下载掌阅APP,畅读海量书库
立即打开
数字时代,安全已经被重新定义,网络安全具有战场大、对手多、目标大、布局大、手法多、危害大、挑战大的新特点,想要真正建立强大的网络防御体系,形成对手不敢轻易攻击的震慑力,必须有安全新理念和新框架。显然,没有安全顶层设计和方法论,数字化就是“裸奔”。正因如此,作为数字时代发展引擎及关键信息基础设施之一的5G网络,应提前做好应对网络安全风险的规划措施,这无疑是体系化构建适应5G网络发展和垂直应用安全防护体系最基础、最重要的环节。
5G安全规划要基于企业业务发展战略,立足5G网络安全的总体形势,着眼于5G网络安全风险和挑战,从而制定适合企业发展的5G网络安全战略、安全目标和总体架构,由此确定5G网络安全保障重点工作任务,制订并落实推进计划,构建一套具备体系化、实战化、常态化的5G网络安全防护体系,保障企业数字化业务平稳、可靠、有序和高效运行。
5G安全规划应根据企事业单位“十四五”信息化战略目标和安全现状,遵循国家及行业法规政策要求,参照国内外最佳实践模型,采用科学的信息安全规划方法论,构建符合企事业单位“十四五”未来发展的网络安全总体架构,并通过业务和项目约束关系分析关键实施计划和路径,用以指导5G安全建设方向,满足法律、规范、管理与业务发展需要。
5W2H方法论是做规划论证的有力工具,在规划过程中,结构化思路能够起到“事半功倍”的效果。因此,建议在做5G安全规划的过程中践行5W2H方法论,让5W2H方法论真正贯穿于制定整个5G安全规划的各个方面。
5W2H方法论是一种分析框架和分析思路,5W2H方法论如图1-1所示。
①Why——为什么要做?理由何在?原因是什么?
②What——做什么?目标是什么?
③How——怎么做?如何实施?路径是什么?
④Who——谁来做?由谁承担?谁来完成?
⑤When——何时做?什么时间完成?什么时机最适宜?
⑥Where——在哪里做?哪里实施?
⑦How much——做到什么程度?所需资源是什么?费用产出如何?
图1-1 5W2H方法论
1.SABSA(Sherwood Applied Business Security Architecture)是一套信息系统安全架构框架。
2.COBIT(Control Objectives for Information and Related Technology,信息系统和技术控制目标)。
3.TOGAF(The Open Group Architecture Framework,开发群组架构框架)。
5G安全规划阶段主要包括现状调研与需求分析、总体架构与蓝图设计、实施路径规划和规划保障措施4个部分。5G安全规划流程如图1-2所示。
图1-2 5G安全规划流程
现状调研与需求分析是5G安全规划的起点,主要包括5G安全战略分析、5G安全现状分析、5G安全需求分析三大任务,旨在揭示5G安全现状,明确与国家标准、行业标准之间的差距,识别5G安全需求和期望达到的安全目标,为制定5G安全架构提供基础数据和设计依据。
通过资料分析法、现场调研、召开部门座谈会、领导访谈及专家访谈等方式,分析确定5G网络安全体系建设的阶段性目标,要以5G业务发展战略目标、5G网络规划战略目标为出发点,保障战略目标的一致性,围绕5G业务发展战略构建5G安全战略,形成完善的目标体系,实现5G安全能力组件与5G网络及业务层的深度融合和全面覆盖。
宏观形势分析是做任何规划的第一步(5W2H方法论中的Why),5G安全规划也不例外。宏观形势分析就是回答为什么要做5G安全。一般说来,可以按照PEST
结构化的方式进行分析,从政策层面、经济层面、社会层面、技术层面进行具体分析,即从国家战略、企业发展战略、业务发展战略、技术和产业趋势等方面分析5G安全面临的挑战。
第二步,将宏观目标向下分解,形成不同业务板块的安全目标。安全目标的设计要依据SMART
原则,确保在规划期内能够被有效地完成,且具有一定的前瞻性。
同时,对5G网络安全相关的国家战略、法律、标准、行业监管要求进行梳理和分析,将其纳入安全规划需求范围,确保5G安全体系建设框架设计落地时安全合规、有章可循。
现状分析主要是结合前期的宏观形势分析,以问题为导向,剖析不足,现状和差距就是入手的地方。要全面系统地找出问题,可以从以下4个方面,通过结构化思路展开。
调研并细分5G业务中各业务特征、业务分布状况、涉及行业等情况,全面摸底5G网络基础设施现状,梳理分析业务、网络建设对5G安全的需求。
调研5G现网中的安全能力现状,重点了解存在的不足及曾经发生过的安全事件,从合规、威胁防护、风险管理等角度进行需求分析,纳入安全规划需求范围。将企业的安全能力现状与目标能力进行比较,识别出存在的能力差距。
调研安全运营体系,获取当前5G安全运营的全面视图。调研安全管理组织架构、人员配置、相关流程和制度现状,分析现有安全管理存在的问题,梳理可行的安全管理机制及相关的改进措施。
采用威胁分析方法对5G业务和网络现状进行分析,识别5G安全风险,对风险影响范围、影响程度、后果严重性、可能性等方面进行综合评估。有条件的企业也可以采用“攻防模拟实战”的方式,并利用渗透测试等手段进行安全风险排查。
通过5G安全战略分析、5G安全现状分析、现状评估及其他相关规划分析等方面的工作,梳理出5G安全建设需求。
安全需求分析,基于5G安全战略、现状分析及现状评估,以及5G业务、网络规划等维度,明确提出5G安全建设需求。建设需求分析包括但不限于企业战略、目标分析、业务需求分析、合规性需求分析、安全功能需求分析、基础资源需求分析、安全性能需求分析、安全运营关联需求分析、内控需求分析等内容,融合形成需求矩阵。
领先实践分析,开展外部调研,了解同行业、同规模企业当前的安全规划与建设情况,基于企业自身情况在各个领域进行差距分析,对标ISO 27001信息安全管理体系、第三方支付行业的数据安全标准、信息系统安全等级保护等国内外网络安全最佳实践和技术规范。
新技术成熟度分析,调研安全领域的新技术、新理念,分析安全技术发展趋势和技术成熟度,将其纳入安全规划需求范围。
在技术迭代方面,安全技术迭代速度当前呈现显著加快的趋势:安全技术的发展一方面受底层信息技术(Information Technology,IT)基础架构发展的驱动,尤其在以云为代表的新的IT基础架构下,网络空间安全的风险点及防护机制发生了显著变化;另一方面受新型的安全威胁及安全攻击方式的驱动,安全技术从早期“碎片化”的防火墙、防病毒、入侵检测系统(Intrusion Detection System,IDS)、日志等,逐渐向“体系化”云安全、安全信息和事件管理(Security Information and Event Management,SIEM),以及用户行为分析、威胁诱捕等演进,再向“智能化”的大数据/人工智能(Artificial Intelligence, AI)分析、自动化应急响应等技术手段不断进阶演进,例如用户和事件行为分析(User and Event Behavioral Analytics,UEBA)、扩展检测与响应、安全接入服务边缘、零信任、SOAR等技术正在与传统安全技术深度融合。从技术的发展趋势来看,“主动安全”时代逐渐来临,在“云+5G”的泛物联网时代下,安全需求全面升级,被动防御模式已不再适用,取而代之的是基于“主动安全”思想构建起来的安全技术体系。网络安全技术发展趋势如图1-3所示。
图1-3 网络安全技术发展趋势
1.MSSP(Managed Security Service Provider,安全托管服务提供方)。
总体架构与蓝图设计是5G安全规划的核心,包括5G安全总体架构设计、5G安全基础架构设计、建设目标及蓝图三大任务,旨在明确信息安全建设的目标和方向。
在需求分析的基础上,确定5G安全建设的指导思想、基本原则、建设目标等内容,识别5G安全重点建设任务,5G安全总体架构如图1-4所示。
5G安全总体架构之所以受到重视,是因为该架构运用系统工程方法论,结合“内生安全”的理念,改变了以往“局部整改”和以“产品堆叠”为主的安全规划及建设模式,用系统工程方法论,从顶层视角建立安全体系全景视图以指导安全建设,强化安全与信息的融合,提升网络安全能力成熟度,凸显安全对业务的保障作用。可借鉴P2DR
、PDRR
、自适应安全框架等主流网络安全框架,实现网络安全建设遵从法规、符合标准、接轨业界技术发展的新要求。构建纵深防御、全网感知、多维检测、集中管控、技管并重的一体化5G网络安全防御体系,形成覆盖全生命周期的网络安全防护能力,开放安全能力服务,从而满足差异化业务安全需求。
图1-4 5G安全总体架构
1.VR/AR(Virtual Reality/Augmented Reality,虚拟现实/增强现实)。
2.IoT(Internet of Things,物联网)。
3.MEC(Multi-access Edge Computing,多接入边缘计算)。
4.NSSF(Network Slice Selection Function,网络切片选择功能)。
5.AUSF(Authentication Server Function,鉴权服务功能)。
6.PCF(Policy Control Function,策略控制功能)。
7.AMF(Access and Mobility Management Function,接入和移动性管理功能)。
8.SMF(Session Management Function,会话管理功能)。
9.mMTC(massive Machine-Type Communication,大连接物联网)。
10.uRLLC(ultra-Reliable and Low-Latency Communication,低时延高可靠通信)。
依据5G安全建设需求和目标,从业务安全、数据安全、安全能力服务、运营与管理安全、服务化架构(Service Based Architecture,SBA)安全、网络切片安全、核心网安全、云原生安全、MEC安全、网络安全、终端安全、IT基础设施安全、设备系统采购安全等,以及各维度之间的关系出发,对涵盖“云、网、端、边、数、业”的安全基础架构进行设计,最终得出5G安全基础架构设计。5G安全基础架构设计如图1-5所示。
定目标是5G安全规划的核心部分,是未来一段时间内5G安全建设的行动纲领。主要回答5W2H方法论中的What、When、Where、Who、How、How much。目标可以分为总体目标、细分目标、阶段目标。
图1-5 5G安全基础架构设计
定总体目标,主要是把方向、提原则。目标的设计应是明确的、可衡量的、可达成的,目标应用企业战略和业务发展一致,目标应具有明确的时限,具体要求如下。
① 要服务于企业的业务规划、组织规划、信息化规划,不能“闭门造车”,要服从业务的开展、组织的变化、信息化的实施,思考怎么从管理、技术、运维手段确保5G安全,最好能对照5G业务规划、网络规划,对其中的任务要求逐条分析,思考5G安全如何保障、如何支撑,才能让5G安全服务于5G业务。
② 要遵循“安全与发展兼顾”“技术与管理配合”“管控与效率平衡”的原则来制定目标。在这个过程中,要做到和业务部门、建设部门、运行维护部门进行充分沟通,征求听取他们的意见,让5G安全规划的目标真正切实可行。
③ 要区分存量增量,已经建好的5G业务系统和网络系统如何添加安全加固手段,新建业务系统如何让5G安全同步规划、同步建设,同步运营侧重是不一样的。
项目规划与实施设计是5G安全规划的结果,主要包括5G安全现状与总体架构之间的差距分析与改进措施、重点建设内容、实施路径规划等任务,旨在明确5G安全建设步骤和实施计划。
差距分析基于前期的现状分析和调研,主要包括:当前目标和当前现状间的问题和差距分析;业界参考目标/最佳实践和当前现状下的差距分析;安全能力现状对目标安全能力的差距分析;安全风险现状对安全合规要求和国内外安全标准的差距分析。
通过差距分析可得出的目标是多个子目标,是一个目标群,需要推动多个子目标分阶段、分步骤并通过项目规划和建设的方式来实现。
从5G安全建设目标出发,依据系统工程方法论和结构分析等方法论,结合总体架构设计和基础架构设计的内容,提出5G安全建设的主要任务和重点建设内容。
定重点任务,主要是按照结构化的分析思路,根据5G安全发展需求和资源,分解总体目标,明确5W2H方法论中的What和Where。每一项重点任务要明确具体目标、实施路径、责任分工、资源投入等。具体目标就是明确每一项任务要在哪一年达成什么效果(What、When);实施路径是指具体怎么干、干到什么程度和资金估算(How、How much);责任分工就是匹配、调集资源的过程,需要明确到具体的责任部门(Who)。
通过分析现状与目标的差距,提出有效的、可操作的实施路径。5G安全规划的实施路径要做好以下两个方面。
① 让宏观的“十四五”规划和“三年规划”与年度的经营预算、年度的行动计划挂钩,将规划任务落实到每年的行动中,确定规划期内的举措,并细化举措内容,明确各项工程和任务的关键点。
② 滚动修订规划,要根据规划执行的结果、最新信息安全形势的变化,实时修订规划,即常说的PDCA
循环。在规划期内持续跟踪规划的执行情况,及时发现执行中出现的问题并进行分析总结。对需要改进的方面,应按需纳入安全规划需求范围,再次执行。
结合业务发展对5G安全需求的依赖程度、紧迫程度及难易程度等,对工程和任务进行优先级和依赖性分析,明确各阶段的实施计划、目标和任务等。
5G安全实施路径规划参考如图1-6所示。
图1-6 5G安全实施路径规划参考
5G时代在解决原有一些网络安全风险的同时,将面对新的安全挑战,对网络系统和网络服务提出了新的要求,同时业务应用场景的多样性决定了安全需求的灵活性和实现的复杂性。5G安全总体需求如图1-7所示。
图1-7 5G安全总体需求
1.eMBB(enhanced Mobile Broadband,增强型移动宽带)。
2.SDN(Software Defined Network,软件定义网络)。
3.IPSec(Internet Protocol Security,互联网络层安全协议)。
4.IPv6 (Internet Protocol version 6,第6版互联网协议)。
需要一些通用的、成熟的、具备前瞻性的基础技术为5G安全提供基础的技术支撑,同时也要考虑其中的一些新技术(例如,量子技术、IPv6等)会对已有的安全基础形成新需求。
由于5G中mMTC和uRLLC场景将引入大量新型终端,泛终端安全将可能成为一个新的需求。重点在于保障行业终端的安全管理和接入要求,保证对多样化类型终端设备的可管可控,同时也需要保障物联网设备卡内信息的不可篡改性、完整性和可用性。由于物联网设备计算存储能力受限,其安全机制应尽可能轻量化,减少安全负担。
5G中IT设备的虚拟化带来的新需求如下。
① SDN安全。SDN的控制平面、应用平面、数据平面和标准接口等方面都提出了安全需求,SDN自身的安全问题将成为制约其商用化和推广的一个重要因素。
② 虚拟化安全。网络功能虚拟化(Network Functions Virtualization,NFV)的基础设施层安全风险、Hypervisor(虚拟机监视器)安全风险、虚拟机安全风险、虚拟网络功能(Virtual Network Function,VNF)安全风险,以及管理和编排(Management and Orchestration, MANO)安全风险等。
③ 云平台安全。云平台的安全需求主要体现在虚拟化、数据集中和可用性保障3个方面。一是虚拟化技术会带来虚拟机逃逸、租户间的攻击、虚拟机和物理主机的共享漏洞等安全问题;二是在云平台用户的数据存储、处理和网络传输等过程中,如何有效保障数据安全,如何对多租户应用进行数据隔离,如何避免数据服务被阻塞,如何确保云端退役数据的妥善保管或销毁等;三是云平台可用性问题,涉及服务等级协定和IT流程、安全策略、事件处理等方面。
除了传统的无线通信安全、5G核心网(5G Core Network,5GC)安全、互通安全、网络设备安全和传输交换安全,MEC安全和切片安全是新的重点。
① MEC安全。边缘计算作为物联网和云计算的媒介,能够解决物联网和云计算结合引起的终端节点请求时延、云服务器存储和计算负担过重、网络传输带宽压力过大等问题。然而,边缘计算兴起的同时也对边缘计算网络中的用户、边缘节点和云服务器的安全防护提出了新的需求。
② 切片安全。网络切片的特征是切片和切片之间在逻辑功能上是分离的,但在物理资源上是共享的。因而切片安全首先要保证网络切片之间彻底的安全隔离。如果没有隔离,拥有某个切片访问权限的攻击者,会以此切片为跳板,攻击其他的目标切片。另外,在实际业务运行时,终端切片网络的网元交互、安全协议和流程,都需要考虑相应的安全技术。
业务与服务安全包括通用安全能力、垂直领域安全、5G特定应用场景的安全特性3个方面。
① 通用安全能力。通用安全能力包括但不限于业务的安全框架、物理安全要求、接入安全要求、通信安全要求、设备安全要求、数据安全要求和个人隐私保护要求等,引导相关安全技术、产品及产业的健康发展。
② 垂直领域安全。针对智慧城市、工业互联网、家庭物联网和车联网等不同的应用领域,围绕5G应用的特点,针对性地建立相关安全分析,尽快形成标准。
③ 5G特定应用场景的安全特性。在eMBB、uRLLC、mMTC三大应用场景,相关业务对网络安全提出了新需求,尤其是针对特定领域的安全风险和需求,例如工业互联网和无人驾驶等。
在数据安全方面,除了现有的数据安全防护技术、数据安全管理要求和用户隐私保护要求,5G还具备新特征。
5G的高速特性将激发更多的数据产生和传输。5G被应用于社会生产和关键应用场景,这里面包含影响人身和物理安全的关键数据。5G的数据安全保护只是整个数据生态中的一个环节,需要结合整个应用场景考虑5G数据的安全性。5G安全及更加广泛意义上的数据安全需要在产业界的各个环节得到应用,包括设备商、电信运营商和业务服务商等。因此对5G数据安全的分级保护提出了新需求,敏感数据在传输、存储和共享等流通过程中要采用安全措施,保障5G网络的数据安全。
针对5G全生命周期安全的日常管控与运维,需要从安全态势感知、应急响应、安全漏洞管理和新技术应用安全管理等方面出发,构建运营管控体系。
不良信息、虚假主叫、骚扰电话、上网日志留存等常规的管控系统覆盖到5G,将给5G安全监管带来新的风险和挑战。需要结合5G网络基础设施部署和业务开展情况,对现有手段的部署方式、监测对象、评估指标等方面做出进一步的适用性评估,进行升级改造以符合5G新技术、新特征和新业务场景的安全监管需求。
首先,应将5G网络安全放在我国总体国家安全观的框架之中考虑。以《中华人民共和国网络安全法》、GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》等系列标准(以下简称等保2.0)、安全标准体系、《关键信息基础设施安全保护条例》为依据,实现对5G基础设施安全保护对象和安全保护领域的全覆盖,强化“一个中心,三重防护”的安全保护体系,5G安全具备“三化六防”措施,即实战化、体系化、常态化的思路,以及动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的安全要求。
全局视角是5G网络安全要做到内外融合、点面结合。内外融合的“内”主要强调注重5G内生安全防护,“外”主要强调借助智能化运营手段,内外深度融合;点面结合的“点”主要强调5G安全基线要求和合规性要求,守住安全底线,“面”主要强调主动防御,综合防范,从全局视角构建5G网络安全。
5G网络安全是一个系统化工程,从合规标准体系、安全管理体系、安全技术和安全运营体系4个方面,构建全网感知、纵深防御、多维检测、集中管控、技管并重的一体化5G网络安全防御体系,形成覆盖全生命周期的网络安全防护能力。同时,开放安全能力服务,满足差异化业务安全需求。
随着网络安全形势的日益复杂,我们已经很难清晰地识别出所有的敌对威胁行为体,因此需要从基于威胁的规划模式转为基于能力的规划模式,更聚焦敌对方可能采用的进攻方式,识别出为了达到威慑击败敌对方所需要的安全能力。以获得安全能力为建设目标,通过叠加演进的能力分类方法,形成5G网络安全能力体系,采用系统工程方法,对安全能力进行组合,重点关注安全能力的完整性、关联性、协同性。
可基于IT、CT
、DT
、OT
、ST
等跨领域融合和基于云计算、大数据、AI、物联网、边缘计算、软件定义、区块链、量子加密等新技术的融合,构建5G安全平台化、智能化、服务化、实战化的创新安全防护能力。
在不断变化的安全形势下,需要持续关注安全新技术、新理念与5G安全的融合,例如推进人工智能、机器学习(Machine Learning,ML)、威胁情报、零信任等技术理念在5G安全场景的落地和应用,以实现“5G+业务”与5G安全同步发展。
“安全左移”即在设计阶段考虑更多的安全因素,以此规避很多安全风险,降低解决安全问题的成本。“安全防护左移”实现内生安全,已成为业界共识。传统的先建设、后防护的安全能力模式,已被证实无法适应攻击日益频繁、手段日益高级的网络安全形势。5G基础能力组件在系统/平台/产品/业务开发建设上线过程中,应实现“同步规划、同步建设、同步运营”,确保信息化和安全能力建设一体化推进。
网络安全的本质是人与人对抗,人是安全运营的核心和关键,技术的进步对安全人员提出了更高的要求,然而人也是网络安全工作中最薄弱的环节,安全架构的规划设计应当充分考虑人的因素,以尽可能规避人的因素带来的风险,当然,人也是网络安全中最积极的因素。通过5G安全实训平台能力规划,培养一支5G安全专业人员队伍,可有效应对5G网络面临的各类风险,实现5G人才懂安全,安全人才懂5G。
5G安全需要多元生态一起合作,例如电信运营商、设备厂商、服务商、监管部门、科研机构和高等院校,通过多方参与、联动、协同,以共赢为驱动,形成“生态资源共享、能力互补、生态共建”的5G网络安全合作机制。
借鉴企业架构思想,以架构为驱动,以能力为导向。首先,基于5G网络安全防护目标,综合考虑相关的5G安全要素;其次,按照新一代网络安全框架,例如参考美国国家标准与技术研究院CSF
IPDRR模型,对5G安全框架进行规划和构建;最后,形成实战化、体系化、常态化的5G安全能力体系。5G安全能力体系规划如图1-8所示。
图1-8 5G安全能力体系规划
在进行5G安全能力规划时,需要以攻击者视角,分析攻击手段和行为,通过场景分析发现威胁和薄弱环节,确定防守要点,同时分阶段演进规划,并围绕其业务系统及其承载的数据,加强资产安全管理的同时,梳理攻防场景,全面提升防御、威胁检测能力,利用大数据/AI手段,开展多维度智能安全分析,构建“安全大脑”,实现对风险的主动响应及自动化处置,打造人防到技防的安全能力体系。
资产是5G安全的核心要素,安全对抗讲究“知己知彼”。也就是说,首先要做到“知己”,摸清自己的家底。通过网络探测、采集或挖掘等技术,获取5G实体资源、5G虚拟资源及其网络属性;通过设计有效的关联分析方法和知识图谱算法,将实体资源映射到地理空间,将虚拟资源映射到社会空间,并将探测结果和映射结果进行可视化展现;将网络空间、地理空间和社会空间进行相互映射,将虚拟、动态的网络空间资源绘制成一份动态、实时、可靠的网络空间地图,有效支撑其他能力或应用,例如态势感知、SIEM、SOAR等。
从业务安全、数据安全、安全能力服务、运营与管理安全、SBA安全、网络切片安全、5GC安全、云原生安全、MEC安全、网络安全、终端安全、IT基础设施安全、设备系统采购安全等层面提升5G安全防护能力,完善协同机制,达到动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的安全防护要求。
5G威胁检测能力需要更有效地监测和分析整个网络的流量变化。基于机器学习的自动威胁检测技术变得格外重要,这是因为基于人工的检测与响应将难以应对5G网络海量的数据流量处理需求。
“安全大脑”是新一代安全能力的核心。“安全大脑”首先是以安全大数据为基础的,它具备安全大数据的分析能力,可以通过人机结合的方式不断积累和更新安全知识和经验。利用机器学习构建“5G安全大脑”,充分利用5G“云、边、端”的威胁检测能力,结合安全情报,对海量的安全信息进行自动分析与深度挖掘,及时掌握网络的安全状况和趋势,制定有预见性的应急预案,实现“云、网、端、边”协同联动,形成实时、智能、敏捷的网络防护体系,提升应对5G网络安全威胁的能力,能够更高效、更精准、更快速地处理网络安全问题。
构建5G安全编排自动化与响应能力,可实现安全业务的编排和管理,并实现5G网络与安全的深度协同,充分发挥网络威胁情报的驱动作用,实施精准化、针对性的防御行动,及时发现潜藏在网络中的安全威胁,对入侵途径及攻击者背景进行研判与溯源。5G安全编排自动化与响应能力通过自动化或半自动化工具、流程和策略,可进行自动化安全事件的响应和预防,加快事件响应的速度。实现从单点防御到全网协防,将威胁损失降到最小,并通过策略智能运维自动完成基于业务驱动的策略生成与部署,实现从人工运维到智能运维的转变,节约运维成本。
《中华人民共和国网络安全法》颁布,出台了网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。而网络安全离不开攻防演练,网络安全的本质是对抗,对抗的本质是攻防两端实力的较量。5G安全能力最终的衡量方法只能通过实战来检验,实战是检验安全防护能力的最佳手段。这种实战检验能力的需求,可通过“实兵、实网、实战”的方式,以“实战化、体系化、常态化”的服务体系来满足,实现5G安全创新研究、测评认证、攻防对抗、人才培训的靶场即服务的新模式。
相较于传统的3G/4G网络,5G网络本质上是一种按需编排的云化网络,通过更灵活的控制和转发机制、更泛在的接入方式,除了可以为各垂直行业提供差异性的连接服务,还能按需提供差异化的安全防护能力。针对不同用户提供差异化的安全防护能力,可实现安全功能服务化,将虚拟化的安全功能按需编排到网络切片中,使不同等级的安全资源在相应的网络切片中独立提供。各个虚拟安全节点根据用户和业务需求调用防火墙、入侵检测、负载均衡、访问控制、病毒检测等基础安全能力集,从而实现性能可定制、功能可组合的要求。
5G安全规划为企业提供从业务视角、信息化视角、5G安全整体视角出发的顶层规划和体系设计的思路和建议,利用系统工程方法论,从顶层视角建立5G安全体系全景视图,指导5G安全建设,以“三同步”原则推进5G安全与信息化的全面覆盖、深度融合,通过以架构为驱动,以能力为导向的5G安全体系设计方法,对5G安全能力统一规划、分步实施,逐步建成面向数字化时代的一体化5G安全体系,保障企业数字化业务平稳、可靠、有序和高效运行。
[1] MT-2020(5G)推进组.5G安全报告[R].中国信息通信研究院,2020.
[2] 杨婕.基于顶层设计思路的企业安全架构总体设计[J].信息通信,2017(7):249-251.
[3] 丁禹哲,敬铅,孙伟.面向企业信息化规划的安全架构开发模型设计[J].信息安全研究,2018, 4(9):825-835.
[4] 邱勤,张滨,吕欣.5G安全需求与标准体系研究[J].信息安全研究,2020,6 (8):673-679.