郭小偉
懷柔實(shí)驗(yàn)室信息化部主任
2021年5月,國(guó)家發(fā)展改革委���、中央網(wǎng)信辦、工業(yè)和信息化部����、國(guó)家能源局等四部委聯(lián)合印發(fā)通知�����,啟動(dòng)全國(guó)一體化算力網(wǎng)絡(luò)國(guó)家樞紐節(jié)點(diǎn)建設(shè),加快實(shí)施“東數(shù)西算”工程,算力網(wǎng)絡(luò)規(guī)劃建設(shè)步入關(guān)鍵時(shí)期。2022年底,《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》對(duì)外發(fā)布��,引領(lǐng)算力網(wǎng)絡(luò)持續(xù)匹配數(shù)據(jù)要素變革。算力網(wǎng)絡(luò)作為提供算力和網(wǎng)絡(luò)深度融合�����、一體化服務(wù)的新型基礎(chǔ)設(shè)施,已成為數(shù)字中國(guó)建設(shè)���、支撐數(shù)字經(jīng)濟(jì)持續(xù)縱深發(fā)展的生產(chǎn)力�。
算力網(wǎng)絡(luò)為各行各業(yè)的業(yè)務(wù)需求融合5G����、云計(jì)算、人工智能���、區(qū)塊鏈�����、大數(shù)據(jù)等新技術(shù)�,在云邊端等多形態(tài)算力節(jié)點(diǎn)之間按需分配�、靈活調(diào)度計(jì)算資源��、存儲(chǔ)資源以及網(wǎng)絡(luò)資源����,其建設(shè)模式正在從初級(jí)階段向高級(jí)階段轉(zhuǎn)變�����,即從算力與網(wǎng)絡(luò)融合推進(jìn)走向以數(shù)據(jù)為核心的多要素深度融合統(tǒng)一�。算力網(wǎng)絡(luò)面臨泛在接入、異構(gòu)調(diào)度、存算分離和服務(wù)質(zhì)量保證等新特點(diǎn)下的安全挑戰(zhàn)�����。網(wǎng)絡(luò)靶場(chǎng)是用于網(wǎng)絡(luò)空間安全研究�����、評(píng)測(cè)和分析的新型網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施�����。推動(dòng)算力網(wǎng)絡(luò)與網(wǎng)絡(luò)靶場(chǎng)深度結(jié)合,構(gòu)建算力網(wǎng)絡(luò)靶場(chǎng)���,將為系統(tǒng)性應(yīng)對(duì)算力網(wǎng)絡(luò)的安全挑戰(zhàn)提供一種全新的途徑�����。
算力網(wǎng)絡(luò)的發(fā)展趨勢(shì)及安全挑戰(zhàn)
在國(guó)家“東數(shù)西算”戰(zhàn)略背景下����,算力網(wǎng)絡(luò)初期的建設(shè)目標(biāo)是促進(jìn)數(shù)據(jù)中心資源最大化共享和利用�����,通過(guò)系統(tǒng)化布局促進(jìn)國(guó)家“雙碳”戰(zhàn)略實(shí)現(xiàn)��。當(dāng)前�,算力網(wǎng)絡(luò)應(yīng)用支撐以初級(jí)階段模式為主,通過(guò)整合多級(jí)數(shù)據(jù)中心算力的方式為用戶按需提供服務(wù)�,注重?cái)?shù)據(jù)中心容量、可靠性����、安全性���、可控性和節(jié)能性,尤其以能源效率為優(yōu)先�,以實(shí)現(xiàn)更高經(jīng)濟(jì)效益和滿足“雙碳”戰(zhàn)略導(dǎo)向。然而�,由于算力資源與需求方之間距離遠(yuǎn),數(shù)據(jù)跨網(wǎng)跨域傳輸造成的時(shí)延導(dǎo)致大量對(duì)算力有需求的業(yè)務(wù)無(wú)法使用遠(yuǎn)程算力����,算力網(wǎng)絡(luò)只能承載時(shí)延要求低、存算要求高的業(yè)務(wù)����,如離線分析、數(shù)據(jù)備份����、影視渲染等���。
為打破算力供給與需求難以匹配的困境���,必須在算力網(wǎng)絡(luò)建設(shè)中更多思考未來(lái)如何服務(wù)數(shù)據(jù)要素的問(wèn)題���,如不同應(yīng)用場(chǎng)景下數(shù)據(jù)如何流通使用,算力遠(yuǎn)程化帶來(lái)的網(wǎng)絡(luò)時(shí)延���、抖動(dòng)��、安全問(wèn)題如何解決等�����。在客戶需求的驅(qū)動(dòng)下�,算力網(wǎng)絡(luò)的建設(shè)模式須發(fā)生根本性轉(zhuǎn)變����,即從初級(jí)階段向高級(jí)階段轉(zhuǎn)變。高級(jí)階段算力節(jié)點(diǎn)更豐富�����,不僅限于數(shù)據(jù)中心���,還包括邊緣算力與終端算力的接入���,個(gè)人與行業(yè)用戶可以同時(shí)輸出算力服務(wù)�����,成為算力提供者從而參與算力交易����。同時(shí)�����,算力網(wǎng)絡(luò)資源編排調(diào)度更加智能����,任務(wù)執(zhí)行更加高效安全。高級(jí)階段的算力網(wǎng)絡(luò)建設(shè)更加注重資源協(xié)同���、安全與服務(wù)質(zhì)量保證�����,以實(shí)現(xiàn)促進(jìn)數(shù)據(jù)要素價(jià)值最大化和算力資源效能最大化的目標(biāo)��。需求驅(qū)動(dòng)的建設(shè)模式促進(jìn)算力供給與需求的匹配��,有利于充分發(fā)揮算力效能���,讓數(shù)據(jù)要素產(chǎn)生最大的經(jīng)濟(jì)效益,但建設(shè)模式的轉(zhuǎn)變也給算力網(wǎng)絡(luò)安全體系帶來(lái)新的挑戰(zhàn)(見(jiàn)圖1)�����。
圖1 算力網(wǎng)絡(luò)安全挑戰(zhàn)
第一��,算與網(wǎng)深度融合��,網(wǎng)絡(luò)邊界模糊�����,傳統(tǒng)安全機(jī)制面臨挑戰(zhàn)�。
在初級(jí)階段的建設(shè)模式下,建設(shè)重點(diǎn)主要在多級(jí)數(shù)據(jù)中心�����,關(guān)注算力生產(chǎn)網(wǎng)的安全���。隨著建設(shè)模式�、建設(shè)重點(diǎn)的變化,算力網(wǎng)絡(luò)的邊界從算力生產(chǎn)網(wǎng)擴(kuò)大到算力配給網(wǎng)��,又進(jìn)一步包含邊緣算力和多源終端算力節(jié)點(diǎn)��,算力與網(wǎng)絡(luò)深度融合����,安全的關(guān)注范圍也隨之?dāng)U大。泛在化���、多元異構(gòu)的算力節(jié)點(diǎn)使暴露面增多��,不同類型的計(jì)算資源面臨不同的安全風(fēng)險(xiǎn)�����,使得整個(gè)算力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)急劇增加����。傳統(tǒng)的面向有邊界網(wǎng)絡(luò)安全守護(hù)模式面臨挑戰(zhàn)��,需要構(gòu)建新的安全機(jī)制來(lái)實(shí)現(xiàn)算力網(wǎng)絡(luò)全程����、長(zhǎng)效安全����。
第二����,數(shù)據(jù)存算分離��,數(shù)據(jù)守護(hù)責(zé)任更加復(fù)雜���。
用戶在使用算力網(wǎng)絡(luò)執(zhí)行任務(wù)時(shí)���,數(shù)據(jù)和計(jì)算模型要部分或全部“搬家”到算力中心,運(yùn)算結(jié)果又要回傳數(shù)據(jù)擁有方或提供給有需求的第三方�。對(duì)于復(fù)雜任務(wù),算力網(wǎng)絡(luò)可能協(xié)同多方算力資源共同執(zhí)行�,那么數(shù)據(jù)將在多個(gè)計(jì)算節(jié)點(diǎn)間流轉(zhuǎn)。用戶使用公共算力最大的顧慮是數(shù)據(jù)流轉(zhuǎn)過(guò)程中的泄露風(fēng)險(xiǎn)���,因?yàn)閿?shù)據(jù)流轉(zhuǎn)路徑�、目標(biāo)算力節(jié)點(diǎn)安全狀態(tài)均不受自己控制����,是一個(gè)多方共同守護(hù)數(shù)據(jù)安全的復(fù)雜局面�,需要更好的方式系統(tǒng)分析�、評(píng)估和改進(jìn)數(shù)據(jù)的全生命周期安全。
第三��,服務(wù)等級(jí)差異化�����、智能化�,跨網(wǎng)效果難驗(yàn)證。
算力網(wǎng)絡(luò)服務(wù)目標(biāo)針對(duì)的是對(duì)算力要求高的業(yè)務(wù)����,而這些業(yè)務(wù)對(duì)帶寬、時(shí)延�、抖動(dòng)性、隔離性的需求各不相同�。算力網(wǎng)絡(luò)可采用網(wǎng)絡(luò)切片等多種技術(shù)來(lái)滿足服務(wù)等級(jí)差異化、智能化的需求���,但用戶可能仍然對(duì)服務(wù)效果存疑���,難以下決心使用公共算力運(yùn)行其關(guān)鍵業(yè)務(wù)。例如��,工業(yè)控制對(duì)網(wǎng)絡(luò)時(shí)延、抖動(dòng)性具有確定性的指標(biāo)���,究竟能否使用公共算力運(yùn)行這類應(yīng)用���,取決于算力網(wǎng)絡(luò)提供的面向低時(shí)延業(yè)務(wù)的服務(wù)是否達(dá)到指標(biāo)要求。算力網(wǎng)絡(luò)運(yùn)營(yíng)方迫切需要跨網(wǎng)跨域的服務(wù)效果驗(yàn)證方法��,才能“以驗(yàn)促用”���。
構(gòu)建強(qiáng)大的算力網(wǎng)絡(luò)靶場(chǎng)平臺(tái)
算力網(wǎng)絡(luò)靶場(chǎng)是為了系統(tǒng)化應(yīng)對(duì)算力網(wǎng)絡(luò)安全挑戰(zhàn)而構(gòu)建的數(shù)字底座,需要做到環(huán)境可配置��、任務(wù)可編排�����、過(guò)程可追溯����、資源可共享,并支持廣泛的應(yīng)用場(chǎng)景���,才能充分發(fā)揮其作為安全基礎(chǔ)設(shè)施的價(jià)值�,匹配算力網(wǎng)絡(luò)未來(lái)發(fā)展。
第一��,自底向上構(gòu)建算力網(wǎng)絡(luò)靶場(chǎng)����。
網(wǎng)絡(luò)靶場(chǎng)在技術(shù)架構(gòu)和構(gòu)建模式上分為兩類:自頂向下和自底向上。其中���,自底向上搭建的網(wǎng)絡(luò)靶場(chǎng)以強(qiáng)大的平臺(tái)為核心�,具有更強(qiáng)的擴(kuò)展性和包容性�,更加符合算力網(wǎng)絡(luò)規(guī)模大、場(chǎng)景復(fù)雜�����、多任務(wù)并發(fā)�����、多資源協(xié)同��、業(yè)務(wù)需求多樣的情況�,因此推薦算力網(wǎng)絡(luò)靶場(chǎng)采用以平臺(tái)為核心、自底向上的構(gòu)建模式。
算力網(wǎng)絡(luò)靶場(chǎng)是將網(wǎng)絡(luò)靶場(chǎng)的通用能力與算力網(wǎng)絡(luò)的業(yè)務(wù)特點(diǎn)相結(jié)合構(gòu)建而成的���,其技術(shù)框架包括靶場(chǎng)應(yīng)用層和靶場(chǎng)平臺(tái)層兩大部分(見(jiàn)圖2)���。靶場(chǎng)應(yīng)用層負(fù)責(zé)應(yīng)用適配,基于算力網(wǎng)絡(luò)承載的業(yè)務(wù)進(jìn)行靶標(biāo)配置���、應(yīng)用場(chǎng)景設(shè)置����,以及對(duì)算力網(wǎng)絡(luò)安全效能�、使用效能等進(jìn)行評(píng)估展示。靶場(chǎng)平臺(tái)層集成網(wǎng)絡(luò)靶場(chǎng)的通用能力��,實(shí)現(xiàn)網(wǎng)絡(luò)快速構(gòu)建�����、業(yè)務(wù)系統(tǒng)仿真���、任務(wù)流程導(dǎo)調(diào)、數(shù)據(jù)采集分析以及資源綜合管理等功能����。
圖2 算力網(wǎng)絡(luò)靶場(chǎng)架構(gòu)
第二�,五大關(guān)鍵能力匹配算力網(wǎng)絡(luò)未來(lái)發(fā)展�����。
在構(gòu)建算力網(wǎng)絡(luò)靶場(chǎng)時(shí)須充分考慮如何實(shí)現(xiàn)資源共享和業(yè)務(wù)協(xié)同���、仿真模型構(gòu)建�、多任務(wù)安全隔離�、復(fù)雜任務(wù)編排導(dǎo)調(diào)等問(wèn)題;由于其公共服務(wù)屬性�����,需要考慮如何進(jìn)行業(yè)務(wù)評(píng)估展示���、責(zé)任邊界劃分�����、問(wèn)題審計(jì)溯源等問(wèn)題���。
突破關(guān)鍵技術(shù)難題、形成關(guān)鍵能力,才能構(gòu)建起一個(gè)環(huán)境可配置����、任務(wù)可編排、過(guò)程可追溯��、資源可共享的強(qiáng)大的算力網(wǎng)絡(luò)靶場(chǎng)平臺(tái)�����,支持開(kāi)展安全檢測(cè)�����、技術(shù)驗(yàn)證�����、審計(jì)溯源等網(wǎng)絡(luò)靶場(chǎng)業(yè)務(wù)及未來(lái)的應(yīng)用場(chǎng)景創(chuàng)新�。
大規(guī)模復(fù)雜網(wǎng)絡(luò)仿真能力�。對(duì)于復(fù)雜的運(yùn)算任務(wù),算力網(wǎng)絡(luò)可能需要調(diào)度多個(gè)算力中心的資源�,并與數(shù)據(jù)擁有方的自有計(jì)算資源協(xié)同,因此�����,出現(xiàn)異構(gòu)算力資源跨網(wǎng)跨域統(tǒng)一調(diào)度的需求。仿真環(huán)境需要模擬算力配給網(wǎng)與算力生產(chǎn)網(wǎng)的主要網(wǎng)元設(shè)備���,根據(jù)業(yè)務(wù)需求靈活組網(wǎng)�。因此��,算力網(wǎng)絡(luò)靶場(chǎng)應(yīng)能夠支持萬(wàn)級(jí)節(jié)點(diǎn)大規(guī)模復(fù)雜網(wǎng)絡(luò)的靈活構(gòu)建���,并按需實(shí)現(xiàn)異構(gòu)環(huán)境下的節(jié)點(diǎn)仿真和虛實(shí)互聯(lián)��。
細(xì)粒度任務(wù)編排和場(chǎng)景導(dǎo)調(diào)能力��。不同于私有靶場(chǎng)使用場(chǎng)景相對(duì)固定的情況��,算力網(wǎng)絡(luò)靶場(chǎng)因其公共服務(wù)屬性�,它的業(yè)務(wù)場(chǎng)景是多變的�����,網(wǎng)絡(luò)靶場(chǎng)應(yīng)支持場(chǎng)景的靈活重構(gòu)���,并支持面向人員����、環(huán)境、任務(wù)���、過(guò)程的靈活編排和導(dǎo)調(diào)�,使測(cè)試��、驗(yàn)證等網(wǎng)絡(luò)靶場(chǎng)業(yè)務(wù)的方案可定義���、過(guò)程可調(diào)度���、流程可優(yōu)化。
多源異構(gòu)數(shù)據(jù)采集能力����。完備的數(shù)據(jù)是一切分析、審計(jì)工作的基礎(chǔ)�。算力網(wǎng)絡(luò)靶場(chǎng)必須具備對(duì)多源異構(gòu)數(shù)據(jù)實(shí)時(shí)全量采集的能力,包括狀態(tài)數(shù)據(jù)����、流量數(shù)據(jù)和行為數(shù)據(jù)�,才能做到操作可追蹤���、結(jié)果可回溯,從而能夠支持精準(zhǔn)的攻防事件檢測(cè)����、威脅鑒定、態(tài)勢(shì)分析�,以及對(duì)數(shù)據(jù)流轉(zhuǎn)、算力交易等資源利用行為的審計(jì)追溯���。
多維量化評(píng)估和可視化展示能力����。在算力網(wǎng)絡(luò)的日常運(yùn)行中���,運(yùn)營(yíng)管理人員需要及時(shí)準(zhǔn)確掌握網(wǎng)絡(luò)的安全動(dòng)態(tài)����;在開(kāi)展安全檢測(cè)��、技術(shù)驗(yàn)證等活動(dòng)時(shí)��,需要多維度呈現(xiàn)評(píng)估結(jié)果���,因此����,算力網(wǎng)絡(luò)靶場(chǎng)需要具備多維量化評(píng)估和可視化展示能力。該功能還可用于向客戶全方位展示算力網(wǎng)絡(luò)安全能力�,提升客戶將業(yè)務(wù)遷移到算力網(wǎng)絡(luò)的信心。
分布式互聯(lián)與資源管理能力���。算力網(wǎng)絡(luò)是類似互聯(lián)網(wǎng)的大型復(fù)雜網(wǎng)絡(luò)���,存在多算力中心、邊緣算力節(jié)點(diǎn)�����、終端算力節(jié)點(diǎn)分布式互聯(lián)��,相應(yīng)地���,網(wǎng)絡(luò)靶場(chǎng)也應(yīng)具備多級(jí)分布式互聯(lián)與資源管理能力��。多算力中心應(yīng)通過(guò)共建共享模式來(lái)建設(shè)和使用網(wǎng)絡(luò)靶場(chǎng)���,以滿足更大規(guī)模的資源需求�����,并實(shí)現(xiàn)多算力中心間的安全能力共享。
應(yīng)用場(chǎng)景廣泛�,創(chuàng)新空間無(wú)限
算力網(wǎng)絡(luò)靶場(chǎng)應(yīng)用場(chǎng)景廣泛,其關(guān)鍵價(jià)值在于:面對(duì)網(wǎng)絡(luò)邊界模糊�����,數(shù)據(jù)存算分離����,服務(wù)等級(jí)差異化、智能化帶來(lái)的全新挑戰(zhàn)��,能夠守護(hù)算力網(wǎng)絡(luò)數(shù)字安全�����,為客戶提供確定性的服務(wù)保證���?���;诰W(wǎng)絡(luò)靶場(chǎng)平臺(tái)構(gòu)建的仿真世界,還可不斷賦能應(yīng)用場(chǎng)景創(chuàng)新��。
第一����,突破傳統(tǒng)模式,以長(zhǎng)效驗(yàn)證機(jī)制應(yīng)對(duì)挑戰(zhàn)�。
傳統(tǒng)的網(wǎng)絡(luò)安全驗(yàn)證做法是由網(wǎng)絡(luò)安全人員在真實(shí)生產(chǎn)環(huán)境下發(fā)起深度測(cè)試,為了降低對(duì)生產(chǎn)系統(tǒng)造成的影響�����,測(cè)試活動(dòng)一般是在約定的時(shí)間一次性完成����。這種模式存在先天局限性,導(dǎo)致傳統(tǒng)測(cè)試模式難以得出全面����、準(zhǔn)確、長(zhǎng)效的安全驗(yàn)證結(jié)果�。
算力網(wǎng)絡(luò)靶場(chǎng)針對(duì)傳統(tǒng)安全機(jī)制的挑戰(zhàn)、數(shù)據(jù)守護(hù)責(zé)任的復(fù)雜�����、跨網(wǎng)效果的驗(yàn)證等核心問(wèn)題,可開(kāi)展全面的測(cè)試評(píng)估��,通過(guò)單次測(cè)試向持續(xù)性測(cè)試�、傳統(tǒng)安全測(cè)評(píng)模式向眾測(cè)模式和自動(dòng)測(cè)試模式的轉(zhuǎn)變,發(fā)現(xiàn)暴露面安全威脅�����,識(shí)別數(shù)據(jù)泄露風(fēng)險(xiǎn)���,診斷網(wǎng)絡(luò)服務(wù)質(zhì)量等,為算力網(wǎng)絡(luò)安全提供長(zhǎng)效驗(yàn)證機(jī)制���。
基于網(wǎng)絡(luò)靶場(chǎng)的大規(guī)模復(fù)雜網(wǎng)絡(luò)逼真構(gòu)建能力�����,能夠快速在網(wǎng)絡(luò)靶場(chǎng)內(nèi)構(gòu)建算力網(wǎng)絡(luò)的仿真環(huán)境����,并有針對(duì)性地結(jié)合實(shí)際系統(tǒng)�����,靈活調(diào)度,進(jìn)行不影響生產(chǎn)系統(tǒng)的持續(xù)性測(cè)評(píng)活動(dòng)����。
第二,拓寬應(yīng)用場(chǎng)景����,讓算力網(wǎng)絡(luò)靶場(chǎng)發(fā)揮最大價(jià)值。
網(wǎng)絡(luò)靶場(chǎng)雖然為安全而生����,但事實(shí)上,當(dāng)基于網(wǎng)絡(luò)靶場(chǎng)平臺(tái)構(gòu)建起一個(gè)仿真世界����,它的功能和價(jià)值遠(yuǎn)不止于應(yīng)對(duì)安全問(wèn)題。在安全之外���,還可以用于各種系統(tǒng)功能����、效能的驗(yàn)證�����。
針對(duì)算力網(wǎng)絡(luò)資源分布不均、使用不均����、效率不均等情況,可利用算力網(wǎng)絡(luò)靶場(chǎng)虛實(shí)結(jié)合�、靈活配置導(dǎo)調(diào)任務(wù),按需調(diào)用算力節(jié)點(diǎn)資源�����,分析評(píng)估算力節(jié)點(diǎn)的使用效能����,優(yōu)化算力資源調(diào)用機(jī)制�����,為用戶提供最優(yōu)的算力節(jié)點(diǎn)的選擇���,同時(shí)讓監(jiān)管機(jī)構(gòu)了解算力資源的整體使用效能����。
針對(duì)算力交易復(fù)雜以及不誠(chéng)實(shí)的交易參與方可能會(huì)篡改交易結(jié)果、逃避計(jì)費(fèi)等問(wèn)題���,可利用算力網(wǎng)絡(luò)靶場(chǎng)自動(dòng)化的流量和業(yè)務(wù)導(dǎo)入能力以及過(guò)程復(fù)現(xiàn)能力��,實(shí)現(xiàn)對(duì)算力交易合規(guī)性的審計(jì)和追溯�����,以便出現(xiàn)糾紛時(shí)能夠及時(shí)做出公平處理���,確保算力交易公平公正。
未來(lái)�,結(jié)合行業(yè)應(yīng)用的獨(dú)特需求,可以不斷拓寬應(yīng)用場(chǎng)景�,讓算力網(wǎng)絡(luò)靶場(chǎng)發(fā)揮最大價(jià)值。
