中興通訊正式發(fā)布了《5G行業(yè)應(yīng)用安全白皮書》,。
白皮書中,,中興通訊基于對安全領(lǐng)域長期以來的技術(shù)積累以及對 5G 網(wǎng)絡(luò)的深刻洞察,分享了對于 5G 垂直行業(yè)應(yīng)用安全的一些觀點,。
中興通訊認為,,5G 為垂直行業(yè)提供了更安全的智能網(wǎng)絡(luò)服務(wù),從多個維度提升了安全特性,;同時,,通過 5G 基礎(chǔ)設(shè)施與垂直行業(yè)的典型業(yè)務(wù)特征相結(jié)合,以網(wǎng)絡(luò)與設(shè)備為中心,,以可視性與可控性為基本框架,,充分利用切片定制、能力開放,、邊緣計算,、APT(高級持續(xù)性威脅 Advanced Persistent Threat)防御、可信技術(shù),、動態(tài)防御等創(chuàng)新平臺與技術(shù),,打造與垂直行業(yè)緊密融合的網(wǎng)絡(luò)安全長城,完成對 5G 行業(yè)應(yīng)用網(wǎng)絡(luò)的深層次加固,。
中興通訊《5G行業(yè)應(yīng)用安全白皮書》全文如下:
5G行業(yè)應(yīng)用安全挑戰(zhàn)
5G 網(wǎng)絡(luò)的高帶寬,、低時延、海量連接等特性大幅提升了全社會各產(chǎn)業(yè)的信息化水平,。同時,,5G 網(wǎng)絡(luò)提供的靈活定制、彈性部署、多層次隔離等智能網(wǎng)絡(luò)能力,,推動了互聯(lián)網(wǎng)創(chuàng)新從量變到質(zhì)變的轉(zhuǎn)型,。未來 5G 將深入垂直行業(yè),促進產(chǎn)業(yè)創(chuàng)新與經(jīng)濟增長,,影響我們的生活方式,,提升全社會的福祉。
自 2015 年以來,,全球每年有超過 300 起大型工業(yè)網(wǎng)絡(luò)安全事件發(fā)生,,企業(yè)與公眾開始越來越多地關(guān)注此類事件,并從安全,、財產(chǎn),、經(jīng)濟、聲譽等方面評估可能產(chǎn)生的影響,。隨著 5G 的規(guī)模商用以及在垂直行業(yè)中的普及,,行業(yè)應(yīng)用將會吸引更多的惡意攻擊。諸如工業(yè)制造,、能源,、交通、金融等關(guān)鍵領(lǐng)域的高價值資產(chǎn)將成為首要的攻擊目標,,并可能給國家、社會和企業(yè)帶來嚴重的風(fēng)險,。
在 5G 時代,,傳統(tǒng)互聯(lián)網(wǎng)的方法論、設(shè)計范式,、軟件技術(shù)仍會繼續(xù)在垂直行業(yè)使用,,用于攻擊的漏洞、工具與手段都能夠直接對行業(yè)資產(chǎn)產(chǎn)生威脅,。5G 引入切片,、NFV(網(wǎng)絡(luò)功能虛擬化 Network Function Virtualization)、MEC 等新技術(shù)以支持智能網(wǎng)絡(luò)服務(wù)的定制,,也使得網(wǎng)絡(luò)的形態(tài),、生態(tài)、商業(yè)模式,、信任與風(fēng)險關(guān)系呈現(xiàn)出更加動態(tài)與復(fù)雜的態(tài)勢,。集中編排與軟件定義能力的運用,在為網(wǎng)絡(luò)帶來新的中心化特征的同時,,也對安全性帶來了新的挑戰(zhàn),。
5G 時代的行業(yè)應(yīng)用網(wǎng)絡(luò),必須能夠提供不低于傳統(tǒng)專網(wǎng)的安全性與可靠性,才能夠勝任高價值資產(chǎn)的承載,,同時,,需要充分靈活地應(yīng)用 5G 基礎(chǔ)設(shè)施以及圍繞 5G網(wǎng)絡(luò)的創(chuàng)新所帶來的新技術(shù)與新能力,使垂直行業(yè)的安全充分受益,。
安全的5G網(wǎng)絡(luò)能力
可定制化安全
5G 網(wǎng)絡(luò)進一步滿足了人們對超高帶寬的增強移動互聯(lián)需求(例如 AR,、VR、8K 視頻通訊等),,同時實現(xiàn)了由消費類網(wǎng)絡(luò)向行業(yè)應(yīng)用網(wǎng)絡(luò)的轉(zhuǎn)型(例如遠程醫(yī)療,、無人駕駛、智能制造等),。行業(yè)應(yīng)用對網(wǎng)絡(luò)時延,、傳輸速率、連接數(shù)等存在差異化的要求,,而傳統(tǒng)移動網(wǎng)絡(luò)受限于網(wǎng)絡(luò)架構(gòu),、交付方式、運維模式等因素,,已經(jīng)難以滿足不同行業(yè)的應(yīng)用需求,。因此,5G 基于 SDN(軟件定義網(wǎng)絡(luò) Software De ned Network)/NFV 等新技術(shù),,重構(gòu)了全新的網(wǎng)絡(luò)架構(gòu),,以更好地支撐多樣化的行業(yè)應(yīng)用場景。
作為網(wǎng)絡(luò)必要組成部分的安全體系,,傳統(tǒng)移動網(wǎng)絡(luò)采用了固化的安全防御架構(gòu),,難以滿足行業(yè)應(yīng)用對于安全的差異化和可擴展性需求,安全能力只能依靠打補丁方式進行擴展加固,,導(dǎo)致移動網(wǎng)絡(luò)無法及時使用新的安全技術(shù),、防御新型安全威脅。不同的行業(yè)應(yīng)用存在共性的安全需求,,同時各行業(yè)應(yīng)用又存在特殊安全防護要求,,5G 基于網(wǎng)絡(luò)切片技術(shù)提供了智能網(wǎng)絡(luò)服務(wù),并基于安全能力開放機制提供了靈活的安全架構(gòu),,既可實現(xiàn)共性安全的統(tǒng)一考慮,,又能兼顧具體行業(yè)應(yīng)用所需安全機制的靈活定制。
相對于傳統(tǒng)企業(yè)專網(wǎng),,基于切片的可定制化 5G 網(wǎng)絡(luò)能夠為垂直行業(yè)提供更安全的,、端到端保障的網(wǎng)絡(luò)服務(wù)與能力。5G 網(wǎng)絡(luò)應(yīng)用于垂直行業(yè),,不僅僅提供基礎(chǔ)的安全網(wǎng)絡(luò)接入能力,,還會開放邊緣 DC(數(shù)據(jù)中心 Data Center),、核心DC 中的各種基礎(chǔ)設(shè)施能力,其安全架構(gòu)不但需要考慮差異化的業(yè)務(wù)需求,,還需要考慮網(wǎng)絡(luò)與業(yè)務(wù)融合特殊場景的業(yè)務(wù)需求,,以進行安全架構(gòu)的定制和加固??啥ㄖ?5G 網(wǎng)絡(luò)安全架構(gòu)如下圖所示,。
圖 1 5G 網(wǎng)絡(luò)安全定制框架
端到端網(wǎng)絡(luò)安全
更高的網(wǎng)絡(luò)安全接入標準
移動通信網(wǎng)作為商業(yè)化的電信網(wǎng)絡(luò),在標準設(shè)計之初,,就充分考慮了網(wǎng)絡(luò)接入的移動性,、可靠性和安全性,通過 SIM(用戶識別卡 Subscriber Identity Module)/USIM(全球用戶識別卡 Universal SubscriberIdentity Module)等身份標識,、認證授權(quán),、訪問控制、信道與承載加密等方式,,提供了良好的安全通信能力,。
5G 網(wǎng)絡(luò)繼承了 4G 的安全特性,同時對認證授權(quán),、隱私保護,、數(shù)據(jù)傳輸安全、網(wǎng)絡(luò)架構(gòu)和互通安全等進行了優(yōu)化或增強,。相對 WiFi,、企業(yè)專網(wǎng)等非 3GPP 接入機制,5G 提供了更大范圍的移動性,,也為用戶提供了更健壯的業(yè)務(wù)安全,、更嚴密的數(shù)據(jù)保護及更強的用戶隱私保護。
5G 提供了基于統(tǒng)一認證框架的雙向認證能力,,使終端和網(wǎng)絡(luò)都能夠確認對方身份的合法性。這樣不僅能避免非法用戶接入,,也能避免利用偽基站,、偽熱點進行詐騙或者竊取用戶信息。
多層次的安全隔離
傳統(tǒng)局域網(wǎng)與互聯(lián)網(wǎng)的設(shè)計初衷是開放性,,這也是導(dǎo)致網(wǎng)絡(luò)安全問題頻發(fā)的一個根源,。未來的產(chǎn)業(yè)互聯(lián) 網(wǎng)將會連接工業(yè)、金融,、能源,、交通等重要領(lǐng)域的高價值資產(chǎn),5G 網(wǎng)絡(luò)切片不但能夠為不同 SLA(服務(wù) 等級協(xié)議 Service Level Agreement)的業(yè)務(wù)提供網(wǎng)絡(luò)架構(gòu)的定制,,還能夠提供多種安全級別的網(wǎng)絡(luò)隔 離能力,,為終端提供端到端的安全通道。這樣,即使某一終端被攻破,,惡意程序也很難在 5G 網(wǎng)絡(luò)中橫 向傳播,,使得攻擊的擴散勢頭以及導(dǎo)致的損失得到有效的遏制。
更強的安全審計能力
任何通過不同接入方式接入到 5G 網(wǎng)絡(luò)的終端,,都需要進行統(tǒng)一的認證與管理,,并對設(shè)備使用網(wǎng)絡(luò)的情況進行記錄。同時,,還可以通過設(shè)備管理平臺建立并維護各行業(yè)資產(chǎn),,及業(yè)務(wù)、部門,、組織等實體之間的權(quán)屬與管理關(guān)系,,當(dāng)發(fā)生異常行為時,可以快速追溯終端使用者的身份和行為軌跡,,強化了所有者的管理責(zé)任,,增加了攻擊者的法律風(fēng)險,有效降低攻擊的概率,。
高水準的供應(yīng)鏈
5G 網(wǎng)絡(luò)各種軟件,、硬件以及服務(wù)的供應(yīng)商與合作伙伴,優(yōu)先選擇具備強大實力的提供商,,其內(nèi)部安全治理水平處于業(yè)界領(lǐng)先水準,,可以從源頭保障 5G 網(wǎng)絡(luò)的長期安全,并可簡化,、加快行業(yè)客戶從設(shè)備認證,、選型、采購到部署的全過程,。
專業(yè)化的運維
很多安全事件的根本原因都是因為不專業(yè)的管理與運維導(dǎo)致,。相對于企業(yè)專網(wǎng)中各種中間設(shè)備的多樣性、暴露性以及管理的分散性等隱患,,5G 提供了一站式的彈性網(wǎng)絡(luò)安全能力,,并在運行期間能夠提供長期專業(yè)化的網(wǎng)絡(luò)智能維護體系與應(yīng)急響應(yīng)體系,最大程度地減少由于企業(yè)自建專網(wǎng)等帶來的安全運維風(fēng)險,。
端到端的全網(wǎng)安全治理
面向全網(wǎng)的端到端安全治理體系,,能對5G網(wǎng)絡(luò)的持續(xù)、高安全運行提供保障,。受益于5G網(wǎng)絡(luò)全業(yè)務(wù)運營,、廣覆蓋的優(yōu)勢,5G 網(wǎng)絡(luò)能夠為垂直行業(yè)網(wǎng)絡(luò)安全提供端到端的信任機制,,使得為行業(yè)用戶建立更加便利的專用的網(wǎng)絡(luò)切片成為可能,,有利于 5G 行業(yè)應(yīng)用網(wǎng)絡(luò)的大規(guī)??焖俨渴稹?/p>
面向未來的安全演進
不同于 IT 系統(tǒng)的短生命周期的特點,,OT 技術(shù)的使用壽命往往是 IT 系統(tǒng)的 10 倍以上,,其控制系統(tǒng)及補丁也有很低的更新頻率。5G作為智能化的網(wǎng)絡(luò)平臺,,具備面向未來的多種接入方式融合與演進能力,,例如:特殊場景下的衛(wèi)星接入手段、向 6G 及后續(xù)網(wǎng)絡(luò)的平滑演進能力等,。這種安全演進能力,,對于垂直行業(yè)長期保持業(yè)務(wù)連續(xù)性具有重要的意義。
隨著技術(shù)的發(fā)展,,5G 網(wǎng)絡(luò)會不斷平滑引入各種新技術(shù),、新安全能力以進一步加固網(wǎng)絡(luò)安全,對垂直行業(yè)業(yè)務(wù)不會造成影響和中斷,。同時,,5G 網(wǎng)絡(luò)還可以利用自己的核心位置,集中收集,、分析各種面向垂直行業(yè)的威脅情報,,并在垂直行業(yè)用戶之間進行共享,提升安全事件響應(yīng)速度,。
邊緣定義安全
工控設(shè)備通常具有高度定制化,、資源有限、難以升級維護,、長壽命,、抗攻擊能力差等特點,必須依賴各種外部防御手段從多個層次為設(shè)備資產(chǎn)提供深度的防御能力,。另外,,由于安全邊界收縮到設(shè)備側(cè),安全控制需要從網(wǎng)絡(luò)邊緣開始加固,,進行近源控制與防御,,減小資產(chǎn)攻擊面。5G 為垂直行業(yè)帶來了新的能力平臺,,通過結(jié)合行業(yè)應(yīng)用的特點(例如權(quán)屬關(guān)系與管理關(guān)系的相對統(tǒng)一、相對固定的覆蓋范圍等),,5G 能夠從可控性,、可視性等角度,采用多種新技術(shù),、新手段,,基于邊緣從多個層次對企業(yè)網(wǎng)絡(luò)進行定制化加固,。
圖 2 5G 邊緣定義安全
安全可視性加固
威脅往往來自看不見的領(lǐng)域,獲取完整的 OT 資產(chǎn)列表并進行長期的持續(xù)監(jiān)控,,是安全的基礎(chǔ),。5G 網(wǎng)絡(luò)結(jié)合 IoT(物聯(lián)網(wǎng) Internet of Things)設(shè)備管理平臺,可以對企業(yè)用戶,、設(shè)備等不同類型終端,,提供高效與精準的資產(chǎn)發(fā)現(xiàn)與管理能力,支持對設(shè)備連網(wǎng)接入,、狀態(tài),、流量及策略進行精細化的、實時性的管控,,并從網(wǎng)絡(luò)視角為企業(yè)自動構(gòu)建完整的安全視圖,。5G 網(wǎng)絡(luò)不僅可對行業(yè)協(xié)議數(shù)據(jù)進行整型與規(guī)范化處理;還可將流量交給 APT 智能檢測模塊進行更加深入的分析與監(jiān)控,。
信息透明是信任的基礎(chǔ),,作為 5G 網(wǎng)絡(luò)的擁有者,運營商需要提供網(wǎng)絡(luò)服務(wù)與安全能力 SLA 的可視化,,使得垂直行業(yè)用戶可以動態(tài)實時地對網(wǎng)絡(luò)風(fēng)險進行評估,,及時預(yù)測、發(fā)現(xiàn)并處置網(wǎng)絡(luò)安全事件,。
安全可控性加固
5G 行業(yè)應(yīng)用網(wǎng)絡(luò)可以基于網(wǎng)絡(luò)切片,,從站址資源、無線頻譜,、覆蓋范圍,、網(wǎng)絡(luò)接口、接入認證等方面,,對網(wǎng)絡(luò)的物理邊界進行多維度的定制與約束,,通過多種接入方式滿足網(wǎng)絡(luò)覆蓋需求。同時,,可進一步結(jié)合邊緣計算提供的定位能力,,對終端的位置邊界進行約束與管控。
5G 網(wǎng)絡(luò)支持面向機器的連接,。機器的行為模式相對簡單,,流量模型可預(yù)測,同時由于網(wǎng)絡(luò)切片的使用,,隔離了各種不同業(yè)務(wù)特征的網(wǎng)絡(luò)流量,,因此,通過快速的學(xué)習(xí)和訓(xùn)練,,AI 技術(shù)可以更加準確地對垂直行業(yè)的流量與行為異常進行檢測,、回溯與根因分析,,為垂直行業(yè)用戶提供實用的安全分析與告警,抵御各類 APT 攻擊,。
網(wǎng)絡(luò),、流量與行為以及終端層面的安全防御,最終是為了完成對于核心業(yè)務(wù)的保護,,而針對業(yè)務(wù)層以及用戶身份的攻擊,,是最直接和快速的手段。由于管理與維護的疏忽,、不可避免的系統(tǒng)漏洞,,都會對系統(tǒng)造成重大的安全風(fēng)險威脅。因此,,管理上的可控性尤其顯得重要,,需要從環(huán)境、硬件架構(gòu),、操作系統(tǒng)等層面基于特殊設(shè)計或者密碼學(xué)方法進行加固,。
靈活的5G安全架構(gòu)
多層次的隔離能力
5G 網(wǎng)絡(luò)切片借助于網(wǎng)絡(luò)虛擬化技術(shù),在 5G 基礎(chǔ)設(shè)施上細分出功能完整的邏輯網(wǎng)絡(luò),,為垂直行業(yè)用戶提供專用的,、安全的、差異化的網(wǎng)絡(luò)服務(wù),。
區(qū)別于傳統(tǒng)物理專網(wǎng)的私有性與封閉性,,5G 網(wǎng)絡(luò)切片建立在開放環(huán)境下的虛擬化專用網(wǎng)絡(luò),為行業(yè)用戶提供端到端的安全隔離機制和定制化的安全服務(wù)機制,。5G 網(wǎng)絡(luò)切片安全涵蓋無線側(cè),、承載側(cè)和核心網(wǎng)側(cè),除了提供傳統(tǒng)移動網(wǎng)絡(luò)安全機制(例如接入認證,、接入層和非接入層信令安全,、數(shù)據(jù)的加密和完整性保護等),還需要提供網(wǎng)絡(luò)切片之間端到端安全隔離機制,,并根據(jù)用戶需要提供定制化的安全服務(wù),。
將切片技術(shù)應(yīng)用于垂直行業(yè),每個切片承載著特定的行業(yè)應(yīng)用,,彼此相互隔離,,可在網(wǎng)絡(luò)層面實現(xiàn)精細化管理。首先通過細分基礎(chǔ)網(wǎng)絡(luò),,構(gòu)建不同粒度的切片域,,顯著縮小被保護目標的攻擊面;其次能夠按照切片實施更細粒度、更嚴格的安全策略和更有針對性的管理手段,,按需提供不同等級的安全服務(wù);最后切片之間采用嚴格的隔離措施,,一方面能夠防范威脅向其他切片擴散,,控制威脅的影響范圍,另一方面也能夠控制故障和異常的影響范圍,。
圖 3 5G 網(wǎng)絡(luò)切片端到端安全隔離模型
豐富的安全開放能力
為更好地支持多樣化行業(yè)應(yīng)用場景,,應(yīng)對各種行業(yè)應(yīng)用對網(wǎng)絡(luò)服務(wù)的差異化需求,5G 網(wǎng)絡(luò)引入了網(wǎng)絡(luò)能力開放機制,,使得垂直行業(yè)能夠以便捷與低成本的方式獲得更加貼合自身需求的網(wǎng)絡(luò)服務(wù),。
網(wǎng)絡(luò)功能虛擬化、服務(wù)化是實現(xiàn)網(wǎng)絡(luò)能力開放的前提,。安全功能作為主要網(wǎng)絡(luò)功能,,需要借鑒網(wǎng)絡(luò)功能虛擬化和服務(wù)化的思想,構(gòu)建服務(wù)化安全功能,。通過對傳統(tǒng)安全功能的虛擬化,,可設(shè)計出滿足不同安全需求的虛擬安全功能單元,例如防火墻,、接入認證,、IPSec(網(wǎng)際協(xié)議安全 Internet Protocol Security)、SSL(安全套接層協(xié)議 Security SocketLayer) VPN(虛擬專用網(wǎng)絡(luò) Virtual Private Network),、入侵檢測,、病毒檢測等。各虛擬安全功能單元通過按需調(diào)用不同基礎(chǔ)安全服務(wù)功能集來滿足安全功能可重構(gòu),、可裁剪的要求,,實現(xiàn)安全功能服務(wù)化。
在切片編排部署過程中,,能力開放引擎結(jié)合應(yīng)用的安全需求調(diào)用安全功能,,使安全資源、網(wǎng)絡(luò)資源,、數(shù)據(jù)資源在網(wǎng)絡(luò)切片中獨立提供,,從而達到不低于傳統(tǒng)專網(wǎng)的安全保障和用戶體驗。
圖 4 安全服務(wù)虛擬化體系架構(gòu)示意圖
基于開放的安全能力,,行業(yè)用戶可以針對性地對切片內(nèi)的網(wǎng)絡(luò)安全功能按需重構(gòu),,使其更好地貼合網(wǎng)絡(luò)切片的業(yè)務(wù)特性。例如服務(wù)于車聯(lián)網(wǎng)(Vehicle to Everything:V2X)的低時延網(wǎng)絡(luò)切片,,需要在網(wǎng)絡(luò)邊緣節(jié)點實例化一些必要的網(wǎng)絡(luò)功能,,并選擇適應(yīng)低時延要求的認證方法、加密算法和密鑰長度,,以便在時延約束下提供相應(yīng)的安全防護,;對于服務(wù)于物聯(lián)網(wǎng)的網(wǎng)絡(luò)切片,,可配置基本的控制面接入認證功能、虛擬物聯(lián)網(wǎng)網(wǎng)關(guān)以及安全態(tài)勢感知系統(tǒng),。
多元化的邊緣計算安全
多接入邊緣計算技術(shù)(MEC)是使能 5G 業(yè)務(wù)多元化的核心技術(shù)之一,。MEC 將服務(wù)能力和應(yīng)用推進到網(wǎng)絡(luò)邊緣,部署位置更接近用戶,,從而減少對傳輸網(wǎng)的帶寬壓力,,大幅降低網(wǎng)絡(luò)時延,可滿足車聯(lián)網(wǎng),、工業(yè)互聯(lián)網(wǎng)等低時延業(yè)務(wù)的需求,。
5G 網(wǎng)絡(luò)通過用戶面功能(User Plane Function:UPF)下沉部署、靈活分流等功能,,實現(xiàn)對 MEC 的支持,。MEC 平臺需要承載部分網(wǎng)絡(luò)功能和垂直行業(yè)應(yīng)用,如下圖所示:
圖 5 位于邊緣網(wǎng)絡(luò)的 MEC 平臺
由于部署的物理位置,、網(wǎng)絡(luò)邊界和承載主體等方面的特殊性,,使得行業(yè)客戶在使用 MEC 提供的服務(wù)時,特別關(guān)注行業(yè)數(shù)據(jù)資產(chǎn)的安全:
? 行業(yè)應(yīng)用和網(wǎng)絡(luò)功能共平臺部署時,,網(wǎng)絡(luò)邊界模糊,,如果缺乏信任、隔離等機制,,容易滋生平臺內(nèi)部威脅(虛擬機逃逸,、鏡像篡改、數(shù)據(jù)竊取等),,增大了行業(yè)敏感數(shù)據(jù)資產(chǎn)泄露風(fēng)險,;
? 為了提升業(yè)務(wù)體驗,縮短業(yè)務(wù)時延,,通常使用用戶面?zhèn)鬏敼δ芟鲁?、行業(yè)服務(wù)接近用戶部署、安全機制輕量化等措施,,可能導(dǎo)致資產(chǎn)數(shù)據(jù)在傳輸時面臨被竊取或被篡改的風(fēng)險,。
對此,需要從平臺層,、網(wǎng)絡(luò)層和業(yè)務(wù)管理層等多個方面對 MEC 進行安全加固,,確保行業(yè)數(shù)據(jù)資產(chǎn)傳輸、處理,、存儲過程中的安全,。
MEC 是一個多元系統(tǒng),承載了移動通信網(wǎng)絡(luò)功能、網(wǎng)絡(luò)能力開放服務(wù)以及行業(yè)應(yīng)用等多個系統(tǒng),,需要構(gòu)建有效的信任關(guān)系,,為多系統(tǒng)的安全共存提供信任基礎(chǔ)。除了建立用戶,、行業(yè)應(yīng)用及能力開放服務(wù)(如定位服務(wù))之間的信任關(guān)系,,還需要考慮構(gòu)建移動終端、網(wǎng)絡(luò)切片與 MEC 平臺之間的信任,。
MEC 平臺安全通過引入可信計算技術(shù),從系統(tǒng)啟動到上層應(yīng)用,,逐級驗證,,構(gòu)建可信的 MEC 平臺。平臺內(nèi)部也需要劃分不同的功能域,,如管理域,、核心網(wǎng)域、基礎(chǔ)服務(wù)域,、第三方應(yīng)用域等,,加強域間隔離和訪問控制。根據(jù)需要,,可進一步部署入侵檢測技術(shù),、異常流量分析、反 APT 技術(shù)等,,對惡意軟件,、惡意攻擊等行為進行檢測,防止威脅橫向擴展,。
MEC 節(jié)點位于網(wǎng)絡(luò)邊緣,,處于運營商控制較弱的開放網(wǎng)絡(luò)環(huán)境中,數(shù)據(jù)竊取,、泄露的風(fēng)險相對較高,。為確保 MEC 上運行和存儲的行業(yè)客戶數(shù)據(jù)資產(chǎn)安全,需要對使用 MEC 的各方的行為執(zhí)行認證,、授權(quán),、審計,對數(shù)據(jù)資產(chǎn)的所有權(quán),、使用權(quán)和運維權(quán)進行分權(quán)分域管理,。在 MEC 部署及業(yè)務(wù)運行過程中,必須對 MEC 應(yīng)用可能涉及的數(shù)據(jù)進行識別,,包括用戶標識,、接入位置等,對安全要求高的數(shù)據(jù)需要采用加密方式存儲;對行業(yè)高價值資產(chǎn)數(shù)據(jù),,應(yīng)使用 IPSec/TLS(傳輸層安全Transport Layer Security) 等安全傳輸方式,,避免傳輸過程中數(shù)據(jù)泄露或被篡改。對數(shù)據(jù)處理,、分析和使用,,需要服從當(dāng)?shù)財?shù)據(jù)隱私法律法規(guī),結(jié)合數(shù)據(jù)操作對象的認證,、授權(quán)等方式規(guī)范數(shù)據(jù)處理,,并對操作過程進行記錄;如果涉及數(shù)據(jù)隱私,,在使用之前需要對數(shù)據(jù)進行脫敏處理,。
端到端的數(shù)據(jù)安全保護
用戶數(shù)據(jù)在傳輸過程中存在被竊聽、篡改,、泄露等安全威脅,。為降低 5G 行業(yè)應(yīng)用中數(shù)據(jù)安全風(fēng)險,5G 提供了更強壯的數(shù)據(jù)安全保護方法,。
在機密性保護的密碼算法方面,,5G 延用了 4G 所采用的 AES(高級加密標準 Advanced Encryption Standard)、SNOW3G(3GPP 流密碼算法),、ZUC(祖沖之密碼算法)等算法,,這些算法采用 128 位密鑰長度,被業(yè)界證明是安全的,。同時,,為應(yīng)對將來量子計算可能對對稱秘鑰體系的影響,考慮采用更長的安全秘鑰及更強的安全保護算法,。為保護數(shù)據(jù)在網(wǎng)絡(luò)間傳輸,,5G 新增了安全邊緣保護代理功能(Security Edge Protection Proxies:SEPP)。SEPP 在運營商之間建立 TLS 安全傳輸通道,,對需要保護的信息進行機密性和完整性保護,,有效防止數(shù)據(jù)在網(wǎng)間傳輸時被篡改或竊聽。
隨著科技的發(fā)展,,偽基站對移動網(wǎng)絡(luò)的危害越來越大,,攻擊者可誘導(dǎo)行業(yè)用戶接入到偽基站以非法獲取用戶數(shù)據(jù)信息。5G將對基站廣播或者單播消息進行安全保護,,行業(yè)用戶在驗證消息合法后再接入,,避免接入到非法的偽基站造成數(shù)據(jù)泄露。
此外,,5G 針對行業(yè)應(yīng)用中的數(shù)據(jù)產(chǎn)生,、處理,、使用等環(huán)節(jié)提供了完整的安全保護。在數(shù)據(jù)產(chǎn)生和處理過程中,,可根據(jù)數(shù)據(jù)的敏感度進行分類,,建立不同安全域間的加密傳輸鏈路;根據(jù)不同的安全級別采用差異化的數(shù)據(jù)安全技術(shù),;對數(shù)據(jù)使用方進行授權(quán)和驗證,,保證數(shù)據(jù)使用的目的和范圍符合安全策略;并對重要業(yè)務(wù)數(shù)據(jù)的使用進行審計,,最終為行業(yè)用戶提供數(shù)據(jù)的機密性和完整性保護,。
先進的數(shù)據(jù)隱私保護
5G 提供了保證數(shù)據(jù)機密性、完整性和可用性的相關(guān)防護技術(shù)并對數(shù)據(jù)全生命周期實施安全保護,。數(shù)據(jù)隱私保護在此基礎(chǔ)上,,進一步防止個人隱私信息、重要敏感數(shù)據(jù)泄露,。
在隱私保護技術(shù)上除了采用業(yè)界廣泛使用的數(shù)據(jù)脫敏技術(shù)之外,中興通訊首次將動態(tài)數(shù)據(jù)脫敏等功能應(yīng)用到數(shù)據(jù)隱私保護中,,可同時進行動態(tài)脫敏和數(shù)據(jù)過濾,,解決了實時處理場景下的隱私保護難題。
圖 6 多種技術(shù)全面保護數(shù)據(jù)隱私
中興通訊提出了一種基于大數(shù)據(jù)引擎原生代碼的數(shù)據(jù)脫敏架構(gòu),,可以在不改變用戶請求邏輯及數(shù)據(jù)原始值的前提下,,利用數(shù)據(jù)庫引擎自身的分布式處理能力,實現(xiàn)數(shù)據(jù)脫敏高性能處理,。處理過程對用戶完全透明,,用戶不感知數(shù)據(jù)保護過程,可實現(xiàn)無縫透明地敏感數(shù)據(jù)保護,。
匿名化算法是目前數(shù)據(jù)安全領(lǐng)域的研究熱點之一,,中興通訊提出了全新的基于 Spark 引擎的數(shù)據(jù)匿名化框架,使用Spark 分布式并行計算框架,,重點考慮算法的并行性,,同時支持 K- 匿名化(K-anonymity),L- 多樣性(L-diversity),、T– 近鄰 (T-closeness),,支持單表億條記錄匿名化處理,適用于處理各類數(shù)據(jù),,算法通用性高,,保證發(fā)布數(shù)據(jù)的真實性,有效防止鏈接攻擊,,實現(xiàn)對各種數(shù)據(jù)的高效匿名化處理,。
面向5G行業(yè)的 新型防御技術(shù)
除了傳統(tǒng)安全防護手段,,5G 行業(yè)應(yīng)用還需要研究和引入新型網(wǎng)絡(luò)防御技術(shù),不斷從多個維度增強網(wǎng)絡(luò)安全能力,,為 5G 行業(yè)應(yīng)用的健康和持續(xù)發(fā)展提供多重保障,。
智能化的高級持續(xù)性威脅防御
在眾多威脅形式中,破壞性較大的要數(shù)高級持續(xù)性威脅 APT,。自 2010 年極光,、震網(wǎng)攻擊發(fā)生以來,針對重要基礎(chǔ)設(shè)施攻擊事件層出不窮,,也是 5G 行業(yè)應(yīng)用中面臨的最大挑戰(zhàn),。在 2019 年 12 月 1 日將正式實施的網(wǎng)絡(luò)安全等級保護 2.0 標準中,抗 APT 攻擊技術(shù)被列為確保行業(yè)網(wǎng)絡(luò)安全的必備測評項,。
為應(yīng)對 APT 攻擊對 5G 網(wǎng)絡(luò)乃至其相關(guān)行業(yè)用戶所帶來的安全威脅,,中興通訊提出基于態(tài)勢感知理念的高級威脅防御方案,使 5G 及其行業(yè)應(yīng)用網(wǎng)絡(luò)具備高級威脅防御能力,。APT 攻擊旨在干擾基礎(chǔ)設(shè)施運行及破壞其敏感信息,,其攻擊鏈分為偵查探測、滲透利用,、命令控制,、橫向移動、數(shù)據(jù)泄露破壞等幾個過程,。中興通訊的高級威脅防御方案,,圍繞 APT 攻擊過程,基于行為檢測原理,,從惡意軟件和異常流量兩個角度出發(fā),,提供全面、智能化檢測機制,,并將人工智能技術(shù)運用于威脅檢測及事件關(guān)聯(lián)分析,,提升威脅檢測準確率,預(yù)測威脅態(tài)勢,。
精細化的微分段技術(shù)
傳統(tǒng)網(wǎng)絡(luò)防御手段遵循邊界防御的思路,,將防御重點放在網(wǎng)絡(luò)邊界上,以阻止網(wǎng)絡(luò)攻擊進入內(nèi)網(wǎng),。隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展,,網(wǎng)絡(luò)已經(jīng)找不到清晰的邊界,惡意軟件通過各種渠道進入內(nèi)網(wǎng),,在內(nèi)網(wǎng)通過主機到主機直接傳播,,迅速擴散。由于內(nèi)網(wǎng)流量控制手段有限,,即使能發(fā)現(xiàn)入侵,,到有效控制也需要一個漫長的過程(如封端口,、打補丁、升級病毒庫等),。
中興通訊提出的微分段技術(shù),,實現(xiàn)了更精細化的流量可視、威脅分析,、安全管控及自動響應(yīng),,保證了主機之間、虛擬機之間甚至進程之間的流量得到嚴密管控,。在 5G 行業(yè)應(yīng)用中,,微分段以純軟件方式部署在云計算平臺上,作為安全管理系統(tǒng)的組成部分,,為流量精細化管控和流量可視化等功能提供支持,。安全管理系統(tǒng)根據(jù)每個應(yīng)用層功能的業(yè)務(wù)特性和管控要求形成精細化的安全策略,下發(fā)給底層的安全模塊,,由安全模塊實施這些安全策略,。同時,安全模塊根據(jù)需要采集流量日志,,提交給安全管理系統(tǒng),,供安全管理系統(tǒng)進一步進行異常流量分析與診斷等操作。
動態(tài)化的主動防御
針對傳統(tǒng)網(wǎng)絡(luò)安全被動防御,、易攻難守的局面,,學(xué)術(shù)界提出了動態(tài)主動防御的思想,,通過技術(shù)手段對被保護目標的攻擊面實施持續(xù)性的動態(tài)變換,,迷惑攻擊者,從而增加攻擊者實施攻擊的難度和代價,,降低其攻擊成功的概率,,提高系統(tǒng)彈性和安全性。
基于動態(tài)主動防御的思想,,中興通訊分別提出了動態(tài)網(wǎng)絡(luò)防御方案和多版本編譯方案,,前者應(yīng)用于網(wǎng)絡(luò)層,動態(tài)變換被防護目標的網(wǎng)絡(luò)參數(shù),,后者應(yīng)用于終端和服務(wù)器的軟件系統(tǒng),,部署異構(gòu)主機系統(tǒng),從而構(gòu)建從主機到網(wǎng)絡(luò)的端到端的動態(tài)防御體系,。
動態(tài)網(wǎng)絡(luò)防御方案
動態(tài)網(wǎng)絡(luò)防御方案將動態(tài)主動防御思想應(yīng)用于 IP 網(wǎng)絡(luò),,重點保護行業(yè)用戶的業(yè)務(wù)服務(wù)器。動態(tài)網(wǎng)絡(luò)防御方案通過改變網(wǎng)絡(luò)的通信參數(shù),,使得被防護目標的攻擊面不斷隨機變化,,讓攻擊者難以識別目標節(jié)點或服務(wù)入口,,無法有效偵測網(wǎng)絡(luò)拓撲信息和主機信息,從而阻止網(wǎng)絡(luò)攻擊行為的發(fā)生,。
多版本編譯方案
多版本編譯采用安全的動態(tài)編譯技術(shù),,對同源的軟件進行動態(tài)編譯,改變攻擊過程所依賴的系統(tǒng)規(guī)律,,生成具有隨機,、多樣性特征的版本,使可能的攻擊路徑呈現(xiàn)出很強的動態(tài)性,、異構(gòu)性,、隨機性等不確定性特點,使攻擊者難以觀察和作出預(yù)測,,增大了構(gòu)建基于漏洞和后門等的攻擊鏈難度與代價,,從而在無需增加防御流程的前提下實現(xiàn)系統(tǒng)主動防御功能。
行業(yè)應(yīng)用安全治理與評估
5G 網(wǎng)絡(luò)與垂直行業(yè)的融合,,在打破 5G 網(wǎng)絡(luò)基礎(chǔ)設(shè)施的天然隔離屏障的同時,,也使得行業(yè)客戶在使用 5G 網(wǎng)絡(luò)時增加了風(fēng)險。5G 網(wǎng)絡(luò)一方面需要面向產(chǎn)業(yè)互聯(lián)網(wǎng),,重構(gòu)安全治理體系,、評估體系和運維體系,為行業(yè)用戶提供持續(xù),、可信,、安全的網(wǎng)絡(luò)服務(wù);另一方面,,為了建立多條安全防線,,還需要將行業(yè)客戶引入到 5G 網(wǎng)絡(luò)的治理工作中來,為客戶提供深層次治理能力,。
5G 設(shè)備供應(yīng)商是 5G 供應(yīng)鏈重要的組成部分,,其安全治理水平?jīng)Q定了 5G 網(wǎng)絡(luò)的安全基礎(chǔ)。中興通訊作為領(lǐng)先的 5G 綜合解決方案提供商,,深刻理解消費者,、客戶、政府及相關(guān)組織對網(wǎng)絡(luò)安全方面的關(guān)切與重視,,構(gòu)筑了一流的安全治理體系,,從多角度保障產(chǎn)品及服務(wù)的安全性,實現(xiàn)產(chǎn)品和服務(wù)端到端的安全交付,,為客戶提供端到端產(chǎn)品和服務(wù)的安全保障,。同時,中興通訊秉承透明,、開放,、信任,、合作的理念,堅持實行持續(xù)的,、全面的安全審計,,采用了面向產(chǎn)品全生命周期的數(shù)據(jù)保護方法,并與全球知名第三方安全評測與認證機構(gòu)合作,,對產(chǎn)品與服務(wù)的安全性進行獨立測試與評估,。中興通訊已在國內(nèi)及海外多地籌建安全實驗室,客戶與獨立評測機構(gòu)可對中興通訊提供的 5G 產(chǎn)品進行更加透明的檢視與審查,,以進一步提升對中興通訊 5G 產(chǎn)品與服務(wù)安全性的信心,。
隨著 IT 與 OT 的融合,OT 安全成為垂直行業(yè)安全的核心,。不同于 IT 領(lǐng)域,,OT 領(lǐng)域有自己的運營模式與行業(yè)特征,對于 OT 資產(chǎn)的安全防御,,從供應(yīng)鏈安全到系統(tǒng)安全設(shè)計,、安全運營以及事件響應(yīng),都需要針對性的治理措施,。隨著網(wǎng)絡(luò)安全等級保護進入2.0時代,,傳統(tǒng)網(wǎng)絡(luò)安全、移動互聯(lián),、物聯(lián)網(wǎng),、工業(yè)控制、云計算,、大數(shù)據(jù)等在內(nèi)所有的新技術(shù)都將納入監(jiān)管,,因此需要運用并發(fā)展新的安全模型和安全方法論來支撐構(gòu)建更加完善的垂直行業(yè)安全治理體系。
未來及展望
隨著 5G 商業(yè)化進程加速,,5G 網(wǎng)絡(luò)和垂直行業(yè)深度結(jié)合,,新型業(yè)務(wù)場景不斷涌現(xiàn),,新技術(shù)大規(guī)模使用,,將對網(wǎng)絡(luò)與信息安全提出更多新的挑戰(zhàn)。中興通訊將繼續(xù)以安全,、合規(guī)為基石,,不斷完善產(chǎn)品安全治理體系,加強安全技術(shù)和方法的研究,,強化產(chǎn)品安全競爭力,。同時,中興通訊將持續(xù)與行業(yè)客戶,、合作伙伴,、政府,、運營商、標準組織開展更加緊密的合作,,推動端到端的行業(yè)安全實踐,,驅(qū)動安全能力不斷創(chuàng)新,從容應(yīng)對未來的安全挑戰(zhàn),,持續(xù)地提供安全可信的產(chǎn)品和服務(wù),,以滿足新技術(shù)、新應(yīng)用,、新模式的安全保障需求,。
縮略語
參考文獻
[1] 3GPP TS 33.501. Security Architecture and Procedures for 5G System[S], 3GPP.
[2] 5G-ENSURE_D2.7 Security Architecture[R],, 5GPPP.
[3] ETSI GS MEC-002. MEC Technical Requirements[S],, ETSI.
[4] IMT-2020 5G Network Security Requirement & Architecture[R], IMT-2020.
[5] GTI 5G Network Security Consideration[R],, GTI
[6] ZHAO Fuchuan,, WEN Jianzhong. Slicing Packet Network Infrastructure and KeyTechnologies for 5G Mobile Backaul[J], ZTE TECHNOLOGY,,2018.8.
[7] Recommendation ITU-T X.rdmase: Requirements and Guidelines for DynamicMalware Analysis in a Sandbox Environment[R],, ITU-T.
[8] 陸平 , 李建華 ,, 趙維鐸 . 5G 在垂直行業(yè)中的應(yīng)用 [J]. 中興通訊技術(shù) ,, 25(1):67-74. DOI:10.12142/ZTETJ.20190111
[9] 5G 信息安全白皮書 [R]. 未來移動通信論壇 , 2017