算力网络安全
算力网络安全
1. 算力网络简介
1.1 基本概念
数字经济时代,新技术、新业态、新场景和新模式不断涌现,网络将不仅是连接算力、数据和用户的桥梁,更将与算力深度融合,共同构建高效、敏捷的新型基础设施。 新兴技术、应用、场景带来的数据量持续增长,各行各业对算力和网络提出了更为迫切的需求。以无人驾驶场景为例,从2018年到2030年,无人驾驶对算力的需求将增加390倍,未来L4 & L5 级别对网络带宽的需求将大于100Mbps,时延要求达到5-10毫秒的水平;数字货币场景下,2030年较2018年算力需求增长约2000倍;VR游戏的算力需求将增长约300倍,端到端的时延至少需要小于20毫秒。
算力网络是以算为中心、网为根基,网、云、数、智、安、边、端、链深度融合的新型信息基础设施。以“算力泛在、算网共生、智能编排、一体服务”为目标,逐步推动算力成为与水电一样, 可“一点接入、即取即用”的社会级服务,达成“算力无处不在、网络无所不达、智能无所不及”的愿景。
算力网络体系架构从逻辑功能上分为算网基础设施层、编排管理层和运营服务层。
(1)基础设施层:基础设施层是算力网络的坚实底座,以兼顾硬件的性能与能耗,资源的负载均衡,集约化、绿色化的新型一体化基础设施为基础,通过无所不在的网络连接云边端多层次、立体泛在的分布式算力,在满足中心级、边缘级和现场级的算力需求的同时,提供低时延、高可靠、高带宽的网络质量保障。
(2)编排管理层:编排管理层是算力网络的调度中枢,通过将算网原子能力灵活组合,结合人工智能与大数据等技术,向下实现对算网资源的统一管理、统一编排,智能调度和全局优化,提升算力网络效能,向上提供算网调度能力接口,支撑算力网络多元化服务。
(3)运营服务层:运营服务层是算力网络的运营门户,通过将算网原子化能力封装和开放实现算网一体化服务供给,使客户享受便捷的一站式服务,结合区块链等技术构建可信算网服务统一交易和售卖平台,提供“算力电商”等新模式,打造新型算网服务及业务能力体系。
1.2 应用场景
随着个人和家庭智能终端的逐渐普及,以网络连接为基础的云计算、边缘计算、端计算与人工智能将深度融入到个人和家庭的生活之中。算力网络通过多层次算力的协同供给和极致可靠的网络保障,在连接量、数据量激增场景下满足用户对智能化、沉浸式体验的需求。
智慧家庭场景中,为“万物”提供智能的个人专属“超现实计算平台”通过采集智能终端的实时数据、构建虚拟元素,并与人周围的物理环境进行匹配和渲染,最终通过各种显示终端,包含XR、裸眼3D、大屏等显示出来,为个人提供智能化、沉浸式的交互体验;同时,通过对设备原子能力进行分解和智能化编排调度,充分利用和调度设备的不同能力,实现设备之间高效协同,为用户提供智能的、可靠的场景化服务,如智能手环、冰箱、微波炉可通过监测用户的身体状态、饮食情况、烹饪情况协同实现运动健康服务等。算力网络通过对端侧算力的统一纳管和协同调度,可支持将计算任务分解分配到多个端侧设备完成,平和端侧压力,充分发挥端算力价值。
人工智能、物联网、5G等信息通信新技术将在各行业中高度普及,与行业作业各环节深度融合,助力行业的数字化转型。未来的生产方式将发生颠覆式变革,包括从观察信息到感知信息、从操作机器到指挥机器、从操作性工作到创造性工作,这种变革需要更强大的数据处理能力、更高效的数据能力,因此计算和网络将成为行业生产的关键要素。
智慧交通场景中,需通过摄像头、雷达等传感设备,感知交通环境的多维信息,并需要通过对海量数据的分析和基于人工智能的学习推理形成全息数据和策略,来指导车辆行驶和调节交通信号,但当前自动驾驶主要还是依赖汽车自身的传感器和算力,采集信息的局限性和单体算力的性能瓶颈势必会影响驾驶策略的及时性和准确性。因此为了实现全场景的准确感知和高效处理车路、车内及车车等多方面的共同协作,算力网络通过构建智能化的算网大脑,实现全局算网数字化模型拓扑调度,基于算网一体能力,可将不同时延、算力需求的车内、车间操控、路侧协同等任务。同时算力网络提供的算随人选能力可有效解决汽车高速移动带来的算力迁移等问题,提供持续性的优质服务。
2. 算力网络安全需求
算力网络作为一种全新的商业模式重新定义了计算体系系统中云、管、边、端的关系,但由于算力节点分布广、环境复杂、数量庞大等特点,很多应用在设计之初未能完备的考虑安全风险,包括算力用户数据的安全和算力提供者基础设施的安全等,传统的安全防护手段已经不能完全适用泛在计算的安全防护需求,一旦被攻击控制,可能会带来较大的安全风险,影响用户的数据,阻碍行业的发展。目前算力网络还处于发展初期,将安全与业务同步规划建设,才能保证算力网络的健康发展。
算力网络对不同算力终端、网络进行统一编排调度后,提供算力服务,并与使用算力用户进行交易,在此过程中面临众多安全问题需要解决。
(1)算力终端安全评估及接入
算力网络将边缘计算、云资源池、个人终端等不同来源、不同能力的计算资源进行整合后提供算力服务。算力节点的可信性、可靠性是算力网络能够提供稳定计算服务的基础。保障算力节点安全,需解决以下问题:
- 明确达到何种安全能力的计算节点能够接入算力网络;
- 每个节点的安全性、稳定性如何,是否配置可信计算、隐私计算等能力,能够满足何种计算需求;
- 如何对计算节点承诺的计算能力和安全能力进行安全评估;
- 对于节点加入算力网络之后,如何对每次的接入进行认证,如何对节点安全状态进行动态评估。
(2)算力消费者认证及需求评估
算力消费节者注册算力网络,提交计算需求,与算力网络进行交易,对于算力消费者应考虑以下安全问题:
- 注册阶段,如何对算力消费者身份、背景进行评估,保证不是恶意节点注册;
- 每次接入阶段,如何对接入的消费节点进行认证,保证节点未被仿冒;
- 需求提交阶段,如何对需求的合理性进行评估,对于哪些需求能够为其开展正常的算力服务;
- 算力消费者是否进行分组服务,对计算要求较高或安全要求较高的消费者进行单独分组。
(3)计算节点编排及算力调度
算力网络对接入的异构网络、算力节点进行管理调度提供所需算力服务,需考虑以下安全问题:
- 当计算任务需要多个节点进行分布式处理时,节点之间如何进行互相认证,是否能够保证稳定的互相通信,从而保证计算过程中的安全性和稳定性;
- 如何评估算力任务分配的合理性,保证未对算力进行滥用;
- 是否需对任务进行计算能力的冗余配置,以防备节点服务中断等问题
- 当计算任务安全性要求较高时,如何与算力节点的安全能力进行匹配,是否需要对算力消费者提供安全性凭证。
(4)外包计算安全
当算力消费者将数据交给算力网络开展计算分析时,就开启了外包计算,为了保证计算过程的安全性和消费者数据的安全性,需考虑以下问题:
- 数据从消费者到计算节点的传输过程中,采用何种安全技术;
- 若计算环境是第三方应用提供,如何对第三方应用进行安全性评估;
- 如何对计算过程进行监测或审计,保证计算过程中计算节点未对数据进行篡改;
- 消费者如何对计算结果数据进行验证,保证收到的结果是按照需求计算的真实结果。
(5)计算审计溯源
数据在算力网络进行外包计算的整个过程中,存在初始数据被窃取、计算结果不可信等安全风险,这些问题还可能会引起算力消费者、算力网络运营方与算力节点提供方之间的争议。通过实施审计溯源手段,可为计算过程提供安全追溯能力,需要解决以下问题:
- 如何对消费者提供的原始数据进行标记,既不影响数据的计算使用,又能够对于数据流转的节点、进行的处理保持追溯能力;
- 如何对计算过程数据进行安全管理,对计算产生的中间数据进行存储和使用管控,实现数据使用的追溯;
- 如何对计算结果数据进行追溯,对数据从计算完成到传输至消费者的计算使用传输过程进行标记追踪,以便于对有问题的结果数据进行分析追责。
(6)算力交易安全
算力消费者与算力网络运营方通过交易方式,实现算力的提供和使用,在交易过程中需考虑以下安全问题:
- 算力交易节点(或平台)需要安全性更高的计算环境和网络稳定性,保障交易的安全性可靠性;
- 算力交易如何防止抵赖行为;
- 算力交易节点(或平台)如何与计算节点进行安全通信,以获取计算进度情况,计算节点如何证明计算的状态,从而保障交易顺利进行。
算力网络计算网络架构的变迁对安全提出了与时俱进的要求,在实现网络基础安全保障的前提下,让安全随业务灵活扩展,安全策略随数据流动,做到入网可保护,计算可追溯。
3. 算力网络安全架构
3.1 算力网络参考架构
根据ITU-T Y.2501,算力网络功能架构包括服务层、算力网络控制层、算力网络资源层、算力管理编排层,由各层功能协同执行算力网络中所有的业务流程。
- 服务层主要实现面向用户的服务、原子功能能力开放;
- 网络控制层主要通过网络控制平面实现计算和网络多维度资源融合的路由;
- 算力网络资源层主要提供算力资源、存储资源和网络转发资源;并结合网络中计算处理能力和网络转发能力的实际情况,实现各类计算、存储资源的传递和流动;
- 算力管理编排层主要解决异构算力资源、服务/功能资源的注册、建模、纳管、编排、安全等问题。
3.2 资源层安全
资源层包括数据在节点间流转所需的网络资源,计算任务执行所需的计算资源、存储资源及各类服务、应用等,是算力网络的坚实底座。资源层所涉及的各类资源及业务活动的安全是整个算力网络能够有序运行的基础。从资源层的构成,可将资源层安全分为计算环境安全、网络安全及应用安全。考虑到在资源层执行的业务活动,资源层还会涉及计算安全。
(1)计算环境安全
计算环境是计算任务执行所依赖的设备、系统、中间件等软硬件环境。与传统网络相同,算力网络中的计算环境会涉及物理安全、主机安全等通用安全维度,并适用相关安全措施。计算环境由算力节点提供,为实现泛在计算能力,算力网络存在引入集中式云计算平台、边缘算力节点、个人终端等多源算力节点的潜在需求,可能会涉及云安全、边缘计算安全等安全问题。相关安全措施不在此赘述。
与传统场景不同的是,对来自不同所有者的多样化算力节点提出统一的安全要求是不现实也不可行的,在算力网络中无法基于统一的标准对各个算力节点提出一致要求并施加相应安全措施。因此算力网络中的计算环境安全等级必然是多种类、多层级的,下至仅满足漏洞修复等基本安全要求的个人终端,上至具备可信执行环境、满足高标准安全要求的高可信终端。
(2)网络安全
算力感知及算力“传递”对跨系统、跨域甚至跨境的多场景点对点网络连接以及动态连接机制提出了需求,为攻击者提供了更多的攻击路径,增加了网络安全风险。为保证算力节点的安全及计算任务的正常执行,算力网络对网络安全提出了更高的要求。围绕算力消费者节点及算力节点的网络攻击威胁预警、检测和对抗将是算力网络安全的关键技术之一。在互联程度进一步升级的网络中建立定制化、细粒度的隔离机制,也是重要安全防护措施。
(3)计算安全
计算安全包含了计算任务数据安全以及计算结果的安全可信。
计算任务数据在网络节点、算力节点间流转,流转路径可预设但流转过程缺乏有效监督,数据安全受到来自恶意节点的威胁,除采用基本安全传输机制外,有必要对数据流转过程进行记录和审计,并形成流转感知视图,为用户了解计算任务实时流转情况提供途径;计算任务数据在算力节点中被处理,数据所有权与使用权发生分离,数据所有者缺乏对数据的有效保护能力。
使用隐私计算技术,如秘密分享、同态加密等技术,可保证算力节点在进行数据处理和计算过程中对原始数据不可见,防止敏感信息被算力节点窃取。在算力节点中支持机密计算技术,可信计算模块以外的任何软件包括内核和Hypervisor都无权限窥探该环境中的数据信息,用户数据可得到硬件级的保护,保证计算态数据安全。由于算力网络未来将服务于各类计算任务,包括低敏感计算任务类型如部分VR渲染,以及高敏感计算任务类型如重大科学计算等,对于不同的计算任务,安全、效率、成本等计算影响因素的重要程度各异。综合用户计算任务的安全需求和计算性能需求,从不同安全等级的算力节点及多样化计算方法中选择最适配的节点和方法,将能在不对算力节点进行改造的情况下最大程度满足用户需求。
计算任务外包至算力节点进行计算,用户对计算过程失去控制,无法确定计算结果的真实性。将计算过程关键信息及计算结果进行处理后上链存储,可实现对计算过程的复现及异常计算结果的追溯,定位异常算力节点,威慑算力节点潜在的违规行为。借助AI技术对算力节点计算相关操作进行智能分析审计,自动检测异常行为,可及时发现违规计算操作,识别不可信的计算结果,实现计算偏差的消除及计算结果的修正。在效率、算法等条件允许的情况下采用可验证外包计算方案执行计算,可直接从数据理论上对结果的正确性进行验证。
(4)应用安全
计算任务在一定的模型、函数下执行,算力节点具备算力提供能力的前提是已部署相关应用,可支持计算任务所需的模型、函数。在未来支持多种计算服务的算力网络中,必然会存在大量多种类应用。应用的安全涉及到算力节点安全及计算安全,建立集中的应用仓库并强化对应用的安全检测、审计将有助于为计算提供安全的执行环境。
3.3 控制层和编排管理层安全
控制层和编排管理层收集网络和算力信息,并根据用户需求分配计算资源,建立网络连接,是整个算力网络架构中核心功能层。控制层和编排管理层涉及算力调度安全及算网数据安全。。
(1)算力调度安全
调度功能决定了计算任务执行计算的方法、执行计算任务的算力节点以及计算任务在网络中的流转路径。恶意的或者被篡改的调度策略可能将敏感的计算任务分配到恶意算力节点,导致计算任务不能正常执行、敏感信息泄露或计算结果失真,调度过程中不能识别假冒的算力节点,也会造成相同的后果。将大规模的计算任务集中调度到特定的算力节点还可能造成拒绝服务攻击。调度策略是否能够正确决策、准确下发,影响算力节点的安全以及计算任务在执行过程中的安全。调度决策过程应该受到保护以及监控审计,防止被攻击者入侵。调度策略的下发过程需要采用传输加密、完整性校验等机制进行保护,防止调度信息泄露或被篡改,并在策略下发前对算力节点进行身份认证,防止计算任务被调度到假冒的算力节点。
(2)算网数据的安全
为了能够从大量的算力节点和多样化的路由方式中基于用户需求分析确定适当的目标服务节点和传输路径,需要获取管辖范围内所有算力节点的相关信息,包括设备的类型、能力、状态等,以及网络拓扑、网络状态等网络相关信息。上述信息可能被攻击者利用,成为网络攻击的辅助信息,算力节点相关信息的泄露还可能会违背算力节点所有者的意愿。网络和算力信息需要在传输、集中存储和使用过程中都需要受到保护,如加密传输、安全存储,以及对数据的访问和使用进行限制。
3.4 服务层安全
算力网络通过服务层将算力对外开放,服务层直接与用户进行交互,接收用户的身份信息及计算需求,与用户达成交易。服务层至少涉及用户接入安全、节点接入安全、交易安全,以及与用户达成算力交易之前的安全评估,防止本次算力使用引发不良后果。
(1)用户接入安全
服务层会为各种各样的算力网络消费者提供接入算力服务的入口,攻击者假冒合法用户接入服务或者合法用户接入服务后进行未授权的操作均会对服务稳定性、算力网络中的数据安全性造成影响。服务层需要对用户的身份信息进行验证,对用户可执行的操作进行限制,并采用安全存储、访问控制等机制保护用户信息,防止攻击者接入服务进行网络攻击或窃取敏感信息。
(2)节点接入安全
算力网络将会引入多类型算力节点,从物理位置上,可包含中心云计算平台、边缘计算节点,从拥有者属性上可包括大型企业节点、私有企业节点、个人节点等,从类型上可包括服务器、个人终端等。算力节点作为计算任务的承载方,节点是否安全可信直接关系到计算任务甚至网络的安全。在算力网络中有必要对算力节点进行全流程的安全评估、监测和管理,包括在将算力节点纳入算力网络进行统一编排,赋予其提供计算服务的资格之前,对节点进行安全评估,评估通过之后提供安全接入方式,并在算力节点接入网络后,对节点安全状态进行常态化监测。
(3)交易安全
算力交易涉及大量交易信息并包含算力网络对算力消费者的收费及对算力提供者的付费。交易安全包括交易信息的安全保护,与用户信息保护类似,涉及安全存储、访问控制等安全措施。在计费安全方面,可采用基于区块链的日志记录方式,对算力服务提供过程,包括服务时间、算力消耗、服务对象等信息进行记录并上链存储,确保计费可审计可追溯。
(4)算力使用安全
算力网络利用算力感知、算力调度等技术实现对传统网络中分散独立的各级算力节点进行统一管理和协同调用,通过将算力分解到多个可同时提供计算服务的节点,为用户提供“超级计算机”级的算力服务。强大的计算能力可解决科学计算、AI训练等计算密集型业务的需求,但是也为密码破解等攻击行为及难以预期的其他违反道德或法规的计算行为提供了条件。算力服务运营者有必要对算力使用的合理性和可控性进行评估,保证算力使用安全。
4. 算力网络安全关键技术
4.1 安全计算
泛在算力节点的接入,导致计算环境的安全不可控,用户数据面临的安全风险增加。为保障算力网络安全可靠的运行,需要加强算力节点和网络侧的安全能力。在算力网络中,以隐私计算、机密计算为代表的安全计算技术可以增强算力网络的安全管控能力。
(1)隐私计算
隐私计算是借助安全多方计算、同态加密等技术,在不泄露敏感数据前提下,对数据进行分析计算的技术。引入隐私计算,可依托多方算力,分治计算任务,融合中间数据得到最终计算结果,实现算力服务对数据的“可用不可见”,为用户提供安全的计算服务。
(2)机密计算
机密计算的核心是基于硬件的安全域划分,借助可信根构建可信执行环境,任何用户包括Hypervisor、系统root用户等等都无法访问该域内的应用和数据,保证了用户的应用和数据隐私,实现计算过程中对数据的机密性、完整性保护。
4.2 安全编排
安全编排是指将安全纳入算力调度的决策因素,在为用户分配计算资源时,综合考虑用户计算任务的安全需求、网络需求、计算需求,以及在网算力节点的安全类别级别、计算能力和网络状态,为用户选择最优适配节点及合适的计算方法。安全编排技术结合节点分类分级,实现了以节点为粒度的灵活安全灵活编排,可从安全角度,为计算任务动态匹配算力节点。其关键点如下:
(1)用户安全需求相关信息收集
安全编排要求用户在与算力网络进行算力交易前,提交安全需求相关信息,如本次计算任务数据类型、敏感级、数据量等可体现计算任务数据重要性的信息,或用户对目标算力节点直接的安全需求,如具备可信执行环境、非个人终端等。
(2)用户安全需求转化
需根据一定规则将用户安全需求相关信息转化为对算力节点的特定安全要求,识别出满足用户需求的一类算力节点,并根据计算任务数据特性或用户要求为计算任务设计适当的计算方法,如直接计算或采用适合的安全计算方法。
(3)调度及安全策略决策
综合算力、网络、安全因素,对目标算力节点、路由及计算方法做出决策。
4.3 数据溯源
算力网络为多种不同用户提供计算服务,保障数据安全,对发生的数据安全进行及时的追溯,是提高算力网络安全能力,运营方信誉的重要环节。
基于溯源技术可实现对数据所经过的流转路径、计算活动进行记录,当发生数据损坏、泄露等情况时,可对数据的流转和计算过程进行回溯。算力网络中,需对数据流转和数据计算过程进行追溯,数据对象包括消费者提供的数据、计算中产生的中间数据、计算得到的结果数据。
(1)消费者数据
消费者数据由消费者提供,经过网络的传输,在节点数据进行使用开展计算分析,需要提供流转过程溯源和计算溯源能力。
数据进入网络后会在不同节点进行传输,需要对数据的主要数据、敏感数据内容特点等进行记录,通过访问日志分析等方式对数据的流转情况进行监测。当发生数据泄露时,通过流转路径的回溯进行追责。
当消费者数据到底计算节点开展计算时,构建数据溯源模型,对每个步骤的分析记录溯源信息,当有计算结果争议或数据泄露时,可对每个步骤的计算分析进行回溯。记录的溯源数据不对原始数据进行破坏修改,以元数据的形式与数据共同存在。
(2)计算过程数据
计算过程数据主要是在开展计算服务过程中产生的中间数据,在消费者计算需求具有持续性、重复性或可能有争议性的情况下,过程数据可能需要传输或使用。
对于消费者前后计算需求类似的情况,可以基于中间数据进行计算,此时涉及到对过程数据的使用。为保障计算过程的可追溯,对数据的使用进行计算过程的记录和追溯。
过程数据一般在计算节点进行存储,不应在节点间进行传输。可提取数据主要信息,通过流转过程的监测,追踪是否有节点间违规传输中间数据的行为。
(3)计算结果数据
计算结果数据主要从计算节点传输至消费者终端,主要需对流转路径进行追踪溯源。
4.4 可信内生
算力网络可信内生安全是指针对一般性网络攻击能自我发现、自我修复、自我平衡;针对大型网络攻击能自动预测、自动告警和应急响应;应对极端网络灾难时能保证关键业务不中断。实现算力网络网元可信、网络可靠、服务可用的可信内生安全目标。
算力网络可信内生安全能力包括攻击免疫的边界防护能力、算力节点自身的安全能力、可追溯安全能力、泛在协同的智能安全感知和调度能力等。借助区块链技术进行算力网络节点自验证,可信计算对算力网络的网络域、设备进行可信标识,零信任机制对算力网络的访问进行动态授权,融合安全接入认证技术来处理算力网络大量异构硬件的接入等,可以构建可信内生安全体系,让安全成为算力网络自身基因,并使算力网络具备自免疫、自进化等安全特性。
4.5 操作审计
审计作为安全事件责任追溯的重要手段,是算力网络安全保障中不可或缺的环节。在日志记录充分的基础上,需要对以下方面开展操作审计:
(1)算力节点接入
为防止算力节点仿冒、被控制,接入后对算力网络或消费者数据造成破坏等情况,对算力节点的接入时间、IP等开展分析,审计节点接入行为。
(2)算力消费者行为
对算力消费者的登陆、提交计算申请的活动进行分析,审计是否有频繁提交等情况。
(3)算力编排调度
为防止算力滥用,对编排调度平台的调度操作进行审计,审计内容包括:
- 算力需求分解操作开展时间;
- 算力调度行为是否与需求时间匹配;
- 调度节点是否为通过验证的合法节点。
(4)计算活动开展
计算活动审计主要对计算节点的操作展开,审计内容包括:
- 计算过程开始、结束时间;
-计算过程中是否有额外的数据访问,如自行提供部分数据参与计算,从而影响计算结果; - 对于提供可信执行环境、隐私计算环境等特殊计算的节点,是否在其承诺的环境下开展计算。
(5)算力交易活动
对算力交易过程进行审计,审计内容包括:
- 消费者提交计算需求与支付金额是否匹配;
- 支付活动是否按照规定进行入账处理。
4.6 安全隔离
算力网络具有超大规模、高复杂、海量数据存储等特性,安全的边界更加难以区分,现有的安全域隔离方式的保障手段存在很大挑战,因此需要引入高安全隔离技术。具体包括:
- 访问控制:访问控制机制包括认证与授权。任何节点在接入算力网络时,都必须通过身份认证,防止非法节点接入。同时,用户在使用算网服务时需要经过授权,每个用户只能访问自己权限范围内的资源。
- 数据加密:敏感数据在落盘存储时进行加密操作,读取使用时自动调用解密算法完成解密操作,在不影响用户使用的前提下实现对敏感数据的隔离保护。
- 安全域划分:按照风险级别和安全能力对网络域进行划分,对每个区域进行层次化地有重点的保护,建立算力网络的纵深防御安全系统。
4.7 分类分级
算力网络中的分类分级可包括对交易信息、用户信息、节点信息等网络中收集存储的数据进行分类分级,以及基于算力节点安全属性,从安全角度对算力节点进行分类分级。对数据进行分类分级,可基于数据类别级别实施分级的安全保护,防止过度安全及安全措施的不足;对算力节点进行分类分级,可将网络中实际存在的多层级安全环境显性化、条理化,为算力节点的安全管理,计算资源的安全编排提供支撑。
- 数据分类分级:数据分类分级是数据安全领域常见方法,一般会根据业务属性将某领域内数据分为若干大类,再按照大类内部的数据隶属逻辑关系,将每个大类的数据分为若干层级,每个层级分为若干子类。在数据分类基础上,根据数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度,再对数据资源进行分级。
- 节点分类分级:节点分类分级可基于灵活的规则和维度,如基于节点的某一属性进行分类,再根据对节点的总体安全评估结果或对特定安全能力集合的具备情况进行分级。