邱 勤 徐天妮 于 樂 呂 欣 袁 捷 張 峰 張 濱

1(中國移動通信集團有限公司 北京 100053)2(國家信息中心 北京 100045)(qiuqin@chinamobile.com)

近年來，隨著5G、人工智能、物聯(lián)網(wǎng)等新技術(shù)向各領(lǐng)域滲透，數(shù)字經(jīng)濟快速發(fā)展，社會對數(shù)據(jù)資源存儲、計算和應(yīng)用的需求大幅提升.算力作為轉(zhuǎn)換數(shù)據(jù)價值的“生產(chǎn)要素”，成為支撐數(shù)字經(jīng)濟持續(xù)縱深發(fā)展的重要動力.我國提出“東數(shù)西算”工程，正在加快構(gòu)建算力網(wǎng)絡(luò)體系[1].算力網(wǎng)絡(luò)(computing force network/computing first network, CFN)是以算為中心、網(wǎng)為根基，與云計算、人工智能、邊緣計算、區(qū)塊鏈、智能終端、網(wǎng)絡(luò)安全等技術(shù)深度融合，提供一體化服務(wù)的新型基礎(chǔ)設(shè)施[2].推動算力成為與水電一樣的可“一點接入、即取即用”的社會級服務(wù)，在大大豐富數(shù)字生產(chǎn)生活場景的同時，也帶來暴露面增多、算力濫用、數(shù)據(jù)泄露等安全風(fēng)險.在當(dāng)前算力網(wǎng)絡(luò)規(guī)劃建設(shè)的關(guān)鍵時期，開展算力網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)治理技術(shù)的研究部署，對推動完善算力網(wǎng)絡(luò)安全體系建設(shè)、推進數(shù)字經(jīng)濟時代新基建高質(zhì)量發(fā)展意義重大.

1 背 景

1.1 產(chǎn)業(yè)發(fā)展現(xiàn)狀

2020年3月，國家發(fā)展改革委、工信部印發(fā)了《關(guān)于組織實施2020年新型基礎(chǔ)設(shè)施建設(shè)工程(寬帶網(wǎng)絡(luò)和5G領(lǐng)域)的通知》，闡述了新基建的具體含義，提出要建設(shè)以數(shù)據(jù)中心、智能計算中心為代表的算力基礎(chǔ)設(shè)施.算力基礎(chǔ)設(shè)施概念在國家層面被提出[2].2021年5月，國家發(fā)展改革委、中央網(wǎng)信辦、工信部、國家能源局聯(lián)合印發(fā)了《全國一體化大數(shù)據(jù)中心協(xié)同創(chuàng)新體系算力樞紐實施方案》，明確提出布局算力網(wǎng)絡(luò)國家樞紐節(jié)點[1]，打通網(wǎng)絡(luò)傳輸通道，提升跨區(qū)域算力調(diào)度水平，加快實施“東數(shù)西算”工程，構(gòu)建國家算力網(wǎng)絡(luò)體系.2021年7月，工信部印發(fā)《新型數(shù)據(jù)中心發(fā)展三年行動計劃(2021—2023年)》，明確提出用3年時間形成布局合理、技術(shù)先進、綠色低碳、算力規(guī)模與數(shù)字經(jīng)濟增長相適應(yīng)的新型數(shù)據(jù)中心發(fā)展格局[3].

與此同時，信息通信行業(yè)各大機構(gòu)提出算力網(wǎng)絡(luò)建設(shè)目標(biāo)，積極推動算力網(wǎng)絡(luò)產(chǎn)業(yè)發(fā)展.2020年12月，中國通信學(xué)會發(fā)布《算力網(wǎng)絡(luò)前沿報告》[4]，分析算力網(wǎng)絡(luò)產(chǎn)業(yè)現(xiàn)狀，指出關(guān)鍵技術(shù)中的挑戰(zhàn)，提出了政策發(fā)展建議.2019年和2021年，中國移動2次發(fā)布《算力感知網(wǎng)絡(luò)技術(shù)白皮書》[5-6].2021年11月，中國移動發(fā)布《算力網(wǎng)絡(luò)白皮書》[7]，提出以“網(wǎng)絡(luò)無所不達、算力無所不在、智能無所不及”為目標(biāo)的算力網(wǎng)絡(luò)愿景及架構(gòu)，明確了面向2030打造“算網(wǎng)一體、智慧內(nèi)生、創(chuàng)新運營、一體服務(wù)”的算力網(wǎng)絡(luò)產(chǎn)業(yè)鏈.中國聯(lián)通則發(fā)布了算力網(wǎng)絡(luò)技術(shù)演進相關(guān)報告[8-9]，提出推進實施架構(gòu)先進、安全可靠、服務(wù)卓越的算力網(wǎng)絡(luò)新布局.

1.2 技術(shù)研究現(xiàn)狀

在學(xué)術(shù)界，算力網(wǎng)絡(luò)相關(guān)概念提出始于2019年.從對國內(nèi)外論文、報告、標(biāo)準(zhǔn)的調(diào)研[10-11]可知，算力網(wǎng)絡(luò)相關(guān)研究工作可分為4類：愿景與需求分析、基礎(chǔ)設(shè)施關(guān)鍵技術(shù)、編排管理關(guān)鍵技術(shù)和算力網(wǎng)絡(luò)安全.具體如表1所示：

表1 算力網(wǎng)絡(luò)相關(guān)研究工作

總的來說，目前業(yè)界對算力網(wǎng)絡(luò)的整體架構(gòu)與功能已達成基本共識.整體架構(gòu)涵蓋基礎(chǔ)設(shè)施、編排管理和運營服務(wù)3個層面.基礎(chǔ)設(shè)施層實現(xiàn)云、邊、端算力高速互聯(lián)，滿足數(shù)據(jù)高效無損傳輸需求；編排管理層是算力網(wǎng)絡(luò)的調(diào)度中樞，結(jié)合人工智能與大數(shù)據(jù)技術(shù)，實現(xiàn)對算力網(wǎng)絡(luò)資源的統(tǒng)一管理、統(tǒng)一編排、智能調(diào)度和全局優(yōu)化；運營服務(wù)層是算力網(wǎng)絡(luò)的服務(wù)能力提供平臺，實現(xiàn)算力網(wǎng)絡(luò)產(chǎn)品的一體化供給，為算力用戶提供一站式服務(wù)和智能無感的體驗.

在實現(xiàn)技術(shù)方面,有工作探討了邊緣計算與算力網(wǎng)絡(luò)的結(jié)合[16-17]、算力網(wǎng)絡(luò)在5G網(wǎng)絡(luò)中的部署方式[18-19]、面向6G的算力網(wǎng)絡(luò)需求[20]以及在網(wǎng)計算[21]等技術(shù)在算力網(wǎng)絡(luò)中的融合.對于算力的編排管理，相關(guān)工作探討了算力感知網(wǎng)絡(luò)架構(gòu)[22-23]、結(jié)合IPv6/SRv6的算力資源標(biāo)記方式[26]，以及利用區(qū)塊鏈技術(shù)對算力編排用到的算力資源相關(guān)敏感信息[31]進行存儲.同時，學(xué)術(shù)界對于算力交易[31]、算力路由和算力任務(wù)調(diào)度算法[24-26]、資源分配方法[27-29]、編排管理機制[28,30]也有所研究.2021年6月，Schloss Dagstuhl學(xué)術(shù)研討會[15]提出了5個亟待解決的算力網(wǎng)絡(luò)關(guān)鍵問題：異構(gòu)算力融合、編程模型與接口設(shè)計、算力編排系統(tǒng)構(gòu)建、分布式機器學(xué)習(xí)演進以及安全邊界模糊背景下的安全與隱私保障.

在算力網(wǎng)絡(luò)需求和架構(gòu)規(guī)劃逐漸清晰的背景下，算力網(wǎng)絡(luò)安全相關(guān)工作正在逐步展開，但尚未形成體系化的安全架構(gòu).2021年11月，中國通信學(xué)會算網(wǎng)融合標(biāo)準(zhǔn)工作組、中國通信標(biāo)準(zhǔn)化協(xié)會無線安全與加密工作組均立項啟動算力網(wǎng)絡(luò)安全研究工作.此外，有工作提出利用區(qū)塊鏈對算力用戶身份注冊、算力服務(wù)注冊、算力交易、信譽評估等進行安全可信保障[31].另有工作為邊緣算力節(jié)點設(shè)計了一種看門狗協(xié)議[32]，以及考慮算力網(wǎng)絡(luò)中聯(lián)邦學(xué)習(xí)任務(wù)的安全和運維問題[33].本文通過對相關(guān)工作的全面調(diào)研，基于業(yè)界共識的算力網(wǎng)絡(luò)架構(gòu)，全面分析了算力網(wǎng)絡(luò)的安全機遇和挑戰(zhàn)，提出了算力網(wǎng)絡(luò)安全架構(gòu)與數(shù)據(jù)安全治理技術(shù).

2 安全機遇和挑戰(zhàn)

2.1 安全機遇

算力網(wǎng)絡(luò)具有算網(wǎng)一體、云原生、計算性能高等特點，結(jié)合大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)可為網(wǎng)絡(luò)和數(shù)據(jù)安全防護帶來發(fā)展機遇.

1) 網(wǎng)絡(luò)資產(chǎn)保護：基于算網(wǎng)融合的安全架構(gòu)可在網(wǎng)絡(luò)隔離的基礎(chǔ)上，依托虛擬化實現(xiàn)網(wǎng)絡(luò)資產(chǎn)隱身，業(yè)務(wù)和數(shù)據(jù)無固定承載實體，使得攻擊者無法精準(zhǔn)定位目標(biāo).

2) 增強安全防御：基于強大算力構(gòu)建的安全大腦，可結(jié)合大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)開展更精準(zhǔn)、智能的網(wǎng)絡(luò)安全威脅分析預(yù)警和發(fā)現(xiàn)處置.

3) 智能安全調(diào)度：通過解構(gòu)分析算力任務(wù)的安全需求等級，可動態(tài)調(diào)度算力網(wǎng)絡(luò)中安全可信程度與算力任務(wù)匹配的計算節(jié)點資源，提供面向業(yè)務(wù)的智能閉環(huán)保障能力.

2.2 安全挑戰(zhàn)

算力網(wǎng)絡(luò)中的海量數(shù)據(jù)、泛在算力資源也為安全防護帶來挑戰(zhàn).與算力網(wǎng)絡(luò)體系架構(gòu)相對應(yīng)，算力網(wǎng)絡(luò)在基礎(chǔ)設(shè)施層、編排管理層、運營服務(wù)層均面臨一定安全風(fēng)險，如圖1所示，主要包括：

圖1 算力網(wǎng)絡(luò)安全風(fēng)險

1) 節(jié)點不可信.云、邊、端側(cè)的每個節(jié)點都可能被調(diào)度使用，需保證每個節(jié)點安全可信.

2) 暴露面增多.算力向邊緣和端側(cè)泛在演進，導(dǎo)致暴露面急劇增多，泛終端易成為安全短板.

3) 數(shù)據(jù)泄露.數(shù)據(jù)資源在傳輸、調(diào)度、計算過程中遭受泄露、篡改等.

4) 算力濫用.惡意攻擊者利用強大算力發(fā)起網(wǎng)絡(luò)攻擊或密碼拆解.

5) 審計溯源復(fù)雜.算力網(wǎng)絡(luò)面向海量用戶及節(jié)點提供計算任務(wù)執(zhí)行、算力交易等服務(wù)，需對分布式節(jié)點的協(xié)同行為開展審計溯源.

3 安全目標(biāo)與參考架構(gòu)

3.1 安全目標(biāo)

針對算力網(wǎng)絡(luò)面臨的安全挑戰(zhàn)和提供的服務(wù)特點，算力網(wǎng)絡(luò)安全應(yīng)涵蓋以下目標(biāo).

1) 安全內(nèi)生：以算力網(wǎng)絡(luò)自身安全能力為基礎(chǔ)，以智能分析、靈活編排為手段，形成主動免疫、協(xié)同彈性的內(nèi)生安全能力，建立起完善的網(wǎng)絡(luò)和安全協(xié)同聯(lián)動防御體系.

2) 全程可信：建立可信認證，實現(xiàn)從物理設(shè)備到操作系統(tǒng)、關(guān)鍵應(yīng)用再到關(guān)鍵數(shù)據(jù)的逐級信任傳遞，確保業(yè)務(wù)可信接入，保障數(shù)據(jù)安全傳輸、網(wǎng)絡(luò)有效隔離，提升算力網(wǎng)絡(luò)抵御未知威脅的能力，實現(xiàn)算力網(wǎng)絡(luò)全程安全可信.

3) 數(shù)據(jù)透明：綜合運用隱私計算、多方計算、同態(tài)加密等技術(shù)，在保證數(shù)據(jù)提供方不泄露原始數(shù)據(jù)的前提下，對數(shù)據(jù)進行分析計算，實現(xiàn)算力網(wǎng)絡(luò)對數(shù)據(jù)可用不可見.

4) 公平可溯：構(gòu)建具備公信力的算力網(wǎng)絡(luò)交易環(huán)境，實現(xiàn)多方算力交易公平、行為可審計可溯源.

5) 應(yīng)用導(dǎo)向：將“網(wǎng)絡(luò)+算力+安全”的一體化防護理念融入應(yīng)用中，應(yīng)時、應(yīng)地、應(yīng)需、應(yīng)場景靈活組合提供安全能力，防范算力濫用風(fēng)險，保障安全服務(wù)等級.

3.2 安全參考架構(gòu)

從安全目標(biāo)出發(fā)，算力網(wǎng)絡(luò)安全參考架構(gòu)涵蓋通用安全技術(shù)、基礎(chǔ)設(shè)施安全、編排管理安全、運營服務(wù)安全及數(shù)據(jù)安全等方面，如圖2所示：

圖2 算力網(wǎng)絡(luò)安全參考架構(gòu)

通用安全技術(shù)為算力網(wǎng)絡(luò)各環(huán)節(jié)、各要素提供基礎(chǔ)共性技術(shù)支撐，構(gòu)成算力網(wǎng)絡(luò)安全基礎(chǔ)底座，主要包括網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)管理、隔離技術(shù)、身份標(biāo)識及訪問控制、密碼技術(shù)等.

算力網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括基于光電聯(lián)動的全光網(wǎng)絡(luò)底座，構(gòu)建于底座之上的云、邊、端全連接智能IP網(wǎng)絡(luò)，以及滿足超高帶寬、超低延遲和超高可靠的確定性網(wǎng)絡(luò).基礎(chǔ)設(shè)施安全包括算力基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，以及算網(wǎng)融合一體發(fā)展趨勢下算力基礎(chǔ)設(shè)施安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全共生的安全要素.算網(wǎng)融合安全涵蓋云計算安全，邊緣計算安全，端計算安全，軟件定義廣域網(wǎng)(software defined wide area network, SD-WAN)與基于IPv6的分段路由(segment routing IPv6, SRv6)的融合組網(wǎng)安全以及確定性網(wǎng)絡(luò)安全.

編排管理層面對高度復(fù)雜的算網(wǎng)環(huán)境，針對多樣化、定制化的算力需求，對算力網(wǎng)絡(luò)各個域的資源進行協(xié)同調(diào)度.編排管理安全包括編排安全保障、智能安全調(diào)度和算力安全管控，通過安全分級及標(biāo)識、動態(tài)安全分配、調(diào)度監(jiān)控授權(quán)等措施保障算力網(wǎng)絡(luò)資源分配調(diào)用的安全性.

運營服務(wù)安全主要保障算力網(wǎng)絡(luò)服務(wù)的安全性，包含安全能力開放、運營安全和融合應(yīng)用安全3部分.其中，安全能力開放基于算力網(wǎng)絡(luò)的計算和連接調(diào)度資源優(yōu)勢，封裝形成原子化安全能力，并疊加標(biāo)準(zhǔn)化安全能力，對內(nèi)外部應(yīng)用提供安全服務(wù)；基于算力網(wǎng)絡(luò)底層資源和開放的安全能力，運營安全實現(xiàn)安全交易、安全監(jiān)控、安全審計等功能；融合應(yīng)用安全面向數(shù)字生活、智慧生產(chǎn)、數(shù)字社會等差異化應(yīng)用場景，提供靈活、動態(tài)、端到端的業(yè)務(wù)安全保障.

數(shù)據(jù)安全貫穿算力網(wǎng)絡(luò)安全各層級，主要包括數(shù)據(jù)安全防護、數(shù)據(jù)流轉(zhuǎn)安全、計算安全等，保證數(shù)據(jù)在全生命周期中被有效保護和合法利用.

4 安全支撐技術(shù)

4.1 通用安全技術(shù)

4.1.1 網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)管理

網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)管理主要是對算力網(wǎng)絡(luò)中的網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)進行盤點梳理、標(biāo)識備案、分類分級、實時監(jiān)控等，是網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)安全防護與安全監(jiān)測的基礎(chǔ)[34].網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)是最具價值的無形資產(chǎn)，科學(xué)管理和合理應(yīng)用網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)已成為企業(yè)正確決策、增強核心競爭力的關(guān)鍵.

算力網(wǎng)絡(luò)需要進行網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)的整合沉淀，用于有效驅(qū)動系統(tǒng)運行.通過對網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)提供管理、分享與協(xié)作等特性，提升客戶在算力網(wǎng)絡(luò)下的網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)管理與使用效率，確保網(wǎng)絡(luò)與數(shù)據(jù)資產(chǎn)在使用過程中的安全性.

4.1.2 隔離技術(shù)

在算力網(wǎng)絡(luò)中，可根據(jù)業(yè)務(wù)對安全性的要求，建立切片三級立體化安全隔離體系，即切片間隔離、切片網(wǎng)絡(luò)與用戶隔離、切片內(nèi)網(wǎng)元間隔離.切片間隔離主要根據(jù)業(yè)務(wù)及數(shù)據(jù)資產(chǎn)的重要性，提供切片間的有效隔離，從而保障每個切片具有相應(yīng)的安全級別；切片網(wǎng)絡(luò)與用戶隔離主要是按照服務(wù)等級協(xié)定(service-level agreement, SLA)向用戶提供可靠切片服務(wù)的同時，做好切片網(wǎng)絡(luò)與用戶、應(yīng)用之間的安全邊界防護；切片內(nèi)網(wǎng)元間隔離主要是在切片內(nèi)做好安全域的劃分，提供網(wǎng)元間的安全隔離[35-36].通過在算力網(wǎng)絡(luò)中制定有效的隔離技術(shù)，可為用戶提供靈活、定制的安全防護能力，有效提升算力網(wǎng)絡(luò)的服務(wù)水平.

4.1.3 身份標(biāo)識及訪問控制

對算力網(wǎng)絡(luò)訪問主體進行身份標(biāo)識及訪問控制尤為重要，算力網(wǎng)絡(luò)訪問主體包括終端(個人消費終端、行業(yè)物聯(lián)網(wǎng)終端)，用戶(個人用戶、企業(yè)用戶)等，均需要建立身份標(biāo)識，進行身份認證.業(yè)界普遍認為零信任理念可以解決身份標(biāo)識和身份認證相關(guān)安全需求.零信任的核心思想是系統(tǒng)不應(yīng)自動信任內(nèi)外部的任何人/事/物，應(yīng)在授權(quán)前對任何試圖接入系統(tǒng)的人/事/物進行驗證[37]，從而確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信.

零信任在算力網(wǎng)絡(luò)中的應(yīng)用場景主要包括泛在身份管理、全鏈路可信、異常行為溯源與追蹤等.泛在身份管理主要通過身份管理系統(tǒng)實現(xiàn)對算力網(wǎng)絡(luò)中的用戶、基礎(chǔ)設(shè)施、上層應(yīng)用等訪問主體的全面身份化.身份管理系統(tǒng)能夠統(tǒng)一定義和管理每個訪問主體的身份角色，確保在整個算網(wǎng)系統(tǒng)中使用具有一致性的訪問規(guī)則和策略增強對信息資產(chǎn)的保護，解決身份權(quán)限管理需求.全鏈路可信主要通過訪問代理支持軟件定義邊界技術(shù)，在終端單包授權(quán)和驗證之前，不開放任何TCP端口，實現(xiàn)網(wǎng)絡(luò)的隱藏.訪問代理在用戶和終端被驗證可信后，才對該訪問主體開通可見可連接的權(quán)限，非授權(quán)用戶和非可信終端對后端業(yè)務(wù)不可見也不可連接，以此來實現(xiàn)業(yè)務(wù)的全面隱藏.目前，業(yè)界基于零信任理念提出了云化安全框架安全訪問服務(wù)邊緣(secure access service edge, SASE)[38]，該框架可將網(wǎng)絡(luò)和安全技術(shù)有機融合，將安全能力和計算能力通過網(wǎng)絡(luò)的全局統(tǒng)一調(diào)度提供給用戶，為用戶提供經(jīng)濟有效的安全能力.

4.1.4 密碼技術(shù)

密碼技術(shù)作為算力網(wǎng)絡(luò)安全的“基因”是實現(xiàn)可信互聯(lián)、安全互通的必要前提，是保障算力網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，是維護算力網(wǎng)絡(luò)泛算、強網(wǎng)、融數(shù)、注智、鏈信的重要保證[39].算力網(wǎng)絡(luò)強調(diào)物理空間融通、邏輯空間融通、異構(gòu)空間融通，這更需要充分發(fā)揮密碼技術(shù)的核心保障能力.

算力網(wǎng)絡(luò)中的密碼規(guī)?；瘧?yīng)用需尋求一種全新的密碼功能模式，以實現(xiàn)密碼泛在化、安全服務(wù)化，該模式向算力網(wǎng)絡(luò)提供包括認證、鑒權(quán)、傳輸、存儲在內(nèi)的全時、全域、全維的密碼服務(wù).將算力網(wǎng)絡(luò)密碼技術(shù)與身份認證、授權(quán)訪問、傳輸數(shù)據(jù)、存儲數(shù)據(jù)等深度融合，采用商用密碼對數(shù)據(jù)信息進行簽名驗簽與摘要計算，保證數(shù)據(jù)信息的完整性與機密性，規(guī)劃整合密碼使用策略、密碼服務(wù)接口和服務(wù)流程.

4.2 算力基礎(chǔ)設(shè)施安全

算力基礎(chǔ)設(shè)施作為算力網(wǎng)絡(luò)的核心，以構(gòu)建高效、靈活、敏捷的基礎(chǔ)設(shè)施層為目標(biāo).通過融合通用計算與異構(gòu)計算等多樣算力技術(shù)，探索算力原生、存算一體等新方向，持續(xù)增強算力能力，釋放算力價值.近年來，隨著物聯(lián)網(wǎng)、邊緣計算的繁榮發(fā)展，海量終端接入網(wǎng)絡(luò)，邊緣算力逐漸豐富，算力逐漸向邊緣側(cè)和端側(cè)延伸，呈現(xiàn)出“云-邊-端”的三級架構(gòu)，并體現(xiàn)出云算力超集中、邊端算力超分布的特征.算力基礎(chǔ)設(shè)施安全主要包括云計算安全、邊緣計算安全和端計算安全.

4.2.1 云計算安全

1.2.1 確定臨床病例及問題大綱 根據(jù)本科臨床護理教學(xué)大綱要求，分析急診科的科室特點，由帶教老師在急診科選定常見臨床病例，并取得患者或家屬的知情同意。成立急診科帶教老師小組，根據(jù)某種常見病例的發(fā)病、臨床表現(xiàn)、診斷、治療方案和護理等方面，共同擬定相關(guān)問題大綱。每一見習(xí)內(nèi)容由同一位老師帶教。

云計算作為重要算力基礎(chǔ)設(shè)施，是超集中算力的代表.云原生是云計算未來發(fā)展的重要方向.云原生是在云上構(gòu)建、運行、管理應(yīng)用程序的一套技術(shù)體系和管理方法，可促進云的敏捷構(gòu)建，實現(xiàn)彈性、健壯、靈活的算力基礎(chǔ)設(shè)施.隨著云原生及相關(guān)技術(shù)的演進，云計算主要面臨外部攻擊、虛擬化、不合規(guī)、開源架構(gòu)等安全風(fēng)險[40].

為應(yīng)對上述安全風(fēng)險，可重點從物理安全、虛擬化安全、業(yè)務(wù)安全、數(shù)據(jù)安全以及運維管理等方面進行安全防護.在物理安全和虛擬化安全方面，可以通過部署WAF等安全設(shè)備來實現(xiàn)邊界安全，通過劃分不同的安全域，實現(xiàn)跨域安全隔離和訪問控制；在業(yè)務(wù)安全和數(shù)據(jù)安全方面，可以通過鏡像安全審核、安全存儲、數(shù)據(jù)安全流轉(zhuǎn)檢測及審計等方法，保障業(yè)務(wù)及數(shù)據(jù)的全生命周期安全；在運維管理方面，通過部署資產(chǎn)與漏洞管理、合規(guī)、統(tǒng)一安全管理平臺解決方案、日志監(jiān)控、態(tài)勢感知等手段，實現(xiàn)云安全的可管、可控、可視.

4.2.2 邊緣計算安全

邊緣計算(multi-access edge computing, MEC)在靠近用戶業(yè)務(wù)數(shù)據(jù)源頭的一側(cè)提供近端邊緣計算服務(wù)，滿足行業(yè)低時延、高帶寬、安全與隱私保護等方面的基本需求[41-42].目前邊緣計算正從概念普及向?qū)嵤┎渴鹧葸M，逐步融入算力網(wǎng)絡(luò)，實現(xiàn)“邊緣計算+行業(yè)”的價值最大化.隨著業(yè)務(wù)應(yīng)用的推廣，邊緣計算面臨邊緣節(jié)點被攻擊、邊緣節(jié)點作為跳板向算力網(wǎng)絡(luò)發(fā)動橫向或縱向攻擊、邊緣節(jié)點部署環(huán)境不安全等風(fēng)險.

針對上述風(fēng)險，需重點從網(wǎng)絡(luò)服務(wù)安全、邊緣計算平臺安全、能力開放安全、數(shù)據(jù)安全等維度進行安全防護.在網(wǎng)絡(luò)服務(wù)安全方面，需實現(xiàn)網(wǎng)安全和用戶面網(wǎng)絡(luò)功能安全；在邊緣計算平臺安全方面，重點考慮邊緣計算平臺系統(tǒng)安全、邊緣服務(wù)授權(quán)、應(yīng)用切換過程中的服務(wù)認證和授權(quán)、用戶接入安全等；在能力開放安全方面，應(yīng)對API進行安全管理、發(fā)布和開放；在數(shù)據(jù)安全方面，應(yīng)提供輕量級數(shù)據(jù)加密、數(shù)據(jù)安全存儲、敏感數(shù)據(jù)處理和敏感數(shù)據(jù)監(jiān)測等關(guān)鍵技術(shù)能力，保障數(shù)據(jù)全生命周期安全，保障邊緣計算平臺上數(shù)據(jù)的完整性、保密性和可用性.

4.2.3 端計算安全

端計算將終端自身算力進行整合，融入算力網(wǎng)絡(luò)進行統(tǒng)一管理和調(diào)度.在算力網(wǎng)絡(luò)基礎(chǔ)設(shè)施中，終端設(shè)備算力是算力網(wǎng)絡(luò)的重要組成部分.端計算的融入不僅能夠?qū)崿F(xiàn)真正的算力泛在，同時能夠為用戶提供更高質(zhì)量的計算服務(wù).隨著終端軟硬件技術(shù)的發(fā)展，終端主要面臨空口安全威脅、數(shù)據(jù)非法讀取和訪問安全威脅、惡意應(yīng)用安全威脅、無線接口安全威脅以及終端物理安全威脅[43].

為應(yīng)對上述安全風(fēng)險，可以從硬件安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全等方面開展安全防護工作.在硬件安全方面，重點從接口安全、芯片安全方面對終端進行安全防護；在系統(tǒng)安全方面，著重考慮系統(tǒng)權(quán)限限制、安全啟動認證、系統(tǒng)安全更新機制、系統(tǒng)配置安全、服務(wù)配置安全，從而打造安全可靠的系統(tǒng)；在應(yīng)用安全和數(shù)據(jù)安全方面，重點考慮終端上應(yīng)用可靠性、數(shù)據(jù)訪問控制安全、數(shù)據(jù)流轉(zhuǎn)安全以及日志安全等.打造高安全的終端才能為用戶提供安全可靠的端側(cè)計算.

4.3 網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全

4.3.1 SRv6安全

SRv6利用IPv6以及源路由技術(shù)實現(xiàn)網(wǎng)絡(luò)可編程，通過網(wǎng)絡(luò)中間節(jié)點不斷更新目的地址和偏移地址來完成逐跳轉(zhuǎn)發(fā).SRv6網(wǎng)絡(luò)同時存在IPv6和源路由2方面的安全隱患[44].攻擊者可偽裝成通信源發(fā)送攻擊報文，或在報文傳輸過程中非法截獲、篡改、仿冒SRv6報文實現(xiàn)DoS/DDoS攻擊、惡意報文攻擊或其他安全攻擊.因此，保障SRv6網(wǎng)絡(luò)安全需圍繞2點：1)確認通信源可靠；2)確保報文在傳輸過程中不被篡改或以其他方式被非法使用.

保障SRv6網(wǎng)絡(luò)安全需從其IPv6特性和源路由特性2方面入手.針對SRv6的IPv6特性，可以利用IPsec協(xié)議對原始報文進行封裝、加密，驗證IP報文的通信源，確保報文在傳輸過程中不被篡改.針對SRv6的源路由特性，可以設(shè)定可信安全域與可信網(wǎng)絡(luò)邊界.可信域內(nèi)的信息不應(yīng)發(fā)布到可信網(wǎng)絡(luò)之外，來自可信域外的報文需判斷信源可信、未被篡改,防止數(shù)據(jù)包攜帶的轉(zhuǎn)發(fā)路徑信息泄露，避免攻擊者發(fā)現(xiàn)網(wǎng)絡(luò).對于從可信域外進入的報文，一方面可以部署ACL策略對其進行過濾；另一方面可以利用密鑰相關(guān)的哈希運算消息認證碼(hash-based message authentication code, HMAC)機制對SRv6擴展頭進行驗證，驗證通信源身份，防止數(shù)據(jù)被篡改.

4.3.2 SD-WAN安全

SD-WAN融合了虛擬IT網(wǎng)絡(luò)和物理通信網(wǎng)絡(luò)，它與SRv6融合組網(wǎng)能夠?qū)崿F(xiàn)端到端的網(wǎng)絡(luò)可編程，利用應(yīng)用感知能力實現(xiàn)差異化的網(wǎng)絡(luò)服務(wù)，利用隨流檢測進行SLA閉環(huán)控制，從而實現(xiàn)網(wǎng)絡(luò)質(zhì)量的可靠保障.傳統(tǒng)的企業(yè)WAN通過專線互聯(lián)，網(wǎng)絡(luò)架構(gòu)相對封閉，在一定程度上保證了安全性.SD-WAN方案出現(xiàn)后，業(yè)務(wù)流量可能在公網(wǎng)傳輸，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，進而帶來非法接入、非法入侵、數(shù)據(jù)泄露、業(yè)務(wù)侵害等安全風(fēng)險[45].

SD-WAN安全措施可從組件自身安全和組件間通信安全2方面入手.組件自身要具備健壯的系統(tǒng)架構(gòu)和完善的安全加固策略，并能通過權(quán)限控制、賬號密碼管理、數(shù)據(jù)保護、安全審計等多種措施保證自身的安全性.組件所在的物理環(huán)境和網(wǎng)絡(luò)環(huán)境安全也需得到保障，需將網(wǎng)絡(luò)控制器部署在防火墻、防DDoS設(shè)備等安全設(shè)備保護的區(qū)域中.組件之間的通信安全主要包括組件互信、安全接入、數(shù)據(jù)加密等，涉及認證、加密、驗證等安全手段，可以利用基于零信任的接入認證技術(shù)和安全通信協(xié)議保護數(shù)據(jù)，提供多租戶場景下的安全隔離機制.

4.3.3 確定性網(wǎng)絡(luò)安全

確定性網(wǎng)絡(luò)具有上限確定的低時延、低抖動、低丟包率、高帶寬和高可靠5大服務(wù)質(zhì)量特性，可以為算力網(wǎng)絡(luò)提供非盡力而為的網(wǎng)絡(luò)服務(wù)[46].確定性網(wǎng)絡(luò)為高價值場景提供服務(wù)質(zhì)量保障的同時，也面臨延遲攻擊這種新型安全風(fēng)險[47].攻擊者可以通過篡改包頭、包注入等手段侵占時延敏感業(yè)務(wù)的網(wǎng)絡(luò)資源、計算資源或轉(zhuǎn)發(fā)路徑，進而破壞網(wǎng)絡(luò)服務(wù)質(zhì)量的確定性，造成攻擊.

確定性網(wǎng)絡(luò)的安全保障需從避免延遲攻擊入手，可采取鏈路冗余、包頭防篡改、節(jié)點驗證、數(shù)據(jù)包加密、動態(tài)性能監(jiān)測等手段防止時延敏感業(yè)務(wù)資源被侵占，動態(tài)保障網(wǎng)絡(luò)性能.

4.4 編排管理安全

4.4.1 編排安全保障

編排管理層對算力用戶、計算任務(wù)、網(wǎng)絡(luò)資源、算力資源一體感知、協(xié)同編排.在此過程中，編排管理層收集并處理大量算力網(wǎng)絡(luò)敏感數(shù)據(jù)，數(shù)據(jù)的集中增加了安全風(fēng)險，編排管理層的安全保障成為新的安全挑戰(zhàn).

對于編排管理層的安全保障可以考慮以下3個方面：一是編排管理行為需受到授權(quán)和監(jiān)控，防止非法用戶越權(quán)調(diào)度算力網(wǎng)絡(luò)資源；二是編排管理所使用的算力用戶信息、計算任務(wù)數(shù)據(jù)、算力網(wǎng)絡(luò)架構(gòu)信息、算力資源分布等關(guān)鍵數(shù)據(jù)，對其訪問和使用需受到監(jiān)控和防護，防止數(shù)據(jù)被泄露、篡改或惡意使用；三是智能編排算法需提升魯棒性，防止算法被惡意數(shù)據(jù)污染，造成編排管理故障.

4.4.2 智能安全調(diào)度

編排管理層需在對計算任務(wù)的編排調(diào)度中考慮安全要素，對算力用戶、計算任務(wù)、算力資源3類信息進行安全等級標(biāo)識，在此基礎(chǔ)上進行動態(tài)安全分配，實現(xiàn)算力的安全調(diào)度.

安全標(biāo)識是算力安全調(diào)度的基礎(chǔ).算力用戶的安全標(biāo)識包括算力閾值、信用等；計算任務(wù)的安全標(biāo)識可考慮任務(wù)類型、算力用量、安全需求等；算力資源的安全標(biāo)識可考慮算力節(jié)點的安全防護等級、安全能力部署情況等.

智能安全調(diào)度基于安全標(biāo)識實現(xiàn)：一方面，通過解析計算任務(wù)的安全需求，為計算任務(wù)動態(tài)適配具有相應(yīng)安全能力的算力節(jié)點；另一方面，根據(jù)計算任務(wù)的安全需求，在算力節(jié)點彈性編排、動態(tài)部署安全能力，增強算力節(jié)點的安全防護能力.

4.4.3 算力安全管控

為解決算力網(wǎng)絡(luò)中的算力濫用問題，需要算力網(wǎng)絡(luò)具備對算力的安全管控能力.算力濫用包括非法挖礦、暴力破解等行為，不僅對算力資源造成侵占，還可能利用海量算力資源進行安全攻擊.

對算力進行安全管控需結(jié)合針對算力用戶和算力任務(wù)的安全標(biāo)識.通過解析計算任務(wù)類型，結(jié)合算力用戶的算力閾值，對計算任務(wù)進行安全評估，限制超出算力閾值的算力用量，或拒絕該算力請求，同時降低算力用戶的信用.

4.5 安全能力開放

基于豐富的計算資源和連接調(diào)度資源，算力網(wǎng)絡(luò)沉淀形成的密碼計算、安全防護、網(wǎng)絡(luò)隔離、流量管控、威脅情報分析等能力可面向算力網(wǎng)絡(luò)內(nèi)外開放，以滿足不同用戶差異化的網(wǎng)絡(luò)和數(shù)據(jù)安全保護需求.算力網(wǎng)絡(luò)安全能力開放主要通過安全能力封裝和安全服務(wù)供給2部分功能實現(xiàn).

安全能力封裝是指在不同的開放場景下，面向第三方的差異化需求，開放對應(yīng)的網(wǎng)絡(luò)類能力、業(yè)務(wù)類能力、終端類能力、計算類能力等.其中，網(wǎng)絡(luò)類能力包括網(wǎng)絡(luò)SLA策略配置能力、網(wǎng)絡(luò)流量清洗、專網(wǎng)隔離、邊緣計算路由分流能力等；業(yè)務(wù)類能力包括安全行為審計、節(jié)點可信度研判、安全事件溯源等；終端類能力包括終端接入管理、終端計算及連網(wǎng)能力管控等；計算類能力包括攻擊威脅情報分析、行為建模、密碼算法執(zhí)行、密鑰分發(fā)等.

安全服務(wù)供給是指封裝的安全能力通過策略和參數(shù)配置向第三方開放.一方面，通過接口、協(xié)議、算力網(wǎng)絡(luò)節(jié)點等將開放能力提供給第三方；另一方面，通過管理運維平臺實現(xiàn)安全能力發(fā)現(xiàn)、訂購、開通、監(jiān)測、計費、統(tǒng)計分析、系統(tǒng)配置、用戶管理等.

4.6 安全運營

算力網(wǎng)絡(luò)能夠?qū)λ懔Y源進行全局智能調(diào)度和優(yōu)化，有效促進算力流動，滿足業(yè)務(wù)對算力隨需使用的需求.算力網(wǎng)絡(luò)中計算業(yè)務(wù)被分解到不同節(jié)點進行，算力交易需要匯聚不同節(jié)點的計算信息，因此需要有效的安全運營機制來保障算力交易順利進行.安全運營主要包括安全監(jiān)控、安全交易與審計等.安全監(jiān)控主要是對業(yè)務(wù)交易以及相關(guān)過程進行實時監(jiān)控；安全交易與審計主要是對交易進行歸檔和事后審計.

考慮到算力網(wǎng)絡(luò)中節(jié)點分散部署的特點，可利用區(qū)塊鏈的去中心化技術(shù)對分布的算力資源和算力交易進行監(jiān)控和審計，實現(xiàn)分布式算力安全統(tǒng)一運營.借助區(qū)塊鏈的智能合約、多方共識等技術(shù)在算力網(wǎng)絡(luò)中實現(xiàn)交易的審計溯源.算力網(wǎng)絡(luò)中多節(jié)點協(xié)作機制可同步算力交易各環(huán)節(jié)的信息，保證算力交易數(shù)據(jù)可信不可篡改，提升跨區(qū)域算力交易數(shù)據(jù)可信水平，形成“多方共治一體化”運行模式，協(xié)助運營者開展算力交易的監(jiān)控與審計.

4.7 融合應(yīng)用安全

算力網(wǎng)絡(luò)提供網(wǎng)隨算動、算網(wǎng)一體、可信共享等多種服務(wù)方式，賦能千行百業(yè)的同時，也面臨融合應(yīng)用安全風(fēng)險.在賦能數(shù)字生活場景下，由于泛終端接入和終端安全能力參差不齊，存在身份仿冒、非授權(quán)訪問等安全風(fēng)險；在賦能垂直行業(yè)場景下，遠程醫(yī)療、自動化駕駛等典型應(yīng)用不僅關(guān)系到經(jīng)濟利益，甚至可能影響個人生命安全，在有效安全防護的同時必須保證應(yīng)用體驗，因此對安全防護技術(shù)的輕量化、低時延提出了更高的要求；在賦能數(shù)字社會場景下,智能科學(xué)模擬、數(shù)字化政府治理等場景對計算節(jié)點的安全可信、數(shù)據(jù)處理的安全保護提出了較高要求.

基于以上分析，可通過將安全能力原子化并進行靈活部署以滿足不同場景中的差異化安全需求.原子化的關(guān)鍵安全能力包括：在用戶終端和行業(yè)應(yīng)用服務(wù)器之間建立二次身份認證機制，基于終端身份、位置等要素實現(xiàn)精細化訪問控制，防止非授權(quán)用戶建立連接；部署網(wǎng)絡(luò)流量監(jiān)控和防DDoS功能，防止網(wǎng)絡(luò)擁塞、無線干擾和通信鏈路中斷，并在特定情況下中止高風(fēng)險服務(wù)；基于區(qū)塊鏈、可信計算等技術(shù)構(gòu)建具備公信力的算力網(wǎng)絡(luò)交易環(huán)境，實現(xiàn)多方算力交易等行為可審計、可溯源.

4.8 數(shù)據(jù)安全

算力網(wǎng)絡(luò)中數(shù)據(jù)分散到多方算力節(jié)點進行計算，使數(shù)據(jù)面臨隱私泄露和結(jié)果篡改的風(fēng)險.因此需要采用數(shù)據(jù)安全防護、數(shù)據(jù)流轉(zhuǎn)安全以及計算安全等多種技術(shù)實現(xiàn)對數(shù)據(jù)的可用不可見和實時感知[48].

4.8.1 數(shù)據(jù)安全防護

算力網(wǎng)絡(luò)中的數(shù)據(jù)安全防護是對數(shù)據(jù)全生命周期的防護，覆蓋數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)共享、數(shù)據(jù)銷毀等各階段，同時對各階段的數(shù)據(jù)安全風(fēng)險進行集中監(jiān)測與預(yù)警處置.

在數(shù)據(jù)采集階段，構(gòu)建完備的人、設(shè)備、接口認證鑒權(quán)機制；在數(shù)據(jù)傳輸階段，根據(jù)算力網(wǎng)絡(luò)結(jié)構(gòu)及業(yè)務(wù)場景合理劃分安全域，并在安全邊界上部署相應(yīng)的訪問控制策略和安全措施；在數(shù)據(jù)存儲階段，對數(shù)據(jù)進行分類分級，參考相應(yīng)標(biāo)準(zhǔn)規(guī)范進行差異化安全存儲；在數(shù)據(jù)處理階段，堅持最小分配原則，合規(guī)使用者僅訪問必要數(shù)據(jù)；在數(shù)據(jù)共享階段，明確數(shù)據(jù)共享雙方應(yīng)承擔(dān)的安全責(zé)任以及共享的范圍；在數(shù)據(jù)銷毀階段，根據(jù)場景制定數(shù)據(jù)銷毀管理制度、辦法和機制.

4.8.2 數(shù)據(jù)流轉(zhuǎn)安全

數(shù)據(jù)流轉(zhuǎn)過程中需對數(shù)據(jù)做好標(biāo)識，對數(shù)據(jù)流轉(zhuǎn)節(jié)點、數(shù)據(jù)操作、數(shù)據(jù)流向等信息進行記錄.要構(gòu)建跨系統(tǒng)的統(tǒng)一的數(shù)據(jù)流轉(zhuǎn)標(biāo)識和預(yù)授權(quán)能力，實現(xiàn)數(shù)據(jù)出網(wǎng)可管控、數(shù)據(jù)流轉(zhuǎn)可感知.在算力網(wǎng)絡(luò)中引入數(shù)據(jù)標(biāo)識和流轉(zhuǎn)監(jiān)測技術(shù)，及時發(fā)現(xiàn)數(shù)據(jù)流轉(zhuǎn)安全威脅，做到對數(shù)據(jù)流轉(zhuǎn)的安全可控.

為實時監(jiān)測數(shù)據(jù)流轉(zhuǎn)，需通過技術(shù)手段強化網(wǎng)絡(luò)安全監(jiān)測，尤其是自動化安全監(jiān)測.通過流量、日志、配置文件等對數(shù)據(jù)共享平臺及系統(tǒng)進行全面監(jiān)測和分析，提升算力網(wǎng)絡(luò)整體安全態(tài)勢感知和安全決策等能力.

4.8.3 計算安全

在多方算力節(jié)點參與計算的場景下，為保障數(shù)據(jù)安全引入隱私計算技術(shù).隱私計算主要包括密碼學(xué)、可信執(zhí)行環(huán)境、信息混淆脫敏、分布式計算4種技術(shù)路線，分別適合不同的應(yīng)用和場景.密碼學(xué)技術(shù)主要是安全多方計算，可以控制數(shù)據(jù)的用途、用量，實現(xiàn)數(shù)據(jù)最小化原則；可信執(zhí)行環(huán)境通過軟硬件構(gòu)建一個隔離的安全區(qū)域，保證其內(nèi)部加載的程序和數(shù)據(jù)的機密性和完整性；信息混淆脫敏主要基于匿名化和差分隱私，通過加噪、截斷、泛化等方法對數(shù)據(jù)進行處理后輸出；分布式計算主要用于聯(lián)邦學(xué)習(xí)，多用于人工智能領(lǐng)域，常與同態(tài)加密和差分隱私技術(shù)配合使用.

算力網(wǎng)絡(luò)中的“云云聯(lián)邦”“端云協(xié)作”等典型場景也需要考慮數(shù)據(jù)計算安全.1)云云聯(lián)邦：政務(wù)、金融、醫(yī)療等領(lǐng)域缺乏信任及合規(guī)要求，使得數(shù)據(jù)跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的融合成為巨大挑戰(zhàn).采用聯(lián)邦學(xué)習(xí)、多方計算、同態(tài)、私密計算、差分隱私等隱私計算技術(shù)可以實現(xiàn)在不交換數(shù)據(jù)的前提下或在密文態(tài)進行數(shù)據(jù)挖掘、統(tǒng)計分析等，實現(xiàn)價值共享.2)云計算：企業(yè)數(shù)據(jù)上云，云運營商可以訪問機密數(shù)據(jù)，云上運算無法保密.采用多方計算、同態(tài)、私密計算等隱私計算技術(shù)可以實現(xiàn)租戶數(shù)據(jù)云運營商不可見.3)端云協(xié)作：面向個人的數(shù)字化應(yīng)用需要收集大量用戶數(shù)據(jù)，用于用戶畫像、服務(wù)推薦、統(tǒng)計分析、AI訓(xùn)練及服務(wù)等功能，大量個人數(shù)據(jù)收集會增加隱私違規(guī)風(fēng)險，造成消費者不信任.采用差分隱私、聯(lián)邦學(xué)習(xí)、多方計算等技術(shù)可以在不收集用戶數(shù)據(jù)或不明文使用數(shù)據(jù)的前提下，滿足業(yè)務(wù)需求，保證數(shù)據(jù)最小化隱私保護要求.

5 結(jié)束語

習(xí)近平總書記強調(diào)打通經(jīng)濟社會發(fā)展的信息“大動脈”，加快建設(shè)“高速泛在、天地一體、云網(wǎng)融合、智能敏捷、綠色低碳、安全可控”的智能化綜合性數(shù)字信息基礎(chǔ)設(shè)施[49].算力網(wǎng)絡(luò)通過實現(xiàn)算力和網(wǎng)絡(luò)融合共生、一體服務(wù)，對全社會數(shù)智化轉(zhuǎn)型具有重大意義.算力網(wǎng)絡(luò)安全不但為算力網(wǎng)絡(luò)基礎(chǔ)設(shè)施的部署應(yīng)用發(fā)揮基石保障作用，還為算力網(wǎng)絡(luò)的提供方、使用方提供安全賦能，使得安全能力和網(wǎng)絡(luò)連接、計算資源一起被發(fā)現(xiàn)、調(diào)度、使用.算力網(wǎng)絡(luò)安全體系建設(shè)應(yīng)遵循“三同步”推進、安全內(nèi)生、產(chǎn)業(yè)共建的原則，推動安全的算力資源為數(shù)字經(jīng)濟建設(shè)注入韌性發(fā)展的動能.