作者:乔思远

随着我国5G商用工作的加快推进,5G建设已经全面展开。5G的时代已经到来。对网络安全从业者来说,5G的建设是一件振奋人心的大事,我们不但有了自主的、全球领先的信息通信技术、标准和产业,更为我们自主建设5G内生安全创造了难得的条件与机遇。

一、5G安全是内生安全

在网络空间安全领域,“内生安全”是信息系统内在的安全需求和安全能力,像中国电子打造的“PK体系”、沈昌祥院士推动的可信计算、邬江兴院士研制的拟态防御、孙优贤院士建立的全生命周期工业系统控制体系等,都是基于“内生安全”的需求而建立的“内生安全”能力体系。而5G的内生安全,则同样包含了需求和能力这两个方面。

【1】5G带动产业转型发展,需要内生安全保障

随着信息化的深度发展,以云、大、物、移、智等为代表的信息化新兴业态蓬勃发展。这些新兴产业具备设备与系统高度集成、应用与安全紧密结合的特点,“内生安全”问题逐渐显现,成为影响其发展的关键问题。

传统做网络安全都是“外挂式”的安全,网络安全与信息系统和业务应用是脱钩的,自成一套体系,这种方式难以适应产业转型发展的需要。

5G的定位是新型信息基础设施,将推动工业转型升级、加快新型智慧城市建设,赋能云、大、物、移、智等新兴产业,因此必须适应产业转型升级的需求,实现内生安全保障。

【2】5G具备实现内生安全能力的条件

过去做不了内生安全,一个重要原因是重要信息系统、核心软硬件都是国外的,不对我们开放,我们进不到系统的内部,就只能在外面加壳子。

而在5G时代,随着信息产业国产化的进步,我们拥有了从芯片、操作系统、关键设备和软件系统等生态链条,也具备了自主的5G技术、产品和产业,因此就具备了实现内生安全能力的条件。通过将网络安全能力与信息系统进一步的聚合、业务数据和安全数据进一步的聚合、信息化人员与安全人员的进一步聚合,将安全做的更深入、更细致、更贴合信息化发展对安全真正的、内在的需求。

二、聚焦5G内生安全需求

5G内生安全需求包括信息基础设施安全和业务应用安全两个层面。如下图所示:

5G内生安全需求层面图

在基础设施安全层面,安全的内生性主要体现在安全与信息系统的融合。核心需求包括5G新型网络边界安全、网络切片安全和边缘计算的安全;其总体的技术发展趋势是安全技术的虚拟化、模块化、可编排、加密,以及安全能力的融合、开放等。

在业务应用安全方面,安全的内生性主要体现在安全与业务流程的融合。着重增强移动宽带(eMBB)、低延时高可靠(uRLLC)、低功耗大连接(mMTC)三大核心应用场景,实现安全管理统一化、身份多元化和防御智能化。

【1】关键信息基础设施安全

5G新网络边界、网络切片和边缘计算,是5G关键信息基础设施层面需要重点关注的安全问题。

  • 5G新网络边界安全

5G网络打破传统网络边界,需要新的安全架构。从总体上说,5G网络由终端侧、接入网、边缘侧、承载网、核心网几部分构成,如下图所示:

5G网络结构图

在终端侧,5G终端种类繁多,应用复杂,存在身份仿冒、信号欺骗、设备劫持、数据篡改、故障注入等一系列安全问题。

在接入网,5G终端的接入以无线接入为主,存在DDOS攻击、网络窃听、网络渗透、无线信号干扰等问题。

在边缘侧,由于边缘结构多样及边云协同的需要,数据与业务交互频繁,存在数据窃取、横向渗透、隐私泄露、内容仿冒、权限盗用等问题。

在承载网,传统网络安全问题仍然是主要威胁,包括DDOS攻击、网络窃听、网络渗透和网络阻断等。

在核心网,由于广泛采用虚拟化和软件定义的网络与计算环境,安全问题包括针对云平台的横向渗透、身份仿冒、权限盗用、地址欺骗、虚假规则等,针对数据的隐私泄露、数据篡改、数据窃取、权限盗用等,以及针对应用的内容仿冒、权限滥用、非法调用等。

  • 5G网络切片安全

网络切片是5G网络的关键技术特点,采用SDN和NFV等技术实现物理网络的灵活划分,应对不同的应用场景。与此同时,SDN和NFV技术也面临新的安全威胁与需求。

【SDN的安全】

控制平面:集中化的控制平面承载网络环境中的所有控制流,是网络服务的中枢。面临网络监听、IP 地址欺骗、DoS/DDoS 攻击和病毒木马攻击的威胁。

用户平面:数据处理、转发和状态收集,对控制器下发的流规则信任,面临恶意/虚假流规则注入、DoS/DDoS攻击、非法访问、身份假冒等问题,还可能面临由虚假控制器的无序控制指令导致的交换机流表混乱等威胁。

外部接口:南向接口协议安全问题,窃听、控制器假冒等安全威胁。北向接口的开放性和可编程性,面临非法访问、数据泄露、消息篡改、身份假冒、应用程序自身的漏洞等问题。

【NFV的安全】

NFV将网络功能整合到行业标准的服务器、交换机和存储硬件上,提供优化的虚拟化数据平面,可通过服务器上运行的软件让管理员取代传统物理网络设备,因此在基础设施和虚拟化方面存在安全威胁,包括:

基础设施安全:跨域数据泄露、虚拟化平台安全威胁、密钥泄露、网络配置安全。

虚拟化安全:Hypervisor安全、虚拟机安全。

虚拟网元(VNF)安全:权限管理复杂、远程调试和监测漏洞、数据窃取与篡改。

  • 5G边缘计算安全

多接入边缘计算(MEC)是5G网络核心技术。其作用包括:

数据缓存能力:数据存储与内容分发,节省核心网资源

数据分析能力:过滤压缩海量低价值数据,快速获取有价值信息

提高应用可靠性:在网络不稳定时仍保证应用可靠性

5G边缘计算安全问题包括架构安全、功能安全、信任机制等方面。

【架构安全】

外部威胁:MEC 节点靠近网络的边缘, 外部环境可信度降低, 管理控制能力减弱, 使得 MEC平台和 MEC 应用处于相对不安全的物理环境, 更容易遭受非授权访问、 敏感数据泄露、(D)DoS 攻击、 设备物理攻击等威胁。

内部威胁:运营商网络功能与不可信任的第三方应用共平台部署, 进一步导致网络边界模糊、 虚拟机逃逸、 镜像篡改、 数据窃取与篡改等诸多安全问题。

【功能安全】

攻击面扩大:部分核心网功能跟随 MEC 下沉到边缘数据中心, 增大了核心网面临的攻击面。

跨节点安全传递:MEC 节点的业务覆盖范围有限, 一旦用户发生跨节点切换将面临站点间相互信任、 网络连接上下文如何安全传递等安全问题。

【信任机制】

MEC是一个多元化的系统,需要为各系统之间构建有效的信任模型。包括用户、 行业应用及 MEC 服务之间的信任,移动终端、 网络切片、 MEC 平台之间的信任,跨区域、跨平台、跨行业信任。

【2】5G业务应用安全

5G将多样化的应用统一到了一个网络中,并且凭借网络切片和边缘计算技术实现网络的划分和对应用的支撑,如下图所示:

5G将多样化的应用结构图

多样化的应用产生多元的安全需求。在行业应用领域,面对5G网络三大典型应用场景,满足垂直行业安全需求。

  • 增强移动宽带

其特点包括前期2C应用为主,中后期主要支持2B应用:车联网、安防、智慧医疗等。

在网络安全方面以传统安全为主,侧重大流量高并发和空口安全,包括流量清洗、ipv6安全等;在空口安全方面包括频谱安全、空口协议等;其典型应用为移动视频类应用。

  • 低延时高可靠

其特点为高安全+高可靠+低延时,安全不能影响业务实时性,主要靠切片安全实现。其安全能力内置,需要具备实时安全以满足实时系统、专用硬件/app的安全需要;切片安全以物理切片为主;典型应用为工业互联网应用。

  • 低功耗大连接

其特点为安全能力前移、下沉,海量设备安全可靠、成本可控的网络接入。在安全能力下沉方面需要实现感知前移、防护前移;其端边云架构注重边缘侧安全能力部署,包括数据分析能力、AI能力;典型应用为各种物联网及智慧城市应用。

三、构建5G安全新防线

【1】打造融合的安全架构

5G关键信息基础设施的发展对安全提出新的需求,需要打造融合的安全架构,如下图所示:

5G安全架构

新的融合架构整体呈现以下特点:

  • 虚拟化:基础设施的虚拟化导致对安全虚拟化的需求。使用虚拟化安全技术保护边缘云和核心云,云化网络基础设施和虚拟网元安全。

  • 组件化:安全需求的多样化和定制化要求安全能力快速建立和修改,安全部件分布式部署。

  • 身份化:多角色、可扩展的身份管理,基于身份的跨区域认证与访问控制。

  • 集成化:组件在基础架构内的自适应、与信息系统的聚合,提升协同能力。

  • 智能化:安全防策略自动化配置,实现智能主动防御。

为适应新的安全框架,需要开发完善新技术,开展一系列的试点应用。

【2】实现开放的安全能力

5G开放的安全能力包括安全资源、安全体系和行业应用3个层面,如下图所示:

5G开放的安全能力层面图

基于5G网络的计算资源和虚拟化能力,建立安全资源池。安全资源池具备统一的架构和接口,能够适应通用的5G标准,并与设备和应用解耦。

在安全资源池的技术上,实现一系列的安全能力,建立数字身份体系、可欣认证体系、通道加密体系、数据保护体系、网络防御体系、运维管理体系等。

针对不同的行业应用,根据安全需求和资源投入,选取不同的安全资源和安全体系,实现针对性、订制化的安全防护。

【3】保障重要行业领域业务安全

业务安全基于对重要行业业务流程和应用的深入理解,需要网络安全厂商、信息化厂商和行业用户的深入合作与联合开发,开展联合架构设计、联合开发、联合运营与推广等工作。

  • 联合开展架构设计

将安全层面的安全分析、情报、信任等体系,与基础设施层面的云、网、终端,以及业务层面的数据、应用充分结合起来,打造一体化的国产化系统,实现统一架构、联合分析、全面联动。

  • 建立联合开发机制

联合制定开发流程,打破网络安全和国产化产品开发过程的独立状态,实现团队的沟通乃至融合,从而在关键节点上保持同步;实现基础平台与接口对接,基于联合开发机制,实现基础软硬件平台的整体适配、硬件接口预留、软件预装,从而打通瓶颈。

  • 联合运营与推广

安全的业务系统上线后联合开展运营工作,实现安全与业务的联合保障。共同制定推广方案,在相关领域共同推广,实现双赢。

四、5G任重道远,安全同行

5G任重道远。5G发展与我国的产业升级战略密切相关,5G是新一代基础设施,将在推动工业转型升级、加快新型智慧城市建设等方面发挥重要作用,是未来数字经济的关键驱动力,其安全保障对于快速、平稳发展至关重要。

2019是5G元年,也是5G安全的起点,我们有机会从头开始,实现5G安全与5G建设的同步规划、同步建设、同步运营,真正理解5G安全需求,打通信息化与安全之间的壁垒,实现安全的内生与协同。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。