郭小伟怀柔实验室信息化部主任：算力网络规划建设步入关键时期

hwyzw

    郭晓伟

    怀柔实验室信息部主任

    2021年5月，国家发展改革委、国家网信办、工业和信息化部、国家能源局等四部委联合发布通知，启动国家枢纽建设国家综合计算网络节点、加快实施“东算西”工程和算力网络规划建设进入关键时期。2022年底，《关于《中共中央国务院关于构建数据基础设施体系更好发挥数据要素作用的意见》发布，引领算力网络持续匹配数据要素变革。提供算力与网络深度融合和综合服务，算力网络成为数字中国建设的生产力，支撑数字经济持续深入发展。

    算力网络融合5G、云计算、人工智能、区块链、大数据等新技术，满足各行业业务需求，在云、云等多形态计算节点之间按需分配和灵活调度计算资源。边缘设备。存储资源和网络资源的建设模式正在从初级阶段向高级阶段转变，即从算力与网络的融合向以数据为核心的多要素深度融合与统一转变。泛在接入、异构调度、存储计算分离、服务质量保障等新特征下，算力网络面临安全挑战。网络靶场是用于网络空间安全研究、评估和分析的新型网络安全基础设施。推动算力网络与网络靶场深度融合，建设算力网络靶场，将为系统应对算力网络安全挑战提供新途径。

    算力网络发展趋势及安全挑战

    在国家“数字数据东、计算西”战略背景下，算力网络初步建设目标是促进数据中心资源最大限度共享和利用，推动实现国家“双中心”。系统布局“碳”战略。目前算力网络应用支撑主要基于初级阶段模式，通过整合多级数据中心算力为用户提供按需服务，重点关注数据中心容量、可靠性、安全性、可控性和节能性，特别是优先提高能源效率，实现更高经济效益，满足“双碳”战略导向。但由于计算资源与需求方距离较远，跨网络、跨域数据传输带来的延迟，使得大量需要算力的业务无法使用远程算力。算力网络只能承载低时延的要求。对存储和计算要求较高的业务，如离线分析、数据备份、影视渲染等。

    为了打破算力供需难以匹配的困境，我们在算力网络的建设过程中必须更多地思考未来如何服务数据要素，比如数据在不同的应用场景中如何流通和使用，以及远程算力带来的网络延迟、抖动、安全问题如何解决等。在客户需求的驱动下，算力网络的建设模式必须发生根本性的改变，即从初级阶段到高级阶段。高级阶段，算力节点更加丰富，不仅限于数据中心，还包括接入边缘算力和终端算力。个人和行业用户可以同时输出算力服务，成为算力提供者，参与算力交易。同时，计算网络资源编排和调度更加智能，任务执行更加高效、安全。后期算力网络建设更加注重资源协调、安全和服务质量保障，以实现数据要素价值最大化和计算资源效率最大化的目标。需求驱动的建设模式促进算力供需匹配，有利于充分发挥算力效率，让数据要素产生最大经济效益。但建设模式的转变也给算力网络安全体系带来了新的挑战（见图1）。

    图1 计算网络安全挑战

    首先，计算与网络深度融合，网络边界模糊，传统安全机制面临挑战。

    建设模式初期，建设重点主要是多级数据中心和算力生产网络的安全。随着建设模式和建设重点的变化，算力网络的边界从算力生产网络扩展到算力分发网络，并进一步包括边缘算力和多源终端算力节点。计算能力与网络深度融合，安全关注范围也扩大。无处不在、多样化、异构的算力节点暴露面增大，不同类型的算力资源面临不同的安全风险，使得整个算力网络的安全风险急剧增加。传统面向边界的网络安全防护模式面临挑战，需要构建新的安全机制，实现算力网络全流程、长效安全。

    其次，数据存储与计算分离，数据保护责任更加复杂。

    当用户使用计算网络执行任务时，必须将部分或全部数据和计算模型“搬”到计算中心，并将计算结果传回数据所有者或提供给有需要的第三方。对于复杂的任务，计算网络可能会协调多个计算资源一起执行，然后数据将在多个计算节点之间流动。用户在使用公共算力时最担心的是数据传输过程中的泄露风险，因为数据流向路径和目标算力节点的安全状态并不在他们的控制之下。这是一个多方共同保护数据安全的复杂情况，需要更好的方法。系统分析、评估和提高数据生命周期安全性。

    第三，服务水平差异化、智能化，跨网效应难以验证。

   

    算力网络服务针对的是对算力要求较高的业务，这些业务对带宽、时延、抖动、隔离等方面有不同的要求。算力网络可以利用网络切片等多种技术来满足差异化、智能化服务水平的需求。但用户可能仍对服务效果心存疑虑，难以做出是否使用公共算力来运行关键业务的决定。例如，工业控制具有网络延迟和抖动的确定性指标。能否使用公共算力来运行此类应用，取决于算力网络为低时延服务提供的服务是否满足指标要求。计算网络运营商迫切需要跨网络、跨域的服务效果验证方法，以“以证促用”。

    打造强大算力网络范围平台

    算力网络系列是为系统应对算力网络安全挑战而构建的数字化基地。它需要能够配置环境、安排任务、追踪进程、共享资源、支持广泛的应用场景，才能充分发挥其能力。作为安全基础设施，其价值与算力网络未来的发展相匹配。

    首先，自下而上构建算力网络范围。

    网络靶场从技术架构和构建模式上分为两类：自上而下和自下而上。其中，自下而上构建的网络范围以强大的平台为核心，具有更强的扩展性和包容性，更符合大规模计算网络、复杂场景、多任务并发、多任务的情况。资源协同，业务需求多样化。 ，因此建议算力网络范围采用以平台为核心的自下而上的建设模式。

    算力网络范围是结合网络范围的通用能力和算力网络的业务特点构建的。其技术框架包括范围应用层和范围平台层两部分（见图2）。靶场应用层负责根据算力网络承载的业务进行应用适配、目标配置、应用场景设置，以及算力网络的安全效率和使用效率的评估和展示。靶场平台层集成网络靶场通用能力，实现网络快速搭建、业务系统模拟、任务流程引导、数据采集分析、综合资源管理等功能。

    图2 计算网络范围架构

    其次，五项关键能力匹配算力网络未来发展。

    在建设算力网络范围时，需要充分考虑如何实现资源共享和业务协同、仿真模型构建、多任务安全隔离、复杂任务编排和引导等；由于其公共服务属性，需要考虑如何进行业务评价展示、责任边界划分和问题审计追溯等问题。

    只有突破关键技术难题、形成关键能力，才能构建环境可配置、任务可编程、流程可追溯、资源可共享的强大计算网络范围平台，支撑安全测试、技术验证、审计溯源等网络范围。业务及未来应用场景创新。

    大规模复杂网络仿真能力。对于复杂的计算任务，计算网络可能需要调度多个计算中心的资源，并与数据拥有者自身的计算资源进行协调。因此，需要对跨网络、跨域的异构计算资源进行统一调度。仿真环境需要模拟算力分发网络和算力生产网络的主要网元设备，并根据业务需求灵活组织网络。因此，算力网络范围应能够支持数万节点的大规模复杂网络的灵活构建，并按需实现异构环境下的节点模拟和虚实互联。

    细粒度的任务编排和场景引导能力。与私人射击场相对固定的使用场景不同，算力网络射击场因其公共服务属性，其业务场景是多变的。网络靶场应支持场景的灵活重构，支持人员、环境、任务、流程。灵活的安排和引导，使得测试验证等网络范围业务的解决方案得以定义、流程得以调度、流程得以优化。

    多源异构数据采集能力。完整的数据是一切分析和审计工作的基础。算力网络范围必须具备实时采集多源所有异构数据的能力，包括状态数据、流量数据和行为数据，做到操作可追溯、结果可追溯，支撑精准攻防事件检测和威胁识别。数据传输、算力交易等资源利用行为的情况分析、审计和溯源。

    多维度量化评估和可视化展示能力。在算力网络的日常运营中，运营管理者需要及时、准确地掌握网络的安全动态；在开展安全测试、技术验证等活动时，评估结果需要多维度呈现。因此，算力网络范围需要具备多维度的量化评估和可视化展示能力。该功能还可用于向客户全面展示算力网络安全能力，增强客户将业务迁移至算力网络的信心。

   

    分布式互连和资源管理能力。算力网络是一个类似于互联网的庞大而复杂的网络，由多个算力中心、边缘算力节点、终端算力节点分布式互联。相应的，网络靶场还应具备多级分布式互联和资源管理能力。多算力中心应通过共建共享的模式来建设和使用网络范围，以满足更大规模的资源需求，并实现多个算力中心之间的安全能力共享。

    应用场景广泛，创新空间无限

    算力网络范围应用场景广泛，其关键价值在于：面对网络边界模糊、数据存储与计算分离、差异化服务水平、智能化等带来的新挑战，能够保障算力网络数字化安全，为客户提供确定性服务保障。基于网络靶场平台构建的模拟世界也能不断赋能应用场景创新。

    一是突破传统模式，以长效验证机制应对挑战。

    传统的网络安全验证方法是由网络安全人员在真实的生产环境中发起深度测试。为了减少对生产系统的影响，测试活动通常在约定的时间一次性完成。这种模型存在先天的局限性，传统的测试模型很难得出全面、准确、长期的安全验证结果。

    算力网络范围可以针对传统安全机制的挑战、数据保护责任的复杂性、跨网效果的验证等核心问题，进行全面的测试评估，从单次测试到持续测试，从传统的安全评估模型转向大规模测试模型。并改造自动测试模式，发现暴露的安全威胁、识别数据泄露风险、诊断网络服务质量等，为算力网络安全提供长效验证机制。

    基于网络范围大规模复杂网络的现实建设能力，能够快速搭建网络范围内算力网络的仿真环境，并有针对性地与实际系统结合，灵活调度，持续进行不影响生产系统的评估活动。

    其次，拓展应用场景，最大化算力网络范围的价值。

    虽然网络靶场是为了安全而生，但事实上，当基于网络靶场平台构建出一个模拟世界时，它的功能和价值远远超出了解决安全问题。除了安全性之外，它还可以用于验证各种系统功能和性能。

    针对算力网络资源分布不均、使用不均、效率不均等问题，可利用算力网络范围，虚实结合，灵活配置引导任务，按需调用算力节点资源，进行分析评估算力节点的使用效率。优化算力资源调用机制，为用户提供算力节点的最佳选择，同时让监管机构了解算力资源的整体使用效率。

    针对复杂的算力交易、不诚实的交易参与者可能篡改交易结果、逃避计费等问题，可以利用算力网络范围的自动化流量和业务导入能力以及流程重现性来实现算力交易的合规性。进行全面的审计和追溯，以便在出现纠纷时能够及时、公平地处理，确保算力交易公平、公正。

    未来，结合行业应用的独特需求，可以不断拓展应用场景，最大化算力网络范围的价值。

    作者简介：郭晓伟，怀柔实验室信息部主任；邱勤，中国移动信息安全管理运营中心副经理、中国移动通信集团科协安全部专家；徐天妮，中国移动信息安全管理运营中心项目经理。