中興通訊正式發(fā)布了《5G行業(yè)應(yīng)用安全白皮書》。
白皮書中,中興通訊基于對安全領(lǐng)域長期以來的技術(shù)積累以及對 5G 網(wǎng)絡(luò)的深刻洞察,分享了對于 5G 垂直行業(yè)應(yīng)用安全的一些觀點。
中興通訊認為,5G 為垂直行業(yè)提供了更安全的智能網(wǎng)絡(luò)服務(wù),從多個維度提升了安全特性;同時,通過 5G 基礎(chǔ)設(shè)施與垂直行業(yè)的典型業(yè)務(wù)特征相結(jié)合,以網(wǎng)絡(luò)與設(shè)備為中心,以可視性與可控性為基本框架,充分利用切片定制、能力開放、邊緣計算、APT(高級持續(xù)性威脅 Advanced Persistent Threat)防御、可信技術(shù)、動態(tài)防御等創(chuàng)新平臺與技術(shù),打造與垂直行業(yè)緊密融合的網(wǎng)絡(luò)安全長城,完成對 5G 行業(yè)應(yīng)用網(wǎng)絡(luò)的深層次加固。
中興通訊《5G行業(yè)應(yīng)用安全白皮書》全文如下:
5G行業(yè)應(yīng)用安全挑戰(zhàn)
5G 網(wǎng)絡(luò)的高帶寬、低時延、海量連接等特性大幅提升了全社會各產(chǎn)業(yè)的信息化水平。同時,5G 網(wǎng)絡(luò)提供的靈活定制、彈性部署、多層次隔離等智能網(wǎng)絡(luò)能力,推動了互聯(lián)網(wǎng)創(chuàng)新從量變到質(zhì)變的轉(zhuǎn)型。未來 5G 將深入垂直行業(yè),促進產(chǎn)業(yè)創(chuàng)新與經(jīng)濟增長,影響我們的生活方式,提升全社會的福祉。
自 2015 年以來,全球每年有超過 300 起大型工業(yè)網(wǎng)絡(luò)安全事件發(fā)生,企業(yè)與公眾開始越來越多地關(guān)注此類事件,并從安全、財產(chǎn)、經(jīng)濟、聲譽等方面評估可能產(chǎn)生的影響。隨著 5G 的規(guī)模商用以及在垂直行業(yè)中的普及,行業(yè)應(yīng)用將會吸引更多的惡意攻擊。諸如工業(yè)制造、能源、交通、金融等關(guān)鍵領(lǐng)域的高價值資產(chǎn)將成為首要的攻擊目標,并可能給國家、社會和企業(yè)帶來嚴重的風(fēng)險。
在 5G 時代,傳統(tǒng)互聯(lián)網(wǎng)的方法論、設(shè)計范式、軟件技術(shù)仍會繼續(xù)在垂直行業(yè)使用,用于攻擊的漏洞、工具與手段都能夠直接對行業(yè)資產(chǎn)產(chǎn)生威脅。5G 引入切片、NFV(網(wǎng)絡(luò)功能虛擬化 Network Function Virtualization)、MEC 等新技術(shù)以支持智能網(wǎng)絡(luò)服務(wù)的定制,也使得網(wǎng)絡(luò)的形態(tài)、生態(tài)、商業(yè)模式、信任與風(fēng)險關(guān)系呈現(xiàn)出更加動態(tài)與復(fù)雜的態(tài)勢。集中編排與軟件定義能力的運用,在為網(wǎng)絡(luò)帶來新的中心化特征的同時,也對安全性帶來了新的挑戰(zhàn)。
5G 時代的行業(yè)應(yīng)用網(wǎng)絡(luò),必須能夠提供不低于傳統(tǒng)專網(wǎng)的安全性與可靠性,才能夠勝任高價值資產(chǎn)的承載,同時,需要充分靈活地應(yīng)用 5G 基礎(chǔ)設(shè)施以及圍繞 5G網(wǎng)絡(luò)的創(chuàng)新所帶來的新技術(shù)與新能力,使垂直行業(yè)的安全充分受益。
安全的5G網(wǎng)絡(luò)能力
可定制化安全
5G 網(wǎng)絡(luò)進一步滿足了人們對超高帶寬的增強移動互聯(lián)需求(例如 AR、VR、8K 視頻通訊等),同時實現(xiàn)了由消費類網(wǎng)絡(luò)向行業(yè)應(yīng)用網(wǎng)絡(luò)的轉(zhuǎn)型(例如遠程醫(yī)療、無人駕駛、智能制造等)。行業(yè)應(yīng)用對網(wǎng)絡(luò)時延、傳輸速率、連接數(shù)等存在差異化的要求,而傳統(tǒng)移動網(wǎng)絡(luò)受限于網(wǎng)絡(luò)架構(gòu)、交付方式、運維模式等因素,已經(jīng)難以滿足不同行業(yè)的應(yīng)用需求。因此,5G 基于 SDN(軟件定義網(wǎng)絡(luò) Software De ned Network)/NFV 等新技術(shù),重構(gòu)了全新的網(wǎng)絡(luò)架構(gòu),以更好地支撐多樣化的行業(yè)應(yīng)用場景。
作為網(wǎng)絡(luò)必要組成部分的安全體系,傳統(tǒng)移動網(wǎng)絡(luò)采用了固化的安全防御架構(gòu),難以滿足行業(yè)應(yīng)用對于安全的差異化和可擴展性需求,安全能力只能依靠打補丁方式進行擴展加固,導(dǎo)致移動網(wǎng)絡(luò)無法及時使用新的安全技術(shù)、防御新型安全威脅。不同的行業(yè)應(yīng)用存在共性的安全需求,同時各行業(yè)應(yīng)用又存在特殊安全防護要求,5G 基于網(wǎng)絡(luò)切片技術(shù)提供了智能網(wǎng)絡(luò)服務(wù),并基于安全能力開放機制提供了靈活的安全架構(gòu),既可實現(xiàn)共性安全的統(tǒng)一考慮,又能兼顧具體行業(yè)應(yīng)用所需安全機制的靈活定制。
相對于傳統(tǒng)企業(yè)專網(wǎng),基于切片的可定制化 5G 網(wǎng)絡(luò)能夠為垂直行業(yè)提供更安全的、端到端保障的網(wǎng)絡(luò)服務(wù)與能力。5G 網(wǎng)絡(luò)應(yīng)用于垂直行業(yè),不僅僅提供基礎(chǔ)的安全網(wǎng)絡(luò)接入能力,還會開放邊緣 DC(數(shù)據(jù)中心 Data Center)、核心DC 中的各種基礎(chǔ)設(shè)施能力,其安全架構(gòu)不但需要考慮差異化的業(yè)務(wù)需求,還需要考慮網(wǎng)絡(luò)與業(yè)務(wù)融合特殊場景的業(yè)務(wù)需求,以進行安全架構(gòu)的定制和加固。可定制 5G 網(wǎng)絡(luò)安全架構(gòu)如下圖所示。
圖 1 5G 網(wǎng)絡(luò)安全定制框架
端到端網(wǎng)絡(luò)安全
更高的網(wǎng)絡(luò)安全接入標準
移動通信網(wǎng)作為商業(yè)化的電信網(wǎng)絡(luò),在標準設(shè)計之初,就充分考慮了網(wǎng)絡(luò)接入的移動性、可靠性和安全性,通過 SIM(用戶識別卡 Subscriber Identity Module)/USIM(全球用戶識別卡 Universal SubscriberIdentity Module)等身份標識、認證授權(quán)、訪問控制、信道與承載加密等方式,提供了良好的安全通信能力。
5G 網(wǎng)絡(luò)繼承了 4G 的安全特性,同時對認證授權(quán)、隱私保護、數(shù)據(jù)傳輸安全、網(wǎng)絡(luò)架構(gòu)和互通安全等進行了優(yōu)化或增強。相對 WiFi、企業(yè)專網(wǎng)等非 3GPP 接入機制,5G 提供了更大范圍的移動性,也為用戶提供了更健壯的業(yè)務(wù)安全、更嚴密的數(shù)據(jù)保護及更強的用戶隱私保護。
5G 提供了基于統(tǒng)一認證框架的雙向認證能力,使終端和網(wǎng)絡(luò)都能夠確認對方身份的合法性。這樣不僅能避免非法用戶接入,也能避免利用偽基站、偽熱點進行詐騙或者竊取用戶信息。
多層次的安全隔離
傳統(tǒng)局域網(wǎng)與互聯(lián)網(wǎng)的設(shè)計初衷是開放性,這也是導(dǎo)致網(wǎng)絡(luò)安全問題頻發(fā)的一個根源。未來的產(chǎn)業(yè)互聯(lián) 網(wǎng)將會連接工業(yè)、金融、能源、交通等重要領(lǐng)域的高價值資產(chǎn),5G 網(wǎng)絡(luò)切片不但能夠為不同 SLA(服務(wù) 等級協(xié)議 Service Level Agreement)的業(yè)務(wù)提供網(wǎng)絡(luò)架構(gòu)的定制,還能夠提供多種安全級別的網(wǎng)絡(luò)隔 離能力,為終端提供端到端的安全通道。這樣,即使某一終端被攻破,惡意程序也很難在 5G 網(wǎng)絡(luò)中橫 向傳播,使得攻擊的擴散勢頭以及導(dǎo)致的損失得到有效的遏制。
更強的安全審計能力
任何通過不同接入方式接入到 5G 網(wǎng)絡(luò)的終端,都需要進行統(tǒng)一的認證與管理,并對設(shè)備使用網(wǎng)絡(luò)的情況進行記錄。同時,還可以通過設(shè)備管理平臺建立并維護各行業(yè)資產(chǎn),及業(yè)務(wù)、部門、組織等實體之間的權(quán)屬與管理關(guān)系,當(dāng)發(fā)生異常行為時,可以快速追溯終端使用者的身份和行為軌跡,強化了所有者的管理責(zé)任,增加了攻擊者的法律風(fēng)險,有效降低攻擊的概率。
高水準的供應(yīng)鏈
5G 網(wǎng)絡(luò)各種軟件、硬件以及服務(wù)的供應(yīng)商與合作伙伴,優(yōu)先選擇具備強大實力的提供商,其內(nèi)部安全治理水平處于業(yè)界領(lǐng)先水準,可以從源頭保障 5G 網(wǎng)絡(luò)的長期安全,并可簡化、加快行業(yè)客戶從設(shè)備認證、選型、采購到部署的全過程。
專業(yè)化的運維
很多安全事件的根本原因都是因為不專業(yè)的管理與運維導(dǎo)致。相對于企業(yè)專網(wǎng)中各種中間設(shè)備的多樣性、暴露性以及管理的分散性等隱患,5G 提供了一站式的彈性網(wǎng)絡(luò)安全能力,并在運行期間能夠提供長期專業(yè)化的網(wǎng)絡(luò)智能維護體系與應(yīng)急響應(yīng)體系,最大程度地減少由于企業(yè)自建專網(wǎng)等帶來的安全運維風(fēng)險。
端到端的全網(wǎng)安全治理
面向全網(wǎng)的端到端安全治理體系,能對5G網(wǎng)絡(luò)的持續(xù)、高安全運行提供保障。受益于5G網(wǎng)絡(luò)全業(yè)務(wù)運營、廣覆蓋的優(yōu)勢,5G 網(wǎng)絡(luò)能夠為垂直行業(yè)網(wǎng)絡(luò)安全提供端到端的信任機制,使得為行業(yè)用戶建立更加便利的專用的網(wǎng)絡(luò)切片成為可能,有利于 5G 行業(yè)應(yīng)用網(wǎng)絡(luò)的大規(guī)模快速部署。
面向未來的安全演進
不同于 IT 系統(tǒng)的短生命周期的特點,OT 技術(shù)的使用壽命往往是 IT 系統(tǒng)的 10 倍以上,其控制系統(tǒng)及補丁也有很低的更新頻率。5G作為智能化的網(wǎng)絡(luò)平臺,具備面向未來的多種接入方式融合與演進能力,例如:特殊場景下的衛(wèi)星接入手段、向 6G 及后續(xù)網(wǎng)絡(luò)的平滑演進能力等。這種安全演進能力,對于垂直行業(yè)長期保持業(yè)務(wù)連續(xù)性具有重要的意義。
隨著技術(shù)的發(fā)展,5G 網(wǎng)絡(luò)會不斷平滑引入各種新技術(shù)、新安全能力以進一步加固網(wǎng)絡(luò)安全,對垂直行業(yè)業(yè)務(wù)不會造成影響和中斷。同時,5G 網(wǎng)絡(luò)還可以利用自己的核心位置,集中收集、分析各種面向垂直行業(yè)的威脅情報,并在垂直行業(yè)用戶之間進行共享,提升安全事件響應(yīng)速度。
邊緣定義安全
工控設(shè)備通常具有高度定制化、資源有限、難以升級維護、長壽命、抗攻擊能力差等特點,必須依賴各種外部防御手段從多個層次為設(shè)備資產(chǎn)提供深度的防御能力。另外,由于安全邊界收縮到設(shè)備側(cè),安全控制需要從網(wǎng)絡(luò)邊緣開始加固,進行近源控制與防御,減小資產(chǎn)攻擊面。5G 為垂直行業(yè)帶來了新的能力平臺,通過結(jié)合行業(yè)應(yīng)用的特點(例如權(quán)屬關(guān)系與管理關(guān)系的相對統(tǒng)一、相對固定的覆蓋范圍等),5G 能夠從可控性、可視性等角度,采用多種新技術(shù)、新手段,基于邊緣從多個層次對企業(yè)網(wǎng)絡(luò)進行定制化加固。
圖 2 5G 邊緣定義安全
安全可視性加固
威脅往往來自看不見的領(lǐng)域,獲取完整的 OT 資產(chǎn)列表并進行長期的持續(xù)監(jiān)控,是安全的基礎(chǔ)。5G 網(wǎng)絡(luò)結(jié)合 IoT(物聯(lián)網(wǎng) Internet of Things)設(shè)備管理平臺,可以對企業(yè)用戶、設(shè)備等不同類型終端,提供高效與精準的資產(chǎn)發(fā)現(xiàn)與管理能力,支持對設(shè)備連網(wǎng)接入、狀態(tài)、流量及策略進行精細化的、實時性的管控,并從網(wǎng)絡(luò)視角為企業(yè)自動構(gòu)建完整的安全視圖。5G 網(wǎng)絡(luò)不僅可對行業(yè)協(xié)議數(shù)據(jù)進行整型與規(guī)范化處理;還可將流量交給 APT 智能檢測模塊進行更加深入的分析與監(jiān)控。
信息透明是信任的基礎(chǔ),作為 5G 網(wǎng)絡(luò)的擁有者,運營商需要提供網(wǎng)絡(luò)服務(wù)與安全能力 SLA 的可視化,使得垂直行業(yè)用戶可以動態(tài)實時地對網(wǎng)絡(luò)風(fēng)險進行評估,及時預(yù)測、發(fā)現(xiàn)并處置網(wǎng)絡(luò)安全事件。
安全可控性加固
5G 行業(yè)應(yīng)用網(wǎng)絡(luò)可以基于網(wǎng)絡(luò)切片,從站址資源、無線頻譜、覆蓋范圍、網(wǎng)絡(luò)接口、接入認證等方面,對網(wǎng)絡(luò)的物理邊界進行多維度的定制與約束,通過多種接入方式滿足網(wǎng)絡(luò)覆蓋需求。同時,可進一步結(jié)合邊緣計算提供的定位能力,對終端的位置邊界進行約束與管控。
5G 網(wǎng)絡(luò)支持面向機器的連接。機器的行為模式相對簡單,流量模型可預(yù)測,同時由于網(wǎng)絡(luò)切片的使用,隔離了各種不同業(yè)務(wù)特征的網(wǎng)絡(luò)流量,因此,通過快速的學(xué)習(xí)和訓(xùn)練,AI 技術(shù)可以更加準確地對垂直行業(yè)的流量與行為異常進行檢測、回溯與根因分析,為垂直行業(yè)用戶提供實用的安全分析與告警,抵御各類 APT 攻擊。
網(wǎng)絡(luò)、流量與行為以及終端層面的安全防御,最終是為了完成對于核心業(yè)務(wù)的保護,而針對業(yè)務(wù)層以及用戶身份的攻擊,是最直接和快速的手段。由于管理與維護的疏忽、不可避免的系統(tǒng)漏洞,都會對系統(tǒng)造成重大的安全風(fēng)險威脅。因此,管理上的可控性尤其顯得重要,需要從環(huán)境、硬件架構(gòu)、操作系統(tǒng)等層面基于特殊設(shè)計或者密碼學(xué)方法進行加固。
靈活的5G安全架構(gòu)
多層次的隔離能力
5G 網(wǎng)絡(luò)切片借助于網(wǎng)絡(luò)虛擬化技術(shù),在 5G 基礎(chǔ)設(shè)施上細分出功能完整的邏輯網(wǎng)絡(luò),為垂直行業(yè)用戶提供專用的、安全的、差異化的網(wǎng)絡(luò)服務(wù)。
區(qū)別于傳統(tǒng)物理專網(wǎng)的私有性與封閉性,5G 網(wǎng)絡(luò)切片建立在開放環(huán)境下的虛擬化專用網(wǎng)絡(luò),為行業(yè)用戶提供端到端的安全隔離機制和定制化的安全服務(wù)機制。5G 網(wǎng)絡(luò)切片安全涵蓋無線側(cè)、承載側(cè)和核心網(wǎng)側(cè),除了提供傳統(tǒng)移動網(wǎng)絡(luò)安全機制(例如接入認證、接入層和非接入層信令安全、數(shù)據(jù)的加密和完整性保護等),還需要提供網(wǎng)絡(luò)切片之間端到端安全隔離機制,并根據(jù)用戶需要提供定制化的安全服務(wù)。
將切片技術(shù)應(yīng)用于垂直行業(yè),每個切片承載著特定的行業(yè)應(yīng)用,彼此相互隔離,可在網(wǎng)絡(luò)層面實現(xiàn)精細化管理。首先通過細分基礎(chǔ)網(wǎng)絡(luò),構(gòu)建不同粒度的切片域,顯著縮小被保護目標的攻擊面;其次能夠按照切片實施更細粒度、更嚴格的安全策略和更有針對性的管理手段,按需提供不同等級的安全服務(wù);最后切片之間采用嚴格的隔離措施,一方面能夠防范威脅向其他切片擴散,控制威脅的影響范圍,另一方面也能夠控制故障和異常的影響范圍。
圖 3 5G 網(wǎng)絡(luò)切片端到端安全隔離模型
豐富的安全開放能力
為更好地支持多樣化行業(yè)應(yīng)用場景,應(yīng)對各種行業(yè)應(yīng)用對網(wǎng)絡(luò)服務(wù)的差異化需求,5G 網(wǎng)絡(luò)引入了網(wǎng)絡(luò)能力開放機制,使得垂直行業(yè)能夠以便捷與低成本的方式獲得更加貼合自身需求的網(wǎng)絡(luò)服務(wù)。
網(wǎng)絡(luò)功能虛擬化、服務(wù)化是實現(xiàn)網(wǎng)絡(luò)能力開放的前提。安全功能作為主要網(wǎng)絡(luò)功能,需要借鑒網(wǎng)絡(luò)功能虛擬化和服務(wù)化的思想,構(gòu)建服務(wù)化安全功能。通過對傳統(tǒng)安全功能的虛擬化,可設(shè)計出滿足不同安全需求的虛擬安全功能單元,例如防火墻、接入認證、IPSec(網(wǎng)際協(xié)議安全 Internet Protocol Security)、SSL(安全套接層協(xié)議 Security SocketLayer) VPN(虛擬專用網(wǎng)絡(luò) Virtual Private Network)、入侵檢測、病毒檢測等。各虛擬安全功能單元通過按需調(diào)用不同基礎(chǔ)安全服務(wù)功能集來滿足安全功能可重構(gòu)、可裁剪的要求,實現(xiàn)安全功能服務(wù)化。
在切片編排部署過程中,能力開放引擎結(jié)合應(yīng)用的安全需求調(diào)用安全功能,使安全資源、網(wǎng)絡(luò)資源、數(shù)據(jù)資源在網(wǎng)絡(luò)切片中獨立提供,從而達到不低于傳統(tǒng)專網(wǎng)的安全保障和用戶體驗。
圖 4 安全服務(wù)虛擬化體系架構(gòu)示意圖
基于開放的安全能力,行業(yè)用戶可以針對性地對切片內(nèi)的網(wǎng)絡(luò)安全功能按需重構(gòu),使其更好地貼合網(wǎng)絡(luò)切片的業(yè)務(wù)特性。例如服務(wù)于車聯(lián)網(wǎng)(Vehicle to Everything:V2X)的低時延網(wǎng)絡(luò)切片,需要在網(wǎng)絡(luò)邊緣節(jié)點實例化一些必要的網(wǎng)絡(luò)功能,并選擇適應(yīng)低時延要求的認證方法、加密算法和密鑰長度,以便在時延約束下提供相應(yīng)的安全防護;對于服務(wù)于物聯(lián)網(wǎng)的網(wǎng)絡(luò)切片,可配置基本的控制面接入認證功能、虛擬物聯(lián)網(wǎng)網(wǎng)關(guān)以及安全態(tài)勢感知系統(tǒng)。
多元化的邊緣計算安全
多接入邊緣計算技術(shù)(MEC)是使能 5G 業(yè)務(wù)多元化的核心技術(shù)之一。MEC 將服務(wù)能力和應(yīng)用推進到網(wǎng)絡(luò)邊緣,部署位置更接近用戶,從而減少對傳輸網(wǎng)的帶寬壓力,大幅降低網(wǎng)絡(luò)時延,可滿足車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等低時延業(yè)務(wù)的需求。
5G 網(wǎng)絡(luò)通過用戶面功能(User Plane Function:UPF)下沉部署、靈活分流等功能,實現(xiàn)對 MEC 的支持。MEC 平臺需要承載部分網(wǎng)絡(luò)功能和垂直行業(yè)應(yīng)用,如下圖所示:
圖 5 位于邊緣網(wǎng)絡(luò)的 MEC 平臺
由于部署的物理位置、網(wǎng)絡(luò)邊界和承載主體等方面的特殊性,使得行業(yè)客戶在使用 MEC 提供的服務(wù)時,特別關(guān)注行業(yè)數(shù)據(jù)資產(chǎn)的安全:
? 行業(yè)應(yīng)用和網(wǎng)絡(luò)功能共平臺部署時,網(wǎng)絡(luò)邊界模糊,如果缺乏信任、隔離等機制,容易滋生平臺內(nèi)部威脅(虛擬機逃逸、鏡像篡改、數(shù)據(jù)竊取等),增大了行業(yè)敏感數(shù)據(jù)資產(chǎn)泄露風(fēng)險;
? 為了提升業(yè)務(wù)體驗,縮短業(yè)務(wù)時延,通常使用用戶面?zhèn)鬏敼δ芟鲁痢⑿袠I(yè)服務(wù)接近用戶部署、安全機制輕量化等措施,可能導(dǎo)致資產(chǎn)數(shù)據(jù)在傳輸時面臨被竊取或被篡改的風(fēng)險。
對此,需要從平臺層、網(wǎng)絡(luò)層和業(yè)務(wù)管理層等多個方面對 MEC 進行安全加固,確保行業(yè)數(shù)據(jù)資產(chǎn)傳輸、處理、存儲過程中的安全。
MEC 是一個多元系統(tǒng),承載了移動通信網(wǎng)絡(luò)功能、網(wǎng)絡(luò)能力開放服務(wù)以及行業(yè)應(yīng)用等多個系統(tǒng),需要構(gòu)建有效的信任關(guān)系,為多系統(tǒng)的安全共存提供信任基礎(chǔ)。除了建立用戶、行業(yè)應(yīng)用及能力開放服務(wù)(如定位服務(wù))之間的信任關(guān)系,還需要考慮構(gòu)建移動終端、網(wǎng)絡(luò)切片與 MEC 平臺之間的信任。
MEC 平臺安全通過引入可信計算技術(shù),從系統(tǒng)啟動到上層應(yīng)用,逐級驗證,構(gòu)建可信的 MEC 平臺。平臺內(nèi)部也需要劃分不同的功能域,如管理域、核心網(wǎng)域、基礎(chǔ)服務(wù)域、第三方應(yīng)用域等,加強域間隔離和訪問控制。根據(jù)需要,可進一步部署入侵檢測技術(shù)、異常流量分析、反 APT 技術(shù)等,對惡意軟件、惡意攻擊等行為進行檢測,防止威脅橫向擴展。
MEC 節(jié)點位于網(wǎng)絡(luò)邊緣,處于運營商控制較弱的開放網(wǎng)絡(luò)環(huán)境中,數(shù)據(jù)竊取、泄露的風(fēng)險相對較高。為確保 MEC 上運行和存儲的行業(yè)客戶數(shù)據(jù)資產(chǎn)安全,需要對使用 MEC 的各方的行為執(zhí)行認證、授權(quán)、審計,對數(shù)據(jù)資產(chǎn)的所有權(quán)、使用權(quán)和運維權(quán)進行分權(quán)分域管理。在 MEC 部署及業(yè)務(wù)運行過程中,必須對 MEC 應(yīng)用可能涉及的數(shù)據(jù)進行識別,包括用戶標識、接入位置等,對安全要求高的數(shù)據(jù)需要采用加密方式存儲;對行業(yè)高價值資產(chǎn)數(shù)據(jù),應(yīng)使用 IPSec/TLS(傳輸層安全Transport Layer Security) 等安全傳輸方式,避免傳輸過程中數(shù)據(jù)泄露或被篡改。對數(shù)據(jù)處理、分析和使用,需要服從當(dāng)?shù)財?shù)據(jù)隱私法律法規(guī),結(jié)合數(shù)據(jù)操作對象的認證、授權(quán)等方式規(guī)范數(shù)據(jù)處理,并對操作過程進行記錄;如果涉及數(shù)據(jù)隱私,在使用之前需要對數(shù)據(jù)進行脫敏處理。
端到端的數(shù)據(jù)安全保護
用戶數(shù)據(jù)在傳輸過程中存在被竊聽、篡改、泄露等安全威脅。為降低 5G 行業(yè)應(yīng)用中數(shù)據(jù)安全風(fēng)險,5G 提供了更強壯的數(shù)據(jù)安全保護方法。
在機密性保護的密碼算法方面,5G 延用了 4G 所采用的 AES(高級加密標準 Advanced Encryption Standard)、SNOW3G(3GPP 流密碼算法)、ZUC(祖沖之密碼算法)等算法,這些算法采用 128 位密鑰長度,被業(yè)界證明是安全的。同時,為應(yīng)對將來量子計算可能對對稱秘鑰體系的影響,考慮采用更長的安全秘鑰及更強的安全保護算法。為保護數(shù)據(jù)在網(wǎng)絡(luò)間傳輸,5G 新增了安全邊緣保護代理功能(Security Edge Protection Proxies:SEPP)。SEPP 在運營商之間建立 TLS 安全傳輸通道,對需要保護的信息進行機密性和完整性保護,有效防止數(shù)據(jù)在網(wǎng)間傳輸時被篡改或竊聽。
隨著科技的發(fā)展,偽基站對移動網(wǎng)絡(luò)的危害越來越大,攻擊者可誘導(dǎo)行業(yè)用戶接入到偽基站以非法獲取用戶數(shù)據(jù)信息。5G將對基站廣播或者單播消息進行安全保護,行業(yè)用戶在驗證消息合法后再接入,避免接入到非法的偽基站造成數(shù)據(jù)泄露。
此外,5G 針對行業(yè)應(yīng)用中的數(shù)據(jù)產(chǎn)生、處理、使用等環(huán)節(jié)提供了完整的安全保護。在數(shù)據(jù)產(chǎn)生和處理過程中,可根據(jù)數(shù)據(jù)的敏感度進行分類,建立不同安全域間的加密傳輸鏈路;根據(jù)不同的安全級別采用差異化的數(shù)據(jù)安全技術(shù);對數(shù)據(jù)使用方進行授權(quán)和驗證,保證數(shù)據(jù)使用的目的和范圍符合安全策略;并對重要業(yè)務(wù)數(shù)據(jù)的使用進行審計,最終為行業(yè)用戶提供數(shù)據(jù)的機密性和完整性保護。
先進的數(shù)據(jù)隱私保護
5G 提供了保證數(shù)據(jù)機密性、完整性和可用性的相關(guān)防護技術(shù)并對數(shù)據(jù)全生命周期實施安全保護。數(shù)據(jù)隱私保護在此基礎(chǔ)上,進一步防止個人隱私信息、重要敏感數(shù)據(jù)泄露。
在隱私保護技術(shù)上除了采用業(yè)界廣泛使用的數(shù)據(jù)脫敏技術(shù)之外,中興通訊首次將動態(tài)數(shù)據(jù)脫敏等功能應(yīng)用到數(shù)據(jù)隱私保護中,可同時進行動態(tài)脫敏和數(shù)據(jù)過濾,解決了實時處理場景下的隱私保護難題。
圖 6 多種技術(shù)全面保護數(shù)據(jù)隱私
中興通訊提出了一種基于大數(shù)據(jù)引擎原生代碼的數(shù)據(jù)脫敏架構(gòu),可以在不改變用戶請求邏輯及數(shù)據(jù)原始值的前提下,利用數(shù)據(jù)庫引擎自身的分布式處理能力,實現(xiàn)數(shù)據(jù)脫敏高性能處理。處理過程對用戶完全透明,用戶不感知數(shù)據(jù)保護過程,可實現(xiàn)無縫透明地敏感數(shù)據(jù)保護。
匿名化算法是目前數(shù)據(jù)安全領(lǐng)域的研究熱點之一,中興通訊提出了全新的基于 Spark 引擎的數(shù)據(jù)匿名化框架,使用Spark 分布式并行計算框架,重點考慮算法的并行性,同時支持 K- 匿名化(K-anonymity),L- 多樣性(L-diversity)、T– 近鄰 (T-closeness),支持單表億條記錄匿名化處理,適用于處理各類數(shù)據(jù),算法通用性高,保證發(fā)布數(shù)據(jù)的真實性,有效防止鏈接攻擊,實現(xiàn)對各種數(shù)據(jù)的高效匿名化處理。
面向5G行業(yè)的 新型防御技術(shù)
除了傳統(tǒng)安全防護手段,5G 行業(yè)應(yīng)用還需要研究和引入新型網(wǎng)絡(luò)防御技術(shù),不斷從多個維度增強網(wǎng)絡(luò)安全能力,為 5G 行業(yè)應(yīng)用的健康和持續(xù)發(fā)展提供多重保障。
智能化的高級持續(xù)性威脅防御
在眾多威脅形式中,破壞性較大的要數(shù)高級持續(xù)性威脅 APT。自 2010 年極光、震網(wǎng)攻擊發(fā)生以來,針對重要基礎(chǔ)設(shè)施攻擊事件層出不窮,也是 5G 行業(yè)應(yīng)用中面臨的最大挑戰(zhàn)。在 2019 年 12 月 1 日將正式實施的網(wǎng)絡(luò)安全等級保護 2.0 標準中,抗 APT 攻擊技術(shù)被列為確保行業(yè)網(wǎng)絡(luò)安全的必備測評項。
為應(yīng)對 APT 攻擊對 5G 網(wǎng)絡(luò)乃至其相關(guān)行業(yè)用戶所帶來的安全威脅,中興通訊提出基于態(tài)勢感知理念的高級威脅防御方案,使 5G 及其行業(yè)應(yīng)用網(wǎng)絡(luò)具備高級威脅防御能力。APT 攻擊旨在干擾基礎(chǔ)設(shè)施運行及破壞其敏感信息,其攻擊鏈分為偵查探測、滲透利用、命令控制、橫向移動、數(shù)據(jù)泄露破壞等幾個過程。中興通訊的高級威脅防御方案,圍繞 APT 攻擊過程,基于行為檢測原理,從惡意軟件和異常流量兩個角度出發(fā),提供全面、智能化檢測機制,并將人工智能技術(shù)運用于威脅檢測及事件關(guān)聯(lián)分析,提升威脅檢測準確率,預(yù)測威脅態(tài)勢。
精細化的微分段技術(shù)
傳統(tǒng)網(wǎng)絡(luò)防御手段遵循邊界防御的思路,將防御重點放在網(wǎng)絡(luò)邊界上,以阻止網(wǎng)絡(luò)攻擊進入內(nèi)網(wǎng)。隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展,網(wǎng)絡(luò)已經(jīng)找不到清晰的邊界,惡意軟件通過各種渠道進入內(nèi)網(wǎng),在內(nèi)網(wǎng)通過主機到主機直接傳播,迅速擴散。由于內(nèi)網(wǎng)流量控制手段有限,即使能發(fā)現(xiàn)入侵,到有效控制也需要一個漫長的過程(如封端口、打補丁、升級病毒庫等)。
中興通訊提出的微分段技術(shù),實現(xiàn)了更精細化的流量可視、威脅分析、安全管控及自動響應(yīng),保證了主機之間、虛擬機之間甚至進程之間的流量得到嚴密管控。在 5G 行業(yè)應(yīng)用中,微分段以純軟件方式部署在云計算平臺上,作為安全管理系統(tǒng)的組成部分,為流量精細化管控和流量可視化等功能提供支持。安全管理系統(tǒng)根據(jù)每個應(yīng)用層功能的業(yè)務(wù)特性和管控要求形成精細化的安全策略,下發(fā)給底層的安全模塊,由安全模塊實施這些安全策略。同時,安全模塊根據(jù)需要采集流量日志,提交給安全管理系統(tǒng),供安全管理系統(tǒng)進一步進行異常流量分析與診斷等操作。
動態(tài)化的主動防御
針對傳統(tǒng)網(wǎng)絡(luò)安全被動防御、易攻難守的局面,學(xué)術(shù)界提出了動態(tài)主動防御的思想,通過技術(shù)手段對被保護目標的攻擊面實施持續(xù)性的動態(tài)變換,迷惑攻擊者,從而增加攻擊者實施攻擊的難度和代價,降低其攻擊成功的概率,提高系統(tǒng)彈性和安全性。
基于動態(tài)主動防御的思想,中興通訊分別提出了動態(tài)網(wǎng)絡(luò)防御方案和多版本編譯方案,前者應(yīng)用于網(wǎng)絡(luò)層,動態(tài)變換被防護目標的網(wǎng)絡(luò)參數(shù),后者應(yīng)用于終端和服務(wù)器的軟件系統(tǒng),部署異構(gòu)主機系統(tǒng),從而構(gòu)建從主機到網(wǎng)絡(luò)的端到端的動態(tài)防御體系。
動態(tài)網(wǎng)絡(luò)防御方案
動態(tài)網(wǎng)絡(luò)防御方案將動態(tài)主動防御思想應(yīng)用于 IP 網(wǎng)絡(luò),重點保護行業(yè)用戶的業(yè)務(wù)服務(wù)器。動態(tài)網(wǎng)絡(luò)防御方案通過改變網(wǎng)絡(luò)的通信參數(shù),使得被防護目標的攻擊面不斷隨機變化,讓攻擊者難以識別目標節(jié)點或服務(wù)入口,無法有效偵測網(wǎng)絡(luò)拓撲信息和主機信息,從而阻止網(wǎng)絡(luò)攻擊行為的發(fā)生。
多版本編譯方案
多版本編譯采用安全的動態(tài)編譯技術(shù),對同源的軟件進行動態(tài)編譯,改變攻擊過程所依賴的系統(tǒng)規(guī)律,生成具有隨機、多樣性特征的版本,使可能的攻擊路徑呈現(xiàn)出很強的動態(tài)性、異構(gòu)性、隨機性等不確定性特點,使攻擊者難以觀察和作出預(yù)測,增大了構(gòu)建基于漏洞和后門等的攻擊鏈難度與代價,從而在無需增加防御流程的前提下實現(xiàn)系統(tǒng)主動防御功能。
行業(yè)應(yīng)用安全治理與評估
5G 網(wǎng)絡(luò)與垂直行業(yè)的融合,在打破 5G 網(wǎng)絡(luò)基礎(chǔ)設(shè)施的天然隔離屏障的同時,也使得行業(yè)客戶在使用 5G 網(wǎng)絡(luò)時增加了風(fēng)險。5G 網(wǎng)絡(luò)一方面需要面向產(chǎn)業(yè)互聯(lián)網(wǎng),重構(gòu)安全治理體系、評估體系和運維體系,為行業(yè)用戶提供持續(xù)、可信、安全的網(wǎng)絡(luò)服務(wù);另一方面,為了建立多條安全防線,還需要將行業(yè)客戶引入到 5G 網(wǎng)絡(luò)的治理工作中來,為客戶提供深層次治理能力。
5G 設(shè)備供應(yīng)商是 5G 供應(yīng)鏈重要的組成部分,其安全治理水平?jīng)Q定了 5G 網(wǎng)絡(luò)的安全基礎(chǔ)。中興通訊作為領(lǐng)先的 5G 綜合解決方案提供商,深刻理解消費者、客戶、政府及相關(guān)組織對網(wǎng)絡(luò)安全方面的關(guān)切與重視,構(gòu)筑了一流的安全治理體系,從多角度保障產(chǎn)品及服務(wù)的安全性,實現(xiàn)產(chǎn)品和服務(wù)端到端的安全交付,為客戶提供端到端產(chǎn)品和服務(wù)的安全保障。同時,中興通訊秉承透明、開放、信任、合作的理念,堅持實行持續(xù)的、全面的安全審計,采用了面向產(chǎn)品全生命周期的數(shù)據(jù)保護方法,并與全球知名第三方安全評測與認證機構(gòu)合作,對產(chǎn)品與服務(wù)的安全性進行獨立測試與評估。中興通訊已在國內(nèi)及海外多地籌建安全實驗室,客戶與獨立評測機構(gòu)可對中興通訊提供的 5G 產(chǎn)品進行更加透明的檢視與審查,以進一步提升對中興通訊 5G 產(chǎn)品與服務(wù)安全性的信心。
隨著 IT 與 OT 的融合,OT 安全成為垂直行業(yè)安全的核心。不同于 IT 領(lǐng)域,OT 領(lǐng)域有自己的運營模式與行業(yè)特征,對于 OT 資產(chǎn)的安全防御,從供應(yīng)鏈安全到系統(tǒng)安全設(shè)計、安全運營以及事件響應(yīng),都需要針對性的治理措施。隨著網(wǎng)絡(luò)安全等級保護進入2.0時代,傳統(tǒng)網(wǎng)絡(luò)安全、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、云計算、大數(shù)據(jù)等在內(nèi)所有的新技術(shù)都將納入監(jiān)管,因此需要運用并發(fā)展新的安全模型和安全方法論來支撐構(gòu)建更加完善的垂直行業(yè)安全治理體系。
未來及展望
隨著 5G 商業(yè)化進程加速,5G 網(wǎng)絡(luò)和垂直行業(yè)深度結(jié)合,新型業(yè)務(wù)場景不斷涌現(xiàn),新技術(shù)大規(guī)模使用,將對網(wǎng)絡(luò)與信息安全提出更多新的挑戰(zhàn)。中興通訊將繼續(xù)以安全、合規(guī)為基石,不斷完善產(chǎn)品安全治理體系,加強安全技術(shù)和方法的研究,強化產(chǎn)品安全競爭力。同時,中興通訊將持續(xù)與行業(yè)客戶、合作伙伴、政府、運營商、標準組織開展更加緊密的合作,推動端到端的行業(yè)安全實踐,驅(qū)動安全能力不斷創(chuàng)新,從容應(yīng)對未來的安全挑戰(zhàn),持續(xù)地提供安全可信的產(chǎn)品和服務(wù),以滿足新技術(shù)、新應(yīng)用、新模式的安全保障需求。
縮略語
參考文獻
[1] 3GPP TS 33.501. Security Architecture and Procedures for 5G System[S], 3GPP.
[2] 5G-ENSURE_D2.7 Security Architecture[R], 5GPPP.
[3] ETSI GS MEC-002. MEC Technical Requirements[S], ETSI.
[4] IMT-2020 5G Network Security Requirement & Architecture[R], IMT-2020.
[5] GTI 5G Network Security Consideration[R], GTI
[6] ZHAO Fuchuan, WEN Jianzhong. Slicing Packet Network Infrastructure and KeyTechnologies for 5G Mobile Backaul[J], ZTE TECHNOLOGY,2018.8.
[7] Recommendation ITU-T X.rdmase: Requirements and Guidelines for DynamicMalware Analysis in a Sandbox Environment[R], ITU-T.
[8] 陸平 , 李建華 , 趙維鐸 . 5G 在垂直行業(yè)中的應(yīng)用 [J]. 中興通訊技術(shù) , 25(1):67-74. DOI:10.12142/ZTETJ.20190111
[9] 5G 信息安全白皮書 [R]. 未來移動通信論壇 , 2017