人物档案>>
姚建铨
中国科学院院士,激光与光电子科学家,天津大学精仪学院教授,主持筹建“物理电子学”博士点,获国家发明二等奖1项,国家教委 科技 进步二等奖3项,军队 科技 进步一等奖1项,天津 科技 进步二等奖1项,中科院特等奖、国际尤里卡发明金奖、国家级有突出贡献中青年专家、全国优秀 科技 工作者等称号,享受国务院特殊津贴。
国务院发改委“十二五”战略型新兴产业中物联网产业起草组副组长、中国电子学会物联网专家委员会副主任,中国通信工业协会物联网专家顾问组副主任,教育部物联网专业教育指导小组顾问等。
中科院院士姚建铨可以说是重庆的老朋友了。尽管已80岁高龄,他一直活跃在研发一线,近年来多次来渝参加各种论坛讲座,为推动重庆高质量发展献言献策。
物联网是智慧城市重要标志
姚建铨表示,人类 社会 已经进入一个新的 历史 时期,即电子信息技术时代。
“从互联网到物联网到云计算、大数据、虚拟现实系统、区块链、人工智能,这是稳步发展的过程。”姚建铨说,最近几年中国在信息领域发展速度很快,也逐步进入到从无序到有序的阶段。其中,物联网的发展与智慧城市建设关系紧密。
姚建铨直言,物联网和智慧城市之间是一种相辅相成的关系。“物联网是智慧城市的重要标志,智慧城市是物联网未来发展的热点应用场景。”
姚建铨说,物联网可以让城市联接,从人与人的联接拓展到人与物的联接以及物与物的联接,智慧城市需要物联网技术进行支撑。
在姚建铨看来,未来城市物联网将是智慧城市的基础平台,通过对城市物联网获得的感知数据进行融合分析,可以为万物互联、人机交互、天地一体的城市网络空间注入新的智慧。
对于物联网和互联网之间的关系,姚建铨则认为,物联网现阶段不会取代互联网,目前一段时间内将会有三种网络——互联网、物联网、移动通信网共存并互相补充,使得人类 社会 更加智能化。
发展物联网必须抓核心技术
谈到物联网的发展前景,姚建铨表示非常看好,“物联网虽然起源是在国外,但在国内发展非常迅速。”
姚建铨认为,这正是中国弯道超车的机遇所在:“中国的企业能够紧跟国际发展潮流,同时根据自己的体量不断发展。”
姚建铨还以华为研发5G为例,直言中国对5G具备发言权的同时还应研发与推动6G,事实上全球关于6G的布局竞争正在悄然上演。
近几年,全球物联网产业稳步前进,欧美等发达国家在该领域也进行了布局。
“这对我们既是挑战也是机遇,激励我们思考怎样稳步前进。”
姚建铨认为,要发展物联网就必须抓核心技术,研究商业模式问题,实现“政、产、学、研、商”的真正跨界融合。
“推动物联网稳步发展,政府要发挥作用,做好政策制定。”姚建铨建议,政府要结合该产业在国际上的发展情况,以及城市自身优势确定发展方向,充分发挥政府的搭台作用,部署一些物联网特色的产业园区,通过市场化运作的方式引进优质项目。
“政府确定发展方向,专家结合具体情况提出可行建议,企业也要努力创新发展。”姚建铨还表示,产业发展归根到底要走市场化道路,除了政府做好引领和服务作用,企业也要跟紧发展潮流。
重庆需打造自己的标志性项目
姚建铨曾多次来渝,对重庆的发展非常看好。目前,他已和重庆邮电大学建立了合作关系,在工业自动化领域联合申报 科技 项目,展开深入研究。
“重庆是我国的工业化大城市,基础很好,装备制造业、电子 科技 技术等个各方面都很强。”
谈及重庆的未来发展,姚建铨表示,重庆一直在推动以智能制造为主体的产业升级和以智慧城市为基础的应用示范,“中国现在不光有长三角、珠三角和京津地区,中部和西部也在崛起,作为西部的中心城市之一,重庆的机会很好。”
姚建铨建议,重庆应该加强顶层设计,制订更清晰、详细的方案,来突出自身的特色和优势。
“提到互联网,大家会想到乌镇,说起物联网会想到无锡,贵阳有大数据,天津有人工智能,郑州也有传感器,重庆也应该打造自己的标志性项目,这样对于做研究、搞产业,方向会更清晰。”
姚建铨还建议,随着新兴产业与技术的快速兴起,重庆既要重视软科学,也要在发展信息科学技术的同时发展装备制造业,真正实现两条腿走路。
电子商务物流技术是指电子商务物流要素活动有关的所有专业技术的总称,可以包括各种 *** 作方法、管理技能等,如流通加工技术、物品包装技术、物品标识技术、物品实时跟踪技术等;物流技术还包括物流规划、物流评价、物流设计、物流策略等;当计算机网络技术的应用普及后,物流技术综合了许多现代技术,如条码、电子数据交换、射频技术、地理信息、全球定位系统等。传统物流一般指产品出厂后的包装、运输、装卸、仓储,而现代物流提出了物流系统化或叫总体物流、综合物流管理的概念,并付诸实施。具体地说,就是使物流向两头延伸并加入新的内涵,使社会物流与企业物流有机结合在一起,从采购物流开始,经过生产物流,再进入销售物流,与此同时,要经过包装、运输、仓储、装卸、加工配送到达用户(消费者)手中,最后还有回收物流。传统物流概括来说:传统物流只提供简单的位移;流是被动服务;实行人工控制;传统物流无统一服务标准 ;侧重点到点、线到线服务;单一环节的管理。由此可见,传统物流提供的只是物流简单的位移,并没有现代技术辅助支持。和现代物流对比,现代物流具有增值性、主动性、信息化、标准化、网络化、整体化等特点。
摘自《长风网》务院关于大力推进信息化发展和
切实保障信息安全的若干意见
国发〔2012〕23号
各省、自治区、直辖市人民政府,国务院各部委、各直属机构:
大力推进信息化发展和切实保障信息安全,对调整经济结构、转变发展方式、保障和改善民生、维护国家安全具有重大意义。近年来,各地区、各部门认真贯彻落实党中央、国务院决策部署,加快推进信息化建设,建立健全信息安全保障体系,有力地促进了经济社会发展。当前,世界各国信息化快速发展,信息技术的应用促进了全球资源的优化配置和发展模式创新,互联网对政治、经济、社会和文化的影响更加深刻,围绕信息获取、利用和控制的国际竞争日趋激烈,保障信息安全成为各国重要议题。但是,我国信息化建设和信息安全保障仍存在一些亟待解决的问题,宽带信息基础设施发展水平与发达国家的差距有所拉大,政务信息共享和业务协同水平不高,核心技术受制于人;信息安全工作的战略统筹和综合协调不够,重要信息系统和基础信息网络防护能力不强,移动互联网等技术应用给信息安全带来严峻挑战。必须进一步增强紧迫感,采取更加有力的政策措施,大力推进信息化发展,切实保障信息安全。为此,提出以下意见。
一、指导思想和主要目标
(一)指导思想。
以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,以促进资源优化配置为着力点,加快建设下一代信息基础设施,推动信息化和工业化深度融合,构建现代信息技术产业体系,全面提高经济社会信息化发展水平。坚持积极利用、科学发展、依法管理、确保安全,加强统筹协调和顶层设计,健全信息安全保障体系,切实增强信息安全保障能力,维护国家信息安全,促进经济平稳较快发展和社会和谐稳定。
(二)主要目标。
重点领域信息化水平明显提高。信息化和工业化融合不断深入,农业农村信息化有力支撑现代农业发展,文化、教育、医疗卫生、社会保障等重点领域信息化水平明显提高;电子政务和电子商务快速发展,到“十二五”末,国家电子政务网络基本建成,信息共享和业务协同框架基本建立;全国电子商务交易额超过18万亿元,网络零售额占社会消费品零售总额的比重超过9%。
下一代信息基础设施初步建成。到“十二五”末,全国固定宽带接入用户超过25亿户,互联网国际出口带宽达到每秒6500吉比特(Gbit),第三代移动通信技术(3G)网络覆盖城乡,国际互联网协议第6版(IPv6)实现规模商用。
信息产业转型升级取得突破。集成电路、系统软件、关键元器件等领域取得一批重大创新成果,软件业占信息产业收入比重进一步提高。
国家信息安全保障体系基本形成。重要信息系统和基础信息网络安全防护能力明显增强,信息化装备的安全可控水平明显提高,信息安全等级保护等基础性工作明显加强。
二、实施“宽带中国”工程,构建下一代信息基础设施
(一)加快发展宽带网络。实施“宽带中国”工程,以光纤宽带和宽带无线移动通信为重点,加快信息网络宽带化升级。推进城镇光纤到户和行政村宽带普遍服务,提高接入带宽、网络速率和宽带普及率。加强3G网络纵深覆盖,支持具有自主知识产权的3G技术TD-SCDMA及其后续演进技术TD-LTE产业链发展,科学统筹3G及其长期演进技术协调发展。加快下一代广播电视网络建设,推进广播电视网络数字化、双向化和互联互通改造。
(二)推进下一代互联网规模商用和前沿性布局。加快部署下一代互联网,抓紧开展IPv6商用试点,适时推动IPv6大规模部署和商用,推进国际互联网协议第4版(IPv4)向IPv6的网络演进、业务迁移与商业运营。完善互联网国家顶层网络架构,升级骨干网络,实现高速度高质量互联互通。重点研发下一代互联网关键芯片、设备、软件和系统,推动产业化步伐。加快未来网络体系架构关键理论和核心技术的研发,加强战略布局,建设面向未来互联网创新发展的示范平台。
(三)加快推进三网融合。总结试点经验,在确保信息和文化安全的前提下,大力推进三网融合,推动广电、电信业务双向进入,加快网络升级改造和资源共享,加强资源开发、信息技术和业务创新,大力发展融合型业务,培育壮大三网融合相关产业和市场。加快相关法律法规和标准体系建设,健全适应三网融合的体制机制,完善可管、可控的网络信息和文化安全保障体系。
三、推动信息化和工业化深度融合,提高经济发展信息化水平
(一)全面提高企业信息化水平。推广使用数字化研发设计工具,加快重点行业生产装备数字化和生产过程智能化进程,全面普及企业资源计划、供应链、客户关系等管理信息系统。实施重大信息化示范项目,引导企业业务应用向综合集成和产业链协同创新转变。继续实施中小企业信息化推进工程和制造业信息化科技工程,提高中小企业和制造业企业信息化水平。完善企业信息化和工业化融合水平评估认定体系,支持面向具体行业的信息化公共服务平台发展。
(二)推广节能减排信息技术。推动工业、建筑、交通运输等领域节能减排信息技术的普及和深入应用,加大主要耗能、耗材设备和工艺流程的信息化改造。建立健全资源能源综合利用效率监测和评价体系,提升资源能源供需双向调节水平。建立健全主要污染物排放监测和固体废弃物综合利用信息管理系统,完善污染治理监督管理体系。
(三)增强信息产业核心竞争力。加大国家科技重大专项对信息产业核心基础产品、网络共性关键技术开发的支持力度,加快推动新一代移动通信、基础软件、嵌入式软件以及制造执行系统、工业控制系统、大型管理软件等技术的研发和应用。加强统筹规划,积极有序促进物联网、云计算的研发和应用。实施工业电子产品提升工程,推进信息技术与工业技术融合创新,提高汽车、船舶、机械等产品智能化水平。推动电子信息产品制造企业由单纯提供产品向提供综合解决方案和信息服务转变。
(四)引导电子商务健康发展。健全安全、信用、金融、物流和标准等支撑体系,探索有效监管模式,建立规范有序的电子商务市场秩序。引导电子商务平台向提供涵盖信息流、物流、资金流的全流程服务发展。鼓励大中型企业开展网络采购和销售,加强供应链协同运作,重点推动小型微型企业普及电子商务应用。实施移动电子商务试点示范工程,创建电子商务试点示范城市,创新电子商务发展模式,改善电子商务发展环境。
(五)推进服务业信息化进程。推动银行业、证券业和保险业信息共享,支持金融产品和服务创新,促进消费金融发展,提高面向小型微型企业和农业农村的金融服务水平。加快推进交通、旅游、休闲娱乐等服务业信息化。培育和发展地理信息产业,大力发展信息系统集成、互联网增值业务和信息安全服务。提高工业设计信息化水平。
四、加快社会领域信息化,推进先进网络文化建设
(一)提升电子政务服务能力。围绕提升服务和监管能力,促进政府管理创新,加强电子政务顶层设计。以互联互通为重点,形成统一的国家电子政务网络,完善项目建设管理、绩效评估和运行维护机制。扎实推进药品、食品、住房、能源、金融、价格等重要监管信息系统建设。推动重点领域信息共享和业务协同,加快电子政务服务向街道、社区和农村延伸,支持基层政府和社区开展管理和服务模式创新试点示范。加强地理空间和自然资源、人口、法人、金融、税收、统计等基础信息资源的开发利用,促进共享。全面提升电子政务技术服务能力,鼓励业务应用向云计算模式迁移。加强电子文件管理与应用。
(二)提高社会管理和城市运行信息化水平。建立全面覆盖的社会管理综合信息系统。完善人口信息共享机制,实现实有人口动态管理,提高人口信息动态监测和分析预测能力。建设公众诉求信息管理平台,改进信访工作方式。加强网络舆情分析,健全网上舆论动态引导管理机制。推动城市管理信息共享,推广网格化管理模式,加快实施智能电网、智能交通等试点示范,引导智慧城市建设健康发展。
(三)加快推进民生领域信息化。加快学校宽带网络建设,推动优质数字教育资源开发和共享,完善教育管理信息系统,构建面向全民的终身学习网络和服务平台,大力发展远程教育,形成教育综合信息服务体系。完善医疗服务与管理信息系统,加快建立居民电子健康档案和电子病历,加强国家和区域医药卫生信息共享,夯实远程医疗发展的基础。构建覆盖城乡居民的劳动就业和社会保障信息服务体系,全面推行社会保障卡应用,推动就业信息共享。推进减灾救灾、社会救助、社会福利和慈善事业等社会服务信息化。提高面向残疾人等特殊人群的信息服务能力。
(四)发展先进网络文化。鼓励开发具有中国特色和自主知识产权的数字文化产品,加强知识产权保护,壮大数字内容产业,培育数字内容与网络文化产业骨干企业,扩展数字内容产业链。加强重点新闻网站建设,规范管理综合性商业网站,构建积极健康的网络传播新秩序和网络氛围。积极推进数字图书馆等公益性文化信息基础设施建设,开发精品网络科普资源,完善公共文化信息服务体系。
五、推进农业农村信息化,实现信息强农惠农
(一)提高农业生产经营信息化水平。推动农业适用信息技术的研发应用,加快推进农业生产基础设施、装备与信息技术的融合。提高种植业、养殖业生产信息化和农村专业合作社、农产品批发市场经营信息化水平。加强农业生产环境监控、生产过程监测、行业发展监管,建立和完善农产品质量安全追溯体系。积极培育、示范、推广适用的农业信息化应用模式。
(二)完善农业农村综合信息服务体系。规范各类农业信息服务系统,建立全国农业综合信息服务平台,鼓励发展专业信息服务,加快推进涉农信息资源开发、整合和综合利用。继续推进农村基层信息服务站和信息员队伍建设,形成村为节点、县为基础、省为平台、全国统筹的农村综合信息服务体系。
六、健全安全防护和管理,保障重点领域信息安全
(一)确保重要信息系统和基础信息网络安全。能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络,要同步规划、同步建设、同步运行安全防护设施,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。加大无线电安全管理和重要信息系统无线电频率保障力度。加强互联网网站、地址、域名和接入服务单位的管理,完善信息共享机制,规范互联网服务市场秩序。
(二)加强政府和涉密信息系统安全管理。严格政府信息技术服务外包的安全管理,为政府机关提供服务的数据中心、云计算服务平台等要设在境内,禁止办公用计算机安装使用与工作无关的软件。建立政府网站开办审核、统一标识、监测和举报制度。减少政府机关的互联网连接点数量,加强安全和保密防护监测。落实涉密信息系统分级保护制度,强化涉密信息系统审查机制。
(三)保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,以及物联网应用、数字城市建设中的安全防护和管理,定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评,实行安全风险和漏洞通报制度。
(四)强化信息资源和个人信息保护。加强地理、人口、法人、统计等基础信息资源的保护和管理,保障信息系统互联互通和部门间信息资源共享安全。明确敏感信息保护要求,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任,严格规范企业、机构在我国境内收集数据的行为。在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点,加强个人信息保护工作。
七、加快能力建设,提升网络与信息安全保障水平
(一)夯实网络与信息安全基础。研究制定国家信息安全战略和规划,强化顶层设计。落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。强化网络与信息安全应急处置工作,完善应急预案,加强对网络与信息安全灾备设施建设的指导和协调。完善信息安全认证认可体系,加强信息安全产品认证工作,减少重复检测和重复收费。
(二)加强网络信任体系建设和密码保障。健全电子认证服务体系,推动电子签名在金融等重点领域和电子商务中的应用。制定电子商务信用评价规范,建立互联网网站、电子商务交易平台诚信评价机制,支持符合条件的第三方机构开展信用评价服务。大力推动密码技术在涉密信息系统和重要信息系统保护中的应用,强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用。
(三)提升网络与信息安全监管能力。完善国家网络与信息安全基础设施,加强网络与信息安全专业骨干队伍和应急技术支撑队伍建设,提高风险隐患发现、监测预警和突发事件处置能力。加强信息共享和交流平台建设,健全网络与信息安全信息通报机制。加大对网络违法犯罪活动的打击力度。进一步完善监管体制,充实监管力量,加强对基础信息网络安全工作的指导和监督管理。倡导行业自律,发挥社会组织和广大网民的监督作用。
(四)加快技术攻关和产业发展。统筹规划,整合力量,进一步加大网络与信息安全技术研发力度,加强对云计算、物联网、移动互联网、下一代互联网等方面的信息安全技术研究。继续组织实施信息安全产业化专项,完善有关信息安全政府采购政策措施和管理制度,支持信息安全产业发展。
八、完善政策措施
(一)加强组织领导。在国家信息化领导小组和国家网络与信息安全协调小组的领导下,各有关部门要按照职责分工,认真落实各项工作任务,加强协调配合,形成合力,共同推进信息化发展和网络信息安全保障工作。各地区要将保障网络与信息安全列入重要议事日程,逐级建立并认真落实网络与信息安全责任制,明确主管领导,确定工作机构,负责督促落实网络与信息安全规章制度,组织制定应急预案,处理重大网络与信息安全事件等,并根据本地实际情况,建立省(区、市)、地(市)两级网络与信息安全协调机制。
(二)加强财税政策扶持。发挥财税政策的杠杆作用,加大对信息化和工业化深度融合关键共性技术研发与推广、公共服务平台、重大示范工程建设等的支持力度。完善农村通信普遍服务补偿机制,优先支持农村、欠发达地区综合信息基础设施建设和改造。整合利用现有资金渠道,中央财政加大投入,重点支持信息安全重要基础性工作。各地区、各部门要将基础性公益性网络与信息安全设施运行维护、安全服务和检查等费用纳入财政预算。
(三)加快法规制度和标准建设。完善信息化发展和网络与信息安全法律法规,研究制定政府信息安全管理、个人信息保护等管理办法。健全相关法规制度,明确并落实企事业单位和社会组织维护信息安全的责任。制定完善新一代信息技术在重点领域的应用标准,注重发挥标准对产业发展的技术支撑作用。培育国家信息安全标准化专业力量,加快制定三网融合、云计算、物联网等领域安全标准。积极参与制定信息安全国际行为准则、互联网治理等国际规则和标准。
(四)加强宣传教育和人才培养。开展面向全社会的信息化应用和信息安全宣传教育培训。支持信息安全与保密学科师资队伍、专业院系、学科体系、重点实验室建设。加强大中小学信息技术、信息安全和网络道德教育,在政府机关和涉密单位定期开展信息安全教育培训。各级财政要加大对信息安全宣传教育和培训等公益性活动的支持。加快培养创新型、应用型信息化人才。
国务院
二〇一二年六月二十八日摘 要 边缘计算是 5G 重要新技术能力,通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁,急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。
关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)