杨 健

（中国机房设施工程有限公司，天津300061）

近期，“新基建”成为热词，在加快我国智能制造步伐、缓解经济下行压力方面将发挥重要作用的工业互联网被寄予厚望。工业互联网实现的是全要素、全产业链、全价值链的全面连接。我国高度重视工业互联网的创新发展，目前已取得一系列显著成果，广覆盖、高可靠的工业互联网网络体系正在加快建设，能力多样、特色鲜明的工业互联网平台体系已逐渐成型，国家、省、企业三级联动工业互联网安全监测平台正加速构建。

移动边缘计算具有低时延迟、大带宽以及安全等技术优越性，适用于工业互联网场景。为了更好的支持增强移动带宽、低时延高可靠、大规模终端连接三大业务场景业务需求5G 网络引入了移动边缘计算以提供本地分流、灵活路由、高数计算和存储能力。同时，边缘计算在工业互联网环境的应用也带来新的安全风险。因此必须加强面向工业互联网应用的移动边缘计算网络安全能力建设，开发一批关键技术和产品，开展试点示范应用并在重要行业进行推广。

1 边缘计算信息安全研究的意义

1.1 移动边缘计算环境网络安全防护技术需求激增

随着5G、移动互联网与物联网技术的发展，边缘计算已成为业界高度关注的关键技术。边缘计算服务距离终端用户更近，甚至直接在终端设备上运行，大大降低了网络路由造成的延迟，对于时延较为敏感的业务应用，用户体验改善非常明显。边缘计算服务靠近信息源，可以在本地进行数据处理和缓冲，极大缓解了回传压力。数据集中存储安全与用户隐私风险增大，边缘计算可以在本地捕获和分析关键信息，并在本地处理和过滤，具有较好的数据隐私和安全性。但是边缘计算平台及其应用部署在靠近网络边缘的通用服务器上，物理位靠近用户侧，处于相对不安全的物理环境，使得运营商的控制能力、管理能力减弱，导致移动边缘计算平台面临非授权访问、敏感数据泄露、（D）DoS 攻击，物理攻击等安全风险。

1.2 新一代移动通信网络安全防护设备亟待研发

随着5G 的发展，现有网络将会面临更多业务场景下业务连接与处理能力的需求与挑战。各行业对网络通信技术的依赖程度越高，5G 网络的安全机制越重要。由于5G 网络与传统的网络相比同样面临着数据、信令的窃听、数据及用户隐私泄露、用户数据的篡改和伪造、未授权访问以及安全算法受限使用以及（D）DoS 攻击。相比传统的移动通信网络，5G 网络采用服务化架构，网络服务之间采用了HTTP2.0 协议进行通信，将互联网的安全风险引入了5G 网络，网络服务功能存在非法网络服务功能访问的风险。5G 网络提供了网络能力功能，这将可能引入非授权访问和使用的风险。此外，虚拟化、网络切片等新技术将会引入物理防护边界虚拟化以及未授权访问等安全风险。因此，5G 网络的安全将是是5G 网络架构设计、网络建设与部署以及其他国家关键基础设施正常运行的关键[1]。

1.3 工业互联网网络安全防护意义重大

新基建将工业互联网列入重点发展的关键基础设施，工业互联网的安全问题日益凸显，越来越多的工控系统暴露在互联网上，安全隐患不断增加。与基于传统互联网的信息安全战略重要性一样，工业互联网安全是工业互联网发展的前提，是国家深入推进“互联网+先进制造业”的重要保障。作为新工业革命的关键基础设施，工业互联网代表着国家新一代信息基础设施重要发展方向，已经成为涉及国家经济命脉的工业体系的神经中枢。

工业智能化和工业互联网的发展既是我国经济变革难得的战略窗口期，又面临着严峻的安全形势挑战，工业互联网安全显得尤为重要。我国关键基础设施网络的安全保障能力已经严重滞后，网络攻击的风险日益加剧，工控网络安全面临着严峻挑战，加强关键基础设施及工业网络的安全防护能力和威胁感知能力迫在眉睫，保护国家基础设施安全已经刻不容缓[2]。

2 技术发展现状及趋势

2.1 新一代移动通信及边缘计算技术兴起

随着5G 的发展，现有网络将会面临更多上述业务场景下业务连接与处理能力的需求与挑战。因此在网络的设计和部署中，需要引入边缘计算在移动通信网络架构的设计中实现本地分流和路由的进一步优化处理、高速移动连接的连续性、将节点下沉或本地应用化，减少网络拓扑复杂度。同时，通过边缘计算可以将移动通信网络的一些服务开放给应用层以及业务方，有助于提升移动网络的应用价值，进一步实现与行业应用业务的深度融合。边缘计算服务距离终端用户更近，甚至直接在终端设备上运行，大大降低了网络路由造成的延迟，对于时延较为敏感的业务应用，用户体验改善非常明显。边缘计算服务靠近信息源，可以在本地进行数据处理和缓冲，极大缓解了回传压力。数据集中存储安全与用户隐私风险增大，边缘计算可以在本地捕获和分析关键信息，并在本地处理和过滤，具有较好的数据隐私和安全性，因此适合工业互联网场景的应用[3]。

由于移动边缘计算平台和移动边缘计算应用部署在通用服务器上，并且靠近用户，处于相对不安全的物理环境、管理控制能力减弱等，导致移动边缘计算存在移动边缘计算平台和移动边缘计算应用遭受非授权访问、敏感数据泄露、（D）DoS 攻击，物理设备遭受物理攻击等安全问题。为应对这些安全威胁，在设计整体架构的初始阶段应该同步考虑相应的安全解决方案，在架构顶层设计中充分体现安全需求，避免安全问题带来的不必要的损失。本项目利用基于机器学习的方法来实现对威胁事件的检测，通过这种途径来消除威胁从而提供的安全保障。

2.2 网络安全技术向内生安全发展

在5G 安全领域，我国具备了自主的5G 技术、产品和产业，具备了内生安全实践条件，更得到了包括5G 设备商、运营商、平台商、网络安全企业和行业应用单位在内的整个生态链条的广泛认同，并进一步付诸实践。通过将网络安全能力与5G 系统的聚合、业务数据和安全数据的聚合、信息化人员与安全人员的聚合，将安全做的更深入、更细致、更贴合5G 安全真正的内在需求。

3 移动边缘计算的安全防护框架

3.1 总体技术架构

移动边缘计算的安全防护框架是以 “内生安全”理念为指导，开发层次清晰、定位明确、融合联动的移动边缘计算（MEC）网络安全防护技术，包括移动通信（核心网和基站）安全增强、边缘计算环境安全加固、工业互联网网络安全防护、统一安全管理和自动编排、安全能力边云联动等[4]。

3.2 移动通信安全增强组件

面向工业互联网安全需求，开发移动通信核心网安全、基站安全和边缘安全协同组件，实现移动通信安全增强并与边缘安全能力协同。

核心网实现服务化架构安全、网络切片安全、终端接入安全和网络传输安全增强，基站实现信令与用户面安全、RAN 切片隔离、密码应用安全和通信接口安全，边缘安全协同实现核心网边缘分流、用户身份协同认证、边缘UPF 安全防护、网络安全管理同步。

3.3 边缘计算安全防护平台

建设边缘计算安全防护平台，在统一虚拟化安全资源池基础上，开发虚拟化安全防护系统、边缘接入网关系统和安全管理与自动编排系统。

3.3.1 MEC 虚拟化安全防护系统

面向边缘计算虚拟化环境，实现虚拟补丁和漏洞管理防护已知网元漏洞，查杀病毒、木马、蠕虫、钓鱼等威胁，实现微隔离加强东西向访问控制，实现7 层内容过滤、入侵防御、应用程序白名单控制、流量监控与可视化等功能，能够自动执行响应策略，实现危害隔离和损害清除。MEC 虚拟化安全防护能够依照安全功能支持不同的MEC 网元，支持自动部署，适配多类型网元加载不同的安全功能。

面向边缘计算虚拟化环境，采用无代理虚拟化安全防护系统实现边缘计算环境安全加固。无代理虚拟化安全防护分系统针对云平台特性，在Hyper visor 虚拟化层以及网络虚拟化层安装无代理安全组件。在Openv Switch 虚拟交换机和虚拟机网络中间，植入网络安全组件，细粒度地检查每台虚拟机的流量，清洗恶意攻击行为，实现每台虚拟机的微隔离。在Hyper visor 层安装安全组件，而不是在每台虚拟机上去安装传统的杀毒软件，通过虚拟机和虚拟化层的文件系统数据交换专用通道，在虚拟化层检测病毒，蠕虫以及勒索软件等。无代理虚拟化安全防护分系统主要由管理中心子系统和无代理安全组件两大部分组成。管理中心子系统主要完成整个系统的管理控制、分析展现工作；无代理安全组件由通信控制子系统和另外11 个安全子系统组成，每个安全子系统分别完成特定功能的安全防护。

3.3.2 边缘安全接入网关

边缘安全接入网关在不影响业务的前提下，实现终端资产的发现、安全检查、状态监控、安全准入、合规检查、访问控制等安全检测与异常处置流程。提前发现各类网络攻击活动，变静态防护为动态监测，变单点防护为综合防控和整体防范，逐步形成事前预警、事中取证、事后查处的新型接入安全监测工作模式安全接入网关系统由边缘安全接入网关（硬件设备）与统一管理平台（软件平台）两部分组成。

边缘安全接入网关是系统组成的核心，机架式软硬一体设备，采用Linux 系统，硬件为全内置封闭结构。为适应不同规模客户场景，边缘安全接入网关提供多种规格硬件设备，最高支持40 Gbps 数据流量，同时提供丰富的扩展板卡，适应不同的网络环境。

边缘安全接入网关支持统一管理平台采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对安全接入网关进行统一策略配置、操作和监测管理。由设备识别、设备管控及告警、安检合规、网络访问控制等功能构成，能够对网络边界的安全风险和安全事件进行实时的监视和在线的管理。

3.3.3 统一安全管理和自动编排系统

适配运营商的云环境，支持多级部署和统一管理，支持多租户管理，支持用户监控与审计，兼容OAuth2NFV 身份认证系统；实现可疑威胁检测，利用UEBA 检测恶意威胁行为、利用机器学习检测威胁事件，具备调查取证能力。统一安全管理和自动编排系统能够与MECMANO 集成，并与云端安全能力协同，支持边云协同的精密编排响应策略。安全管理中心可以对多种云环境进行统一安全管理，配置每个虚拟机的安全策略。管理中心系统接收无代理安全组件上传的安全事件和网络流量日志，通过多维度、细粒度的大数据分析，并以可视化的形式展现给用户，从而帮助用户对已知威胁进行溯源，并对未知威胁进行预警。

3.4 云端安全能力协同

工业安全大数据分析MEC 采集关键数据并通过流量传感器传送到大数据分析平台，实现智能分析，生成威胁情报。

工业安全态势感知安全态势感知平台赋能MEC，实现监测预警、APT 响应和应急处置能力。

3.5 产品适配与融合

对于移动通信安全增强组件、MEC 虚拟化工作负载安全防护、边缘安全接入网关、统一安全管理系统、态势感知系统等一系列产品进行适配，并与移动通信核心网、基站、MEC 平台集成，实现安全能力与信息通信和业务应用的融合。

3.6 安全防护试验验证平台

结合工业互联网应用的安全需求，对移动边缘计算防护技术和产品进行测试验证，对其安全性、有效性、可用性进行量化分析和测试验证，形成测试报告。

在行业调研的基础上，建立典型移动边缘计算安全防护试验验证环境，通过提取CVE、中国国家信息安全漏洞库等公开漏洞库中涉及边缘计算领域的漏洞，收集边缘计算系统公开漏洞信息，以及基于Fuzzing 测试原理，对边缘计算系统进行漏洞扫描，获取系统的漏洞信息，形成针对边缘计算系统的漏洞检测能力。

4 结语

目前，移动边缘计算还处于研究和试验阶段，对于应用场景等，运营商以及产业界均还在探索和试点中。本文主要针对移动边缘计算概念、以及架构层面的安全威胁进行了分析，并提出架构层面的安全防护框架和安全防护要求。对于针对具体的移动边缘计算应用场景的安全，还需根据应用的需求进行深入分析，包括移动边缘计算应用的业务安全、数据安全以及安全监控等。另外，当对于有高安全级别需求的移动边缘计算应用，运营商还应考虑如何通过能力开放，将网络的安全能力以安全服务的方式提供给移动边缘计算应用，实现在满足安全需求的同时，开发更多的商业模式，创造更多的网络价值。