互联网工业互联网边缘计算安全白皮书

工业互联网安全系列研究报告

白皮书编写说明

随着工业互联网的快速发展接入网络的工业设备数量不断增加 网络规模不断扩大海量数据的实时分析要求越来越高。作为更靠近工业数据源的计算模式边缘计算逐渐成为工业互联网领域关注的焦点。 2018年6月工信部发布

《工业互联网发展行动计划2018—2020年 》 明确指出

“开展工业互联网关键核心技术研发和产品研制推进边缘计算、深度学习、区块链等新兴前沿技术在工业互联网的应用研究”  2020年3月印发《关于推动工业互联网加快发展的通知》 鼓励相关单位在时间敏感网络、边缘计算、工业智能等领域加快技术攻关打造智能传感、智能网关、协议转换、工业机理模型库、工业软件等关键软硬件产品加快部署应用。

然而边缘计算在助力工业互联网发展的同时也带来了关联数据泄露、底层风险渗透等安全问题安全用好这把

“双刃剑”迫在眉睫。 2019年 中国科学院沈阳自动化研究所、国家工业信息安全发展研究中心等十余家单位联合发布

《边缘计算安全白皮书》 。其中边缘安全参考框架1.0中指出工业边缘计算是边缘计算典型的价值场景之一并就边缘基础设施安全、网络安全、数据安全、应用安全、边云协同安全提出防护措施但尚未针对边缘计算应用到工业互联网内网、工业现场提出具体的防护措施。然而边缘计算作为工业互

联网内网智能化、实时化改造的重要手段部署在工业互联网中的边缘设备、边缘网络、边缘应用、边缘平台等面临不同的安全风险需要根据其不同特点有针对性地部署安全防护措施。

为了进一步明确边缘计算应用到工业互联网场景下存在的安全保护对象及风险、安全防护措施和相关安全角色国家工业信息安全发展研究中心在《边缘计算安全白皮书》

《工业信息安全标准化白皮书》等已有成果的基础上组织十余家单位编写《工业互联网边缘计算安全白皮书》 提出了工业互联网场景下的边缘计算架构及安全框架 旨在为工业企业、工业互联网平台企业、安全企业等相关单位安全部署边缘计算提供参考。

目录

一、工业互联网边缘计算概述. . . . . . . . . . . . . . . . . . . . . . . .1

一工业互联网边缘计算概念与内涵. . . . . . . . . . . . . 1二工业互联网边缘计算研究现状. . . . . . . . . . . . . . .3

三边缘计算助力工业互联网发展. . . . . . . . . . . . . . .9

二、工业互联网边缘计算安全风险与挑战. . . . . . . . . . . . . 11一工业互联网边缘计算面临典型风险. . . . . . . . . . 11二工业互联网边缘计算安全防护面临挑战. . . . . . 19

三、工业互联网边缘计算安全防护. . . . . . . . . . . . . . . . . . .21

一国内外工业互联网边缘计算安全防护框架. . . . 21二工业互联网边缘计算安全参考框架. . . . . . . . . . 22三防护措施. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

四、工业互联网边缘计算安全未来展望. . . . . . . . . . . . . . .40

附件术语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

一、工业互联网边缘计算概述

一工业互联网边缘计算概念与内涵

工业互联网边缘计算是一种将部分数据处理和数据存储放在工业互联网边缘节点的分布式计算方式其通过融合工业互联网边缘侧的计算、通信和存储能力就近提供边缘智能服务并可通过云边协同机制为工业互联网平台提供数据支撑从而实现工业互联网泛在互联、实时业务、可靠服务、数据优化、边缘应用智能、安全和隐私保护等多方面应用需求。工业互联网边缘计算架构如图1所示。

图1工业互联网边缘计算架构

工业互联网边缘计算架构主要包括以下内容a终端设备。终端设备主要包括可实现工业现场数据采集

的各种传感器和仪器仪表、可执行工业控制命令的执行器和伺服电机等终端设备可通过工业现场总线、实时以太网等通信协议与边缘节点连接实现数据、控制命令等内容的传输b边缘节点。边缘节点主要包括具有边缘算力的智能终端设备、工业控制设备、边缘控制器、边缘网关、边缘计算盒子等通常部署在工业现场实现智能感知、工业控制、实时数据处理和实时决策。其中智能终端设备包括搭载边缘算力的智能摄像头、智能机器人、智能AGV小车等工业控制设备包括PLC、DC S、RTU等它们执行工业控制规则和逻辑实现对底层终端设备的控制边缘控制器既具有边缘计算能力也具有实时工业控制能力边缘网关兼具通用网关的数据转发功能和边缘侧数据处理功能边缘计算盒子是专门用于执行边缘计算任务的算力设备。边缘节点作为边缘侧的算力硬件载体为边缘侧的实时数据处理、AI模型推理、实时工业控制、应用部署等提供计算能力c边缘网络。边缘网络指在网络边缘侧负责连接各种工业设备、工业系统、工业数据并将其接入工业互联网边缘平台的通信技术和协议。主要协议包括现场总线、工业以太网、时延敏感网TSN 、OPC UA、 5G、WiFi、NB-IoT、LoRa、MQTT等d边缘平台。边缘平台通常部署在企业私有云、边缘云、边缘服务器等边缘基础设施上主要负责管理边缘侧的各种资源并提供边缘侧的基础平台能力。边缘资源管理主要是针对边缘节点资源、边缘计算资源、边缘网络资源和边缘存储资源进行调度和

协同最大化资源的使用边缘基础能力主要提供业务编排、统一服务接口AP I的定义和封装、轻量级容器和微服务组件等基础核心能力支撑工业边缘智能应用和服务的开发和部署e边缘应用。利用边缘侧的基础设施和边缘平台提供的基础能力可以开发和部署各种边缘侧的工业应用和工业服务包括产品质量检测、设备故障诊断、预测性维护、工业视觉等f边缘接入平台。边缘接入平台位于云端主要实现工业云平台对边缘平台基础设施、边缘设备等资源的管理提供将工业云上的应用和服务延伸到边缘的能力实现边缘和云端的数据和能力的协同提供完整的边缘和工业云平台一体化协同服务能力g边缘数据。边缘数据是工业互联网的生产制造、运行服务等环节在边缘侧产生的机器数据、配置数据、决策数据、状态数据、模型数据等原始或衍生数据。这些数据呈现结构化、半结构化、非结构化等多种格式具有分布广泛、数量巨大、时序性强等特点。

二工业互联网边缘计算研究现状

当前相较于边缘计算技术在其他领域的应用工业互联网边缘计算处于起步阶段。

1国外研究现状

国外在工业互联网边缘计算方面的研起步较早发展较快

如图2所示 。

图2国外工业互联网边缘计算发展现状概览

标准研制方面 2015年9月欧洲电信标准化协会ETSI发布了移动边缘计算白皮书 Mobile-EdgeComputing –Introduc toryTechnicalWhitePaper 该白皮书给出了移动边缘计算的顶层架构设计 同时还介绍了与其他工业技术之间的接口关系。此后该协会又分别于2018年10月和2019年1月发布了

《多接入边缘计算ME C 、第2阶段用例与需求》 Mul ti-access Edge Computing (MEC) 、 Phase 2: Use Cases andRe qui rements和《多接入边缘计算ME C ME C服务AP I的

通用原则》 Multi-accessEdgeComputing(MEC);GeneralprinciplesforMECServiceAPIs等多项MEC的相关标准致力于更好地满足边缘计算的应用需求和相关标准制定。第三代合作伙伴计划3 GPP也将边缘计算列入未来5 G时代的关键技术并且在3 GPP系统化架构的标准化进程中将边缘计算的需求作为重要设计因素。此外 3 GPP还将未来基于控制面和用户面分离的5 G服务化架构写入标准并给出了针对边缘计算的流量疏导方案和业务连续性方案。 由于3 GPP的标准化工作主要针对网络架构 因此更加注重边缘计算平台和网络架构设计相关内容对于具体的业务场景则未做出规定。 2018年美国工业互联网联盟IIC发布了

《工业物联网边缘计算介绍》白皮书阐述了边缘计算技术应用在工业物联网领域中的特性和价值并提出了工业物联网边缘计算中的5条安全事项包括设备以及设备之上的每一层架构都应内含安全要素、计算和通信节点应被妥善监测和管理、及时应用最新的安全补丁、隔离出现的攻击、受攻击影响的组件必须及时获得处理和恢复。

组织建设方面 2015年11月思科、ARM、戴尔、英特尔、微

软和普林斯顿大学联合成立了OpenFog联盟主要致力于雾计算

参考架构的编写 2016年 电气和电子工程师协会IEEE和国

际计算机学会ACM共同发起并成立了边缘计算联合会。产业

应用方面亚马逊Amazon公司于2017年发布了支

持边缘端机器学习的软件“Greengrass” 谷歌Google公司于