摘 要
随着科技的飞速发展,公共移动通信网络已成为现代社会不可或缺的基础设施之一,不仅极大地便利了人们的日常生活,还推动了社会经济的快速增长。然而,在享受移动通信带来的便利的同时,我们也不得不面对日益严峻的安全问题。本文将从多个角度对公共移动通信网络中的安全问题进行分析,并提出相应的对策与建议。
一、公共移动通信网络安全现状
公共移动通信网络是一个复杂的系统,它由多个部分组成,包括基站、核心网、用户设备[1]等,具有覆盖范围广、用户数量多、数据传输量大等特点。这些特点使得移动通信网络成为黑客和不法分子攻击的重要目标。此外,移动通信网络的开放性也增加了其被攻击的风险。这些组件通过一系列通信协议相互连接,以确保数据的传输和接收。随着5G技术的发展,网络速率和容量得到了极大的提升,但同时也带来了新的安全挑战。
公共移动通信网络中的安全问题主要表现为以下几个方面:
病毒和木马入侵[2]:随着网络终端数量的增加,病毒和木马有了更多的入侵机会。一些没有足够防护措施的终端很容易被攻击,进而通过局域网入侵网元,影响整个网络的安全性。
用户信息泄露:移动通信网络中的身份验证信息通过无线信号传输,很容易被非法入侵者截获,导致用户个人信息泄露。这些信息一旦被窃取,可能会给用户带来严重的经济损失或不良影响。
网络钓鱼和恶意软件:不法分子利用伪造的网站或链接诱骗用户输入个人信息或下载恶意软件,从而获取用户数据或控制用户设备。
信息窃取和篡改:移动通信网络中的信息传输通过无线信号实现,信号容易被截获和篡改。非法入侵者可以通过这种方式窃取用户的重要信息或破坏网络数据的完整性。
拒绝服务攻击(DoS/DDoS):通过大量请求淹没网络资源,使正常用户无法访问服务[3]。
二、公共移动通信网络安全隐患分析
2.1 从安全域层面的安全隐患分析
5G网络作为下一代移动通信技术,带来了前所未有的速度和连接能力,但同时也引入了一系列新的安全风险。将5G网络划分为用户域、无线接入域、网络域和应用域,如图1所示,下面从不同安全域的层面分析5G网络的安全隐患[4]。
图1 5G网络安全域划分
(1)用户域安全
智能终端(如智能手机和平板电脑)面临多种安全威胁。硬件层面可能遭受SIM卡克隆、IMEI串号篡改以及终端丢失等风险;软件层面,操作系统可能存在漏洞、后门、ROOT风险以及刷机风险,而终端应用可能受到软件漏洞、恶意程序植入的威胁,数据存储和接入的安全性也是关注的焦点。
(2)无线接入域安全
无线接入域安全需要防范伪基站接入、频率干扰以及空口数据泄露等风险。这些风险可能会干扰正常的网络连接,窃取或篡改传输中的数据。
(3)网络域安全
网络域安全方面,传输网和核心网的安全风险包括数据被篡改和伪造、网络可用性、边界完整性以及安全通信等风险,特别是随着5G网络的云化,服务器安全、网管运维终端风险以及服务器硬件风险(包括国产化问题)也成为新的关注点。
(4)应用域安全
在应用域安全方面,网管系统可能面临身份鉴别、授权、审计不足的风险,以及应用服务可用性和违规外联的风险。
2.2 从技术层面的安全隐患分析
(1)空中接口的脆弱性
移动通信网络的空中接口是数据传输的关键环节,也是最容易受到攻击的部分,其安全问题主要包括干扰攻击、窃听攻击、伪基站攻击及非授权终端接入等,如图2所示。干扰攻击风险,即攻击者采用噪声干扰或信令干扰等方式对无线信号进行攻击,导致通信质量下降甚至中断;窃听攻击风险,即攻击者通过解析截获未加密的无线空口信号,得到用户身份位置信息或流量信息,导致敏感信息泄露[5];伪基站攻击风险,即攻击者通过伪造、篡改基站的空口广播信号诱骗终端接入,从而收集终端信息,导致信息泄露或通信错误;非授权终端接入风险,即攻击者利用普通终端接入专用网络,可能造成网络信息泄露或引发DDoS攻击。
图2 空中接口的安全问题
(2)网络设备的脆弱性
移动通信网络中的基站、交换机、路由器等网络设备是构成网络的基础。然而,这些设备往往存在安全漏洞,容易被黑客利用进行攻击。首先,由于5G网络的高速传输和大容量特性,吸引了大量物联网设备的接入,这些设备往往由小型厂商生产,其安全设计往往不够完善,容易成为黑客攻击的目标。物联网设备的激增增加了网络的安全漏洞,黑客可以通过这些设备快速传播恶意软件,对网络基础设施发起攻击。其次,5G网络的虚拟化和云化特性将网络功能和服务放置在云端,这虽然提高了灵活性和可扩展性,但也带来了新的安全挑战。云端的安全性保障、虚拟网络功能的安全性等问题亟待解决,一旦云端遭受攻击,将波及整个网络。此外,5G网络的高复杂性和动态性也增加了安全分析和防护的难度。网络结构的复杂性和自组织性使得病毒、木马等威胁在网络中广泛传播,而有限的网络免疫系统难以有效应对。
2.3 管理层面的隐患
(1)账号口令管理不善
移动通信网络中的账号和口令是用户身份认证的重要手段。然而,一些用户为了方便记忆,常常使用弱密码或默认密码,这给黑客提供了可乘之机。此外,一些网络管理系统对账号口令的管理也不够严格,导致账号被盗用或滥用。
(2)网络安全意识薄弱
许多用户对网络安全的认识不足,缺乏基本的防范意识,随意点击不明链接、下载未知软件或在不安全的网络环境下进行敏感操作,从而给不法分子提供了攻击的机会。
三、公共移动通信安全危机事件
3.1 斯诺登事件
2013年的“斯诺登事件”是公共移动通信网络安全领域中的一个分水岭。美国前防务承包商雇员爱德华·斯诺登通过媒体曝光了美国国家安全局(NSA)的秘密监听项目“棱镜”,揭露了美国对国内外通信的广泛监控行为,包括对外国领导人的监听。这一事件不仅引发了全球对网络安全和个人隐私保护的广泛关注,也暴露了公共移动通信网络在数据保护方面存在的漏洞。
斯诺登披露的文件显示,NSA通过与电信公司和互联网服务提供商的合作,能够访问大量用户的通话记录、电子邮件、聊天记录等敏感信息。这表明,即使在加密通信的情况下,数据在传输过程中仍然可能被截获和分析,突显了通信网络在安全性上的脆弱性。
此外,“斯诺登事件”还揭示了国家层面上对网络安全的重视和战略部署。事件之后,各国加强了网络安全法规的制定和关键基础设施的保护,同时也促进了国际社会对网络空间治理和国际合作的讨论。
然而,十年过去,美国的监听行为并未因此收敛,反而在某些方面变本加厉,监听活动更加制度化,监听范围更广,手段更为先进。这不仅对个人隐私权构成威胁,也对国际关系和全球网络安全环境造成了负面影响。
“斯诺登事件”给公共移动通信网络的安全敲响了警钟,提醒我们必须不断加强网络安全防护措施,提高公众的安全意识,同时在国家和国际层面上加强合作,共同构建更加安全、开放的网络环境。
3.2 哈马斯之死事件
哈马斯领导人伊斯梅尔·哈尼亚在伊朗遇刺身亡的事件,凸显了公共移动通信网络在安全性方面的脆弱性。据爆料,以色列可能利用手机间谍软件确定哈尼亚的位置,这表明攻击者能够通过技术手段渗透并利用通信网络的漏洞,对特定目标进行精确打击。此事件与俄乌冲突中智能手机暴露军事位置的情况类似,都反映了现代战争中信息安全的重要性。
智能手机的定位技术,包括GPS、基站、WiFi和蓝牙定位,虽然为日常生活带来便利,但也为攻击者提供了追踪和监视的手段。哈尼亚事件中,若确实存在手机定位被利用的情况,这将是对通信安全的重大警示,特别是对于政治和军事人物而言。
因此,公共移动通信网络的安全管理需要加强。一方面,需要提高设备的安全性,例如通过定制安全系统和加强加密措施来保护数据;另一方面,需要加强人员的安全意识教育,限制在特定区域使用通信设备,以防止信息泄露。此外,对于军事和政治领域的通信,应采用更加严格的安全协议和防护措施,确保通信的安全性和可靠性。哈尼亚之死事件提醒我们,通信安全是国家安全的重要组成部分,必须得到充分的重视和保障。
3.3 俄乌冲突通信安全事件
俄乌冲突中,公共移动通信网络的安全性问题被推到了风口浪尖。2023年,俄军士兵因使用手机发布视频而间接暴露了部队的精确位置,导致遭受敌方的精确打击,造成重大伤亡。这一事件不仅暴露了智能手机在军事行动中的安全隐患,也突显了对移动通信网络管理的迫切需求。
智能手机的普及虽然提高了通讯效率,但也增加了信息泄露的风险。为此,俄罗斯国家杜马提出法律草案,严格限制战区内智能手机的使用,以减少信息泄露的可能性。这表明,必须采取有效措施,如加强设备安全管理、加密通信内容、限制特定区域的通信活动等,以确保军事行动的安全性和隐秘性。公共移动通信网络的安全性已成为国家安全的重要组成部分,需要得到高度重视和有效管理。
四、公共移动通信网络的安全对策
5G网络的安全防护思路遵循等保2.0三级要求[6],实施高标准的安全措施,包括利用防火墙、入侵防御系统(IPS)、全流量检测等传统技术手段,并结合安全资源池化、安全能力原子化等创新方法,通过安全功能编排和自动化部署,实现安全能力的协同管理和灵活部署。
图3 5G网络安全防护思路
5G安全总体机制涵盖云网安全、通信安全和安全管理能力。云网安全关注软硬件冗余、高可靠组网、容灾备份等要求,平面隔离、资源隔离以及安全域划分。通信安全包括用户、服务、设备等接入安全,共建共享的数据安全、边界策略风险,信令通信加密及隔离,以及能力开放带来的安全风险。安全管理能力涉及安全资产清点、黑盒检测、白盒检测、威胁关联分析和闭环安全处置[7]。
下面从技术防护和管理制度两个方面分析加强公共移动通信网络安全的有效对策。
4.1 加强技术防护
(1)升级网络设备
定期更新和升级网络设备是保障网络安全的重要手段。通过安装最新的安全补丁和防护软件,可以有效防止黑客利用已知漏洞进行攻击。同时,对于老旧设备应及时淘汰更换,以减少潜在的安全风险。要不断提升网络安全技术的创新,比如发展5G网络时,要重视网络切片安全、多接入边缘计算(MEC)[8]安全等新兴技术的安全防护。
(2)加密传输数据
采用先进的加密技术对传输的数据进行加密处理,可以有效防止数据在传输过程中被截获和篡改。例如,使用虚拟专用网络(VPN)技术[9]可以在公共网络上建立加密通道,保障数据传输的安全性。
(3)部署入侵检测系统
在路由器、网关和交换机等地方部署入侵检测系统(IDS),可以实时监控网络流量和异常行为,及时发现并阻断潜在的网络攻击。同时,IDS还可以记录攻击行为的数据,为后续的审查和分析提供有力支持。
4.2完善管理制度
(1)加强账号口令管理
建立严格的账号口令管理制度,要求用户设置强密码并定期更换。同时,对于网络管理系统的账号口令也应进行严格管理,防止账号被盗用或滥用。此外,可以引入动态口令和二次认证等机制,提高账号的安全性。
(2)定期进行安全审计
定期对网络设备和系统进行安全审计,检查是否存在安全漏洞和隐患。对于发现的问题应及时整改并记录在案,以便后续跟踪和复查。同时,还可以邀请第三方安全机构进行安全评估和渗透测试,提高网络的整体安全性。
五、总 结
本文深入剖析了公共移动通信网络面临的多重安全挑战,从病毒入侵、用户信息泄露到5G技术引入的新风险均进行了详尽阐述。通过“斯诺登事件”等典型案例,不仅揭示了网络安全的严峻形势,也强调了加强安全防护的紧迫性。针对这些问题,本文提出了包括技术升级、加密传输、完善管理制度等方面的安全改善对策,旨在构建更加安全可靠的移动通信网络环境,确保用户数据的安全与隐私得到切实保障。然而,面向公共移动通信用户的商用网络均基于国际标准化协议建设,从技术知识产权和产业链供应方面来看,均有难以避免的安全隐患存在,因此建设专用通信网络也可能是未来确保重要用户隐私安全,甚至国家秘密安全的有效途径。
[1] T. Basar, The Gaussian test channel with an intelligent jammer, IEEE Trans. Inf.Theory 29 (1) (1983) 152–157.
[2] R.P. Jover, LTE security, protocol exploits and location tracking experimentation with low-cost software radio. CoRR, 2016, arXiv:1607.05171.
[3] D. Rupprecht, K. Kohls, T. Holz, C. Pöpper, IMP4GT: IMPersonation Attacks in 4G NeTworks, in: 27th Annual Network and Distributed System Security Symposium, NDSS 2020, San Diego, California, USA, 2020.
[4] S.R. Hussain, M. Echeverria, O. Chowdhury, N. Li, E. Bertino, Privacy Attacks to the 4G and 5G Cellular Paging Protocols Using Side Channel Information,in: 26th Annual Network and Distributed System Security Symposium, NDSS 2019, San Diego, California, USA, 2019.
[5] D. Forsberg, L. Huang, T. Kashima, S. Alanärä, Enhancing security and privacy in 3GPP e-UTRAN radio interface, in: Proceedings of the IEEE 18th International Symposium on Personal, Indoor and Mobile Radio Communications, PIMRC2007, Athens, Greece, 2007, pp. 1–5
[6] K. Kohls, D. Rupprecht, T. Holz, C. Pöpper, Lost traffic encryption: fingerprinting LTE/4G traffic on layer two, in: Proceedings of the 12th Conference on Security and Privacy in Wireless and Mobile Networks, WiSec 2019, Miami,Florida, USA, 2019, pp. 249–260
[7] D. Rupprecht, K. Kohls, T. Holz, C. Pöpper, IMP4GT: IMPersonation Attacks in 4G NeTworks, in: 27th Annual Network and Distributed System Security Symposium, NDSS 2020, San Diego, California, USA, 2020.
[8] C. Hahn, H. Kwon, D. Kim, K. Kang, J. Hur, A privacy threat in 4th generation mobile telephony and its countermeasure, in: Wireless Algorithms, Systems, and Applications - 9th International Conference, WASA 2014, Harbin, China, 2014,pp. 624–635
[9] M. Labib, V. Marojevic, J.H. Reed, Analyzing and enhancing the resilience of LTE/LTE-A systems to RF spoofing, in: IEEE Conference on Standards for Communications and Networking, CSCN 2015, Tokyo, Japan, 2015, pp.315–320.
作者:李佳琪 中国科学院信息工程研究所
责编:赵博白
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。