文│ 新华三集团安全研究院院长 顾成杰
一、5G网络安全风险分析
二、5G安全对策研究
5G网络带来的新安全风险与挑战,需要我们设计灵活可扩展的5G 安全架构,以满足5G支撑的各类新兴的业务需求;实现多层次的切片安全,为5G 网络不同业务提供安全分级服务;建立端到端身份管理机制,提供统一身份认证管理能力;将AI技术应用到安全防护中,提供智能安全防护能力。
1. 安全可信网络架构
5G引入SDN/NFV技术和网络切片概念之后,5G 网络呈现出虚拟化、软件化、开放化等特点,促使安全架构需要实现对虚拟化安全技术的支持,构建以虚拟化资源和虚拟功能为中心的安全防护体系。同时,充分利用虚拟化、软件化、软硬件解耦等5G网络架构优势,构建基于内生安全的5G安全可信网络架构,实现从过去外挂式防护到内生式安全的变革。
内生式的5G安全可信网络架构除满足基本通信安全外, 还需要提供虚拟化组件安全,保障NFV/SDN等相关的虚拟机及虚拟机间通信安全和数据安全;提供网络切片安全,实现切片安全隔离、切片安全接入、切片通信安全等功能;提供个性化安全服务,能够实现不同用户、不同应用场景与不同安全策略的相对应;提供统一端到端认证管理机制,能够兼容海量接入终端的多种认证体制,为各类终端提供无差别无感的统一认证服务。
2. 安全功能按需编排
相比于传统3G/4G网络,5G网络本质上是一种按需编排的云化网络,通过更灵活地控制和转发机制、更泛在的接入方式,除了可以为各垂直行业提供差异性的连接服务之外,还能按需提供差异化的安全防护能力。
针对不同用户提供差异化的安全防护能力,实现安全功能服务化,将虚拟化的安全功能按需编排到网络切片中,使不同等级的安全资源在相应的网络切片中独立提供。各个虚拟安全节点根据用户和业务需要调用诸如防火墙、入侵检测、负载均衡、访问控制、病毒检测等基础安全能力集,从而实现性能可定制、功能可组合的要求。
3. 统一身份认证管理
由于5G 支持多种接入技术,诸如4G 接入、5G 接入及WLAN 接入等。针对异构接入技术和设备/用户接入网络的问题,5G网络需要为各种设备提供统一接入认证服务,支持海量异构的用户和终端接入,不同接入体制的终端设备都能无缝接入5G 网络,实现在不同接入网间无缝切换,完成多场景多业务下的海量终端/用户的身份鉴权。
由于5G网络需要支持不同网络切片、不同网络域之间的身份认证与信任关系传递,需要建立统一身份认证机制。统一身份认证机制通过标识技术对所有接入5G网络的实体进行唯一标识映射,达到网络空间与物理空间的对应,实现不同的用户、网元、应用、设备等实体向网络空间的映射,解决网络中身份标识和身份管理问题。
4. AI赋能智能防护
面对5G网络中诸如AI攻击、加密攻击等新型安全挑战,人工智能技术成为是应对安全挑战的有效利器,可以从大量结构繁多、来源不同且类型复杂多样的安全日志数据中挖掘隐藏规律,实现从海量安全日志数据向有价值威胁告警信息的转化。
利用机器学习构建“安全大脑”,充分利用云端的检测能力,结合安全情报,对海量的安全信息进行自动分析与深度挖掘,及时掌握网络的安全状况和趋势,提前制定有预见性的应急预案,实现“云网边端”协同联动,形成实时、智能、敏捷的智能防护体系,提升应对5G网络安全威胁的能力,能够更高效、更精准、更快速、更耐受的处理网络安全问题。
(本文刊登于《中国信息安全》杂志2020年第7期)
更多信息安全资讯
请关注“中国信息安全”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论