2021年6月,国家重大科技基础设施——地球系统数值模拟装置在京建成并投入使用。这是我国首个具有自主知识产权,以地球系统各圈层数值模拟软件为核心,软、硬件协同设计,国产新一代E级高性能地球模拟超算平台,通过专业软件和海量计算,这套超算能够模拟大气圈、水圈、冰冻圈、岩石圈、生物圈的物理、化学、生物过程及其相互作用,为防灾减灾、应对气候变化、生态环境建设等国家重要议题提供科学支撑。
套用时下流行的概念,这套地球系统数值模拟装置就是地球的“数字孪生”,用庞大的计算来推演大气、海洋和地质的变化,让科学家们能够洞悉关于这颗蓝色星球过去和未来演化的秘密。显然,这样一套系统意义非凡,而保障其计算和数据不被网络安全问题所困扰更事关重大。
其实,对于各类企事业单位的网络安全防护,政府早在2016年颁布的《网络安全法》当中就有明确规定:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。就这类尖端科研装备而言,其适用标准则是严格的等保三级。此后,伴随网络安全威胁的快速变化和升级,等保的标准也在2019年末升级到了2.0版。
一边是新系统、另一边则是更严苛的网络安全标准;中科院大气物理研究所的需求非常明确:为这套复杂、强大的科学装置搭建一套符合等保2.0三级规范的网络安全系统,以应对各类已知和未知的安全威胁。
新系统、新标准大装置的安全谁来守护?
作为一套搭建在数据中心内的集群系统,地球系统数值模拟装置在等保2.0体系下的网络安全防护系统搭建其实并不复杂。与所有数据中心一样,解决方案要做的就是在系统每个可用区的网络边界部署一组区域防火墙,并在整个系统的互联网接入区部署一组DDoS防御系统、边界防火墙及IPS(入侵预防系统);整网部署独立的安全运维区,为整套系统提供运维审计、安全事件管理、漏洞扫描、终端威胁检测与相应、安全准入认证等功能。
以上都是等保2.0时代IT系统网络安全建设的标准“套路”,但作为一套典型的超算系统,地球系统数值模拟装置的难点在于其极高的网络基础配置。虽然核心交换与承担主要计算和存储任务的HPC和存储区采用普通的万兆以太网连接,但其连接高性能计算区、DMZ区(承担数据发布任务)、办公园区、出口互联的核心交换区均为100Gb高速连接。因此,对应的防火墙和网络设备必须具备极高的吞吐量。
另一方面,作为全球顶尖的科研装置,大气所的地球系统数值模拟装置显然是各类黑客和攻击行为的重点目标之一,其安全形势只能用波谲云诡来形容。因此,扮演核心角色的防火墙和特征库不仅要对已有的攻击模式进行快速响应、快速阻断,更要在未来相当长时间的持续运营当中经受住各类未知攻击手段的考验。
因此,这套网络安全防护系统的供应商必须在安全和数通领域具备强大实力和丰富经验。而经过反复对比调研,最终接下这一重任的正是华为;而华为给出的答案则是融合了全新AI技术的HiSec安全解决方案。
以AI之力守护“数字地球”
既然叫“网络安全”;显然要先建网,再谈网络安全。
为了保证基础网络在性能、可靠性等方面的能力,华为首先为装置的基础网络搭建提供了多款旗舰级数通产品。华为在数据中心核心交换机方面为大气所提供的是其久负盛名的CloudEngine16800,其在提供强大交换能力的同时也具备极强扩展性和可管理性、易维护性。在园区网方面,华为则带来了同为旗舰产品的S12700敏捷交换机,能够在支持大二层网络的同时为用户提供有线无线融合管理、智能排障、面向业务的可视化管理、SDN支持等众多先进特性。
而在安全部分,华为则选择了诞生于“未然”实验室的HiSec安全解决方案,其最大特点便是对AI和大数据技术的综合运用。
众所周知,传统的网络安全思路是被动式的。防火墙提供商只能基于已有的病毒和攻击样本来提取特征,并对特征库进行更新;而后,防火墙才具备对应的防护能力。在这种“道高一尺、魔高一丈”的竞争中,特征库和防火墙总是落后一步,这就使得系统在应对未知威胁时防御力几乎为零。而这显然是大气所和地球系统数值模拟装置所不能接受的。
华为HiSec安全解决方案所搭载的AI算法则会主动分析全部流量,并基于强大的计算能力对包含于其中的网络代码进行深度分析,判断其意图和效果。一旦发现其存在破坏系统或盗取数据的可能,防火墙便会自动阻断连接,防患于未然。经过众多案例的实际验证,这套基于行为和意图的防护方式对于目前流行且得手率极高的APT攻击具备更高的防护率。
当然,根据系统运行所生成的网络日志,HiSec系统也会为正常的网络访问和业务流量建立对应的模型,让系统的正常运行不会被防火墙打扰,从而保证装置整体的网络性能和效能。
作为整套系统的核心,HiSec系统会在本地和云端持续对AI算法进行训练;这既能保证本地算力的充分运用,也能让云端的庞大算力为AI的持续进化加速。
与此同时,华为未然实验室的2500余名工程师也会在日常工作中对来自全球的网络安全实践和病毒样本进行分析,对HiSec的特征库和AI算法进行持续更新和维护,以确保安全系统的常用常新。
在AI算法、先进技术以及合理系统设计的多重加持下,华为HiSec安全解决方案能够在外部入侵防御、内网安全防御、运维管理、网络协同防御等方面为大气所提供突出价值。而在华为工程团队、服务团队与大气所的通力协作下,地球系统数值模拟装置不仅如期上线,更顺利通过了2.0标准下的等保三级评审认证工作。
截止目前为止,运行在地球系统数值模拟装置里的“数字地球”运转正常,一路安好。
打造数字时代新安全
虽然大气所的地球系统数值模拟装置在科研层面是国内乃至全球的顶尖存在,但其在网络安全领域所面临的困境和挑战却并不鲜见。新一代高性能基础架构如何在新标准条件下实现安全效果和等保2.0验收方面的双合格,如何在持续的运行过程中实现长治久安;这是很多企事业单位都在思考的问题。
通过为安全系统引入AI、大数据及云能力,华为能够将过去被动式的安全防护彻底逆转,让算法和算力主动出击,最终实现防患于未然。同时,依托于对等保2.0标准的深刻理解和强大的服务能力,华为也有能力帮助用户从容应对等保2.0标准中所增加的专家评审环节,加速系统的验收和上线,为业务发展铺平道路。
伴随时代和技术的进步,网络安全形势只会更复杂,挑战也只会更多;而以地球系统数值模拟装置为代表的众多案例则表明,AI加持的新一代安全解决方案正是解决已知威胁、应对未知风险的解药和疫苗。
“因聚而生 为你所能”2022年6月15-16日,我们诚邀您 线上相聚,共赴华为伙伴暨开发者大会2022!