东数西算工程算力枢纽安全能力建设白皮书

1 目录 前言4 一、“东数西算”工程介绍5 （一）“东数西算”工程背景5 （二）“东数西算”工程意义6 （三）国家枢纽节点建设情况介绍8 二、算力枢纽安全风险与建设现状12 （一）算力枢纽安全风险12 （二）算力枢纽安全能力建设现状13 三、算力枢纽安全能力建设目标和各方责任13 （一）算力枢纽安全能力建设目标13 （二）相关方安全责任15 四、算力枢纽安全能力建设框架15 （一）安全能力建设总体架构15 （二）安全自主创新能力建设17 1.可信算力基础设施17 2.可信数字应用22 3.可控安全核心能力29 （三）网络和端点安全能力建设（网端盾）31 （四）云平台和云负载安全能力建设（云上盾）32 （五）数据安全能力建设（数据盾）33 （六）应用安全能力建设（应用盾）35 （七）安全管理体系建设36 （八）安全监管体系建设37 （九）安全运营体系建设38 五、携手助力枢纽节点安全能力构建38 （一）信息化百人会介绍38 （二）华为鲲鹏计算产业介绍39 1.硬件开放40 2.基础软件41 （三）亚信安全企业介绍44 （四）亚信安全基于鲲鹏全栈安全整体解决方案45 1.全面覆盖的安全防护组件45 2.原生可信的安全应用部署47 3.软硬联动的精准安全管控51 结语58 关于作者59 专家顾问59 前言 今年2月，国家发展改革委、中央网信办、工业和信息化部、国家能源局联合印发通知，同意在京津冀、长三角、粤港澳大湾区、成渝、内蒙古、贵州、甘肃、宁夏等8地启动建设国家算力枢纽节点，并规划了10个国家数据中心集群。我国一体化大数据中心体系完成总体布局设计，“东数西算”工程正式全面启动。 网络数据安全能力是“东数西算”工程的重要基础保障，“东数西算”工程在设计之初即提出要建立“数盾”安全体系，打造统一标准统一能力的安全底座，为“东数西算”的基础设施和业务应用提供高水平一致性的网络数据安全能力支撑。 信息化百人会作为专注于推动当代中国数字化、网络化、智能化发展，促进沟通与合作的平台，围绕“东数西算”工程的网络数据安全保障专题，牵头组织网络安全行业专家学者充分研讨，并在此基础上亚信安全和华为专家顾问执笔编写了《东数西算工程算力枢纽安全能力建设白皮书》并联合发布。三者强强联合打造《白皮书》，代表了国内在“东数西算”安全能力建设上最具有前瞻性的思考。 一、“东数西算”工程介绍 （一）“东数西算”工程背景 “东数西算”工程通过构建数据中心、云计算、大数据一体化的新型算力网络体系，将东部算力需求有序引导到西部，优化数据中心建设布局，促进东西部协同联动，让西部的算力资源更充分地支撑东部数据的运算，更好为数字化发展赋能。 “东数西算”这个概念最早是在2016年十八届中央政治局第三十六次集体学习中提出，要建设全国一体化的国家大数据中心，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。2020年12月，《关于加快构建全国一体化大数据中心协同创新体系的指导意见》正式印发（发改高技〔2020〕1922号http://www.gov.cn/zhengce/zhengceku/2020-12/28/content_5574288.htm），明确全国一体化大数据中心要形成“数网”“数纽”“数链”“数脑”“数盾”等体系。网络中要建设枢纽，节点之间要建数据传输的“高速路”，而且要在全国范围内开展算力的资源调度。在“十四五”规划纲要中，“加快构建全国一体化大数据中心体系，强化算力统筹智能调度，建设若干国家枢纽节点和大数据中心集群”再次得到强调。2021年5月24日，国家发展和改革委员会等部门印发《全国一体化大数据中心协同创新体系算力枢纽实施方案》（发改高技〔2021〕709号）http://www.gov.cn/zhengce/zhengceku/2021-05/26/content_5612405.htm，要求在京津冀、长三角、粤港澳大湾区、 成渝、贵州、内蒙古、甘肃、宁夏等地布局建设全国一体化算力网络国家枢纽节点。2021年12月8日，国家发改委等部门联合印发《贯彻落实碳达峰碳中和目标要求推动数据中心和5G等新型基础设施绿色高质量发展实施方案》（发改高技〔2021〕1742号https://www.ndrc.gov.cn/xxgk/zcfb/tz/202112/t20211208_1307104.html?code=&state=123），指出到2025年，数据中心和5G基本形成绿色集约一体化运行格局。 （二）“东数西算”工程意义 “东数西算”提升至战略层面，再次彰显我国对数字化建设的高度重视。数字经济大势所趋，政策、技术将推进数字经济蓬勃发展，新基建是我国数字经济的基础和风向标，新基建为我国数字经济发展赋能。算力作为数字经济时代的新生产力，广泛服务于我国数字社会转型中的方方面面，加速提升我国数字经济在国民经济中的占比。据《2020全球计算力指数评估报告》显示，计算力指数平均每提高1个百分点，数字经济和GDP将分别增长3.3‰和1.8‰。其中，当一个国家的计算力指数达到40分以上时，指数每提升1点，对于GDP增长的拉动将提高到1.5倍；当计算力指数达到60分以上时，对GDP的拉动将进一步提升至2.9倍。可见，算力正成为我国在新发展格局下衡量经济状况的“晴雨表”。 “东数西算”工程是解决数据中心供需结构性失调、进一步推动数据中心合理化布局的有效手段，是优化区域经济布局、促进各区域尽享数字 红利的有效途径，是落实“双碳”战略的重要抓手。 一直以来，受市场牵引，数据中心厂商倾向于在经济发展水平较高、数据流量大的地区进行投资布局。我国数据中心出现“供不应求”与“供大于求”并存的情况。在此背景下，“东数西算”工程可有效解决数据中心供需关系结构性失调的矛盾，将京津冀、长三角、粤港澳大湾区等地区快速增长的算力需求转移到贵州、内蒙古等地，不仅能够对一线城市的经济发展、数字化转型等需求进行及时响应，也可以充分发挥中西部地区在土地、人力、能源、气候等方面的突出优势，推动数据中心合理化布局。 中国一直希望东部带动西部经济发展，但是靠传统的方式比较难，而数字经济是拉动经济增长的一个核心点，“东数西算”能有效带动西部数字经济发展，促进东西部数据流通，有助于推进西部大开发和区域平衡与协调发展，使各区域尽享数字红利。而且数据中心具有产业链条长、投资规模大，带动效应强的特点。数字经济发展相对滞后的西部地区通过算力枢纽和数据中心集群的建设，将带动相关产业上下游投资，促进本地经济加速发展。 数据中心是典型的高耗能行业，我国数据中心一年的用电量相当于上海全市一年用电量，超过三峡电站和葛洲坝一年的发电量，并且还在以超过10%的年均增速快速发展。现在东部碳排放远远大于西部（即使同一个省份，一般也是如此），已经快趋近于饱和或超标，能耗指标紧张，而西部地区火电、水电、风电等能源相对丰富，因此，西部地区承接数据中心，就近消纳西部能源和水资源，提升绿色能源使用比例，促进节能减排。 实施“东数西算”工程，加快数据中心在西部地区布局，将大幅提高绿色可再生能源使用率，对我国实现碳达峰碳中和目标具有重要作用。 （三）国家枢纽节点建设情况介绍 国家发改委批复的全国八大算力枢纽节点，8个节点各有侧重，又互为补充，以此支撑推动算力资源有序向西转移，加快解决东西部算力供需失衡问题。同时，围绕8个国家枢纽节点，共布局了10个国家数据中心集群。八大枢纽节点根据当地资源、需求和承担责任等不同，可分为“四数四算”。 图1“东数西算”工程八大枢纽节点 “四数”枢纽节点属于需求导向型，包括粤港澳枢纽、成渝枢纽、长三 角枢纽和京津冀枢纽，主要位于我国较发达地区，与重要城市群重合。这些地区经济发展水平较高、人口密度高、数据流量大、产业数字化转型需求旺盛，对数据中心相关业务需求较大。这些地区需要重点统筹好城市内部和周边区域的数据中心布局，实现大规模算力部署与土地、用能、水、电等资源的协调可持续，优化数据中心供给结构，扩展算力增长空间，满足重大区域发展战略实施需要。在这些地区建立枢纽主要用于及时响应当地工业、金融、医疗、视频、AI等对时延要求较高的业务需求，保证当地及辐射范围内重大项目和工作正常运转。 “四算”枢纽节点属于资源导向型，包括内蒙古枢纽、宁夏枢纽、甘肃枢纽和贵州枢纽，这四个地区位于我国西部地区。这些地区可用土地资源较多，人口密度较小，电力资源丰富、气候较东部地区凉爽，能够有效降低数据中心建设和运营成本。在这些地区建立算力枢纽节点，充分发挥资源优势，有效缓解数据中心能耗压力，推动绿色数据中心发展，加快实现“双碳”目标。同时通过提升算力服务品质和利用效率，夯实网络等基础保障，以填补东部地区数据中心需求缺口，分流网络时延要求较低的后台加工、离线分析、数据存储等业务。 “东数西算”工程的实施将带动东、西部地区数据中心建设实现“质量并升”。其中，西部地区最显著的变化是“量”的提升，在“东数西算”工程的影响下，西部地区数据中心规模将呈现加速增长态势，并带动当地数据中心上下游产业快速发展，有力地承接东部地区的算力需求；东部地区最显著的变化是“质”的提升，在“东数西算”工程的影响下，东部地 区将加快推进数据中心集群化进程，形成以4个国家数据中心集群为核心+周边配套系列中小型和边缘数据中心的分布态势，并加速张家口、芜湖、韶关等一线城市周边数据中心的布局，进一步疏解“北上广深”数据中心发展压力，推动东部数据中心布局合理化。 表1八大枢纽节点起步区布局 枢纽节点 承建城市 起步区 建设指导 建设内容 粤港澳 韶关 韶关数据中心集群起步区边界为韶关高新区 承接广州、深圳实时性算力需求，引导温冷业务向西部迁移，辐射华南及全国实时性算力中心 1.建设高密度，高能效，低碳数据中心集群2.优化东西部间互联网络和枢纽节点间直连网络3.网络实现动态监测和数网协同，高质量满足“东数西算”业务需要 4安全技术、措施和手段同步规划、同步建设、同步使用 成渝 成都重庆 1.天府数据中心集群起步区为成都市双流区、郫都区、简阳市2.重庆数据中心集群起步区为重庆市两江新区水土新城、西部(重庆)科学城璧山片区、重庆经济技术开发区 围绕两个数据中心集群，抓紧优化算力布局，平衡好城市与城市周边的算力资源部署，做好与“东数西算”衔接 长三角 上海、苏州、嘉善县、芜 1.长三角生态绿色一体化发展示范区数据中 心集群起步区 围绕两个数据中心集群，抓紧优化算力布局，积极承接长三角中心城市实时性算力 湖 为上海市青浦区、江苏省苏州市吴江区、浙江省嘉兴市嘉善县 2.芜湖数据中心集群起步区为芜湖市鸠江区、戈江区、无为市 需求，引导温冷业务向西部迁移，构建长三角地区算力资源“一体协同、辐射全域”的发展格局。 京津冀 张家口 张家口数据中心集群起步区为张家口市怀来县、张北县、宣化区。 围绕数据中心集群，抓紧优化算力布局，积极承接北京等地实时性算力需求，引导温冷业务向西部迁移，构建辐射华北、东北乃至全国的实时性算力中心 贵州 贵阳 贵安数据中心集群起步区边界为贵安新区贵安电子信息产业园 围绕贵安数据中心集群，抓紧优化存量，提升资源利用效率，以支持长三角、粤港澳大湾区等为主，积极承接东部地区算力需求 甘肃 庆阳 庆阳数据中心集群起步区边界为庆阳西峰数据信息产业聚集区 打造以绿色、集约、安全为特色的数据中心集群，重点服务京津冀、长三角、粤港澳大湾区等区域的算力需求 内蒙古 呼和浩特乌兰察布 和林格尔数据中心集群起步区边界为和林格尔新区和集宁大数据产业园 为京津冀高实时性算力需求提供支援，为长三角灯区域提供非实时算力保障 宁夏 中卫 中卫国家数据中心集群起步区边界为中卫工业园西部云基地 积极承接东部算力需求，引导数据中心走高效、清洁、集约、循环的绿色发展道路 二、算力枢纽安全风险与建设现状 （一）算力枢纽安全风险 算力枢纽汇聚了大规模的大数据中心集群，聚集了海量的算力、数据和算法，