随着移动通信进入5G时代,与前几代移动通信系统相比,5G依靠大规模天线和超密集组网等显著提升了移动接入技术,带动核心网技术的换代,赋能增强移动宽带、超可靠低时延和广覆盖大连接特性,成为紧密联结物联网、大数据、云计算、人工智能(AI)、区块链和工业互联网的纽带。同时,5G还将促进IT与OT(生产技术)的融合,贯通数据从采集、汇聚、处理、分析和决策全过程,发挥数据的生产要素作用。

5G给网络安全带来的新挑战

5G推动了新一代信息技术的发展,5G时代不仅是移动通信的新时代,也是IT技术发展的新时代。由于网络安全与信息技术产品总是相伴而生、博弈同行,5G时代在解决原有一些网络安全风险的同时,又将面对新的安全挑战,对网络系统和网络服务提出了新的要求,这也是网络安全服务发展的新时代。

1. 虚拟化的挑战

互联网初期网络不够稳定,所有业务都以IP包方式独立选路。对视频类的长IP流也切成小包选路,效率太低。5G引入NFV(网络功能虚拟化),通过硬件通用化(白盒化)和软件定义网元功能,可以根据业务流的需要灵活采用1.5层、2层或3层转发,增加了网元功能动态变化的能力,提高了转发效率并显著降低时延。NFV实现同一网元在同一时间对不同的应用业务提供不同的转发功能,例如以路由器模式转发传感器的IP包,以交换机模式交换话音MAC帧,以交叉连接模式来中继以太网码块,不过各种应用间仅是逻辑隔离而非硬件隔离,存在不安全因素,而且软硬件解耦增加了对外接口,虽然提供了对设备软硬件供应商的可选择性,但多供应商的互操作解决方案增加了互联互通的测试认证以及故障时责任认定的难度。另外开放接口易受外部攻击,需强化硬件锚定(认证)可信机理,维护应用与底层硬件间信任链。

由于数据中心虚拟化的网络、计算与存储资源及5G网络虚拟化模糊了网络的物理边界,基于逻辑拓扑定义的虚拟安全域将随虚拟机的迁移状况动态变化,传统依赖网络安全硬件外挂方式的安全机制难以奏效。另外,我国有很强的电信设备定制化产品优势,但NFV的白盒化仍依赖国外的通用芯片,存在不可控风险。

2. 切片化的挑战

5G需要支持从Kbps的传感器数据到高达Gbps的虚拟现实(VR),需要支持从静止状态下的话音到行进中高铁的通信,需要支持远程医疗和车联网等高可靠业务,但大量的应用对可靠性要求不高。

为了在同一物理设施上支持业务需求各异的应用,按照业务流的带宽、时延、可靠性等需求,在集中的网络运维支撑系统(OSS)管理下组织网络资源,以信令方式自动生成网元的编排与服务的编排,实现端到端切片的产生、终止、指配拓扑和协议等生命周期管理,为各业务流提供与其属性对应的逻辑上的VPN通道。现在5G的网络切片面临VPN海量规模、实时性、端到端通道组织等难题。虽然VPN的服务在电信网中早就有,但过去都是预约建立而非实时的,而且仅对极少数业务流开通VPN服务。跨运营商网络建立VPN连接更是难以想象的任务,前提是运营商间必须相互开放网络资源与业务数据,这基本没有可操作性,而且也会引入网络安全管理上的复杂性。通常集中控制系统易成网络攻击的对象,而底层网络资源共享将挑战切片间安全隔离。5G在功能上还考虑支持将切片开放给客户来组织、生成和管理,并提供按需实时动态调整权限,虽然增加了对垂直客户的吸引力,但网络资源有被恶意的第三方控制的可能。另外,网络切片是按用户需求提供资源分配优先权,如果用户不可信或需求不准确则滥用网络资源。

3. 开放化的挑战

相对4G专用协议,5G采用通用互联网协议,可直接承载现有网上各种业务,但也为互联网上的病毒打开了方便之门。

5G采用基于服务的网络体系(SBA),SBA构建一个业务开放平台,承接各种业务智能单元以App方式按需添加,通过模块化的智能单元组合产生相应的智能,便于灵活调用网络服务和组织网络切片。用户身份管理、认证鉴权、密钥管理、安全上下文管理等功能也可以服务化方式调用和开放,提升业务生成能力,适应新业态的不可预见性。SBA以开放接口承接外部生成的App时,存在恶意App进入的风险。另外,5G还具有业务外包能力,开放移动性、会话、QoS 和计费等功能的接口,垂直行业企业可租用这些服务自定义与调配业务,但也面临被误用和滥用的可能,而且恶意第三方容易通过获得的网络操控能力对网络发起攻击。为此5G在网络安全与信息安全的防护方面要比4G下更大的功夫。

4. 开源化的挑战

5G使用的深度学习等软件很多都来自开源软件,开源软件优点是可移植性,可以在操作系统上也可以在专有硬件上运行软件,硬件和软件生态系统的脱钩有利于创新,还增加了对其进行恶意攻击的难度。但开源软件的开发通常落后于商业软件开发,漏洞多、版本升级频繁,执行未知来源程序面临安全威胁,软件测试与漏洞分析检查工作量太大。此外值得注意的是,5G、云计算、大数据和人工智能大量使用的开源软件及其开源社区多为国外主导,而且开源软件并非自由软件,存在受到开源社区管理者限制的可能。

5. 大连接的挑战

5G将物联网从窄带物联网(NB-IoT)扩展到可支持100Mbps业务的宽带物联网和可支持每平方公里百万传感器接入的大规模机器类通信的物联网(mMTC)。5G 物联网还具有接入移动物联网的终端能力,根据需要可提供与物联网终端的人机对话功能,还可以利用一体化接入回传(IAB)技术支持物联网终端间数据接力。物联网所感知的数据可通过5G低时延直接上云,相当于云端能力虚拟到终端,可以说5G将AI与IoT无缝融合成为智联网(AI+IoT=AIoT)。更进一步可将AI芯片及其操作系统直接嵌入IoT模块组成AIoT终端,相当于边缘计算能力下沉。还可进一步嵌入区块链能力到AIoT终端,保障物联网设备接入认证、数据加密及设备控制授权安全。

但是IoT类型很多,需有多种身份管理机制,而不仅是常规移动终端使用的对称密钥,海量IoT连接需使用分层管理与群组认证或多节点分布认证,以免信令风暴。IoT还需要具有多对多的端到端联合加密功能,既要简化密钥但又要有足够强度。IoT终端由于功耗的限制而难有较强的安全防御能力,而且大连接和永远在线,易被木马入侵成为拒绝服务攻击(DDoS)的跳板。车联网点到多点和广播式及绕过网络的车辆间直接通信(V2V)也带来新的安全问题。

6. 智能化的挑战

5G会借助AI技术来优化网络的运营管理,但AI目前水平还是“大数据大算力小任务”,不确定性的概率计算模型需要巨量的空间和时间来训练,而且AI结果还不可解释。神经网络目前实质是分类器,依赖大量正确标注的数据,但很多场景仅有小数据。当一些事件和图像处于AI模型的辨识分界线时,或者受到样本攻击时会使AI误判。攻击者也会利用AI技术来发现网络基础设施的漏洞,高级持续性威胁(APT)攻击将会更多出现。

7. 数据私密性的挑战

传统的基于外挂的防火墙、防病毒和入侵检测的安全措施,因网络和算力设施的虚拟化而作用有限。但它无需对被保护系统详细了解,不涉及被保护系统内部的数据。

依赖免疫能力的内生防御方式需要对被保护系统有较深入了解,会跟踪系统的数据,且仍需与外部网络交互安全威胁情报,数据存在外泄风险。数字孪生数据可能会通过外网传输,仅靠加密仍难避免数据被劫持,会映射误导或遭遇外界勒索。数据跨境流动因云化而难定位最终落地点,增加对网络安全事件追溯的困难。在跨企业数据融合时如何保证数据能共享且敏感数据不外泄,也是很大的挑战。清华大学姚期智院士提出MPC(多方计算)概念来应对这一难题,MPC协议是一种分布式协议,使用秘密分享、同态加密、混淆电路、不经意传送四大技术,按照明文数据及计算工作没有离开本地的原则,允许各参与方只提交密文分片,通过既定逻辑共同计算出结果,但MPC计算量很大,性能还有待改进。

8. 数据资产化的挑战

数据是生产要素,通过将数据分布存储和加密可以防备数据被盗窃或被篡改。但通常对加密的数据难以进行安全扫描检测,而且即便是加密的数据流,也会被劫持成为DDoS攻击的炮弹。需要注意的是,一些外部攻击并不以窃取数据为目的而是以勒索为目的,强行将数据再加密使原有数据的拥有方也无法读取数据。因此需要实时对数据进行审计与版本核对,防止因数据(不论是否已加密数据)被恶意再加密,防范的关键是堵塞网络被入侵的漏洞。

9. 应用行业化的挑战

能源、交通等融合基础设施的信息系统与生产系统紧耦合,对网络信息安全的管理比对通信网络系统更为困难,即便是内网也会因管理不慎,例如通过U盘而内外勾连,一旦发生网络安全事件将危害国家重要基础设施。

工业互联网底层PLC、MCU、SCADA等数据采集与监控系统很多为国外产品,原来因在企业内网对其安全隐患知之甚少。企业的工控软件也有类似情况,一旦与外网关联则有被利用的安全风险。企业会大量应用边缘计算,而边缘计算的安全能力不及中心云,也有被劫持的可能。IPv6海量的地址有利于实名制,但攻击者可以大量利用IPv6地址而掩盖真实攻击源身份,而且基于IPv6的分段路由(SR)丰富了路由的选择,为攻击者同时使用多路由或随机使用路由带来方便,同时增加了溯源攻击者路由的困难。

10. 网络安全生态化的挑战

网络安全是涉及业务、管理、流程、团队等各方面的系统工程,不仅是技术更是管理,在企业内要覆盖业务全环节,实现IT与OT团队融合,还要与外部(生产装备供应商、供应链、网络安全服务商、电信运营商、政府、客户等)实现网络安全威胁情报共享和协同联动。网络安全需要有法律法规保障,需要国际合作,但基础是建立我国自主可控的网络安全技术、产品和服务的完整体系。

网络安全服务的思考

当今社会,每一个企事业单位、政府、学校、医院等都可能是网络安全攻击的对象,每一个单位都应成为网络安全责任的主体,需要从网络安全的制度建立、组织管理、队伍建设、资金投入等方面全面部署。据IDC公司报告,我国在信息安全投入占IT投入之比在2017年为1.84%,而全球平均为3.74%,在信息安全投入的结构中,全球平均硬件、软件和服务分别为19.3%、36.3%和44.4%,我国为55.3%、18.6%和26.1%,我国在网络安全投入方面不足并且重硬轻软和弱服务,在5G时代如果继续这种状况则后果更加严重。5G时代由于网络安全事件越来越复杂,仅靠本单位的努力往往不够,需要借助第三方网络安全服务机构的支持。

1. 网络安全是产业更是服务

产业讲究通用性,而网络安全服务通常具有个性化及永恒性。为降低网络服务的成本,需要将网络安全能力做成模块化可扩展,前提是需要有很好的总体架构设计和接口的标准化。由于安全配置和管理复杂化,需要自动化管理安全功能部署、编排、配置、调用等以提高效率。

网络安全服务机构不仅要把客户当成服务对象,更要把客户当成合作对象,让安全和业务深度融合,实现从销售硬件为主向安全服务为主的转变,服务中还应包括网络安全人才的培训。

2. 网络安全服务需要在企业制定网络建设方案的阶段介入

企业网络建设方案的制定需要从网络安全角度来审议,网络基础结构应具有灵活改变的能力,以钝化恶意攻击。要假定网元不可信情况下设计网络架构,即零信任机制,但前提是涉及网元的每一操作都需要有信任认证,需要为网络设备生成并签名可信赖代码,例如为SDN交换机生成并签名可信代码、完整或部分验证NFV中虚拟网络功能(VNF)的代码,在验证和执行之间保持代码的完整性。很多安全挑战是内生的,需要增强内生免疫能力,但一些内生安全防御方案仍难以对抗DDoS攻击。企业制定的网络部署方案需要进行网络安全评估,最好邀请专业的网络安全机构来协助进行,或事前听取网络安全服务机构的咨询建议。

3. 网络安全部署需与基础设施同步建设

网络建设全过程需要有可依据的安全标准体系、制度规范和法律法规,网络安全软硬件应与基础设施一同部署,不应作为补丁事后再加入。对于已有的基础设施,也需要定期进行网络安全检测。政府应该支持第三方的应用服务安全检测环境和生命周期的安全风险评估平台的建立和开展服务,包括定期发布网络安全态势,在政府指导下委托企业开展网络安全风险评估,提出网络安全改进的建议。

4. 网络安全需要有大数据支撑

SDN、NFV、网络切片、智能化运维和网络安全保障都需要精准获得全网业务流与网络资源的实时大数据,工业互联网的安全运行也需要获得企业生产系统与网络安全有关的完整数据,在制度上需要保证网络安全实施主体能集中管理网络安全有关数据,而且数据标注与清洗能按标准进行。由于企业担心商业秘密的安全而不可能向其委托的网络安全服务机构提供较全面的数据,网络安全服务机构需要使用数据增强技术从有限的数据样本中进行模型训练,以便优化模型,发现安全隐患。

5. 开发并应用软件代码可信赖检测技术

鉴于从开源软件中发现安全漏洞的工作量很大,网络安全服务机构需要开发通过使用自然语言标准文档的机器翻译来快速提取开源软件信息的方法,所提取的信息用作自动化遵从性测试、正确性证明、协议执行完整性检查等,确保网络内代码值得信赖。

网络安全是个大系统工程,网络安全总是魔高一尺道高一丈。在数字经济时代,网络安全的影响愈加严峻,网络安全的重要性前所未有。随着5G等新一代信息技术应用的进一步深入与普及,网络安全新挑战层出不穷,网络安全技术与产业及服务也将得到更大的发展,网络安全的技术与管理创新永远在路上。

(本文刊登于《中国信息安全》杂志2020年第10期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。