一、工业互联网边缘计算概述
工业互联网边缘计算是一种分布式计算方式,将部分数据处理和存储放在工业互联网边缘节点,通过融合边缘侧的计算、通信和存储能力,就近提供边缘智能服务,并可通过云边协同机制为工业互联网平台提供数据支撑。其架构主要包括终端设备、边缘节点、边缘网络、边缘平台、边缘应用、边缘接入平台和边缘数据。
二、工业互联网边缘计算安全风险与挑战
边缘计算在助力工业互联网发展的同时,也带来了新的安全问题。其安全保护对象包括工业边缘应用、工业边缘平台、工业边缘网络、工业边缘节点、工业边缘数据和边缘接入平台。其面临的安全风险主要包括:
- 工业边缘应用安全风险:单一凭证身份鉴别、用户信息泄露、访问控制、应用行为、应用监测与审计、应用资源控制、补丁、测试、开发、边缘管理等方面。
- 工业边缘平台安全风险:物理安全、服务操纵、接口安全、边界隔离、边缘分析、容器安全、微服务组件安全、业务数据泄露、边缘协同等方面。
- 工业边缘网络安全风险:5G环境、通信协议漏洞、网络基础设施、边界安全等方面。
- 工业边缘节点安全风险:设备物理安全、系统安全、设备非法接入、数据安全、设备衍生安全等方面。
- 工业边缘数据安全风险:隐私泄露、数据被盗、数据保密性、数据完整性、数据使用安全、工业设备内存泄露、APT攻击、外包、交换/共享等方面。
- 工业边缘接入平台安全风险:边缘-云互联API调用、边缘-云数据传输、边缘节点的云端安全认证等方面。
工业互联网边缘计算安全防护面临挑战主要包括设备异构、泛在联接、分布广、高实时性、高汇聚性、资源受限、现场环境恶劣、部署场景复杂、新的研发模式带来的安全风险、人工智能对抗的安全挑战等。
三、工业互联网边缘计算安全防护
(一)国内外工业互联网边缘计算安全防护框架
- 已有工业互联网框架:IIRA、RAMI4.0
- 已有工业互联网安全框架:IISF
- 已有边缘计算安全参考框架:边缘安全参考框架1.0
(二)工业互联网边缘计算安全参考框架
该框架主要包括安全角色、安全保护对象和安全风险、安全防护措施三个维度,适用于在工业互联网中规划、建设、运行边缘计算服务的相关企业,也可为科研院所、高校等进行工业互联网边缘计算安全研究提供依据和参考。
(三)防护措施
- 工业边缘应用安全防护措施:技术层面包括用户身份认证、用户授权、安全监测、资源控制等;管理层面包括访问人员管理、应用系统管理、应用审计管理、安全开发管理、安全补丁与加固管理、应用软件管理、运维管理等。
- 工业边缘平台安全防护措施:技术层面包括物理安全、访问控制、边界隔离、接口安全、数据安全、容器安全、边缘协同安全等;管理层面包括人员管理、访问控制、安全检查、安全审计等。
- 工业边缘网络安全防护措施:技术层面包括5G新技术安全、网络设备安全、网络协议安全等;管理层面包括安全检测、漏洞防护、切片管理等。
- 工业边缘节点安全防护措施:技术层面包括安全芯片、安全启动和可信度量、操作系统加固、安全更新、非法接入检测、口令安全、数据安全保护、终端监测分析、安全审计、物理安全防护等;管理层面包括供应链安全、设备安全检测、设备研发安全、环境安全管理、设备安全管理、安全监测管理、备份和恢复安全等。
- 工业边缘数据安全防护措施:技术层面包括数据保密性、数据完整性、可搜索加密、差分隐私、安全多方计算、联邦学习等;管理层面包括数据安全组织、数据安全管理策略制度、数据分类分级、数据安全风险评估、应急评估和处置、实时数据安全监控与分析等。
- 边缘接入平台安全防护措施:技术层面包括边缘智能产品安全、边缘-云网络传输信道的安全防护等;管理层面包括风险管理、运维管理等。
四、工业互联网边缘计算安全未来展望
下一步应重点从体系架构构建、标准制定、技术产品研发、评测体系健全、人才建设等五个方面,提升工业互联网边缘计算安全防护能力。
