)現(xiàn)的安全風險或問題及時整改，對整改措施的有效性進行復(fù)核。

算力網(wǎng)絡(luò)數(shù)據(jù)安全保護框架的安全技術(shù)部分主要結(jié)合算力網(wǎng)絡(luò)自身的技術(shù)架構(gòu)，針對算力網(wǎng)絡(luò)各個層級分別面臨的數(shù)據(jù)安全風險，提出相應(yīng)的數(shù)據(jù)安全保護技術(shù)措施。

基礎(chǔ)設(shè)施層需要保障算力節(jié)點數(shù)據(jù)安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)安全和算網(wǎng)融合數(shù)據(jù)安全。其中，算力節(jié)點數(shù)據(jù)安全包括云計算、邊緣計算、端計算等設(shè)備的訪問權(quán)限管理、數(shù)據(jù)采集監(jiān)控、數(shù)據(jù)隔離、數(shù)據(jù)存儲等安全。網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)安全主要包括防止SRv6報文被篡改、被竊聽、被泄露等。算網(wǎng)融合數(shù)據(jù)安全指保障基礎(chǔ)設(shè)施層設(shè)備之間、基礎(chǔ)設(shè)施層與編排管理層之間算力度量、算力標識、算力感知、算力路由等算網(wǎng)信息的數(shù)據(jù)交互安全。

編排管理層需要保障算力網(wǎng)絡(luò)編排數(shù)據(jù)安全和智能編排算法安全。其中，編排數(shù)據(jù)安全包括對編排數(shù)據(jù)的安全監(jiān)控、安全審計，還包括算力監(jiān)控和編排安全檢測等技術(shù)手段，旨在防止編排數(shù)據(jù)被泄露、篡改或惡意使用，加強對算力資源、編排、調(diào)度等敏感數(shù)據(jù)的保護。智能編排算法安全包括數(shù)據(jù)質(zhì)量檢測和攻擊防御，數(shù)據(jù)質(zhì)量檢測采用數(shù)據(jù)清洗、轉(zhuǎn)換、驗證、異常檢測等方法提升整體數(shù)據(jù)質(zhì)量水平，防止污染數(shù)據(jù)對算法計算結(jié)果的操控。攻擊防御則根據(jù)算網(wǎng)環(huán)境下投毒攻擊、對抗樣本攻擊等攻擊特征，部署相應(yīng)技術(shù)防護手段。

運營服務(wù)層需要保障用戶數(shù)據(jù)安全和算網(wǎng)運營數(shù)據(jù)安全。其中，用戶數(shù)據(jù)安全包括用戶身份管理、訪問權(quán)限管理和用戶數(shù)據(jù)安全技術(shù)支持。通過身份管理、訪問權(quán)限管理，可以保障計算節(jié)點和用戶身份可識別、可驗證，數(shù)據(jù)訪問行為可管可控。用戶數(shù)據(jù)安全技術(shù)支持是指算網(wǎng)運營者為算網(wǎng)用戶提供脫敏、加密、溯源、隱私計算等技術(shù)手段，供用戶選擇，根據(jù)算網(wǎng)數(shù)據(jù)安全責任劃分規(guī)則，落實運營者和用戶雙方的數(shù)據(jù)安全責任，保障算網(wǎng)用戶數(shù)據(jù)安全。算網(wǎng)運營數(shù)據(jù)安全包括運營數(shù)據(jù)訪問權(quán)限管理、交易信息安全、安全監(jiān)控審計等，保障算網(wǎng)服務(wù)相關(guān)數(shù)據(jù)的安全，進而保障算力交易安全、算網(wǎng)運營安全。