2 3 五、攜手助力樞紐節(jié)點安全能力構建 結語 4前言5一、“東數(shù)西算”工程介紹協(xié)同創(chuàng)新體系的指導意見》正式印發(fā)（發(fā)改高技〔2020〕1922號/zhengce/zh6碳達峰碳中和目標要求推動數(shù)據(jù)中心和5G等新型基礎設施綠色高質量4.html?code=&state=123指出到2025成綠色集約一體化運行格局。加速提升我國數(shù)字經濟在國民經濟中的占比算力指數(shù)達到60分以上時，對GDP的拉動將進一見，算力正成為我國在新發(fā)展格局下衡量經濟狀況的“7加速發(fā)展。8可再生能源使用率，對我國實現(xiàn)碳達峰碳中和目標（三）國家樞紐節(jié)點建設情況介紹互為補充，以此支撐推動算力資源有序向西轉移，加快解決東西據(jù)中心集群。八大樞紐節(jié)點根據(jù)當?shù)刭Y源、需求和承擔責任等不分為“四數(shù)四算”。9加工、離線分析、數(shù)據(jù)存儲等業(yè)務。樞紐節(jié)點承建城市起步區(qū)建設指導建設內容韶關數(shù)據(jù)中心集群起步區(qū)邊界為韶關2.優(yōu)化東西部間互聯(lián)網(wǎng)絡和樞紐節(jié)3.網(wǎng)絡實現(xiàn)動態(tài)監(jiān)用1.天府數(shù)據(jù)中心集群起步區(qū)為成都市雙流區(qū)、郫都2.重慶數(shù)據(jù)中心集群起步區(qū)為重慶市兩江新區(qū)水土科學城璧山片區(qū)、重慶經濟技群，抓緊優(yōu)化算力布局，平衡好城市與城市周邊的算力資源部署，做好與“東數(shù)西上海、蘇州、縣、蕪色一體化發(fā)展示范區(qū)數(shù)據(jù)中心集群起步區(qū)群，抓緊優(yōu)化算力布局，積極承接長三角中心城市實時性算力湖為上海市青浦省嘉興市嘉善縣集群起步區(qū)為向西部遷移，構建長三角地區(qū)算力資源“一體協(xié)同、輻射全張家口數(shù)據(jù)中心集群起步區(qū)為張家口抓緊優(yōu)化算力布局，積極承接北京等地實溫冷業(yè)務向西部遷移，構建輻射華北、東北乃至全國的實時貴安數(shù)據(jù)中心集群起步區(qū)邊界為貴安新區(qū)貴安電子信息群，抓緊優(yōu)化存量，提升資源利用效率，以支持長三角、粵港澳大灣區(qū)等為主，積極承接東部地區(qū)算力慶陽數(shù)據(jù)中心集群起步區(qū)邊界為慶陽西峰數(shù)據(jù)信息產業(yè)打造以綠色、集約、安全為特色的數(shù)據(jù)中心集群，重點服務京津冀、長三角、粵港澳大灣區(qū)等區(qū)域的算呼和浩特烏蘭察布和林格爾數(shù)據(jù)中心集群起步區(qū)邊界為和林格爾新區(qū)和集為京津冀高實時性算力需求提供支援，為長三角燈區(qū)域提供非中衛(wèi)國家數(shù)據(jù)中心集群起步區(qū)邊界為中衛(wèi)工業(yè)園西部云積極承接東部算力需高效、清潔、集約、二、算力樞紐安全風險與建設現(xiàn)狀（一）算力樞紐安全風險（二）算力樞紐安全能力建設現(xiàn)狀基于對典型樞紐節(jié)點的實地調研以及與相關監(jiān)管主管單位和各建設算力和安全資源進行整合實現(xiàn)算力輸出和安全保障提升多以點狀建設為三、算力樞紐安全能力建設目標和各方責任（一）算力樞紐安全能力建設目標在《關于加快構建全國一體化大數(shù)據(jù)中心協(xié)同創(chuàng)新體系的指導意見》務在線安全運行。分級分類，研究制定相關規(guī)范標準促進數(shù)據(jù)有序流通。（二）相關方安全責任建設運營者保障數(shù)據(jù)中心物理安全并為數(shù)據(jù)中心使用者提供基本的網(wǎng)絡的計算環(huán)境并為租戶提供面向其租戶環(huán)境的獨立進行使用的安全能力賦方提供的安全能力，保障自有計算環(huán)境中網(wǎng)絡四、算力樞紐安全能力建設框架（一）安全能力建設總體架構搭建全國一體化算力網(wǎng)絡國家樞紐節(jié)點“數(shù)盾”體系，從管理和技術兩云上盾、數(shù)據(jù)盾、應用盾4個層次搭建一體化信息安下圖所示：（二）安全自主創(chuàng)新能力建設1.可信算力基礎設施化軟件、數(shù)據(jù)庫、應用軟件等）提供基礎安全能到整個計算機系統(tǒng)。②基于硬件可信根的信任鏈，實現(xiàn)安全啟③支持運行過程中對系統(tǒng)完整性進行度量并提部加載的代碼和數(shù)據(jù)在機密性和完整性方面區(qū)域具有更高的安全等級，非安全區(qū)域內，即使③安全區(qū)與非安全區(qū)之間的采用標準化的接硬件攻擊的目標側重于計算系統(tǒng)中使用的物理硬件的芯片板、設備端口或包括計算機系統(tǒng)及嵌入式系統(tǒng)在內的其他組替換、修改和利用。從而達到獲取內部程序或數(shù)據(jù)的目的攻擊后是否被破壞，物理攻擊可分為三種類型：侵入式攻②針對故障注入攻擊，支持邏輯&時間冗余，金屬外殼&特殊封裝，漏洞利用是黑客通過程序中的某些漏洞，來得到計算機的控制權(使自己編寫的代碼越過具有漏洞的程序的限制，從而獲得運行權限)。漏洞包括以下兩個方面：②安全存儲依托于機密計算可信執(zhí)行環(huán)境技術，硬件境才可以訪問，即加密數(shù)據(jù)只能在TEE內被解密。安全為了確保加解密的隨機性，需要支持硬件隨機數(shù)發(fā)生器，集成多個獨密碼加速引擎是通過硬件方式或者CPU的專密碼加速引擎應支持多種主流商用密碼算法，如：SM3、2.可信數(shù)字應用安全啟動的過程。具體的安全啟動過程描述如圖所①基于硬件的不可被篡改的計算物理可信根可信的基礎，涉及的數(shù)字根證書通常在計算③計算固件安全啟動后，進一步對計算系完整性進行校驗，確保計算系統(tǒng)軟件未被篡改后，加④計算系統(tǒng)軟件可信加載后，機密計算系以正常運行，傳統(tǒng)意義上的啟動流程結束。在有些對高的計算過程中，安全啟動可擴展到每個安全應用的信應用進行校驗，確保安全應用未被篡改后，加載可遠程證明是可信計算領域的一個重要環(huán)節(jié)，其主要系統(tǒng)的可信啟動支持，實現(xiàn)對目標系統(tǒng)的平臺、系統(tǒng)及應用的完知和檢測，為數(shù)據(jù)中心管理工具及云平臺系統(tǒng)資源編排工具提供務器（RAS）通過與遠程證明客戶端（RAC）的協(xié)同驗證并服務器可信狀態(tài)。在如圖所示的遠程證明應用架構中，兩個核心的組件分證書，管理工作服務器可信相關的數(shù)據(jù)信息，接收可信報告使能，在目標系統(tǒng)上獲取遠程證明所需的各種數(shù)據(jù)信基于機密計算的可信應用優(yōu)勢在于它兼顧了安全效性，不僅可以無縫支持通用計算框架和應用，而且計算性能基敵明文計算。它可以單獨用于保護計算狀態(tài)中的數(shù)據(jù)，也可以與術結合在一起來保護數(shù)據(jù)，尤其對于安全可信云計算、大規(guī)模數(shù)協(xié)作、隱私保護的深度學習等涉及大數(shù)據(jù)、高性能、通用隱私計景，是重要的技術手段，有效緩解數(shù)據(jù)價值共享當中面臨的“不敢、不能”難題。在典型的機密計算可信應用場景中，所涉及的關鍵算程序提供方、機密計算服務提供方、機密計算平臺提供方、數(shù)據(jù)①計算程序提供方：負責提供需在機密計序，計算程序應和需求方的計算需求描述相符，程序會置入機②機密計算服務提供方：為用戶提供機密務提供方也提供服務的管理功能，如支持計算程序的錄入與③機密計算平臺提供方：要提供機密計算成在計算平臺內部的硬件可信根、可信執(zhí)行環(huán)境等，負責實現(xiàn)④數(shù)據(jù)提供方：負責提供計算任務的計算⑤結果需求方：一般是計算需求的發(fā)起方求描述給機密計算服務，包括需要運行的程序，程序運行時需碼算法的安全強度不小于被加密密鑰本身所用于密碼算執(zhí)行環(huán)境內使用?？蓪徍诵裕好荑€的生成、使用、更新、銷毀等操②證書導入應至少具備校驗證書有效期、加密算法強度③應至少具備證書有效期檢查，并在證書有效④證書的私鑰或加密口令需要加密保存，3.可控安全核心能力決。在“東數(shù)西算”樞紐節(jié)點建設過程中，必須加強在網(wǎng)絡安全領域的基于國產化平臺適配環(huán)境，基于獲取報文、解碼報文、監(jiān)測報文和議識別并依次完成解碼，使用HS多模式匹配算法，將報文和特征分組建立威脅情報信息庫，實現(xiàn)情報的生命周期管理并與各安全系統(tǒng)聯(lián)動形成標準處置流程包括但不限于一下內容并并重點拓展國產化環(huán)境漏研究完善探針感知用戶事件和基于事件的告警能力，拓展有效檢測（三）網(wǎng)絡和端點安全能力建設（網(wǎng)端盾）邊界防護安全：配置邊界訪問控制策略，檢入侵防范：邊界處部署威脅檢測設備實現(xiàn)對攻擊實惡意代碼防護：邊界部署惡意代碼防護系統(tǒng)對惡意全的移動工作空間。（四）云平臺和云負載安全能力建設（云上盾）入侵防范：提供了主機防火墻功能并檢測和應用控制：管控應用程序的網(wǎng)絡的訪問和操作行為完整性保護：監(jiān)測關鍵文件目錄、注冊表，發(fā)現(xiàn)和微隔離：定義并控制主機、主機應用間的細（五）數(shù)據(jù)安全能力建設（數(shù)據(jù)盾）（六）應用安全能力建設（應用盾）漏洞修復提供依據(jù)，并組織技術力量對漏洞進行修補，預提供web應用的7*24實施監(jiān)測服務，包括網(wǎng)站脆弱性檢測、網(wǎng)站（七）安全管理體系建設等級測評、服務供應商選擇等建設過程的安全（八）安全監(jiān)管體系建設（九）安全運營體系建設的可視化網(wǎng)絡安全運營服務。五、攜手助力樞紐節(jié)點安全能力構建（一）信息化百人會介紹（二）華為鯤鵬計算產業(yè)介紹涵蓋從底層硬件、基礎軟件到上層行業(yè)應用的全產業(yè)鏈條。鯤鵬計算從1.硬件開放鵬處理器基于多核數(shù)設計（最高提供64核處理器綜合性能、并發(fā)能寬，大幅提升應用處理效率。鯤鵬主板全面共享華為在服務器領域積累準部件，幫助整機合作伙伴快速推出自有品化部件，打造創(chuàng)新整機產品。2.基礎軟件署，目前90%主流開源軟件已支持鯤鵬，實現(xiàn)開源軟件在鯤開箱即用。戶構建業(yè)界領先的解決方案，使能鯤鵬在行業(yè)核心五大加速組件之一——機密計算TrustZone套件：基于ARM（三）亞信安全企業(yè)介紹（四）亞信安全基于鯤鵬全棧安全整體解決方案助力“東數(shù)西算”工程樞紐節(jié)點打造真正自主創(chuàng)新的高可信安1.全面覆蓋的安全防護組件云上盾解決方案由云上負載保護和云安全資源池兩個子方案整合構數(shù)據(jù)盾解決方案由數(shù)據(jù)安全防護和數(shù)據(jù)安全綜合治理兩個子方案整務管理運營中心。2.原生可信的安全應用部署境（REE）側分別擁有自己的操作系統(tǒng)，用來執(zhí)行用戶的可信應用。Cert申請獲得華為鯤鵬簽發(fā)的證書進行可信應用亞信根據(jù)業(yè)務重要性，將“信艙”云主機深度安全防殺毒事件、防火墻/入侵檢測事件、日志審計事件本業(yè)務功能處理。后者負責安全數(shù)據(jù)存儲，將配置、證書、上報事件等據(jù)及防護策略，使得防護系統(tǒng)失效。3.軟硬聯(lián)動的精準安全管控虛擬貨幣“挖礦”活動指通過專用“礦機”計算生產虛程，能源消耗和碳排放量大，對國民經濟貢獻度低，對進步等帶動作用有限，加之虛擬貨幣生產、交易環(huán)節(jié)衍生的風險出，其盲目無序發(fā)展對推動經濟社會高質量發(fā)展和節(jié)能減排帶來全面整治虛擬貨幣"挖礦"活動。場，其利用“挖礦”程序來獲取經濟利益，使得“挖礦”僅老病毒變種頻繁，新病毒也層出不窮，如：利用多種漏洞攻擊化，很難通過單一安全產品實現(xiàn)有效的防護，需要進行有今天的勒索攻擊最大的特征已然不是一個黑客，一個小完成的，非常多的勒索黑客們已經發(fā)展成一個龐大了巨大的損失，為了應對這樣的威脅，需要我們深入洞察這些程和團伙背后的原理，才能真正產生檢測、阻斷模都非常平常了，每個團伙成員分工明確，包括各種初始入侵，偵如上圖所示，現(xiàn)代勒索攻擊的轉變升級主要體現(xiàn)在Service）的興起使得勒索的作戰(zhàn)模式從傳統(tǒng)的小型團為模塊化、產業(yè)化、專業(yè)化的大型團伙作戰(zhàn)，其造成的勒索攻更廣，危害程度顯著增加；對于勒索攻擊的目標，也從過往的蟲式攻擊升級成為針對政府、關鍵基礎設施、各類企業(yè)的定向外，從勒索方式來看，現(xiàn)代勒索攻擊已經從傳統(tǒng)的支付贖金恢致