5G安全内生已成行业共识:唯有同步规划、建设、运行的网络安全保障系统,方能有效保障5G网络与应用安全。
2020年是5G安全起点。5G内生安全重点是实现软件定义的安全组网与接入、统一的身份管理、边云协同的数据安全、全生命周期的应用安全,并实现开放的安全能力。
一、5G内生安全成为业界共识
随着我国5G网络建设和商用的全面展开,5G安全问题日益受到广泛关注。政府及相关机构有步骤的推进5G安全工作,IMT2020(5G)推进组专门成立安全工作组。5G设备厂商、运营商及产业链上下游企业积极开展5G安全技术的研究和部署。
5G安全带来全新挑战:它与传统的信息系统和网络安全有很大不同。5G网络泛在物联接入、新型组网与接入方式、边缘数据中心及服务化架构的核心网带来新的安全需求。
传统“外挂式”的安全模式导致网络安全与信息系统、业务应用是两套独立体系,这种建设方式难以适应5G安全建设的需要。
如何才能应对5G安全建设的挑战呢?
在4月17日召开的数字基础设施建设推进专家研讨会上,工业和信息化部副部长陈肇雄强调,与(5G等)数字基础设施同步规划、建设、运行网络安全保障系统,加强5G、工业互联网、数据中心、云平台等设施的安全保障,确保数字基础设施安全平稳可靠运行。
中国工程院院士邬贺铨此前也在《中国电子报》发文指出:很多安全挑战是内生的,需要增强免疫能力,从基础设施技术开发与网络设计开始就要有内生的安全理念,网络安全能力与基础设施是一个整体,网络安全能力需与基础设施同步建设并融入其中。
自2019年8月,奇安信在北京网络安全大会(BCS)上率先提出“内生安全”的理念。内生安全迅速成为ICT业界的广泛共识。
在5G安全领域,我国拥有自主的5G技术、产品和产业,具备实践内生安全的充足条件。目前,内生安全已经得到5G设备商、运营商、平台商、网络安全企业和行业应用单位等整个生态链条的广泛认同,正在付诸实践。
通过实现网络安全能力与5G系统的聚合、业务数据和安全数据的聚合、信息化人员与安全人员的聚合,安全可以更深入、更细致、更贴合5G安全真正的内在需求。
二、5G安全的全新需求
5G内生安全需求不仅包括5G信息基础设施的安全,还包括数据安全、应用安全等层面,涵盖了5G网络规划、建设、运营等各个阶段。
在基础设施安全层面,安全的内生性主要体现在安全与信息系统的融合。核心需求包括5G新型网络边界安全、网络切片安全和边缘计算的安全。
在数据安全、应用安全方面,安全的内生性主要体现在安全与业务的融合。着重增强移动宽带(eMBB)、低延时高可靠(uRLLC)、低功耗大连接(mMTC)三大核心应用场景的定制化安全需求以及在不同行业的组合应用。
1、关键信息基础设施安全
5G网络与传统网络有较大的差异。其泛在物联接入、新型组网与接入方式、边缘数据中心及服务化架构的核心网带来新的安全需求。从网络安全厂商的角度,新网络边界、网络切片和边缘计算,是当面5G基础设施层面重点关注的安全问题。
图1. 5G核心网带来新的安全需求 来源:奇安信集团, 2019
(1) 5G新网络边界安全
5G由终端侧、接入网、边缘侧、承载网、核心网几部分构成,打破了传统网络端边云的网络架构,需要重新定义网络边界。
- 在终端侧,5G终端种类繁多,应用复杂,存在身份仿冒、信号欺骗、设备劫持、数据篡改、故障注入等一系列安全问题。
- 在接入网,5G终端的接入以无线接入为主,存在DDOS攻击、网络窃听、网络渗透、无线信号干扰等问题。
- 在边缘侧,由于边缘结构多样及边云协同的需要,数据与业务交互频繁,存在数据窃取、横向渗透、隐私泄露、内容仿冒、权限盗用等问题。
- 在承载网,传统网络安全问题仍然是主要威胁,包括DDOS攻击、网络窃听、网络渗透和网络阻断等。
- 在核心网,由于广泛采用虚拟化和软件定义的网络与计算环境,安全问题包括针对云平台的横向渗透、身份仿冒、权限盗用、地址欺骗、虚假规则等,针对数据的隐私泄露、数据篡改、数据窃取、权限盗用等,以及针对应用的内容仿冒、权限滥用、非法调用等。
(2)5G网络切片安全
网络切片是5G网络的关键技术特点,采用SDN和NFV等技术实现物理网络的灵活划分,应对不同的应用场景。与此同时,SDN和NFV技术也面临新的安全威胁与需求。
- SDN的安全 控制平面:集中化的控制平面承载网络环境中的所有控制流,是网络服务的中枢。面临网络监听、IP 地址欺骗、DoS/DDoS 攻击和病毒木马攻击的威胁。用户平面:数据处理、转发和状态收集,对控制器下发的流规则信任,面临恶意/虚假流规则注入、DoS/DDoS攻击、非法访问、身份假冒等问题,还可能面临由虚假控制器的无序控制指令导致的交换机流表混乱等威胁。 外部接口:南向接口协议安全问题,窃听、控制器假冒等安全威胁。北向接口的开放性和可编程性,面临非法访问、数据泄露、消息篡改、身份假冒、应用程序自身的漏洞等问题。
- NFV的安全NFV将网络功能整合到行业标准的服务器、交换机和存储硬件上,提供优化的虚拟化数据平面,可通过服务器上运行的软件让管理员取代传统物理网络设备,因此NFV在基础设施和虚拟化方面存在安全威胁,包括:基础设施安全:跨域数据泄露、虚拟化平台安全威胁、密钥泄露、网络配置安全。虚拟化安全:Hypervisor安全、虚拟机安全。虚拟网元(VNF)安全:权限管理复杂、远程调试和监测漏洞、数据窃取与篡改。
(3)5G边缘计算安全
多接入边缘计算(MEC)是5G网络核心技术之一。它具备数据缓存、数据分析的能力,可以提高应用的实时性、可靠性。但在传统云端应用和功能往边缘侧迁移的过程中,带来了边缘侧新的安全问题,包括架构安全、功能安全、信任机制等方面。
- 架构安全MEC 节点靠近网络的边缘, 外部环境可信度降低, 管理控制能力减弱, 使得 MEC平台和 MEC 应用处于相对不安全的物理环境, 更容易遭受外部网络攻击,同时MEC内部应用种类繁多,权限复杂,安全管理难度增大。
- 功能安全部分核心网功能跟随 MEC 下沉到边缘数据中心, 增大了核心网面临的攻击面。同时用户发生跨节点切换将面临站点间相互信任、 网络连接上下文如何安全传递等安全问题。
- 信任机制MEC是一个多元化的系统,包括用户、 行业应用及 MEC 服务之间的信任,移动终端、 网络切片、 MEC 平台之间的信任,跨区域、跨平台、跨行业信任。需要为各系统之间构建有效的信任机制。
2、 5G业务应用安全
5G将多样化的应用统一到了一个网络中,凭借网络切片和边缘计算技术实现网络的划分和对应用的支撑,但是5G安全需求仍然呈现多样化的特点。这种特点体现在宽带、物联、工业三大典型应用场景安全需求的差异化,和不同行业对三大典型应用场景的细分与组合运用。
(1)三大典型应用场景的安全需求
在企业安全领域,安全需求以新一代企业分支组网为核心,综合了宽带网络、物联网、工业网络等多种网络和应用的接入,并在统一的框架下满足多样化的安全需求。
图2. 5G三大典型应用场景及安全需求 来源:奇安信集团, 2019
- 宽带接入安全其特点包括前期2C应用为主,中后期主要支持2B应用:车联网、安防、智慧医疗等。在网络安全方面以传统安全为主,侧重大流量高并发和空口安全,包括流量清洗、ipv6安全等;在空口安全方面包括频谱安全、空口协议等;其典型应用为移动视频类应用。
- 工业网络接入安全其特点为高安全+高可靠+低延时,安全不能影响业务实时性,主要靠切片安全实现。其安全能力内置,需要具备实时安全以满足实时系统、专用硬件/app的安全需要;切片安全以物理切片为主;典型应用为工业互联网应用。
- 物联网接入安全其特点为低功耗大连接。物联网终端种类繁多,呈现碎片化,包括各种嵌入式系统的安全需求和低功耗要求。物联网接入还存在环境可信的问题,即设备数字身份与物理实体之间需要绑定,因此需要同步进行物理环境的安全感知和网络环境的安全感知。
(2)重点行业应用的安全需求
以电力行业为例,5G灵活的网络切片和泛在网络接入的特点非常符合电网信息化的需要,主要体现在控制类、采集类和移动作业类业务方面。
5G控制类应用包括智能分布式配网差动保护以及精准负荷控制等,这类应用对带宽需求相对不高,但对低时延和大连接要求较高,同时需要很高的业务安全隔离和可靠性。
采集类终端包括低压用电信息采集和分布式新能源电源等,对带宽要求低而对实时性要求高,有很高的大连接要求,有较高的可靠性要求,但安全隔离要求较低。
移动作业类终端如智能巡检,对于低时延和大连接要求不高,但对带宽要求较高,同时要求较高的可靠性。5G电网应用安全需要将这些安全需求综合起来,在统一框架下分别满足不同细分业务种类的安全需求。
除了电力行业,5G网络在交通、制造、医疗等行业同样需要将细分场景下的差异化安全需求组合起来,并融合成统一的安全架构。在此不再一一赘述。
三、构建5G内生安全防线
随着5G新基建加快推进,安全防护工作必须同步开展,构建基于内生安全理念的5G安全新防线已经迫在眉睫。5G内生安全防线应打造融合的5G安全体系,重点实现软件定义的安全组网与接入、统一的身份管理、边云协同的数据安全、全生命周期的应用安全,并实现开放的安全能力。
1. 打造融合的安全体系
5G关键信息基础设施的发展对安全提出新的需求,需要打造融合的安全体系。5G安全体系整体呈现虚拟化、组件化、身份化、集成化、智能化的特点。具体见下图:
- 虚拟化:基础设施的虚拟化导致对安全虚拟化的需求。使用虚拟化安全技术保护边缘云和核心云,云化网络基础设施和虚拟网元安全。
- 组件化:安全需求的多样化和定制化要求安全能力快速建立和修改,安全部件分布式部署。
- 身份化:多角色、可扩展的身份管理,基于身份的跨区域认证与访问控制。
- 集成化:组件在基础架构内的自适应、与信息系统的聚合,提升协同能力。
- 可编排:安全防策略自动化配置,实现智能主动防御;
- 全场景:面向不同垂直行业的业务模式,支持差异化应用场景。
图3. 5G安全体系整体特点 来源:奇安信集团, 2019
为适应新的安全框架,需要开发完善新技术,开展一系列的试点应用。
2. 实现软件定义的安全组网接入
软件定义是5G网络核心技术,同样是5G安全的核心技术。通过软件定义,实现安全的企业虚拟组网,使得企业可以在5G基础设施上灵活方便的建设和改进自己的分支组网架构,并实现动态的网络安全域的划分和隔离防护。
图4. 软件定义实现安全的企业虚拟组网 来源:奇安信集团, 2019
安全能力是由软件定义,灵活扩展、不与硬件绑定。假设一种新的安全威胁出现,采用软件定义的方式,可以在不需要修改硬件的情况下快速部署新的安全能力,敏捷地应对快速变化的安全需求。安全能力的编排也是由软件定义,通过自动化编排,多种安全能力共享一个统一的上下文,快速高效响应安全事件。
安全能力部署在边缘云,建设动态调度、弹性扩展的安全资源池SD-WAN虚拟网络接入5G切片,实现细粒度安全管控。管控平台基于5G切片灵活组合安全策略,满足垂直行业个性需求,在边缘侧构建感知、分析、执行的闭环,实现关口前移。通过统一的管理和控制,对多种安全能力实现统一控制和展现。
3、实现统一的身份管理
5G网络与应用是一个庞大的生态,涉及包括设备商、运营商、平台商、安全商、用户单位及个人等诸多安全主体。在3GPP标准框架下已经实现了如SUSE、AKA等安全标识与认证机制,但仍需在此基础上建立统一的身份管理机制。
图5. 5G需建立统一身份管理机制 来源:奇安信集团, 2019
根据内生安全理念和关口前移思想,在5G网络边缘侧建立安全接入平台,统一对接终端侧的身份标识,并建立专用安全访问通道以适应网络切片的需求。对于用户访问,建立用户安全访问通道,通过可信访问代理进行连接,并加强用户访问应用的安全防护和API端口的安全防护。对于大流量的数据回传和机构与企业间数据共享,建立数据共享通道,通过可信API代理和应用前置满足高带宽、低延时的数据传输需求。对于海量终端数据采集,建立数据采集通道,通过边缘接入代理满足对海量终端数据汇集和低功耗的安全需求。
在云端或核心网数据中心建设身份安全管理平台,实现统一的身份管理、认证管理、权限管理,以及网络行为分析和动态访问控制。
4、实现边云协同的数据安全
边缘计算的广泛使用是5G应用的重要特点,也为数据安全带来新的挑战。一方面边缘数据中心不具备传统数据中心的安全防护条件,另一方面数据在云端和边缘侧交互,需要边云协同的数据安全能力。
边云协同的数据安全从数据的可视、可管、可控三个维度,做到对敏感数据的识别、发现和分类分级,通过加密、脱敏、掩码和授权管理等多种技术确保重要数据的有效保护,通过多因素认证、动态持续认证和访问控制等技术确保合法用户对敏感数据具有合理的授权访问,通过数据边界管理和控制确保数据在边缘和云端流转时的数据共享安全防泄漏,通过审计分析确保访问行为与内容的合规性。
5、实现全生命周期的应用安全
面向5G应用的开发流程,建立应用安全管理制度,制定应用开发管理要求、应用安全功能要求和安全开发编码规范,实现从应用安全设计到安全检测到安全运行的全生命周期应用安全保障能力。
在应用开发设计阶段,通过安全需求设计、安全架构设计、安全编码和代码评审确保安全能力融入到开发过程。在应用测试阶段,通过安全功能测试、性能测试、代码审计和渗透测试等测试工具确保应用上线前的安全检测。在应用运行阶段,通过统一访问控制实现对应用功能和接口的安全防护,并针对WEB攻击进行防护。同时加强对开发人员的安全管理和培训,从而实现全生命周期应用安全。
6、实现开放的安全能力
5G开放的安全能力包括安全资源、安全体系和行业应用3个层面,如下图所示:
图6. 5G开放安全能力 来源:奇安信集团, 2019
基于5G网络的计算资源和虚拟化能力,建立安全资源池。安全资源池具备统一的架构和接口,能够适应通用的5G标准,并与设备和应用解耦。
在安全资源池的技术上,实现一系列的安全能力,建立数字身份体系、可欣认证体系、通道加密体系、数据保护体系、网络防御体系、运维管理体系等。
针对不同的行业应用,根据安全需求和资源投入,选取不同的安全资源和安全体系,实现针对性、订制化的安全防护。
四、结束语
5G任重道远。5G发展与我国的产业升级战略密切相关,5G是新一代基础设施,将在推动工业转型升级、加快新型智慧城市建设等方面发挥重要作用,是未来数字经济的关键驱动力,其安全保障对于快速、平稳发展至关重要。
2019是5G元年,2020年是5G安全的起点,我们需要从零开始,真正理解5G内在的安全需求,实现5G安全与5G建设的同步规划、同步建设、同步运营,打通信息化与安全之间的壁垒,实现安全的内生与协同。
作者:乔思远,虎符智库专家,信息安全博士。
