芯启源DPU助力网络数据安全建设

2025开年，我国《网络数据安全管理条例》（以下简称《条例》）正式开始施行。同时，国家发展改革委、国家数据局、工业和信息化部印发《国家数据基础设施建设指引》（以下简称《指引》）的通知。2部国家级网络数据安全相关法规及指引落地，全面吹响了网络数据安全建设的“冲锋号”！

芯启源DPU（Data Processing Unit）作为新一代高性能数据处理器，在网络安全领域具备独特的技术优势，能够有效支撑《国家数据基础设施建设指引》中提出的安全防护体系构建目标，并深度契合《网络数据安全管理条例》对数据安全治理的核心要求。

一、强化数据基础设施安全架构

1. 硬件级安全隔离与可信计算

•政策依据：《指引》强调构建"物理安全、网络安全、数据安全、应用安全"多层次防护体系。芯启源DPU通过硬件卸载能力，将网络、存储、安全功能从CPU剥离，形成独立的安全处理域，实现物理隔离的零信任架构，避免主机侧漏洞对安全功能的渗透。

•技术实现：芯启源DPU内置硬件级可信执行环境（TEE）和安全启动机制，确保密钥管理、加密算法等核心安全模块不可篡改，符合《条例》第21条对"数据处理活动全流程可追溯"的要求。

2. 高性能加密卸载与隐私计算

•政策契合：《条例》第30条要求"优先采用密码技术保障数据安全"。芯启源DPU集成国密算法（SM2/3/4）硬件加速引擎，支持线速加密/解密，在政务云、金融交易等场景中实现TB级数据流的无损加密传输，解决传统软件加密导致的性能瓶颈问题。

•场景应用：结合《指引》提出的隐私计算技术应用，DPU可支撑多方安全计算（MPC）硬件加速，在医疗数据共享等场景中实现"数据可用不可见"。

二、提升网络数据安全治理能力

1. 智能流量识别与分类分级管控

•合规支撑：依据《条例》第7条数据分类分级要求，DPU通过可编程数据平面（P4语言）实现实时流量深度解析（DPI），自动识别敏感数据类型（如个人信息、地理信息），动态执行差异化访问控制策略。

•技术优势：相较于传统防火墙的规则匹配模式，DPU基于流特征的微秒级策略执行效率可提升10倍以上，满足《指引》对"安全防护与业务处理同步"的要求。

2. 东西向流量精细化防护

•架构创新：针对云数据中心内部东西向流量盲区，DPU在服务器节点间构建分布式微隔离，通过硬件标记技术实现虚拟机/容器级微分段，有效遏制横向渗透攻击，响应《指引》"强化内生安全能力"的部署方向。

•性能指标：单芯片支持百万级安全策略表项，时延低于5微秒，保障业务无感知的安全防护。

三、构建主动式安全监测响应体系

1. 全流量威胁检测与取证溯源

•技术突破：芯启源DPU内置流量镜像引擎，可无损复制业务流量至安全分析平台，支持《条例》第35条"网络日志留存不少于六个月"的合规要求，同时通过硬件时间戳确保日志完整性。

•威胁狩猎：结合AI模型实现加密流量异常行为检测（如TLS握手特征分析），提前识别APT攻击链，满足《指引》"构建威胁情报驱动的主动防御"目标。

2. 弹性安全资源池化

•动态扩展：通过芯启源DPU集群构建软件定义安全资源池，按需弹性分配防火墙、IDS等虚拟化安全功能（vFW/vIDS），响应《指引》"推进安全能力服务化"的云化部署要求。

•能效比优化：相比x86服务器部署安全中间件，DPU方案可降低90%的算力消耗，实现《条例》第40条"数据安全与业务发展平衡"原则。

四、助力跨境数据安全合规

数据出境安全网关

•技术方案：基于芯启源DPU构建专用数据跨境通道，集成数据脱敏、出境审计功能，支撑《条例》第36条"数据出境安全评估"的技术实现，确保传输过程符合《指引》"构建安全有序的跨境数据流动体系"要求。

•性能保障：在100G或者未来更高的链路中保障高带宽和低时延性能，并且实现深度报文检测和敏感字段过滤。

芯启源DPU通过硬件卸载加速、安全功能原子化、策略执行近数据化三大技术路径，在网络安全领域实现了"合规性、性能、成本"的三角平衡。其技术特性与《国家数据基础设施建设指引》、《网络数据安全管理条例》的安全目标形成深度共振，尤其在云原生安全、隐私计算、跨境数据流动等新型场景中展现出不可替代的战略价值，为国家数据安全体系构建提供了坚实的"芯片级"基础设施支撑。