信息化百人會&華為：2022東數西算工程算力樞紐安全能力建設白皮書（59頁）.pdf

《信息化百人會&華為：2022東數西算工程算力樞紐安全能力建設白皮書（59頁）.pdf》由會員分享，可在線閱讀，更多相關《信息化百人會&華為：2022東數西算工程算力樞紐安全能力建設白皮書（59頁）.pdf（59頁珍藏版）》請在三個皮匠報告上搜索。

1、1 2 目錄 前言.4 一、“東數西算”工程介紹.5（一）“東數西算”工程背景.5（二）“東數西算”工程意義.6（三）國家樞紐節點建設情況介紹.8 二、算力樞紐安全風險與建設現狀.12（一）算力樞紐安全風險.12（二）算力樞紐安全能力建設現狀.13 三、算力樞紐安全能力建設目標和各方責任.13（一）算力樞紐安全能力建設目標.13（二）相關方安全責任.15 四、算力樞紐安全能力建設框架.15（一）安全能力建設總體架構.15（二）安全自主創新能力建設.17 1.可信算力基礎設施.17 2.可信數字應用.22 3.可控安全核心能力.29（三）網絡和端點安全能力建設（網端盾）.31（四）云平臺和云負載

2、安全能力建設（云上盾）.32 3 （五）數據安全能力建設（數據盾）.33（六）應用安全能力建設（應用盾）.35（七）安全管理體系建設.36（八）安全監管體系建設.37（九）安全運營體系建設.38 五、攜手助力樞紐節點安全能力構建.38（一）信息化百人會介紹.38（二）華為鯤鵬計算產業介紹.39 1.硬件開放.40 2.基礎軟件.41（三）亞信安全企業介紹.44（四）亞信安全基于鯤鵬全棧安全整體解決方案.45 1.全面覆蓋的安全防護組件.45 2.原生可信的安全應用部署.47 3.軟硬聯動的精準安全管控.51 結語.58 關于作者.59 專家顧問.59 4 前言 今年 2 月，國家發展改革委、中

3、央網信辦、工業和信息化部、國家能源局聯合印發通知，同意在京津冀、長三角、粵港澳大灣區、成渝、內蒙古、貴州、甘肅、寧夏等 8 地啟動建設國家算力樞紐節點，并規劃了 10個國家數據中心集群。我國一體化大數據中心體系完成總體布局設計，“東數西算”工程正式全面啟動。網絡數據安全能力是“東數西算”工程的重要基礎保障，“東數西算”工程在設計之初即提出要建立“數盾”安全體系，打造統一標準統一能力的安全底座，為“東數西算”的基礎設施和業務應用提供高水平一致性的網絡數據安全能力支撐。信息化百人會作為專注于推動當代中國數字化、網絡化、智能化發展，促進溝通與合作的平臺，圍繞“東數西算”工程的網絡數據安全保障專題，牽

4、頭組織網絡安全行業專家學者充分研討，并在此基礎上亞信安全和華為專家顧問執筆編寫了 東數西算工程算力樞紐安全能力建設白皮書 并聯合發布。三者強強聯合打造白皮書，代表了國內在“東數西算”安全能力建設上最具有前瞻性的思考。5 一、“東數西算”工程介紹（一）“東數西算”工程背景“東數西算”工程通過構建數據中心、云計算、大數據一體化的新型算力網絡體系，將東部算力需求有序引導到西部，優化數據中心建設布局，促進東西部協同聯動，讓西部的算力資源更充分地支撐東部數據的運算，更好為數字化發展賦能?！皷|數西算”這個概念最早是在 2016 年十八屆中央政治局第三十六次集體學習中提出，要建設全國一體化的國家大數據中心，

5、推進技術融合、業務融合、數據融合，實現跨層級、跨地域、跨系統、跨部門、跨業務的協同管理和服務。2020 年 12 月，關于加快構建全國一體化大數據中心協同創新體系的指導意見正式印發（發改高技20201922 號http:/ 年 5 月 24 日，國家發展和改革委員會等部門印發全國一體化大數據中心協同創新體系算力樞紐實施方案（發改高技 2021 709號）http:/ 成渝、貴州、內蒙古、甘肅、寧夏等地布局建設全國一體化算力網絡國家樞紐節點。2021 年 12 月 8 日，國家發改委等部門聯合印發貫徹落實碳達峰碳中和目標要求推動數據中心和 5G 等新型基礎設施綠色高質量發 展 實 施 方 案 （

6、發 改 高 技 2021 1742號 https:/ 2025 年，數據中心和 5G 基本形成綠色集約一體化運行格局。（二）“東數西算”工程意義“東數西算”提升至戰略層面，再次彰顯我國對數字化建設的高度重視。數字經濟大勢所趨，政策、技術將推進數字經濟蓬勃發展，新基建是我國數字經濟的基礎和風向標，新基建為我國數字經濟發展賦能。算力作為數字經濟時代的新生產力，廣泛服務于我國數字社會轉型中的方方面面，加速提升我國數字經濟在國民經濟中的占比。據2020 全球計算力指數評估報告顯示，計算力指數平均每提高 1 個百分點，數字經濟和 GDP將分別增長 3.3和 1.8。其中，當一個國家的計算力指數達到 40

7、 分以上時，指數每提升 1 點，對于 GDP 增長的拉動將提高到 1.5 倍；當計算力指數達到 60 分以上時，對 GDP 的拉動將進一步提升至 2.9 倍?？梢?，算力正成為我國在新發展格局下衡量經濟狀況的“晴雨表”?！皷|數西算”工程是解決數據中心供需結構性失調、進一步推動數據中心合理化布局的有效手段，是優化區域經濟布局、促進各區域盡享數字7 紅利的有效途徑，是落實“雙碳”戰略的重要抓手。一直以來，受市場牽引，數據中心廠商傾向于在經濟發展水平較高、數據流量大的地區進行投資布局。我國數據中心出現“供不應求”與“供大于求”并存的情況。在此背景下，“東數西算”工程可有效解決數據中心供需關系結構性失調

8、的矛盾，將京津冀、長三角、粵港澳大灣區等地區快速增長的算力需求轉移到貴州、內蒙古等地，不僅能夠對一線城市的經濟發展、數字化轉型等需求進行及時響應，也可以充分發揮中西部地區在土地、人力、能源、氣候等方面的突出優勢，推動數據中心合理化布局。中國一直希望東部帶動西部經濟發展，但是靠傳統的方式比較難，而數字經濟是拉動經濟增長的一個核心點，“東數西算”能有效帶動西部數字經濟發展，促進東西部數據流通，有助于推進西部大開發和區域平衡與協調發展，使各區域盡享數字紅利。而且數據中心具有產業鏈條長、投資規模大，帶動效應強的特點。數字經濟發展相對滯后的西部地區通過算力樞紐和數據中心集群的建設，將帶動相關產業上下游投

9、資，促進本地經濟加速發展。數據中心是典型的高耗能行業，我國數據中心一年的用電量相當于上海全市一年用電量，超過三峽電站和葛洲壩一年的發電量，并且還在以超過 10%的年均增速快速發展?，F在東部碳排放遠遠大于西部（即使同一個省份，一般也是如此），已經快趨近于飽和或超標，能耗指標緊張，而西部地區火電、水電、風電等能源相對豐富，因此，西部地區承接數據中心，就近消納西部能源和水資源，提升綠色能源使用比例，促進節能減排。8 實施“東數西算”工程，加快數據中心在西部地區布局，將大幅提高綠色可再生能源使用率，對我國實現碳達峰碳中和目標具有重要作用。（三）國家樞紐節點建設情況介紹 國家發改委批復的全國八大算力樞紐

10、節點，8 個節點各有側重，又互為補充，以此支撐推動算力資源有序向西轉移，加快解決東西部算力供需失衡問題。同時，圍繞 8 個國家樞紐節點，共布局了 10 個國家數據中心集群。八大樞紐節點根據當地資源、需求和承擔責任等不同，可分為“四數四算”。圖 1“東數西算”工程八大樞紐節點“四數”樞紐節點屬于需求導向型，包括粵港澳樞紐、成渝樞紐、長三9 角樞紐和京津冀樞紐，主要位于我國較發達地區，與重要城市群重合。這些地區經濟發展水平較高、人口密度高、數據流量大、產業數字化轉型需求旺盛，對數據中心相關業務需求較大。這些地區需要重點統籌好城市內部和周邊區域的數據中心布局，實現大規模算力部署與土地、用能、水、電等

11、資源的協調可持續，優化數據中心供給結構，擴展算力增長空間，滿足重大區域發展戰略實施需要。在這些地區建立樞紐主要用于及時響應當地工業、金融、醫療、視頻、AI 等對時延要求較高的業務需求，保證當地及輻射范圍內重大項目和工作正常運轉?！八乃恪睒屑~節點屬于資源導向型，包括內蒙古樞紐、寧夏樞紐、甘肅樞紐和貴州樞紐，這四個地區位于我國西部地區。這些地區可用土地資源較多，人口密度較小，電力資源豐富、氣候較東部地區涼爽，能夠有效降低數據中心建設和運營成本。在這些地區建立算力樞紐節點，充分發揮資源優勢，有效緩解數據中心能耗壓力，推動綠色數據中心發展，加快實現“雙碳”目標。同時通過提升算力服務品質和利用效率，夯實

12、網絡等基礎保障，以填補東部地區數據中心需求缺口，分流網絡時延要求較低的后臺加工、離線分析、數據存儲等業務?！皷|數西算”工程的實施將帶動東、西部地區數據中心建設實現“質量并升”。其中，西部地區最顯著的變化是“量”的提升，在“東數西算”工程的影響下，西部地區數據中心規模將呈現加速增長態勢，并帶動當地數據中心上下游產業快速發展，有力地承接東部地區的算力需求；東部地區最顯著的變化是“質”的提升，在“東數西算”工程的影響下，東部地10 區將加快推進數據中心集群化進程，形成以 4 個國家數據中心集群為核心+周邊配套系列中小型和邊緣數據中心的分布態勢，并加速張家口、蕪湖、韶關等一線城市周邊數據中心的布局，進

13、一步疏解“北上廣深”數據中心發展壓力，推動東部數據中心布局合理化。表 1 八大樞紐節點起步區布局 樞紐節點 承建城市 起步區 建設指導 建設內容 粵港澳 韶關 韶關數據中心集群起步區邊界為韶關高新區 承接廣州、深圳實時性算力需求，引導溫冷業務向西部遷移，輻射華南及全國實時性算力中心 1.建設高密度，高能效，低碳數據中心集群 2.優化東西部間互聯網絡和樞紐節點間直連網絡 3.網絡實現動態監測和數網協同，高質量滿足“東數西算”業務需要 4 安全技術、措施和手段同步規劃、同步建設、同步使用 成渝 成都 重慶 1.天府數據中心集群起步區為成都市雙流區、郫都區、簡陽市 2.重慶數據中心集群起步區為重慶市

14、兩江新區水土新城、西部(重慶)科 學 城 璧 山 片區、重慶經濟技術開發區 圍繞兩個數據中心集群，抓緊優化算力布局，平衡好城市與城市周邊的算力資源部署，做好與“東數西算”銜接 長三角 上 海、蘇 州、嘉善縣、蕪1.長三角生態綠色一體化發展示范區數據中心集群起步區圍繞兩個數據中心集群，抓緊優化算力布局，積極承接長三角中心城市實時性算力11 湖 為上海市青浦區、江蘇省蘇州市吳江區、浙江省嘉興市嘉善縣 2.蕪湖數據中心集群起步區為蕪湖市鳩江區、戈江區、無為市 需求，引導溫冷業務向西部遷移，構建長三角地區算力資源“一體協同、輻射全域”的發展格局。京津冀 張家口 張家口數據中心集群起步區為張家口市懷來縣

15、、張北縣、宣化區。圍繞數據中心集群，抓緊優化算力布局，積極承接北京等地實時性算力需求，引導溫冷業務向西部遷移，構建輻射華北、東北乃至全國的實時性算力中心 貴州 貴陽 貴安數據中心集群起步區邊界為貴安新區貴安電子信息產業園 圍繞貴安數據中心集群，抓緊優化存量，提升資源利用效率，以支持長三角、粵港澳大灣區等為主，積極承接東部地區算力需求 甘肅 慶陽 慶陽數據中心集群起步區邊界為慶陽西峰數據信息產業聚集區 打造以綠色、集約、安全為特色的數據中心集群，重點服務京津冀、長三角、粵港澳大灣區等區域的算力需求 12 內蒙古 呼 和 浩特 烏 蘭 察布 和林格爾數據中心集群起步區邊界為和林格爾新區和集寧大數據

16、產業園 為京津冀高實時性算力需求提供支援，為長三角燈區域提供非實時算力保障 寧夏 中衛 中衛國家數據中心集群起步區邊界為中衛工業園西部云基地 積極承接東部算力需求，引導數據中心走高效、清潔、集約、循環的綠色發展道路 二、算力樞紐安全風險與建設現狀（一）算力樞紐安全風險 算力樞紐匯聚了大規模的大數據中心集群，聚集了海量的算力、數據和算法，并在新一代算力網絡架構下，通過算力資源與網絡資源狀態的協同調度，將不同應用的業務通過最優路徑，調度到最優的計算節點，實現用戶體驗最優的同時，保證運營商網絡資源和計算資源利用率最優化。在這種背景下，算力樞紐面臨著復雜的安全風險。一方面，潛在攻擊暴露面和攻擊路徑增加

17、，基礎設施安全保障對象多樣，云網邊端數據應用各個環節均可能成為攻擊者的破防對象。是在當前網絡戰成為國家地區間常規對抗手段的背景下，APT 攻擊風險必須得到關注，尤其是 DDoS、數據加密銷毀等針對關鍵信息基礎設施的致癱攻擊風險更是需要高度重視；同時，數據應用場景多樣化，數據所有權和算力控制權分離，數據處理過程持續流動，數據安全風險特別顯著，數據非授權訪問、數據竊取、數據濫用、勒索攻擊等問題都將成為算力樞紐必須面對和解決的關鍵問題；另13 外，考慮到算力樞紐對于數字經濟發展的重大意義，供應鏈安全風險也需要特別關注，只有把關鍵核心技術掌握在自己手中，才能從根本上保障國家經濟安全。（二）算力樞紐安全

18、能力建設現狀 基于對典型樞紐節點的實地調研以及與相關監管主管單位和各建設運營方的溝通交流，當前各節點對網絡數據安全建設的必要性和重要性均有較強的認識，但在具體落地上存在一些突出困難。新數據中心規劃建設以算力基礎設施為主，由于算力和數據服務最終用戶與業務場景無法在當前階段充分明確，難以針對性的進行業務安全風險分析和控制措施設計落地，網絡數據安全工作的三同步要求尚需進一步落實。利用已有數據中心算力和安全資源進行整合實現算力輸出和安全保障提升多以點狀建設為主，缺乏對云網邊端和數據應用的全面覆蓋，在安全管理、安全運營和樞紐節點級協同上也存在一定不足，達不到一體化大數據中心樞紐節點的應有水平；三、算力樞

19、紐安全能力建設目標和各方責任（一）算力樞紐安全能力建設目標 在關于加快構建全國一體化大數據中心協同創新體系的指導意見明確提出了加快提升大數據安全水平，強化對算力和數據資源的安全防護，形成“數盾”體系的思路，并將強化大數據安全防護作為重要建設內容。14 指導意見要求推動核心技術突破及應用，圍繞服務器芯片、云操作系統、云數據庫、中間件、分布式計算與存儲、數據流通模型等環節，加強對關鍵技術產品的研發支持。鼓勵 IT 設備制造商、數據中心和云服務提供商、數字化轉型企業等產業力量聯合攻關，加快科技創新突破和安全可靠產品應用。強化大數據安全保障，加快構建貫穿基礎網絡、數據中心、云平臺、數據、應用等一體協同

20、安全保障體系，提高大數據安全可靠水平?；A網絡、數據中心、云服務平臺等嚴格落實網絡安全法律法規和政策標準要求，開展通信網絡安全防護工作，同步規劃、同步建設和同步運行網絡安全設施，提升應對高級威脅攻擊能力。加快研究完善海量數據匯聚融合的風險識別與防護技術、數據脫敏技術、數據安全合規性評估認證、數據加密保護機制及相關技術監測手段等。各行業加強上云應用的安全防護，保障業務在線安全運行。在全國一體化大數據中心協同創新體系算力樞紐實施方案中，又進一步明確了完善海量數據匯聚融合的風險識別與防護技術、數據脫敏技術、數據安全合規性評估認證、數據加密保護機制及相關技術監測手段，同步規劃、同步建設、同步使用安全技

21、術措施，保障業務穩定和數據安全。加快推進全國互聯網數據中心、云平臺等數據安全技術監測手段建設，提升敏感數據泄露監測、數據異常流動分析等技術保障能力以確保網絡數據安全的任務。同時提出試驗多方安全計算、區塊鏈、隱私計算、數據沙箱等技術模式，構建數據可信流通環境，提高數據流通效率。探索數據資源分級分類，研究制定相關規范標準促進數據有序流通。15 （二）相關方安全責任 算力樞紐節點整體網絡安全能力的實現，需要各方的通力協作，安全責任的落實與劃分至關重要。與算力樞紐節點安全相關的責任主體包括監管主管部門、基礎網絡建設運營方、數據中心建設運營方、算力平臺建設運營方、數據平臺建設運營方、數據應用建設運營方和

22、算力服務數據服務用戶等。其中監管主管部門應統籌協調樞紐節點和園區的網絡安全工作；基礎網絡建設運營方負責保障節點間直連網絡和園區骨干網絡安全；數據中心建設運營者保障數據中心物理安全并為數據中心使用者提供基本的網絡安全通用能力；算力平臺建設運營者落實全面安全控制措施提供安全可靠的計算環境并為租戶提供面向其租戶環境的獨立進行使用的安全能力賦能；數據平臺建設運營方應在數據全生命周期落實數據安全防護手段開展數據安全治理，并面向其租戶提供面向其租戶環境的獨立進行使用的安全能力賦能；數據應用建設運營方應在應用全生命周期落實安全手段保障應用安全；算力服務數據服務租戶應充分利用算力平臺和數據平臺建設運營方提供的

23、安全能力，保障自有計算環境中網絡數據安全。四、算力樞紐安全能力建設框架（一）安全能力建設總體架構 基于可信算力基礎設施、可信數字應用和可控安全核心能力，構建安16 全自主創新能力。結合信息安全防護現狀、防護需求、業界領先實踐建設思路，貫徹執行國家網絡安全等級保護制度、關鍵信息基礎設施保護制度和網絡安全審查制度，同步規劃、同步設計、同步實施數據中心安全建設，搭建全國一體化算力網絡國家樞紐節點“數盾”體系，從管理和技術兩方面開展信息安全主動防御體系建設。安全防護管理體系是從管理機構、安全建設、安全運維 3 個角度出發構建信息安全防護管理框架；而安全防護技術體系是配合“數網”、“數紐”、“數鏈”和“

24、數腦”建設，從網端盾、云上盾、數據盾、應用盾 4 個層次搭建一體化信息安全防護技術支撐框架。同時，構建監管運營體系實現整體防控協同聯控的一體化網絡數據安全防護并提供安全公共服務。算力樞紐網絡數據安全能力建設總體架構如下圖所示：圖 2“東數西算”工程算力樞紐網絡數據安全能力建設總體架構 17 （二）安全自主創新能力建設 1.可信算力基礎設施 在算力樞紐建設中，處理器芯片和服務器硬件作為算力基礎設施，提供計算、存儲和網絡 IO 等服務，支持數據中心和企業客戶的核心業務部署，處于業務系統的核心位置。安全自主創新的基礎設施作為整個算力樞紐可信的基礎，應提供系統中的軟硬件安全能力，消除系統安全短板，保障

25、系統的內生安全?？尚诺幕A設施對系統中的關鍵資產進行保護，全面覆蓋系統面臨的安全威脅，并向上層數字應用業務（包括操作系統、虛擬化軟件、數據庫、應用軟件等）提供基礎安全能力支撐。1)可信計算 可信計算是一種硬件可信根為基礎，構建信任鏈，保證系統軟硬件完整性的技術?？尚庞嬎愕目尚鸥拍顬樾袨榭尚?，建立在可信測量、可信報告、可信管理為基礎的可信平臺概念上，從信任根開始到硬件平臺，到操作系統，再到應用，一級度量認證一級，一級信任一級，把這種信任擴展到整個計算機系統?！皷|數西算”樞紐對可信計算的安全要求主要包括以下幾個方面：基于硬件的可信根，存儲在芯片內不可篡改的存儲介質中，安全 性由芯片保證并簽名?；?/p>

26、硬件可信根的信任鏈，實現安全啟動與可信啟動功能，保證 系統軟硬件的完整性。支持運行過程中對系統完整性進行度量并提供遠程證明的機制。18 2)機密計算 機密計算是一種在受信任的硬件基礎上配套固件和軟件，構建加密、隔離、可證明的計算環境，保證環境內數據機密性、完整性，代碼完整性以及運算過程機密性的計算模式。通常來說，機密計算依托于硬件可信執行環境實現，即在計算平臺上獨立的一個安全區域，可保證在安全區域內部加載的代碼和數據在機密性和完整性方面得到保護?！皷|數西算”樞紐對于可信執行環境的安全要求主要包含以下幾個方面：硬件支持資源隔離，將系統劃分為安全區域和非安全區域，安全 區域具有更高的安全等級，非安

27、全區域內，即使是管理員權限也 無法訪問安全區。安全區域內使用通過專用的安全操作系統內核（TEE-OS）、且能 夠支持可信應用（TA）的開發。安全區與非安全區之間的采用標準化的接口，并支持安全的通信 機制。3)抗物理攻擊 硬件攻擊的目標側重于計算系統中使用的物理硬件的芯片、電路板、設備端口或包括計算機系統及嵌入式系統在內的其他組件的破壞、替換、修改和利用。從而達到獲取內部程序或數據的目的?；谛酒还艉笫欠癖黄茐?，物理攻擊可分為三種類型：侵入式攻擊、半侵入式攻擊和非侵入式攻擊。19 SOC 支持滿足 CC ELA+認證的 HSM 硬件高安子系統，支持硬件三防，支持安全啟動。SOC 上電支持啟動

28、固件的鏡像解密和完整性校驗。支持隨機時延、插入隨機偽操作、會話密鑰使用周期短、噪聲掩蓋 等特性。針對故障注入攻擊，支持邏輯&時間冗余，金屬外殼&特殊封裝，邏輯深埋。支持芯片屏蔽層設計，電路（芯片）采用特殊封裝，增加實施物理 攻擊的難度，支持信號完整性、機密性保護等。調試接口需要具備安全認證等防護機制；單板上不使用的調試接口 默認在物理層斷開。4)硬件漏洞免疫 漏洞利用是黑客通過程序中的某些漏洞，來得到計算機的控制權(使自己編寫的代碼越過具有漏洞的程序的限制，從而獲得運行權限)。漏洞是在硬件、軟件、協議的具體實現或操作系統安全策略上存在的缺陷，從而使攻擊者能夠在未經授權的情況下訪問或破壞系統。漏

29、洞利用是獲得系統控制權限的重要途徑。用戶從目標系統中找到容易攻擊的漏洞，然后利用該漏洞獲取權限，從而實現對目標系統的控制。芯片支持以下漏洞防護特性：執行防護機制，為阻止入侵者透過內存漏洞執行惡意代碼，支持以 下軟件執行保護機制：支持 XN（Execute-never）；20 支持 WXN（Write Execute Never）；支持 XOM（eXecute Only Memory）；支持 ASLR（Address space layout randomization）?？刂屏魍暾员Ｗo技術內存安全問題可導致入侵者劫持指針，導致 軟件脫離正?？刂屏髀窂綀绦?，如返回導向編程 ROP)和跳轉導向

30、編程 JOP)攻擊。支持通過指針驗證和跳轉鑒別兩項 Arm 兼容拓 展，保障軟件控制流完整性。支持 Enhanced PAC（Enhanced Pointer Authentication Code）；支持 BTI（Branch Target Identification）。支持劃分了 EL0EL3 的異常等級，提升安全強度。分級訪問控制 使不同異常等級對硬件資源具有不同控制權限，實現對資源進行安 全且靈活的管理。支持以下訪問控制增強技術：支持 PXN（Privileged Execute Never）；支持 PAN（Privilege Access Never）/UAO（User Acces

31、s Only）；支持熔斷幽靈抗性。5)安全存儲 安全存儲提供一個安全可信的存儲環境，用于為數據提供機密性和完整性保護，確保被保護的數據能夠被安全地保存在存儲設備中，不被竊取、篡改或破壞?！皷|數西算”工程算力樞紐安全能力對安全存儲的能力要求包括以下兩個方面：安全存儲基于硬件根派生，實現數據加封在具體的硬件上。21 安全存儲依托于機密計算可信執行環境技術，硬件根只有TEE環 境才可以訪問，即加密數據只能在TEE內被解密。安全存儲讀寫 過程如下圖：圖 3 安全存儲讀寫過程 6)密碼加速引擎 密碼加速一般通過硬件或芯片內置密碼加速引擎，并輔以對應的安全加速庫，通過軟硬件協同的方式，最大限度提升密碼運算

32、速度，并便于應用使用。TRNG 為了確保加解密的隨機性，需要支持硬件隨機數發生器，集成多個獨立物理隨機源，產生的隨機數能夠通過GM/T 0005-2012 隨機性檢測規范檢測。芯片密碼加速引擎 密碼加速引擎是通過硬件方式或者 CPU 的專用加速指令方式實現密碼運算功能，相比于傳統的軟件加密，在合適的場景下，可以顯著提升密碼運算的速度，并降低功耗。相比于傳統的 PCIE 加密卡的方案，內置密22 碼加速引擎，明文數據僅通過片內總線傳輸，安全性更高、延遲也更小。密碼加速引擎應支持多種主流商用密碼算法，如：SM3、SM4、AES、SHA2、MD5、RSA、HMAC，典型加密+完整性保護的算法套等，并

33、支持模冪計算及模冪相關的輔助計算。2.可信數字應用 1)基于硬件可信根的安全啟動 在計算系統啟動后，為保證系統整體運行環境的安全可信，需要從硬件中的物理可信根開始，建立自下而上的信任鏈，一層驗證后一層的完整性，從而保證整個系統行為的可預期性，這個保證系統完整性的過程就是安全啟動的過程。具體的安全啟動過程描述如圖所示。圖 4 安全啟動過程 典型的安全啟動流程如下：基于硬件的不可被篡改的計算物理可信根，是整個計算系統安全 23 可信的基礎，涉及的數字根證書通常在計算系統制造過程中導 入。物理可信根在啟動后對計算固件（如 BIOS、Bootloader 等）的完整性進行校驗，確保計算固件未被篡改后，

34、加載可信的固件。計算固件安全啟動后，進一步對計算系統軟件（如操作系統）的 完整性進行校驗，確保計算系統軟件未被篡改后，加載可信的系 統軟件。計算系統軟件可信加載后，機密計算系統的可信執行環境已經可 以正常運行，傳統意義上的啟動流程結束。在有些對安全性要求高的計算過程中，安全啟動可擴展到每個安全應用的完整性。每次加載一個可信應用（如用戶工作負載），計算系統軟件需要對可信應用進行校驗，確保安全應用未被篡改后，加載可信的安全應用。2)遠程證明 遠程證明是可信計算領域的一個重要環節，其主要功能是配合目標系統的可信啟動支持，實現對目標系統的平臺、系統及應用的完整性感知和檢測，為數據中心管理工具及云平臺系

35、統資源編排工具提供準確、及時的可信狀態報告。當數據中心管理工具/管理員及云服務基礎設施編排工具希望獲取目24 標服務器、容器、PCIe 設備的可信狀態時，需要采用遠程證明實現。服務器場景：管理員提出服務器可信狀態查詢請求，遠程證明服 務器（RAS）通過與遠程證明客戶端（RAC）的協同驗證并返回 服務器可信狀態。容器場景：管理員提出容器可信狀態查詢請求，RAS 通過與 RAC 的協同驗證并返回容器可信狀態。PCIe 設備場景：管理員提出 PCIe 設備可信狀態查詢請求，RAS 通過與 RAC 的協同驗證并返回 PCIe 設備可信狀態。在如圖所示的遠程證明應用架構中，兩個核心的組件分別是遠程證 明

36、服務器（RA Service，RAS）和遠程證明客戶端（RA Client,RAC）,兩者的主要功能如下;遠程證明服務 RAS 建立在用戶的工作服務器上，為用戶提供對目標平臺的遠程證明服務。他將為工作服務器上的 TPM 提供遠程證明密鑰證書，管理工作服務器可信相關的數據信息，接收可信報告，并驗證目標的可信狀態，最終向用戶提供遠程證明服務。遠程證明客戶端 RAC 主要解決部署階段平臺可信啟動能力的檢測和使能，在目標系統上獲取遠程證明所需的各種數據信息，生成可信報告，最后與 RAS 通信完成注冊和可信報告發送。25 圖 5 遠程證明應用架構 3)基于機密計算的可信應用 基于機密計算的可信應用優勢在

37、于它兼顧了安全性、通用性、和高效性，不僅可以無縫支持通用計算框架和應用，而且計算性能基本可匹敵明文計算。它可以單獨用于保護計算狀態中的數據，也可以與其他技術結合在一起來保護數據，尤其對于安全可信云計算、大規模數據保密協作、隱私保護的深度學習等涉及大數據、高性能、通用隱私計算的場景，是重要的技術手段，有效緩解數據價值共享當中面臨的“不愿、不敢、不能”難題。在典型的機密計算可信應用場景中，所涉及的關鍵角色主要包括計算程序提供方、機密計算服務提供方、機密計算平臺提供方、數據提供方、結果需求方，各方的關系與計算角色如圖所示。26 圖 6 機密計算關鍵角色關系 關鍵角色描述如下：計算程序提供方：負責提供

38、需在機密計算服務中運行的計算程序，計算程序應和需求方的計算需求描述相符，程序會置入機密計算平臺的可信執行環境內運行 機密計算服務提供方：為用戶提供機密計算服務的軟件模塊，服務提供方也提供服務的管理功能，如支持計算程序的錄入與發布。機密計算平臺提供方：要提供機密計算的可信硬件基礎，包括集成在計算平臺內部的硬件可信根、可信執行環境等，負責實現完整的度量存儲報告機制，將信任鏈擴展到計算程序，。數據提供方：負責提供計算任務的計算數據，計算數據在計算過程中應保證機密性、完整性。結果需求方：一般是計算需求的發起方，負責提供具體的計算需求描述給機密計算服務，包括需要運行的程序，程序運行時需要計算的數據等。2

39、7 4)密鑰全生命周期管理 密鑰的安全管理對于整個系統的安全性至關重要。如果使用不恰當的密鑰管理方式，強密碼算法也無法保證系統的安全。參考業界已發布的密鑰管理規范及業界最佳實踐，構建密鑰管理平臺，實現密鑰的生成、傳輸、使用、存儲、更新、備份與恢復、銷毀等全生命周期管理。密鑰分層管理：密鑰分層管理至少采用兩層密鑰結構；對密鑰做加密的密碼算法的安全強度不小于被加密密鑰本身所用于密碼算法的安全強度 密鑰的生成：用于產生密鑰的隨機數發生器必須是安全隨機數發生器；口令類低熵值秘密，不可直接作為密鑰使用；密鑰協商必須確保雙方身份的真實性；安全隨機數產生密鑰時，所產生的密鑰強度不能小于所用于密碼算法的安全強

40、度。密鑰的申請分發：對稱密鑰、共享秘密等密鑰信息在網絡中傳輸時需提供機密性、完整性保護；在虛擬機創建時，支持本地或遠程進行密鑰創建分發，禁止軟件安裝包或固件中存在密鑰。密鑰的存儲：根密鑰不出硬件，只能加速器引擎使用，任何軟件都無法讀取，用于數據加解密的工作密鑰不可硬編碼在代碼中，根密鑰僅可對部分密鑰組件進行硬編碼；采用密鑰組件方式生成根密鑰時，密鑰組件需要分散存儲，當密鑰組件存儲于文件中時，須對文件名做一般化處理；對于具備硬件安全模塊的產品，根密鑰須采用硬件安全模塊進行保護，支持密鑰保護，提供密鑰保護功能，實現密鑰在芯片中存儲和使用，實現芯片級防護能力。28 密鑰的使用：密鑰的用途需單一化，即

41、一個密鑰應只用于一種用途；對稱密鑰、MAC 密鑰、非對稱加密算法私鑰僅可被分發至必須持有該密鑰的實體。對于具備安全執行環境的產品，安全環境內部產生的密鑰僅在安全執行環境內使用。密鑰的訪問：不同種類的密鑰在不同生命周期狀態下，具有不同的訪問權限，只有特定的生命周期狀態下，才能讀寫特定的密鑰。密鑰的更新：密鑰須支持可更新，并明確更新周期，在一次性可編程的芯片中保存的密鑰除外。密鑰的銷毀：不再使用的密鑰應當立即銷毀，二級秘鑰支持吊銷，雙根場景，各自的二級秘鑰支持獨立吊銷?？蓪徍诵裕好荑€的生成、使用、更新、銷毀等操作需記錄詳細的日志 密鑰保護場景和整體流程。5)證書管理應用 證書在可信基礎設施發揮著重

42、要作用，一方面，它可以傳遞信任，從而實現身份證明；另一方面，被廣泛應用于安全通信協議中。從而實現各項系統的完整性、機密性保護機制。證書自帶有效期機制，促進密鑰及時更新提升安全性的同時，也對安全管理能力提出一定挑戰。證書管理應具備一定的安全性與連續性功能，保證敏感信息不被竊取的同時，業務可以持續運行。對可信基礎設施證書管理包括以下幾個方面：證書應具備更新/替換能力。證書導入應至少具備校驗證書有效期、加密算法強度并使用根CA 29 的公鑰驗證CA證書中簽名正確性的能力。應至少具備證書有效期檢查，并在證書有效期過期前一定時間提 醒用戶更換證書的能力。證書的私鑰或加密口令需要加密保存，其加密密鑰需要被

43、專用硬 件安全模塊保護。設備中的預置證書應是唯一的，實現“一機一證”。3.可控安全核心能力 假如沒有掌握對技術的自主創新，將會帶來巨大的風險。而安全核心技術的自主創新，對于整個網絡空間的斗爭尤為關鍵。如果不能真正掌握，就會處于被動挨打的地步，就沒有能力進行防御，或者發現問題也無法解決。在“東數西算”樞紐節點建設過程中，必須加強在網絡安全領域的基礎理論算法和核心通用能力的研究應用。1)文件防病毒引擎 建立國產化平臺環境的病毒檢測的覆蓋以及腳本類病毒、“挖礦”、勒索類病毒以及二進制可執行文件類病毒檢測能力，提供對云端機器學習和云增強檢測等檢測方式的支持，實現機器學習檢測能力和病毒庫精細化定制能力。

44、2)網絡攻擊識別引擎 基于國產化平臺適配環境，基于獲取報文、解碼報文、監測報文和記錄日志的統一處理邏輯，形成一體化的引擎基礎能力，實現將網絡報文30 轉化為標準報文數據結構，從數據鏈路層、網絡層、傳輸層到應用層的協議識別并依次完成解碼，使用 HS 多模式匹配算法，將報文和特征分組做匹配，將命中的威脅記錄以回調函數形式提供給產品，并提供告警相關流的上下文信息。實現通用告警歸并：針對所有的告警信息采取對應策略進行歸并。實現多線程加載 PTN 功能，實現對 lua 腳本（支持規則編寫、告警日志場景）的支持，實現對 IDS rule 的使能熱操作的支持。實現告警增強信息的拓展，并根據增強信息完成研判模

45、塊相關業務場景設計。3)威脅情報評估引擎 建立威脅情報信息庫，實現情報的生命周期管理并與各安全系統聯動形成標準處置流程包括但不限于一下內容并并重點拓展國產化環境漏洞情報庫研究：IP 信息庫(核心情報)域名信息庫(核心情報)pDNS 信息庫(核心情報)IP Whois 信息庫(核心情報)Domain whois 信息庫(核心情報)ASN 信息庫(核心情報)SSLCert 信息庫 文件樣本庫(核心情報)CVE 漏洞庫(核心情報)PUP&PUA 工具庫 31 攻擊方法庫 黑客組織庫 (核心情報)網絡威脅敵情庫：至少包括 IOC、威脅事件報告、威脅分析報告、威脅預警。構建對于 IP、域名、文件 has

46、h、URL、數字證書、漏洞、郵箱、電話號碼、標簽、攻擊組織名稱、事件名稱、關鍵字等情報的檢索，包括 WEB查詢與 API 自動查詢；支持組合條件檢索（情報源、情報類型、威脅類型、標簽、關鍵字、時間、情報狀態等）、標簽檢索、模糊檢索，支持對查詢結果的標注和導出。4)惡意行為監測引擎 研究完善探針感知用戶事件和基于事件的告警能力，拓展有效檢測規則數量覆蓋主流攻擊場景。建立攻擊模型知識庫，以攻擊行為的技術、戰術和過程分類，實現對攻擊過程按事件類型劃分為不同的攻擊階段。提供標準的應急響應流程，包括應急事件處理模板和事后匯報模板并實現威脅狩獵支持能力，支持威脅溯源、追蹤。與威脅情報評估引擎聯動，支持規則

47、輸出 IOC 情報。（三）網絡和端點安全能力建設（網端盾）參考網絡安全等級保護基本要求，結合保護對象的業務安全需求特點，遵循適度安全為核心，以重點保護、分類防護、保障關鍵業務為原則，從多個層面進行建設，構建安全技術體系，提供網絡安全、終端安全的安全32 保障。關鍵建設內容包括：1.網絡安全 網絡架構：劃分網絡安全域 邊界防護安全：配置邊界訪問控制策略，檢測非法內聯外聯 訪問控制：采用防火墻實現邊界訪問控制策略 入侵防范：邊界處部署威脅檢測設備實現對攻擊實時檢測和阻斷 惡意代碼防護：邊界部署惡意代碼防護系統對惡意代碼進行過濾 安全審計：進行網絡流量分析，通過堡壘機開展運維審計。2.終端安全 PC

48、 終端安全：強化身份認證機制引入雙因素認證；進行基線加固并部署防護軟件檢測和阻斷攻擊并支持審計溯源；部署惡意代碼防護系統查殺惡意代碼；部署統一終端管理管控終端應用安裝和使用行為；提供終端數據備份能力支撐；基于虛擬桌面技術為業務人員提供集中管理的工作桌面托管和交付服務。移動終端安全：提供基于商用密碼解決方案提供身份認證和移動終端加密運算和密鑰保護功能；提供基于虛擬移動設備技術為業務人員提供安全的移動工作空間。（四）云平臺和云負載安全能力建設（云上盾）從云工作負載保護平臺、云租戶安全能力資源池等多個層面進行建設，構建安全技術體系，為云上資源調度、云上租戶安全使用資源提供支撐保33 障。關鍵建設內容

49、包括：1.云工作負載保護平臺 身份認證：集中管理主機賬號，并提供多因素認證支持 入侵防范：提供了主機防火墻功能并檢測和阻斷網絡攻擊 惡意代碼防護：檢測并阻止惡意程序 安全審計：對系統行為高清記錄取證以支持溯源分析，統一收集分析主機日志，研判安全風險 漏洞防護：檢測發現主機操作系統漏洞，利用虛擬補丁技術預防利用漏洞的攻擊，在系統補丁更新前之前提供完整的防護 應用控制：管控應用程序的網絡的訪問和操作行為 完整性保護：監測關鍵文件目錄、注冊表，發現和限制異常修改 微隔離：定義并控制主機、主機應用間的細粒度的訪問關系 2.租戶安全能力資源池 通過一體化的虛擬架構方案，將多種安全能力以虛擬化安全組件的方

50、式集成形成安全資源池，實現統一管理，并輸出給國家樞紐節點內各數據中心租戶，依托于云原生安全、彈性、可擴展、多租戶、池化、自助等特點，為用戶實現安全能力的服務化。提供的安全能力組件包括風險識別組件、安全防御組件、安全監測組件和安全響應組件，支持租戶構建完整的自適應安全防護能力。（五）數據安全能力建設（數據盾）34 通過構建數據盾，全面覆蓋數據生命周期的各個環節，提供數據安全管理、檢測、防護、審計能力，實現數據安全管理、技術防護和安全運營的有效協同。關鍵建設內容包括：1.數據安全防護建設 提供數據加解密和秘鑰管理、數據脫敏、數據溯源、數據防泄密、數據庫審計等安全防護手段，支持數據全生命周期安全防護

51、。2.數據資產管理 具備全網數據資源發現和敏感數據資產管理能力。實現主要關系型數據庫和部分大數據平臺組件敏感數據資產的檢測識別、分級分類和維護管理，建立敏感數據資產分布視圖。支持數據資產的備案和業務過程管理。3.標準策略管理 收錄并拆解各類與數據安全相關的規范標準，支持數據安全標準和策略統計與稽核，實現規范標準落實情況跟蹤。4.風險事件管理 對相關位置的網絡流量進行抓取或者對相關系統、設備的日志進行采集，同時結合業務數據備案內容，進行實時監視和分析，實現數據開發調度應用和對外數據交換業務場景的數據安全風險監測和預警，提供數據安全事件管理和日志快速查詢檢索能力。5.能力聯動管理 基于風險事件管理

52、的輸出創建控制編排，形成各類安全控制策略進行處置?；诠芾聿呗缘姆治鼋Y果或安全告警結果，聯動各類安全設備，配35 置相應的響應策略，實現自動化防護。（六）應用安全能力建設（應用盾）應用盾建設主要包括如下平臺：應用安全檢測、應用安全監測、應用安全防護、應用身份權限管控、應用日志審計等平臺。關鍵建設內容包括：1.應用安全檢測 通過靜態、動態或者交互式的應用安全檢測，從根源發現應用所存在的漏洞，發現問題后為客戶提供漏洞的詳細報告和解決方案，為管理員對漏洞修復提供依據，并組織技術力量對漏洞進行修補，預防威脅。2.應用安全監測 提供 web 應用的 7*24 實施監測服務，包括網站脆弱性檢測、網站可用性

53、監測、網站掛馬監測、網站鏈接監測、網站篡改監測、網站敏感內容監測與網絡主機監測七項內容。3.應用安全防護 為應用服務提供安全保障，提供 web 攻擊防護、網頁防篡改、DDoS 防護等多功能于一身的應用安全防護。4.統一身份管理 構建統一身份管理體系，對于應用身份帳號進行梳理，整合用戶信息，實現統一帳戶管理，并支持對用戶身份的全生命周期的管理。5.統一認證管理 構建多種認證方式的統一認證服務樞紐，為各應用輸出統一的認證能36 力，實現應用之間的單點登錄和互認互通。6.統一授權管理 授予用戶全局角色，基于角色進行集中授權管理，防止用戶擁有不必要的資源訪問權限。在鑒權方面，平臺提供集中鑒權與非集中鑒

54、權兩種模式，方便靈活的為應用系統提供服務。7.統一審計管理 收集歸并各應用的安全日志和告警信息，并通過智能分析，實現從不同場景對來自業務系統中各個角落的安全日志進行實時分析、統計、趨勢分析，迅速識別安全事故，從而及時做出響應。（七）安全管理體系建設 安全管理體系是通過使用風險管理過程來保護信息的保密性，完整性和可用性，是提升整個組織的信息安全管理能力。采用信息安全管理的計劃、實施、檢查和改進（PDCA），建立信息安全管理體系的持續改進要求，針對信息安全方針、信息安全組織、人力資源安全、資產管理、訪問控制、密碼學、物理與、操作安全、通信安全、數據保護等方面提出了信息安全管理的控制目標和控制要求。

55、1.安全管理機構 建立信息安全管理機構，在信息安全管理機構的領導下，制定信息安全策略，建立信息安全管理制度，并通過可操作的保障機制來保證這些策略和制度的落實。明確相關信息的安全責任，在工作中落實、監督和考核。37 使員工了解到信息安全不僅僅是網絡安全，還包括業務信息安全、人員安全、組織安全等方面的內容，增強員工的安全意識，在日常業務中按照相關規范執行信息安全要求。提倡在行為規范上嚴格要求，使員工養成良好的習慣，避免發生大的事故。在管理上，通過進一步明確信息安全主體責任，完善各類信息安全制度并嚴格執行，從源頭上有效遏制和防范事故發生。2.安全建設管理體系 建立安全建設管理體系，明確安全建設過程中

56、的具體處理過程及措施，建立安全建設的參考標準及內容，并指定安全建設范圍。安全建設體系，包括：等保定級備案過程、安全方案設計過程、產品采購和使用過程、自行軟件開發過程、外包軟件開發過程、工程實施、測試驗收、系統交付、等級測評、服務供應商選擇等建設過程的安全控制管理。3.安全運維管理體系 建立安全運維管理體系，制定符合信息系統的安全防護策略，有效抵御已知的安全威脅；構建組織網絡安全管理制度體系框架中有關安全運維管理的制度規定，包括但不限于：環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡與系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應

57、急預案管理及外包運維管理等內容，確保系統安全穩定的運行。（八）安全監管體系建設 38 開展集預測、檢測、分析、響應、協同于一體的樞紐級網絡安全監測協同平臺建設，借助平臺實現情報、技術、流程、人員有機結合，開展常態化安全監管工作，實現對安全風險的可視化感知、智能化研判響應，落實整體防控、聯防聯控，支持樞紐節點各建設運營主體持續提升和持續改進安全能力，有力保障整體業務安全。（九）安全運營體系建設 構建多層次覆蓋多場景適用的樞紐節點網絡安全公共服務能力。構建云安全資源池為樞紐節點集群各數據中心和算力平臺提供服務，通過高效易用的能力編排有效解決安全訴求?；诮y一的 SaaS 安全運營平臺和輕量化租戶側

58、探針，深度聯動安全通告、風險評估、上線前檢查、安全咨詢、攻防演練、重要時期保障、應急響應與處置等多種運營業務，提供持續、閉環的 7*24 云端運營服務，并可跨樞紐節點提供服務輸出。聚合安全服務數據，提升安全服務價值，優化安全服務效率，提升安全服務保障能力?；凇捌脚_+組件+服務+組織”，構建“建、管、運”三維一體安全托管運營模式，沉淀網絡安全運營知識庫，為各樞紐節點數據中心和算力平臺建設運營主體提供“資產一本賬、合規一條線、態勢一張圖、響應一站通”的可視化網絡安全運營服務。五、攜手助力樞紐節點安全能力構建（一）信息化百人會介紹 39 信息化百人會（ChinaInfo100）成立于 2013 年

59、，是專注于推動當代中國數字化、網絡化、智能化發展，促進溝通與合作，以北京信百會信息經濟研究院為依托的平臺。致力于挺立信息時代潮頭，洞察經濟社會轉型趨勢與變革方向，面向新技術、新產業、新模式的創新與賦能。搭建領軍企業、高端智庫和政府部門間思想交流平臺、政策對話機制，聚焦重大議題，推動產業生態合作，促進全球合作與互利共贏，讓技術激發潛能，讓創新普惠大眾，推動信息時代和智能化社會的繁榮與穩定。（二）華為鯤鵬計算產業介紹 鯤鵬計算產業是基于鯤鵬處理器的基礎軟硬件設施、行業應用及服務，涵蓋從底層硬件、基礎軟件到上層行業應用的全產業鏈條。鯤鵬計算從2019 年正式起航，在全球鯤鵬計算產業伙伴的共同努力下，

60、已經構筑了完整的基礎軟硬件生態和人才發展體系，并在政府、金融、電信、電力、交通等各個行業實現了大規模的商用落地，為各行業的數字化變革和應用創新提供了強大穩定的算力支持。作為鯤鵬計算產業的發起者和重要成員，華為秉持“硬件開放、軟件開源、使能伙伴，發展人才”的策略，通過戰略性、長周期的研發投入，吸納全球計算產業的優秀人才和先進技術，和產業伙伴一起，持續推進全棧計算技術的創新發展，構筑面向多樣性計算的全球開源體系與產業標準，推動鯤鵬生態全面發展。40 圖 7 華為鯤鵬計算產業總覽 1.硬件開放 鯤鵬處理器具有多核高能效、大內存帶寬、高集成度等技術特征。鯤鵬處理器基于多核數設計（最高提供 64 核），

61、處理器綜合性能、并發能力、能效比等關鍵指標業界領先。同時，通過優化分支預測算法、改進內存子系統架構、整合更多通道的內存控制器，鯤鵬處理器實現超大內存帶寬，大幅提升應用處理效率。鯤鵬主板全面共享華為在服務器領域積累的整機設計和工程能力，降低伙伴整機設計和開發難度。鯤鵬主板不僅搭載了鯤鵬處理器，內置了 BMC 芯片和 BIOS 軟件，還開放相應的主板接口規范和設備管理規范給合作伙伴，提供內存、硬盤、網卡等部件以及支持的操作系統和版本的兼容性列表，解決軟硬件的基礎生態配套問題。鯤鵬主板具備高性能、高可靠、高能效的優勢，可實現整機算力的充分釋放，41 打造算力領先的整機產品。2019 年華為面向伙伴開

62、放基于鯤鵬處理器的主板、網卡、硬盤等標準部件，幫助整機合作伙伴快速推出自有品牌的服務器產品。2020 年華為全聯接大會上，華為發布了主板開放 2.0，通過基礎板+擴展板的開放模式，基礎板沉淀共性，減少伙伴重復開發；擴展板實現創新，使能伙伴差異化競爭力；同時結合 BIOS/BMC 軟件開放，支持伙伴自行開發差異化部件，打造創新整機產品。此外，在鯤鵬主板開放的同時，也從研發、制造、采購&供應、服務、商業模式、解決方案、市場、人力資源、財務、文化十大方面，全方面對伙伴進行賦能，幫助伙伴快速成長，使能合作伙伴打造更有競爭力的鯤鵬計算產品。2.基礎軟件 基礎軟件方面，華為通過開源的方式把自身多年來構建的

63、操作系統能力和數據庫能力開放出來，并創建了 openEuler 開源社區（中文：歐拉開源社區）和 openGauss 開源社區，以社區運作的方式，同產業伙伴和廣大開發者共同構建基礎軟件生態。1)openEuler 操作系統 作為計算產業“軟件開源”的戰略落地，2019 年華為把十多年在服務器操作系統上積累的能力開放出來，基于共建、共享、共治原則，通過歐拉開源社區（openEuler Community），推動操作系統的核心技術發展、42 促進開源社區能力提升，構筑自立自強、開放合作的操作系統生態，為操作系統產業培養人才。2021 年 9 月華為全聯接大會上，華為將自身在 ICT 領域各場景、不

64、同設備商上操作系統能力全面開放出來，對歐拉全面升級：從服務器場景，擴展到云、到邊緣計算，到 CT 和 IOT 的嵌入式場景，成為統一的面向數字基礎設施的開源操作系統。歐拉創造性的提出全棧原子化解耦，支持版本靈活構建、服務自由組合，這樣通過一套架構，來靈活支持南向多樣性設備，北向全場景應用。華為通過貢獻社區發行版、使能伙伴自有品牌的商業發行版等多種形式，促進操作系統產業健康、高速發展。操作系統產業伙伴，結合各自的優勢，基于 openEuler 的社區版，開發自己的商業發行版操作系統，面向最終用戶提供有競爭力的產品。比如麒麟軟件有限公司的銀河麒麟高級服務器操作系統 V10。2)openGauss

65、數據庫 企業級開源數據庫 openGauss，在通用計算平臺上實現 TP（交易型事務處理）在業界的性能絕對領先。同時依托 openGauss 開源社區與產業鏈上下游建立合作創新伙伴關系，華為作為 openGauss 重要參與者，聚焦在數據庫內核創新和根技術研發，把最新、最先進的技術開放給產業界，伙伴基于社區版本，結合自身的優勢結合，打造更為成熟的商業化版本，加速 openGauss 應用的廣度和深度，從而繁榮整個數據庫生態。43 3)Kunpeng BoostKit 應用使能套件 鯤鵬應用使能套件 BoostKit，從硬件、基礎軟件，到場景化應用開展全棧優化，主要面向伙伴和客戶的開發者，提供高

66、性能開源組件、基礎加速軟件包、應用加速軟件包，使能應用極致性能。圖 8 華為鯤鵬應用使能套件 1)高性能開源組件：伙伴從開源社區、鯤鵬社區獲取，直接編譯/部署，目前90%主流開源軟件已支持鯤鵬，實現開源軟件在鯤鵬上開箱即用。2)基礎加速軟件包：面向伙伴開源、開放豐富的基礎性能優化方法、加速庫、加速算法，釋放鯤鵬算力。3)應用加速軟件包：聯合伙伴開展解決方案創新，提供業界領先的加速組件、算法，實現應用性能倍增。2020 年發布 BoostKit 1.0，面向大數據、分布式存儲、數據庫、虛擬化、ARM 原生、Web/CDN、NFV 和 HPC 等場景提供性能調優加速44 組件。2021 年發布 B

67、oostKit 2.0“數據親和”加速組件，基于數據全處理流程進行負載優化，實現應用性能的倍級提升。2022 年 4 月發布鯤鵬 BoostKit 五大加速組件，攜手伙伴，幫助用戶構建業界領先的解決方案，使能鯤鵬在行業核心場景“好用”。五大加速組件之一機密計算 TrustZone 套件：基于 ARM TrustZone 技術提供全棧 TEE（Trusted Execution Environment，可信執行環境）解決方案，包括華為自研 TEE 安全操作系統、鯤鵬服務器 BMC和 BIOS、應用開發 TEE SDK 等，為客戶的關鍵數據提供完整性、機密性保護和可信使用。（三）亞信安全企業介紹

68、亞信安全科技股份有限公司（簡稱亞信安全，股票代碼 688225）是中國網絡安全軟件領域的領跑者，是業內“懂網、懂云”的網絡安全公司。承繼亞信 20 多年互聯網建設經驗，肩負守護互聯網之使命，亞信安全于2015 年正式啟航，目前已成為建設中國網絡安全的重要力量。不負使命，成功執行建黨 100 周年、歷年兩會等國家重要網絡安全保障任務 30 余次。依托互聯網建設能力，讓亞信安全具備強大的“懂網”業務能力與資源優勢；深耕網絡安全高精技術，讓亞信安全擁有優異的“懂云”技術基因。亞信安全在云安全、身份安全、終端安全、安全管理、高級威脅治理及 5G 安全等領域突破核心技術，用實力筑牢云、網、邊、端之安全防

69、線。45 亞信安全在中國網絡安全電信行業細分市場份額占比第一，連續五年蟬聯身份安全中國市場份額第一，終端安全中國市場份額占比第二，在威脅情報、EDR,XDR 等細分技術領域均居于領導者象限，是中國網絡安全企業 10 強。秉承建網基因，堅守護網之責，亞信安全以護航產業互聯為使命，以安全數字世界為愿景。2020 年提出“安全定義邊界”的發展理念，以身份安全為基礎，以云網安全和端點安全為重心，以安全中臺為樞紐，以威脅情報為支撐，構建“云化、聯動、智能”的技術戰略，守護億萬家庭和關鍵信息網絡，建設全網安全免疫系統，為我國從網絡大國向網絡強國邁進保駕護航。（四）亞信安全基于鯤鵬全棧安全整體解決方案 基于

70、雙方的優勢能力整合，亞信安全與華為鯤鵬開展深度合作，推出全面覆蓋算力樞紐節點安全能力建設需求的數盾全棧安全解決方案。同時，雙方基于安全可信的算力基礎設施，開展自主創新環境安全應用原生開發和深度定制，實現了原生可信的安全應用部署和軟硬聯動的精準安全管控，助力“東數西算”工程樞紐節點打造真正自主創新的高可信安全能力。1.全面覆蓋的安全防護組件 46 圖 9 亞信安全基于鯤鵬全棧安全整體解決方案 1)網端盾解決方案 網端盾解決方案由邊界安全、高級威脅治理和端點安全三個子方案整合構成。邊界安全包括防毒墻系統、防火墻系統、抗 D 系統、網絡威脅入侵防護系統；高級威脅治理包括高級威脅監測系統、高級威脅分析

71、系統和高級威脅郵件防護系統；端點安全包括終端準入系統、零信任訪問控制系統、病毒防護系統、終端威脅檢測及響應系統、終端安全管理系統、虛擬補丁系統、虛擬（移動）終端和 SIM 盾運營系統。2)云上盾解決方案 云上盾解決方案由云上負載保護和云安全資源池兩個子方案整合構成。云上覆蓋保護包括云主機安全防護系統和共享免疫 SaaS 系統；云安全資源池包括云安全管理平臺和云安全資源組件。3)數據盾解決方案 數據盾解決方案由數據安全防護和數據安全綜合治理兩個子方案整合構成，數據安全防護包括數據加密系統、數據脫敏系統、多方安全計算47 系統和密鑰管理系統；數據安全綜合治理包括數據安全管控平臺和數據服務管理運營中

72、心。4)應用盾解決方案 應用盾解決方案由應用安全監測檢測、應用安全防護和應用身份管理三個子方案整合構成。應用安全監測檢測包括網站監測系統、代碼靜態安全缺陷分析、應用動態安全測試和應用交互式安全測試系統；應用安全防護包括 WEB 應用防火墻、應用運行時安全防護系統和網頁防篡改系統；應用身份管理包括統一身份認證與訪問管理系統和堡壘機。5)監管運營解決方案 監管運營解決方案由威脅情報、監管運營和安全服務三個子方案整合合成。威脅情報中心包括情報分析系統，情報運營系統和情報邊緣節點。監管運營中心包括安全大數據平臺、安全態勢分析系統、安全應急協調系統和安全綜合監管系統；安全服務包括安全咨詢、演練重保、安全

73、資源池、SaaS 運營、安全托管等。2.原生可信的安全應用部署 1)鯤鵬機密計算 TrustZone 套件概述 鯤鵬機密計算基于鯤鵬處理器內置 TrustZone 技術，與芯片深度適配，針對數據中心服務器場景擴充必要功能形成的機密計算使能套件。其核心組件“安全 OS”使用了華為自研的 iTrustee，基于華為自研的微內核安全 OS，已在手機側商用近 10 年，支持過億級用戶，并獲得 CC EAL4+48 認證具備充分的安全性。相對于保護使用中數據安全其它技術而言，部署在 TEE 內計算可免去復雜的算法協議，可大大提升機密數據的處理效率。尤其適合需要處理大量機密數據的業務場景。鯤鵬 Trust

74、Zone 技術通過分時復用技術，區分 CPU 的運行狀態，在同一套硬件系統上劃分了 Normal World 和 Secure World 兩個獨立的環境：圖 10 鯤鵬機密計算 TrustZone 技術分時復用 這兩個環境各自擁有自己的資源，包括內存和 Cache，根據 CPU 的設計不同，硬件設備也可被設計為可信執行環境（TEE）專用或在需要時可動態切換。只有 CPU 處于 TEE 安全態時，才可以訪問安全側的資源和硬件。在此被嚴格隔離的資源之上，可信執行環境（TEE）和普通執行環境（REE）側分別擁有自己的操作系統，用來執行用戶的可信應用。鯤鵬機密計算 TrustZone 套件是一個由硬

75、件（包括 BIOS、BMC）、機密計算運行環境，以及配套的 patch、應用開發指導和應用打包工具等組成的技術方案。通過此套件，華為提供了一個安全的，方便開發者部署49 自有應用的平臺。行業合作伙伴開發者可以基于鯤鵬機密計算 TrustZone套件所涉及的軟硬件實體，快速部署和使用自己的開發環境。圖 11 鯤鵬機密計算 TrustZone 套件部署 2）亞信安全“信艙”云主機深度安全防護系統產品在鯤鵬體系環境中的 可信應用部署 為保證TEE環境的可信，避免被惡意應用污染，TA在運行前必須得到身份和完整性的確認。鯤鵬機密計算采用的是通過簽發開發者證書，并實現對TA的完整性校驗進行管控?；陔p方的

76、深度合作，亞信通過TA Dev Cert申請獲得華為鯤鵬簽發的證書進行可信應用簽名。亞信根據業務重要性，將“信艙”云主機深度安全防護系統區分為在 REE 上運行的基本功能和在 TEE 運行的機密計算功能。前者主要進行50 殺毒事件、防火墻/入侵檢測事件、日志審計事件、文件完整性事件等基本業務功能處理。后者負責安全數據存儲，將配置、證書、上報事件等放入 TEE 環境中，防止黑客入侵后破環或篡改防護客戶端程序中關鍵數據及防護策略，使得防護系統失效。圖 12 亞信“信艙”云主機深度安全防護系統可信應用部署 在 TEE 和 REE 環境分別部署的云主機深度安全防護系統功能模塊使用 TA Feature

77、 插件進行通信實現整體協同。51 圖 13 亞信“信艙”云主機深度安全防護系統可信應用部署下通信協同 3.軟硬聯動的精準安全管控 1)“挖礦”和“勒索攻擊”治理的必要性 關于“挖礦”治理的必要性 虛擬貨幣“挖礦”活動指通過專用“礦機”計算生產虛擬貨幣的過程，能源消耗和碳排放量大，對國民經濟貢獻度低，對產業發展、科技進步等帶動作用有限，加之虛擬貨幣生產、交易環節衍生的風險越發突出，其盲目無序發展對推動經濟社會高質量發展和節能減排帶來不利影響。2021 年 9 月，國家發展改革委發布國家發展改革委等部門關于整治虛擬貨幣“挖礦”活動的通知發改運行20211283 號，要求全面整治虛擬貨幣挖礦活動。由

78、于虛擬貨幣的價格暴漲，受利益驅使，黑客也瞄準了虛擬貨幣市場，其利用“挖礦”程序來獲取經濟利益，使得“挖礦”病毒成為不法52 分子利用最為頻繁的攻擊方式之一?！巴诘V”病毒為獲得利益最大化，不僅老病毒變種頻繁，新病毒也層出不窮，如：利用多種漏洞攻擊方法入侵企業云計算主機，或與僵尸網絡合作廣泛傳播，或還有偽造 CPU 使用率，利用 Linux 內核 Rootkit 進行隱秘“挖礦”，“無文件”、“隱寫術 等高級逃逸技術盛行，安全對抗持續升級?！巴诘V”病毒已經獲得全面進化，很難通過單一安全產品實現有效的防護，需要進行有針對性的多重檢測防護。關于“勒索攻擊”治理的必要性 今天的勒索攻擊最大的特征已然不是

79、一個黑客，一個小組織就能夠完成的，非常多的勒索黑客們已經發展成一個龐大的團伙，利用各種APT（Advanced Persistent Threat：高級持續威脅）攻擊技術，造成了巨大的損失，為了應對這樣的威脅，需要我們深入洞察這些技術、過程和團伙背后的原理，才能真正產生檢測、阻斷等效果。目前從我們統計的數據來看，最近勒索團伙發展到數十數百人的規模都非常平常了，每個團伙成員分工明確，包括各種初始入侵，偵測&橫移，數據外泄，部署，敲詐勒索等。53 圖 14 現代勒索攻擊轉變升級 如上圖所示，現代勒索攻擊的轉變升級主要體現在作戰模式、攻擊目標和勒索方式上。勒索軟件即服務 RaaS（Ransomwar

80、e-as-a-Service）的興起使得勒索的作戰模式從傳統的小型團伙單兵作戰，轉變為模塊化、產業化、專業化的大型團伙作戰，其造成的勒索攻擊覆蓋面更廣，危害程度顯著增加；對于勒索攻擊的目標，也從過往的廣撒網蠕蟲式攻擊升級成為針對政府、關鍵基礎設施、各類企業的定向攻擊；另外，從勒索方式來看，現代勒索攻擊已經從傳統的支付贖金恢復數據的勒索方式演化為同時開展雙層勒索，甚至三重勒索。勒索病毒經過升級到勒索 2.0，再之后又與 APT 攻擊有效結合，導致勒索病毒表現出更強的攻擊性、更好的隱蔽性、更高的達成率，更大的危害性，對針對性的目標造成降維打擊。因此，現代勒索攻擊可以認為就是基于經濟目的 APT 攻

81、擊，安全廠商對它的防御措施也應該升級為54 對待 APT 組織一樣，從各個維度去持續追蹤監控活躍勒索團伙的最新動態，實時洞察勒索犯罪集團所使用的攻擊技術、攻擊戰術、目標行業等威脅情報。因此，亞信安全與華為鯤鵬合作共同推出了軟硬聯動的精準安全管控方案。通過 CPU 芯片、操作系統、安全防護軟件的聯動，結合威脅情報、運維平臺、專家服務等形成一體化防治綜合解決方案，建立縱深防護，層層遏制“挖礦”病毒傳播和“勒索攻擊”。圖 15 軟硬一體挖礦勒索治理方案總覽 2)軟硬一體化“挖礦”和“勒索攻擊”治理的實現 “挖礦”和“勒索病毒”程序無論如何偽裝，本質都需要 CPU 提供算力進行大量哈希函數計算或加密計

82、算，抓住這個根本特征，可以通過華為鯤鵬 CPU 芯片層面對進程的行為特征進行提取。同時，openEuler操作系統還支持基于芯片層面加解密算法的 PMU 事件統計和密碼學相關的算法檢測分析。openEuler 操作系統通過接口將可疑行為特征提供給亞信安全云主機深度安全防護軟件中的引擎對相關進程進行進一步綜55 合識別判斷，從而精準識別并清除“挖礦”程序和已“勒索病毒”為代表的相關惡意病毒、木馬、可疑文件等，即使可疑文件可能是新出現的、未知的惡意軟件（稱為零日攻擊）也可有效發現。此種方法也能有效防護無文件“挖礦”或“勒索病毒”攻擊，包括利用本地程序漏洞運行在內存中的的無文件攻擊行為。圖 16 軟

83、硬一體挖礦勒索聯動邏輯 與此同時，亞信安全云主機深度防護系統提供了檢測與響應系統（EDR），通過對操作系統行為高清記錄和長期存儲，對操作系統、應用軟件和賬號資產進行動態發現，根據威脅行為規則IOA和外部特征庫IOC來對漏洞攻擊和無文件攻擊等高級威脅進行關聯分析及檢測，通過繪制進程事件樹實現攻擊可視化，對受害主機進行遠程遏制和提供修復建議。56 圖 17 EDR溯源分析過程 “挖礦”程序最終需要通過網絡與“礦池”通信進行交易，“勒索攻擊”也要將隱私數據竊取后到暗網進行交易。擁有深度包檢測的高性能流掃描引擎的網絡高級威脅治理解決方案組件能夠識別和分析多種挖礦幣種協議，例如stratum協議，Cry

84、ptonight等從而發現可疑“挖礦”行為；也可以分析識別敏感數據外泄，從而在“勒索攻擊”初期盡早發現并阻止數據竊取行為。亞信安全高級威脅網絡防護系統基于網絡流量解析和文件還原檢測，可覆蓋殺傷鏈的偵察、武器化、橫向滲透、投遞、遠程控制、采取“挖礦”行動數據加密等攻擊階段，能夠有效甄別安全事件中的無文件、隱蔽通信等躲避檢測手段以及弱口令、漏洞利用等自動攻擊手段，最終對比特幣、以太坊、門羅幣等十幾個主流幣種的“挖礦”行為進行精準發現和攔截。57 同時，當一臺主機被“挖礦”“勒索”病毒控制時，企業可以利用威脅感知運維平臺結合基于百億級數據儲備的威脅情報賦能，聯動亞信安全云、網、端產品，將受感染的主機

85、進行網絡隔離并進行有效處置，防止發生更多感染。對于已發生的“挖礦”“勒索”病毒事件，亞信安全提供威脅狩獵服務，由威脅分析專家根據客戶環境中的威脅線索主動進行關聯分析，通過對操作系統中的文件、進程、注冊表和網絡連接的海量信息整合重現攻擊過程，找到攻擊發生的根因、還原復雜的攻擊技術、并在確認威脅影響范圍和影響程度的基礎上，提供處置建議有針對性地進行響應和處置。圖 18 威脅狩獵服務過程 58 結語 集群化的大數據中心是聚集算力、數據、算法的新型基礎設施，承載著巨量的數字經濟時代核心生產資料和生產力，是促進行業數字化升級和產業數字化轉型，推進現代化經濟體系高質量發展的核心生產車間。網絡戰時代的大環境

86、背景更要求我們必須站在維護國家安全與經濟社會發展的高度，樹立極限思維提檔升級安全工作，重視全國一體化大數據中心的網絡數據安全能力建設。在信息化百人會組織協調下，亞信安全聯合華為與各方共同探討，參考發改委“東數西算”安全防護能力建設相關指導意見，并結合最佳實踐和樞紐節點實際情況，設計輸出了算力樞紐安全能力建設框架并從安全自主創新核心能力、覆蓋云網邊端和數據應用的安全管理和技術能力和安全監管運營體系等維度細化了“東數西算”網絡數據安全建設的核心內容，力爭給樞紐節點各建設運營單位和監管單位提供清晰的指導?！皷|數西算”樞紐節點網絡數據安全能力的提升，需要監管機構的統籌協調整體賦能，更需要各建設運營方和

87、算力服務、數據服務用戶各司其責通力協作。我們也堅信“網絡安全為大家，網絡安全靠大家”，大家的共同努力必能共筑樞紐節點安全長城，也希望本白皮書可以為此添柴加火。我們大家攜手構筑“東數西算”樞紐節點安全保障，建設安全數智未來。59 關于作者 劉政平 亞信安全副總裁 廖雙曉 亞信安全戰略咨詢專家 劉宇超 亞信安全云安全產品總監 楊 琴 華為計算產品線中國區產品管理部部長 胡科開 華為計算產品線機密計算安全解決方案高級專家 盧賢均 華為 2012 實驗室鯤鵬解決方案高級工程師 專家顧問 朱 炎 信息化百人會執委 黃澄清 中國互聯網協會副理事長 中國網絡空間安全協會副理事長 李京春 中央網信辦云評估專家組副組長 信安標委安全評估組組長 李新友 國家信息中心首席工程師 安宜貴 北京信百會信息經濟研究院研究部主任 劉東紅 亞信安全董事 高級副總裁 張 瑞 華為計算產品線安全首席專家