從理論到實踐，全面打造三位一體可信網絡體系 構筑網絡安全屏障

通信世界網消息（CWW）在數字化轉型的浪潮中，網絡安全已成為關乎國家安全、經濟發展和社會穩定的戰略性議題。隨著5G、人工智能、物聯網、云計算等新一代信息技術的廣泛應用，網絡攻擊的手段日益復雜化、智能化，攻擊目標也逐漸向關鍵信息基礎設施和核心業務系統滲透。傳統的被動防御模式已難以應對當前的網絡安全威脅，需要構建更加主動、智能、全面的網絡安全防護體系。

在此背景下，中國聯通作為安全產業生態鏈鏈長，始終以國家網絡安全戰略為導向，深耕可信網絡技術研發與標準體系構建領域。而作為中國聯通技術創新的核心支撐力量，中訊郵電咨詢設計院有限公司（以下簡稱“中訊院”）在中國聯通的指導下攜手產業伙伴走出了一條從理念創新到實踐落地的探索之路。

理念首發：創新提出三位一體的可信網絡架構

2023年7月，中訊院充分發揮網絡技術優勢，支撐中國聯通全面打造可信網絡技術架構，并聯合中國信息通信研究院及國內主流設備供應商等合作伙伴正式發布基于“設備-網絡-管控”三維架構，面向數字經濟時代網絡安全與運營商未來網絡發展的《可信網絡白皮書》。“設備-網絡-管控”三位一體可信網絡架構如圖1所示。

該白皮書首次定義了可信網絡的概念，并首次提出了“可信網絡”這一創新性系統架構，通過構建可信網絡架構，實現對網絡威脅的精準識別、快速響應和有效防御，為數字時代的網絡安全提供了全新思路。“可信網絡”的核心思想是以內生安全、縱深防御、安全可視、安全協同、安全韌性、超高可靠等為設計目標，搭建了以設備可信、網絡可信、管控可信組成的可信網絡技術方案總體架構。該新型網絡安全防護思路將信任邊界延伸到網絡和設備內部，將安全基因融入網絡基礎設施，構建縱深防御能力，從安全內生的視角解決安全問題，更好地保障網絡安全，提升網絡服務效率和質量。

圖1 “設備-網絡-管控”三位一體可信網絡架構

設備可信是“可信網絡”的基礎，通過軟硬件等關鍵能力的構建，實現內生安全的全生命周期防護。具體而言，設備可信以硬件級安全為根基，結合可信計算、安全啟動等技術，確保設備從出廠到運行的全生命周期安全可控。在軟件層面，設備可信通過代碼簽名、漏洞管理等措施，實現軟件“零篡改”；在數據層面，可實現數據“零泄密”、安全態勢自感知，及時發現潛在威脅。

網絡可信以設備可信為基礎，通過網絡關鍵能力的構建，實現路由、業務、協議全方位的可信保障。網絡可信通過加密路由協議和異常流量檢測算法，確保路由“零劫持”；采用身份認證和加密通信技術，實現協議“零仿冒”；在網絡攻擊識別方面，通過智能化的異常行為分析，主動識別潛在威脅，構建起全方位的網絡可信體系。

管控可信通過設備內生安全能力與“安全大腦”的協同聯動，持續檢測全域設備的安全態勢，實現一體化的安全防御。管控可信的核心在于業務風險的實時感知和安全策略的自動化編排，通過智能化的安全決策系統，快速響應安全事件，提升安全有效性和運維效率。這種管控模式不僅能夠實現對網絡威脅的精準打擊，還能顯著降低人工干預成本，提升整體安全運維效率。

實踐探索：從理論到實踐的關鍵一步

中國聯通對可信網絡理念進行了實踐探索。在北京，中訊院攜手北京聯通在核心路由器上成功部署創新性路由安全解決方案。該方案憑借強大的多維度統一管理能力，可實時感知并分析域內、跨域節點的千萬級路由信息，快速發現并定位路由波動及異常問題，顯著提升了IP網絡的運維效率和智能化運維能力，為業務連續性和網絡穩定性提供了堅實保障。在廣東，中訊院支撐廣東聯通部署落地DDoS“閃防”解決方案，將DDoS攻擊檢測能力下沉到核心路由器上，結合嵌入式AI算法，動態學習報文速率、包長、微突發等信息。相比傳統的DDoS攻擊檢測攻擊發生61秒后才實現防御，“閃防”技術實現2秒發現攻擊、5秒完成流量清洗，成功保障了業務的穩定運行。經過在上述省市的實踐探索，中國聯通成功打造了一系列可信網絡實踐的優秀案例，并于2024年7月在中國聯通合作伙伴大會上發布《可信網絡實踐白皮書》。該白皮書系統闡述了設備可靠性構建、DDoS智能防護等關鍵能力的現網實踐成果。

在可信網絡實踐的道路上，中訊院始終堅持以創新驅動發展，從未停止探索和實踐，持續推動可信網絡技術的演進與應用落地，為行業樹立了標桿。2025年6月，中訊院主導設計試點方案，聯合湖北聯通成功落地了以“設備可信”為核心的里程碑式網絡安全防御實踐。通過現網核心路由設備構建的內生安全防御系統，實現了關鍵技術突破：首先是構建了“偵防一體”的主動防御體系，將安全能力植入網絡基礎設施，通過“上帝視角”實現網絡威脅的實時感知與精準攔截；其次是創新應用AI推理技術，實現了對未知威脅的智能預判和處置；最后通過分鐘級響應和溯源機制，大幅提升了國家關鍵信息基礎設施的抗打擊能力。

通過在北京聯通、廣東聯通、湖北聯通的實踐應用，“可信網絡”不僅驗證了技術的可行性和有效性，為運營商網絡安全提供了全新的防護模式，也為其他地區的推廣和應用提供了寶貴的經驗，更為國家關鍵信息基礎設施的保護樹立了行業標桿。

行業認同：企業實踐上升為行業標準

2024年12月，中訊院主導的中國聯通可信網絡企業標準正式定稿，該標準明確了可信網絡的框架設計、核心條款、技術要求、實施流程及評估方法，這標志著可信網絡構建具備了可參考的企業標準，也為中國聯通可信網絡規模化部署提供了技術依據。2025年3月，由中訊院牽頭申報的可信網絡行業標準成功立項，這意味著中國聯通構建的可信網絡體系獲得了行業廣泛認同，將企業實踐擴大為行業準則，為整個通信產業的安全演進提供了權威規范。

繼往開來：從可信網絡到AI WAN持續創新

從理念首發到實踐探索，從企標制定到行標立項，中訊院始終堅守“技術立院”初心，深度融合標準制定、技術研發與現網實踐，通過持續迭代優化，穩步推動可信網絡從架構設計走向多場景規模化落地，為數字經濟高質量發展筑牢安全底座。這一堅實的可信底座，不僅為數字經濟高質量發展筑牢安全防線，更為AI WAN的創新演進奠定了核心技術根基。

作為AIWAN的安全基石，可信網絡構建的軟硬件全生命周期可信體系、多維度安全防護能力，為未來AI算法部署、智能調度決策提供了不可替代的安全保障，是AIWAN實現“智能”與“安全”協同發展的核心前提。

未來，中訊院將持續依托中國聯通網絡安全現代產業鏈鏈長優勢，全面踐行網絡強國戰略，當前以湖北聯通等省公司試點為代表的成功實踐，正是對未來構建AI WAN安全內核的關鍵探索。在此基礎上，中訊院將聚焦基礎網絡安全核心領域，構建覆蓋軟硬件全生命周期的全方位、多層次安全防護體系，推動網絡從“可信”向“智能”演進，全力打造安全可信、穩定可靠的AI WAN，為中國聯通網絡安全戰略落地實施提供堅實支撐，并以高可靠、高智能的聯接能力，為建設數字中國貢獻力量。

*本篇刊載于《通信世界》2025年12月10日*

第23期 總981期