边缘计算对企业安全建设的影响及趋势

2021-10-26 14:30:49新冠肺炎疫情的爆发及其对工作场所和运营环境的破坏，暴露了边缘计算的一些安全问题。安全专家总结了边缘计算将对企业威胁模型的四个领域产生显著影响。

边缘计算，作为一种将智能集成到边缘设备中的分布式技术，因其可以在数据采集源附近实时处理和分析数据，无需上传到云端或集中式数据处理系统等优势特点，受到企业的广泛关注。在去年的一份研究报告中，Gartner认为“边缘计算”解决方案在未来5年内将渐成气候，越来越多的基础设施和运营企业将边缘计算纳入其云计划。

然而，新冠肺炎疫情的爆发及其对工作场所和运营环境的破坏，暴露了边缘计算的一些安全问题。

例如，网络边缘设备的爆炸式增长显著扩大了许多企业的攻击面，并为威胁行为者提供了更多机会入侵企业网络。此外，由于ISP、设备制造商、系统集成商和其他利益相关者已经开始为客户和合作伙伴提供或集成边缘计算功能，这一趋势使异构供应商环境中边缘安全的所有权和责任问题变得更加复杂。

安全专家总结了边缘计算将对企业威胁模型的四个领域产生显著影响：

1. 加速转向SASE

SASE(全称Secure Access Service Edge，即安全访问服务边缘)，这是一种将安全Web网关和云访问安全代理等网络安全功能与安全广域网(WAN)功能相结合的计算方法。在企业组织向边缘计算模型转变的过程中，企业组织将更加关注SASE。Versa Networks今年早些时候进行的一项调查显示，SASE的采用率在过去一年实现了激增，34%的受访者表示他们正在实施SASE;30%的受访者正计划这样做。

导致SASE采用率激增的原因，包括用户在使用视频会议等需要带宽的应用程序时，遭遇远程网络问题、连接中断和性能问题等。其他因素还包括执行安全策略和发现新威胁等诸多挑战。

美国托管服务提供商vXchnge创始人Ernest Sampera表示，“一种改变边缘设备安全性的技术是SASE。SASE的理念是，随着用户、应用程序和数据从企业数据中心迁移到云和网络边缘，还需要将安全性和WAN迁移到边缘，以最大程度地减少延迟和性能问题。SASE将SD-WAN与一系列解决方案相结合，以保护边缘计算中涉及的网络部分。在新冠肺炎疫情爆发期间，边缘安全案例显著增加，这并不奇怪。”

2. 对攻击面可见性的关注不断增加

调研机构451 Research首席分析师Fernando Montenegro表示，居家和混合办公模式的转变主要影响了人们用来访问企业网络的端点。过去18个月，人们被迫转向远程办公，也就不得不选择远程连接至企业系统。这一趋势导致针对旧虚拟专用网设备和用于远程访问的其他技术的攻击活动急剧增加。

Montenegro表示，“边缘计算的日益普及表明，该技术正被越来越多的企业用于越来越具体的场景中，这意味着安全性与部署边缘计算的业务部门或团队之间需要具备极强的一致性。如果处理不当，安全与业务之间的脱节可能会导致安全需求得不到满足。”

IT自动化平台提供商Netenrich CISO Chris Morales表示，向更加分布式的工作环境转变的一个后果是过分强调端点安全，而非边缘计算的其他方面。一般来说，安全预算已将端点威胁检测作为优先事项，但却很少花时间在攻击面的可见性和风险量化上。

Chris Morales建议那些寻求边缘环境防护的企业组织尝试提高对整体攻击面(而不仅仅是用户端点设备)的可见性。他表示，对于每个企业组织而言，了解正确策略的唯一方法就是了解整个攻击面，并使用威胁建模和攻击模拟等技术来实施风险管理。

3. 识别设备风险

来自vXchnge公司的Sampera表示，边缘设备多样性带来的风险已经增加。远程工作的大部分安全问题源于用户从远程位置登录，这些位置可能并不提供严格的安全控制。随着企业组织试图通过虚拟专用网和多因素身份验证等控制措施来缓解这种威胁，针对这些工具的攻击也开始有所增加。

由于新冠肺炎疫情爆发而显现的另一个趋势是，边缘基础设施的物理安全性亟待提升，这些基础设施大多部署在商业建筑的内部数据中心或物理安全性和监管较差的远程内部数据中心。这些系统极易受到物理篡改、置换或在其上植入恶意软件，从而导致数据失窃、权限提升、窥探和其他恶意活动。

这种威胁要求组织更加注意根据设备类型、操作系统、安全功能、使用年龄和任何其他功能对设备进行编目。目的是评估设备的潜在漏洞，识别潜在风险，并确保企业在发生安全事件时能够限制攻击者的访问，为端点安全奠定基础。

根据安全研究人员的说法，同样重要的是硬件信任根(RoT)、防篡改和防干扰功能、加密和基于加密的ID控制等措施。

4. 更加关注供应链安全

边缘计算的发展还引发了企业组织对供应链安全的广泛关注。随着企业组织越来越依赖不受其直接控制的计算和存储系统，有关设备和设备组件的安全性问题变得愈发重要。

与通用计算机相比，更新边缘设备是一个更复杂且更昂贵的过程，因此有必要更好地了解设备如何受到其组件中的安全问题影响。

戳这里，看该作者更多好文

何为安全库存量对企业绩效有什么影响

安全库存量直接影响库存金额的占用，影响现金流速。 库存资金占用是否合理，通常企业采用库存周转率（库存周转天数）作为KPI来评价。 库存周转天数越少，表示库存周转率越高，则现金流越健康，毛利率稳定前提下钱生钱的速度更快。 安全库存量是否有必要需根据企业的实际情况：需求模式、供应模式和生产消耗模式。 安全库存量一旦认定有必要，其合理性就要充分评估：安全库存量的多少、更新安全库存的触发机制：多长周期内由谁更新或何种情形下会更新，谁提出、谁审核、谁批准。 库存周转率=库存金额/销售成本库存周转天数=周期时间天数/(库存金额/销售成本)

什么是网络信息系统安全体系结构?

随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。 但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。 1、安全攻击、安全机制和安全服务 ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。 三者之间的关系如表1所示。 2、网络安全防范体系框架结构 为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。 网络安全防范体系的科学性、可行性是其可顺利实施的保障。 基于DISSP扩展的一个三维安全防范技术体系框架结构，第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800--I）。 第二维是系统单元，给出了信息网络系统的组成。 第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI）模型。 框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。 网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。 针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。 3、网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。 1．物理环境的安全性（物理层安全） 该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。 物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。 2．操作系统的安全性（系统层安全） 该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。 主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。 二是对操作系统的安全配置问题。 三是病毒对操作系统的威胁。 3．网络的安全性（网络层安全） 该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 4．应用的安全性（应用层安全） 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。 此外，还包括病毒对系统的威胁。 5．管理的安全性（管理层安全） 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。 管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

运输企业怎么制定线路安全防范和防范措施

铁路两旁设置了铁路线路安全保护区。 即“铁路线路安全保护区的范围，从铁路线路路堤坡脚、路堑坡顶或者铁路桥梁(含铁路、道路两用桥，下同)外侧起向外的距离分别为：(一)城市市区高速铁路为10米，其他铁路为8米;(二)城市郊区居民居住区高速铁路为12米，其他铁路为10米;(三)村镇居民居住区高速铁路为15米，其他铁路为12米;(四)其他地区高速铁路为20米，其他铁路为15米。 ”其中，路堤坡脚是指路基边坡与地面相接的部分，路堑坡顶是指路堑坡坡面与地面相接的部分。 同时，条例还考虑到在特殊路段、特殊情况下，上述距离不能满足铁路运输安全保护的需要，需要适当扩大铁路线路安全保护区范围的情况，明确规定：“前款规定距离不能满足铁路运输安全保护需要的，由铁路建设单位或者铁路运输提出方案，铁路监督管理或者县级以上地方人民依照本条第三款规定程序划定。 ”铁路线路安全保护区，是指为防止外来因素对铁路列车运行的干扰，减少铁路运输安全隐患，保护国家的重要基础设施，在铁路沿线两侧一定范围内对影响铁路运输安全的行为进行限制而设置的特定区域。 这里所说的铁路线路，包括铁路钢轨道床、路基、边坡、侧沟及其他排水设备、防护设备等，以及铁路桥梁、隧道、场站等。