邊緣計算應用背景下企業安全問題研究

摘 要：邊緣計算的大規模應用必將改變企業信息系統的安全格局，論文從邊緣計算的角度，分析了邊緣計算技術應用對企業信息系統安全的影響，并提出了相應的應對措施。

關鍵詞：邊緣計算； 企業信息系統安全

中圖分類號：120.5099 文獻標識碼：A

1 引言

隨著邊緣計算技術應用范圍越來越廣泛，邊緣計算的安全問題引起人們的廣泛關注。邊緣計算使用網絡邊緣的設備來處理據，這給各行業都帶來了新的機會，使人工智能等新技術得到了更大范圍應用成為可能，同時也使計算資源和計算能力能夠取得更廣泛的服務領域。但是，由于邊緣計算技術不再只局限于像數據中心，或機房這樣具備安全設施保護的環境中運行，而是在不同的環境狀態下運行，尤其是會在各種相對開放的空間中運行。所以，邊緣計算技術的應用，將在的一定程度上改變現有的企業安全格局，需要建立新的安全體系，以應對邊緣計算技術應用所帶來的挑戰，為新型技術的應用和發展保駕護航。

2 邊緣計算及其應用

2.1邊緣計算技術

邊緣計算是指在靠近物或數據源頭的一側，采用網絡、計算、存儲和其他的相關應用程序等資源，一起配套形成不同復雜程度的計算處理能力，搭建成為一個一體化的開放的微計算平臺，為數據源頭的設備提供就近的計算服務的一套系統。邊緣計算能夠對相關的外部數據和信息輸入進行直接的分析和判斷，并可能會在系統的授權范圍內，根據邊緣計算的分析和判斷，采取相應的應對措施，而不必等到將數據傳輸到企業的數據中心或云平臺，然后經過數據中心的集中統一分析、處理，然后形成判斷，再由數據中心根據該判斷，發出相應的控制執行指令到相關的控制終端，再進行相應的決策。

邊緣計算的這種特性，使得邊緣計算應用程序能夠在網絡的邊緣側對數據進行處理，因此能夠對外界作出快速響應，甚至可以實時地作出網絡服務響應。因此邊緣計算不僅能夠減輕物聯網的傳輸壓力，緩解數據中心或云平臺的計算瓶頸；更關鍵的是能夠提高整個系統對外界的反應速度，提高智能系統計算資源的配置效率，而且由于邊緣計算技術改變了數據的集中存儲方式，該技術架構可以根據計算的需要對數據實現了一種特殊的分布式存儲，因此在一定程度上改變了企業信息系統的安全格局。

隨著物聯網技術的發展，在網絡邊緣產生的數據正在迅速增加，迫切需要邊緣計算能力來緩解數據的大量傳輸和處理對物聯網、數據中心或云平臺造成的壓力，以滿足各領域，尤其是智能制造領域和無人駕駛等服務領域對實時業務、應用智能、安全與隱私保護等方面的計算需求。如果能夠在網絡的邊緣結點存儲、計算、處理、分析物聯網相關節點所收集到的數據，這樣的計算系統肯定會更加高效、更加穩定，這就是邊緣計算技術出現的背景。當前許多新的計算體系架構正在不斷涌現，因為隨著物聯網的發展，云計算作為支持物聯網技術發展的配套技術，其處理數據的高效性還是受到了較大的限制。

2.2 邊緣計算的技術特點

感知和計算能力的融合。因此邊緣計算能夠對物聯網實現升級，借助邊緣計算技術能夠為傳統物聯網進行賦能，讓物聯網除了傳統的感知功能、傳輸功能之外，還具有數據存儲、計算等方面的功能，以及相應的決策、判斷、控制，以及發布和執行相關控制指令的功能。邊緣計算技術的應用，意味著許多控制將通過以物聯網形式聯結的本地設備就可以實現，而無需交由遠程的企業數據中心，或者“云端”進行處理，相關的計算處理過程在物聯網感知終端，經過本地的邊緣應用程序來完成，極大提高了物聯網響應外部環節變化的敏捷性。

計算和決策能力的集成。對于制造企業來說，物聯網技術與邊緣計算技術的融合，無疑會極大地提升整個企業制造系統的數據處理效率，減輕企業數據中心的負荷；更為重要的是由于能夠更加靠近用戶，就可以為用戶提供更快的響應能力，將一些微需求在物聯網的邊緣端解決，實現計算能力與決策能力、執行能力之間的集成，讓整個系統的決策過程更有效率。

增加了企業計算系統的層次。從技術上來說，邊緣計算技術就是將原來屬于數據中心或云平臺的一部分功能轉移給邊緣計算節點。而這些轉移的計算功能一般來說需要相對較小的計算資源、能夠實現獨立的決策和判斷、與系統其它方面的數據聯系少，能夠根據相對單一的數據源就能夠進行決策。因此，相對于傳統大型的數據中心，或者是云計算平臺，邊緣計算設備終端只應該是一種微計算平臺，只能夠承擔相對簡單的計算任務。

2.3“云”與“端”協同的信息系統安全

實現“云端協同”，提高了企業信息系統效率。所謂“云端協同”即云和端相互合作、互相滲透和融合，這里的云指的是“云計算”或者說“云數據中心”，而端指的便是擔當終端的“邊緣計算”。因此，在未來“云端協同”的信息系統中，“云”更像是扮演企業集中式協調管理的角色，成為一個具有分布式集體智慧的云大腦。而“端”則根據“云”的協調，承擔“云”賦予的角色和職能。

改善了信息系統安全架構。在企業層次來說，由于相關數據可以被分布處理，可以提高整個企業制造系統應對突發事件的應對能力，增強了系統的魯棒性和穩定性。但同時又由于在整個信息系統中增加了更多的終端，而且又由于不同物聯網終端需要不同的計算能力，需要開放不同的數據權限和性能需求，因此又可能會給整個系統造成更多的漏洞，引發新的安全問題。因此，在進行邊緣計算系統設計時，需要綜合平衡邊緣計算技術給系統帶來安全方面的收益和風險，保證系統能夠實現最大的效益。

3 邊緣計算的安全特點

3.1 邊緣計算的物理安全

隨著物聯網技術的發展，網絡邊緣側設備迅速增加，設備產生的數據存量達到澤字節的級別，從網絡邊緣設備傳輸傳輸海量數據到云數據中心致使網絡傳輸寬帶的負載量急劇增加造成較長的網絡延遲，單純的云計算已經不足以匹配如此龐大規模數據量的即時計算。

但是，由于邊緣計算是利用靠近數據源的邊緣地帶來完成的運算程序，邊緣計算的運算，既可以在大型運算設備內完成，也可以在中小型運算設備、本地端網絡內完成。用于邊緣運算的設備，可以是智能手機這樣的移動設備、PC、智能家居等家用終端，也可以是ATM機、攝像頭等終端。例如，邊緣計算在制造領域中的應用就可能會在高污染、高震動，甚至會有碰撞的不可控環境下運行，所以其物理安全是一個重要的關注點。

邊緣計算的物聯網安全問題突出。要關注物聯網設備的物理安全，還要關注有線或無線傳輸網絡的物理安全，以及邊緣計算節點的物理安全等。相對于傳統的集中式計算中心設置來說，邊緣計算要求的物理安全更復雜，對物理安全方面的要求更高。

3.2 邊緣計算的網絡安全

邊緣計算技術作為云計算技術的一種發展，將分布式計算技術發揮到了一個新的高度，能夠充分利用相關的計算資源，實現對系統計算資源的充分利用。同時，從計算資源分配的角度來看，邊緣計算技術無疑是一種非常有效的計算技術，能夠在現有技術條件下實現對系統計算資源的有效利用。

但是，分布式計算在獲取計算效應最大化的同時，也導致了對網絡的依賴，以及對網絡安全性的更高要求。邊緣計算從其出發點來看，主要是應用于大型的物聯網計算環境之中，主要是應對物聯網終端數據的大量采集和中央云數據平臺計算能力有限之間的矛盾。與此相伴，邊緣計算也會利用到大量的網絡，尤其是各種承載邊緣計算微數據中心的網絡節點。這就會導致網絡安全問題凸顯。

尤其是在無線網絡環境下，無線傳輸的信息很容易受到電磁干擾，甚至被劫持，導致傳輸信息的失敗。因此，在通信加密、身份鑒別、網絡協議漏洞等方面尤其需要重點關注。

3.3 邊緣計算的數據安全

傳統 CDN 借助緩存數據，提高近地節點數據傳輸的性能，但是實際上對動態的計算服務，就只能回源到數據中心，這個成本本身其實是很高的。邊緣計算和傳統的中心化思維不同，其主要計算節點及應用分布式地部署在靠近終端的微型數據中心，這使得無論是在服務的響應性能，還是可靠性方面都是高于傳統中心化的云計算布局。邊緣計算保障大量的計算，需要在離終端很近的區域完成計算，完成苛刻的低延時服務響應，但也帶來了相應的數據安全問題。

邊緣計算技術基礎是數據的分布式存儲和處理，這就要求中央的云數據中心需要預先設置數據的存儲和傳輸策略，保證信息處理的及時性。但是承載邊緣計算的微信數據中心在數據安全性方面的設置明顯要低于中央的云數據執行，這體現在對數據清洗的嚴謹性性、對數據的備份、對數據的效驗，以及對數據計算結果的驗證等。

盡管邊緣計算技術能夠在一定程度緩解傳統數據“安全”層面的問題，畢竟數據傳輸的距離越遠、路徑越長、時間越久，數據的被竊取風險和丟失風險也就越高。但是這種相對“簡易”的微數據中心架構，也將使數據可能更容易被劫持、被篡改，使邊緣計算處于分布式的威脅之中。

3.4 邊緣計算的應用安全

對于大量部署的邊緣計算的邊緣計算節點來說，隨著企業整體戰略轉型、外部競爭格局的變化，以及企業信息系統架構的變更等，需要對邊緣計算微數據中心內的計算程序、存儲程序、最終功能承載、數據收發機制等內容變更，而且這種變更還不是統一的，對于不同的邊緣計算節點和微數據中心需要進行不同的變更。這就會帶來相應的安全方面的問題。

因此在對各邊緣計算中心或節點進行程序變更時，需要就行程序安全性測試、相關業務交往的防抵賴測試、業務資源的訪問控制驗證、相關的身份鑒別測試、系統的備份和恢復機制檢查，以及對業務數據的唯一性、一致性和防沖突檢測，對數據的保密性、可靠性等的測試等。這些問題原來集中統一的中央云平臺管控下不是什么問題，容易集中進行管理，但是如果分布在成千數萬個各不相同的微數據中心節點，則這些應用軟件確實需要一個更有效的方式進行管理，否則邊緣計算不能夠發揮出其應有的效果。

3.5 邊緣計算的運行和管理安全

傳統的集中的數據中心模式由于數據集中管理，因此只要管理好數據中心，其他都應該不是什么問題。但是在邊緣計算模式之下，數據中心的存儲、處理、計算等功能交由大量的邊緣計算節點來完成，而且各節點承擔的功能和任務還存在著很大的差異，這就給整個信息系統計算資源的管理和數據處理帶來了很多新的問題。

從管理的角度考慮，邊緣計算技術的應用帶來的管理安全方面的問題包括人員的安全管理問題、人員培訓問題、應用系統的管理問題，以及軟件、文檔、設備、操作、運行等各個方面、各個層次的管理問題。而從邊緣計算系統運行的角度來看，各種系統應急處置的機制、系統安全的監控、系統安全性能的定期評估、系統的升級和補丁策略、災難恢復和預防、系統的優化和改造等都需要邊緣計算系統管理者進行統籌協調、整體考慮。

3.6 邊緣計算與隱私保護

邊緣計算可以利用局域網技術，讓在同一局域網內的計算節點能夠通過Socket與邊緣設備或服務器進行連細節，自主選擇通訊目標，建立起局域的私有通訊網絡。這樣消息就不再需要通過云服務器轉發，只需要在局域網內傳輸就可以。局域網的邊緣設備還可以進行數據加密，成為數據加密平臺，降低了隱私數據被誤用，甚至被盜用的風險[1]。

例如，運動醫療傳感器所采集的數據需要進行處理和計算時，其中包含著用戶的隱私信息，但是由路由器的地址可以追蹤到用戶的信息。隨著智能家居的普及，家庭都會有網絡攝像頭等信息采集終端，如果將這些數據直接傳輸到云計算中心，這樣不僅會占有帶寬，而且還存在泄漏因素的風險。而如果就在家庭局域網內部進行計算，只是發現風險之后才發出報警信息，則就可以極大地降低這樣的隱私暴露風險[2]。

在邊緣計算系統中，很多傳感器所采集到的數據需要通過邊緣計算節點來進行存儲和處理。在邊緣計算節點設置隱私數據文件管理系統，當本地數據被云端服務器調用時，需要通過邊緣設備進行中轉，此時邊緣設備向用戶發送指令來確定此類指令是否可以被調動，以獲得認可。甚至有些包含個人隱私的數據，只需要定期從本地消除，或者是直接從本地下載存儲，而不需要和云端服務器有任何關系。一方面降低云端服務器的存儲和壓力，而且還能夠有效地保護了個人隱私。

4 邊緣計算的信息安全應對策略

邊緣計算作為一種新的技術理念重新定義了企業信息系統中云、管、端的關系，帶來了安全方面的技術變革。從其特征上來看，邊緣計算技術主要突出了幾個方面的特點：一是處理的敏捷性；二是支持業務的智能化與運行；三是異構數據之間的互操作性能力的要求；四是對安全和隱私保護提出了更高的要求。對于制造企業來說，業務邊緣用于匯聚邊緣設備的信息，如機器人、傳感設備等信息在此處匯集并處理。此類設備可以部署在制造車間、辦公區域或家庭區域，用于支撐區域范圍內的信息集中、交互、處理。

4.1 邊緣計算的質量要求

邊緣節點的服務管理需要保證一個高效可靠的系統。邊緣計算系統需要確保邊緣節點能夠實現高的吞吐量，并且在承接額外計算工作量時能夠可靠地運行。邊緣計算能夠提前檢測到具有高風險的節點，從而避免節點的丟失都有可能導致服務不可用方面的風險。節點之間要能夠互通狀態和診斷信息，保證數據在傳感和通信方面的可靠性等，只有邊緣計算系統實現了這些方面的要求，才能滿足邊緣計算系統對質量方面的要求。

對于完善的邊緣計算系統來說，不同的服務應該有差異化的優先級劃分。比如，有關事物判斷和故障警報這樣的關鍵服務就應該高于其它一般的邊緣計算方面的服務，有關人類身體健康方面的計算，如心跳檢測相關的服務就要比娛樂相關服務的優先級要高一些。因此，邊緣計算系統需要在邊緣計算的優先級做出機制策略方面的規定。這些質量方面的要求都需要在邊緣計算安全策略方面做出說明，才能夠保證系統的正常運行。

4.2 構建邊緣計算系統的信息安全體系

構建適應邊緣計算特點的安全防范體系是保證邊緣計算發展的基礎，傳統的企業安全防范體系（Enterprise Information Security Resource Management，EISRM）是實現企業信息安全資源綜合管理的理論體系。該框架體系反映了企業信息安全管理方面的六項能力：即預警能力、保護能力、檢測能力、反應能力、恢復能力、反擊能力，其核心是實現企業信息安全資源的綜合管理。EISRM有兩大主要特征：其一，信息安全是非常重要的企業基礎資源，信息安全得不到保障，企業的信息化管理就是空中樓閣，從而影響到整個企業管理水平的提升，甚至對生產經營造成危害，對國民經濟具有重要意義的企業更是帶來極其嚴重的社會影響；其二，信息安全是一種綜合資源，而非單一的技術系統，包括企業能力、人、技術、政策都是其密不可分的組成部分，只有將這些相關資源整合成一套體系，才是真正意義上的信息安全。

建立安全體系的目標是改變目前企業信息安全管理的格局，變安全管理被動應付多于主動防御的狀況，要高度重視安全防范方面的工作，而且是以系統的形式進行防范。在邊緣計算的復雜系統中，沒有做好前期的預防準備，而是等出現問題才去想補救的辦法，不是建立在風險評估基礎上的動態的持續改進的管理方法，同時在日益復雜的信息系統環境中也基本是不可行的。

4.3 加強授權和審計方面的安全管理

隨著企業信息系統的日益復雜，對企業信息系統中的授權和審計管理方面的工作應該更加嚴謹。信息系統安全審計是評判一個信息系統是否真正安全的重要標準之一。企業信息系統安全審計通過收集、分析、評估安全信息、掌握安全狀態，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統調整到“最安全”和“最低風險”的狀態，實現對企業信息系統安全方面的不斷優化。安全審計目前已成為企業內控、信息系統安全風險控制等不可或缺的關鍵手段，也是威懾、打擊內部計算機犯罪的重要手段。

在國際通用的CC準則（即ISO/IEC15408-2：1999《信息技術安全性評估準則》）中對信息系統安全審計（Information System Security Audit，ISSA）給出了明確定義：信息系統安全審計主要指對與安全有關的活動的相關信息進行識別、記錄、存儲和分析；審計記錄的結果用于檢查網絡上發生了哪些與安全有關的活動，誰（哪個用戶）對這個活動負責；主要功能包括安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。這些功能對于日益復雜的邊緣計算系統安全來說，顯得尤其有必要，建立和執行相應的企業信息系統安全審計制度也就成為企業管理的必要組成部分。

信息系統安全審計體系也需要與時俱進，以適應企業新的信息系統進行信息安全審計的需要。信息系統安全審計通過運用各種技術手段，洞察網絡信息系統中的活動，全面監測信息系統中的各種會話和事件，記錄分析各種網絡可疑行為、違規操作、敏感信息，幫助定位安全事件源頭和追查取證，防范和發現計算機網絡犯罪活動，為信息系統安全策略制定、風險內控提供有力的數據支撐。也就是說針對新的企業信息系統特點，企業需要根據安全審計的相關規則，進行靈活地細化，以適應企業信息安全管理的需要。

4.4 加強對邊緣數據節點的安全管理

對大多數單位的信息系統管理人員來說， 傳統的客戶端的管理是最頭痛的問題， 只有得力的措施才能解決這方面的問題。而在邊緣計算環境中，對邊緣計算節點的安全管理將更加復雜，對邊緣計算節點的安全管理即包括對計算節點的物理安全管理，同時還包括相應的數據安全管理、應用安全管理方面的問題。因此從企業信息安全管理方面來說，需要綜合系統的角度來統籌規劃邊緣計算節點方面的安全。

首先，需要將邊緣計算節都加入到安全管理域中，因為只有這樣， 邊緣計算節點安全才能納入管理員集中管理的范圍之內，也才能夠置于有效的企業信息安全體系的監控之下。對于邊緣計算節點來說，由于其處于整個企業信息系統的方法核心，是企業云數據中心的有機組成部分，因此還需要將邊緣計算節點根據其重要性劃分到企業信息安全的重點域之中，進行重點管控。

其次，做好對用戶與操作人員的權限管理。只給一般用戶和操作人員以普通域用戶的身份登錄到安全域， 因為普通域用戶不屬于本地Administrators 和Power Users 組， 這樣就可以限制他們在本地計算機上，或者是邊緣計算節點安裝大多數軟件（ 某些軟件普通用戶也可以安裝） 。對于普通用戶來說，當然為了便于用戶工作， 應通過本地安全策略， 授予他們“關機”“修改系統時間”等權利，授予邊緣計算節點附件的操作人員相應的權限，以應對相關的不可預測的風險。

第三，實現邊緣計算節點和客戶端操作系統補丁程序的自動安裝。對于邊緣計算系統來說，邊緣計算節點和客戶端操作系統補丁的自動安裝不僅關系到企業信息系統的運行效率，同時也關系到企業的信息安全問題。尤其是當一些緊急安全事件發生時，邊緣計算節點和客戶端操作系統安全補丁和系統自動更新系統的安裝就顯得更加迫切，以便同步實現邊緣計算節點和客戶端防病毒軟件的同時自動更新，增強企業信息系統的應急安全管理。

4.5 利用大數據技術進行安全行為分析

對于邊緣計算信息系統的安全問題，需要綜合應用大數據技術和物聯網技術，通過對企業信息系統重要的設備和資產按照代理監控系統，采集各種設備的運行狀態，以及對相關操作人員的行為特征進行分析，發現現實或潛在的安全隱患，這也就是利用大數據信息安全日志審計分析的方法來進行邊緣計算系統的安全管理。

在大數據環境下對采集到的海量安全數據進行進行分類，并按照一定的標準進行歸一化處理，使用基于大數據集群的分布式計算框架，同時結合基于大數據集群的復雜事件處理流程作為實時規則分析引擎，從而能夠高效并行地運行多種規則，并能夠實時檢測異常事件，防范信息安全事件的發生。

對于像邊緣計算信息系統這樣的大規模分布信息系統來說，必須要借助大量分布的監控終端來實現對整個系統的監控。而對于大量的操作人員的安全管理，也應基于大數據分析，發現可疑的操作行為，及時制止正在進行的危害系統安全的行為。如在企業網絡系統中，大范圍分布的網絡設備、安全設備、服務器等實時產生的日志量非常大，要從其中提取想要的信息非常困難，而要從設備之間的關聯來判斷設備故障也將是一大難點。

4.6 強化對人員方面的安全管理

對于我國大多數企業來說，普遍存在重視安全技術，忽視安全管理方面的問題，但事實上，信息安全的更多的是由人的有意行為和無意行為所引發的。企業愿意在防火墻等安全技術上投資，而相應的管理水平、手段沒有體現，包括管理的技術和流程以及員工的管理等方面都存在安全方面的問題。

事實上，在未來企業中，隨著機器人等智能技術的普及，人的作用會成為系統的監控者，并且人的作用借助智能技術會被放大，如在邊緣計算系統中，最大的安全威脅可能來自于現場的操作人員。這些現場操作人員由于不好監控和跟蹤，而會有意或無意的制造安全方面的問題，而且問題還不好追查。因此，在安全管理中不夠重視人的因素所引起的安全問題會更加突出。同時對于大多數企業來說，還缺乏懂得管理的信息安全技術人員，導致企業在安全體系的建設方面缺乏整體觀和大局觀，沒有將安全提高到企業戰略的高度進行布局，這是導致未來企業可能安全問題突出的根本原因。

5 結束語

當前信息技術日新月異，信息安全技術也需要隨需而變，以適應不斷變化的信息技術應用環境的需要。邊緣計算是云計算發展的一個新的形態，因此需要在傳統云計算安全的基礎上，還需要充分考慮到邊緣計算可能給整個云平臺帶來的安全威脅。

參考文獻

[1] 王豐，文紅，陳松林，等.邊緣計算下移動智能終端隱私數據的保護方法[J].網絡空間安全，2018（2）：47-50.

[2] 施魏松，孫輝，曹杰，等.邊緣計算：萬物互聯時代新型計算模型[J].計算機研究與發展，2017，54（5）：907-924.

[3] 盧光明.智能制造人機協同制造系統安全問題及其應對措施[J].網絡空間安全，2018（2）：26-33.

[4] 盧光明.排程系統（ASP）在智能車間中的應用分析[J].電子世界，2018（01下）：176-177.