下载掌阅APP,畅读海量书库
立即打开
5G安全的发展若以各国安全政策的制定和出台为分界点,则可分为上、下两个半场。在上半场,5G安全的焦点主要在对网络开放、网络切片、云化基础设施和基于服务的架构(SBA)等新技术在应用中产生的安全风险的应对,和基于以往的实践经验进行的5G安全防护体系的建设之上。
随着各国相继出台5G安全政策,5G安全下半场的焦点也汇聚到国家政策之间,以及CT和IT方案之间的差异上。
从2019年5G商用元年以来,随着5G在全球范围内的蓬勃发展,全球主要国家关于5G安全的法律法规和产业政策相继出台。
1.2.1.1 美国
美国在5G安全领域发布了一系列法律法规和产业政策,并落地相关项目,用于保障5G安全和引领5G/6G产业发展。
《5G安全和超越法案》:美国国会于2020年3月23日发布,用于保障美国国内的5G安全,推动盟国的5G安全发展,提升5G/6G标准与产业领导力。
《保护5G安全国家战略》:美国白宫于2020年3月23日发布,旨在加速美国国内的5G部署,保障5G安全。协同盟国制定国际5G安全原则,并推动全球进行5G安全相关技术开发。
OPS-5G研究项目:美国国防部下属国防高级研究计划局(DARPA)于2020年1月30日发布,该项目的目标是定义开放、可编程和安全的5G网络,以安全为切入点重新领导5G产业。
《美国国防部5G安全战略》:美国国防部于2020年5月发布,承接白宫发布的《保护5G安全国家战略》,推动美国5G技术发展,提升5G安全能力。
《CISA5G战略》:美国国土安全部下辖的网络安全和基础设施安全局(CISA)于2020年8月24日发布。承接白宫发布的《保护5G安全国家战略》,提出标准制定、供应链完善、基础设施建设、市场创新、风险管理这五项安全战略举措。
1.2.1.2 欧盟
欧盟在5G安全领域也发布了一系列法律、政策,并提供了一系列工具,用来指导成员国建立健全5G安全防护体系。
《欧洲电子通信法规》(EECC):于2018年12月发布,EECC中的一个重要部分是消费者保护和电子通信安全。EECC中第40条提出了对电子通信供应商的详细安全要求。
EU Toolbox:全称为“欧盟5G网络安全风险缓解措施工具箱”,由信息安全合作小组(NIS CG)于2020年1月发布。该工具箱定义了高风险供应商,提出了对于关键资产应限制高风险供应商进入的策略。
《欧盟网络安全法案》:于2019年6月27日发布,强化了ENISA欧盟层面安全主管机构的地位,制定了欧盟针对产品、服务、流程的统一安全认证框架。
《网络弹性法案》:于2023年7月13日发布,旨在为欧盟数字产品(软件和硬件)制定共同的网络安全标准,通过提高全生命周期弹性、缩短安全事件响应时间、制定欧洲网络安全防御方法,以提高欧洲的网络防御能力。该法案是对当前《欧盟网络安全法案》的补充。
NIS2指令:于2022年12月27日发布,通过该指令,欧盟将延续对5G安全的监管,把5G电信监管的套路(高风险供应商、统一安全认证等)应用到其他行业,如交通、能源、金融等行业。
5G安全控制矩阵:由ENISA于2023年5月24日发布,是EU Toolbox的具象化表达、EECC的低阶细化呈现。
1.2.1.3 中国
近年来,我国陆续出台多部法律法规,进一步细化、落实了包含5G在内的关键信息基础设施防护的各项政策和要求。
《通信网络安全防护管理办法》:于2010年1月21日颁布,于2010年3月1日施行,主要为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通。
《网络安全法》:于2017年6月1日施行。《网络安全法》中以独立章节对关键信息基础设施的安全保护提出了专门的要求,明确国家对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。
《网络安全等级保护条例(征求意见稿)》:于2018年6月27日发布,以实施《网络安全法》第21条规定的网络安全等级保护制度,并更新由《信息安全等级保护管理办法》建立的信息安全等级保护制度。
《密码法》:于2020年1月1日施行。对于要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码对其进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《数据安全法》:于2021年9月1日施行。主要用于规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
《关键信息基础设施安全保护条例》:于2021年9月1日施行,明确了关键信息基础设施安全保护的监督管理工作机制及关键信息基础设施运营者的责任和义务。强调对重点行业和领域的重要网络设施和信息系统等关键信息基础设施进行重点保护,运营者依照本条例和有关法律、行政法规的规定,以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
《网络安全审查办法》:于2022年2月15日施行,明确要求关键信息基础设施运营者采购网络产品和服务时,数据处理者开展数据处理活动时,对于影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
围绕着上述法律法规,有如下三个主要的安全建设标准体系。
1.《网络安全等级保护条例》(等保)和《通信网络安全防护管理办法》(工业和信息化部等保)。
2.《关键信息基础设施安全保护条例》(关保)。
3.《信息系统密码应用基本要求》(密评)。
全球运营商普遍高度重视5G网络安全。
在5G网络安全建设的上半场,运营商基于实践经验均采用各种技术手段保护5G网络不被入侵,确保用户数据不被窃取。常见的安全防护方案包括划分网络安全域、部署边界防护、实现分层分域的纵深安全防护体系等。具体而言,在网络安全防护体系建设上,常见的部署手段如下。
网络边界防护类手段:通过在网络边界和安全域边界等部署防火墙、堡垒机、4A系统、零信任接入网关等,以限制非法的网络访问。
系统威胁主动发现类手段:通过部署网络安全扫描器、Web应用扫描器、安全配置核查系统等,发现网络和系统的各类安全漏洞及设备配置不合规等安全问题。
系统威胁被动检测类手段:通过部署入侵检测、态势感知、安全审计等技术手段,动态分析入侵行为、安全事件、违规操作等。
网络流量安全检测处置类手段:通过全流量分析、入侵防护系统(IntrusionPrevention System,IPS),基于流量分析发现网络攻击行为并进行阻断,通过抗DDoS攻击设备防范各类拒绝服务攻击流量。
来自 IT (Internet Technology,互联网技术)领域的经验难以完全匹配 CT (Community Technology,电信网技术)网络的安全需求,普遍存在生搬硬套、缺乏纵深、覆盖不全、运维不足等问题。
5G 网络包括位于运营商电信云上的核心网网元、海量基站、用户平面功能、边缘云等网络暴露面资产,还有大量的垂直行业应用终端及第三方应用,资产数量多,暴露面风险相对以前的通信网络越来越突出。基于以往 IT 领域的实践经验设计的传统网络安全防护体系限于“尽力而为、问题归零”的惯性思维,往往只能挖漏洞、打补丁、查病毒、杀木马、设蜜罐、布沙箱,这种层层叠叠的附加式、外挂式、边界防护式安全建设思路已经无法应对新的安全风险。
5G 核心网通常部署在电信云资源池上,在核心网边界部署安全防护设备容易存在纵深防护不足的问题,一旦突破边界防护,在核心网内部就可以实现横向攻击。从全球范围来看,突破运营商网络防护边界的案例屡见不鲜。例如,海外某运营商的运维账户存在弱口令,导致攻击者通过暴力破解进入内网并长期潜伏。因此,仅依靠当前传统的外挂式安全防护手段难以实现5G网络的纵深防护。
传统外挂式安全防护手段无法对全部的5G网络暴露面进行防护。
5G暴露面资产分散,难于集中部署安全防护设备。例如,5G基站面临无线空口攻击,但受到基站物理环境、供电、部署、维护成本的限制,在基站上难以部署“外挂式”安全产品(无法为基站部署防火墙阻止无线空口攻击)。同样地,5G 用户平面功能网关数量多,暴露在园区,受攻击的可能性大,部署外挂式安全产品的成本过高。
传统外挂式防护对运维人员的能力要求高。因外挂式防护常由多种不同的防护手段堆砌而成,安全运维人员需要同时懂应用、系统和网络,还要懂网络攻击和防御,对运营商安全运维团队的能力要求很高。
从新技术的发展伴随着安全的革新来看,IT安全方案在CT场景的应用总会落后于CT业务的发展。方滨兴院士指出:一个新兴技术对安全的影响存在着“伴生效应”和“赋能效应”。
所谓伴生效应,是指尽管在新技术酝酿之初会根据以往的经验充分考虑安全问题,但在新技术推出之后,势必会在应用中发现安全问题伴生而来。伴生效应表现在两个方面:一是新技术的脆弱性导致新技术系统自身出现问题,无法达到预设的功能目标,可称为新技术自身带来的“内生安全问题”;二是新技术的脆弱性虽没有给新技术系统自身的运行带来什么风险,但可以被攻击者利用,从而引发其他领域的安全问题,可称为“衍生安全问题”。例如,在没有5G移动通信网技术之前,不存在5G安全问题,传统安全技术是滞后于5G技术发展的。5G技术对实时性、可靠性、可维护性和系统资源的要求,以IT类安全产品的以往经验是无法达到的。而5G应用覆盖了越来越多的制造、医疗、教育、娱乐等涉及国计民生的行业,其安全问题将不可避免地影响其他行业。
所谓赋能效应,是指新兴技术推出后能带动安全能力不断演进。赋能效应主要体现在两个方面:一是“赋能攻击”,新技术的出现会增强现有的攻击手段,使得原先可靠的安全防护机制因新技术的产生而失效;二是“赋能防御”,新技术也可以助力安全防护机制,让安全问题借助新技术得到更好的解决。例如,移动通信网的短消息技术使得短信验证码的2FA技术得到普及,而移动通信网的SS7信令系统也使得攻击者更容易追踪用户的位置。
本节聚焦5G移动通信网的安全防护体系,主要探讨5G安全的伴生效应。
对于5G运营商来说,可以选择使用由IT厂商或CT厂商提供的安全方案。由于具有开放、灵活、自由度高、面向消费者等特点,IT产业面临的安全威胁较早爆发并被人们所熟知。IT安全产品面临着复杂多变的运行环境、形势严峻的安全威胁和过多的市场竞争,因此形成了重视通用安全功能、优先快速占据市场、轻视资源占用、轻视业务影响的特点。安全产品成为安全威胁,安全产品导致业务中断的案例屡见不鲜。而CT行业因为早期的专有硬件且网络封闭,加之运维人员多为专业人士,因此鲜有安全事件发生。CT厂商的安全功能也更多聚焦于安全开发流程、功能安全性等方面。在移动通信网中部署单独的安全产品来提升产品安全性并不被优先考虑。
随着CT产品被不断引入IT技术,CT产业和IT产业融合成了ICT产业。利用SBA、SDN/NFV、云原生等技术构建的5G移动通信网,在拥有了更灵活、更开放的网络,以及更低的OpEx和CapEx的同时,也面临着许多复杂多变的安全威胁。曾经让攻击者摸不着头脑的封闭生态被开源软件供应链占据,挖空心思研究的专有硬件被随处可得的商用硬件替代,望而却步的网络隔离被下沉的边缘计算打破。结合 IT 产业的漏洞信息,攻击者利用上述优势访问并攻陷5G网络的风险大幅增加。但与此同时,CT业务的资源规格被更加精细地规划,导致业务时延更敏感、系统可靠性要求更高及SLA执行更严格的行业趋势也在日益显现。
5G的伴生安全问题已经成为一个亟待解决的难题。一方面,5G移动通信网拥有着最为健全的行业组织,所使用的技术方案和安全性均经过严格的设计和定义,但不断增加的暴露面和难以根除的供应链漏洞又是潜伏着的威胁。另一方面,5G移动通信网的攻击者通过IT风险积累的优势愈增,但保护者受限于CT业务要求,可选的防护方案愈减。表1-1对5G安全中IT安全产品(考虑通用性、安全性)和CT安全产品(考虑专用性、业务可靠性、确定性)的不同维度进行了对比分析。
表1-1 5G安全中的IT与CT安全产品
续表
相较于CT安全产品的需求,IT安全产品在CT行业的应用往往有着如下不足。
基于补丁式安全和安全功能叠加,系统消耗大:未从源头进行风险治理,基于特定场景和问题进行安全产品叠加会带来系统消耗大、处置效率低等一系列问题。
不了解业务,误处置造成业务中断:不了解业务实现逻辑,存在误删除业务文件、关停业务进程、拦截业务访问等行为,容易造成业务中断。
无法与业务同步,存在安全空档期:在规划和建设上,先有业务后有安全,安全空档期内存在风险;在业务运行期间,安全策略无法跟随业务及时调整。
兼容性问题,业务不稳定:与CT行业专有的操作系统和业务适配不足,容易与系统调用冲突,出现系统复位现象,影响业务的可靠性和稳定性。