摘要
在边缘计算(EC)中,合理配置终端安全策略,对终端和EC系统实施必要的安全保护,是系统安全管理的重要任务。为此,本文分析了电网下多业务电子商务系统终端接入的安全目标和要求,基于AHP算法进行了终端安全风险评估,创造性地利用OS-ELM算法提出了边缘计算平台终端安全配置优化策略。云培训和边缘在线学习框架,满足边缘平台的实时和轻量级通信需求。
1.导言
随着智能电网建设的不断推进,电力系统规模不断扩大[1],智能终端数量急剧增加,电力业务也呈现出多样性和实时性的趋势,导致大量异构数据([2],[3])。边缘计算位于网络的边缘,靠近数据源,可以提供附近的边缘服务,可以满足实时业务、低传输延迟、智能应用等行业服务的需求。然而,这种新服务模式的引入不仅会缓解智能电网系统的压力,还会带来更加复杂多样的安全问题[4]。开发全面、灵活的终端安全保护框架是为了确保边缘计算技术在智能电网系统中的应用。顺利应用的关键。事实上,边缘计算的具体应用还处于发展阶段,相应的终端安全研究还很少。在文献[5]中,提出了一种定量的边缘计算端终端安全访问策略选择方案,该方案能够保护终端和数据免受安全风险和威胁,并对其进行了量化,选择了合适的算法,通过量化的客观标准进行边缘计算端终端安全访问策略选择[6]。在此基础上,进一步总结了适用于智能电网边缘计算信息安全的安全评估项目,构建了基于AHP算法的国家电网边缘计算终端信息安全评估模型,并设计了终端安全配置策略优化模型,使终端访问时间满足业务系统的安全要求,同时给予正确的安全保护[7]。
2.终端安全风险分析
2.1.边缘计算下的电力终端安全配置优化策略
终端安全配置优化包括四个阶段:风险评估准备、安全漏洞识别、风险分析和安全配置,如图1所示。
智能终端的安全风险评估是指智能终端安全防护机制中某一安全措施的缺失或破坏所造成的安全漏洞的损失和影响,即威胁,系统安全漏洞以及由此产生的风险规模和影响评估[8]。
2.2.终端安全评估信息采集
根据标准《GBT37138-2018电力信息系统安全等级保护实施指南》、《GB/T 36047-2018电力信息系统安全检查规范》,某种类型的安全机制,如数据安全机制、身份认证安全机制、访问控制安全机制、用户安全机制等,具体的安全评估项目,管理员根据边缘平台系统上电力系统信息安全工作的实际情况是否满足检查项目描述[9],为检查项目分配一个权重值,根据检查结果,分配量化值,如表1所示。某类安全机构检查结果的量化值按公式1计算。
其中, 是终端当前第t个安全机制的评估结果,m是安全机制的总数。评价项目的具体量化值可以通过终端评价工具或专家分析等方法获得。它是第i个评估项目的权重,可通过国家电力信息安全相关标准或专家经验法获得,i=1,...,k,n为某一评价类别的评价项目总数。
2.3.基于AHP算法的终端安全风险分析
智能终端的安全风险评估要素主要分为三个方面:资产损失、威胁和脆弱性[10]。
(1) 根据对电力信息系统[11]智能终端通信威胁的分析,可建立如图2所示的风险评估模型。通过AHP算法,当前系统终端安全机制权重为 根据1-9的比例计算。
(2) 通过使用评估工具或问卷调查方法,可获得符合式(1)的终端安全漏洞评估矩阵。设 作为终端k在第t安全机制上的得分,接入边缘上每个终端的风险得分可由式(2)计算,终端的整体安全风险等级可参考表1得出。
表1.终端安全机制评估表
安全评估 | 安全检查项 | 权重 | 量化值 |
t型安全机构 | 项目 i 具体检验内容 | 完全合适 |
第t个安全机制风险得分由公式3得出,通过与表2[5]比较,可得出终端各安全机制的脆弱性风险等级。
表2.安全风险评估等级
安全风险等级 | 等级I | 等级II | 等级III | 等级IV |
终端安全风险 | 0~m/4 | m/4~m/2 | m/4~m/2 | 3m/4~m |
安全机制风险 | 0~0.25 | 0.25~0.5 | 0.5~0.75 | 0.75~1 |
3.终端安全策略配置
本文在边缘计算系统平台上,根据终端信息系统安全要求,终端接入满足安全标准([12]、[13])。信息安全管理员收集实际终端安全信息,在平台上进行安全机制漏洞风险评估,并考虑终端计算资源和系统,优化通信延迟要求进行安全配置,使终端能够满足业务系统的安全要求,同时在访问时提供适当的安全保护[14]。安全策略配置步骤如下所示:
(1)在边缘计算系统下设置T-H型终端安全机制的评估矩阵,从终端当前安全机制的脆弱性风险、延迟需求和计算资源的三个维度考虑终端所需的配置策略。设置终端类型t安全机构评估矩阵A:
其中,为终端k对应的安全机制风险等级;是终端k当前系统或任务延迟需求的量化值,可从表3中获得;是终端k的计算资源的量化值,可从表3.1中获得。k=1,...,l , l是边缘计算平台上的接入终端总数。
(2) 边缘侧从安全强度、加密效率、资源消耗三个维度得到安全策略评估矩阵B:
其中, 是安全策略j的安全强度的定量值, 是安全策略j的加密效率的定量值, 是安全策略的资源消耗的定量值,j = 1,2, …,p, p是安全策略类型的数目。
表3.指数量化表。
量化值 | 1 | 2 | 3 | 4 |
风险等级 | IV | III | II | I |
延迟要求 | 分钟 | <6s | <3s | <1s |
计算资源 | 弱 | 强 | ||
安全强度 | 弱 | 标准 | 安全 | 非常安全 |
加密效率 | 慢 | 普通 | 快 | 非常快 |
加密资源消耗 | 非常高 | 高 | 普通 | 低 |
(3) 计算了在一定安全机制下,每个终端采用不同安全策略后的安全保护量化值:
其中, 是在某一安全机制中采用第j个安全策略后,对第i个终端的安全保护的量化值,直接选择 最大值对应的安全保护策略作为每个终端的安全配置,以达到优化效果。
4.基于OS-ELM算法的安全策略配置模型
在线顺序ELM(Online Sequential ELM,OS-ELM)是在传统极限学习机的基础上提出的一种改进算法。它具有在线顺序学习功能。它可以使用实时数据来学习和更新输出权重。该算法具有较强的鲁棒性和通用性。坚强的考虑到电力信息系统中终端实际通信环境的复杂性和系统的时变性,在实际安全策略配置过程中,评估项目和安全算法中存在很多变量[15],因此,鲁棒性好的OS-ELM算法更能满足实际系统的需要。
基于OS-ELM算法的安全策略配置模型的培训步骤和原则如下:
(1) 确定初始训练样本集 , 是第一批终端样本数据的编号。对于所建立的仿真模型,每批样本都是由随机选取的终端测试项数据和预处理后的安全策略数据组成的样本集;
(2) 通过随机生成生成输入层和隐藏层之间的连接权重矩阵W和隐藏层节点的偏差矩阵B;
(3) 确定初始输出权重矩阵 .
(4) 在edge平台收集一个新样本集 , 可以上传到云服务器,代表新批次样本中的数据数量。
(5) 可以根据已知参数计算新的输出权重,以便根据新输入样本集中n1样本的训练结果更新输出权重矩阵。使用OS-ELM构建的模型,云在线学习过程不需要扫描历史样本数据,节省了大量的训练时间,训练速度大大提高,并且edge平台上的模型不能中断模型使用过程。
5.结论
本文讨论了边缘计算下的终端安全,提出了边缘端终端安全配置优化策略,通过边缘计算设备安全策略与终端或数据应用风险之间的定量关系,可以实现对安全性能和复杂性的综合评估。最大限度地节约资源,最大限度地优化边缘计算系统的安全性能,以满足安全要求。