あなたは自分のコンピューティング ネットワークを理解していますか?これらの安全上の危険は見落とされる可能性があります。

コンピューティング パワー ネットワークはデジタル経済の構築にとって重要なインフラストラクチャであり、ネットワーク セキュリティとデータ セキュリティはコンピューティング パワー ネットワークの健全な発展にとって重要な保証となります。中国共産党中央委員会と国務院が発表した「デジタル中国建設の全体配置計画」は、信頼性が高く制御可能なデジタルセキュリティ障壁を構築する必要性を指摘した。ネットワーク セキュリティを効果的に維持し、ネットワーク セキュリティに関する法律、規制、ポリシー システムを改善します。データセキュリティ保護機能を強化し、データ分類および等級保護の基本システムを確立し、ネットワークデータ監視、早期警報および緊急対応システムを改善します。コンピューティング ネットワークの重要な部分として、家庭用コンピューティング パワーも深刻なセキュリティ問題に直面しています。これらのセキュリティ リスクを理解し、対応するセキュリティ対策を策定し、完全なセキュリティ保護メカニズムを構築することは、家庭のコンピューティング能力が十分に活用され、合理的に利用されることを保証するための重要な条件です。

1. 家庭のコンピューティングパワーの構成と発展の傾向

家庭用コンピューターには通常、次の機器が含まれます。

①パソコン：家庭にあるパソコンは最も一般的なコンピューティングデバイスの1つです。通常、中央処理装置 (CPU)、グラフィックス処理装置 (GPU)、メモリなどのコンポーネントが搭載されており、さまざまなコンピューティング タスクを実行できます。

②モバイルデバイス：スマートフォン、タブレットなど。これらのデバイスは通常、処理能力が比較的小さいですが、軽量のコンピューティングタスクも処理できます。

③ スマートホームデバイス：スマート家電、スマートスピーカー、スマートカメラなど。これらのデバイスは主に単一の機能を担当します。デバイスの汎用性とプロセッサ能力はモバイル デバイスよりも低くなりますが、特定のコンピューティング タスクやより細かい粒度のコンピューティング タスクを処理するためにも使用できます。

④ ネットワーク要素機器：ルーター、スイッチ、テレビセットトップボックスなど。これらのデバイスの主な機能はデータ転送を実現することですが、特定のシナリオでは、ビデオやオーディオのキャッシュなどのコンピューティングタスクを完了するためにも使用できます。

今後の家庭用コンピュータパワーの発展には、次のような傾向が見られます。①コンピュータパワーは継続的に向上します。 ② 装備の知能レベルは向上し続けている。 ③ 機能はますます複雑になってきています。

こうした開発の傾向は、ホーム コンピューティング ネットワークに大きな可能性があることを示唆していますが、コンピューティング ネットワークの構築にはセキュリティ上の課題ももたらします。

2. ホームコンピューティングネットワークの3つの実装モード

中国移動の「コンピューティングパワーネットワーク白書」は、コンピューティングパワーネットワークの一般的なアーキテクチャを明確に提示しています。コンピューティング パワー ネットワークの一部であるホーム コンピューティング パワー ネットワークは、他のコンピューティング パワー ネットワークと類似点がありますが、独自の特徴もあります。具体的には、コンピューティング パワー ネットワーク端末デバイスは多様かつ遍在的です。多くのコンピューティング パワー デバイスはコンピューティング パワーが低い。ネットワークの遅延が大きく、オンライン時間が不安定です。したがって、ホーム コンピューティング ネットワークの構築では、一般的なアーキテクチャを採用するだけでなく、特定のビジネス シナリオとコンピューティング機器の特性を組み合わせて、実際のアプリケーション シナリオに適合するアーキテクチャ モデルを実装することもできます。以下に、いくつかの一般的なアーキテクチャ モデルを示します。

最初のモードは、コンピューティング パワー測定、統合オーケストレーション、仮想化などのテクノロジを通じて端末のコンピューティング パワーを統合し、コンピューティング パワー ネットワークに統合して、統一された管理とスケジュールを実現する一般的なアーキテクチャ モードです。

2 番目のモードは、端末自己組織化ネットワーク モードです。このモードでは、複数の家庭のデバイスが地域内で相互接続され、自己組織化ネットワークを通じてデバイス間でコンピューティング パワーがスケジュールされます。インテリジェントなスケジューリングを実現するためには、プラットフォーム側とのやり取りが不可欠ですが、主なデータ交換はクライアントネットワークで行われます。ネットワーク形式には、フィールド端末コンピューティング電源ネットワーク、ローカル端末コンピューティング電源ネットワーク、および外部端末コンピューティング電源ネットワークが含まれます (エンドサイドコンピューティング電源ネットワークに関するホワイトペーパー)。代表的な製品としては HomeCDN などがあります。

3 番目のモデルはビジネス クラウド モデルです。このモデルでは、一方ではクライアント側で薄型端末を使用することで投資コストを削減し、他方ではコンピューティング リソース プールへの投資を増加させます。ユーザー サービスは端末からリソース プールに移行され、クラウド プラットフォーム上の集中コンピューティングの利点が最大限に発揮され、ホーム アプリケーション向けのオンデマンド コンピューティング サービスが提供されます。代表的な製品としては、クラウドコンピュータ、クラウドショップなどがあります。

3. 家庭内コンピューティングネットワークが直面するリスク

ホーム コンピューティング ネットワークのアーキテクチャは、従来のホーム ネットワークと比べて大きく変化しました。そのため、セキュリティ リスクの現れ方も以下のように変化しています。

①ターミナル

端末デバイスはユーザー側に配置され、空間的および時間的に大きな露出があり、セキュリティ保護対策が不足しているため、アーキテクチャ内で最も弱く脆弱なリンクになっています。従来のホーム ネットワークでは、プラットフォームとホーム デバイス間で送信されるのは、ホーム ユーザーに関連するデータのみです。たとえデバイスがハッキングされたとしても、被害は限定的です。コンピューティングパワーネットワークアーキテクチャでは、端末をハッキングすると、他の家庭ユーザーやビジネスプラットフォームへの侵入につながったり、コアデータの漏洩を引き起こしたりする可能性があります。攻撃のメリットが大きくなると、必然的に攻撃者の注目を集めることになります。

さらに、端末のハードウェアとソフトウェアは大きく異なり、オンライン時間が不安定であるため、サービスが不安定になり、コンピューティング時間が予測できなくなり、コンピューティングネットワークサービスの品質に影響を与えます。

② ネットワーク

無線ネットワークを使用して送信すると、データが簡単に監視され、機密性が低下します。

重要なネットワーク要素デバイスとして、ホームゲートウェイとホームスイッチには、本来の機能に基づいて制御プレーンロジックが追加されています。機能の増加は攻撃のリスクの増加にもつながります。

ホームネットワークのセキュリティメカニズムが脆弱であるため、侵入されやすい。イントラネットのセグメンテーション分離メカニズムやファイアウォール機能が完全ではなく、下流のデバイスがすべて同じネットワークセグメント内にあるため、あるデバイスから他のデバイスへの攻撃が容易になります。ホーム コンピューティング ネットワークのシナリオでは、これらは簡単に突破され、悪用されるポイントになります。

③プラットフォーム

コンピューティング ネットワーク プラットフォームはエンド ユーザーに公開されており、プライベート ネットワークを展開したり、特定の IP アドレスをターゲットにしたりして防御することが困難であるため、サービス拒否攻撃のリスクが高まります。

コンピューティング ネットワーク プラットフォームは、ターミナル ノードをリソース プールの管理とスケジューリングに統合し、コンピューティング リソースとデータの境界を曖昧にし、不正アクセスのリスクをもたらします。

プラットフォームが第三者にコンピューティング パワー サービスを提供すると、契約の有効性の否定、取引データの偽造など、取引プロセスに対する攻撃が引き起こされる可能性があります。

④ データセキュリティ

コンピューティング能力を認識するには、大量の端末データを収集し、それをプラットフォームに送信する必要があります。このデータはユーザーの個人情報と密接に関連しており、プライバシーデータ漏洩のリスクがあります。

コンピューティング ノードは広範囲に分散されています。コンピューティング ノードにコンピューティング能力をアンロードする場合、効果的な暗号化保護が実行されないと、データが盗まれるリスクがあります。

4. セキュリティ対策と技術

①端末セキュリティ

端末は多くの攻撃を受ける可能性があり、広範囲に及ぶ可能性があるため、従来のセキュリティ メカニズムでは包括的にカバーすることが困難です。包括的な保護のために、信頼できるコンピューティングとゼロトラスト メカニズムを組み合わせることも検討できます。信頼できるコンピューティングの原則は、まずシステム内に信頼できるルートを作成し、次にハードウェア プラットフォーム、オペレーティング システムからアプリケーション システムまでの信頼チェーンを確立することです。この信頼チェーンでは、ルートから 1 つのレベルが認証され、一度に 1 つのレベルが信頼されるため、段階的に信頼が拡大されます。認証されたプログラムのみがオペレーティング システム上で実行され、認証されていないプログラムは実行できないため、安全で信頼できるコンピューティング環境が構築されます。ゼロトラストメカニズムは、アクセス前に端末を認証し、後続のプロセスで動作検出と信頼性評価を継続的に実行して、攻撃を適時に検出し、保護対策を講じることができます。

不安定で異機種の端末コンピューティング能力の問題に対処するために、小さなスライス、非リアルタイム、および一般的なコンピューティング タスクを端末デバイスに割り当てることができます。端末の自己組織化ネットワーク (モード 2) とプラットフォームへのコンピューティング リソースの移動 (モード 3) も、不安定なコンピューティング能力の影響を軽減するために使用できます。

②ネットワークセキュリティ

ネットワーク送信中にデータが監視され、改ざんされるのを防ぐために、データ送信を暗号化するために高強度の暗号化アルゴリズムを使用する必要があります。同時に、監視者が特徴分析を通じてデータに対して標的型攻撃を行うことを防ぐために、送信されるデータは難読化される必要があります。

ホームネットワーク要素デバイスをコアネットワークデバイスとして採用することで、信頼のルートをそれらに埋め込むことができ、ネットワーク要素デバイスのセキュリティを確保するだけでなく、ハードウェア、オペレーティングシステム、およびその他のデバイスを測定および認証して、全体として信頼できるコンピューティング環境を構築できます。

ネットワーク要素機器は、不正アクセスを防ぐために、ホームネットワークに強力なパスワードの使用を強制します。デバイス間のアクセス制御を強化するファイアウォール機能を追加します。プラットフォーム分析エンジンを組み合わせて攻撃検出を実行し、ネットワーク内の攻撃をできるだけ早く検出して対処します。

③プラットフォームセキュリティ

プラットフォームは、SDP ソフトウェア定義境界テクノロジを使用して、「接続前の認証」メカニズムを実装できます。クライアントが認証に合格した後にのみサーバーとの接続を確立できるため、攻撃を受ける可能性が効果的に低減されます。攻撃を受けた場合、プラットフォームはコンピューティング ネットワークの強力なコンピューティングおよび分析機能を使用してソース追跡検出を実行し、攻撃元を迅速に特定して傍受することもできます。

プラットフォームは、不正アクセスやデータの悪用を防ぎ、攻撃による被害を最小限に抑えるために、「最小限の許可」の原則を遵守する必要があります。

サードパーティのプラットフォームでコンピューティング パワー取引を行う場合、ブロックチェーンのスマート コントラクト、マルチパーティ コンセンサスなどのテクノロジを使用して、取引のセキュリティ、透明性、追跡可能性を確保できます。

④データセキュリティ

ユーザーのプライバシーを効果的に保護するために、差分プライバシー コンピューティングを使用して、データの収集と分析中にデータに一定のノイズまたはデータ障害を追加することができます。これにより、攻撃者は個々の特徴データを正確に推測できなくなり、プライバシーを保護しながらデータの有効性と可用性を維持できます。

コンピューティング タスクをコンピューティング ノードにオフロードする場合、マルチパーティのセキュア コンピューティング テクノロジを使用して、復号化せずにデータ操作を実行できます。一般的な安全なマルチパーティ コンピューティング テクノロジには、難読化回路、準同型暗号化、キー共有などがあります。

5. まとめ

ホームコンピューティング ネットワークは、コンピューティング能力の統合とリソース利用率の向上を実現する一方で、多数の新たなセキュリティ リスクにも直面しています。これらのリスクに対処するためには、既存のセキュリティメカニズムに基づいて包括的なセキュリティシステムを構築し、トラステッドコンピューティング、ゼロトラスト、マルチパーティセキュアコンピューティング、ブロックチェーンなどのテクノロジーを組み合わせる必要があります。同時に、特定のビジネス特性に応じて、特定のシステム アーキテクチャを採用して、露出を減らし、攻撃のリスクを軽減することができます。

著者: 李志輝

部署：中国移動スマートホームオペレーションセンター