专题·原创 | 面向“新基建”的5G网络安全风险分析与对策研究

文│ 新华三集团安全研究院院长  顾成杰

5G网络带来的新安全风险与挑战，需要我们设计灵活可扩展的5G 安全架构,以满足5G支撑的各类新兴的业务需求；实现多层次的切片安全,为5G 网络不同业务提供安全分级服务；建立端到端身份管理机制，提供统一身份认证管理能力；将AI技术应用到安全防护中，提供智能安全防护能力。

1. 安全可信网络架构

5G引入SDN/NFV技术和网络切片概念之后，5G 网络呈现出虚拟化、软件化、开放化等特点，促使安全架构需要实现对虚拟化安全技术的支持，构建以虚拟化资源和虚拟功能为中心的安全防护体系。同时，充分利用虚拟化、软件化、软硬件解耦等5G网络架构优势，构建基于内生安全的5G安全可信网络架构，实现从过去外挂式防护到内生式安全的变革。

内生式的5G安全可信网络架构除满足基本通信安全外， 还需要提供虚拟化组件安全，保障NFV/SDN等相关的虚拟机及虚拟机间通信安全和数据安全；提供网络切片安全，实现切片安全隔离、切片安全接入、切片通信安全等功能；提供个性化安全服务，能够实现不同用户、不同应用场景与不同安全策略的相对应；提供统一端到端认证管理机制，能够兼容海量接入终端的多种认证体制，为各类终端提供无差别无感的统一认证服务。

2. 安全功能按需编排

相比于传统3G/4G网络，5G网络本质上是一种按需编排的云化网络，通过更灵活地控制和转发机制、更泛在的接入方式，除了可以为各垂直行业提供差异性的连接服务之外，还能按需提供差异化的安全防护能力。

针对不同用户提供差异化的安全防护能力，实现安全功能服务化，将虚拟化的安全功能按需编排到网络切片中，使不同等级的安全资源在相应的网络切片中独立提供。各个虚拟安全节点根据用户和业务需要调用诸如防火墙、入侵检测、负载均衡、访问控制、病毒检测等基础安全能力集，从而实现性能可定制、功能可组合的要求。

3. 统一身份认证管理

由于5G 支持多种接入技术，诸如4G 接入、5G 接入及WLAN 接入等。针对异构接入技术和设备/用户接入网络的问题,5G网络需要为各种设备提供统一接入认证服务，支持海量异构的用户和终端接入，不同接入体制的终端设备都能无缝接入5G 网络，实现在不同接入网间无缝切换，完成多场景多业务下的海量终端/用户的身份鉴权。

由于5G网络需要支持不同网络切片、不同网络域之间的身份认证与信任关系传递，需要建立统一身份认证机制。统一身份认证机制通过标识技术对所有接入5G网络的实体进行唯一标识映射，达到网络空间与物理空间的对应，实现不同的用户、网元、应用、设备等实体向网络空间的映射，解决网络中身份标识和身份管理问题。

4. AI赋能智能防护

面对5G网络中诸如AI攻击、加密攻击等新型安全挑战，人工智能技术成为是应对安全挑战的有效利器，可以从大量结构繁多、来源不同且类型复杂多样的安全日志数据中挖掘隐藏规律，实现从海量安全日志数据向有价值威胁告警信息的转化。

利用机器学习构建“安全大脑”，充分利用云端的检测能力，结合安全情报，对海量的安全信息进行自动分析与深度挖掘，及时掌握网络的安全状况和趋势，提前制定有预见性的应急预案，实现“云网边端”协同联动，形成实时、智能、敏捷的智能防护体系，提升应对5G网络安全威胁的能力，能够更高效、更精准、更快速、更耐受的处理网络安全问题。

（本文刊登于《中国信息安全》杂志2020年第7期）