楊 健

（中國機房設(shè)施工程有限公司，天津300061）

近期，“新基建”成為熱詞，在加快我國智能制造步伐、緩解經(jīng)濟下行壓力方面將發(fā)揮重要作用的工業(yè)互聯(lián)網(wǎng)被寄予厚望。工業(yè)互聯(lián)網(wǎng)實現(xiàn)的是全要素、全產(chǎn)業(yè)鏈、全價值鏈的全面連接。我國高度重視工業(yè)互聯(lián)網(wǎng)的創(chuàng)新發(fā)展，目前已取得一系列顯著成果，廣覆蓋、高可靠的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系正在加快建設(shè)，能力多樣、特色鮮明的工業(yè)互聯(lián)網(wǎng)平臺體系已逐漸成型，國家、省、企業(yè)三級聯(lián)動工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺正加速構(gòu)建。

移動邊緣計算具有低時延遲、大帶寬以及安全等技術(shù)優(yōu)越性，適用于工業(yè)互聯(lián)網(wǎng)場景。為了更好的支持增強移動帶寬、低時延高可靠、大規(guī)模終端連接三大業(yè)務(wù)場景業(yè)務(wù)需求5G 網(wǎng)絡(luò)引入了移動邊緣計算以提供本地分流、靈活路由、高數(shù)計算和存儲能力。同時，邊緣計算在工業(yè)互聯(lián)網(wǎng)環(huán)境的應(yīng)用也帶來新的安全風險。因此必須加強面向工業(yè)互聯(lián)網(wǎng)應(yīng)用的移動邊緣計算網(wǎng)絡(luò)安全能力建設(shè)，開發(fā)一批關(guān)鍵技術(shù)和產(chǎn)品，開展試點示范應(yīng)用并在重要行業(yè)進行推廣。

1 邊緣計算信息安全研究的意義

1.1 移動邊緣計算環(huán)境網(wǎng)絡(luò)安全防護技術(shù)需求激增

隨著5G、移動互聯(lián)網(wǎng)與物聯(lián)網(wǎng)技術(shù)的發(fā)展，邊緣計算已成為業(yè)界高度關(guān)注的關(guān)鍵技術(shù)。邊緣計算服務(wù)距離終端用戶更近，甚至直接在終端設(shè)備上運行，大大降低了網(wǎng)絡(luò)路由造成的延遲，對于時延較為敏感的業(yè)務(wù)應(yīng)用，用戶體驗改善非常明顯。邊緣計算服務(wù)靠近信息源，可以在本地進行數(shù)據(jù)處理和緩沖，極大緩解了回傳壓力。數(shù)據(jù)集中存儲安全與用戶隱私風險增大，邊緣計算可以在本地捕獲和分析關(guān)鍵信息，并在本地處理和過濾，具有較好的數(shù)據(jù)隱私和安全性。但是邊緣計算平臺及其應(yīng)用部署在靠近網(wǎng)絡(luò)邊緣的通用服務(wù)器上，物理位靠近用戶側(cè)，處于相對不安全的物理環(huán)境，使得運營商的控制能力、管理能力減弱，導(dǎo)致移動邊緣計算平臺面臨非授權(quán)訪問、敏感數(shù)據(jù)泄露、（D）DoS 攻擊，物理攻擊等安全風險。

1.2 新一代移動通信網(wǎng)絡(luò)安全防護設(shè)備亟待研發(fā)

隨著5G 的發(fā)展，現(xiàn)有網(wǎng)絡(luò)將會面臨更多業(yè)務(wù)場景下業(yè)務(wù)連接與處理能力的需求與挑戰(zhàn)。各行業(yè)對網(wǎng)絡(luò)通信技術(shù)的依賴程度越高，5G 網(wǎng)絡(luò)的安全機制越重要。由于5G 網(wǎng)絡(luò)與傳統(tǒng)的網(wǎng)絡(luò)相比同樣面臨著數(shù)據(jù)、信令的竊聽、數(shù)據(jù)及用戶隱私泄露、用戶數(shù)據(jù)的篡改和偽造、未授權(quán)訪問以及安全算法受限使用以及（D）DoS 攻擊。相比傳統(tǒng)的移動通信網(wǎng)絡(luò)，5G 網(wǎng)絡(luò)采用服務(wù)化架構(gòu)，網(wǎng)絡(luò)服務(wù)之間采用了HTTP2.0 協(xié)議進行通信，將互聯(lián)網(wǎng)的安全風險引入了5G 網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)功能存在非法網(wǎng)絡(luò)服務(wù)功能訪問的風險。5G 網(wǎng)絡(luò)提供了網(wǎng)絡(luò)能力功能，這將可能引入非授權(quán)訪問和使用的風險。此外，虛擬化、網(wǎng)絡(luò)切片等新技術(shù)將會引入物理防護邊界虛擬化以及未授權(quán)訪問等安全風險。因此，5G 網(wǎng)絡(luò)的安全將是是5G 網(wǎng)絡(luò)架構(gòu)設(shè)計、網(wǎng)絡(luò)建設(shè)與部署以及其他國家關(guān)鍵基礎(chǔ)設(shè)施正常運行的關(guān)鍵[1]。

1.3 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護意義重大

新基建將工業(yè)互聯(lián)網(wǎng)列入重點發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)互聯(lián)網(wǎng)的安全問題日益凸顯，越來越多的工控系統(tǒng)暴露在互聯(lián)網(wǎng)上，安全隱患不斷增加。與基于傳統(tǒng)互聯(lián)網(wǎng)的信息安全戰(zhàn)略重要性一樣，工業(yè)互聯(lián)網(wǎng)安全是工業(yè)互聯(lián)網(wǎng)發(fā)展的前提，是國家深入推進“互聯(lián)網(wǎng)+先進制造業(yè)”的重要保障。作為新工業(yè)革命的關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)互聯(lián)網(wǎng)代表著國家新一代信息基礎(chǔ)設(shè)施重要發(fā)展方向，已經(jīng)成為涉及國家經(jīng)濟命脈的工業(yè)體系的神經(jīng)中樞。

工業(yè)智能化和工業(yè)互聯(lián)網(wǎng)的發(fā)展既是我國經(jīng)濟變革難得的戰(zhàn)略窗口期，又面臨著嚴峻的安全形勢挑戰(zhàn)，工業(yè)互聯(lián)網(wǎng)安全顯得尤為重要。我國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的安全保障能力已經(jīng)嚴重滯后，網(wǎng)絡(luò)攻擊的風險日益加劇，工控網(wǎng)絡(luò)安全面臨著嚴峻挑戰(zhàn)，加強關(guān)鍵基礎(chǔ)設(shè)施及工業(yè)網(wǎng)絡(luò)的安全防護能力和威脅感知能力迫在眉睫，保護國家基礎(chǔ)設(shè)施安全已經(jīng)刻不容緩[2]。

2 技術(shù)發(fā)展現(xiàn)狀及趨勢

2.1 新一代移動通信及邊緣計算技術(shù)興起

隨著5G 的發(fā)展，現(xiàn)有網(wǎng)絡(luò)將會面臨更多上述業(yè)務(wù)場景下業(yè)務(wù)連接與處理能力的需求與挑戰(zhàn)。因此在網(wǎng)絡(luò)的設(shè)計和部署中，需要引入邊緣計算在移動通信網(wǎng)絡(luò)架構(gòu)的設(shè)計中實現(xiàn)本地分流和路由的進一步優(yōu)化處理、高速移動連接的連續(xù)性、將節(jié)點下沉或本地應(yīng)用化，減少網(wǎng)絡(luò)拓撲復(fù)雜度。同時，通過邊緣計算可以將移動通信網(wǎng)絡(luò)的一些服務(wù)開放給應(yīng)用層以及業(yè)務(wù)方，有助于提升移動網(wǎng)絡(luò)的應(yīng)用價值，進一步實現(xiàn)與行業(yè)應(yīng)用業(yè)務(wù)的深度融合。邊緣計算服務(wù)距離終端用戶更近，甚至直接在終端設(shè)備上運行，大大降低了網(wǎng)絡(luò)路由造成的延遲，對于時延較為敏感的業(yè)務(wù)應(yīng)用，用戶體驗改善非常明顯。邊緣計算服務(wù)靠近信息源，可以在本地進行數(shù)據(jù)處理和緩沖，極大緩解了回傳壓力。數(shù)據(jù)集中存儲安全與用戶隱私風險增大，邊緣計算可以在本地捕獲和分析關(guān)鍵信息，并在本地處理和過濾，具有較好的數(shù)據(jù)隱私和安全性，因此適合工業(yè)互聯(lián)網(wǎng)場景的應(yīng)用[3]。

由于移動邊緣計算平臺和移動邊緣計算應(yīng)用部署在通用服務(wù)器上，并且靠近用戶，處于相對不安全的物理環(huán)境、管理控制能力減弱等，導(dǎo)致移動邊緣計算存在移動邊緣計算平臺和移動邊緣計算應(yīng)用遭受非授權(quán)訪問、敏感數(shù)據(jù)泄露、（D）DoS 攻擊，物理設(shè)備遭受物理攻擊等安全問題。為應(yīng)對這些安全威脅，在設(shè)計整體架構(gòu)的初始階段應(yīng)該同步考慮相應(yīng)的安全解決方案，在架構(gòu)頂層設(shè)計中充分體現(xiàn)安全需求，避免安全問題帶來的不必要的損失。本項目利用基于機器學(xué)習的方法來實現(xiàn)對威脅事件的檢測，通過這種途徑來消除威脅從而提供的安全保障。

2.2 網(wǎng)絡(luò)安全技術(shù)向內(nèi)生安全發(fā)展

在5G 安全領(lǐng)域，我國具備了自主的5G 技術(shù)、產(chǎn)品和產(chǎn)業(yè)，具備了內(nèi)生安全實踐條件，更得到了包括5G 設(shè)備商、運營商、平臺商、網(wǎng)絡(luò)安全企業(yè)和行業(yè)應(yīng)用單位在內(nèi)的整個生態(tài)鏈條的廣泛認同，并進一步付諸實踐。通過將網(wǎng)絡(luò)安全能力與5G 系統(tǒng)的聚合、業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的聚合、信息化人員與安全人員的聚合，將安全做的更深入、更細致、更貼合5G 安全真正的內(nèi)在需求。

3 移動邊緣計算的安全防護框架

3.1 總體技術(shù)架構(gòu)

移動邊緣計算的安全防護框架是以 “內(nèi)生安全”理念為指導(dǎo)，開發(fā)層次清晰、定位明確、融合聯(lián)動的移動邊緣計算（MEC）網(wǎng)絡(luò)安全防護技術(shù)，包括移動通信（核心網(wǎng)和基站）安全增強、邊緣計算環(huán)境安全加固、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護、統(tǒng)一安全管理和自動編排、安全能力邊云聯(lián)動等[4]。

3.2 移動通信安全增強組件

面向工業(yè)互聯(lián)網(wǎng)安全需求，開發(fā)移動通信核心網(wǎng)安全、基站安全和邊緣安全協(xié)同組件，實現(xiàn)移動通信安全增強并與邊緣安全能力協(xié)同。

核心網(wǎng)實現(xiàn)服務(wù)化架構(gòu)安全、網(wǎng)絡(luò)切片安全、終端接入安全和網(wǎng)絡(luò)傳輸安全增強，基站實現(xiàn)信令與用戶面安全、RAN 切片隔離、密碼應(yīng)用安全和通信接口安全，邊緣安全協(xié)同實現(xiàn)核心網(wǎng)邊緣分流、用戶身份協(xié)同認證、邊緣UPF 安全防護、網(wǎng)絡(luò)安全管理同步。

3.3 邊緣計算安全防護平臺

建設(shè)邊緣計算安全防護平臺，在統(tǒng)一虛擬化安全資源池基礎(chǔ)上，開發(fā)虛擬化安全防護系統(tǒng)、邊緣接入網(wǎng)關(guān)系統(tǒng)和安全管理與自動編排系統(tǒng)。

3.3.1 MEC 虛擬化安全防護系統(tǒng)

面向邊緣計算虛擬化環(huán)境，實現(xiàn)虛擬補丁和漏洞管理防護已知網(wǎng)元漏洞，查殺病毒、木馬、蠕蟲、釣魚等威脅，實現(xiàn)微隔離加強東西向訪問控制，實現(xiàn)7 層內(nèi)容過濾、入侵防御、應(yīng)用程序白名單控制、流量監(jiān)控與可視化等功能，能夠自動執(zhí)行響應(yīng)策略，實現(xiàn)危害隔離和損害清除。MEC 虛擬化安全防護能夠依照安全功能支持不同的MEC 網(wǎng)元，支持自動部署，適配多類型網(wǎng)元加載不同的安全功能。

面向邊緣計算虛擬化環(huán)境，采用無代理虛擬化安全防護系統(tǒng)實現(xiàn)邊緣計算環(huán)境安全加固。無代理虛擬化安全防護分系統(tǒng)針對云平臺特性，在Hyper visor 虛擬化層以及網(wǎng)絡(luò)虛擬化層安裝無代理安全組件。在Openv Switch 虛擬交換機和虛擬機網(wǎng)絡(luò)中間，植入網(wǎng)絡(luò)安全組件，細粒度地檢查每臺虛擬機的流量，清洗惡意攻擊行為，實現(xiàn)每臺虛擬機的微隔離。在Hyper visor 層安裝安全組件，而不是在每臺虛擬機上去安裝傳統(tǒng)的殺毒軟件，通過虛擬機和虛擬化層的文件系統(tǒng)數(shù)據(jù)交換專用通道，在虛擬化層檢測病毒，蠕蟲以及勒索軟件等。無代理虛擬化安全防護分系統(tǒng)主要由管理中心子系統(tǒng)和無代理安全組件兩大部分組成。管理中心子系統(tǒng)主要完成整個系統(tǒng)的管理控制、分析展現(xiàn)工作；無代理安全組件由通信控制子系統(tǒng)和另外11 個安全子系統(tǒng)組成，每個安全子系統(tǒng)分別完成特定功能的安全防護。

3.3.2 邊緣安全接入網(wǎng)關(guān)

邊緣安全接入網(wǎng)關(guān)在不影響業(yè)務(wù)的前提下，實現(xiàn)終端資產(chǎn)的發(fā)現(xiàn)、安全檢查、狀態(tài)監(jiān)控、安全準入、合規(guī)檢查、訪問控制等安全檢測與異常處置流程。提前發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊活動，變靜態(tài)防護為動態(tài)監(jiān)測，變單點防護為綜合防控和整體防范，逐步形成事前預(yù)警、事中取證、事后查處的新型接入安全監(jiān)測工作模式安全接入網(wǎng)關(guān)系統(tǒng)由邊緣安全接入網(wǎng)關(guān)（硬件設(shè)備）與統(tǒng)一管理平臺（軟件平臺）兩部分組成。

邊緣安全接入網(wǎng)關(guān)是系統(tǒng)組成的核心，機架式軟硬一體設(shè)備，采用Linux 系統(tǒng)，硬件為全內(nèi)置封閉結(jié)構(gòu)。為適應(yīng)不同規(guī)?？蛻魣鼍埃吘壈踩尤刖W(wǎng)關(guān)提供多種規(guī)格硬件設(shè)備，最高支持40 Gbps 數(shù)據(jù)流量，同時提供豐富的擴展板卡，適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。

邊緣安全接入網(wǎng)關(guān)支持統(tǒng)一管理平臺采用B/S架構(gòu)，管理員可以隨時隨地的通過瀏覽器打開訪問，對安全接入網(wǎng)關(guān)進行統(tǒng)一策略配置、操作和監(jiān)測管理。由設(shè)備識別、設(shè)備管控及告警、安檢合規(guī)、網(wǎng)絡(luò)訪問控制等功能構(gòu)成，能夠?qū)W(wǎng)絡(luò)邊界的安全風險和安全事件進行實時的監(jiān)視和在線的管理。

3.3.3 統(tǒng)一安全管理和自動編排系統(tǒng)

適配運營商的云環(huán)境，支持多級部署和統(tǒng)一管理，支持多租戶管理，支持用戶監(jiān)控與審計，兼容OAuth2NFV 身份認證系統(tǒng)；實現(xiàn)可疑威脅檢測，利用UEBA 檢測惡意威脅行為、利用機器學(xué)習檢測威脅事件，具備調(diào)查取證能力。統(tǒng)一安全管理和自動編排系統(tǒng)能夠與MECMANO 集成，并與云端安全能力協(xié)同，支持邊云協(xié)同的精密編排響應(yīng)策略。安全管理中心可以對多種云環(huán)境進行統(tǒng)一安全管理，配置每個虛擬機的安全策略。管理中心系統(tǒng)接收無代理安全組件上傳的安全事件和網(wǎng)絡(luò)流量日志，通過多維度、細粒度的大數(shù)據(jù)分析，并以可視化的形式展現(xiàn)給用戶，從而幫助用戶對已知威脅進行溯源，并對未知威脅進行預(yù)警。

3.4 云端安全能力協(xié)同

工業(yè)安全大數(shù)據(jù)分析MEC 采集關(guān)鍵數(shù)據(jù)并通過流量傳感器傳送到大數(shù)據(jù)分析平臺，實現(xiàn)智能分析，生成威脅情報。

工業(yè)安全態(tài)勢感知安全態(tài)勢感知平臺賦能MEC，實現(xiàn)監(jiān)測預(yù)警、APT 響應(yīng)和應(yīng)急處置能力。

3.5 產(chǎn)品適配與融合

對于移動通信安全增強組件、MEC 虛擬化工作負載安全防護、邊緣安全接入網(wǎng)關(guān)、統(tǒng)一安全管理系統(tǒng)、態(tài)勢感知系統(tǒng)等一系列產(chǎn)品進行適配，并與移動通信核心網(wǎng)、基站、MEC 平臺集成，實現(xiàn)安全能力與信息通信和業(yè)務(wù)應(yīng)用的融合。

3.6 安全防護試驗驗證平臺

結(jié)合工業(yè)互聯(lián)網(wǎng)應(yīng)用的安全需求，對移動邊緣計算防護技術(shù)和產(chǎn)品進行測試驗證，對其安全性、有效性、可用性進行量化分析和測試驗證，形成測試報告。

在行業(yè)調(diào)研的基礎(chǔ)上，建立典型移動邊緣計算安全防護試驗驗證環(huán)境，通過提取CVE、中國國家信息安全漏洞庫等公開漏洞庫中涉及邊緣計算領(lǐng)域的漏洞，收集邊緣計算系統(tǒng)公開漏洞信息，以及基于Fuzzing 測試原理，對邊緣計算系統(tǒng)進行漏洞掃描，獲取系統(tǒng)的漏洞信息，形成針對邊緣計算系統(tǒng)的漏洞檢測能力。

4 結(jié)語

目前，移動邊緣計算還處于研究和試驗階段，對于應(yīng)用場景等，運營商以及產(chǎn)業(yè)界均還在探索和試點中。本文主要針對移動邊緣計算概念、以及架構(gòu)層面的安全威脅進行了分析，并提出架構(gòu)層面的安全防護框架和安全防護要求。對于針對具體的移動邊緣計算應(yīng)用場景的安全，還需根據(jù)應(yīng)用的需求進行深入分析，包括移動邊緣計算應(yīng)用的業(yè)務(wù)安全、數(shù)據(jù)安全以及安全監(jiān)控等。另外，當對于有高安全級別需求的移動邊緣計算應(yīng)用，運營商還應(yīng)考慮如何通過能力開放，將網(wǎng)絡(luò)的安全能力以安全服務(wù)的方式提供給移動邊緣計算應(yīng)用，實現(xiàn)在滿足安全需求的同時，開發(fā)更多的商業(yè)模式，創(chuàng)造更多的網(wǎng)絡(luò)價值。