关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)抗干扰类型
工频磁场:3级;阻尼振荡磁场3级;脉冲磁场3级;辐射电磁场3级。
防护等级
防护等级IP30,外壳和系统安全隔离。
计讯物联的工业级物联网网关采用高性能的工业级32位通信处理器,软件多级检测,硬件多重保护机制保证设备稳定性。九纯健科技温湿度传感器_温湿度监控系统_冷链监控_冷链溯源云平台_九纯健科技-科技创立于2004年,是专业从事传感器、物联网开发与应用的国家级高新技术企业。现由专业的技术开发,市场营销,智能硬件生产基地等公司和团队组成。九纯健科技提供IOT物联网智能硬件及大数据软件平台服务,结合不同行业特点为用户提供最适用的工业物联网智能硬件及软件平台服务。在市场成功实施约12000多个工程项目。
基于IOT物联网智能硬件技术及大数据云平台技术的医药冷链溯源及农产品冷链标准化溯源平台、网格化大气扬尘噪声监测平台、智慧城市之地下管廊环境综合监控项目、居民取暖热力数据监测传感器及信息采集平台,危化工业园区、化工工厂区、危化品仓储区、烟花爆竹厂、城市加油、加气站等易燃易爆、有毒有害气体及环境参数监测,预警发布;城市立交桥、涵洞、低洼道路等积水监测预警发布等项目系统平台,及其他行业综合IOT物联网平台监控项目的软硬件定制服务。
九纯健保定物联网研发、生产基地,于2019年1月28日落地中关村创新基地。经过近1年多发展,对于IOT工业物联网项目,获得已授权专利/软件著作权等知识产权10项,已申请发明专利2项,实用新型2项。九纯健科技作为国家高新技术企业,也是创新型企业,拥有ISO9001质量管理体系认证、3A企业信用认证,欧盟CE产品认证、RoHS认证,产品防爆证书、检测/校准证书、IP65/IP66/IP68防护等级认证等。
蓝牙芯片排行榜
1、络达科技
Airoha Technology Corp于2021年改制,整合联发科集团旗下两家子公司,提供多种无线和宽带通信SoC系统解决方案。Airoha旨在通过任何有线和无线方式将每个智能设备、个人、组织和企业无缝连接在一起,并通过物联网世界中的各种算法和应用来丰富人们的生活。
主要产品线包括蓝牙无线音频系统解决方案、全球导航卫星系统SoC、xVDSL & xPON网关/路由器交钥匙解决方案、以太网交换机SoC及相关IC。
2、杰理科技
珠海市杰理科技股份有限公司,成立于2010年。主要从事射频智能终端、多媒体智能终端等系统级芯片(SoC)的研究、开发和销售。公司产品主要应用于AI智能音箱、蓝牙音箱、蓝牙耳机、智能语音玩具、超高清记录仪、智能视频监控、血压计等物联网智能终端产品,下游应用产品市场十分广泛和巨大。
为国内外客户提供通用高性能、低功耗的蓝牙、视频和集成电路处理器的无线通讯链接系统(SoC)芯片,并为智慧城市、智慧家庭和物联网等多种应用场景提供完整的无线通讯解决方案。
3、伦茨科技
是一家打造AIoT智慧连接的全球化企业,为各类市场企业、初创企业、新兴品牌和领先的OEM厂商提供AIoT芯片/APP智慧场景交互的软硬件共性解决方案,凭借自研芯片、工具链、开发框架等,给客户在软硬件上构建丰富的应用场景和解决方案,加快产品量产时间。
公司总部位于中国深圳,在美国、台湾、香港等分设研发中心,我们一直锐意进取、不断突破,矢志为全球化AIoT智慧生活保驾护航。
4、瑞昱半导体
企业位于台湾「矽谷」的新竹科学园区,凭借当年几位年轻工程师的热情与毅力,走过艰辛的草创时期到今日具世界领导地位的专业IC设计公司,瑞昱半导体劈荆斩棘,展现旺盛的企图心与卓越的竞争力,开发出广受全球市场肯定与欢迎的高性能、高品质与高经济效益的IC解决方案。
瑞昱半导体自成立以来一直保持稳定的成长,归功于瑞昱对产品/技术研发与创新的执着与努力,同时也归因于瑞昱的优良传统。
5、巨微科技
上海巨微集成电路有限公司由资深IC设计专家联合创立,拥有多位具有多年成功行业经验的海归博士、清华博士为骨干的研发团队。上海巨微集成电路有限公司顺应无线互联网的潮流,投入即将到来的物联网产业的发展。
专注芯片和与之相关的系统设计,提供高性价比的通用无线芯片和无线传感器芯片和方案,并成为无线传感节点的主要供货商。其核心技术能力覆盖射频、模拟、SOC和系统软件的设计。
近期,我国密集出台了推进IPv6、5G、工业互联网等发展的政策,力争今年开展商用试点,这在助推物联网更快普及和物联网设备数量快速增长的同时,由于设备制造商安全能力不足和行业监管未完善,物联网设备的安全威胁将加剧。届时,政府机关、工商企业乃至个人家庭,都将有较大概率暴露在黑客的视野之下。
专家认为,当务之急,具有公共属性的政府机关及企事业单位,应尽快强化对内部物联网设备的安全排查及日常监控。在排查中可重点关注是否存在漏洞、过往被攻击情况、被攻击IP地址来源等。同时,关闭不必要的远程服务端口,修复弱口令,定期开展网络安全风险评估以提高防护水平。
同时,国内物联网设备生产商提升安全等级不可或缺。“物联网设备常见的脆弱点有硬件接口暴露、未授权访问等,这些安全问题技术水平并不高,完全可以防患于未然。”绿盟科技首席架构师杨传安建议,生产商应做好设备全生命周期的安全保障工作,具备完善的网络安全应急处置预案,包括设备出厂时做好设备安全风险评估,并不使用统一的默认密码等。
最后,相关部门在智能联网设备采购时也要有所警觉,防范其成为“后门”。一旦发现故意留“后门”,应依据法律法规,果断采取严厉惩戒措施,以儆效尤。来源:央广
物联网的安全威胁远未见顶,物联网应用的最终追求是万物互联,实现信息共享,并通过搭建高度自动化和智能化的系统,为人们的日常生活提供便利。随着物联网在社会生活中的普及,应用场景不断丰富,安全风险也将随之增加。
专家建议,不同的物联网参与方可根据自身特点,有针对性地部署防护措施:物联网设备提供商要保障终端安全,引入安全开发流程提升终端安全性,并在产品上市前进行安全评估;物联网平台提供商应重点关注平台安全和设备、移动端与自身的连接是否安全。因为在平台安全中,物联网终端数据大多包含隐私信息,数据安全变得尤为重要。
“无论是家庭还是企业用户,都应把安全作为一个重要的关注点。选购产品时优先考虑采用有安全网关的产品。”专家说。用户在购买智能产品后,应该尽可能修改初始口令以及弱口令,加固用户名和密码的安全性。同时,修改默认端口为不常用端口,增大端口开放协议被探测的难度,并及时升级设备固件。
主要有三种:条码:条形码是将宽度不等的多个黑条和空白,按照一定的编码规则排列,用以表达一组信息的图形标识符。常见的条形码是由反射率相差很大的黑条和白条排成的平行线图案。条形码可以标出物品的生产国、制造厂家、商品名称、生产日期、图书分类号、邮件起止地点、类别、日期等许多信息,因而在商品流通、图书管理、邮政管理、银行系统等许多领域都得到广泛的应用。射频识别:电子标签又称射频标签、应答器、数据载体;阅读器又称为读出装置、扫描器、读头、通信器、读写器。电子标签与阅读器之间通过耦合元件实现射频信号的空间(无接触)耦合;在耦合通道内,根据时序关系,实现能量的传递和数据交换。激光扫描器:激光扫描器是一种光学距离传感器,用于危险区域的灵活防护,通过出入控制,实现访问保护等。它扫描方式有单线扫描、光栅式扫描和全角度扫描三种方式。传统防火墙只是针对一些底层(网络层、传输层)的信息进行阻断,而WEB应用防火墙则深入到应用层,对所有应用信息进行过滤,这是WEB应用防火墙和传统防火墙的本质区别。
防火墙,又称防护墙、火墙,是由吉尔·舍伍德于1993年发明并引入国际互联网的网络安全系统。其功能主要包括及时发现并处理计算机网络运行时潜在的安全风险、数据传输等问题,同时可对计算机网络安全当中的各项 *** 作实施记录与检测,以确保计算机网络正常运行。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)