继“西电东送”、“西气东输”、“南水北调”之后,又一项超级大工程于近日成功获批:国家发展改革委、中央网信办、工业和信息化部、国家能源局联合印发文件,同意在京津冀、长三角、粤港澳大湾区、成渝、内蒙古、贵州、甘肃、宁夏启动建设国家算力枢纽节点,并规划了张家口集群等10个国家数据中心集群。至此,全国一体化大数据中心体系完成总体布局设计,“东数西算”工程正式全面启动!
所谓“东数西算”就是通过构建数据中心、云计算、大数据一体化的新型算力网络体系,将东部算力需求有序引导到西部,优化数据中心建设布局,促进东西部协同联动。简单地说,就是让西部的算力资源更充分地支撑东部数据的运算,更好为数字化发展赋能。要像“南水北调”“西电东送”一样,充分发挥我国体制机制优势,从全国角度一体化布局,优化资源配置,提升资源使用效率。而如此大规模的超级工程真正实施起来并没有想象中那般容易。仅仅是如此大体量数据的安全问题就足以对工程的顺利实施造成相当大的隐患。
正如前文提到的那般,“东数西算”需要将东部地区产生的海量数据传输到西部的数据中心进行计算和处理,在数据的传输、计算和存储过程中都需要进行安全的加持,譬如网络安全、数据安全、计算环境安全等多方面安全能力,从而保障数据的全生命周期安全。新华三安全专家在接受采访时表示,东数西算工程的安全保障主要从以下几个层面入手:
●主动智能,构建数据中心综合安全防护能力:以安全大数据为基础,对能够引起数据中心网络态势变化的要素进行获取、理解、评估、呈现以及对未来发展趋势预测;从全局视角提升对安全威胁的发现识别、理解分析、响应处置,结合机器学习和人工智能,实现数据中心自动化的安全事件闭环决策。
●精准防护,加强网络安全权限精细管控能力:以安全风险管理为指导,实行数据中心分区分域管理,区域间进行安全隔离和认证,对人、机、物进行统一接入权限管理,实时监测网络安全状态信息,分析网络行为意图,及时反馈,动态调整安全防御策略。
●纵深防御,整合算力枢纽威胁快速处置能力:建立知识库进行策略管理,根据实时场景自适应决策响应,快速生成应急响应预案,主动将安全策略推送给全网安全设备,通过云网安一体化防护,实现安全事件的预警、响应和处置;同时,通过对网络安全策略进行协同关联,保证网络安全各业务功能模块能够协同一致,联动响应,层层阻击网络威胁,构建对外部威胁的事前监测,事中遏制及阻断,事后跟踪及恢复的纵深防御体系,快速响应各类网络威胁。
●协同联动,建立算力网络多级联防联控机制:建立跨区域安全情报共享平台和联防机制,增强对外部同级和主管单位的安全信息共享能力,强化本级及使用单位安全管理平台联动管控,构建跨区域统一安全管理协同能力,提升整体应对网络攻击威胁能力,建立协同联动、高效统一的安全防护机制。
也正是基于全方位的考量和技术积累,新华三提出以“网络适应云环境原则、高安全强度原则、高可靠性原则、兼容性和开放性原则”等四大原则为基础,从而在网络安全、数据安全、计算环境安全等多层面提供了全面的数据中心安全能力:
●H3C SecPath M9000-X系列多业务安全网关护航“网络安全”
基于“东数西算”大吞吐、高并发、流量复杂的特点,需要部署高性能、高可靠的电信级网络安全设备。而H3C SecPath M9000-X系列多业务安全网关恰恰是最为稳妥的产品之一,根据介绍,该系列产品是新华三在“主动安全”理念的指导下,专为云计算、数据中心、运营商核心网等市场设计的新一代高性能、高可靠的多业务安全网关旗舰产品。能够为跨区域、跨网络的网络传输提供高性能软硬件处理能力、电信级高可靠性、灵活可扩展的一体化安全能力、AI加持的深度安全能力,全面保障东西部数据网络传输安全和数据中心出口安全。
●构建数据安全防护体系,为“数据安全”保驾
“东数西算”工程需要对数据进行全生命周期的风险管控,其中包括数据积极分类、数据采集、数据传输、数据存储、数据使用、数据交换、数据销毁等多个阶段。为此新华三提供了涵盖数据全生命周期的数据安全解决方案。
新华三数据安全解决方案能够构建差异化的数据安全防护能力,通过优化安全资源配置,实现了数据安全能力最大化。聚焦“东数西算”数据流转过程,该解决方案主要分五个步骤建设数据安全防护体系:
从数据库管理、维护等相关人员入手,通过严格的身份鉴别、权限控管、操作审计等技术手段,保障规章制度的真正落地,从而形成制度与技术相融合的管理新模式。保障数据库数据流转(采集、加工、治理、分析)等场景的数据安全需求,以及共享交换场景的敏感数据安全管控能力。通过数据可信接入、透明加密、数据脱敏、泄露防护、行为审计等技术手段,实现统一数据资源流通管理,确保数据来源可信、访问可控、操作可查和责任可追。以数据为核心,聚焦数据安全生命周期,规划设计全局化和开放性的数据安全服务体系,包含组织建设、制度规范、技术措施、安全咨询、运营支撑等多个环节。覆盖数据全部适用场景。
●安全即服务,保障“计算环境安全”
面对当前数据中心虚拟化、云化、服务化的特点,新华三推出了云安全解决方案。通过云平台安全设计和租户资源池的安全设计,全面满足云基础设施计算环境和租户计算环境安全两大安全需求。
着重提出“安全即服务”的理念,通过安全云管理平台(SecCloud OMP),构建“云安全商店”以满足不同场景、不同租户的安全需求。提供边界隔离、入侵防御、通信加密、服务器防护等覆盖IaaS层安全需求,数据库审计、运维审计、漏洞管理等覆盖PaaS层安全需求,应用监控、Web防护、应用加速等可覆盖SaaS层安全需求,安全服务组件可按需选择、灵活分配、自动部署,并实现弹性扩展。同时,增加运维、运营视角,实现云内安全的可视化和云安全资源的分配管理。
通过对国内市场的整体观察,新华三集团是为数不多既具备云平台建设能力又具备网络建设能力同时又有安全建设能力的综合性厂商。借助云、网的天然优势,能够将云安全与云网深度融合,形成“云网安” 一体化能力。
写在最后
作为继“西电东送”、“西气东输”、“南水北调”之后的又一大国工程,“东数西算”工程的意义在数字经济蓬勃发展的今天尤为重要。由此对“东数西算”安全的全方位防护成为重中之重。
新华三作为为数不多既具备云平台建设能力又具备网络建设能力同时又有安全建设能力的综合性厂商,率先提出并践行“主动安全”核心理念,通过云网安融合能力,对业务部署、智能防御等各个环节进行了打通,从而形成了完整的共同体,为“东数西算”工程提供了优质的产品与服务,满足了多样化和高可靠性的安全需求。