5G时代的网络安全需要继往开来

作者：国家互联网应急中心 张冰 ，江苏分中心 董宏伟

第五代移动通信（5G）将使全球移动通信行业和经济社会格局迎来一场翻天覆地的革命，其不仅将提供百倍的高速数据流量增长、低延迟和无处不在的连接、前所未有的可靠性，还将带来大量颠覆式创新应用和服务，远远超出当前的个人移动通信范畴。

5G快速发展具有巨大的潜力，可以大规模地促进经济互通。但与此同时，5G带来的万物互联、信息通达的数字世界，既面临传统的网络安全问题，也面临许多新的5G特有网络安全问题，其解决之道必须是继往开来，继续坚持成功最佳实践的基础上，还要创新思路，更高效地实现网络安全保障的目标。

以软件为中心的5G虚拟化网络改变通信环境

为提供更高的性能和更低的成本，5G网络充分融合了以软件为中心和虚拟化方面的技术，从而可以实现从依赖定制化专用软硬件平台向依赖通用商业化软硬件平台的转型。5G网络部署中大量增加软件有助于进一步加快其发展步伐，但随之而来的是一些网络安全挑战，因为这些5G软件技术创新在增加灵活性、适应性的同时也扩大了系统的攻击面。当5G核心网络能力开始采用新的软件架构时，将越来越多地采用众所周知的HTTP和REST应用程序接口（API）等常见技术来取代过去的专有接口。所有这些都增加了网络安全攻击和漏洞利用的可能。

网络功能虚拟化（NFV）将提供比传统平台更多的可伸缩性。NFV功能的实现依赖于5G网络软件堆栈和基础设施。尽管虚拟化具有可扩展性的显著优势并可以提升底层硬件资源的效率,但将许多来自不同的供应商的组件迁移到一个软件平台上，其中还通常包括开源软件，将显著增加整个系统被漏洞利用的风险。此外，随着5G网络切片技术的广泛应用，保证切片间的有效隔离和防止切片间的数据泄露将是5G网络面临的关键安全挑战。

与5G相关的另一项核心假设是其所连接设备的海量增长，这些设备将成为日常生活的重要组成部分。5G将支持大量新的应用案例，需要有明确的服务质量保证来满足5G所支撑的关键基础设施和实时系统的可靠性、吞吐量或时延要求。虽然已经有了一些或正在制定的标准，强制要求和评估不同行业（如汽车、医疗、公共事业等）的安全性，但物联网设备仍普遍缺乏标准化的安全保障。大量的缺乏安全保障的设备存在于网络当中，将很容易破坏5G网络所支撑的关键基础设施和其他重要应用的安全能力。

5G网络的部署极为复杂，其基础设施组成部分大多部署在网络边缘，使其安全性更加难以保障。更为严峻的是，为应对5G系统的复杂性，网络运营商不得不依赖第三方服务提供商来配置和管理其网络，从而将安全管理权置于潜在的竞争者之手。配置不当将给5G网络及其支撑的信息化系统带来巨大风险，而这与标准中定义了哪些安全功能和是否采用无关。

实现5G愿景需要加倍的安全保障

全球的科技力量正在共同努力，以确保5G建立在坚如磐石的网络安全基础之上，这方面已经取得了较大进展。

各国政府正在对5G网络和应用的安全风险进行逐步深入的评估。在欧盟，网络信息系统合作组织开展了有关5G网络安全性的战略风险评估，随后由欧洲网络安全局（European Agency for cybersecurity, ENISA）完成了5G网络威胁前景评估。欧盟成员国国家计算机安全事件响应小组（CSIRT）网络已开始积极交换5G安全业务相关的信息情报。欧洲网络安全局（ENISA）、欧盟委员会、成员国和国家监管机构已经制定了相关的事件报告、安全保护、威胁评估和资产管理方面的技术指南。2019年6月开始实施的欧盟《网络安全法》，为欧洲产品、流程和服务提供了网络安全认证框架。符合该认证框架要求的生产商需要证明其产品在设计早期就已包含了特定的安全功能，并使用户能够在欧盟范围内获得确定标准的安全保障。该框架为促进安全标准的一致性提供了必要的工具，可以满足5G设备和软件开发需求。

其他地区也正在进行类似的研究和评估活动。与此同时，移动通信行业制定了“网络设备安全保障方案”（Network Equipment Security Assurance Scheme, NESAS），由3GPP和GSMA共同定义，以促进整个移动通信行业安全水平的提高。NESAS使用综合方法对产品开发的全生命周期进行评估，并采用了3GPP SA3为网络设备定义的安全测试用例。

但是，随着5G面临的攻击面的增加，必须进一步加强对5G网络安全的重视，这使5G网络安全需求同前几代移动通信系统相比大大增强。

值得欣慰的是，5G网络安全并不需要完全重起炉灶。全球网络安全行业多年来已经积累了了许多可用的网络安全评估工具，包括：端点、渗透测试、漏洞扫描、模糊测试以及身份认证和访问管理解决方案。所有这些都可以作为5G网络基础设施和应用安全的重要基础。

全面安全测试对5G系统至关重要

尽管5G通信相关标准提供了超越前几代移动通信系统的安全机制，但仍有一些领域需要进一步努力来实现和维护更安全的5G网络。5G网络复杂性要求对安全进行更有效的配置和管理，对管理网络的第三方提出更严格的安全需求，更为基础性的是实现对供应链更严格的控制。

5G网络中软件部分的增加和物联网设备的大量接入将提出更多安全控制的需求。作为规模化部署5G网络和应用的前提，这是相关行业必须重视的关键领域。各相关组织已针对不同行业特征制定了多项安全标准和最佳实践指南，涵盖了从架构和设计到编码、测试和发布的所有软件开发阶段。但随着漏洞和威胁的不断增加，企业需要认真考虑使用针对最新威胁定期更新的自动化工具，持续开展对5G网络和应用的全面安全测试。

5G网络安全需要新思维

事实上，5G网络已通过其内置的安全措施，包括网络切片化、更强大的空中加密、用户身份保护和防范窃听风险等，大大增加了其安全性，可满足大多数5G应用的需求。但是，5G网络安全永远是一个动态变化的博弈过程，任何安全措施手段都不可能是一劳永逸的。确保5G网络安全的努力需要继往开来，不断开拓新思维、新实践。

一是采用虚拟化安全自动控制。这将有助于管理5G网络和应用不断扩大的攻击面，有效降低未来风险。虚拟化安全控制可以快速部署，并允许组织通过自动响应（例如创建防火墙）实时对新型攻击作出响应。

二是运用基于机器学习的威胁检测技术。这需要更有效地监测和分析整个网络的流量变化。基于机器学习的自动威胁检测技术将变得格外重要，因为基于人工的检测与响应将难以应对5G网络海量的数据流量处里的需求。

三是实施“零信任”方法。对组织中所有设备的身份和授权使用零信任可以降低网络引入恶意软件的可能性。通过持续监测用户的状态和行为，零信任模型将使应急响应小组快速区分真实的网络用户和进行攻击的恶意机器人。

四是全面拥抱共享安全模型。5G网络环境下，物联网设备等将继续存在漏洞，最为常见的是使用广为知晓的默认密码，以及长期不升级至最新版本的操作系统。共享安全模型已经在公有云领域发挥作用。用于5G网络的共享安全模型将帮助服务提供商将网络本身作为安全工具，实现基础设施的安全性；而用户则可以更加聚焦确保终端安全。

在更完整的共享安全模型中，设备制造商需要对其提供的网络设备承担安全责任。5G网络运营商负责提供3GPP框架和标准（即数据加密和无线电接入网络）中列出的安全性要素，并负责保证网络基础设施本身的安全性。负责5G应用开发和部署的企业承担其上网设备（包括移动设备）的安全管理，以及应用程序安全证书的分发和身份认证与访问控制。

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。