东数西算工程算力枢纽安全能力建设白皮书-信息化百人会组织、亚信安全&华为.pdf-solarbe文库

资源描述：

1 2 目录前言 4 一、 “ 东数西算 ” 工程介绍 . 5 （一） “ 东数西算 ” 工程背景 . 5 （二） “ 东数西算 ” 工程意义 . 6 （三）国家枢纽节点建设情况介绍 . 8 二、算力枢纽安全风险与建设现状 . 12 （一）算力枢纽安全风险 . 12 （二）算力枢纽安全能力建设现状 . 13 三、算力枢纽安全能力建设目标和各方责任 . 13 （一）算力枢纽安全能力建设目标 . 13 （二）相关方安全责任 . 15 四、算力枢纽安全能力建设框架 . 15 （一）安全能力建设总体架构 . 15 （二）安全自主创新能力建设 . 17 1. 可信算力基础设施 . 17 2. 可信数字应用 . 22 3. 可控安全核心能力 . 29 （三）网络和端点安全能力建设（网端盾） . 31 （四）云平台和云负载安全能力建设（云上盾） . 32 3 （五）数据安全能力建设（数据盾） . 33 （六）应用安全能力建设（应用盾） . 35 （七）安全管理体系建设 . 36 （八）安全监管体系建设 . 37 （九）安全运营体系建设 . 38 五、携手助力枢纽节点安全能力构建 . 38 （一）信息化百人会介绍 . 38 （二）华为鲲鹏计算产业介绍 . 39 1. 硬件开放 . 40 2. 基础软件 . 41 （三）亚信安全企业介绍 . 44 （四）亚信安全基于鲲鹏全栈安全整体解决方案 . 45 1. 全面覆盖的安全防护组件 . 45 2. 原生可信的安全应用部署 . 47 3. 软硬联动的精准安全管控 . 51 结语 58 关于作者 . 59 专家顾问 . 59 4 前言今年 2 月，国家发展改革委、中央网信办、工业和信息化部、国家能源局联合印发通知，同意在京津冀、长三角、粤港澳大湾区、成渝、内蒙古、贵州、甘肃、宁夏等 8 地启动建设国家算力枢纽节点，并规划了 10 个国家数据中心集群。我国一体化大数据中心体系完成总体布局设计， “东数西算” 工程正式全面启动。网络数据安全能力是 “东数西算” 工程的重要基础保障， “东数西算” 工程在设计之初即提出要建立“数盾”安全体系，打造统一标准统一能力的安全底座，为 “东数西算” 的基础设施和业务应用提供高水平一致性的网络数据安全能力支撑。信息化百人会作为专注于推动当代中国数字化、网络化、智能化发展，促进沟通与合作的平台，围绕 “东数西算” 工程的网络数据安全保障专题，牵头组织网络安全行业专家学者充分研讨，并在此基础上亚信安全和华为专家顾问执笔编写了东数西算工程算力枢纽安全能力建设白皮书并联合发布。三者强强联合打造白皮书，代表了国内在 “东数西算” 安全能力建设上最具有前瞻性的思考。 5 一、 “东数西算” 工程介绍（一） “东数西算”工程背景 “东数西算” 工程通过构建数据中心、云计算、大数据一体化的新型算力网络体系，将东部算力需求有序引导到西部，优化数据中心建设布局，促进东西部协同联动，让西部的算力资源更充分地支撑东部数据的运算，更好为数字化发展赋能。 “东数西算” 这个概念最早是在 2016 年十八届中央政治局第三十六次集体学习中提出，要建设全国一体化的国家大数据中心，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。 2020 年 12 月，关于加快构建全国一体化大数据中心协同创新体系的指导意见正式印发（发改高技〔 2020〕 1922 号 http//www.gov.cn/zhengce/zhengceku/2020- 12/28/content_5574288.htm），明确全国一体化大数据中心要形成“数网”“数纽” “数链”“数脑”“数盾” 等体系。网络中要建设枢纽，节点之间要建数据传输的“高速路”，而且要在全国范围内开展算力的资源调度。在 “ 十四五 ” 规划纲要中， “加快构建全国一体化大数据中心体系，强化算力统筹智能调度，建设若干国家枢纽节点和大数据中心集群” 再次得到强调。 2021 年 5 月 24 日，国家发展和改革委员会等部门印发全国一体化大数据中心协同创新体系算力枢纽实施方案（发改高技〔 2021〕 709 号） http//www.gov.cn/zhengce/zhengceku/2021- 05/26/content_5612405.htm，要求在京津冀、长三角、粤港澳大湾区、 6 成渝、贵州、内蒙古、甘肃、宁夏等地布局建设全国一体化算力网络国家枢纽节点。 2021 年 12 月 8 日，国家发改委等部门联合印发贯彻落实碳达峰碳中和目标要求推动数据中心和 5G 等新型基础设施绿色高质量发展实施方案（发改高技〔 2021 〕 1742 号 https//www.ndrc.gov.cn/xxgk/zcfb/tz/202112/t20211208_130710 4.htmlcode 远程证明服务 RAS 建立在用户的工作服务器上，为用户提供对目标平台的远程证明服务。他将为工作服务器上的 TPM 提供远程证明密钥证书，管理工作服务器可信相关的数据信息，接收可信报告，并验证目标的可信状态，最终向用户提供远程证明服务。远程证明客户端 RAC 主要解决部署阶段平台可信启动能力的检测和使能，在目标系统上获取远程证明所需的各种数据信息，生成可信报告，最后与 RAS 通信完成注册和可信报告发送。 25 图 5 远程证明应用架构 3 基于机密计算的可信应用基于机密计算的可信应用优势在于它兼顾了安全性、通用性、和高效性，不仅可以无缝支持通用计算框架和应用，而且计算性能基本可匹敌明文计算。它可以单独用于保护计算状态中的数据，也可以与其他技术结合在一起来保护数据，尤其对于安全可信云计算、大规模数据保密协作、隐私保护的深度学习等涉及大数据、高性能、通用隐私计算的场景，是重要的技术手段，有效缓解数据价值共享当中面临的“不愿、不敢、不能”难题。在典型的机密计算可信应用场景中，所涉及的关键角色主要包括计算程序提供方、机密计算服务提供方、机密计算平台提供方、数据提供方、结果需求方，各方的关系与计算角色如图所示。 26 图 6 机密计算关键角色关系关键角色描述如下 ① 计算程序提供方负责提供需在机密计算服务中运行的计算程序，计算程序应和需求方的计算需求描述相符，程序会置入机密计算平台的可信执行环境内运行 ② 机密计算服务提供方为用户提供机密计算服务的软件模块，服务提供方也提供服务的管理功能，如支持计算程序的录入与发布。 ③ 机密计算平台提供方要提供机密计算的可信硬件基础，包括集成在计算平台内部的硬件可信根、可信执行环境等，负责实现完整的度量存储报告机制，将信任链扩展到计算程序，。 ④ 数据提供方负责提供计算任务的计算数据，计算数据在计算过程中应保证机密性、完整性。 ⑤ 结果需求方一般是计算需求的发起方，负责提供具体的计算需求描述给机密计算服务，包括需要运行的程序，程序运行时需要计算的数据等。 27 4 密钥全生命周期管理密钥的安全管理对于整个系统的安全性至关重要。如果使用不恰当的密钥管理方式，强密码算法也无法保证系统的安全。参考业界已发布的密钥管理规范及业界最佳实践，构建密钥管理平台，实现密钥的生成、传输、使用、存储、更新、备份与恢复、销毁等全生命周期管理。密钥分层管理密钥分层管理至少采用两层密钥结构；对密钥做加密的密码算法的安全强度不小于被加密密钥本身所用于密码算法的安全强度密钥的生成用于产生密钥的随机数发生器必须是安全随机数发生器；口令类低熵值秘密，不可直接作为密钥使用；密钥协商必须确保双方身份的真实性；安全随机数产生密钥时，所产生的密钥强度不能小于所用于密码算法的安全强度。密钥的申请分发对称密钥、共享秘密等密钥信息在网络中传输时需提供机密性、完整性保护；在虚拟机创建时，支持本地或远程进行密钥创建分发，禁止软件安装包或固件中存在密钥。密钥的存储根密钥不出硬件，只能加速器引擎使用，任何软件都无法读取，用于数据加解密的工作密钥不可硬编码在代码中，根密钥仅可对部分密钥组件进行硬编码；采用密钥组件方式生成根密钥时，密钥组件需要分散存储，当密钥组件存储于文件中时，须对文件名做一般化处理；对于具备硬件安全模块的产品，根密钥须采用硬件安全模块进行保护，支持密钥保护，提供密钥保护功能，实现密钥在芯片中存储和使用，实现芯片级防护能力。 28 密钥的使用密钥的用途需单一化，即一个密钥应只用于一种用途；对称密钥、 MAC 密钥、非对称加密算法私钥仅可被分发至必须持有该密钥的实体。对于具备安全执行环境的产品，安全环境内部产生的密钥仅在安全执行环境内使用。密钥的访问不同种类的密钥在不同生命周期状态下，具有不同的访问权限，只有特定的生命周期状态下，才能读写特定的密钥。密钥的更新密钥须支持可更新，并明确更新周期，在一次性可编程的芯片中保存的密钥除外。密钥的销毁不再使用的密钥应当立即销毁，二级秘钥支持吊销，双根场景，各自的二级秘钥支持独立吊销。可审核性密钥的生成、使用、更新、销毁等操作需记录详细的日志密钥保护场景和整体流程。 5 证书管理应用证书在可信基础设施发挥着重要作用，一方面，它可以传递信任，从而实现身份证明；另一方面，被广泛应用于安全通信协议中。从而实现各项系统的完整性、机密性保护机制。证书自带有效期机制，促进密钥及时更新提升安全性的同时，也对安全管理能力提出一定挑战。证书管理应具备一定的安全性与连续性功能，保证敏感信息不被窃取的同时，业务可以持续运行。对可信基础设施证书管理包括以下几个方面 ① 证书应具备更新 /替换能力。 ② 证书导入应至少具备校验证书有效期、加密算法强度并使用根 CA 29 的公钥验证 CA证书中签名正确性的能力。 ③ 应至少具备证书有效期检查，并在证书有效期过期前一定时间提醒用户更换证书的能力。 ④ 证书的私钥或加密口令需要加密保存，其加密密钥需要被专用硬件安全模块保护。 ⑤ 设备中的预置证书应是唯一的，实现“一机一证”。 3. 可控安全核心能力假如没有掌握对技术的自主创新，将会带来巨大的风险。而安全核心技术的自主创新，对于整个网络空间的斗争尤为关键。如果不能真正掌握，就会处于被动挨打的地步，就没有能力进行防御，或者发现问题也无法解决。在 “东数西算” 枢纽节点建设过程中，必须加强在网络安全领域的基础理论算法和核心通用能力的研究应用。 1 文件防病毒引擎建立国产化平台环境的病毒检测的覆盖以及脚本类病毒、 “挖矿” 、勒索类病毒以及二进制可执行文件类病毒检测能力，提供对云端机器学习和云增强检测等检测方式的支持，实现机器学习检测能力和病毒库精细化定制能力。 2 网络攻击识别引擎基于国产化平台适配环境，基于获取报文、解码报文、监测报文和记录日志的统一处理逻辑，形成一体化的引擎基础能力，实现将网络报文 30 转化为标准报文数据结构，从数据链路层、网络层、传输层到应用层的协议识别并依次完成解码，使用 HS 多模式匹配算法，将报文和特征分组做匹配，将命中的威胁记录以回调函数形式提供给产品，并提供告警相关流的上下文信息。实现通用告警归并针对所有的告警信息采取对应策略进行归并。实现多线程加载 PTN 功能，实现对 lua 脚本（支持规则编写、告警日志场景）的支持，实现对 IDS rule 的使能热操作的支持。实现告警增强信息的拓展，并根据增强信息完成研判模块相关业务场景设计。 3 威胁情报评估引擎建立威胁情报信息库，实现情报的生命周期管理并与各安全系统联动形成标准处置流程包括但不限于一下内容并并重点拓展国产化环境漏洞情报库研究  IP 信息库核心情报  域名信息库核心情报  pDNS 信息库核心情报  IP Whois 信息库核心情报  Domain whois 信息库核心情报  ASN 信息库核心情报  SSLCert 信息库  文件样本库核心情报  CVE 漏洞库核心情报  PUPPUA 工具库