1、1 2 目录 前言.4 一、“东数西算”工程介绍.5（一）“东数西算”工程背景.5（二）“东数西算”工程意义.6（三）国家枢纽节点建设情况介绍.8 二、算力枢纽安全风险与建设现状.12（一）算力枢纽安全风险.12（二）算力枢纽安全能力建设现状.13 三、算力枢纽安全能力建设目标和各方责任.13（一）算力枢纽安全能力建设目标.13（二）相关方安全责任.15 四、算力枢纽安全能力建设框架.15（一）安全能力建设总体架构.15（二）安全自主创新能力建设.17 1.可信算力基础设施.17 2.可信数字应用.22 3.可控安全核心能力.29（三）网络和端点安全能力建设（网端盾）.31（四）云平台和云负载

2、安全能力建设（云上盾）.32 3 （五）数据安全能力建设（数据盾）.33（六）应用安全能力建设（应用盾）.35（七）安全管理体系建设.36（八）安全监管体系建设.37（九）安全运营体系建设.38 五、携手助力枢纽节点安全能力构建.38（一）信息化百人会介绍.38（二）华为鲲鹏计算产业介绍.39 1.硬件开放.40 2.基础软件.41（三）亚信安全企业介绍.44（四）亚信安全基于鲲鹏全栈安全整体解决方案.45 1.全面覆盖的安全防护组件.45 2.原生可信的安全应用部署.47 3.软硬联动的精准安全管控.51 结语.58 关于作者.59 专家顾问.59 4 前言 今年 2 月，国家发展改革委、中

3、央网信办、工业和信息化部、国家能源局联合印发通知，同意在京津冀、长三角、粤港澳大湾区、成渝、内蒙古、贵州、甘肃、宁夏等 8 地启动建设国家算力枢纽节点，并规划了 10个国家数据中心集群。我国一体化大数据中心体系完成总体布局设计，“东数西算”工程正式全面启动。网络数据安全能力是“东数西算”工程的重要基础保障，“东数西算”工程在设计之初即提出要建立“数盾”安全体系，打造统一标准统一能力的安全底座，为“东数西算”的基础设施和业务应用提供高水平一致性的网络数据安全能力支撑。信息化百人会作为专注于推动当代中国数字化、网络化、智能化发展，促进沟通与合作的平台，围绕“东数西算”工程的网络数据安全保障专题，牵

4、头组织网络安全行业专家学者充分研讨，并在此基础上亚信安全和华为专家顾问执笔编写了 东数西算工程算力枢纽安全能力建设白皮书 并联合发布。三者强强联合打造白皮书，代表了国内在“东数西算”安全能力建设上最具有前瞻性的思考。5 一、“东数西算”工程介绍（一）“东数西算”工程背景“东数西算”工程通过构建数据中心、云计算、大数据一体化的新型算力网络体系，将东部算力需求有序引导到西部，优化数据中心建设布局，促进东西部协同联动，让西部的算力资源更充分地支撑东部数据的运算，更好为数字化发展赋能。“东数西算”这个概念最早是在 2016 年十八届中央政治局第三十六次集体学习中提出，要建设全国一体化的国家大数据中心，

5、推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。2020 年 12 月，关于加快构建全国一体化大数据中心协同创新体系的指导意见正式印发（发改高技20201922 号http:/ 年 5 月 24 日，国家发展和改革委员会等部门印发全国一体化大数据中心协同创新体系算力枢纽实施方案（发改高技 2021 709号）http:/ 成渝、贵州、内蒙古、甘肃、宁夏等地布局建设全国一体化算力网络国家枢纽节点。2021 年 12 月 8 日，国家发改委等部门联合印发贯彻落实碳达峰碳中和目标要求推动数据中心和 5G 等新型基础设施绿色高质量发 展 实 施 方 案 （

6、发 改 高 技 2021 1742号 https:/ 2025 年，数据中心和 5G 基本形成绿色集约一体化运行格局。（二）“东数西算”工程意义“东数西算”提升至战略层面，再次彰显我国对数字化建设的高度重视。数字经济大势所趋，政策、技术将推进数字经济蓬勃发展，新基建是我国数字经济的基础和风向标，新基建为我国数字经济发展赋能。算力作为数字经济时代的新生产力，广泛服务于我国数字社会转型中的方方面面，加速提升我国数字经济在国民经济中的占比。据2020 全球计算力指数评估报告显示，计算力指数平均每提高 1 个百分点，数字经济和 GDP将分别增长 3.3和 1.8。其中，当一个国家的计算力指数达到 40

7、 分以上时，指数每提升 1 点，对于 GDP 增长的拉动将提高到 1.5 倍；当计算力指数达到 60 分以上时，对 GDP 的拉动将进一步提升至 2.9 倍。可见，算力正成为我国在新发展格局下衡量经济状况的“晴雨表”。“东数西算”工程是解决数据中心供需结构性失调、进一步推动数据中心合理化布局的有效手段，是优化区域经济布局、促进各区域尽享数字7 红利的有效途径，是落实“双碳”战略的重要抓手。一直以来，受市场牵引，数据中心厂商倾向于在经济发展水平较高、数据流量大的地区进行投资布局。我国数据中心出现“供不应求”与“供大于求”并存的情况。在此背景下，“东数西算”工程可有效解决数据中心供需关系结构性失调

8、的矛盾，将京津冀、长三角、粤港澳大湾区等地区快速增长的算力需求转移到贵州、内蒙古等地，不仅能够对一线城市的经济发展、数字化转型等需求进行及时响应，也可以充分发挥中西部地区在土地、人力、能源、气候等方面的突出优势，推动数据中心合理化布局。中国一直希望东部带动西部经济发展，但是靠传统的方式比较难，而数字经济是拉动经济增长的一个核心点，“东数西算”能有效带动西部数字经济发展，促进东西部数据流通，有助于推进西部大开发和区域平衡与协调发展，使各区域尽享数字红利。而且数据中心具有产业链条长、投资规模大，带动效应强的特点。数字经济发展相对滞后的西部地区通过算力枢纽和数据中心集群的建设，将带动相关产业上下游投

9、资，促进本地经济加速发展。数据中心是典型的高耗能行业，我国数据中心一年的用电量相当于上海全市一年用电量，超过三峡电站和葛洲坝一年的发电量，并且还在以超过 10%的年均增速快速发展。现在东部碳排放远远大于西部（即使同一个省份，一般也是如此），已经快趋近于饱和或超标，能耗指标紧张，而西部地区火电、水电、风电等能源相对丰富，因此，西部地区承接数据中心，就近消纳西部能源和水资源，提升绿色能源使用比例，促进节能减排。8 实施“东数西算”工程，加快数据中心在西部地区布局，将大幅提高绿色可再生能源使用率，对我国实现碳达峰碳中和目标具有重要作用。（三）国家枢纽节点建设情况介绍 国家发改委批复的全国八大算力枢纽

10、节点，8 个节点各有侧重，又互为补充，以此支撑推动算力资源有序向西转移，加快解决东西部算力供需失衡问题。同时，围绕 8 个国家枢纽节点，共布局了 10 个国家数据中心集群。八大枢纽节点根据当地资源、需求和承担责任等不同，可分为“四数四算”。图 1“东数西算”工程八大枢纽节点“四数”枢纽节点属于需求导向型，包括粤港澳枢纽、成渝枢纽、长三9 角枢纽和京津冀枢纽，主要位于我国较发达地区，与重要城市群重合。这些地区经济发展水平较高、人口密度高、数据流量大、产业数字化转型需求旺盛，对数据中心相关业务需求较大。这些地区需要重点统筹好城市内部和周边区域的数据中心布局，实现大规模算力部署与土地、用能、水、电等

11、资源的协调可持续，优化数据中心供给结构，扩展算力增长空间，满足重大区域发展战略实施需要。在这些地区建立枢纽主要用于及时响应当地工业、金融、医疗、视频、AI 等对时延要求较高的业务需求，保证当地及辐射范围内重大项目和工作正常运转。“四算”枢纽节点属于资源导向型，包括内蒙古枢纽、宁夏枢纽、甘肃枢纽和贵州枢纽，这四个地区位于我国西部地区。这些地区可用土地资源较多，人口密度较小，电力资源丰富、气候较东部地区凉爽，能够有效降低数据中心建设和运营成本。在这些地区建立算力枢纽节点，充分发挥资源优势，有效缓解数据中心能耗压力，推动绿色数据中心发展，加快实现“双碳”目标。同时通过提升算力服务品质和利用效率，夯实

12、网络等基础保障，以填补东部地区数据中心需求缺口，分流网络时延要求较低的后台加工、离线分析、数据存储等业务。“东数西算”工程的实施将带动东、西部地区数据中心建设实现“质量并升”。其中，西部地区最显著的变化是“量”的提升，在“东数西算”工程的影响下，西部地区数据中心规模将呈现加速增长态势，并带动当地数据中心上下游产业快速发展，有力地承接东部地区的算力需求；东部地区最显著的变化是“质”的提升，在“东数西算”工程的影响下，东部地10 区将加快推进数据中心集群化进程，形成以 4 个国家数据中心集群为核心+周边配套系列中小型和边缘数据中心的分布态势，并加速张家口、芜湖、韶关等一线城市周边数据中心的布局，进

13、一步疏解“北上广深”数据中心发展压力，推动东部数据中心布局合理化。表 1 八大枢纽节点起步区布局 枢纽节点 承建城市 起步区 建设指导 建设内容 粤港澳 韶关 韶关数据中心集群起步区边界为韶关高新区 承接广州、深圳实时性算力需求，引导温冷业务向西部迁移，辐射华南及全国实时性算力中心 1.建设高密度，高能效，低碳数据中心集群 2.优化东西部间互联网络和枢纽节点间直连网络 3.网络实现动态监测和数网协同，高质量满足“东数西算”业务需要 4 安全技术、措施和手段同步规划、同步建设、同步使用 成渝 成都 重庆 1.天府数据中心集群起步区为成都市双流区、郫都区、简阳市 2.重庆数据中心集群起步区为重庆市

14、两江新区水土新城、西部(重庆)科 学 城 璧 山 片区、重庆经济技术开发区 围绕两个数据中心集群，抓紧优化算力布局，平衡好城市与城市周边的算力资源部署，做好与“东数西算”衔接 长三角 上 海、苏 州、嘉善县、芜1.长三角生态绿色一体化发展示范区数据中心集群起步区围绕两个数据中心集群，抓紧优化算力布局，积极承接长三角中心城市实时性算力11 湖 为上海市青浦区、江苏省苏州市吴江区、浙江省嘉兴市嘉善县 2.芜湖数据中心集群起步区为芜湖市鸠江区、戈江区、无为市 需求，引导温冷业务向西部迁移，构建长三角地区算力资源“一体协同、辐射全域”的发展格局。京津冀 张家口 张家口数据中心集群起步区为张家口市怀来县

15、、张北县、宣化区。围绕数据中心集群，抓紧优化算力布局，积极承接北京等地实时性算力需求，引导温冷业务向西部迁移，构建辐射华北、东北乃至全国的实时性算力中心 贵州 贵阳 贵安数据中心集群起步区边界为贵安新区贵安电子信息产业园 围绕贵安数据中心集群，抓紧优化存量，提升资源利用效率，以支持长三角、粤港澳大湾区等为主，积极承接东部地区算力需求 甘肃 庆阳 庆阳数据中心集群起步区边界为庆阳西峰数据信息产业聚集区 打造以绿色、集约、安全为特色的数据中心集群，重点服务京津冀、长三角、粤港澳大湾区等区域的算力需求 12 内蒙古 呼 和 浩特 乌 兰 察布 和林格尔数据中心集群起步区边界为和林格尔新区和集宁大数据

16、产业园 为京津冀高实时性算力需求提供支援，为长三角灯区域提供非实时算力保障 宁夏 中卫 中卫国家数据中心集群起步区边界为中卫工业园西部云基地 积极承接东部算力需求，引导数据中心走高效、清洁、集约、循环的绿色发展道路 二、算力枢纽安全风险与建设现状（一）算力枢纽安全风险 算力枢纽汇聚了大规模的大数据中心集群，聚集了海量的算力、数据和算法，并在新一代算力网络架构下，通过算力资源与网络资源状态的协同调度，将不同应用的业务通过最优路径，调度到最优的计算节点，实现用户体验最优的同时，保证运营商网络资源和计算资源利用率最优化。在这种背景下，算力枢纽面临着复杂的安全风险。一方面，潜在攻击暴露面和攻击路径增加

17、，基础设施安全保障对象多样，云网边端数据应用各个环节均可能成为攻击者的破防对象。是在当前网络战成为国家地区间常规对抗手段的背景下，APT 攻击风险必须得到关注，尤其是 DDoS、数据加密销毁等针对关键信息基础设施的致瘫攻击风险更是需要高度重视；同时，数据应用场景多样化，数据所有权和算力控制权分离，数据处理过程持续流动，数据安全风险特别显著，数据非授权访问、数据窃取、数据滥用、勒索攻击等问题都将成为算力枢纽必须面对和解决的关键问题；另13 外，考虑到算力枢纽对于数字经济发展的重大意义，供应链安全风险也需要特别关注，只有把关键核心技术掌握在自己手中，才能从根本上保障国家经济安全。（二）算力枢纽安全

18、能力建设现状 基于对典型枢纽节点的实地调研以及与相关监管主管单位和各建设运营方的沟通交流，当前各节点对网络数据安全建设的必要性和重要性均有较强的认识，但在具体落地上存在一些突出困难。新数据中心规划建设以算力基础设施为主，由于算力和数据服务最终用户与业务场景无法在当前阶段充分明确，难以针对性的进行业务安全风险分析和控制措施设计落地，网络数据安全工作的三同步要求尚需进一步落实。利用已有数据中心算力和安全资源进行整合实现算力输出和安全保障提升多以点状建设为主，缺乏对云网边端和数据应用的全面覆盖，在安全管理、安全运营和枢纽节点级协同上也存在一定不足，达不到一体化大数据中心枢纽节点的应有水平；三、算力枢

19、纽安全能力建设目标和各方责任（一）算力枢纽安全能力建设目标 在关于加快构建全国一体化大数据中心协同创新体系的指导意见明确提出了加快提升大数据安全水平，强化对算力和数据资源的安全防护，形成“数盾”体系的思路，并将强化大数据安全防护作为重要建设内容。14 指导意见要求推动核心技术突破及应用，围绕服务器芯片、云操作系统、云数据库、中间件、分布式计算与存储、数据流通模型等环节，加强对关键技术产品的研发支持。鼓励 IT 设备制造商、数据中心和云服务提供商、数字化转型企业等产业力量联合攻关，加快科技创新突破和安全可靠产品应用。强化大数据安全保障，加快构建贯穿基础网络、数据中心、云平台、数据、应用等一体协同

20、安全保障体系，提高大数据安全可靠水平。基础网络、数据中心、云服务平台等严格落实网络安全法律法规和政策标准要求，开展通信网络安全防护工作，同步规划、同步建设和同步运行网络安全设施，提升应对高级威胁攻击能力。加快研究完善海量数据汇聚融合的风险识别与防护技术、数据脱敏技术、数据安全合规性评估认证、数据加密保护机制及相关技术监测手段等。各行业加强上云应用的安全防护，保障业务在线安全运行。在全国一体化大数据中心协同创新体系算力枢纽实施方案中，又进一步明确了完善海量数据汇聚融合的风险识别与防护技术、数据脱敏技术、数据安全合规性评估认证、数据加密保护机制及相关技术监测手段，同步规划、同步建设、同步使用安全技

21、术措施，保障业务稳定和数据安全。加快推进全国互联网数据中心、云平台等数据安全技术监测手段建设，提升敏感数据泄露监测、数据异常流动分析等技术保障能力以确保网络数据安全的任务。同时提出试验多方安全计算、区块链、隐私计算、数据沙箱等技术模式，构建数据可信流通环境，提高数据流通效率。探索数据资源分级分类，研究制定相关规范标准促进数据有序流通。15 （二）相关方安全责任 算力枢纽节点整体网络安全能力的实现，需要各方的通力协作，安全责任的落实与划分至关重要。与算力枢纽节点安全相关的责任主体包括监管主管部门、基础网络建设运营方、数据中心建设运营方、算力平台建设运营方、数据平台建设运营方、数据应用建设运营方和

22、算力服务数据服务用户等。其中监管主管部门应统筹协调枢纽节点和园区的网络安全工作；基础网络建设运营方负责保障节点间直连网络和园区骨干网络安全；数据中心建设运营者保障数据中心物理安全并为数据中心使用者提供基本的网络安全通用能力；算力平台建设运营者落实全面安全控制措施提供安全可靠的计算环境并为租户提供面向其租户环境的独立进行使用的安全能力赋能；数据平台建设运营方应在数据全生命周期落实数据安全防护手段开展数据安全治理，并面向其租户提供面向其租户环境的独立进行使用的安全能力赋能；数据应用建设运营方应在应用全生命周期落实安全手段保障应用安全；算力服务数据服务租户应充分利用算力平台和数据平台建设运营方提供的

23、安全能力，保障自有计算环境中网络数据安全。四、算力枢纽安全能力建设框架（一）安全能力建设总体架构 基于可信算力基础设施、可信数字应用和可控安全核心能力，构建安16 全自主创新能力。结合信息安全防护现状、防护需求、业界领先实践建设思路，贯彻执行国家网络安全等级保护制度、关键信息基础设施保护制度和网络安全审查制度，同步规划、同步设计、同步实施数据中心安全建设，搭建全国一体化算力网络国家枢纽节点“数盾”体系，从管理和技术两方面开展信息安全主动防御体系建设。安全防护管理体系是从管理机构、安全建设、安全运维 3 个角度出发构建信息安全防护管理框架；而安全防护技术体系是配合“数网”、“数纽”、“数链”和“

24、数脑”建设，从网端盾、云上盾、数据盾、应用盾 4 个层次搭建一体化信息安全防护技术支撑框架。同时，构建监管运营体系实现整体防控协同联控的一体化网络数据安全防护并提供安全公共服务。算力枢纽网络数据安全能力建设总体架构如下图所示：图 2“东数西算”工程算力枢纽网络数据安全能力建设总体架构 17 （二）安全自主创新能力建设 1.可信算力基础设施 在算力枢纽建设中，处理器芯片和服务器硬件作为算力基础设施，提供计算、存储和网络 IO 等服务，支持数据中心和企业客户的核心业务部署，处于业务系统的核心位置。安全自主创新的基础设施作为整个算力枢纽可信的基础，应提供系统中的软硬件安全能力，消除系统安全短板，保障

25、系统的内生安全。可信的基础设施对系统中的关键资产进行保护，全面覆盖系统面临的安全威胁，并向上层数字应用业务（包括操作系统、虚拟化软件、数据库、应用软件等）提供基础安全能力支撑。1)可信计算 可信计算是一种硬件可信根为基础，构建信任链，保证系统软硬件完整性的技术。可信计算的可信概念为行为可信，建立在可信测量、可信报告、可信管理为基础的可信平台概念上，从信任根开始到硬件平台，到操作系统，再到应用，一级度量认证一级，一级信任一级，把这种信任扩展到整个计算机系统。“东数西算”枢纽对可信计算的安全要求主要包括以下几个方面：基于硬件的可信根，存储在芯片内不可篡改的存储介质中，安全 性由芯片保证并签名。基于

26、硬件可信根的信任链，实现安全启动与可信启动功能，保证 系统软硬件的完整性。支持运行过程中对系统完整性进行度量并提供远程证明的机制。18 2)机密计算 机密计算是一种在受信任的硬件基础上配套固件和软件，构建加密、隔离、可证明的计算环境，保证环境内数据机密性、完整性，代码完整性以及运算过程机密性的计算模式。通常来说，机密计算依托于硬件可信执行环境实现，即在计算平台上独立的一个安全区域，可保证在安全区域内部加载的代码和数据在机密性和完整性方面得到保护。“东数西算”枢纽对于可信执行环境的安全要求主要包含以下几个方面：硬件支持资源隔离，将系统划分为安全区域和非安全区域，安全 区域具有更高的安全等级，非安

27、全区域内，即使是管理员权限也 无法访问安全区。安全区域内使用通过专用的安全操作系统内核（TEE-OS）、且能 够支持可信应用（TA）的开发。安全区与非安全区之间的采用标准化的接口，并支持安全的通信 机制。3)抗物理攻击 硬件攻击的目标侧重于计算系统中使用的物理硬件的芯片、电路板、设备端口或包括计算机系统及嵌入式系统在内的其他组件的破坏、替换、修改和利用。从而达到获取内部程序或数据的目的。基于芯片被攻击后是否被破坏，物理攻击可分为三种类型：侵入式攻击、半侵入式攻击和非侵入式攻击。19 SOC 支持满足 CC ELA+认证的 HSM 硬件高安子系统，支持硬件三防，支持安全启动。SOC 上电支持启动

28、固件的镜像解密和完整性校验。支持随机时延、插入随机伪操作、会话密钥使用周期短、噪声掩盖 等特性。针对故障注入攻击，支持逻辑&时间冗余，金属外壳&特殊封装，逻辑深埋。支持芯片屏蔽层设计，电路（芯片）采用特殊封装，增加实施物理 攻击的难度，支持信号完整性、机密性保护等。调试接口需要具备安全认证等防护机制；单板上不使用的调试接口 默认在物理层断开。4)硬件漏洞免疫 漏洞利用是黑客通过程序中的某些漏洞，来得到计算机的控制权(使自己编写的代码越过具有漏洞的程序的限制，从而获得运行权限)。漏洞是在硬件、软件、协议的具体实现或操作系统安全策略上存在的缺陷，从而使攻击者能够在未经授权的情况下访问或破坏系统。漏

29、洞利用是获得系统控制权限的重要途径。用户从目标系统中找到容易攻击的漏洞，然后利用该漏洞获取权限，从而实现对目标系统的控制。芯片支持以下漏洞防护特性：执行防护机制，为阻止入侵者透过内存漏洞执行恶意代码，支持以 下软件执行保护机制：支持 XN（Execute-never）；20 支持 WXN（Write Execute Never）；支持 XOM（eXecute Only Memory）；支持 ASLR（Address space layout randomization）。控制流完整性保护技术内存安全问题可导致入侵者劫持指针，导致 软件脱离正常控制流路径执行，如返回导向编程 ROP)和跳转导向

30、编程 JOP)攻击。支持通过指针验证和跳转鉴别两项 Arm 兼容拓 展，保障软件控制流完整性。支持 Enhanced PAC（Enhanced Pointer Authentication Code）；支持 BTI（Branch Target Identification）。支持划分了 EL0EL3 的异常等级，提升安全强度。分级访问控制 使不同异常等级对硬件资源具有不同控制权限，实现对资源进行安 全且灵活的管理。支持以下访问控制增强技术：支持 PXN（Privileged Execute Never）；支持 PAN（Privilege Access Never）/UAO（User Acces

31、s Only）；支持熔断幽灵抗性。5)安全存储 安全存储提供一个安全可信的存储环境，用于为数据提供机密性和完整性保护，确保被保护的数据能够被安全地保存在存储设备中，不被窃取、篡改或破坏。“东数西算”工程算力枢纽安全能力对安全存储的能力要求包括以下两个方面：安全存储基于硬件根派生，实现数据加封在具体的硬件上。21 安全存储依托于机密计算可信执行环境技术，硬件根只有TEE环 境才可以访问，即加密数据只能在TEE内被解密。安全存储读写 过程如下图：图 3 安全存储读写过程 6)密码加速引擎 密码加速一般通过硬件或芯片内置密码加速引擎，并辅以对应的安全加速库，通过软硬件协同的方式，最大限度提升密码运算

32、速度，并便于应用使用。TRNG 为了确保加解密的随机性，需要支持硬件随机数发生器，集成多个独立物理随机源，产生的随机数能够通过GM/T 0005-2012 随机性检测规范检测。芯片密码加速引擎 密码加速引擎是通过硬件方式或者 CPU 的专用加速指令方式实现密码运算功能，相比于传统的软件加密，在合适的场景下，可以显著提升密码运算的速度，并降低功耗。相比于传统的 PCIE 加密卡的方案，内置密22 码加速引擎，明文数据仅通过片内总线传输，安全性更高、延迟也更小。密码加速引擎应支持多种主流商用密码算法，如：SM3、SM4、AES、SHA2、MD5、RSA、HMAC，典型加密+完整性保护的算法套等，并

33、支持模幂计算及模幂相关的辅助计算。2.可信数字应用 1)基于硬件可信根的安全启动 在计算系统启动后，为保证系统整体运行环境的安全可信，需要从硬件中的物理可信根开始，建立自下而上的信任链，一层验证后一层的完整性，从而保证整个系统行为的可预期性，这个保证系统完整性的过程就是安全启动的过程。具体的安全启动过程描述如图所示。图 4 安全启动过程 典型的安全启动流程如下：基于硬件的不可被篡改的计算物理可信根，是整个计算系统安全 23 可信的基础，涉及的数字根证书通常在计算系统制造过程中导 入。物理可信根在启动后对计算固件（如 BIOS、Bootloader 等）的完整性进行校验，确保计算固件未被篡改后，

34、加载可信的固件。计算固件安全启动后，进一步对计算系统软件（如操作系统）的 完整性进行校验，确保计算系统软件未被篡改后，加载可信的系 统软件。计算系统软件可信加载后，机密计算系统的可信执行环境已经可 以正常运行，传统意义上的启动流程结束。在有些对安全性要求高的计算过程中，安全启动可扩展到每个安全应用的完整性。每次加载一个可信应用（如用户工作负载），计算系统软件需要对可信应用进行校验，确保安全应用未被篡改后，加载可信的安全应用。2)远程证明 远程证明是可信计算领域的一个重要环节，其主要功能是配合目标系统的可信启动支持，实现对目标系统的平台、系统及应用的完整性感知和检测，为数据中心管理工具及云平台系

35、统资源编排工具提供准确、及时的可信状态报告。当数据中心管理工具/管理员及云服务基础设施编排工具希望获取目24 标服务器、容器、PCIe 设备的可信状态时，需要采用远程证明实现。服务器场景：管理员提出服务器可信状态查询请求，远程证明服 务器（RAS）通过与远程证明客户端（RAC）的协同验证并返回 服务器可信状态。容器场景：管理员提出容器可信状态查询请求，RAS 通过与 RAC 的协同验证并返回容器可信状态。PCIe 设备场景：管理员提出 PCIe 设备可信状态查询请求，RAS 通过与 RAC 的协同验证并返回 PCIe 设备可信状态。在如图所示的远程证明应用架构中，两个核心的组件分别是远程证 明

36、服务器（RA Service，RAS）和远程证明客户端（RA Client,RAC）,两者的主要功能如下;远程证明服务 RAS 建立在用户的工作服务器上，为用户提供对目标平台的远程证明服务。他将为工作服务器上的 TPM 提供远程证明密钥证书，管理工作服务器可信相关的数据信息，接收可信报告，并验证目标的可信状态，最终向用户提供远程证明服务。远程证明客户端 RAC 主要解决部署阶段平台可信启动能力的检测和使能，在目标系统上获取远程证明所需的各种数据信息，生成可信报告，最后与 RAS 通信完成注册和可信报告发送。25 图 5 远程证明应用架构 3)基于机密计算的可信应用 基于机密计算的可信应用优势在

37、于它兼顾了安全性、通用性、和高效性，不仅可以无缝支持通用计算框架和应用，而且计算性能基本可匹敌明文计算。它可以单独用于保护计算状态中的数据，也可以与其他技术结合在一起来保护数据，尤其对于安全可信云计算、大规模数据保密协作、隐私保护的深度学习等涉及大数据、高性能、通用隐私计算的场景，是重要的技术手段，有效缓解数据价值共享当中面临的“不愿、不敢、不能”难题。在典型的机密计算可信应用场景中，所涉及的关键角色主要包括计算程序提供方、机密计算服务提供方、机密计算平台提供方、数据提供方、结果需求方，各方的关系与计算角色如图所示。26 图 6 机密计算关键角色关系 关键角色描述如下：计算程序提供方：负责提供

38、需在机密计算服务中运行的计算程序，计算程序应和需求方的计算需求描述相符，程序会置入机密计算平台的可信执行环境内运行 机密计算服务提供方：为用户提供机密计算服务的软件模块，服务提供方也提供服务的管理功能，如支持计算程序的录入与发布。机密计算平台提供方：要提供机密计算的可信硬件基础，包括集成在计算平台内部的硬件可信根、可信执行环境等，负责实现完整的度量存储报告机制，将信任链扩展到计算程序，。数据提供方：负责提供计算任务的计算数据，计算数据在计算过程中应保证机密性、完整性。结果需求方：一般是计算需求的发起方，负责提供具体的计算需求描述给机密计算服务，包括需要运行的程序，程序运行时需要计算的数据等。2

39、7 4)密钥全生命周期管理 密钥的安全管理对于整个系统的安全性至关重要。如果使用不恰当的密钥管理方式，强密码算法也无法保证系统的安全。参考业界已发布的密钥管理规范及业界最佳实践，构建密钥管理平台，实现密钥的生成、传输、使用、存储、更新、备份与恢复、销毁等全生命周期管理。密钥分层管理：密钥分层管理至少采用两层密钥结构；对密钥做加密的密码算法的安全强度不小于被加密密钥本身所用于密码算法的安全强度 密钥的生成：用于产生密钥的随机数发生器必须是安全随机数发生器；口令类低熵值秘密，不可直接作为密钥使用；密钥协商必须确保双方身份的真实性；安全随机数产生密钥时，所产生的密钥强度不能小于所用于密码算法的安全强

40、度。密钥的申请分发：对称密钥、共享秘密等密钥信息在网络中传输时需提供机密性、完整性保护；在虚拟机创建时，支持本地或远程进行密钥创建分发，禁止软件安装包或固件中存在密钥。密钥的存储：根密钥不出硬件，只能加速器引擎使用，任何软件都无法读取，用于数据加解密的工作密钥不可硬编码在代码中，根密钥仅可对部分密钥组件进行硬编码；采用密钥组件方式生成根密钥时，密钥组件需要分散存储，当密钥组件存储于文件中时，须对文件名做一般化处理；对于具备硬件安全模块的产品，根密钥须采用硬件安全模块进行保护，支持密钥保护，提供密钥保护功能，实现密钥在芯片中存储和使用，实现芯片级防护能力。28 密钥的使用：密钥的用途需单一化，即

41、一个密钥应只用于一种用途；对称密钥、MAC 密钥、非对称加密算法私钥仅可被分发至必须持有该密钥的实体。对于具备安全执行环境的产品，安全环境内部产生的密钥仅在安全执行环境内使用。密钥的访问：不同种类的密钥在不同生命周期状态下，具有不同的访问权限，只有特定的生命周期状态下，才能读写特定的密钥。密钥的更新：密钥须支持可更新，并明确更新周期，在一次性可编程的芯片中保存的密钥除外。密钥的销毁：不再使用的密钥应当立即销毁，二级秘钥支持吊销，双根场景，各自的二级秘钥支持独立吊销。可审核性：密钥的生成、使用、更新、销毁等操作需记录详细的日志 密钥保护场景和整体流程。5)证书管理应用 证书在可信基础设施发挥着重

42、要作用，一方面，它可以传递信任，从而实现身份证明；另一方面，被广泛应用于安全通信协议中。从而实现各项系统的完整性、机密性保护机制。证书自带有效期机制，促进密钥及时更新提升安全性的同时，也对安全管理能力提出一定挑战。证书管理应具备一定的安全性与连续性功能，保证敏感信息不被窃取的同时，业务可以持续运行。对可信基础设施证书管理包括以下几个方面：证书应具备更新/替换能力。证书导入应至少具备校验证书有效期、加密算法强度并使用根CA 29 的公钥验证CA证书中签名正确性的能力。应至少具备证书有效期检查，并在证书有效期过期前一定时间提 醒用户更换证书的能力。证书的私钥或加密口令需要加密保存，其加密密钥需要被

43、专用硬 件安全模块保护。设备中的预置证书应是唯一的，实现“一机一证”。3.可控安全核心能力 假如没有掌握对技术的自主创新，将会带来巨大的风险。而安全核心技术的自主创新，对于整个网络空间的斗争尤为关键。如果不能真正掌握，就会处于被动挨打的地步，就没有能力进行防御，或者发现问题也无法解决。在“东数西算”枢纽节点建设过程中，必须加强在网络安全领域的基础理论算法和核心通用能力的研究应用。1)文件防病毒引擎 建立国产化平台环境的病毒检测的覆盖以及脚本类病毒、“挖矿”、勒索类病毒以及二进制可执行文件类病毒检测能力，提供对云端机器学习和云增强检测等检测方式的支持，实现机器学习检测能力和病毒库精细化定制能力。

44、2)网络攻击识别引擎 基于国产化平台适配环境，基于获取报文、解码报文、监测报文和记录日志的统一处理逻辑，形成一体化的引擎基础能力，实现将网络报文30 转化为标准报文数据结构，从数据链路层、网络层、传输层到应用层的协议识别并依次完成解码，使用 HS 多模式匹配算法，将报文和特征分组做匹配，将命中的威胁记录以回调函数形式提供给产品，并提供告警相关流的上下文信息。实现通用告警归并：针对所有的告警信息采取对应策略进行归并。实现多线程加载 PTN 功能，实现对 lua 脚本（支持规则编写、告警日志场景）的支持，实现对 IDS rule 的使能热操作的支持。实现告警增强信息的拓展，并根据增强信息完成研判模

45、块相关业务场景设计。3)威胁情报评估引擎 建立威胁情报信息库，实现情报的生命周期管理并与各安全系统联动形成标准处置流程包括但不限于一下内容并并重点拓展国产化环境漏洞情报库研究：IP 信息库(核心情报)域名信息库(核心情报)pDNS 信息库(核心情报)IP Whois 信息库(核心情报)Domain whois 信息库(核心情报)ASN 信息库(核心情报)SSLCert 信息库 文件样本库(核心情报)CVE 漏洞库(核心情报)PUP&PUA 工具库 31 攻击方法库 黑客组织库 (核心情报)网络威胁敌情库：至少包括 IOC、威胁事件报告、威胁分析报告、威胁预警。构建对于 IP、域名、文件 has

46、h、URL、数字证书、漏洞、邮箱、电话号码、标签、攻击组织名称、事件名称、关键字等情报的检索，包括 WEB查询与 API 自动查询；支持组合条件检索（情报源、情报类型、威胁类型、标签、关键字、时间、情报状态等）、标签检索、模糊检索，支持对查询结果的标注和导出。4)恶意行为监测引擎 研究完善探针感知用户事件和基于事件的告警能力，拓展有效检测规则数量覆盖主流攻击场景。建立攻击模型知识库，以攻击行为的技术、战术和过程分类，实现对攻击过程按事件类型划分为不同的攻击阶段。提供标准的应急响应流程，包括应急事件处理模板和事后汇报模板并实现威胁狩猎支持能力，支持威胁溯源、追踪。与威胁情报评估引擎联动，支持规则

47、输出 IOC 情报。（三）网络和端点安全能力建设（网端盾）参考网络安全等级保护基本要求，结合保护对象的业务安全需求特点，遵循适度安全为核心，以重点保护、分类防护、保障关键业务为原则，从多个层面进行建设，构建安全技术体系，提供网络安全、终端安全的安全32 保障。关键建设内容包括：1.网络安全 网络架构：划分网络安全域 边界防护安全：配置边界访问控制策略，检测非法内联外联 访问控制：采用防火墙实现边界访问控制策略 入侵防范：边界处部署威胁检测设备实现对攻击实时检测和阻断 恶意代码防护：边界部署恶意代码防护系统对恶意代码进行过滤 安全审计：进行网络流量分析，通过堡垒机开展运维审计。2.终端安全 PC

48、 终端安全：强化身份认证机制引入双因素认证；进行基线加固并部署防护软件检测和阻断攻击并支持审计溯源；部署恶意代码防护系统查杀恶意代码；部署统一终端管理管控终端应用安装和使用行为；提供终端数据备份能力支撑；基于虚拟桌面技术为业务人员提供集中管理的工作桌面托管和交付服务。移动终端安全：提供基于商用密码解决方案提供身份认证和移动终端加密运算和密钥保护功能；提供基于虚拟移动设备技术为业务人员提供安全的移动工作空间。（四）云平台和云负载安全能力建设（云上盾）从云工作负载保护平台、云租户安全能力资源池等多个层面进行建设，构建安全技术体系，为云上资源调度、云上租户安全使用资源提供支撑保33 障。关键建设内容

49、包括：1.云工作负载保护平台 身份认证：集中管理主机账号，并提供多因素认证支持 入侵防范：提供了主机防火墙功能并检测和阻断网络攻击 恶意代码防护：检测并阻止恶意程序 安全审计：对系统行为高清记录取证以支持溯源分析，统一收集分析主机日志，研判安全风险 漏洞防护：检测发现主机操作系统漏洞，利用虚拟补丁技术预防利用漏洞的攻击，在系统补丁更新前之前提供完整的防护 应用控制：管控应用程序的网络的访问和操作行为 完整性保护：监测关键文件目录、注册表，发现和限制异常修改 微隔离：定义并控制主机、主机应用间的细粒度的访问关系 2.租户安全能力资源池 通过一体化的虚拟架构方案，将多种安全能力以虚拟化安全组件的方

50、式集成形成安全资源池，实现统一管理，并输出给国家枢纽节点内各数据中心租户，依托于云原生安全、弹性、可扩展、多租户、池化、自助等特点，为用户实现安全能力的服务化。提供的安全能力组件包括风险识别组件、安全防御组件、安全监测组件和安全响应组件，支持租户构建完整的自适应安全防护能力。（五）数据安全能力建设（数据盾）34 通过构建数据盾，全面覆盖数据生命周期的各个环节，提供数据安全管理、检测、防护、审计能力，实现数据安全管理、技术防护和安全运营的有效协同。关键建设内容包括：1.数据安全防护建设 提供数据加解密和秘钥管理、数据脱敏、数据溯源、数据防泄密、数据库审计等安全防护手段，支持数据全生命周期安全防护

51、。2.数据资产管理 具备全网数据资源发现和敏感数据资产管理能力。实现主要关系型数据库和部分大数据平台组件敏感数据资产的检测识别、分级分类和维护管理，建立敏感数据资产分布视图。支持数据资产的备案和业务过程管理。3.标准策略管理 收录并拆解各类与数据安全相关的规范标准，支持数据安全标准和策略统计与稽核，实现规范标准落实情况跟踪。4.风险事件管理 对相关位置的网络流量进行抓取或者对相关系统、设备的日志进行采集，同时结合业务数据备案内容，进行实时监视和分析，实现数据开发调度应用和对外数据交换业务场景的数据安全风险监测和预警，提供数据安全事件管理和日志快速查询检索能力。5.能力联动管理 基于风险事件管理

52、的输出创建控制编排，形成各类安全控制策略进行处置。基于管理策略的分析结果或安全告警结果，联动各类安全设备，配35 置相应的响应策略，实现自动化防护。（六）应用安全能力建设（应用盾）应用盾建设主要包括如下平台：应用安全检测、应用安全监测、应用安全防护、应用身份权限管控、应用日志审计等平台。关键建设内容包括：1.应用安全检测 通过静态、动态或者交互式的应用安全检测，从根源发现应用所存在的漏洞，发现问题后为客户提供漏洞的详细报告和解决方案，为管理员对漏洞修复提供依据，并组织技术力量对漏洞进行修补，预防威胁。2.应用安全监测 提供 web 应用的 7*24 实施监测服务，包括网站脆弱性检测、网站可用性

53、监测、网站挂马监测、网站链接监测、网站篡改监测、网站敏感内容监测与网络主机监测七项内容。3.应用安全防护 为应用服务提供安全保障，提供 web 攻击防护、网页防篡改、DDoS 防护等多功能于一身的应用安全防护。4.统一身份管理 构建统一身份管理体系，对于应用身份帐号进行梳理，整合用户信息，实现统一帐户管理，并支持对用户身份的全生命周期的管理。5.统一认证管理 构建多种认证方式的统一认证服务枢纽，为各应用输出统一的认证能36 力，实现应用之间的单点登录和互认互通。6.统一授权管理 授予用户全局角色，基于角色进行集中授权管理，防止用户拥有不必要的资源访问权限。在鉴权方面，平台提供集中鉴权与非集中鉴

54、权两种模式，方便灵活的为应用系统提供服务。7.统一审计管理 收集归并各应用的安全日志和告警信息，并通过智能分析，实现从不同场景对来自业务系统中各个角落的安全日志进行实时分析、统计、趋势分析，迅速识别安全事故，从而及时做出响应。（七）安全管理体系建设 安全管理体系是通过使用风险管理过程来保护信息的保密性，完整性和可用性，是提升整个组织的信息安全管理能力。采用信息安全管理的计划、实施、检查和改进（PDCA），建立信息安全管理体系的持续改进要求，针对信息安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理与、操作安全、通信安全、数据保护等方面提出了信息安全管理的控制目标和控制要求。

55、1.安全管理机构 建立信息安全管理机构，在信息安全管理机构的领导下，制定信息安全策略，建立信息安全管理制度，并通过可操作的保障机制来保证这些策略和制度的落实。明确相关信息的安全责任，在工作中落实、监督和考核。37 使员工了解到信息安全不仅仅是网络安全，还包括业务信息安全、人员安全、组织安全等方面的内容，增强员工的安全意识，在日常业务中按照相关规范执行信息安全要求。提倡在行为规范上严格要求，使员工养成良好的习惯，避免发生大的事故。在管理上，通过进一步明确信息安全主体责任，完善各类信息安全制度并严格执行，从源头上有效遏制和防范事故发生。2.安全建设管理体系 建立安全建设管理体系，明确安全建设过程中

56、的具体处理过程及措施，建立安全建设的参考标准及内容，并指定安全建设范围。安全建设体系，包括：等保定级备案过程、安全方案设计过程、产品采购和使用过程、自行软件开发过程、外包软件开发过程、工程实施、测试验收、系统交付、等级测评、服务供应商选择等建设过程的安全控制管理。3.安全运维管理体系 建立安全运维管理体系，制定符合信息系统的安全防护策略，有效抵御已知的安全威胁；构建组织网络安全管理制度体系框架中有关安全运维管理的制度规定，包括但不限于：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络与系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应

57、急预案管理及外包运维管理等内容，确保系统安全稳定的运行。（八）安全监管体系建设 38 开展集预测、检测、分析、响应、协同于一体的枢纽级网络安全监测协同平台建设，借助平台实现情报、技术、流程、人员有机结合，开展常态化安全监管工作，实现对安全风险的可视化感知、智能化研判响应，落实整体防控、联防联控，支持枢纽节点各建设运营主体持续提升和持续改进安全能力，有力保障整体业务安全。（九）安全运营体系建设 构建多层次覆盖多场景适用的枢纽节点网络安全公共服务能力。构建云安全资源池为枢纽节点集群各数据中心和算力平台提供服务，通过高效易用的能力编排有效解决安全诉求。基于统一的 SaaS 安全运营平台和轻量化租户侧

58、探针，深度联动安全通告、风险评估、上线前检查、安全咨询、攻防演练、重要时期保障、应急响应与处置等多种运营业务，提供持续、闭环的 7*24 云端运营服务，并可跨枢纽节点提供服务输出。聚合安全服务数据，提升安全服务价值，优化安全服务效率，提升安全服务保障能力。基于“平台+组件+服务+组织”，构建“建、管、运”三维一体安全托管运营模式，沉淀网络安全运营知识库，为各枢纽节点数据中心和算力平台建设运营主体提供“资产一本账、合规一条线、态势一张图、响应一站通”的可视化网络安全运营服务。五、携手助力枢纽节点安全能力构建（一）信息化百人会介绍 39 信息化百人会（ChinaInfo100）成立于 2013 年

59、，是专注于推动当代中国数字化、网络化、智能化发展，促进沟通与合作，以北京信百会信息经济研究院为依托的平台。致力于挺立信息时代潮头，洞察经济社会转型趋势与变革方向，面向新技术、新产业、新模式的创新与赋能。搭建领军企业、高端智库和政府部门间思想交流平台、政策对话机制，聚焦重大议题，推动产业生态合作，促进全球合作与互利共赢，让技术激发潜能，让创新普惠大众，推动信息时代和智能化社会的繁荣与稳定。（二）华为鲲鹏计算产业介绍 鲲鹏计算产业是基于鲲鹏处理器的基础软硬件设施、行业应用及服务，涵盖从底层硬件、基础软件到上层行业应用的全产业链条。鲲鹏计算从2019 年正式起航，在全球鲲鹏计算产业伙伴的共同努力下，

60、已经构筑了完整的基础软硬件生态和人才发展体系，并在政府、金融、电信、电力、交通等各个行业实现了大规模的商用落地，为各行业的数字化变革和应用创新提供了强大稳定的算力支持。作为鲲鹏计算产业的发起者和重要成员，华为秉持“硬件开放、软件开源、使能伙伴，发展人才”的策略，通过战略性、长周期的研发投入，吸纳全球计算产业的优秀人才和先进技术，和产业伙伴一起，持续推进全栈计算技术的创新发展，构筑面向多样性计算的全球开源体系与产业标准，推动鲲鹏生态全面发展。40 图 7 华为鲲鹏计算产业总览 1.硬件开放 鲲鹏处理器具有多核高能效、大内存带宽、高集成度等技术特征。鲲鹏处理器基于多核数设计（最高提供 64 核），

61、处理器综合性能、并发能力、能效比等关键指标业界领先。同时，通过优化分支预测算法、改进内存子系统架构、整合更多通道的内存控制器，鲲鹏处理器实现超大内存带宽，大幅提升应用处理效率。鲲鹏主板全面共享华为在服务器领域积累的整机设计和工程能力，降低伙伴整机设计和开发难度。鲲鹏主板不仅搭载了鲲鹏处理器，内置了 BMC 芯片和 BIOS 软件，还开放相应的主板接口规范和设备管理规范给合作伙伴，提供内存、硬盘、网卡等部件以及支持的操作系统和版本的兼容性列表，解决软硬件的基础生态配套问题。鲲鹏主板具备高性能、高可靠、高能效的优势，可实现整机算力的充分释放，41 打造算力领先的整机产品。2019 年华为面向伙伴开

62、放基于鲲鹏处理器的主板、网卡、硬盘等标准部件，帮助整机合作伙伴快速推出自有品牌的服务器产品。2020 年华为全联接大会上，华为发布了主板开放 2.0，通过基础板+扩展板的开放模式，基础板沉淀共性，减少伙伴重复开发；扩展板实现创新，使能伙伴差异化竞争力；同时结合 BIOS/BMC 软件开放，支持伙伴自行开发差异化部件，打造创新整机产品。此外，在鲲鹏主板开放的同时，也从研发、制造、采购&供应、服务、商业模式、解决方案、市场、人力资源、财务、文化十大方面，全方面对伙伴进行赋能，帮助伙伴快速成长，使能合作伙伴打造更有竞争力的鲲鹏计算产品。2.基础软件 基础软件方面，华为通过开源的方式把自身多年来构建的

63、操作系统能力和数据库能力开放出来，并创建了 openEuler 开源社区（中文：欧拉开源社区）和 openGauss 开源社区，以社区运作的方式，同产业伙伴和广大开发者共同构建基础软件生态。1)openEuler 操作系统 作为计算产业“软件开源”的战略落地，2019 年华为把十多年在服务器操作系统上积累的能力开放出来，基于共建、共享、共治原则，通过欧拉开源社区（openEuler Community），推动操作系统的核心技术发展、42 促进开源社区能力提升，构筑自立自强、开放合作的操作系统生态，为操作系统产业培养人才。2021 年 9 月华为全联接大会上，华为将自身在 ICT 领域各场景、不

64、同设备商上操作系统能力全面开放出来，对欧拉全面升级：从服务器场景，扩展到云、到边缘计算，到 CT 和 IOT 的嵌入式场景，成为统一的面向数字基础设施的开源操作系统。欧拉创造性的提出全栈原子化解耦，支持版本灵活构建、服务自由组合，这样通过一套架构，来灵活支持南向多样性设备，北向全场景应用。华为通过贡献社区发行版、使能伙伴自有品牌的商业发行版等多种形式，促进操作系统产业健康、高速发展。操作系统产业伙伴，结合各自的优势，基于 openEuler 的社区版，开发自己的商业发行版操作系统，面向最终用户提供有竞争力的产品。比如麒麟软件有限公司的银河麒麟高级服务器操作系统 V10。2)openGauss

65、数据库 企业级开源数据库 openGauss，在通用计算平台上实现 TP（交易型事务处理）在业界的性能绝对领先。同时依托 openGauss 开源社区与产业链上下游建立合作创新伙伴关系，华为作为 openGauss 重要参与者，聚焦在数据库內核创新和根技术研发，把最新、最先进的技术开放给产业界，伙伴基于社区版本，结合自身的优势结合，打造更为成熟的商业化版本，加速 openGauss 应用的广度和深度，从而繁荣整个数据库生态。43 3)Kunpeng BoostKit 应用使能套件 鲲鹏应用使能套件 BoostKit，从硬件、基础软件，到场景化应用开展全栈优化，主要面向伙伴和客户的开发者，提供高

66、性能开源组件、基础加速软件包、应用加速软件包，使能应用极致性能。图 8 华为鲲鹏应用使能套件 1)高性能开源组件：伙伴从开源社区、鲲鹏社区获取，直接编译/部署，目前90%主流开源软件已支持鲲鹏，实现开源软件在鲲鹏上开箱即用。2)基础加速软件包：面向伙伴开源、开放丰富的基础性能优化方法、加速库、加速算法，释放鲲鹏算力。3)应用加速软件包：联合伙伴开展解决方案创新，提供业界领先的加速组件、算法，实现应用性能倍增。2020 年发布 BoostKit 1.0，面向大数据、分布式存储、数据库、虚拟化、ARM 原生、Web/CDN、NFV 和 HPC 等场景提供性能调优加速44 组件。2021 年发布 B

67、oostKit 2.0“数据亲和”加速组件，基于数据全处理流程进行负载优化，实现应用性能的倍级提升。2022 年 4 月发布鲲鹏 BoostKit 五大加速组件，携手伙伴，帮助用户构建业界领先的解决方案，使能鲲鹏在行业核心场景“好用”。五大加速组件之一机密计算 TrustZone 套件：基于 ARM TrustZone 技术提供全栈 TEE（Trusted Execution Environment，可信执行环境）解决方案，包括华为自研 TEE 安全操作系统、鲲鹏服务器 BMC和 BIOS、应用开发 TEE SDK 等，为客户的关键数据提供完整性、机密性保护和可信使用。（三）亚信安全企业介绍

68、亚信安全科技股份有限公司（简称亚信安全，股票代码 688225）是中国网络安全软件领域的领跑者，是业内“懂网、懂云”的网络安全公司。承继亚信 20 多年互联网建设经验，肩负守护互联网之使命，亚信安全于2015 年正式启航，目前已成为建设中国网络安全的重要力量。不负使命，成功执行建党 100 周年、历年两会等国家重要网络安全保障任务 30 余次。依托互联网建设能力，让亚信安全具备强大的“懂网”业务能力与资源优势；深耕网络安全高精技术，让亚信安全拥有优异的“懂云”技术基因。亚信安全在云安全、身份安全、终端安全、安全管理、高级威胁治理及 5G 安全等领域突破核心技术，用实力筑牢云、网、边、端之安全防

69、线。45 亚信安全在中国网络安全电信行业细分市场份额占比第一，连续五年蝉联身份安全中国市场份额第一，终端安全中国市场份额占比第二，在威胁情报、EDR,XDR 等细分技术领域均居于领导者象限，是中国网络安全企业 10 强。秉承建网基因，坚守护网之责，亚信安全以护航产业互联为使命，以安全数字世界为愿景。2020 年提出“安全定义边界”的发展理念，以身份安全为基础，以云网安全和端点安全为重心，以安全中台为枢纽，以威胁情报为支撑，构建“云化、联动、智能”的技术战略，守护亿万家庭和关键信息网络，建设全网安全免疫系统，为我国从网络大国向网络强国迈进保驾护航。（四）亚信安全基于鲲鹏全栈安全整体解决方案 基于

70、双方的优势能力整合，亚信安全与华为鲲鹏开展深度合作，推出全面覆盖算力枢纽节点安全能力建设需求的数盾全栈安全解决方案。同时，双方基于安全可信的算力基础设施，开展自主创新环境安全应用原生开发和深度定制，实现了原生可信的安全应用部署和软硬联动的精准安全管控，助力“东数西算”工程枢纽节点打造真正自主创新的高可信安全能力。1.全面覆盖的安全防护组件 46 图 9 亚信安全基于鲲鹏全栈安全整体解决方案 1)网端盾解决方案 网端盾解决方案由边界安全、高级威胁治理和端点安全三个子方案整合构成。边界安全包括防毒墙系统、防火墙系统、抗 D 系统、网络威胁入侵防护系统；高级威胁治理包括高级威胁监测系统、高级威胁分析

71、系统和高级威胁邮件防护系统；端点安全包括终端准入系统、零信任访问控制系统、病毒防护系统、终端威胁检测及响应系统、终端安全管理系统、虚拟补丁系统、虚拟（移动）终端和 SIM 盾运营系统。2)云上盾解决方案 云上盾解决方案由云上负载保护和云安全资源池两个子方案整合构成。云上覆盖保护包括云主机安全防护系统和共享免疫 SaaS 系统；云安全资源池包括云安全管理平台和云安全资源组件。3)数据盾解决方案 数据盾解决方案由数据安全防护和数据安全综合治理两个子方案整合构成，数据安全防护包括数据加密系统、数据脱敏系统、多方安全计算47 系统和密钥管理系统；数据安全综合治理包括数据安全管控平台和数据服务管理运营中

72、心。4)应用盾解决方案 应用盾解决方案由应用安全监测检测、应用安全防护和应用身份管理三个子方案整合构成。应用安全监测检测包括网站监测系统、代码静态安全缺陷分析、应用动态安全测试和应用交互式安全测试系统；应用安全防护包括 WEB 应用防火墙、应用运行时安全防护系统和网页防篡改系统；应用身份管理包括统一身份认证与访问管理系统和堡垒机。5)监管运营解决方案 监管运营解决方案由威胁情报、监管运营和安全服务三个子方案整合合成。威胁情报中心包括情报分析系统，情报运营系统和情报边缘节点。监管运营中心包括安全大数据平台、安全态势分析系统、安全应急协调系统和安全综合监管系统；安全服务包括安全咨询、演练重保、安全

73、资源池、SaaS 运营、安全托管等。2.原生可信的安全应用部署 1)鲲鹏机密计算 TrustZone 套件概述 鲲鹏机密计算基于鲲鹏处理器内置 TrustZone 技术，与芯片深度适配，针对数据中心服务器场景扩充必要功能形成的机密计算使能套件。其核心组件“安全 OS”使用了华为自研的 iTrustee，基于华为自研的微内核安全 OS，已在手机侧商用近 10 年，支持过亿级用户，并获得 CC EAL4+48 认证具备充分的安全性。相对于保护使用中数据安全其它技术而言，部署在 TEE 内计算可免去复杂的算法协议，可大大提升机密数据的处理效率。尤其适合需要处理大量机密数据的业务场景。鲲鹏 Trust

74、Zone 技术通过分时复用技术，区分 CPU 的运行状态，在同一套硬件系统上划分了 Normal World 和 Secure World 两个独立的环境：图 10 鲲鹏机密计算 TrustZone 技术分时复用 这两个环境各自拥有自己的资源，包括内存和 Cache，根据 CPU 的设计不同，硬件设备也可被设计为可信执行环境（TEE）专用或在需要时可动态切换。只有 CPU 处于 TEE 安全态时，才可以访问安全侧的资源和硬件。在此被严格隔离的资源之上，可信执行环境（TEE）和普通执行环境（REE）侧分别拥有自己的操作系统，用来执行用户的可信应用。鲲鹏机密计算 TrustZone 套件是一个由硬

75、件（包括 BIOS、BMC）、机密计算运行环境，以及配套的 patch、应用开发指导和应用打包工具等组成的技术方案。通过此套件，华为提供了一个安全的，方便开发者部署49 自有应用的平台。行业合作伙伴开发者可以基于鲲鹏机密计算 TrustZone套件所涉及的软硬件实体，快速部署和使用自己的开发环境。图 11 鲲鹏机密计算 TrustZone 套件部署 2）亚信安全“信舱”云主机深度安全防护系统产品在鲲鹏体系环境中的 可信应用部署 为保证TEE环境的可信，避免被恶意应用污染，TA在运行前必须得到身份和完整性的确认。鲲鹏机密计算采用的是通过签发开发者证书，并实现对TA的完整性校验进行管控。基于双方的

76、深度合作，亚信通过TA Dev Cert申请获得华为鲲鹏签发的证书进行可信应用签名。亚信根据业务重要性，将“信舱”云主机深度安全防护系统区分为在 REE 上运行的基本功能和在 TEE 运行的机密计算功能。前者主要进行50 杀毒事件、防火墙/入侵检测事件、日志审计事件、文件完整性事件等基本业务功能处理。后者负责安全数据存储，将配置、证书、上报事件等放入 TEE 环境中，防止黑客入侵后破环或篡改防护客户端程序中关键数据及防护策略，使得防护系统失效。图 12 亚信“信舱”云主机深度安全防护系统可信应用部署 在 TEE 和 REE 环境分别部署的云主机深度安全防护系统功能模块使用 TA Feature

77、 插件进行通信实现整体协同。51 图 13 亚信“信舱”云主机深度安全防护系统可信应用部署下通信协同 3.软硬联动的精准安全管控 1)“挖矿”和“勒索攻击”治理的必要性 关于“挖矿”治理的必要性 虚拟货币“挖矿”活动指通过专用“矿机”计算生产虚拟货币的过程，能源消耗和碳排放量大，对国民经济贡献度低，对产业发展、科技进步等带动作用有限，加之虚拟货币生产、交易环节衍生的风险越发突出，其盲目无序发展对推动经济社会高质量发展和节能减排带来不利影响。2021 年 9 月，国家发展改革委发布国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知发改运行20211283 号，要求全面整治虚拟货币挖矿活动。由

78、于虚拟货币的价格暴涨，受利益驱使，黑客也瞄准了虚拟货币市场，其利用“挖矿”程序来获取经济利益，使得“挖矿”病毒成为不法52 分子利用最为频繁的攻击方式之一。“挖矿”病毒为获得利益最大化，不仅老病毒变种频繁，新病毒也层出不穷，如：利用多种漏洞攻击方法入侵企业云计算主机，或与僵尸网络合作广泛传播，或还有伪造 CPU 使用率，利用 Linux 内核 Rootkit 进行隐秘“挖矿”，“无文件”、“隐写术 等高级逃逸技术盛行，安全对抗持续升级。“挖矿”病毒已经获得全面进化，很难通过单一安全产品实现有效的防护，需要进行有针对性的多重检测防护。关于“勒索攻击”治理的必要性 今天的勒索攻击最大的特征已然不是

79、一个黑客，一个小组织就能够完成的，非常多的勒索黑客们已经发展成一个庞大的团伙，利用各种APT（Advanced Persistent Threat：高级持续威胁）攻击技术，造成了巨大的损失，为了应对这样的威胁，需要我们深入洞察这些技术、过程和团伙背后的原理，才能真正产生检测、阻断等效果。目前从我们统计的数据来看，最近勒索团伙发展到数十数百人的规模都非常平常了，每个团伙成员分工明确，包括各种初始入侵，侦测&横移，数据外泄，部署，敲诈勒索等。53 图 14 现代勒索攻击转变升级 如上图所示，现代勒索攻击的转变升级主要体现在作战模式、攻击目标和勒索方式上。勒索软件即服务 RaaS（Ransomwar

80、e-as-a-Service）的兴起使得勒索的作战模式从传统的小型团伙单兵作战，转变为模块化、产业化、专业化的大型团伙作战，其造成的勒索攻击覆盖面更广，危害程度显著增加；对于勒索攻击的目标，也从过往的广撒网蠕虫式攻击升级成为针对政府、关键基础设施、各类企业的定向攻击；另外，从勒索方式来看，现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式演化为同时开展双层勒索，甚至三重勒索。勒索病毒经过升级到勒索 2.0，再之后又与 APT 攻击有效结合，导致勒索病毒表现出更强的攻击性、更好的隐蔽性、更高的达成率，更大的危害性，对针对性的目标造成降维打击。因此，现代勒索攻击可以认为就是基于经济目的 APT 攻

81、击，安全厂商对它的防御措施也应该升级为54 对待 APT 组织一样，从各个维度去持续追踪监控活跃勒索团伙的最新动态，实时洞察勒索犯罪集团所使用的攻击技术、攻击战术、目标行业等威胁情报。因此，亚信安全与华为鲲鹏合作共同推出了软硬联动的精准安全管控方案。通过 CPU 芯片、操作系统、安全防护软件的联动，结合威胁情报、运维平台、专家服务等形成一体化防治综合解决方案，建立纵深防护，层层遏制“挖矿”病毒传播和“勒索攻击”。图 15 软硬一体挖矿勒索治理方案总览 2)软硬一体化“挖矿”和“勒索攻击”治理的实现 “挖矿”和“勒索病毒”程序无论如何伪装，本质都需要 CPU 提供算力进行大量哈希函数计算或加密计

82、算，抓住这个根本特征，可以通过华为鲲鹏 CPU 芯片层面对进程的行为特征进行提取。同时，openEuler操作系统还支持基于芯片层面加解密算法的 PMU 事件统计和密码学相关的算法检测分析。openEuler 操作系统通过接口将可疑行为特征提供给亚信安全云主机深度安全防护软件中的引擎对相关进程进行进一步综55 合识别判断，从而精准识别并清除“挖矿”程序和已“勒索病毒”为代表的相关恶意病毒、木马、可疑文件等，即使可疑文件可能是新出现的、未知的恶意软件（称为零日攻击）也可有效发现。此种方法也能有效防护无文件“挖矿”或“勒索病毒”攻击，包括利用本地程序漏洞运行在内存中的的无文件攻击行为。图 16 软

83、硬一体挖矿勒索联动逻辑 与此同时，亚信安全云主机深度防护系统提供了检测与响应系统（EDR），通过对操作系统行为高清记录和长期存储，对操作系统、应用软件和账号资产进行动态发现，根据威胁行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分析及检测，通过绘制进程事件树实现攻击可视化，对受害主机进行远程遏制和提供修复建议。56 图 17 EDR溯源分析过程 “挖矿”程序最终需要通过网络与“矿池”通信进行交易，“勒索攻击”也要将隐私数据窃取后到暗网进行交易。拥有深度包检测的高性能流扫描引擎的网络高级威胁治理解决方案组件能够识别和分析多种挖矿币种协议，例如stratum协议，Cry

84、ptonight等从而发现可疑“挖矿”行为；也可以分析识别敏感数据外泄，从而在“勒索攻击”初期尽早发现并阻止数据窃取行为。亚信安全高级威胁网络防护系统基于网络流量解析和文件还原检测，可覆盖杀伤链的侦察、武器化、横向渗透、投递、远程控制、采取“挖矿”行动数据加密等攻击阶段，能够有效甄别安全事件中的无文件、隐蔽通信等躲避检测手段以及弱口令、漏洞利用等自动攻击手段，最终对比特币、以太坊、门罗币等十几个主流币种的“挖矿”行为进行精准发现和拦截。57 同时，当一台主机被“挖矿”“勒索”病毒控制时，企业可以利用威胁感知运维平台结合基于百亿级数据储备的威胁情报赋能，联动亚信安全云、网、端产品，将受感染的主机

85、进行网络隔离并进行有效处置，防止发生更多感染。对于已发生的“挖矿”“勒索”病毒事件，亚信安全提供威胁狩猎服务，由威胁分析专家根据客户环境中的威胁线索主动进行关联分析，通过对操作系统中的文件、进程、注册表和网络连接的海量信息整合重现攻击过程，找到攻击发生的根因、还原复杂的攻击技术、并在确认威胁影响范围和影响程度的基础上，提供处置建议有针对性地进行响应和处置。图 18 威胁狩猎服务过程 58 结语 集群化的大数据中心是聚集算力、数据、算法的新型基础设施，承载着巨量的数字经济时代核心生产资料和生产力，是促进行业数字化升级和产业数字化转型，推进现代化经济体系高质量发展的核心生产车间。网络战时代的大环境

86、背景更要求我们必须站在维护国家安全与经济社会发展的高度，树立极限思维提档升级安全工作，重视全国一体化大数据中心的网络数据安全能力建设。在信息化百人会组织协调下，亚信安全联合华为与各方共同探讨，参考发改委“东数西算”安全防护能力建设相关指导意见，并结合最佳实践和枢纽节点实际情况，设计输出了算力枢纽安全能力建设框架并从安全自主创新核心能力、覆盖云网边端和数据应用的安全管理和技术能力和安全监管运营体系等维度细化了“东数西算”网络数据安全建设的核心内容，力争给枢纽节点各建设运营单位和监管单位提供清晰的指导。“东数西算”枢纽节点网络数据安全能力的提升，需要监管机构的统筹协调整体赋能，更需要各建设运营方和

87、算力服务、数据服务用户各司其责通力协作。我们也坚信“网络安全为大家，网络安全靠大家”，大家的共同努力必能共筑枢纽节点安全长城，也希望本白皮书可以为此添柴加火。我们大家携手构筑“东数西算”枢纽节点安全保障，建设安全数智未来。59 关于作者 刘政平 亚信安全副总裁 廖双晓 亚信安全战略咨询专家 刘宇超 亚信安全云安全产品总监 杨 琴 华为计算产品线中国区产品管理部部长 胡科开 华为计算产品线机密计算安全解决方案高级专家 卢贤均 华为 2012 实验室鲲鹏解决方案高级工程师 专家顾问 朱 炎 信息化百人会执委 黄澄清 中国互联网协会副理事长 中国网络空间安全协会副理事长 李京春 中央网信办云评估专家组副组长 信安标委安全评估组组长 李新友 国家信息中心首席工程师 安宜贵 北京信百会信息经济研究院研究部主任 刘东红 亚信安全董事 高级副总裁 张 瑞 华为计算产品线安全首席专家