在近日舉行的第24屆中國國際光電博覽會(huì)“算力網(wǎng)絡(luò)與光技術(shù)發(fā)展論壇”上,北京郵電大學(xué)電子工程學(xué)院執(zhí)行院長張杰以《算力光網(wǎng)絡(luò)安全保護(hù)技術(shù)》為題,做經(jīng)驗(yàn)分享發(fā)言。
“要依托運(yùn)營商算網(wǎng)基礎(chǔ),融合接入安全、隔離安全、基本安全機(jī)制等安全能力,達(dá)到算力網(wǎng)絡(luò)節(jié)點(diǎn)隱身‘不可知’、攻擊威脅‘不可達(dá)’、算網(wǎng)系統(tǒng)‘不被控’的‘三重境界’安全愿景,推動(dòng)算力網(wǎng)絡(luò)安全從‘單點(diǎn)可控’邁向‘一體化全程可信’。”張杰表示,踐行算力網(wǎng)絡(luò)核心安全發(fā)展理念,將護(hù)航新基建行穩(wěn)致遠(yuǎn)。
算力網(wǎng)絡(luò)面臨四大安全挑戰(zhàn)
完整的算力網(wǎng)絡(luò)體系架構(gòu)包括:算網(wǎng)服務(wù)層、算網(wǎng)調(diào)度層、算力中心、邊緣算力/用戶中心、算力承載網(wǎng)絡(luò)五個(gè)部分。由于算力網(wǎng)絡(luò)涉及多源、泛在算力節(jié)點(diǎn),無法保證每個(gè)節(jié)點(diǎn)都能做到安全可靠,同時(shí)數(shù)據(jù)分散到多方算力節(jié)點(diǎn)進(jìn)行計(jì)算,會(huì)導(dǎo)致四大安全影響。
其一,算力網(wǎng)絡(luò)具有算力泛在、靈活接入等特點(diǎn),頻繁的資源鏈接將導(dǎo)致資源的攻擊暴露面增加;其二,算力網(wǎng)絡(luò)中流通著海量且涉及機(jī)密隱私的數(shù)據(jù),在傳輸過程中被篡改或泄露將造成嚴(yán)重后果;其三,算力服務(wù)是端到端服務(wù),用戶群體龐大,分布式資源節(jié)點(diǎn)數(shù)量較多,數(shù)據(jù)信息管理較繁雜,存證溯源困難;其四,算網(wǎng)新型架構(gòu)新增算網(wǎng)感知單元、算網(wǎng)控制單元等網(wǎng)元,管控復(fù)雜度提升。
“與算力網(wǎng)絡(luò)體系架構(gòu)相對應(yīng),在基礎(chǔ)設(shè)施層、編排管理層、運(yùn)營服務(wù)層等均面臨一定的安全風(fēng)險(xiǎn)。”張杰指出,“倒金字塔”型體系架構(gòu)帶來物理層(光層)安全挑戰(zhàn)。當(dāng)前,光通信安全仍依靠信號層面之上的網(wǎng)絡(luò)安全。為解決關(guān)鍵信息基礎(chǔ)設(shè)施的互連安全,需為高可靠傳輸提供物理防護(hù)。
多舉措提升物理層防護(hù)
據(jù)了解,物理層攻擊根據(jù)其造成的損害類型,可以分為中斷、竊聽兩類。其中,搭線竊聽攻擊只需攔截少量信號即可全部復(fù)制傳遞的信息。攔截劫持攻擊可以對傳輸信息進(jìn)行插播、篡改,安全風(fēng)險(xiǎn)更為嚴(yán)重。
“物理層防護(hù)聚焦于加密安全傳輸和與之相關(guān)的物理層密鑰協(xié)商技術(shù)。傳統(tǒng)的平均功率檢測、OTDR檢測和傳感光纖檢測都屬于此類防護(hù)。可結(jié)合人工智能等新技術(shù),具有一定發(fā)展?jié)摿Α?rdquo;張杰表示,通過竊聽檢測系統(tǒng)進(jìn)行竊聽定位的成功率已達(dá)到90%以上,而基于遞歸神經(jīng)網(wǎng)絡(luò)(RNN)的竊聽分類監(jiān)測方法,可根據(jù)每個(gè)竊聽方法的特征進(jìn)行特征分析,實(shí)現(xiàn)對于竊聽方法的判斷。
“現(xiàn)階段,提升光層防護(hù)的重點(diǎn)工作還包括:不引入額外設(shè)備的長距離物理層安全密鑰生成與分發(fā);長距離、無中繼安全光傳輸;相干攻擊下QAM調(diào)制量子噪聲流密碼的安全性分析;構(gòu)建安全光路分層架構(gòu),將亞波長業(yè)務(wù)映射至安全光路傳輸;構(gòu)建安全光網(wǎng)絡(luò)生存性模型,為工作路徑配置合理保護(hù)路徑。”張杰向與會(huì)觀眾介紹到。
鑄就四大堅(jiān)盾,筑牢算力光網(wǎng)絡(luò)屏障
談及算力網(wǎng)絡(luò)未來的發(fā)展趨勢時(shí),張杰表示,要以安全為基,筑牢算力光網(wǎng)絡(luò)屏障,搭建算力光網(wǎng)絡(luò)一體化安全防護(hù)技術(shù)支撐框架。
一是搭建“網(wǎng)端盾”,配合“數(shù)網(wǎng)”建設(shè)。加強(qiáng)網(wǎng)絡(luò)架構(gòu)安全、配置邊界訪問控制策略、研究訪問控制、入侵防范、惡意代碼防護(hù)、安全審計(jì)等加強(qiáng)算力+光的網(wǎng)絡(luò)安全,并部署統(tǒng)一終端管理管控終端應(yīng)用安裝和使用行為強(qiáng)化身份認(rèn)證機(jī)制引入雙因素認(rèn)證等加強(qiáng)終端安全加固并部署防護(hù)軟件檢測和阻斷攻擊并支持審計(jì)溯源。
二是推動(dòng)“云上盾”,全面保護(hù)“數(shù)紐”安全。從云工作負(fù)載保護(hù)平臺、云租戶安全能力資源池等多個(gè)層面進(jìn)行建設(shè),構(gòu)建安全技術(shù)體系,為云上資源調(diào)度、云上租戶安全使用資源提供支撐保障。
三是打造“數(shù)據(jù)盾”,強(qiáng)化“數(shù)鏈”的數(shù)據(jù)安全保護(hù)。以加強(qiáng)數(shù)據(jù)安全防護(hù)防護(hù)建設(shè)為基礎(chǔ),結(jié)合數(shù)據(jù)資產(chǎn)管理與風(fēng)險(xiǎn)事件管理,實(shí)現(xiàn)能力聯(lián)動(dòng)管理,達(dá)成自動(dòng)化防護(hù)。
四是構(gòu)建“應(yīng)用盾”,保障“數(shù)腦”應(yīng)用安全全面有力。其中,“應(yīng)用盾”建設(shè)包括:應(yīng)用安全檢測平臺、應(yīng)用安全監(jiān)測平臺、應(yīng)用安全防護(hù)平臺、統(tǒng)一審計(jì)管理平臺、統(tǒng)一身份管理平臺等。