當前，在以信息技術為代表的新一輪科技革命和產業(yè)變革浪潮中，數字產業(yè)化和產業(yè)數字化轉型升級進度加快，5G、6G、云計算和大數據等新技術激發(fā)算力需求不斷提升，以ChatGPT、Sora為代表的人工智能應用、大模型訓練等新應用、新需求推動算力需求急速增長。以新材料、生物制藥、基因技術、金融科技等為代表的前沿科技和未來產業(yè)，對算力基礎設施提出了新要求，特別是對算網深度融合實現算力靈活調度、高速數據傳輸的應用需求與日俱增。為回應產業(yè)需求，自2019年起，我國三大運營商、通信設備廠商分別提出算力網絡、算力感知網絡、計算優(yōu)先網絡等相關技術概念，開啟了算網融合方向技術探索的新篇章。

2021年7月，由中國電信研究院牽頭制定的算力網絡國際標準ITU-T Y。2501《算力網絡框架與架構》在國際電信聯盟電信標準化部門報告人會議上審議通過，并于9月正式發(fā)布。標準中關于算力網絡的定義在業(yè)界基本達成共識，即算力網絡是一種新型網絡，通過網絡控制平臺（如集中式控制器、分布式路由協(xié)議等）分發(fā)計算、存儲、網絡等服務節(jié)點的資源信息，實現資源優(yōu)化分配。算力網絡中的計算資源（如CPU、GPU等處理能力）與通信網絡深度融合，通過“算力大腦”實現對網絡中算力的統(tǒng)一感知、編排與調度。

在國家政策大力支持下，算力網絡逐步成為產業(yè)發(fā)展熱點。由“東數西算”工程牽引，我國已形成算力資源儲備充足、算力調度初具規(guī)模、算力交易初現雛形的算網服務體系。

作為算力網絡建設的中堅力量，三大電信運營商高度重視算力網絡，積極開展算力網絡技術研究，算網融合平臺已經從早期理論構想走向加速建設階段。除電信運營商外，阿里云、騰訊云等云廠商，華為、中興、浪潮等數據中心服務廠商也積極參與算網融合建設，推動算力網絡關鍵設備研發(fā)，優(yōu)化算網功能、性能。

在算力基礎設施方面，“東數西算”工程推動全國數據中心建設步伐加快。截至2023年底，我國在用數據中心算力總規(guī)模達到230 EFLOPS，標準機架超過810萬架，位居世界第二。隨著八大國家算力樞紐節(jié)點、十大數據中心集群建設落地，算力一體化格局已初步顯現。同時，“IPv6+”“全光網”等相關產業(yè)快速發(fā)展，我國算力承載網絡基礎不斷夯實。在算力調度方面，算力調度平臺建設進展迅猛。八大國家算力樞紐節(jié)點均已開始建設各自的算力調度平臺。同時，運營商也積極開展算力調度平臺建設，中國電信、山東聯通相繼發(fā)布算力調度平臺“息壤”和“曜算”，中國移動牽頭啟動了“百川算力并網行動”，計劃打造能夠接入大規(guī)模算力、并入多類型算力、提供全服務模式的算力并網平臺。在算力網絡標準方面，技術標準研制有序開展。2023年5月，算力網絡方向行業(yè)標準——《算力網絡 總體技術要求》正式發(fā)布。2023年11月，算力基礎設施領域國家標準GB/T 43331—2023《互聯網數據中心（IDC）技術和分級要求》正式發(fā)布。

此外，算力標識、算力度量、算力路由、算網融合控制、算力安全等算力網絡相關標準也在加緊制定。在算力網絡技術方面，原創(chuàng)技術不斷突破。中國移動突破算力路由技術，推出算力路由器；中國電信創(chuàng)新算力網關，提出基于BGP的算力網絡核心協(xié)議CP-BGP；中國聯通提出CUBE-Net 3.0網絡創(chuàng)新體系；華為6G研究團隊率先提出基于端邊云環(huán)境通算融合的移動算力網絡架構及關鍵技術；中興通訊創(chuàng)新推出面向未來網絡演進的服務感知網絡解決方案。

目前，算力網絡技術體系架構逐步清晰，已形成了基礎設施、編排管理、運營服務3層技術架構。其中基礎設施層是算力網絡運行的計算和網絡能力基礎，實現包括云、邊、端算力在內的泛在異構計算資源的高速互聯，同時保證數據進行高效無損的傳輸；編排管理層是算力網絡的“大腦”，實現對算力、網絡資源的感知和統(tǒng)一度量與標識，并通過融合編排技術對算網資源進行統(tǒng)一管控、按需調度和智能優(yōu)化；運營服務層面向用戶提供算力交易服務，提供一體化的算力網絡產品，實現一站式服務和智能無感的體驗。

建設算力網絡，必須重視安全保障，從多個維度構建算力網絡安全保障體系，實現算網建設和安全保障一體化推進。算力網絡將云計算、人工智能、邊緣計算、區(qū)塊鏈等技術進行深度融合，并引入SD-WAN、SRv6等網絡新技術，導致其面臨的安全風險呈現新樣態(tài)。

實際上，在算網融合的架構下，異構節(jié)點數量龐大，網絡互聯程度升級，資源調度智能自動，安全邊界隨之打破，數據安全與網絡安全、新技術安全相互滲透、相互影響，單點風險可能產生全局影響。綜合來看，算力網絡基礎設施層、編排管理層、運營服務層面臨如下數據安全風險。

在基礎設施層，異構算力節(jié)點的接入和網絡新技術的引入增加數據安全防護難度?；A設施層涉及到云數據中心、邊緣計算設施、終端設備等多源、泛在算力節(jié)點，其安全能力存在較大差異，增加了節(jié)點數據安全策略管理復雜度。算力動態(tài)調度使得數據跨系統(tǒng)、跨域甚至跨境流動場景增加，客觀上增大了數據暴露面，防護難度進一步增加。此外，SD-WAN、SRv6等網絡新技術的應用，使得業(yè)務流量可能在公網傳輸，網絡環(huán)境更加復雜，數據遭泄露、篡改等風險加大。

在編排管理層，算力網絡特有的資源數據和智能化編排方式使得數據安全與網絡安全、新技術安全相互交織。一方面，編排管理層作為算網資源與運營服務間的樞紐，匯聚了大量算力資源數據、編排數據、調度數據等特有敏感數據。這些數據會成為新的攻擊目標，一旦這些數據被竊取，可能會導致算力網絡的非法利用；若這些數據被篡改，將影響運營服務的正常開展，甚至會造成算力網絡運行事故。另一方面，算網編排層通過對高復雜度的算網環(huán)境進行通用化數學建模，利用智能核心算法，實現一系列智能控制和自動決策。其中涉及到大量的人工智能模型算法，針對這些算法的數據投毒、模型竊取等攻擊，將直接影響算力網絡的運行調度。

在運營服務層，算網交易信息、算網用戶數據都面臨較大安全風險。一方面，運營服務層面向海量用戶及節(jié)點輸出算力服務，如果數據訪問權限管理不當，將會面臨交易數據泄露、交易信息篡改等數據安全風險，引發(fā)惡意計費、逃避計費等問題，擾亂算力交易正常秩序。另一方面，用戶數據脫離原始安全域，在不同算力節(jié)點、不同主體間流轉，算力節(jié)點的安全防護能力未知，數據在流轉和計算過程中可能發(fā)生泄露、丟失、篡改、濫用等多重風險。

算力網絡作為新型基礎設施，具有資源范圍廣、參與主體多、數據對象雜、技術架構新等特點，為應對上述數據安全風險與挑戰(zhàn)，本文提出算力網絡數據安全保護框架，旨在厘清算力網絡數據安全工作范疇和工作重點，為搭建算力網絡數據安全保護體系提供參考。

算力網絡數據安全保護框架包括安全管理和安全技術兩個方面。安全管理方面，包括組織機構、人員管理、數據分類分級、權限管理等制度機制，建立算力網絡數據安全管理體系。安全技術方面，提出針對基礎設施層、編排管理層、運營服務層3個層級的主要數據安全技術措施，建立算力網絡數據安全保護框架，如圖1所示。

圖1   算力網絡數據安全保護框架

算力網絡數據安全保護框架的安全管理部分主要從算力網絡運營主體的角度出發(fā)，結合數據安全管理的通用元素和算力網絡業(yè)務自身特點，提出構建算力網絡數據安全管理體系的框架和思路。

在組織機構方面，算力網絡運營主體需要建立數據安全責任制，并明確數據安全責任部門。依據《中華人民共和國數據安全法》《工業(yè)和信息化領域數據安全管理辦法（試行）》等法律法規(guī)及相關標準要求，算力網絡運營主體作為電信數據處理者，需要指定數據安全管理的主要負責人和責任部門，并明確責任部門具體職責，包括但不限于組織制定數據安全管理規(guī)劃、制度和標準，牽頭組織開展數據分類分級，統(tǒng)籌負責數據處理活動安全監(jiān)督管理，組織開展數據安全宣貫培訓等。

在人員管理方面，算力網絡運營主體需要建立數據安全人員管理體系，將數據安全管理要求納入入職、定崗、離職等人力資源管理流程中，明確擔任數據安全責任部門以及其他數據安全相關崗位的專業(yè)資質；定期進行數據安全培訓與考核；明確數據安全關鍵崗位及人員，并與其簽署保密協(xié)議或數據安全責任書。

在數據分類分級管理方面，算力網絡運營主體需要建立數據分類分級管理制度，對本機構的數據資產進行盤點，形成資產清單，識別重要數據和核心數據，制定重要數據目錄并定期更新，采取措施開展數據分級防護，對重要數據和核心數據進行重點保護。

在數據權限管理方面，算力網絡運營主體需要建立數據訪問操作權限審批管理制度，重點關注超級管理員權限、默認賬號、離職人員賬號的權限管理，定期審計賬號授權情況，及時回收過期賬號或權限。

在算力交易主體管理方面，算力網絡運營主體需要建立針對算力交易主體的管理制度。參與算力交易的主體通常具有多樣性，算力網絡運營主體需要對接入算力交易平臺的交易主體建立準入、審計、退出等管理機制，從機構基本情況、業(yè)務經營情況、數據安全能力等方面審核交易主體，并建立交易行為監(jiān)測機制，對存在違規(guī)交易行為的交易主體，或機構發(fā)生重大變化導致不再符合準入條件的交易主體，及時做好處置或清退。

在數據安全風險管理方面，算力網絡運營主體需要建立數據安全風險監(jiān)測預警工作機制，對數據處理活動、內外部數據流動等實施監(jiān)測巡查，對異常數據操作行為進行排查預警和處置。

在應急響應方面，算力網絡運營主體需要建立數據安全事件應急響應工作機制，制定數據安全事件應急預案，定期開展數據安全事件應急演練。

在安全評估方面，算力網絡運營主體應當依據法律法規(guī)及相關行業(yè)標準，定期開展數據安全風險評估，形成評估報告，對評估中發(fā)現的安全風險或問題及時整改，對整改措施的有效性進行復核。

算力網絡數據安全保護框架的安全技術部分主要結合算力網絡自身的技術架構，針對算力網絡各個層級分別面臨的數據安全風險，提出相應的數據安全保護技術措施。

基礎設施層需要保障算力節(jié)點數據安全、網絡基礎設施數據安全和算網融合數據安全。其中，算力節(jié)點數據安全包括云計算、邊緣計算、端計算等設備的訪問權限管理、數據采集監(jiān)控、數據隔離、數據存儲等安全。網絡基礎設施數據安全主要包括防止SRv6報文被篡改、被竊聽、被泄露等。算網融合數據安全指保障基礎設施層設備之間、基礎設施層與編排管理層之間算力度量、算力標識、算力感知、算力路由等算網信息的數據交互安全。

編排管理層需要保障算力網絡編排數據安全和智能編排算法安全。其中，編排數據安全包括對編排數據的安全監(jiān)控、安全審計，還包括算力監(jiān)控和編排安全檢測等技術手段，旨在防止編排數據被泄露、篡改或惡意使用，加強對算力資源、編排、調度等敏感數據的保護。智能編排算法安全包括數據質量檢測和攻擊防御，數據質量檢測采用數據清洗、轉換、驗證、異常檢測等方法提升整體數據質量水平，防止污染數據對算法計算結果的操控。攻擊防御則根據算網環(huán)境下投毒攻擊、對抗樣本攻擊等攻擊特征，部署相應技術防護手段。

運營服務層需要保障用戶數據安全和算網運營數據安全。其中，用戶數據安全包括用戶身份管理、訪問權限管理和用戶數據安全技術支持。通過身份管理、訪問權限管理，可以保障計算節(jié)點和用戶身份可識別、可驗證，數據訪問行為可管可控。用戶數據安全技術支持是指算網運營者為算網用戶提供脫敏、加密、溯源、隱私計算等技術手段，供用戶選擇，根據算網數據安全責任劃分規(guī)則，落實運營者和用戶雙方的數據安全責任，保障算網用戶數據安全。算網運營數據安全包括運營數據訪問權限管理、交易信息安全、安全監(jiān)控審計等，保障算網服務相關數據的安全，進而保障算力交易安全、算網運營安全。