边端融合系统安全风险分析及评估方法

点击蓝字关注我们

内容目录：

1　边端融合系统安全风险分析

1.1　边端融合系统安全风险

1.2　边端融合系统安全能力需求

2　边端融合系统安全评价指标体系

3　基于云重心理论的安全评估方法

3.1　指标权重的计算

3.2　期望值和熵的计算

3.3　综合云重心向量的计算

3.4　加权偏离度的计算

3.5　评语集的确定

3.6　算例分析

4　结　语

物联网被认为是继计算机、互联网之后，世界信息产业发展的第三次浪潮。与云计算相比，边端融合计算可以大大提升物联网场景下大数据的处理效率，减轻云端负荷，为用户提供更快的响应，将需求在边缘侧解决。作为更靠近海量数据源的新型计算模式，边端融合计算逐渐受到越来越多的关注。然而，边端融合计算在助力物联网、工业互联网发展应用的同时，其网络边缘高度动态异构的复杂架构会导致边端融合系统难以保护，带来终端安全风险渗透、隐私数据泄露等新的安全问题。如何有效地进行安全评估成为边端融合计算大规模应用需要解决的首要问题。

国内外学者对计算机网络系统的安全评估研究较多，提出了一些安全评估理论和方法，常用方法包括基于关联分析的模型、基于随机方法的模型、基于攻击图的模型、基于博弈论的模型 、基于层次分析法的模型、基于神经网络的模型等，这为边端融合系统的安全评估提供了思路和借鉴。但上述研究都无法准确刻画边端融合计算场景下的随机性和不确定性问题。与计算机网络系统相比，边端融合系统包含大量资源受限、安全手段缺失、地理位置分散的终端设备，攻击者对其中任何一个终端发起攻击都可能影响整个边端融合系统的安全，安全评估需要考虑风险来源点的随机性和不确定性。与云计算的集中式安全防护模式不同，边端融合系统安全边界扩大到了边缘层和终端设备层，各类信息系统的叠加交织互联、各设备厂商的安全能力差异等给边端融合系统增加了诸多不确定性因素，在安全评估过程中必须要处理好各安全要素定性描述与定量数据之间的关系。显然，现有模型难以直接应用于边端融合系统的安全评估。

本文提出一种基于云重心的边端融合系统安全评估方法，能够较好地解决边端融合计算场景下定量和定性指标综合评价问题，与实际情况更加接近。

从边端融合计算架构出发，具有针对性地提出边端融合系统的安全风险和安全能力需求，为边端融合系统安全评估奠定基础。

1.1　边端融合系统安全风险

边端融合计算是在云计算和边缘计算基础上的进一步延伸和发展，其基本思想是在靠近终端设备的网络边缘为应用程序开发商、内容供应商提供云计算能力和 IT 服务，从而创造出一个具备高性能、低延迟、高带宽的大数据处理服务环境，对数据的计算和使用由下行的边缘服务和上行的终端数据两部分组成，边端融合计算架构如图 1 所示。

图 1　边端融合计算架构

边端融合计算场景包括终端设备的差异性和移动性、边缘设备的异构性和分散性、应用需求的多样性和时敏性 3 种固有的典型特征，这给边端融合系统带来了诸多新的安全挑战和安全风险 。一 方 面， 边 端 融 合 系 统 将 云数据中心的计算能力下沉到了网络边缘，但其依赖的基础设施（如无线基站等）大都暴露在不安全的环境中，面临拒绝服务攻击、恶意监听和服务篡改等威胁，并且终端设备的安全资源和计算能力有限，难以提供与云中心一致的安全防护能力，易被攻击者非法入侵。另一方面，在边端融合系统中大量采用虚拟化技术、开放的应用程序接口（Application Programming Interface，API）和开放的网络功能虚拟化（Network Functions Virtualization，NFV）等技术，容易被恶意用户利用和冒充，导致权限违规升级、隐私信息泄露、资源滥用等风险出现。因此，边端融合系统安全风险如图 2 所示。

图 2　边端融合系统安全风险

除此之外，从边端融合基础设施、边端融合网络、边端融合数据、边端融合应用和管理服务平台（身份、管理 / 服务接口、管理员）等层面对边端融合系统潜在的攻击窗口进行深入分析，梳理总结边端融合系统的安全风险点，如表 1 所示。

表 1　边端融合系统的安全风险点

1.2　边端融合系统安全能力需求

在上述安全风险分析的基础上，结合物联网、工业互联网等边端融合计算的典型应用场景，本文总结了边端融合系统安全能力需要满足的特征。（1）细粒度、轻量化。边端融合系统包括数量庞大的边缘设备、终端设备，以及海量的连接和数据，亟需突破大规模非受控异构终端安全行为建模与多因子身份认证、终端行为的可信评估和动态访问控制等技术，确保边端融合系统海量源终端安全接入、海量数据安全采集传输。（2）可扩展、透明。边端融合系统具有典型的异构特征，包括协议的异构性、硬件的异构性、平台的异构性、网络的异构性和数据的异构性等，亟需突破安全资源虚拟化与安全服务快速实例化等技术，确保边端融合系统安全功能适应多样化的服务场景，具有良好的健壮性。（3）自适应、互操作。相比于云计算，边端融合计算靠近边缘侧和用户侧，天然具备分布式特征，能够更好地满足实时性应用和服务的需求，这对边端融合系统安全提出了边界安全、安全自治、弹性、自适应性等方面的能力需求。

在安全评估中，构建指标体系是最为关键的环节，它将直接影响评估的全面性、合理性及有效性。采用层次分析法将安全要素进行细分来满足相应的安全需求，在构建边端融合系统安全评价指标体系时重点考虑以下两个因素。一是衡量传统安全能力对边端融合系统的影响，比如安全能力是否能够适配边端融合计算的特殊架构；是否具备灵活进行部署和扩展的能力；是否具备在一定时间内持续抵抗攻击的能力；是否具备能够容忍一定程度和范围内的功能失效，但基础功能始终保持运行的能力；是否具备高度可用性以及故障恢复能力等。二是基于物联网设备独有的特点，考虑对特定的安全能力进行评估，比如安全能力的轻量化，保证安全措施能够部署在各类硬件资源受限的物联网终端设备中；权限管理模型支持海量异构设备接入的能力；关键的节点设备（如智能网关）具备网络域安全隔离的能力；对安全攻击和风险范围的控制能力，避免攻击由点到面扩展的能力；安全态势感知嵌入到整个边端融合架构中，实现持续检测和响应的能力；尽可能实现安全策略自动化配置与更新的能力等。边端融合系统安全评价指标体系结构如图 3 所示。

图 3　边端融合系统安全评价指标体系结构

该指标体系共有 4 层，把边端融合系统安全评估分为技术要求和服务要求两大类，其中技术要求包括节点安全、网络安全、数据安全和应用安全；服务要求包括认证授权管理、安全运维体系、安全管理编排和安全态势感知。第 4 层共有 39 个有代表性、操作性强、可量化的安全评价指标，比较全面地覆盖了边端融合系统安全评估的主要因素。

针对边端融合系统安全面临的众多不确定性的影响因素，提出了一种基于云重心理论的边端融合系统安全评估方法。

传统的模糊性问题通常采用模糊理论的方法解决，但通过精确隶属度函数来刻画模糊性本身就是不彻底的。云是用语言值表示的某个定性概念与其定量表示之间的不确定性转换模型，能够很好地解决模糊性和随机性的问题。云的数字特征用期望值、熵和超熵表示。其中，期望值代表云的重心位置，是最能反映定性概念的值；熵反映了定性概念的不确定性，是度量定性概念模糊度的值，熵越大，定性概念越模糊，随机性也越大；超熵是熵的熵，是度量熵的不确定性的值，反映了熵的离散程度。

云重心的概念是在云理论的基础上发展来的，云重心是云重心位置与云重心高度的乘积。当云重心位置发生变化时，评估指标中心值跟随变化，相应的评估系统的状态也随之改变；对于云重心位置相同的云也可以通过比较云重心高度来区分它们的重要性，云重心的高度反映了云的重要程度。因此，根据云重心的变化情况可以对边端融合系统状态进行安全评估，具体流程如图 4 所示。

图 4　基于云重心的边端融合系统安全评估流程

3.1　指标权重的计算

计算指标权重的方法有很多，大致可以分为 4 种类型：一是利用信息浓缩的思想，代表性方法有因子分析法和主成分分析法等；二是通过比较相对重要性的数值大小，代表性方法有层次分析法和优序图法；三是利用数据熵值的思想，代表性方法有熵值法；四是利用数据的波动性或者数据之间的相关关系，代表性方法有指标权重确定法（Criteria Importance Though Intercrieria Correlation，CRITIC）、 独 立 性 权 重法和信息量权重法等。

由于本文在设计边端融合系统安全评价指标体系时采用了层次分析的方法，因此，依旧采用层次分析法来确定各指标权重。通过对各层级安全要素进行相对重要性的两两比较来构造各层级的互补矩阵，根据互补矩阵计算得出各层级不同指标之间的权重系数，最终得到各安全要素相对总目标的重要性，即权重。

3.2　期望值和熵的计算

在边端融合系统安全评价指标体系中，既有用精确数值型表示的指标，又有用语言值描述的指标，分别计算其期望值和熵。对于 n 个数值型表示的指标，其计算公式如下：

对于 n 个语言值表示的指标，其期望值和熵的计算公式如下：

3.3　综合云重心向量的计算

假设边端融合系统有 p 个安全评价指标，p个评价指标可以用 p 个云模型来刻画，那么 p 个指标所反映的边端融合系统安全状态就可以用一个 p 维综合云来表示。当指标所反映的系统安全状态发生变化时，这个 p 维综合云的形状也发生变化，相应地它的重心就会改变，p 维综合云的重心 T 可以用一个 p 维向量来表示，即：

其中，表示云重心的位置，表示云重心的高度。当系统的状态发生变化时，其重心变化为

3.4　加权偏离度的计算

设在理想状态下的 p 维综合云重心位置向量为，对应的云重心高度向量为，则理想状态下云重心向量为。同 理， 可 以 求 得 一 定 状 态 下 的 p 维综合云重心向量为 T=(T1,T2,…,Tp)， 进 行 归 一 化， 可 得，，理想状态下的云重心向量归一化为 (0,0,…,0)。把各指标归一化之后的向量值乘以其权重值，然后再相加，得到加权偏离度 θ 为：    

式中：为某一系统状态的第 i 个指标的权重值。

3.5　评语集的确定

边端融合系统安全评估的评语集由 11 个评语组成，即( 极低 , 非常低 , 很低 ,低 , 较低 , 一般 , 较好 , 好 , 很好 , 非常好 , 极好 )。假设边端融合系统安全理想状态为极好（对应风险极低），则 θ 的值越小，表示边端融合系统在某时刻与理想状态越接近，系统越安全，反之亦然。将 11 个评语置于连续的语言值标尺上，并且每个评语值都用云模型来实现，就构成了一个边端融合系统安全定性评测的云发生器，如图 5 所示。通过比较加权偏离度与云发生器中的安全状态，就可以给出边端融合系统安全评估的定性结论。

图 5　云发生器

3.6　算例分析

为了便于计算和说明云重心评估方法的有效性，仅抽取到指标体系中的第三层次进行安全评估算例分析，即只考虑节点安全、网络安全、数据安全、应用安全、认证授权管理、安全运维体系、安全管理编排、安全态势感知 8 个评价指标。由 3 位专家对某边端融合系统的上述指标进行打分，其中既包括语言值（如节点安全程度较低），也包括量化值（如认证授权管理得分 0.74）。（1）建立决策矩阵。根据云理论，语言值可用云模型表示，每个云模型对应期望值、 熵和超熵3 个特征，把语言值 ( 极低 , 非常低 , 很低 , 低 , 较低 , 一般 , 较好 , 好 , 很好 , 非常好 ,极 好 ) 量 化 为 (0,0.1,0.2,0.3,0.4,0.5,0.6,0.7,0.8,0.9,1.0)，就能将专家打分表中的语言值用量化值表示，得到如下决策矩阵：

理想状态下各指标的期望值均为 1，即理想状态向量为。

（2）计算各指标的期望值和熵。根据决策矩阵 G 和式（1）、式（2），分别计算 8 个指标云模型的期望值和熵。

得到 8 维综合云期望值向量如下：

得到 8 维综合云熵向量如下：

（3）计算综合云重心向量。根据式（5）可得，8 维加权综合云重心向量为，理想状态下 8 维加权综合云重心向量为 ，。其中，指标权重由互补矩阵得到，8 个指标权重为 (0.162,0.143,0.131,0.090,0.148,0.125,0.097,0.104)。

计算得到 T 和的值如下：

，，。根据公式

，归一化得到：

（4）计算加权偏离度及确定评语集。依据式（6），计算得到加权偏离度 θ=0.34，其含义是系统此时的安全状态距离理想状态（安全度为极好）的偏离度为 0.34。该值在云发生器中介于 0.3~0.4 之间，表示该边端融合系统的安全度介于“好”和“较好”之间，风险度介于“低”之间。

边端融合计算能够大大提升物联网、工业互联网、无人系统等新型应用场景下大数据的处理效率，为用户提供更快的响应，但其安全性成为边端融合计算发展以及物联网、工业互联网等新场景应用的瓶颈。本文针对边端融合系统“攻击面广、环境复杂、安全隐患点多、计算和存储受限”的特点，对安全要素进行层次化细分，构建了一套通用的、可解释的边端融合系统安全评估指标体系，在此基础上，提出了基于云重心理论的边端融合系统安全评估方法。该方法计算过程清晰，能够较好地解决安全评估中的不确定性和随机性问题，用于边端融合系统安全评估是可行的。