《中國聯通：算力網絡安全白皮書（2024）（54頁）.pdf》由會員分享，可在線閱讀，更多相關《中國聯通：算力網絡安全白皮書（2024）（54頁）.pdf（54頁珍藏版）》請在三個皮匠報告上搜索。

1、1中國聯通算力網絡安全白皮書中國聯通算力網絡安全白皮書（2024）（2024）中國聯通研究院下一代互聯網寬帶業務應用國家工程研究中心2024 年 7 月中國聯通算力網絡安全白皮書（2024）2權聲明權聲明本報告版權屬于中國聯合網絡通信有限公司研究院，并受法律保護。轉載、摘編或利用其他方式使用本報告文字或者觀點的，應注明“來源：中國聯通研究院”。違反上述聲明者，本院將追究其相關法律責任。中國聯通算力網絡安全白皮書（2024）3目 錄目 錄目 錄.3一、發展現狀.71.1 政策.71.2 產業.91.2.1 產業發展現狀.91.2.2 產業發展成果.111.3 技術.15二、安全需求.162.1

2、安全風險分析.162.2 合規監管要求.17三、安全理念與架構.183.1 安全愿景.183.2 安全目標.193.3 安全體系架構.203.4 技術架構.22四、算力網絡安全技術體系.244.1 基礎設施安全.244.1.1 算力基礎設施安全.244.1.2.網絡基礎設施安全.314.2 編排管理安全.364.2.1 安全感知.364.2.2 安全編排.374.2.3 安全調度.374.2.4 安全管控.384.3 運營服務安全.394.3.1 運營安全.394.3.2 能力開放安全.414.3.3 融合應用安全.434.4 通用安全技術.444.4.1 身份標識.44中國聯通算力網絡安全白

3、皮書（2024）44.4.2.密碼技術.454.4.3 區塊鏈技術.454.4.4 隔離與訪問控制技術.464.4.5 AI 智能安全檢測.464.5 數據安全.474.5.1 數據資產安全管理.484.5.2 數據泄露防護.494.5.3 數據可信流通.494.5.4 數據隱私計算.50五、發展建議.51附錄 1 參考文獻.53中國聯通算力網絡安全白皮書（2024）5前 言當前新一輪科技革命和產業變革正在重塑全球經濟結構，算力網絡成為帶動數字經濟發展的主引擎。我國積極推進算力網絡建設，實施“東數西算”戰略，構建全國一體化算力網，算力規模飛速增長，智算發展迅猛。中國聯通加快發展新質生產力，創造

4、聯網通信新價值、開拓算網數智新藍海。加快建設“新八縱八橫”國家骨干網，在“東數西算”國家樞紐節點間部署超高速互聯通道，打造一張高通量、高性能、高智能的算力智聯網，實現全域算力的智能調度，提供“通算+智算+超算”的一體化算力服務，將算力送達千行百業、千家萬戶。算力網絡在豐富數字生產生活場景的同時，也帶來了新的安全挑戰。開展算力網絡安全技術體系研究，對推動算力網絡安全能力建設、推進數字經濟時代新基建高質量發展意義重大。本白皮書以國家整體安全觀為指導，充分發揮網絡安全現代產業鏈鏈長的主體支撐和融通帶動作用，提出算力網絡“新質安全、共鏈可信”的安全愿景和“構建開放融合+內生免疫+彈性健壯+網安智治的一

5、體化安全”的安全目標。從運營商開展網絡建設和應用部署的角度出發，設計了算力網絡安全技術體系，以期為算力網絡體系建設提供安全方面的參考。本白皮書目標讀者包括但不限于移動運營商、通信設備提供商、安全產品提供商、安全服務提供商、系統集成商，以及其他關心算力網絡安全相關的機構和個人。中國聯通算力網絡安全白皮書（2024）6編寫單位：編寫單位：中國聯通研究院、下一代互聯網寬帶業務應用國家工程研究中心、中國聯通集團網絡與信息安全部、華為技術有限公司編寫組成員編寫組成員（排名不分先后）：總策劃：總策劃：李紅五、葉曉煜、徐雷、鄭濤、曹暢編委會：編委會：傅瑜、王翠翠、王蘊實、張小梅、葛然、王瑤、董婷婷、史金雨、

6、王瑩、賈雅清、藍鑫沖、郭新海、丁攀、張巖、王施霽、佟恬、蔣武、石航、李振斌、張越威、盛杰成、孫佳中國聯通算力網絡安全白皮書（2024）7一、發展現狀一、發展現狀1.1 政策1.1 政策當前，隨著數字經濟時代全面開啟，以 5G、智能寬帶等為代表的新型網絡技術的發展和商用規?；牟渴?，帶動了工業互聯網、車聯網、智慧醫療、智慧商業等垂直行業應用的蓬勃發展，新一輪科技革命和產業變革正在向縱深演進。據統計，到 2025 年，全球網聯設備總數將超過 270 億，而全球的數據總量則將達到 142.6ZB，這些都需要巨量的算力資源來支撐。算力資源已不再是單一的云資源池的形式，而是由云資源與廣泛部署的邊緣節點共

7、同構成。在這種演進的趨勢下，算力資源的協同是關鍵要點，算力網絡應時而生。通過無處不在的網絡連接，算力網絡整合多級算力、存儲等，為不同的行業提供最佳的資源分配方案，進而實現整網資源的最優使用，算力基礎設施的重要性不斷提升。作為算力的主要載體，算力基礎設施是支撐數字經濟發展的重要資源和基礎設施，對于實現數字化轉型、培育未來產業，以及形成經濟發展新動能等方面具有重要作用。算力作為數字經濟的核心生產力，也已經成為全球戰略競爭的新焦點，將帶動數字經濟創新發展邁向新臺階。習近平總書記多次強調，要加快新型基礎設施建設，推動數字經濟和實體經濟融合發展。作為國家重點發展領域之一，算力網絡利好政策持續出臺。202

8、0 年 12 月，關于加快構建全國一體化大數據中中國聯通算力網絡安全白皮書（2024）8心協同創新體系的指導意見 首次提出全國范圍內數據中心形成布局合理、綠色集約的一體化格局。2021 年 5 月，國家發展和改革委員會、工業和信息化部等四部委提出聯合布局全國算力網絡國家樞紐節點的“東數西算”工程，打通網絡傳輸通道，提升跨區域算力調度能力。2021 年 7 月，工信部發布新型數據中心發展三年行動計劃（2021-2023 年），計劃建設全國一體化算力網絡。2022 年 1 月，國務院印發“十四五”數字經濟發展規劃，明確了“十四五”時期推動數字經濟健康發展的指導思想、基本原則、發展目標、重點任務和保

9、障措施。其中與算力相關的數字基礎設施、數實融合等成為重點。2022 年 2 月，發改委發布國家發展改革委等部門關于同意京津冀地區啟動建設全國一體化算力網絡國家樞紐節點的復函，全國一體化大數據中心體系完成總體布局，我國將形成一體化的新型算力網絡體系。2023 年 2 月，中共中央、國務院發布數字中國建設整體布局規劃，將數字基礎設施列為數字中國建設的兩大底座之一。2023 年 4 月 17 日，科技部啟動國家超算互聯網工作，成立了國家超算互聯網聯合體。為進一步凝聚產業共識、強化政策引導，全面推動我國算力基礎設施高質量發展，2023 年 10 月 8 日，工業和信息化部等 6 部門聯合印發算力基礎設

10、施高質量發展行動計劃。2023 年12 月，國家發展改革委等部門發布關于深入實施“東數西算”工程加快構建全國一體化算力網的實施意見，進一步加快構建全國一體化算力網，以算力高質量發展支撐經濟高質量發展。中國聯通算力網絡安全白皮書（2024）91.2 產業1.2 產業1.2.1 產業發展現狀1.2.1 產業發展現狀經過多年發展，我國算力產業加速壯大升級，供給水平大幅提升，先進計算創新成果不斷涌現，已形成體系較完整、規模體量龐大、創新活躍的計算產業，在全球產業分工體系中的重要性日益提升。當前，我國計算產業規模約占電子信息制造業的 20%以上，2022 年我國以計算機為代表的計算產業規模達 2.6 萬

11、億元，計算技術國內有效發明專利數量位列各行業分類第一，產業高質量發展新格局正加快構建。一是整機市場份額不斷攀升一是整機市場份額不斷攀升。通用計算領域，根據 IDC 數據顯示，浪潮、新華三、華為、中興、寧暢排名我國服務器市場前五名，國產品牌市場份額合計接近 81%。智能計算領域，浪潮、新華三、寧暢排名我國人工智能服務器市場前三名，國產品牌市場份額達 79%，2022 年MLPerf 基準評測中浪潮 AI 服務器獲超半數賽道的冠軍。高性能計算領域，我國超算系統占有量與制造商總裝機量均保持全球領先。二是智算資源部署不斷完善二是智算資源部署不斷完善，阿里云 2022 年在河北張北、內蒙古烏蘭察布啟用了

12、兩座智算中心，為小鵬汽車等客戶提供智能計算服務。百度在山西陽泉、江蘇鹽城、湖北宜昌建成了三座智算中心，用于自動駕駛訓練或服務區域政府數字大腦、制造企業智能化。三是產業生態不斷完善。三是產業生態不斷完善。國產芯片已初具規模,X86、ARM、自主架構 CPU 持續深化規模應用，華為、百度、寒武紀等 AI 芯片加速迭代優化。國產操作系統逐步向金融、電信、醫療等行業應用滲透，鯤鵬生態、PKS 體系等中國聯通算力網絡安全白皮書（2024）10計算產業生態日漸完善，覆蓋底層軟硬件、整機系統及應用等關鍵環節。隨著我國算力規模的持續擴大，互聯網、大數據、人工智能等與實體經濟深度融合，算力應用的新業態、新模式正

13、加速涌現，一方面算力正加速向政務、工業、交通、醫療等各行業各領域滲透，成為傳統產業智能化改造和數字化轉型的重要支點。另一方面，圍繞“大算力+大數據+大模型”，智能算力成為全球數字化轉型升級的重要競爭力。從應用領域看從應用領域看，我國算力應用已加速從互聯網、電子政務等傳統領域，向服務電信、金融、制造、教育等行業拓展。在通用算力領域，互聯網行業仍是算力需求最大的行業，占通用算力 39%的份額；電信行業加強算力基礎設施投入力度，算力份額首次超過政府行業，位列第二。政府、服務、金融、制造、教育、運輸等行業分列三到八位。在智能算力領域，互聯網行業對數據處理和模型訓練的需求不斷提升，是智能算力需求最大的行

14、業，占智能算力 53%的份額；服務行業快速從傳統式向新興智慧模式發展，算力份額占比位列第二；政府、電信、制造、教育、金融、運輸等行業分列第三到八位。從支撐能力看從支撐能力看，算力應用場景向工業制造、城市治理、智能零售、智能調度等領域延伸，激發了數據要素驅動的創新活力?！肮I大腦”和“城市大腦”建設初具規模?！肮I大腦”將工業企業的各種數據進行布局和融合，在上層構建工業數據中臺，用智能的算法將數據的價值挖掘出來，實現數據采集監控、工業現場管控、設備智能控制等功能，快速提升工業中國聯通算力網絡安全白皮書（2024）11制造水平?！俺鞘写竽X”通過對城市全域運行數據進行實時匯聚、監測、治理和分析，全面

15、感知城市生命體征，輔助宏觀決策指揮，預測預警重大事件，配置優化公共資源，保障城市安全有序運行，支撐政府、社會、經濟數字化轉型。以中文大模型為代表的辦公生產力應用加速推進。2023 年 3 月百度發布文心一言，4 月華為發布盤古大模型，阿里發布通義千問大模型，商湯科技公布日日新大模型體系，5 月科大訊飛發布星火大模型，多家上市公司亦開始布局，助力 AI 大模型產業化。1.2.2 產業發展成果1.2.2 產業發展成果至今為止，我國對算力網絡的愿景已在業界得到廣泛的認可，算力網絡在標準制定、生態建設、試驗驗證等領域均取得了一定進展。（1）標準制定國內三大運營商及相關企業高度重視算力網絡的發展，在國內

16、外標準化組織牽頭推動算力網絡相關標準的制定。華為聯合國內運營商在歐洲電信標準化協會和寬帶論壇（BBF）也啟動了包括 NWI、城域算網在內的多個項目。中國電信、中國移動與中國聯通在 ITU-T（International Telecommunication Union-T，國際電信聯盟電信標準分局）立項了 Y.CPN、Y.CAN 和 Q.CPN 等系列標準，在 IETF（Internet Engineering Task Force，互聯網工程任務組）開展了Computing First Network Framework 等系列研究。其中，由中國電信聯合中國聯通共同研究的算力網絡框架與架構標準

17、（Computing中國聯通算力網絡安全白皮書（2024）12Power Network-framework and architectrue，Y.2501)已于 2021 年發布，成為首項獲得國際標準化組織通過的算力網絡標準，也是算力網絡從國內走向國際的重要一步，在算力網絡發展中具有里程碑式的意義。2021 年 7 月，中國通信學會成立算網融合標準工作組，開始算網融合領域的團標制定；2022 年 8 月，中國通信標準化協會 TC3 通過了 算力網絡總體技術要求 行標報批稿，算力網絡需求與架構以及 算力感知網絡關鍵技術研究 等多項研究也在有序開展；此外，在 IMT-2030（6G）網絡工作組也

18、成立了算力網絡研究組，研究在 6G網絡中計算、網絡融合對于未來網絡架構的影響和關鍵使能技術；互聯網研究專門工作組（Internet Research Task Force，IRTF）成立了在網計算研究組，面向可編程網絡設備內生功能的場景、潛在有益點展開研究。2023 年 3 月，國際互聯網工程任務組（The InternetEngineering Task Force，IETF）成立算力路由（CATS）工作組，中國移動專家擔任工作組主席，制定算力路由場景、需求、架構的國際標準，2024 年世界移動通信大會上，中國移動發布了全球首臺算力路由器(CATS Router)，標志著中國在算力網絡技術上

19、的原創性進展，也預示著算力與網絡融合的未來已觸手可及。（2）生態建設2020 年 6 月，CCSA TC614(網絡 5.0 產業和技術創新聯盟)成立了算力網絡特別工作組，依托聯盟的平臺和資源，聯合多方力量，共中國聯通算力網絡安全白皮書（2024）13推、共創算力網絡產業影響力，構建算力網絡生態圈。CCSA 的部分標準推進委員會也在進行與算力服務相關的團標研究工作，例如TC608（云計算標準和開源推進委員會）、TC614（網絡 5.0 技術標準推進委員會）和 TC621（算網融合產業及標準推進委員會）等組織，正在構建算力網絡生態圈。移 動 邊 緣 計 算 領 域 的 多 個 開 源 組 織 發

20、 起 了 KubeEdge、Edge-Gallery 等開源項目；2019 年底，在中國聯通、中國移動和邊緣計算網絡產業聯盟（ECNI）均發布了算力網絡領域相關白皮書，進一步闡述了算網融合的重要觀點。除此之外，中國聯通、中國移動、中國電信三大運營商均已明確提出算力網絡發展戰略及相關舉措，聚合計算與網絡資源的能力，加快提供算網一體化服務。中國聯通為數字經濟打造“第一算力引擎”，加快建設“新八縱八橫”國家骨干網，在“東數西算”國家樞紐節點間部署超高速互聯通道，打造高速互通、性能優越、安全可靠的算力智聯網，實現全局算力的網絡化智能調度，支持訓練推理的有效協同，并通過聯通云的星羅算力調度平臺，提供“通

21、算+智算+超算”的一體化算力服務。當前，中國聯通已形成“1+N+X”智算梯次布局，“一市一池”覆蓋 200多個城市。未來，還將通過統一運營管理，提供“聯接+感知+計算+智能”的算網一體化服務，滿足“中訓邊推”“西訓東推”對超大帶寬、超低時延、超高可靠的需求。中國聯通算力網絡安全白皮書（2024）14中國移動正構建以“5G、算力網絡、智慧中臺”為重點的新型信息基礎設施，發展“連接+算力+能力”的新型信息服務體系。算力網絡明確為中國移動的關鍵戰略領域，圍繞“基礎設施建設、業務創新、技術引領”三條主線推動算力網絡創新發展。2022 年中國移動算力整體規模已達 7.3EFLOPS，并通過建設“CFIT

22、I”試驗網，發布算網服務 1.0、算力網絡技術白皮書等系列舉措，有力提升行業影響。中國電信認為算力網絡是云網融合數字基礎設施的特征和重要組成部分，2022 年發布“云網融合 3.0”,提出六大特征：云網一體、要素聚合、智能敏捷、安全可信、能力開放、綠色低碳。中國電信在智能算力領域布局相對領先，率先構建“6+31+N+X”的四級 AI 算力架構，將有力提升天翼視聯網等重點業務的數智化能力。（3）試驗驗證2024 年 2 月 26 日至 29 日，2024 年世界移動通信大會（MWC 2024）在西班牙巴塞羅那順利舉辦。會上，中國運營商發布了多項算力網絡創新成果。中國聯通面向東數西算的全光直連需求

23、，開展了 DC 間高通量高性能長距離 RDMA 無損傳輸試驗，首次實現了基于 OTN 無損流控和端網協同擁塞控制的 3000 公里長距 RDMA 流量傳輸現網驗證，端口帶寬利用率從 20%提升到 90%以上，為業內首個面向智算的 3000 公里高通量無損傳輸現網驗證，為“東數西算”場景下的智算互聯奠定了技術基礎。中國聯通算力網絡安全白皮書（2024）151.3 技術1.3 技術在學術研究領域，算力網絡的概念最初于 2019 年被提出來。結合國內外的研究報告和論文分析結果，可以將與算力網絡相關的研究任務歸納為 4 個主要的類別。其一，對算力網絡的發展愿景和需求目標進行明確的分析，在此基礎上，重點

24、研究算力網絡的結構和關鍵技術，其二，研究和明確算力基礎設施如何才能充分地融合云、邊、端等多樣性的算力，同時要對算力一體化服務的新型信息基礎設施和現有網絡基礎設施的深度融合方案進行重點分析，其三，提出明確的算力任務調度算法、算力感知相關機制以及資源分配和管理機制，其四，提出在區塊鏈技術之上的算力交易安全保障技術和一種在算力網絡中部署聯邦學習的安全運營方式，同時為算力網絡中的邊緣計算節點設計一種看門狗協議。算力網絡是一個由多個層面組成的復雜系統，其功能和架構已經在業界形成了初步共識，首先，基礎設施層基礎設施層作為計算網絡的關鍵部分主要任務是將位于云、邊、端等不同位置的計算資源連接起來，確保數據信息

25、以高速且無損的方式傳輸。其次，編排管理層編排管理層作為計算網絡的運行核心，融合了大數據和 AI 技術，能全面優化、整合、管理并智能調度計算網絡資源。最后，運營服務層運營服務層作為平臺，為用戶提供計算網絡服務。其提供了一種集成的計算網絡產品供應服務模式，為大部分用戶創造了無感知的智能體驗和一站式服務。中國聯通算力網絡安全白皮書（2024）16二、安全需求二、安全需求2.1 安全風險分析2.1 安全風險分析由于算力網絡涉及多源、泛在算力節點，無法保證每個節點都能做到安全可靠，同時數據分散到多方算力節點進行計算，會導致三大安全影響：基礎設施層面，攻擊暴露面增加基礎設施層面，攻擊暴露面增加：算力網絡具

26、有算力泛在、靈活接入等特點,頻繁的資源鏈接將會導致資源的攻擊暴露面增加。與此同時,網絡攻擊手段也在不斷迭代升級,這些都使得資源受到攻擊的概率大幅提升；隨著云邊端算力的泛在化分布，算力節點互聯需求進一步加深，使網絡連接面臨安全風險的環境更加復雜。算力的動態調度對跨系統、跨域甚至跨境的多場景點對點網絡連接以及動態連接機制提出了新的需求，為攻擊者提供了更多的攻擊路徑，增加了網絡安全風險。此外，SD-WAN、IPv6/SRv6 等網絡新技術的應用會對算力網絡帶來潛在的安全問題。算力編排管理層面，管控復雜度提升算力編排管理層面，管控復雜度提升:相較于傳統網絡架構,算網新型架構新增網元如算網感知單元和算網

27、控制單元等,這些網元的引入將導致算網全網安全的管理復雜度提升,安全風險也隨之增加。算網信息在編排管理層匯聚，算力信息的正確性、完整性、安全性將影響算力網絡正常編排調度服務的開展。由于算力節點的多源泛在特性，一旦節點被攻擊或仿冒，造成虛假算力信息上傳，將嚴重影響算網的中國聯通算力網絡安全白皮書（2024）17可靠性。同時，基礎設施信息的大量集中存儲，增加了黑客對編排管理層進行攻擊，竊取或篡改數據的風險。一旦數據被竊取，可能會導致黑客對算力網絡的非法利用，若數據被篡改，還會造成用戶數據的泄露，影響運營服務的正常開展。算力網絡運營層面，存證溯源困難算力網絡運營層面，存證溯源困難:算力服務是端到端服務

28、,用戶群體龐大,分布式資源節點數量較多,數據信息管理起來較為繁雜,這導致存證溯源的復雜度提升,出現安全問題時難以快速定位安全威脅源。算力網絡為多方算力節點提供算力對外輸出的平臺，可充分利用閑散算力資源，但存在引入不安全節點或惡意節點的可能性，影響計算結果可信度，攻擊者或惡意節點還可能發起網絡攻擊或執行數據竊取等攻擊行為，對服務穩定性、數據安全性等造成威脅。算力網絡面向海量用戶及節點提供算力交易服務，交易管理復雜，不誠實的交易參與方可能會篡改或否認交易結果，引發惡意計費、逃避計費等問題，影響算力交易的公平公正。2.2 合規監管要求2.2 合規監管要求算力網絡作為新型信息基礎設施，需遵循相關法律法

29、規，滿足安全監管要求，同時在規劃、建設和運營過程中做好安全“三同步”。在法律法規方面，應符合網絡安全法、密碼法、數據安全法、個人信息保護法、關鍵信息基礎設施安全保護條例和網絡安全審查辦法等的相關要求，明確運營主體的安全責任。同中國聯通算力網絡安全白皮書（2024）18時，需遵從網絡安全等級保護基本要求系列標準，合理設計體系布局和層次形態，確定各部分的安全防護等級，構建相應的安全防護體系，提供既切合業務需求又安全可靠的算力網絡服務。三、安全理念與架構三、安全理念與架構3.1 安全愿景3.1 安全愿景中國聯通堅定履行數字經濟時代網絡安全的使命任務，聚焦建設網絡強國、數字中國主責，拓展聯網通信、算網

30、數智主業，充分發揮網絡安全現代產業鏈鏈長的主體支撐和融通帶動作用，提出算力網絡“新質安全、共鏈可信新質安全、共鏈可信”的安全愿景。新質安全新質安全：數字經濟時代，算力成為代表性新質生產力，算力網絡成為下一代網絡的演進方向。算力網絡安全也應該緊隨技術革命性突破、生產要素創新性配置、產業深度轉型升級而產生新的安全質態。我們應該在算力網絡中探索新質安全，拓展算力網絡中安全的新模式、新場景和新應用。共鏈可信：共鏈可信：實現“算”與“網”的全面融合，破除“領域、專業、產業”壁壘，是算力網絡健康發展的重中之重。安全互信是融合發展的前提基礎，我們應該凝聚算力網絡安全產業鏈共識，打造安全開放的產業發展環境，構

31、建全鏈條算力網絡的可信能力，實現多領域、多專業，多產業安全融通發展，通過技術創新和生態合作實現共鏈可信。中國聯通算力網絡安全白皮書（2024）193.2 安全目標3.2 安全目標面向算力新時代，中國聯通積極構建綜合性新型數字信息基礎設施，推進算網融合，以網強算。算力作為轉換數據價值的生產要素，已成為支撐數字經濟持續縱深發展的重要動力，維護算力網絡安全尤為重要，同時人工智能的發展也為算網安全帶來了新的機遇與挑戰。因此，充分利用安全新技術，構建堅實的基礎設施安全底座，實現智能的編排管理，是保障算力網絡以及數據安全的關鍵，從而實現“開放融合+內生免疫+彈性健壯+網安智治的一體化安全”的算力網絡安全目

32、標。開放融合：實現“算”、“網”深度融合，安全不成為開放融合的桎梏，而成為開放融合的新動能。構建具備公信力的算力網絡環境，保證算力資源在全生命周期中被有效保護和合法利用，處置行為可審計、可溯源。內生免疫：保證全節點、全流程的高度安全可靠。建立算力網絡內生免疫的安全能力，主動從源頭屏蔽攻擊，提升算力網絡抵御潛在未知威脅的能力。彈性健壯：具備應對大規模攻擊的承受力，通過構建自適應的安全防御能力，提高確保關鍵業務及數據的快速可靠恢復。通過網絡資產隱身，業務和數據無固定承載實體，使得攻擊者無法精準定位目標。中國聯通算力網絡安全白皮書（2024）20 網安智治：具備網絡、業務、安全一體化服務能力，實現算

33、力網絡安全的感知、分析、決策、執行的全流程閉環管理，從為豐富的數字經濟應用提供安全的支持和服務。通過解構分析算力任務的安全需求等級，可動態調度算力網絡中安全可信程度與算力任務匹配的計算節點資源，提供面向業務的智能安全保障能力。3.3 安全體系架構3.3 安全體系架構隨著云計算和大數據技術的快速發展，算力網絡的安全問題已經成為了互聯網行業中的一個重要話題。為了確保算力網絡的安全性，需要采取一系列的安全措施，建立起一個完整的安全體系架構。這個安全體系架構應該包括三個層次，基于“基礎設施安全、編排管理安全、運營服務安全”三層架構的算力網絡安全體系架構，使用先進的通用安全技術，建立一個完整的安全保障體

34、系，有效保障算力網絡的安全性和可靠性，保護算網用戶數據安全，為互聯網行業的發展提供有力支持。中國聯通算力網絡安全白皮書（2024）21圖 1 算力網絡安全體系架構通用安全是基礎，通過身份標識技術、密碼技術、區塊鏈技術、隔離與訪問控制技術和 AI 智能安全檢測為算力網絡安全體系架構的建設提供能力支撐；基礎設施安全是算力網絡安全的第一層，主要包括算力基礎設施安全和網絡基礎設施安全，是算力網絡安全體系架構的建設基石；編排管理安全是算力網絡安全的第二層，包括安全需求感知、編排安全保障、智能安全調度、算力安全管控，是算力網絡安全體系架構的管控核心；運營服務安全是算力網絡安全的第三層，包括運營安全、安全能

35、力開放、融合應用安全，是算力網絡安全體系架構的能力中心；最終通過數據資產管理、數據防泄漏、數據可信流通以及數據隱私計算等數據安全能力做好算力網絡安全的保障。算力網絡的安全理念是基于安全內生智治的思想，通過建立全面中國聯通算力網絡安全白皮書（2024）22覆蓋的網絡安全體系，實現算力泛在互聯的目標。致力于提供可靠的網絡安全服務，確保用戶數據和隱私安全，保護用戶權益。因此，我們的目標是構建“開放融合+內生免疫+彈性健壯+網安智治的一體化安全”算力網絡，為用戶提供全面的安全保障，為數字經濟的發展做出貢獻。3.4 技術架構3.4 技術架構基礎設施層面基礎設施層面，算力網絡技術設施包括基于光電聯動的全光

36、網絡底座，構建于底座之上的云、邊、端全連接智能網絡，以及滿足超高帶寬、超低延遲和超高可靠的確定性網絡?；A設施安全包括算力基礎設施安全、網絡基礎設施安全，以及算網融合一體發展趨勢下算力基礎設施安全和網絡基礎設施安全共生的安全要素。算網融合安全涵蓋云計算安全、邊緣計算安全，端計算安全以及存儲設施安全的算力基礎設施安全，以及軟件定義關于網絡（software defined wide areanetwork，SD-WAN）與基于 IPv6 的分段路由（Segment routing IPv6，SRv6）的融合組網安全以及確定性網絡安全的網絡基礎設施安全兩部分。云計算是指通過互聯網將計算資源、數據存

37、儲和應用程序提供給用戶的一種方式。云計算安全主要面臨數據隱私保護、虛擬化安全、網絡安全等方面的挑戰；邊緣計算是指將計算資源和數據存儲在離用戶更近的地方，以提高應用程序的響應速度和可靠性。邊緣計算安全主要面臨設備安全、通信安全、數據安全等方面的挑戰；端計算是指將計算資源和數據存儲在用戶終端設備上，以提高應用程序的響應速中國聯通算力網絡安全白皮書（2024）23度和隱私保護。端計算安全主要面臨設備安全、軟件安全、數據安全等方面的挑戰；存儲設施安全是指對存儲設備和數據進行保護，防止數據泄露、損壞、篡改等安全問題，存儲設施安全主要面臨數據備份、數據加密、存儲設備管理等方面的挑戰；SRv6 是一種基于

38、IPv6 的網絡路由技術，主要面臨的挑戰集中在拒絕服務攻擊、報文偽造和篡改、隱私泄露、未授權訪問等方面；應用感知網絡（Application-awareNetworking）通過 IPv6 擴展頭將業務報文的相關應用信息（包括應用標識信息及其對網絡的性能需求等）攜帶進入網絡，使得網絡具備感知應用和服務的能力，主要面臨隱私泄露的風險；SD-WAN 即軟件定義廣域網絡，是 SDN 技術在廣域網中的一種應用，主要面臨的安全挑戰是組件自身安全以及組件間通信安全；算力路由技術是將算力信息通過路由協議從算側帶給網側，供網絡設備完成算力請求的調度，通過在隨路的網絡設備上完成算力請求的調度，在算力信息的分發過

39、程中，需要遵循信息最小化原則，同時需要增加安全措施防止算力信息的泄露和篡改。編排管理層面編排管理層面，面向高度復雜的算網環境，針對多樣化、定制化的算力需求，對算力網絡各個域的資源進行協同調度。編排管理安全包括編排安全保障、智能安全調度和算力安全管控，通過安全分級和標識、動態安全分配、調度監控授權等措施保障算力網絡安全資源分配調用的安全性。在算力網絡安全感知過程中，需要對算網節點身份進行統一標識，便于進行統一身份認證、安全風險溯源及安全事件及中國聯通算力網絡安全白皮書（2024）24時處置；算力網絡安全編排過程中，通過安全通道收集網絡和算力資源信息數據，對用戶信息、任務數據、算力資源分布信息等算

40、力敏感數據進行實時和防護；算力和網絡跨域拉通時，建立管理通道和控制通道應進行雙向認證，加強訪問控制，結合算力用戶、算力任務、算力節點以及算力資源的安全等級標識，將任務調度到具有相應安全等級的資源節點處；安全管控需要從被動防御轉變為自主檢測和主動防御，過對算力資源進行訪問控制確保只有授權用戶和程序能夠使用所轄算力資源，在檢測到安全狀態異常時應觸發告警或其它自動響應機制。運營服務層面運營服務層面，主要保障算力網絡服務的安全性，包含能力開放安全、運營安全和融合應用安全 3 部分，其中，能力開放安全基于算力網絡的計算和連接調度資源優勢，封裝形成原子化安全能力，并疊加標準化安全能力，對內外部應用提供安全

41、服務；基于算力網絡底層資源和開放的安全能力，運營安全實現安全交易、安全監控和安全審計等；融合應用安全面向數字生活、智慧生產、數字社會等差異化應用場景，提供靈活、動態、端到端的業務安全保障。四、算力網絡安全技術體系四、算力網絡安全技術體系4.1 基礎設施安全4.1 基礎設施安全4.1.1 算力基礎設施安全4.1.1 算力基礎設施安全算力網絡中的算力基礎設施是指由一系列計算機、服務器、存儲設備等硬件設施和相應的軟件系統組成的基礎設施。算力基礎設施通中國聯通算力網絡安全白皮書（2024）25過集成大量計算機和服務器，為算力網絡提供強大的計算能力，支持處理海量數據和復雜計算任務;算力基礎設施還提供了大

42、規模的存儲設備，用于存儲算力網絡中的數據和信息;算力基礎設施通過高速網絡連接，實現不同節點之間的數據傳輸和通信，保障算力網絡的高效運行。算力基礎設施包含云計算、邊緣計算以及終端，在為上層應用提供強大算力技術支撐服務的同時，也面臨著較多風險，需對云計算、邊緣計算、終端構建全面、系統、立體的防護手段。4.1.1.1 云計算安全算力網絡中，云主機憑借單性擴展、穩定性和高算力的特點完成算力的計算任務。主機集成了性能優異和高效算力的計算服務器和高速網絡的帶寬，云主機的安全方面，直接關系到虛擬化、容器等的安全。云計算的威脅除了傳統的安全風險以外，還有云計算技術帶來的新威脅。傳統威脅主要包含來自外部網絡的威

43、脅，例如網絡 IP 攻擊、操作系統與軟件漏洞、病毒植入。其次是來自網絡內部的威脅，例如攻擊技術和攻擊手段日新月異內部防范愈發困難、安全漏洞補丁和安全庫更新不及時導致病毒擴散；安全管理制度缺乏技術手段約束，安全策略無法有效落實。由于算力網絡具備算力多、計算量大、AI 應用廣泛使用等特點，中國聯通算力網絡安全白皮書（2024）26云計算系統的計算資源使用方式和管理方式發生變化，給云計算帶來了新的安全風險和威脅，例如隨著虛擬化技術的應用，虛擬管理層成為風險發生高危區；資源按需分配使得對惡意攻擊者的追溯困難；用戶通過互聯網開放環境接入，開放接口更容易受到攻擊者的攻擊；用戶數據存儲在云端，資源在多租戶間

44、共享，隔離不當會造成用戶數據泄露；AI 模型作為核心資產容易被攻擊破壞和竊取。根據云計算面臨的威脅與挑戰，需要提供安全解決方案，提供能力保障云計算平臺及服務安全。4.1.1.2 邊緣計算安全隨著產業數字化轉型的快速發展，針對邊緣計算節點的安全攻擊越來越多，邊緣安全成為產業用戶重點關注的問題。邊緣計算環境的主要威脅來自于邊緣接入、邊緣服務器、邊緣管理。主要包括：邊緣接入：不安全的通信協議、惡意邊緣節點。邊緣計算：邊緣節點數據破壞；隱私數據保護不足；不安全的系統與組件；易發起分布式拒絕服務；易蔓延 APT 攻擊；硬件安全支持不足。邊緣管理：身份、憑證和訪問管理不足；賬號信息易被劫持；不安全的接口和

45、 API；難監管的惡意管理員。需要從邊緣基礎設施安全、邊緣網絡安全、邊緣應用安全、邊緣數據安全整體構建邊緣計算安全架構，防范邊緣計算風險。中國聯通算力網絡安全白皮書（2024）274.1.1.3 終端安全由于算力網絡中接入中單種類多，數量巨大，接入算力網絡中的海量設備安全能力參差不齊，很容易被黑客非法攻擊，存在被劫持的風險，一但被劫持，黑客可以竊取用戶敏感數據、入侵算力網絡邊緣節點和云計算平臺。因此必須要有體系化的安全技術對算力網絡中的終端進行保護，圍繞終端的硬件層、系統層、網絡層、應用層構建端到端防護方案，提升終端自身安全防護能力，有效防護終端被劫持的風險，在算力網絡最末端做到有效的安全防護

46、。圖 2 算力網絡終端安全技術框架 硬件層安全：通過使用硬件三防、安全啟動、硬件加密等技術，解決終端被劫持、植入惡意程序、密鑰泄露等風險。系統層安全：通過系統加固、漏洞防利用、入侵檢測、固件保護、安全升級、安全審計等技術，解決漏洞利用、終端入侵等風險。中國聯通算力網絡安全白皮書（2024）28 網絡層安全：通過安全接入認證、網絡層訪問控制、端到端加密等技術，解決終端仿冒接入、數據泄露、通信竊聽和篡改等風險。應用層安全：通過應用簽名、應用隔離等技術，解決供應鏈投毒、惡意程序植入等風險；通過 AI 模型保護技術，解決終端側模型竊取和破壞等風險。4.1.1.4 存儲設施安全（1）數據防勒索勒索病毒已

47、成為全球主要網絡威脅，嚴重影響著數字經濟的發展，全球大約 37%的企業均遭受過某種形式的勒索病毒攻擊。傳統網絡安全解決方案并不能有效抵御所有攻擊行為，當網絡被入侵后，很容易擴散到內網所有的設備，包括生產設備、網絡設備、存儲設備等；不僅如此，勒索病毒在加密數據前，都會嗅探整個網絡環境中的備份數據，定向攻擊備份系統，加密破壞備份數據，導致備份的數據無法恢復業務數據，從而達到勒索的目的。存儲設施作為數據的“最直接的載體”，需要構筑有效的防勒索體系，補齊傳統安全解決方案中數據防護的不足，當網絡層和主機層漏防后，面對勒索軟件對存儲中數據進行加密時，通過隔離存儲、數據防篡改、偵測分析技術等技術，實現在一個

48、不被攻擊的環境的中，有至少一份不被篡改的數據，并且這個數據是“干凈”可用于安全恢復，將業務系統的損失降為最小。中國聯通算力網絡安全白皮書（2024）29圖 3數據防勒索示意圖 隔離存儲：安全隔離域存儲設備只有在數據復制時復制端口才會打開，僅允許復制任務單向傳入到隔離域，當數據復制完畢，復制端口立即禁用，最大程度減少安全隔離域的暴露面，降低數據被攻擊風險。數據防篡改：根據數據寫入特點，分別在生產中心的主存儲和備份存儲提供安全快照或 WORM 文件系統，防止勒索病毒加密數據或者非法獲取管理員權限后刪除數據或快照，造成數據被篡改或刪除。偵測分析：數據安全一體機實時采集存儲系統審計日志信息，檢測 I/

49、O 行為是否異常，如發現異常 I/O 行為，則立即生產安全快照，另外存儲定時生成快照，借助快照建立歷史數據基線模型，分析文件大小變化、熵值變化等，標記該快照為未污染或已感染，當快照為為污染狀態會自動轉為安全快照。網存算聯動：基于網絡、存儲、計算防勒索能力，通過三方聯動情報共享，實現跨域整網快速響應協同，實現網絡先發現并阻斷，通知存儲快照、計算查殺；存儲先發現并快照，通知網絡阻斷、中國聯通算力網絡安全白皮書（2024）30計算查殺；計算先發現從查殺，通知網絡阻斷、存儲快照。（2）存儲加密專用備份存儲系統需要支持數據加密特性，通過配置加密存儲池和內置密管或者外置密管，和系統加密引擎配合完成數據靜態

50、加密，從而保證數據的安全性。圖 4 存儲加密安全 內置密管：系統自帶的內置密鑰管理應用，對密鑰進行生命周期管理，包括密鑰分層保護、密鑰備份、密鑰恢復、密鑰產生、密鑰更新、密鑰銷毀。內置密管具有易部署、易配置、易管理的特點。外置密管：外置密管采用 KMIP+TLS 的標準協議，可以支持對接第三方密鑰管理。如果數據中心多場景需要密鑰集中管理，或者需要通過密碼模塊安全標準的認證，建議選擇外置密管。外置密管支持密鑰產生、更新、銷毀、備份、恢復等操作。同時支持雙 機模式，兩個密管之間會進行密鑰的實時同步，保證密鑰可靠性。加密引擎：內置加密引擎，集成硬件的加解密算法的卸載能力，為數據加解密提供基礎能力，開

51、啟數據加密后，對數據進行讀寫中國聯通算力網絡安全白皮書（2024）31時，通過內置加密引擎完成寫入數據加密和讀 取數據解密。4.1.2 網絡基礎設施安全4.1.2 網絡基礎設施安全4.1.2.1 SRv6SRv6（Segment Routing over IPv6）是一種基于 IPv6 的網絡路由技術，它利用 IPv6 地址的擴展能力來實現段路由（SegmentRouting）。SRv6的核心思想是通過在數據包的頭部插入一系列的“段”（即 IPv6 地址），這些段指示了數據包在網絡中傳輸的具體路徑。網絡節點（路由器或交換機）根據這些段進行轉發決策，從而實現對數據流的精確控制。這種方式簡化了網絡

52、架構，提高了路由的靈活性和效率。SRv6 的操作基于兩個關鍵概念：SRv6 段和 SRH（Segment RoutingHeader）。SRv6 段通常是指定了特定功能或路徑的 IPv6 地址，可以是網絡中某個節點的地址，也可以是表示特定服務或策略的特殊地址。SRH 是 IPv6 擴展頭部之一，用于攜帶一個或多個 SRv6 段，指示數據包在網絡中的轉發路徑。當數據包進入 SRv6 網絡時，它的頭部會被添加一個 SRH，其中包含了一系列的段。每當數據包到達一個節點，該節點就查看 SRH 中的下一個段，然后根據這個段進行轉發處理。通過這種方式，數據包可以在網絡中按照預設的路徑前進，直至到達目的地。

53、SRv6自身安全及帶來的安全能力考慮主要集中在以下幾個方面：中國聯通算力網絡安全白皮書（2024）32 SRv6 部署在 SR 域內，需在邊界路由器的對外接口上部署 ACL，拒絕所有目的地址為內部 SR Locator 地址的外來報文；同時需在SR 節點部署 ACL，拒絕所有目的地址為本節點，源地址不是本 SR域內的節點的報文。拒絕服務攻擊（DoS）的防護：SRv6 可以利用段路由的特性來設計更為靈活的流量工程策略，減輕拒絕服務攻擊的影響。通過分散攻擊流量，或者預先配置備用路徑，可以有效提高網絡的抗攻擊能力。偽造和篡改防護：SRv6 支持通過加密和認證機制保護數據包的完整性和來源驗證，防止數據

54、包被偽造或篡改。這可以通過使用IPsec 或其他安全協議來實現，確保數據包在傳輸過程中的安全。隱私保護：SRv6 的設計考慮到了隱私保護的需要，支持對流量進行加密處理，隱藏數據包的路徑信息，防止中間節點對數據流的追蹤和分析。管理和控制平面的安全：SRv6 還關注于對網絡管理和控制平面的保護，確保網絡配置和狀態信息不被未授權訪問或篡改。這通常通過安全的網絡管理協議和憑證管理機制來實現。4.1.2.2 APN6應用感知網絡（Application-aware Networking）通過 IPv6 擴展頭將業務報文的相關應用信息（包括應用標識信息及其對網絡的性中國聯通算力網絡安全白皮書（2024）3

55、3能需求等）攜帶進入網絡，使得網絡具備感知應用和服務的能力?；?IPv6 的 APN6 有如下技術優勢：簡單直接：基于 IP 可達性，利用 IPv6 自身的報文封裝直接實現應用信息的攜帶。無縫融合：端側 云側和網絡側都基于 IPv6，易于實現應用和網絡的無縫融合。擴展性強：IPv6 報文封裝提供的可編程空間可以用來攜帶豐富的應用相關信息。兼容性好：如果應用信息不被網絡節點識別，報文即作為普通 IPv6 報文被轉發。依賴性弱：應用信息傳遞和處理都基于轉發平面，區別于 SDN 方式涉及多接口。響應快速：應用信息傳遞和處理都基于轉發平面，可以做到流驅動的直接響應。APN 可以用于攜帶算力服務的標識

56、以及對算力服務的具體需求，如帶寬和時延等等。APN 頭節點根據算力服務的標識以及帶寬時延的需求選擇合適的算力服務節點以及到達該算力服務節點的符合要求的特定傳輸路徑。為了減少隱私和安全問題，APN6 使用過程中需要遵循如下安全要求：中國聯通算力網絡安全白皮書（2024）341)如果 APN6 域不知道 APN 屬性，則應觸發告警信息。根據本地策略，數據包可以不被處理而轉發或丟棄。2)如果網絡服務要求超過特定了業務/應用程序組標識和/或用戶組標識的規范，則應觸發警報信息。應丟棄數據包，以防止資源濫用。3)APN 域的邊緣節點上應該有限速策略，以防止屬于特定業務/應用組標識和/或用戶組標識的流量超過

57、預設的限制。4.1.2.3 SD-WANSD-WAN 即軟件定義廣域網絡，是 SDN 技術在廣域網中的一種應用，一般由 SD-WAN 控制器，以及位于不同位置的 SD-WAN Edge 設備和 SD-WAN GW 等組網設備組網。具有如下特征：基于 IP 的 Overlay 虛擬網絡連接，并且可以不受限于 Underlay網絡技術。常見的廣域網包括 SMPLS、Internet、SRv6 及 4G/5G等。企業應用 SLA 保障。SD-WAN 網絡可以識別不同的應用和分類，并對企業應用的 QoS 性能進行實時測量，基于應用或分類決定其數據包轉發策略。多個廣域網接入實現高可用性。SD-WAN 邊

58、緣設備支持與多個廣域網互聯。中國聯通算力網絡安全白皮書（2024）35 集中化自動管理。SD-WAN 控制器支持集中管理，對 SD-WAN 設備進行自動部署和配置，并自動化編排 SD-WAN Edge 以及 Overlay隧道。SD-WAN 技術常用于多云互聯，企業上云等場景，SD-WAN 的安全功能可以分為系統安全功能和業務安全功能兩類。系統安全功能包括：1)組件自身安全：SD-WAN 自身要具備安全的系統架構，將控制平面、管理平面和轉發平面進行隔離，保證任何一個平面在遭受攻擊時，不會影響其他平面的正常運行。2)組件間通信安全：SDWAN Edge 和 SD-WAN 管理層之間的管理通道，S

59、D-WAN Edge 和 SD-WAN 控制組件之間控制通道，以及 SD-WAN Edge之間的數據通道需要增加安全措施，防范信息泄露、數據篡改，非法接入等安全問題。SD-WAN 同時也會支持多種業務安全功能如 ACL，防火墻，IPS，反病毒等來保證業務的安全性。4.1.2.4 算力路由安全算力路由技術是將算力信息通過路由協議從算側帶給網側，供網絡設備完成算力請求的調度，通過在隨路的網絡設備上完成算力請求的調度，具備低時延、負載均衡等優勢。目前 IETF CATS 定義的算力中國聯通算力網絡安全白皮書（2024）36信息只在 Overlay 中傳遞，Underlay 的節點不會感知到算力信息，

60、避免算力信息干擾影響 Underlay 的路由。在算力信息的分發過程中，需要遵循信息最小化原則，同時需要增加安全措施防止算力信息的泄露和篡改。4.1.2.5 量子通信量子密鑰分發（QKD）是以量子態為信息載體進行遠程密鑰分發，它基于物理原理能夠抗截獲、抗竊聽、抗破譯的為雙方安全的分發密鑰，從而從整體上提升密鑰管理的安全性與獨立性。QKD 能配合現有的密碼算法進行傳輸加密和密鑰管理。典型的如IP 層 VPN 使用 QKD 生成的對稱密鑰實現 VPN 通道的加密，配合存儲層的文件系統層進行存儲加密，用于 HMAC 的生成保護數據真實性和完整性。4.2 編排管理安全4.2 編排管理安全4.2.1 安

61、全感知4.2.1 安全感知算力網絡安全感知的對象主要包括計算任務安全需求和計算節點的安全信息。計算任務安全需求包括計算節點的安全需求和安全服務的需求，可通過擴展 IPv6 協議字段攜帶，也可通過用戶訂閱等方式獲得。感知計算節點安全信息包括計算節點的身份標識信息、安全配置情況、安全防護機制、安全服務能力等。中國聯通算力網絡安全白皮書（2024）37安全感知信息作為安全資源編排的基礎，在算力網絡安全感知過程中，需要對算網節點身份進行統一標識，便于進行統一身份認證、安全風險溯源及安全事件及時處置。同時，可以考慮增加安全標識信息，便于算力資源的安全接入和安全分級分類管理。4.2.2 安全編排4.2.2

62、 安全編排算力網絡安全編排通過安全感知信息獲取用戶安全需求和計算節點安全信息，關聯安全需求與安全能力，生成安全策略，對算力資源和網絡資源進行統一的安全編排，實現安全策略與業務的協同。算力網絡安全編排過程中，應該通過安全通道收集網絡和算力資源信息數據，確保信息數據的機密性、完整性和真實性。對于用戶信息、任務數據、算力資源分布信息等算力敏感數據，需時刻對其進行監控和防護,保障數據安全。另外，編排管理行為應受到授權和監控，對編排管理系統的訪問權限應分級授權，防止非法用戶越權調度算力網絡資源。4.2.3 安全調度4.2.3 安全調度面對高度復雜的算網環境，針對多樣化、定制化的算力需求，算力網絡需要對算

63、力資源和網絡資源進行聯合調度，調度過程中要充分考慮安全要素。算力和網絡跨域拉通時，建立管理通道和控制通道應進行雙向認證，加強訪問控制。并根據任務需求，結合算力用戶、算力任務、算力節點以及算力資源的安全等級標識，將任務調度到具有相應安全等級的資源節點處，實現算力的安全調度。在具體調度過程中國聯通算力網絡安全白皮書（2024）38中,需要根據實際情況對用戶信息和任務數據進行加密傳輸,采用動態監測和節點驗證等手段保障安全。4.2.4 安全管控4.2.4 安全管控算力安全管控主要對算力資源和業務行為進行安全監測和管理，確保算力資源的合法性，滿足算力服務的可管理安全需求，對算力濫用、異常沖突、安全攻擊以

64、及隱私泄露等安全問題及時處理解決。為加強算力網絡的安全防御能力,安全管控需要從被動防御轉變為自主檢測和主動防御。這一轉變體現在算力網絡安全管控的各個環節中，涵蓋了算力注冊、算力資源全生命周期管理、算力統一證書管理、動態鑒權等關鍵環節，確保了算力資源的可信接入和管理。通過審核用戶注冊請求信息，采集算力節點信息，校驗后完成算力的注冊。算力統一證書管理包含了異構算力證書的申請、簽發、校驗、管理等過程。對認證通過的算力執行算力上線、算力變更、算力注銷、信息管理等操作實現算力資源全生命周期管理。算力動態鑒權機制持續評估算力的信任度，及時發現和處理潛在的安全風險，支撐收集和分析算力運行的數據，實時評估信任

65、級別并進行動態的權限調整，在每次算力服務前對算力進行證書與信息校驗。中國聯通算力網絡安全白皮書（2024）394.3 運營服務安全4.3 運營服務安全4.3.1 運營安全4.3.1 運營安全4.3.1.1 安全監控安全監控指對算力交易進行實時監控,覆蓋從用戶開通算力資源到資源釋放整個流程?？刹捎冒踩罩竟芾砗腿肭謾z測等技術，實現算力資源的安全狀態的實時監測，在檢測到安全狀態異常時將觸發告警或其它自動響應機制,保障交易中數據和信息的安全。通過對算力資源進行訪問控制，確保只有授權用戶和程序能夠使用所轄算力資源。另外也可通過過限制算力用量、拒絕算力請求或降低算力用戶信用等措施對非法算力使能行為進行管

66、控。4.3.1.2 安全交易算力交易平臺可分為中心式交易平臺和分布式交易平臺,前者依托第三方中心交易平臺,所有信息展示和交易流程都交于平臺處理,此時安全策略由平臺制定;后者以區塊鏈技術為主,在鏈節點上進行信息展示和交易流程,且所有鏈節點同步節點信息,此時需要多方協作,實現分布式算力安全統一運營。算力交易過程需要確保交易參與方的真實可信、交易過程的安全可控，做到安全事件可追溯，交易過程可追溯，安全風險可防范。中國聯通算力網絡安全白皮書（2024）404.3.1.3 安全審計安全審計包括對算力交易流程進行識別、記錄、歸檔整理以及分析,對于重要記錄需進行備份,確保出現問題時有據可查。同時，基于數據治

67、理和訪問控制規則，對算力網絡中重要數據（包括系統數據、配置參數、業務數據和用戶數據等）訪問行為進行記錄和審計，追溯數據的各處理環節。借助區塊鏈的智能合約、多方共識等技術在算力網絡中實現對行為的審計溯源，能夠提升算力網絡數據處理環節的公信力。4.3.1.4 AI 安全運營AI 作為新一輪科技革命和產業革命的代表性技術，已經開始被廣泛應用。各領域在加速對 AI 大模型應用的孵化落地，網絡安全運營領域的 AI 大模型應用也備受關注。在此情況下，需要基于“云、邊、端、存”的構建端到端的 AI安全運營能力，形成威脅感知全局化、分析運營智能化、聯動響應一體化的格局。AI 安全運營能力，有如下幾個優勢，一是

68、對知識的增強，能夠極大地擴展安全分析的視野；二是能力的增強，可以讓攻防對抗更加的智能高效；三是效率的增強，能夠推動安全運營真正地走向智能化和自動化。中國聯通算力網絡安全白皮書（2024）41通過其強大的語義理解、代碼分析和復雜推理能力，可以顯著提升網絡安全的效率和精度。它們能夠自動化地收集和分析威脅情報，提高威脅監測的及時性和準確性。同時，通過自然語言交互簡化安全設備的運營，降低安全運營成本，提升響應速度。促進安全知識的共享和合作，加強安全團隊的協同工作能力。4.3.2 能力開放安全4.3.2 能力開放安全能力開放安全是基于算力網絡的計算資源和連接調度優勢，封裝形成原子化安全能力，并疊加標準化

69、安全能力，對內外部應用提供安全服務。能力開放安全屬于算力網絡運營服務安全層，通過安全服務供給和安全能力封裝兩個部分為運營平臺安全和融合應用安全賦能?；谒懔W絡底層資源和開放的安全能力，運營安全實現安全交易、安全監控、安全審計等功能；融合應用安全面向數字生活、智慧生產、數字社會等差異化應用場景，提供靈活、動態、端到端的業務安全保障?；谪S富的計算資源和連接調度資源，算力網絡沉淀形成的密碼計算、安全防護、網絡隔離、流量管控、威脅情報分析等能力可面向算力網絡內外開放，以滿足不同用戶差異化的網絡和數據安全保護需求。算力網絡安全能力開放主要通過安全能力封裝和安全服務供給兩個部分功能實現。安全能力封裝是

70、指在不同的開放場景下，面向第三方的差異化需求，開放對應的網絡類能力、業務類能力、終端類能力、中國聯通算力網絡安全白皮書（2024）42計算類能力等。其中，網絡類能力包括網絡服務水平協議策略配置能力、網絡流量清洗、專網隔離、邊緣計算路由分流能力等；業務類能力包括安全行為審計、節點可信度研判、安全事件溯源等；終端類能力包括終端接入管理、終端計算及連網能力管控等；計算類能力包括攻擊威脅情報分析、行為建模、密碼算法執行、密鑰分發等。安全服務供給是指封裝的安全能力通過策略和參數配置向第三方開放。一方面，通過接口、協議、算力網絡節點等將開放能力提供給第三方；另一方面，通過管理運維平臺實現安全能力發現、訂購

71、、開通、監測、計費、統計分析、系統配置、用戶管理等。對于算力網絡的能力開放安全管理有以下幾個方面：（1）API 認證與鑒權開放能力封裝后通過 API 的形式對內外提供服務，對于每次 API請求，均需要對請求的合法性進行認證，必要時做雙向證書認證。對用戶認證完成后，根據用戶分配指定的權限，API 請求攜帶具體請求內容，對 API 請求進行權限檢查，確認用戶是否擁有訪問該資源的權限；對用戶訪問的 API 進行鑒權，確認用戶是否有此 API 的訪問權限；認證與鑒權通過后才能訪問算力網絡的能力。（2）API 流量控制為防止多個服務或應用大量的請求服務，超過服務的承受能力，算力網絡運營平臺可提供 API

72、 流控的能力，根據業務需要提供一種或中國聯通算力網絡安全白皮書（2024）43多種組合。（3）傳輸加密為防止用戶與算力網絡服務間的通信數據在傳輸途徑中被非法竊聽導致信息泄露，需要在各種存在竊聽風險的場景下提供端到端傳輸加密能力。（4）安全審計系統中發生的各種重要變化以及接收到外部觸發的交互行為記錄下來，供事后進行回溯分析，從而識別系統是否遭到了攻擊或者作為調查取證依據。系統提供非法入侵痕跡檢查，對于非法用戶登錄、訪問與操作記錄詳細的日志，供運維人員審計。4.3.3 融合應用安全4.3.3 融合應用安全算力與網絡的深度融合和一體共生，推動算網服務向“融合、極簡、智能、無感”的一體化方向轉變。算力

73、網絡同時提供一體化 TaaS服務新模式，用戶只需要提出業務或任務的具體需求，并按任務調用次數或時長付費，而無需關注底層復雜的算網環境。算力網絡通過跨地域、跨運營主體算力資源交易新型供給模式，盤活存量算力，降低單位算力使用成本和門檻，實現算力普惠，形成算網服務新業態，支撐數字生產安全、數字生活安全、數字社會安全。中國聯通算力網絡安全白皮書（2024）444.4 通用安全技術4.4 通用安全技術4.4.1 身份標識4.4.1 身份標識對算力網絡訪問主體要進行身份標識及訪問控制尤為重要，算力網絡訪問主體包括終端（個人消費終端、行業物聯網終端）、用戶（個人用戶、行業用戶）等，均需要進行身份標識，進行身

74、份認證。行業普遍認為零信任理念可以解決身份標識和身份認證相關安全需求。零信任的可信思想是系統不應自動信任內外部的任何人/事/物，應在授權前對任何試圖接入系統的人/事/物進行驗證，從而確保身份可信、設備可信、應用可信和鏈路可信。零信任在算力網絡的應用場景主要包括泛在身份管理、全鏈路可信、異常行為溯源與追溯等。泛在身份管理主要通過身份管理系統實現對算力網絡中的用戶、基礎設施、上層應用等訪問主題的全面身份化。身份管理系統能夠統一定義和管理每個訪問主題的身份角色，確保在整個算網系統中使用具有一致性的訪問規則和策略增強對信息資產的保護，解決身份權限管理需求。全鏈路可信主要通過訪問代理支持軟件定義邊界技術

75、，在終端單包授權和驗證之前，不開放任何TCP 端口，實現網絡的隱藏。訪問代理在用戶和和終端被驗證可信后，才對該訪問主題開通可見可連接的權限，非授權用戶和非可信終端對后端業務不可見也不可連接，以此來實現業務的全面隱藏。目前業界基 于 零 信 任 理 念 提 出 了 云 化 安 全 框 架 安 全 訪 問 服 務 邊 緣（Secure access service edge，SASE），該框架可以將網絡和安全中國聯通算力網絡安全白皮書（2024）45技術有機融合，將安全能力和計算能力通過網絡的全局統一調度提供給用戶，為用戶提供經濟有效的安全能力。4.4.2 密碼技術4.4.2 密碼技術密碼技術作為

76、算力網絡的“基因”是實現可信互聯、安全互通的必要前提，是保障算力網絡安全的核心技術和基礎支撐，是維護算力網絡泛算、強網、融數、注智、鏈信的重要保證。算力網絡強調物理空間融通、邏輯空間融通、異構空間融通，這更需要充分發揮密碼技術的核心保障能力。算力網絡中的密碼規?；瘧眯鑼で笠环N全新的密碼功能模式，以實現密碼泛在話、安全服務化，該模式向算力網絡提供包括認證、鑒權、傳輸、存儲在內的全時、全域、全維的密碼服務。將算力網絡密碼技術與身份認證、授權訪問、傳輸數據、存儲數據等深度融合，采用商用密碼對數據信息進行簽名驗簽和摘要計算，保證數據信息的完整性和機密性，規劃整合密碼使用策略、密碼服務接口和服務流程。

77、4.4.3 區塊鏈技術4.4.3 區塊鏈技術區塊鏈技術利用塊鏈式數據結構進行數據驗證與存儲。從本質上講，區塊鏈是一個共享數據庫，存儲于其中的數據或信息具有不可偽造、去中心化、透明化、分布式存儲等特征?；诿艽a技術，區塊鏈允許多個參與者共同維護一組一致的信息或事實，實現去中心化的共識機制。各個區塊主體在時間維度上形成了區塊鏈，行間鏈路表示區塊主體之間的互聯，增強了信息的可追蹤性和安全可靠性。中國聯通算力網絡安全白皮書（2024）46通過充分應用區塊鏈去中心化以及分布式數據同步及存儲的技術優勢，將算力交易分布在各個算力資源節點。在有效提高了交易的可靠性與安全性。同時，利用區塊鏈不可篡改的技術特性，

78、結合評分機制，幫助潛在需求方獲取算力資源節點運營歷史情況及服務質量。最終形成智能合約結合區塊鏈的算力交易的價值與方案。4.4.4 隔離與訪問控制技術4.4.4 隔離與訪問控制技術算力網絡場景下業務場景復雜，需要針對不同業務或任務為用戶提供專用的傳輸通道，需要通過策略路由、VLAN、IPSec VPN 等技術，為不同安全需求的業務或用戶提供差異化的隔離防護機制，滿足客戶對特定網絡速率、時延以及安全可靠的保障需求，在算力網絡中可根據業務對安全性的要求，建立切片三級立體化安全隔離體系，即切片建隔離、切片網絡與用戶隔離、切片內網元間隔離。切片間隔離主要根據業務級數據資產的重要性，提供切片間的有效隔離，

79、從而保障每個切片拒用相應的安全級別；切片網絡與用戶隔離主要是按照服務等級協定（Service-level agreement，SLA)向用戶提供可靠切片服務的同時，做好切片網絡與用戶、應用之間的安全邊界防護；切片內網元間隔離主要是在切片內做好安全域的劃分，提供網元間的安全隔離。通過在算力網絡中制定有效的隔離技術，為用戶提供靈活定制的防護能力，有效提升算力網絡的服務水平。4.4.5 AI 智能安全檢測4.4.5 AI 智能安全檢測隨著人工智能技術的持續發展，生產生活效率被提升的同時，也中國聯通算力網絡安全白皮書（2024）47給不法分子帶來了很多便利，如攻擊腳本的工具化、平臺化和自動化，使網絡攻

80、擊門檻越來越低，攻防兩端的博弈也越發失衡。傳統的攻擊檢測手段已無法滿足當下的安全需求。通過在“云、邊、端、存”分別構筑硬件層、系統層、網絡層、應用層的端到端 AI 智能安全檢測與防護方案，利用機器學習和數據分析等技術對大量數據的學習理解和挖掘分析，可以有效地識別和防護安全隱患和惡意威脅，保障算力網絡整體業務的正常運行。4.5 數據安全4.5 數據安全算力網絡數據安全貫穿于算力網絡各個層級，針對各層級面臨不同的安全風險，需要設計針對性的安全防護機制，保障數據處于有效和合法利用狀態。算力網絡中數據安全防護應是對數據全生命周期進行防護，覆蓋數據采集、數據傳輸、數據存儲、數據處理、數據共享、數據銷毀等

81、各個階段。在安全風險上，除了傳統的針對靜態數據的數據泄露/破壞等安全風險，結合算力網絡中數據流動共享、分布式計算、以及數據匯聚集中計算現狀，算力網絡還應該關注數據流動安全，以及數據濫用等安全風險，保障數據要素流動安全，促進數據價值變現。算力網絡數據安全全景圖如下：中國聯通算力網絡安全白皮書（2024）48圖 5 算力網絡數據安全圖4.5.1 數據資產安全管理4.5.1 數據資產安全管理針對全局數據缺乏統一管控風險，算力網絡需要構建數據資產安全管理平臺。圍繞數據全生命周期，開展數據資產全盤梳理、分類分級、數據動態追蹤、數據全程監控和安全審計等工作，了解數據資產狀態、識別數據資產風險，從而保障數據

82、的安全、降低數據使用過程的合規風險。構建數據全盤清點能力：基于元數據管理梳理數據資產目錄，構建全局數據地圖，并基于數據類型和敏感數據識別技術，實現數據的分類、分級；構建數據身份、版本管理以及數據血緣，實現數據全生命周期的可追溯；中國聯通算力網絡安全白皮書（2024）49構建全局風險監測能力：對用戶行為和環境的安全狀態進行實時檢測，實時掌控數據安全狀態，及時識別數據安全風險，并進行安全響應，并基于日志對數據全生命周期進行安全審計，保證行為全程可證。4.5.2 數據泄露防護4.5.2 數據泄露防護在算力網絡中，依然面臨傳統的數據泄露和破壞威脅，例如網絡攻擊、惡意軟件、內部員工盜取等風險，需要開展數

83、據保護，降低數據泄露和破壞、勒索攻擊、數據丟失等安全風險，保護數據的機密性和完整性、可用性。首先，對基于數據最小權限原則，對數據訪問過程進行管控，降低非法訪問風險，做到數據訪問合法可控，并對惡意用戶行為進行監測，監控數據訪問和使用狀況，對用戶行為進行分析，識別導致數據泄露的惡意行為并進行攔截；其次，對數據傳輸、存儲以及計算等過程中的數據，進行加密保護，避免存在數據泄露風險；并針對敏感數據，基于匿名化技術，實現對數據進行脫敏等保護；最后，基于數據備份和容災技術，確保數據丟失后，可恢復。4.5.3 數據可信流通4.5.3 數據可信流通數據流動涉及數據的供給和使用過程，包括數據在提供者和使用者之間傳

84、輸，以及數據流動到計算節點后被使用等階段。在這個過程中，數據將面臨更大的安全風險，包括數據泄露，數據濫用，以及數據被惡意轉發共享等。數據可信流通核心就是要保證流通數據，按照中國聯通算力網絡安全白皮書（2024）50數據擁有者的管控策略要求被流轉和共享使用。在數傳輸階段，應對流通數據的傳輸過程、流轉路徑、流轉方向進行控制，包括通道隔離、傳輸加密、流出控制等安全機制，并在數據流轉過程應對數據做好標識，對數據流轉節點、操作、流向等信息做好記錄，構建跨域跨系統的統一數據流轉標識，實現數據流向可管控、數據流轉可感知。在數據使用階段，應對數據的使用過程、使用方式、使用地點、使用環境等進行控制，包括構建安全

85、可信執行環境、數據使用控制機制等，實現數據的可用不可見，并對上層應用的數據使用過程無感知、零影響。為實時監測數據的流轉和使用過程，需通過技術手段強化網絡數據安全監測，尤其是自動化安全監測，通過流量、日志、配置文件等對數據共享平臺及系統進行全面監測和分析，便于對網絡安全事件進行預警和協同防御處置，提升整體安全態勢感知、安全決策等能力。4.5.4 數據隱私計算4.5.4 數據隱私計算算力網絡涉及多源、泛在算力節點，無法保證每個算力節點都是安全可靠的，數據分配到算力節點進行計算的模式會使數據面臨隱私泄露的風險，需要借助隱私計算技術來實現數據的“可用不可見”。隱私計算是在保護數據本身不對外泄露的前提下

86、實現數據分析計算的技術集合，達到對數據“可用不可見”的目的。即在充分保護中國聯通算力網絡安全白皮書（2024）51數據和隱私安全的前提下，實現數據價值的轉化和釋放。隱私計算主要包括安全多方計算、可信執行環境、聯邦學習等多種技術路線，分別適合不同的應用和場景。1)基于密碼學的隱私計算：以安全多方計算、同態加密為代表的數據加密技術，可以實現數據在密文狀態的安全聯合計算；2)基于聯邦學習的隱私計算：以聯邦學習為代表的人工智能與隱私保護技術，可以實現在數據隱私保護狀態下的數據不出域的聯合模型訓練；3)基于可信硬件的隱私計算：以可信執行環境為代表的隱私計算技術，可以實現數據明文計算過程的安全不可見。圖

87、6 算力網絡隱私計算圖五、發展建議五、發展建議以應用為導向，通過將“算力+網絡+安全”的綜合防護模式融入中國聯通算力網絡安全白皮書（2024）52實際的應用當中，按照需求對其進行靈活匹配和提供適當的安全性，可有效防止計算力被濫用，并保證數據安全服務。要以安全為基，筑牢算力網絡屏障，搭建算力網絡一體化安全防護技術支撐框架。一是搭建“網端盾”，配合“數網”建設。加強網絡架構安全、配置邊界訪問控制策略、研究訪問控制、入侵防范、惡意代碼防護、安全審計等加強算力+光的網絡安全，并部署統一終端管理管控終端應用安裝和使用行為強化身份認證機制引入雙因素認證等加強終端安全加固并部署防護軟件檢測和阻斷攻擊并支持審

88、計溯源。二是推動“云上盾”，全面保護“數紐”安全。從云工作負載保護平臺、云租戶安全能力資源池等多個層面進行建設，構建安全技術體系，為云上資源調度、云上租戶安全使用資源提供支撐保障。三是打造“數據盾”，強化“數鏈”的數據安全保護。以加強數據安全防護防護建設為基礎，結合數據資產管理與風險事件管理，實現能力聯動管理，達成自動化防護。四是構建“應用盾”，保障“數腦”應用安全全面有力。其中，“應用盾”建設包括：應用安全檢測平臺、應用安全監測平臺、應用安全防護平臺、統一審計管理平臺、統一身份管理平臺等。中國聯通算力網絡安全白皮書（2024）53附錄 1 參考文獻附錄 1 參考文獻1.中國聯通可信算力交易服

89、務白皮書，中國聯合網絡通信有限公司研究院，2023 年 8 月2.智能邊緣計算，清華大學出版社，2023 年 11 月3.面向應用能力開放的移動數據網絡能力開放設備技術要求，CCSA，2023 年 8 月中國聯通算力網絡安全白皮書（2024）54戰略決策的參謀者技術發展的引領者產業發展的助推者戰略決策的參謀者技術發展的引領者產業發展的助推者戰略決策的參謀者技術發展的引領者產業發展的助推者戰略決策的參謀者技術發展的引領者產業發展的助推者態度、速度、氣度有情懷、有格局、有擔當中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、

90、產業發展助推者，是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院致力于提高核心競爭力和增強核心功能，緊密圍繞聯網通信、算網數智兩大類主業，按照 4+2+X 研發布局，開展面向 C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國建設，大力發展戰略性新興產業，加快形成新質生產力。聯通研究院現有員工 700 余人，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化

91、、具有行業影響力的人才隊伍。中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者，是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院以做深大聯接、做強大計算、做活大數據、做優大應用、做精大安全為己任，按照4+1+X 研發布局，開展面向 C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國、智慧社會建設。聯通研究院現有員工

92、近 700 人，平均年齡 36 歲，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者，是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院以做深大聯接、做強大計算、做活大數據、做優大應用、做精大安全為己任，按照4+1+X 研發布局，開展面向 C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服

93、務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國、智慧社會建設。聯通研究院現有員工近 700 人，平均年齡 36 歲，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者，是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院以做深大聯接、做強大計算、做活大數據、做優大應用、做精大安全為己任，按照4+1+X 研發布局，開展面向 C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國、智慧社會建設。聯通研究院現有員工近 700 人，平均年齡 36 歲，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。中國聯合網絡通信有限公司研究院地址：北京市亦莊經濟技術開發區北環東路 1 號電話：010-87926100郵編：100176