随着数字化转型向纵深推进,边缘网络作为连接终端设备、本地计算与核心云端的关键枢纽,已成为企业业务落地、数据实时处理的核心支撑。但其分布式部署、接入终端多元、网络边界模糊的特性,也使其打破了传统网络的安全防护边界,成为网络攻击的 "薄弱环节"。为系统剖析边缘网络面临的安全风险、厘清风险传导路径,安全牛在最新发布的《边缘安全访问及SASE技术应用指南(2025版)》报告中,通过威胁模型对边缘网络访问风险进行了系统分析。
一、边缘计算相关标准及要求
1、《边缘计算安全技术规范》GB/T39460-2020
该标准由全国信息安全标准化技术委员会(TC260)组织制定,旨在为边缘计算(如工业互联网、车联网与智能交通系统、智慧城市与公共服务、移动通信与 MEC架构、能源与电力系统等)系统的规划设计、建设、运维提供安全技术要求与参考框架,保障数据、计算、传输及服务 在靠近数据源的分布王架构下的安全可信运行。标准适用于边缘计算的系统设计方、运营维护方、服务提供商及安全评测机构,可作为等保 2.0、ISO/IEC27001、IEC 62443 等体系的技术支撑标准。
GB/T 39460-2020 构建了"多层分域、纵深防御、协同可信"的边缘计算安全架构,涵盖设备层、网络层、平台层、应用层四个安全防护层面。
标准明确了边缘计算安全的六项原则:可信与可验证、分域隔离、最小化与精细化、协助防御、隐私保护、全生命周期管理。
提出了身份与访问控制、通信与网络安全、数据安全与隐私保护、虚拟化与平台安全、安全管理与监控五大安全控制域。重点关注边缘节点的安全可信、隔离与管控能力。
2、《边缘计算安全技术要求》GB/T 42564-2023
该标准延续了 GB/T 39460-2020 的设计理念,针对边缘计算在 5G、工业互联网、车联网与智能交通路侧单元(RSU)、分布式能源与智慧电网、AI边缘推理与隐私计算等新型基础设施中的快速部署,提出了可操作、可测评、可验证的安全控制要求体系,重点解决分布式计算环境下的身份可信、数据安全、网络防护、平台隔离、隐私保护 等问题。
相比 GB/T 39460-2020,GB/T 42564-2023 将 GB/T 39460-2020 的四层架构扩展为五层,增加了"安全管理与运维层 "。在控制项上引入了零信任、隐私计算、供应链安全、持续运营等新型安全机制,覆盖更完整的边缘安全生命周期。GB/T42564-2023 标准的发布,标志着中国边缘安全标准体系已从框架构建阶段进入到可执行落地阶段。
二、边缘网络访问风险
"端-边-云"的网络架构中,设备层、网络层、服务层都有自己的风险特征。在混合、多云的访问环境下,各层网络风险并非完全孤立,而是会随着云-边的协同访问跨层渗透到云、网络、系统、应用、数据等层面,给业务安全带来巨大的安全挑战。边缘网络风险主要集中在边缘设备及远程访问风险。
三、边缘设备安全风险
边缘负载/节点分布广、资源受限、管理分散、暴露面大,以及安全控制的缺失、数据治理的复杂性以及终端环境不可控等因素,使边缘业务面临了巨大的安全风险。
**终端设备被攻陷:**移动终端、IoT设备缺乏安全补丁或存在弱口令,容易被黑客控制。攻陷后可作为跳板进入边缘节点,扩大攻击面。案例:某工业IoT摄像头因默认密码未修改,被攻击者批量控制,随后被纳入Mirai僵尸网络,用于大规模DDoS攻击。业务方不仅监控瘫痪,还承担网络滥用责任。
**边缘节点篡改与伪造:**边缘节点位置接近终端,可能被攻击者物理接触、植入恶意固件。节点一旦失陷,可窃取用户流量、篡改数据或伪造服务。案例:在智能交通场景中,攻击者通过物理接触边缘路侧单元(RSU),植入恶意固件。结果导致车辆接收到伪造的交通信号指令,触发拥堵和潜在安全事故。
**数据本地缓存泄露:**边缘节点常缓存用户敏感数据或模型推理结果。若存储不安全,可能导致大规模数据泄露。案例:某CDN边缘节点日志未加密存储,包含用户IP、访问记录和部分认证token。黑客入侵后窃取这些数据,并在黑市出售,导致隐私大规模泄露。
边缘设备风险其本身破口小,但一旦边缘节点或设备被攻陷,攻击者可突破外围防护直达核心数据流。风险将会放大为跨层次的渗透,"下沉"到云与应用层,形成"边缘设备层→网络层→服务层"的典型攻击链,从易受攻击的设备入手,逐级渗透到网络和业务核心。特别是在IoT和工业控制场景,边缘设备安全失效可能造成生产中断甚至人身安全威胁。
四、"端-边"协同风险(聚焦近场、轻易级、设备层)
在"端-边-云"协同架构中,"端-边协同"与"云-边协同"是支撑边缘智能、实时响应与全局优化的两大关键协作路径。二者共享边缘节点部分的基础设施,但因通信对象、数据流向、资源能力、部署环境等差异,各自面临独特的网络风险。
"端-边"协同网络主要聚焦近场、轻量级、设备层,由于其部署环境开放、资源受限、连接异构等特点,端-边协同面临一系列独特的网络风险。
典型风险包括:通信链路脆弱性、身份认证与访问控制薄弱、数据隐私与完整性威胁、终端资源限制导致安全能力缺失、动态拓扑与移动性挑战等。
**通信链路脆弱性:**无线信道易被窃听/干扰:Wi-Fi、蓝牙、LoRa等协议缺乏强加密或认证;协议漏洞利用:轻量协议(如CoAP、MQTT)未启用DTLS或ACL,导致重放、伪造攻击;拒绝服务攻击:攻击者伪造大量终端请求,耗尽边缘节点连接数或计算资源。
**身份认证与访问控制薄弱:**弱口令/无认证设备接入:大量IoT设备使用默认凭证,边缘节点难以鉴别真伪;权限粗放:设备一旦接入即可访问多个服务,横向移动风险高;动态接入无审计:设备频繁上下线,安全日志缺失,难追溯异常行为。
**数据隐私与完整性威胁:**明文传输敏感数据:如摄像头画面、生理指标未经加密上传;边缘缓存数据泄露:边缘节点被物理接触或远程攻陷后,暂存数据外泄;数据篡改影响决策:如篡改温控传感器数据,误导边缘自动调节系统。
**终端资源限制导致安全能力缺失:**无法支持复杂加密算法(如RSA、AES-GCM);无安全启动/固件签名验证,易被植入恶意代码;无入侵检测能力,成为攻击跳板而不自知。
**动态拓扑与移动性挑战:**设备漂移切换边缘节点,会话密钥失效或重复认证风暴;移动边缘节点(如无人机、车辆) 导致信任关系频繁重建,策略同步困难。
五**、"云-边"协同风险(聚集广域、集中式、控制层)**
"云-边协同"网络由于集中控制、广域传输、高价值服务目标等特点,面临的网络风险同样复杂且影响深远------一旦云或边缘节点被攻破,可能导致大规模服务瘫痪、核心数据泄露或全局策略被篡改。
典型风险有:广域通信暴露面大、身份冒用与信任体系崩塌、数据合规与模型安全风险、控制平台与编排系统风险等。
**广域通信暴露面大:**公网传输遭MITM攻击:截取模型参数、控制指令或用户聚合数据;API接口滥用:边缘伪装调用云服务API,或云接口被暴力破解/越权访问;BGP/DNS劫持:引导边缘节点连接至钓鱼云平台。
**身份冒用与信任体系崩塌:**边缘节点仿冒注册:利用自动化脚本批量伪造合法边缘ID接入云平台;云控制指令伪造:攻击者伪装云中心向边缘推送恶意配置或固件更新;证书/Token管理失效:过期未吊销、私钥泄露导致大规模非法访问。
**数据合规与模型安全风险:**跨境/跨域数据违规流动:违反GDPR、数安法等法规;AI模型窃取:通过边缘侧逆向工程还原云端训练模型;数据污染攻击:边缘上传伪造数据,污染云端AI训练集,导致全局决策错误。
云/应用服务层是直接承载业务逻辑的核心环节,直接决定业务逻辑的正确性,其网络风险将直接导致数据被窃取、应用瘫痪或业务逻辑被篡改。在多云场景下,服务层失陷可能成为跨云渗透的关键通道,向下渗透到设备层、网络层。一旦服务层失陷,攻击者可"反向控制"设备与链路,形成"中枢被控"的局面。
六、边缘网络访问威胁模型
边缘计算网络跨越了端、边、网、云不同层级的网络基础设施,其风险既有网络自身的脆弱性,也有外部风险。为能全局地了解边缘面临的网络威胁,报告围绕"端-边-云"网络架构从威胁、脆弱性和合规风险三个方面构建了边缘网络威胁模型,如下图所示:
(一) 网络攻击向量(左侧)
聚焦于外部的技术性威胁,主要指"谁来攻击、用什么方式攻击"。在边缘网络中,典型的网络攻击向量包括:AI攻击向量、身份攻击向量、APT/木马/病毒/恶意软件、DDoS攻击/数据篡改、物理攻击/破坏。
(二) 网络脆弱性风险(中间四层)
主要指边缘网络系统自身的脆弱性,该模型通过"设备接入、网络传输、应用服务、数据使用"四层架构展示边缘网络面临的重点脆弱性风险。
**设备接入层风险(高重要性):**主要面临设备假冒、系统框架漏洞、隐私泄漏风险。比如终端设备(如 IoT 传感器)系统存在漏洞,易被攻击者利用接入边缘网络;设备假冒则是由于物理防护措施缺失导致的伪造终端身份非法接入;接入过程中若未对敏感信息加密,会导致隐私数据(如设备身份信息)泄露。
**网络传输层(中高重要性):**传输层风险主要有访问控制、链路传输、DDoS攻击。访问控制不当,会让非法终端或应用(来自设备接入层或外部)随意访问传输链路中的数据;链路传输若缺乏加密,数据易被拦截篡改,导致数据机密性、完整性、可用性被破坏;同时,该层也是DDoS攻击的主要目标,易导致传输中断或应用系统无法响应。
**应用服务层(最高重要性):**典型风险如软件漏洞、API风险、配置风险隐患。软件漏洞(如边缘应用的代码漏洞)可能被攻击者利用入侵;边缘应用与终端、云端交互依赖的 API(如设备管理 API、数据上报 API)若存在设计缺陷(如未做身份认证、权限校验缺失),攻击者可通过恶意调用 API(如伪造请求获取所有终端设备列表)、API 参数篡改(如修改数据上报频次耗尽边缘算力),或利用未授权API接口直接渗透至应用核心模块;应用配置错误(如权限配置过松),可能导致未授权访问应用内数据或功能。
**数据使用层(高重要性):**重点关注由于软件设计引发的数据采集、存储、处理、隐私泄漏风险。数据使用过程中,若不遵循数据安全法规(如未对用户隐私数据脱敏),会引发合规风险;同时,数据存储、处理时若防护不足,易发生隐私泄露(如用户行为数据、个人敏感信息被非法获取)。
(三) 安全合规风险(右侧)
指制度与治理风险。对应不同维度的法规要求,因制度、管理或合规不到位而导致的风险,如数据合规性不足、隐私保护违规、跨境数据传输不符合标准。如,隐私安全合规、数据安全合规、网络安全合规。
参考文献: