０引言“云管邊端”協(xié)同的邊緣計(jì)算安全防護(hù)解決方案是恒安嘉新針對(duì)邊緣計(jì)算發(fā)展提出的全面安全解決方案。方案綜合考慮邊緣計(jì)算產(chǎn)業(yè)中用戶、租戶、運(yùn)營者多方面的要求，通過多級(jí)代理、邊緣自治、編排能力，提供高安全性和輕量級(jí)的便捷服務(wù)。整體方案提供邊緣計(jì)算場景的專業(yè)防護(hù)；提供多種部署方式；在提供高性價(jià)比服務(wù)的同時(shí)為邊緣云計(jì)算輸送安全服務(wù)價(jià)值。１5G及邊緣計(jì)算5G是驅(qū)動(dòng)創(chuàng)新互聯(lián)網(wǎng)發(fā)展的關(guān)鍵技術(shù)之一。5G邊緣計(jì)算（Multi-accessEdgeComputing，MEC）提供了強(qiáng)大的云網(wǎng)一體化基礎(chǔ)設(shè)施，促使應(yīng)用服務(wù)向網(wǎng)絡(luò)邊緣遷移。MEC的一大特點(diǎn)是同時(shí)連通企業(yè)內(nèi)網(wǎng)和運(yùn)營商核心網(wǎng)，其安全性直接影響企業(yè)內(nèi)網(wǎng)安全以及運(yùn)營商基礎(chǔ)設(shè)施安全。隨著邊緣計(jì)算在各行各業(yè)商用，MEC和生產(chǎn)管理流程逐漸融合，安全問題將日益突出，對(duì)于MEC的安全防護(hù)需求日益強(qiáng)烈。２邊緣計(jì)算面臨的風(fēng)險(xiǎn)采用標(biāo)準(zhǔn)X.805模型，MEC安全防護(hù)由3個(gè)邏輯層和2個(gè)平面組成。3個(gè)邏輯層是基礎(chǔ)設(shè)施層（分為物理基礎(chǔ)設(shè)施子層、虛擬基礎(chǔ)設(shè)施子層）、電信服務(wù)層和終端應(yīng)用層。2個(gè)平面為租戶服務(wù)面和管理面?；诖朔謱觿澐肿R(shí)別得到如下MEC安全風(fēng)險(xiǎn)。2.1基礎(chǔ)設(shè)施層安全風(fēng)險(xiǎn)與云計(jì)算基礎(chǔ)設(shè)施的安全威脅類似，攻擊者可通過近距離接觸硬件基礎(chǔ)設(shè)施，對(duì)其進(jìn)行物理攻擊。攻擊者可非法訪問服務(wù)器的I/O接口，獲得運(yùn)營商用戶的敏感信息。攻擊者可篡改鏡像，利用虛擬化軟件漏洞攻擊邊緣計(jì)算平臺(tái)（Multi-accessEdgeComputingPlatform，MEP）或者邊緣應(yīng)用（APPlication，APP）

所在的虛擬機(jī)或容器，從而實(shí)現(xiàn)對(duì)MEP平臺(tái)或者APP的攻擊。2.2電信服務(wù)層安全風(fēng)險(xiǎn)存在病毒、木馬、蠕蟲攻擊。MEP平臺(tái)和APP等通信時(shí)，傳輸數(shù)據(jù)被攔截、篡改。攻擊者可通過惡意APP對(duì)MEP平臺(tái)發(fā)起非授權(quán)訪問，導(dǎo)致用戶敏感數(shù)據(jù)泄露。當(dāng)MEC以虛擬化的虛擬網(wǎng)絡(luò)功能（VirtualNetworkFunction，VNF）或者容器方式部署時(shí)，VNF及容器的安全威脅也會(huì)影響APP。2.3終端應(yīng)用層安全風(fēng)險(xiǎn)APP存在病毒、木馬、蠕蟲、釣魚攻擊。APP和MEP平臺(tái)等通信時(shí)，傳輸數(shù)據(jù)被攔截、篡改。惡意用戶或惡意APP可非法訪問用戶APP，導(dǎo)致敏感數(shù)據(jù)泄露等。另外，在APP的生命周期中，它可能隨時(shí)被非法創(chuàng)建、刪除等。2.4管理面安全風(fēng)險(xiǎn)MEC的編排和管理網(wǎng)元（如MAO/MEAO）存在被木馬、病毒攻擊的可能性。MEAO的相關(guān)接口上傳輸?shù)臄?shù)據(jù)被攔截和篡改等。攻擊者可通過大量惡意終端上的APP，不斷地向用戶APP生命周期管理節(jié)點(diǎn)發(fā)送請(qǐng)求，實(shí)現(xiàn)MEP上的屬于該用戶終端APP的加載和終止，對(duì)MEC編排網(wǎng)元造成攻擊。2.5租戶服務(wù)面安全風(fēng)險(xiǎn)對(duì)于存在的病毒、木馬、蠕蟲、釣魚攻擊，攻擊者近距離接觸數(shù)據(jù)網(wǎng)關(guān)，獲取敏感數(shù)據(jù)或篡改數(shù)據(jù)網(wǎng)管配置，進(jìn)一步攻擊核心網(wǎng)；用戶面網(wǎng)關(guān)與MEP平臺(tái)之間傳輸?shù)臄?shù)據(jù)被篡改、攔截等。2.6MEC安全威脅總結(jié)基于對(duì)上述風(fēng)險(xiǎn)的認(rèn)識(shí)，可以看出：MEC跨越企業(yè)內(nèi)網(wǎng)、運(yùn)營商服務(wù)域、運(yùn)營商管理域等多個(gè)安全區(qū)域，應(yīng)用了基于服務(wù)化接口的多類5G專用接口和通信協(xié)議，網(wǎng)絡(luò)中存在面向應(yīng)用、通信網(wǎng)、數(shù)據(jù)網(wǎng)的多維度認(rèn)證授權(quán)處理，傳統(tǒng)的簡單IDS、IPS、防火墻等防護(hù)方式很難滿足MEC安全防護(hù)的要求，需要新的具備縱深防御能力的專業(yè)性的解決方案處理。３“云管邊端”安全防護(hù)技術(shù)3.1功能架構(gòu)“云管邊端”安全防護(hù)解決方案總體功能架構(gòu)如圖1所示。解決方案利用機(jī)器學(xué)習(xí)、誘騙防御、UEBA等技術(shù)，針對(duì)邊緣計(jì)算的業(yè)務(wù)和信令特點(diǎn)設(shè)計(jì)，結(jié)合“云管邊端”多層面的資源協(xié)同和防護(hù)處理，實(shí)現(xiàn)立體化的邊緣計(jì)算安全防護(hù)處理。解決方案由五個(gè)層面的功能組件實(shí)現(xiàn)，分別為可視化層、中心安全云業(yè)務(wù)層、邊緣安全編排層、安全能力系統(tǒng)層、數(shù)據(jù)采集層。圖1MEC安全防護(hù)解決方案功能架構(gòu)在可視化層，產(chǎn)品通過MEC安全防護(hù)統(tǒng)一管理平臺(tái)提供安全資源管理、安全運(yùn)維管理、安全運(yùn)營管理、統(tǒng)一門戶、租戶門戶、安全態(tài)勢感知服務(wù)。在中心安全云業(yè)務(wù)層，產(chǎn)品通過MEC安全云實(shí)現(xiàn)基礎(chǔ)數(shù)據(jù)資源統(tǒng)管、安全運(yùn)算資源統(tǒng)管、安全能力編排。邊緣安全能力層部署適應(yīng)虛擬化基礎(chǔ)環(huán)境的虛擬機(jī)安全等服務(wù)能力，這些能力由DDoS攻擊防護(hù)系統(tǒng)、威脅感知檢測系統(tǒng)、威脅防護(hù)處理系統(tǒng)、虛擬防火墻系統(tǒng)、用戶監(jiān)控及審計(jì)系統(tǒng)、蜜網(wǎng)溯源服務(wù)系統(tǒng)、虛擬安全補(bǔ)丁服務(wù)系統(tǒng)、病毒僵木蠕釣魚查殺系統(tǒng)以及邊緣側(cè)5G核心安全防護(hù)系統(tǒng)。邊緣安全編排層由安全微服務(wù)和引擎管理微服務(wù)構(gòu)成。數(shù)據(jù)采集層主要提供信令面和數(shù)據(jù)面的流量采集，并對(duì)采集到的信令面流量進(jìn)行分發(fā)，對(duì)用戶面流量進(jìn)行篩選和過濾。3.2主要功能“云管邊端”安全防護(hù)解決方案提供如下八個(gè)方面的特色安全功能。（1）基本安全提供基礎(chǔ)的安全防護(hù)功能，包括防欺騙、ACL訪問控制、賬號(hào)口令核驗(yàn)、異常告警、日志安全處理等能力。（2）通信安全提供針對(duì)MEC網(wǎng)絡(luò)的通信安全防護(hù)能力，包括防MEC信令風(fēng)暴、防DDoS、策略防篡改、流量鏡像處理、惡意報(bào)文檢測等能力。（3）認(rèn)證審計(jì)提供針對(duì)MEC網(wǎng)絡(luò)的認(rèn)證審計(jì)和用戶追溯安全防護(hù)能力，可以處理5GC核心網(wǎng)認(rèn)證交互、邊緣應(yīng)用和服務(wù)的認(rèn)證交互、以及5G終端的認(rèn)證交互，并可以進(jìn)行必要的關(guān)聯(lián)性管理和分析。（4）基礎(chǔ)設(shè)施安全提供對(duì)MEC基礎(chǔ)設(shè)施的安全防護(hù)能力，包括關(guān)鍵基礎(chǔ)設(shè)施識(shí)別，基礎(chǔ)設(shè)施完整性證實(shí)，邊緣節(jié)點(diǎn)身份標(biāo)識(shí)與鑒別等。并可以提供Hypervisor虛擬化基礎(chǔ)設(shè)施的安全防護(hù)處理，保障操作系統(tǒng)安全，保障網(wǎng)絡(luò)接入安全。（5）應(yīng)用安全提供完善的MEC應(yīng)用安全防護(hù)能力，包括APP靜態(tài)行為掃描、廣譜特征掃描和沙箱動(dòng)態(tài)掃描，保護(hù)APP和應(yīng)用鏡像安全。（6）數(shù)據(jù)安全提供多個(gè)層面的MEC數(shù)據(jù)安全防護(hù)能力。在應(yīng)用服務(wù)中提供桌面虛擬鏡像數(shù)據(jù)安全能力，避免應(yīng)用數(shù)據(jù)安全風(fēng)險(xiǎn)。在身份認(rèn)證過程中，結(jié)合PKI技術(shù)實(shí)施雙因子身份認(rèn)證，保護(hù)認(rèn)證信息安全。通過安全域管理和數(shù)據(jù)動(dòng)態(tài)邊界加密處理，防范跨域數(shù)據(jù)安全風(fēng)險(xiǎn)。（7）管理安全提供完善的管理安全防護(hù)能力。包括安全策略下發(fā)安全防護(hù)，封堵反彈Shell、可疑操作、系統(tǒng)漏洞、安全后門等常規(guī)管理安全處理，以及針對(duì)MEC管理的N6及N9接口分析及審計(jì)。實(shí)現(xiàn)對(duì)于管理風(fēng)險(xiǎn)的預(yù)警和風(fēng)險(xiǎn)提示。（8）安全態(tài)勢感知通過對(duì)資產(chǎn)、安全事件、威脅情報(bào)、流量進(jìn)行全方位的分析和監(jiān)測，實(shí)現(xiàn)針對(duì)MEC網(wǎng)絡(luò)的安全態(tài)勢感知。４“云管邊端”安全防護(hù)實(shí)踐4.1應(yīng)用場景“云管邊端”安全防護(hù)解決方案不僅為基礎(chǔ)電信企業(yè)提供5G場景下MEC基礎(chǔ)設(shè)施的安全保護(hù)能力和監(jiān)測MEC持續(xù)運(yùn)營安全風(fēng)險(xiǎn)的工具，而且賦能基礎(chǔ)電信企業(yè)向MEC租用方提供安全保護(hù)增值服務(wù)，推動(dòng)5G安全產(chǎn)業(yè)鏈上下游協(xié)同發(fā)展。整體解決方案支持私有邊緣云定制部署，邊緣云合作運(yùn)營，安全服務(wù)租用等多種商業(yè)模式。企業(yè)通過部署“云管邊端”安全防護(hù)解決方案，能夠有效實(shí)現(xiàn)將網(wǎng)絡(luò)安全能力從中心延伸到邊緣，實(shí)現(xiàn)業(yè)務(wù)快速網(wǎng)絡(luò)安全防護(hù)和處理，為5G多樣化的應(yīng)用場景提供網(wǎng)絡(luò)安全防護(hù)。因此，企業(yè)更有信心利用5G部署安全的智能化生產(chǎn)、管理、調(diào)度系統(tǒng)，從而豐富工業(yè)互聯(lián)網(wǎng)應(yīng)用，促進(jìn)工業(yè)互聯(lián)網(wǎng)智能化發(fā)展。4.2主要優(yōu)勢“云管邊端”安全防護(hù)解決方案具備如下優(yōu)勢：（1）專為邊緣計(jì)算環(huán)境打造，整體方案在分級(jí)架構(gòu)、安全編排、安全性能、協(xié)議分析等多方向優(yōu)化，提供MEC最佳防護(hù)方案。（2）多種模式適應(yīng)各類應(yīng)用場景需求，企業(yè)可根據(jù)自身需求和特點(diǎn)靈活選擇?？梢赃x擇租用模式，無需專業(yè)技術(shù)人員即獲得最新MEC安全技術(shù)服務(wù)。也可以選擇定制模式，深度研發(fā)適配企業(yè)特性的安全防護(hù)處理。（3）高效融合MEC各個(gè)層面的安全保護(hù)能力，降低綜合安全防護(hù)成本，支持多種收費(fèi)模式，降低入門門檻，讓MEC安全保護(hù)不留死角。（4）創(chuàng)造安全服務(wù)價(jià)值，安全策略自動(dòng)化以及與網(wǎng)絡(luò)和云服務(wù)能力的聯(lián)動(dòng)，深度優(yōu)化MEC安全運(yùn)維管理，創(chuàng)造邊緣云服務(wù)安全價(jià)值。５結(jié)語本解決方案當(dāng)前已在多個(gè)實(shí)際網(wǎng)絡(luò)中部署，實(shí)現(xiàn)對(duì)