基于邊緣計算信息安全防護技術的研究

楊 健

（中國機房設施工程有限公司，天津300061）

近期，“新基建”成為熱詞，在加快我國智能制造步伐、緩解經濟下行壓力方面將發揮重要作用的工業互聯網被寄予厚望。工業互聯網實現的是全要素、全產業鏈、全價值鏈的全面連接。我國高度重視工業互聯網的創新發展，目前已取得一系列顯著成果，廣覆蓋、高可靠的工業互聯網網絡體系正在加快建設，能力多樣、特色鮮明的工業互聯網平臺體系已逐漸成型，國家、省、企業三級聯動工業互聯網安全監測平臺正加速構建。

移動邊緣計算具有低時延遲、大帶寬以及安全等技術優越性，適用于工業互聯網場景。為了更好的支持增強移動帶寬、低時延高可靠、大規模終端連接三大業務場景業務需求5G 網絡引入了移動邊緣計算以提供本地分流、靈活路由、高數計算和存儲能力。同時，邊緣計算在工業互聯網環境的應用也帶來新的安全風險。因此必須加強面向工業互聯網應用的移動邊緣計算網絡安全能力建設，開發一批關鍵技術和產品，開展試點示范應用并在重要行業進行推廣。

1 邊緣計算信息安全研究的意義

1.1 移動邊緣計算環境網絡安全防護技術需求激增

隨著5G、移動互聯網與物聯網技術的發展，邊緣計算已成為業界高度關注的關鍵技術。邊緣計算服務距離終端用戶更近，甚至直接在終端設備上運行，大大降低了網絡路由造成的延遲，對于時延較為敏感的業務應用，用戶體驗改善非常明顯。邊緣計算服務靠近信息源，可以在本地進行數據處理和緩沖，極大緩解了回傳壓力。數據集中存儲安全與用戶隱私風險增大，邊緣計算可以在本地捕獲和分析關鍵信息，并在本地處理和過濾，具有較好的數據隱私和安全性。但是邊緣計算平臺及其應用部署在靠近網絡邊緣的通用服務器上，物理位靠近用戶側，處于相對不安全的物理環境，使得運營商的控制能力、管理能力減弱，導致移動邊緣計算平臺面臨非授權訪問、敏感數據泄露、（D）DoS 攻擊，物理攻擊等安全風險。

1.2 新一代移動通信網絡安全防護設備亟待研發

隨著5G 的發展，現有網絡將會面臨更多業務場景下業務連接與處理能力的需求與挑戰。各行業對網絡通信技術的依賴程度越高，5G 網絡的安全機制越重要。由于5G 網絡與傳統的網絡相比同樣面臨著數據、信令的竊聽、數據及用戶隱私泄露、用戶數據的篡改和偽造、未授權訪問以及安全算法受限使用以及（D）DoS 攻擊。相比傳統的移動通信網絡，5G 網絡采用服務化架構，網絡服務之間采用了HTTP2.0 協議進行通信，將互聯網的安全風險引入了5G 網絡，網絡服務功能存在非法網絡服務功能訪問的風險。5G 網絡提供了網絡能力功能，這將可能引入非授權訪問和使用的風險。此外，虛擬化、網絡切片等新技術將會引入物理防護邊界虛擬化以及未授權訪問等安全風險。因此，5G 網絡的安全將是是5G 網絡架構設計、網絡建設與部署以及其他國家關鍵基礎設施正常運行的關鍵[1]。

1.3 工業互聯網網絡安全防護意義重大

新基建將工業互聯網列入重點發展的關鍵基礎設施，工業互聯網的安全問題日益凸顯，越來越多的工控系統暴露在互聯網上，安全隱患不斷增加。與基于傳統互聯網的信息安全戰略重要性一樣，工業互聯網安全是工業互聯網發展的前提，是國家深入推進“互聯網+先進制造業”的重要保障。作為新工業革命的關鍵基礎設施，工業互聯網代表著國家新一代信息基礎設施重要發展方向，已經成為涉及國家經濟命脈的工業體系的神經中樞。

工業智能化和工業互聯網的發展既是我國經濟變革難得的戰略窗口期，又面臨著嚴峻的安全形勢挑戰，工業互聯網安全顯得尤為重要。我國關鍵基礎設施網絡的安全保障能力已經嚴重滯后，網絡攻擊的風險日益加劇，工控網絡安全面臨著嚴峻挑戰，加強關鍵基礎設施及工業網絡的安全防護能力和威脅感知能力迫在眉睫，保護國家基礎設施安全已經刻不容緩[2]。

2 技術發展現狀及趨勢

2.1 新一代移動通信及邊緣計算技術興起

隨著5G 的發展，現有網絡將會面臨更多上述業務場景下業務連接與處理能力的需求與挑戰。因此在網絡的設計和部署中，需要引入邊緣計算在移動通信網絡架構的設計中實現本地分流和路由的進一步優化處理、高速移動連接的連續性、將節點下沉或本地應用化，減少網絡拓撲復雜度。同時，通過邊緣計算可以將移動通信網絡的一些服務開放給應用層以及業務方，有助于提升移動網絡的應用價值，進一步實現與行業應用業務的深度融合。邊緣計算服務距離終端用戶更近，甚至直接在終端設備上運行，大大降低了網絡路由造成的延遲，對于時延較為敏感的業務應用，用戶體驗改善非常明顯。邊緣計算服務靠近信息源，可以在本地進行數據處理和緩沖，極大緩解了回傳壓力。數據集中存儲安全與用戶隱私風險增大，邊緣計算可以在本地捕獲和分析關鍵信息，并在本地處理和過濾，具有較好的數據隱私和安全性，因此適合工業互聯網場景的應用[3]。

由于移動邊緣計算平臺和移動邊緣計算應用部署在通用服務器上，并且靠近用戶，處于相對不安全的物理環境、管理控制能力減弱等，導致移動邊緣計算存在移動邊緣計算平臺和移動邊緣計算應用遭受非授權訪問、敏感數據泄露、（D）DoS 攻擊，物理設備遭受物理攻擊等安全問題。為應對這些安全威脅，在設計整體架構的初始階段應該同步考慮相應的安全解決方案，在架構頂層設計中充分體現安全需求，避免安全問題帶來的不必要的損失。本項目利用基于機器學習的方法來實現對威脅事件的檢測，通過這種途徑來消除威脅從而提供的安全保障。

2.2 網絡安全技術向內生安全發展

在5G 安全領域，我國具備了自主的5G 技術、產品和產業，具備了內生安全實踐條件，更得到了包括5G 設備商、運營商、平臺商、網絡安全企業和行業應用單位在內的整個生態鏈條的廣泛認同，并進一步付諸實踐。通過將網絡安全能力與5G 系統的聚合、業務數據和安全數據的聚合、信息化人員與安全人員的聚合，將安全做的更深入、更細致、更貼合5G 安全真正的內在需求。

3 移動邊緣計算的安全防護框架

3.1 總體技術架構

移動邊緣計算的安全防護框架是以 “內生安全”理念為指導，開發層次清晰、定位明確、融合聯動的移動邊緣計算（MEC）網絡安全防護技術，包括移動通信（核心網和基站）安全增強、邊緣計算環境安全加固、工業互聯網網絡安全防護、統一安全管理和自動編排、安全能力邊云聯動等[4]。

3.2 移動通信安全增強組件

面向工業互聯網安全需求，開發移動通信核心網安全、基站安全和邊緣安全協同組件，實現移動通信安全增強并與邊緣安全能力協同。

核心網實現服務化架構安全、網絡切片安全、終端接入安全和網絡傳輸安全增強，基站實現信令與用戶面安全、RAN 切片隔離、密碼應用安全和通信接口安全，邊緣安全協同實現核心網邊緣分流、用戶身份協同認證、邊緣UPF 安全防護、網絡安全管理同步。

3.3 邊緣計算安全防護平臺

建設邊緣計算安全防護平臺，在統一虛擬化安全資源池基礎上，開發虛擬化安全防護系統、邊緣接入網關系統和安全管理與自動編排系統。

3.3.1 MEC 虛擬化安全防護系統

面向邊緣計算虛擬化環境，實現虛擬補丁和漏洞管理防護已知網元漏洞，查殺病毒、木馬、蠕蟲、釣魚等威脅，實現微隔離加強東西向訪問控制，實現7 層內容過濾、入侵防御、應用程序白名單控制、流量監控與可視化等功能，能夠自動執行響應策略，實現危害隔離和損害清除。MEC 虛擬化安全防護能夠依照安全功能支持不同的MEC 網元，支持自動部署，適配多類型網元加載不同的安全功能。

面向邊緣計算虛擬化環境，采用無代理虛擬化安全防護系統實現邊緣計算環境安全加固。無代理虛擬化安全防護分系統針對云平臺特性，在Hyper visor 虛擬化層以及網絡虛擬化層安裝無代理安全組件。在Openv Switch 虛擬交換機和虛擬機網絡中間，植入網絡安全組件，細粒度地檢查每臺虛擬機的流量，清洗惡意攻擊行為，實現每臺虛擬機的微隔離。在Hyper visor 層安裝安全組件，而不是在每臺虛擬機上去安裝傳統的殺毒軟件，通過虛擬機和虛擬化層的文件系統數據交換專用通道，在虛擬化層檢測病毒，蠕蟲以及勒索軟件等。無代理虛擬化安全防護分系統主要由管理中心子系統和無代理安全組件兩大部分組成。管理中心子系統主要完成整個系統的管理控制、分析展現工作；無代理安全組件由通信控制子系統和另外11 個安全子系統組成，每個安全子系統分別完成特定功能的安全防護。

3.3.2 邊緣安全接入網關

邊緣安全接入網關在不影響業務的前提下，實現終端資產的發現、安全檢查、狀態監控、安全準入、合規檢查、訪問控制等安全檢測與異常處置流程。提前發現各類網絡攻擊活動，變靜態防護為動態監測，變單點防護為綜合防控和整體防范，逐步形成事前預警、事中取證、事后查處的新型接入安全監測工作模式安全接入網關系統由邊緣安全接入網關（硬件設備）與統一管理平臺（軟件平臺）兩部分組成。

邊緣安全接入網關是系統組成的核心，機架式軟硬一體設備，采用Linux 系統，硬件為全內置封閉結構。為適應不同規模客戶場景，邊緣安全接入網關提供多種規格硬件設備，最高支持40 Gbps 數據流量，同時提供豐富的擴展板卡，適應不同的網絡環境。

邊緣安全接入網關支持統一管理平臺采用B/S架構，管理員可以隨時隨地的通過瀏覽器打開訪問，對安全接入網關進行統一策略配置、操作和監測管理。由設備識別、設備管控及告警、安檢合規、網絡訪問控制等功能構成，能夠對網絡邊界的安全風險和安全事件進行實時的監視和在線的管理。

3.3.3 統一安全管理和自動編排系統

適配運營商的云環境，支持多級部署和統一管理，支持多租戶管理，支持用戶監控與審計，兼容OAuth2NFV 身份認證系統；實現可疑威脅檢測，利用UEBA 檢測惡意威脅行為、利用機器學習檢測威脅事件，具備調查取證能力。統一安全管理和自動編排系統能夠與MECMANO 集成，并與云端安全能力協同，支持邊云協同的精密編排響應策略。安全管理中心可以對多種云環境進行統一安全管理，配置每個虛擬機的安全策略。管理中心系統接收無代理安全組件上傳的安全事件和網絡流量日志，通過多維度、細粒度的大數據分析，并以可視化的形式展現給用戶，從而幫助用戶對已知威脅進行溯源，并對未知威脅進行預警。

3.4 云端安全能力協同

工業安全大數據分析MEC 采集關鍵數據并通過流量傳感器傳送到大數據分析平臺，實現智能分析，生成威脅情報。

工業安全態勢感知安全態勢感知平臺賦能MEC，實現監測預警、APT 響應和應急處置能力。

3.5 產品適配與融合

對于移動通信安全增強組件、MEC 虛擬化工作負載安全防護、邊緣安全接入網關、統一安全管理系統、態勢感知系統等一系列產品進行適配，并與移動通信核心網、基站、MEC 平臺集成，實現安全能力與信息通信和業務應用的融合。

3.6 安全防護試驗驗證平臺

結合工業互聯網應用的安全需求，對移動邊緣計算防護技術和產品進行測試驗證，對其安全性、有效性、可用性進行量化分析和測試驗證，形成測試報告。

在行業調研的基礎上，建立典型移動邊緣計算安全防護試驗驗證環境，通過提取CVE、中國國家信息安全漏洞庫等公開漏洞庫中涉及邊緣計算領域的漏洞，收集邊緣計算系統公開漏洞信息，以及基于Fuzzing 測試原理，對邊緣計算系統進行漏洞掃描，獲取系統的漏洞信息，形成針對邊緣計算系統的漏洞檢測能力。

4 結語

目前，移動邊緣計算還處于研究和試驗階段，對于應用場景等，運營商以及產業界均還在探索和試點中。本文主要針對移動邊緣計算概念、以及架構層面的安全威脅進行了分析，并提出架構層面的安全防護框架和安全防護要求。對于針對具體的移動邊緣計算應用場景的安全，還需根據應用的需求進行深入分析，包括移動邊緣計算應用的業務安全、數據安全以及安全監控等。另外，當對于有高安全級別需求的移動邊緣計算應用，運營商還應考慮如何通過能力開放，將網絡的安全能力以安全服務的方式提供給移動邊緣計算應用，實現在滿足安全需求的同時，開發更多的商業模式，創造更多的網絡價值。