5G安全內生已成行業共識:唯有同步規劃、建設、運行的網絡安全保障系統,方能有效保障5G網絡與應用安全。
2020年是5G安全起點。5G內生安全重點是實現軟件定義的安全組網與接入、統一的身份管理、邊雲協同的數據安全、全生命週期的應用安全,並實現開放的安全能力。
一、5G內生安全成為業界共識
隨著我國5G網絡建設和商用的全面展開,5G安全問題日益受到廣泛關注。政府及相關機構有步驟的推進5G安全工作,IMT2020(5G)推進組專門成立安全工作組。5G設備廠商、運營商及產業鏈上下游企業積極開展5G安全技術的研究和部署。
5G安全帶來全新挑戰:它與傳統的信息系統和網絡安全有很大不同。5G網絡泛在物聯接入、新型組網與接入方式、邊緣數據中心及服務化架構的核心網帶來新的安全需求。
傳統“外掛式”的安全模式導致網絡安全與信息系統、業務應用是兩套獨立體系,這種建設方式難以適應5G安全建設的需要。
如何才能應對5G安全建設的挑戰呢?
在4月17日召開的數字基礎設施建設推進專家研討會上,工業和信息化部副部長陳肇雄強調,與(5G等)數字基礎設施同步規劃、建設、運行網絡安全保障系統,加強5G、工業互聯網、數據中心、雲平臺等設施的安全保障,確保數字基礎設施安全平穩可靠運行。
中國工程院院士鄔賀銓此前也在《中國電子報》發文指出:很多安全挑戰是內生的,需要增強免疫能力,從基礎設施技術開發與網絡設計開始就要有內生的安全理念,網絡安全能力與基礎設施是一個整體,網絡安全能力需與基礎設施同步建設並融入其中。
自2019年8月,奇安信在北京網絡安全大會(BCS)上率先提出“內生安全”的理念。內生安全迅速成為ICT業界的廣泛共識。
在5G安全領域,我國擁有自主的5G技術、產品和產業,具備實踐內生安全的充足條件。目前,內生安全已經得到5G設備商、運營商、平臺商、網絡安全企業和行業應用單位等整個生態鏈條的廣泛認同,正在付諸實踐。
通過實現網絡安全能力與5G系統的聚合、業務數據和安全數據的聚合、信息化人員與安全人員的聚合,安全可以更深入、更細緻、更貼合5G安全真正的內在需求。
二、5G安全的全新需求
5G內生安全需求不僅包括5G信息基礎設施的安全,還包括數據安全、應用安全等層面,涵蓋了5G網絡規劃、建設、運營等各個階段。
在基礎設施安全層面,安全的內生性主要體現在安全與信息系統的融合。核心需求包括5G新型網絡邊界安全、網絡切片安全和邊緣計算的安全。
在數據安全、應用安全方面,安全的內生性主要體現在安全與業務的融合。著重增強移動寬帶(eMBB)、低延時高可靠(uRLLC)、低功耗大連接(mMTC)三大核心應用場景的定製化安全需求以及在不同行業的組合應用。
1、關鍵信息基礎設施安全
5G網絡與傳統網絡有較大的差異。其泛在物聯接入、新型組網與接入方式、邊緣數據中心及服務化架構的核心網帶來新的安全需求。從網絡安全廠商的角度,新網絡邊界、網絡切片和邊緣計算,是當面5G基礎設施層面重點關注的安全問題。
圖1. 5G核心網帶來新的安全需求 來源:奇安信集團, 2019
(1) 5G新網絡邊界安全
5G由終端側、接入網、邊緣側、承載網、核心網幾部分構成,打破了傳統網絡端邊雲的網絡架構,需要重新定義網絡邊界。
- 在終端側,5G終端種類繁多,應用複雜,存在身份仿冒、信號欺騙、設備劫持、數據篡改、故障注入等一系列安全問題。
- 在接入網,5G終端的接入以無線接入為主,存在DDOS攻擊、網絡竊聽、網絡滲透、無線信號干擾等問題。
- 在邊緣側,由於邊緣結構多樣及邊雲協同的需要,數據與業務交互頻繁,存在數據竊取、橫向滲透、隱私洩露、內容仿冒、權限盜用等問題。
- 在承載網,傳統網絡安全問題仍然是主要威脅,包括DDOS攻擊、網絡竊聽、網絡滲透和網絡阻斷等。
- 在核心網,由於廣泛採用虛擬化和軟件定義的網絡與計算環境,安全問題包括針對雲平臺的橫向滲透、身份仿冒、權限盜用、地址欺騙、虛假規則等,針對數據的隱私洩露、數據篡改、數據竊取、權限盜用等,以及針對應用的內容仿冒、權限濫用、非法調用等。
(2)5G網絡切片安全
網絡切片是5G網絡的關鍵技術特點,採用SDN和NFV等技術實現物理網絡的靈活劃分,應對不同的應用場景。與此同時,SDN和NFV技術也面臨新的安全威脅與需求。
- SDN的安全 控制平面:集中化的控制平面承載網絡環境中的所有控制流,是網絡服務的中樞。面臨網絡監聽、IP 地址欺騙、DoS/DDoS 攻擊和病毒木馬攻擊的威脅。用戶平面:數據處理、轉發和狀態收集,對控制器下發的流規則信任,面臨惡意/虛假流規則注入、DoS/DDoS攻擊、非法訪問、身份假冒等問題,還可能面臨由虛假控制器的無序控制指令導致的交換機流表混亂等威脅。 外部接口:南向接口協議安全問題,竊聽、控制器假冒等安全威脅。北向接口的開放性和可編程性,面臨非法訪問、數據洩露、消息篡改、身份假冒、應用程序自身的漏洞等問題。
- NFV的安全NFV將網絡功能整合到行業標準的服務器、交換機和存儲硬件上,提供優化的虛擬化數據平面,可通過服務器上運行的軟件讓管理員取代傳統物理網絡設備,因此NFV在基礎設施和虛擬化方面存在安全威脅,包括:基礎設施安全:跨域數據洩露、虛擬化平臺安全威脅、密鑰洩露、網絡配置安全。虛擬化安全:Hypervisor安全、虛擬機安全。虛擬網元(VNF)安全:權限管理複雜、遠程調試和監測漏洞、數據竊取與篡改。
(3)5G邊緣計算安全
多接入邊緣計算(MEC)是5G網絡核心技術之一。它具備數據緩存、數據分析的能力,可以提高應用的實時性、可靠性。但在傳統雲端應用和功能往邊緣側遷移的過程中,帶來了邊緣側新的安全問題,包括架構安全、功能安全、信任機制等方面。
- 架構安全MEC 節點靠近網絡的邊緣, 外部環境可信度降低, 管理控制能力減弱, 使得 MEC平臺和 MEC 應用處於相對不安全的物理環境, 更容易遭受外部網絡攻擊,同時MEC內部應用種類繁多,權限複雜,安全管理難度增大。
- 功能安全部分核心網功能跟隨 MEC 下沉到邊緣數據中心, 增大了核心網面臨的攻擊面。同時用戶發生跨節點切換將面臨站點間相互信任、 網絡連接上下文如何安全傳遞等安全問題。
- 信任機制MEC是一個多元化的系統,包括用戶、 行業應用及 MEC 服務之間的信任,移動終端、 網絡切片、 MEC 平臺之間的信任,跨區域、跨平臺、跨行業信任。需要為各系統之間構建有效的信任機制。
2、 5G業務應用安全
5G將多樣化的應用統一到了一個網絡中,憑藉網絡切片和邊緣計算技術實現網絡的劃分和對應用的支撐,但是5G安全需求仍然呈現多樣化的特點。這種特點體現在寬帶、物聯、工業三大典型應用場景安全需求的差異化,和不同行業對三大典型應用場景的細分與組合運用。
(1)三大典型應用場景的安全需求
在企業安全領域,安全需求以新一代企業分支組網為核心,綜合了寬帶網絡、物聯網、工業網絡等多種網絡和應用的接入,並在統一的框架下滿足多樣化的安全需求。
圖2. 5G三大典型應用場景及安全需求 來源:奇安信集團, 2019
- 寬帶接入安全其特點包括前期2C應用為主,中後期主要支持2B應用:車聯網、安防、智慧醫療等。在網絡安全方面以傳統安全為主,側重大流量高併發和空口安全,包括流量清洗、ipv6安全等;在空口安全方面包括頻譜安全、空口協議等;其典型應用為移動視頻類應用。
- 工業網絡接入安全其特點為高安全+高可靠+低延時,安全不能影響業務實時性,主要靠切片安全實現。其安全能力內置,需要具備實時安全以滿足實時系統、專用硬件/app的安全需要;切片安全以物理切片為主;典型應用為工業互聯網應用。
- 物聯網接入安全其特點為低功耗大連接。物聯網終端種類繁多,呈現碎片化,包括各種嵌入式系統的安全需求和低功耗要求。物聯網接入還存在環境可信的問題,即設備數字身份與物理實體之間需要綁定,因此需要同步進行物理環境的安全感知和網絡環境的安全感知。
(2)重點行業應用的安全需求
以電力行業為例,5G靈活的網絡切片和泛在網絡接入的特點非常符合電網信息化的需要,主要體現在控制類、採集類和移動作業類業務方面。
5G控制類應用包括智能分佈式配網差動保護以及精準負荷控制等,這類應用對帶寬需求相對不高,但對低時延和大連接要求較高,同時需要很高的業務安全隔離和可靠性。
採集類終端包括低壓用電信息採集和分佈式新能源電源等,對帶寬要求低而對實時性要求高,有很高的大連接要求,有較高的可靠性要求,但安全隔離要求較低。
移動作業類終端如智能巡檢,對於低時延和大連接要求不高,但對帶寬要求較高,同時要求較高的可靠性。5G電網應用安全需要將這些安全需求綜合起來,在統一框架下分別滿足不同細分業務種類的安全需求。
除了電力行業,5G網絡在交通、製造、醫療等行業同樣需要將細分場景下的差異化安全需求組合起來,並融合成統一的安全架構。在此不再一一贅述。
三、構建5G內生安全防線
隨著5G新基建加快推進,安全防護工作必須同步開展,構建基於內生安全理念的5G安全新防線已經迫在眉睫。5G內生安全防線應打造融合的5G安全體系,重點實現軟件定義的安全組網與接入、統一的身份管理、邊雲協同的數據安全、全生命週期的應用安全,並實現開放的安全能力。
1. 打造融合的安全體系
5G關鍵信息基礎設施的發展對安全提出新的需求,需要打造融合的安全體系。5G安全體系整體呈現虛擬化、組件化、身份化、集成化、智能化的特點。具體見下圖:
- 虛擬化:基礎設施的虛擬化導致對安全虛擬化的需求。使用虛擬化安全技術保護邊緣雲和核心雲,雲化網絡基礎設施和虛擬網元安全。
- 組件化:安全需求的多樣化和定製化要求安全能力快速建立和修改,安全部件分佈式部署。
- 身份化:多角色、可擴展的身份管理,基於身份的跨區域認證與訪問控制。
- 集成化:組件在基礎架構內的自適應、與信息系統的聚合,提升協同能力。
- 可編排:安全防策略自動化配置,實現智能主動防禦;
- 全場景:面向不同垂直行業的業務模式,支持差異化應用場景。
圖3. 5G安全體系整體特點 來源:奇安信集團, 2019
為適應新的安全框架,需要開發完善新技術,開展一系列的試點應用。
2. 實現軟件定義的安全組網接入
軟件定義是5G網絡核心技術,同樣是5G安全的核心技術。通過軟件定義,實現安全的企業虛擬組網,使得企業可以在5G基礎設施上靈活方便的建設和改進自己的分支組網架構,並實現動態的網絡安全域的劃分和隔離防護。
圖4. 軟件定義實現安全的企業虛擬組網 來源:奇安信集團, 2019
安全能力是由軟件定義,靈活擴展、不與硬件綁定。假設一種新的安全威脅出現,採用軟件定義的方式,可以在不需要修改硬件的情況下快速部署新的安全能力,敏捷地應對快速變化的安全需求。安全能力的編排也是由軟件定義,通過自動化編排,多種安全能力共享一個統一的上下文,快速高效響應安全事件。
安全能力部署在邊緣雲,建設動態調度、彈性擴展的安全資源池SD-WAN虛擬網絡接入5G切片,實現細粒度安全管控。管控平臺基於5G切片靈活組合安全策略,滿足垂直行業個性需求,在邊緣側構建感知、分析、執行的閉環,實現關口前移。通過統一的管理和控制,對多種安全能力實現統一控制和展現。
3、實現統一的身份管理
5G網絡與應用是一個龐大的生態,涉及包括設備商、運營商、平臺商、安全商、用戶單位及個人等諸多安全主體。在3GPP標準框架下已經實現瞭如SUSE、AKA等安全標識與認證機制,但仍需在此基礎上建立統一的身份管理機制。
圖5. 5G需建立統一身份管理機制 來源:奇安信集團, 2019
根據內生安全理念和關口前移思想,在5G網絡邊緣側建立安全接入平臺,統一對接終端側的身份標識,並建立專用安全訪問通道以適應網絡切片的需求。對於用戶訪問,建立用戶安全訪問通道,通過可信訪問代理進行連接,並加強用戶訪問應用的安全防護和API端口的安全防護。對於大流量的數據回傳和機構與企業間數據共享,建立數據共享通道,通過可信API代理和應用前置滿足高帶寬、低延時的數據傳輸需求。對於海量終端數據採集,建立數據採集通道,通過邊緣接入代理滿足對海量終端數據彙集和低功耗的安全需求。
在雲端或核心網數據中心建設身份安全管理平臺,實現統一的身份管理、認證管理、權限管理,以及網絡行為分析和動態訪問控制。
4、實現邊雲協同的數據安全
邊緣計算的廣泛使用是5G應用的重要特點,也為數據安全帶來新的挑戰。一方面邊緣數據中心不具備傳統數據中心的安全防護條件,另一方面數據在雲端和邊緣側交互,需要邊雲協同的數據安全能力。
邊雲協同的數據安全從數據的可視、可管、可控三個維度,做到對敏感數據的識別、發現和分類分級,通過加密、脫敏、掩碼和授權管理等多種技術確保重要數據的有效保護,通過多因素認證、動態持續認證和訪問控制等技術確保合法用戶對敏感數據具有合理的授權訪問,通過數據邊界管理和控制確保數據在邊緣和雲端流轉時的數據共享安全防洩漏,通過審計分析確保訪問行為與內容的合規性。
5、實現全生命週期的應用安全
面向5G應用的開發流程,建立應用安全管理制度,制定應用開發管理要求、應用安全功能要求和安全開發編碼規範,實現從應用安全設計到安全檢測到安全運行的全生命週期應用安全保障能力。
在應用開發設計階段,通過安全需求設計、安全架構設計、安全編碼和代碼評審確保安全能力融入到開發過程。在應用測試階段,通過安全功能測試、性能測試、代碼審計和滲透測試等測試工具確保應用上線前的安全檢測。在應用運行階段,通過統一訪問控制實現對應用功能和接口的安全防護,並針對WEB攻擊進行防護。同時加強對開發人員的安全管理和培訓,從而實現全生命週期應用安全。
6、實現開放的安全能力
5G開放的安全能力包括安全資源、安全體系和行業應用3個層面,如下圖所示:
圖6. 5G開放安全能力 來源:奇安信集團, 2019
基於5G網絡的計算資源和虛擬化能力,建立安全資源池。安全資源池具備統一的架構和接口,能夠適應通用的5G標準,並與設備和應用解耦。
在安全資源池的技術上,實現一系列的安全能力,建立數字身份體系、可欣認證體系、通道加密體系、數據保護體系、網絡防禦體系、運維管理體系等。
針對不同的行業應用,根據安全需求和資源投入,選取不同的安全資源和安全體系,實現針對性、訂製化的安全防護。
四、結束語
5G任重道遠。5G發展與我國的產業升級戰略密切相關,5G是新一代基礎設施,將在推動工業轉型升級、加快新型智慧城市建設等方面發揮重要作用,是未來數字經濟的關鍵驅動力,其安全保障對於快速、平穩發展至關重要。
2019是5G元年,2020年是5G安全的起點,我們需要從零開始,真正理解5G內在的安全需求,實現5G安全與5G建設的同步規劃、同步建設、同步運營,打通信息化與安全之間的壁壘,實現安全的內生與協同。
作者:喬思遠,虎符智庫專家,信息安全博士。
