专题·原创 | 面向“新基建”的5G网络安全风险分析与对策研究

  • A+
所属分类:安全闲碎
专题·原创 | 面向“新基建”的5G网络安全风险分析与对策研究
点击上方“中国信息安全 可订阅

文│ 新华三集团安全研究院院长  顾成杰

作为“新基建”的关键领域,5G网络面临的安全风险前所未有,直接影响公众生活、社会稳定和国家安全。


一、5G网络安全风险分析

5G网络是移动通信技术与人工智能、云计算、大数据、等技术的高度融合以及系统架构的创新,涉及网络核心和管理架构以及通信协议的变革,而这些变革将使5G将带来更复杂的安全挑战。主要包括:网络架构服务化、业务场景切片化、海量终端异构化和威胁攻击边缘化等四个方面。
1. 网络架构服务化
5G网络架构通过软件定义网络(SDN)和网络功能虚拟化(NFV)技术,解耦了设备的控制面和数据面,实现控制和转发的进一步分离;进一步引入网络切片(Slice)覆盖各大场景差异化性能需求,在此基础上构建面向服务的网络架构(SBA)。这些新技术的使用也带来了新的安全风险。
5G面向服务的网络架构使得传统网络安全由安全可靠的物理环境和物理隔离提供安全保障的策略彻底失效。一方面由于计算、存储及网络资源虚拟化,模糊了传统网络边界,会引入虚拟机安全及虚拟机间的通信安全、虚拟化软件安全、数据安全等问题;另一方面,硬件集中化部署会导致漏洞更容易被攻击者发现、病毒更容易迅速传播。控制平面和数据平台的分层解耦、用户业务的开放性和多厂商设备集成也会给5G核心网云化平台的安全可信带来前所未有的挑战。同时,5G网络这种服务化架构对安全运维人员提出了更高的要求。 
2. 业务场景切片化
5G网络是一个面对大量行业应用场景的网络,需要针对eMBB、mMTC和uRLLC三种应用场景提供不同需求的网络切片。5G网络切片通过统一基础设施承载,为用户提供不同业务的数据传输,同时也提供差异化安全服务。由于不同的网络切片共享网络基础设施但承载不同的5G业务,这就要求网络切片具有安全隔离能力,另外,如果网络切片的认证和鉴权能力不足,则可能造成敏感信息和个人隐私数据泄漏。
3. 海量终端异构化
5G网络不仅用于人与人的通信,还用于人与物、物与物的通信,5G网络不再是一个主要面向消费者的网络,而是有着大量行业应用场景的网络,这些场景下主要包括工业控制、自动驾驶、智慧城市、远程办公、视频电话会议等应用需求,为此,5G网络需要支持多样化的接入终端,多种异构接入类型和接入技术。接入终端包括平板电脑、移动电话、各类物联网设备以及工业设备等。这些海量接入终端类型复杂多样、安全能力差异巨大、接入技术迥异、地理分散、各种应用需求复杂。因此,海量异构终端可能被利用成为新攻击源或者成为攻击对象,给5G网络带来安全风险。
例如,在百万级低功耗物联网设备场景下,一旦这些终端被攻击者利用,形成规模化的僵尸网络,会被黑客控制对关键基础设施等发起分布式拒绝服务攻击;另外,由于物联网设备种类众多和应用场景多元化,目前还缺乏统一的身份标识和认证管理,需要统一的端到端身份认证和访问控制机制,提供不同等级的安全访问服务。
4. 威胁攻击边缘化
边缘计算技术(MEC)是5G网络的核心技术之一,是采用分布式技术,在5G网络边缘、靠近用户的位置上提供计算能力,把服务的计算和决策能力下沉到边缘,而不是集中到云端,提供超低时延的同时也能够降低高带宽业务的数据流对核心网的压力,提升用户体验。
边缘计算使计算和决策下沉到网络边缘,带来便利的同时也带来了安全风险和挑战。由于性能、成本、部署灵活性要求等多种因素制约,MEC节点的安全能力不够完善,可抵御的攻击种类和抵御单个攻击的强度不够,容易被攻击,将导致包括接入终端、终端应用等都暴露在复杂多变、管理控制能力缺失的环境里,使边缘节点更容易遭到非授权访问、敏感数据泄露、恶意数据伪造等威胁,被攻击后可能会造成物理设备毁坏、服务中断、用户隐私和数据泄露等严重后果;同时当MEC服务由第三方提供时,也面临着认证与鉴权等安全问题。


二、5G安全对策研究

5G网络带来的新安全风险与挑战,需要我们设计灵活可扩展的5G 安全架构,以满足5G支撑的各类新兴的业务需求;实现多层次的切片安全,为5G 网络不同业务提供安全分级服务;建立端到端身份管理机制,提供统一身份认证管理能力;将AI技术应用到安全防护中,提供智能安全防护能力。

1. 安全可信网络架构

5G引入SDN/NFV技术和网络切片概念之后,5G 网络呈现出虚拟化、软件化、开放化等特点,促使安全架构需要实现对虚拟化安全技术的支持,构建以虚拟化资源和虚拟功能为中心的安全防护体系。同时,充分利用虚拟化、软件化、软硬件解耦等5G网络架构优势,构建基于内生安全的5G安全可信网络架构,实现从过去外挂式防护到内生式安全的变革。

内生式的5G安全可信网络架构除满足基本通信安全外, 还需要提供虚拟化组件安全,保障NFV/SDN等相关的虚拟机及虚拟机间通信安全和数据安全;提供网络切片安全,实现切片安全隔离、切片安全接入、切片通信安全等功能;提供个性化安全服务,能够实现不同用户、不同应用场景与不同安全策略的相对应;提供统一端到端认证管理机制,能够兼容海量接入终端的多种认证体制,为各类终端提供无差别无感的统一认证服务。

2. 安全功能按需编排

相比于传统3G/4G网络,5G网络本质上是一种按需编排的云化网络,通过更灵活地控制和转发机制、更泛在的接入方式,除了可以为各垂直行业提供差异性的连接服务之外,还能按需提供差异化的安全防护能力。

针对不同用户提供差异化的安全防护能力,实现安全功能服务化,将虚拟化的安全功能按需编排到网络切片中,使不同等级的安全资源在相应的网络切片中独立提供。各个虚拟安全节点根据用户和业务需要调用诸如防火墙、入侵检测、负载均衡、访问控制、病毒检测等基础安全能力集,从而实现性能可定制、功能可组合的要求。

3. 统一身份认证管理

由于5G 支持多种接入技术,诸如4G 接入、5G 接入及WLAN 接入等。针对异构接入技术和设备/用户接入网络的问题,5G网络需要为各种设备提供统一接入认证服务,支持海量异构的用户和终端接入,不同接入体制的终端设备都能无缝接入5G 网络,实现在不同接入网间无缝切换,完成多场景多业务下的海量终端/用户的身份鉴权。

由于5G网络需要支持不同网络切片、不同网络域之间的身份认证与信任关系传递,需要建立统一身份认证机制。统一身份认证机制通过标识技术对所有接入5G网络的实体进行唯一标识映射,达到网络空间与物理空间的对应,实现不同的用户、网元、应用、设备等实体向网络空间的映射,解决网络中身份标识和身份管理问题。

4. AI赋能智能防护

面对5G网络中诸如AI攻击、加密攻击等新型安全挑战,人工智能技术成为是应对安全挑战的有效利器,可以从大量结构繁多、来源不同且类型复杂多样的安全日志数据中挖掘隐藏规律,实现从海量安全日志数据向有价值威胁告警信息的转化。

利用机器学习构建“安全大脑”,充分利用云端的检测能力,结合安全情报,对海量的安全信息进行自动分析与深度挖掘,及时掌握网络的安全状况和趋势,提前制定有预见性的应急预案,实现“云网边端”协同联动,形成实时、智能、敏捷的智能防护体系,提升应对5G网络安全威胁的能力,能够更高效、更精准、更快速、更耐受的处理网络安全问题。

(本文刊登于《中国信息安全》杂志2020年第7期)



专题·原创 | 面向“新基建”的5G网络安全风险分析与对策研究
专题·原创 | 面向“新基建”的5G网络安全风险分析与对策研究
专题·原创 | 面向“新基建”的5G网络安全风险分析与对策研究
专题·原创 | 面向“新基建”的5G网络安全风险分析与对策研究

扫码关注我们

更多信息安全资讯

请关注“中国信息安全”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: