您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
鄔賀銓:5G時代的網(wǎng)絡(luò)安全挑戰(zhàn)與服務(wù)
隨著移動通信進(jìn)入5G時代,與前幾代移動通信系統(tǒng)相比,5G依靠大規(guī)模天線和超密集組網(wǎng)等顯著提升了移動接入技術(shù),帶動核心網(wǎng)技術(shù)的換代,賦能增強(qiáng)移動寬帶、超可靠低時延和廣覆蓋大連接特性,成為緊密聯(lián)結(jié)物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能(AI)、區(qū)塊鏈和工業(yè)互聯(lián)網(wǎng)的紐帶。同時,5G還將促進(jìn)IT與OT(生產(chǎn)技術(shù))的融合,貫通數(shù)據(jù)從采集、匯聚、處理、分析和決策全過程,發(fā)揮數(shù)據(jù)的生產(chǎn)要素作用。
5G給網(wǎng)絡(luò)安全帶來的新挑戰(zhàn)
5G推動了新一代信息技術(shù)的發(fā)展,5G時代不僅是移動通信的新時代,也是IT技術(shù)發(fā)展的新時代。由于網(wǎng)絡(luò)安全與信息技術(shù)產(chǎn)品總是相伴而生、博弈同行,5G時代在解決原有一些網(wǎng)絡(luò)安全風(fēng)險的同時,又將面對新的安全挑戰(zhàn),對網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)服務(wù)提出了新的要求,這也是網(wǎng)絡(luò)安全服務(wù)發(fā)展的新時代。
1. 虛擬化的挑戰(zhàn)
互聯(lián)網(wǎng)初期網(wǎng)絡(luò)不夠穩(wěn)定,所有業(yè)務(wù)都以IP包方式獨(dú)立選路。對視頻類的長IP流也切成小包選路,效率太低。5G引入NFV(網(wǎng)絡(luò)功能虛擬化),通過硬件通用化(白盒化)和軟件定義網(wǎng)元功能,可以根據(jù)業(yè)務(wù)流的需要靈活采用1.5層、2層或3層轉(zhuǎn)發(fā),增加了網(wǎng)元功能動態(tài)變化的能力,提高了轉(zhuǎn)發(fā)效率并顯著降低時延。NFV實現(xiàn)同一網(wǎng)元在同一時間對不同的應(yīng)用業(yè)務(wù)提供不同的轉(zhuǎn)發(fā)功能,例如以路由器模式轉(zhuǎn)發(fā)傳感器的IP包,以交換機(jī)模式交換話音MAC幀,以交叉連接模式來中繼以太網(wǎng)碼塊,不過各種應(yīng)用間僅是邏輯隔離而非硬件隔離,存在不安全因素,而且軟硬件解耦增加了對外接口,雖然提供了對設(shè)備軟硬件供應(yīng)商的可選擇性,但多供應(yīng)商的互操作解決方案增加了互聯(lián)互通的測試認(rèn)證以及故障時責(zé)任認(rèn)定的難度。另外開放接口易受外部攻擊,需強(qiáng)化硬件錨定(認(rèn)證)可信機(jī)理,維護(hù)應(yīng)用與底層硬件間信任鏈。
由于數(shù)據(jù)中心虛擬化的網(wǎng)絡(luò)、計算與存儲資源及5G網(wǎng)絡(luò)虛擬化模糊了網(wǎng)絡(luò)的物理邊界,基于邏輯拓?fù)涠x的虛擬安全域?qū)㈦S虛擬機(jī)的遷移狀況動態(tài)變化,傳統(tǒng)依賴網(wǎng)絡(luò)安全硬件外掛方式的安全機(jī)制難以奏效。另外,我國有很強(qiáng)的電信設(shè)備定制化產(chǎn)品優(yōu)勢,但NFV的白盒化仍依賴國外的通用芯片,存在不可控風(fēng)險。
2. 切片化的挑戰(zhàn)
5G需要支持從Kbps的傳感器數(shù)據(jù)到高達(dá)Gbps的虛擬現(xiàn)實(VR),需要支持從靜止?fàn)顟B(tài)下的話音到行進(jìn)中高鐵的通信,需要支持遠(yuǎn)程醫(yī)療和車聯(lián)網(wǎng)等高可靠業(yè)務(wù),但大量的應(yīng)用對可靠性要求不高。
為了在同一物理設(shè)施上支持業(yè)務(wù)需求各異的應(yīng)用,按照業(yè)務(wù)流的帶寬、時延、可靠性等需求,在集中的網(wǎng)絡(luò)運(yùn)維支撐系統(tǒng)(OSS)管理下組織網(wǎng)絡(luò)資源,以信令方式自動生成網(wǎng)元的編排與服務(wù)的編排,實現(xiàn)端到端切片的產(chǎn)生、終止、指配拓?fù)浜蛥f(xié)議等生命周期管理,為各業(yè)務(wù)流提供與其屬性對應(yīng)的邏輯上的VPN通道?,F(xiàn)在5G的網(wǎng)絡(luò)切片面臨VPN海量規(guī)模、實時性、端到端通道組織等難題。雖然VPN的服務(wù)在電信網(wǎng)中早就有,但過去都是預(yù)約建立而非實時的,而且僅對極少數(shù)業(yè)務(wù)流開通VPN服務(wù)??邕\(yùn)營商網(wǎng)絡(luò)建立VPN連接更是難以想象的任務(wù),前提是運(yùn)營商間必須相互開放網(wǎng)絡(luò)資源與業(yè)務(wù)數(shù)據(jù),這基本沒有可操作性,而且也會引入網(wǎng)絡(luò)安全管理上的復(fù)雜性。通常集中控制系統(tǒng)易成網(wǎng)絡(luò)攻擊的對象,而底層網(wǎng)絡(luò)資源共享將挑戰(zhàn)切片間安全隔離。5G在功能上還考慮支持將切片開放給客戶來組織、生成和管理,并提供按需實時動態(tài)調(diào)整權(quán)限,雖然增加了對垂直客戶的吸引力,但網(wǎng)絡(luò)資源有被惡意的第三方控制的可能。另外,網(wǎng)絡(luò)切片是按用戶需求提供資源分配優(yōu)先權(quán),如果用戶不可信或需求不準(zhǔn)確則濫用網(wǎng)絡(luò)資源。
3. 開放化的挑戰(zhàn)
相對4G專用協(xié)議,5G采用通用互聯(lián)網(wǎng)協(xié)議,可直接承載現(xiàn)有網(wǎng)上各種業(yè)務(wù),但也為互聯(lián)網(wǎng)上的病毒打開了方便之門。
5G采用基于服務(wù)的網(wǎng)絡(luò)體系(SBA),SBA構(gòu)建一個業(yè)務(wù)開放平臺,承接各種業(yè)務(wù)智能單元以App方式按需添加,通過模塊化的智能單元組合產(chǎn)生相應(yīng)的智能,便于靈活調(diào)用網(wǎng)絡(luò)服務(wù)和組織網(wǎng)絡(luò)切片。用戶身份管理、認(rèn)證鑒權(quán)、密鑰管理、安全上下文管理等功能也可以服務(wù)化方式調(diào)用和開放,提升業(yè)務(wù)生成能力,適應(yīng)新業(yè)態(tài)的不可預(yù)見性。SBA以開放接口承接外部生成的App時,存在惡意App進(jìn)入的風(fēng)險。另外,5G還具有業(yè)務(wù)外包能力,開放移動性、會話、QoS 和計費(fèi)等功能的接口,垂直行業(yè)企業(yè)可租用這些服務(wù)自定義與調(diào)配業(yè)務(wù),但也面臨被誤用和濫用的可能,而且惡意第三方容易通過獲得的網(wǎng)絡(luò)操控能力對網(wǎng)絡(luò)發(fā)起攻擊。為此5G在網(wǎng)絡(luò)安全與信息安全的防護(hù)方面要比4G下更大的功夫。
4. 開源化的挑戰(zhàn)
5G使用的深度學(xué)習(xí)等軟件很多都來自開源軟件,開源軟件優(yōu)點(diǎn)是可移植性,可以在操作系統(tǒng)上也可以在專有硬件上運(yùn)行軟件,硬件和軟件生態(tài)系統(tǒng)的脫鉤有利于創(chuàng)新,還增加了對其進(jìn)行惡意攻擊的難度。但開源軟件的開發(fā)通常落后于商業(yè)軟件開發(fā),漏洞多、版本升級頻繁,執(zhí)行未知來源程序面臨安全威脅,軟件測試與漏洞分析檢查工作量太大。此外值得注意的是,5G、云計算、大數(shù)據(jù)和人工智能大量使用的開源軟件及其開源社區(qū)多為國外主導(dǎo),而且開源軟件并非自由軟件,存在受到開源社區(qū)管理者限制的可能。
5. 大連接的挑戰(zhàn)
5G將物聯(lián)網(wǎng)從窄帶物聯(lián)網(wǎng)(NB-IoT)擴(kuò)展到可支持100Mbps業(yè)務(wù)的寬帶物聯(lián)網(wǎng)和可支持每平方公里百萬傳感器接入的大規(guī)模機(jī)器類通信的物聯(lián)網(wǎng)(mMTC)。5G 物聯(lián)網(wǎng)還具有接入移動物聯(lián)網(wǎng)的終端能力,根據(jù)需要可提供與物聯(lián)網(wǎng)終端的人機(jī)對話功能,還可以利用一體化接入回傳(IAB)技術(shù)支持物聯(lián)網(wǎng)終端間數(shù)據(jù)接力。物聯(lián)網(wǎng)所感知的數(shù)據(jù)可通過5G低時延直接上云,相當(dāng)于云端能力虛擬到終端,可以說5G將AI與IoT無縫融合成為智聯(lián)網(wǎng)(AI+IoT=AIoT)。更進(jìn)一步可將AI芯片及其操作系統(tǒng)直接嵌入IoT模塊組成AIoT終端,相當(dāng)于邊緣計算能力下沉。還可進(jìn)一步嵌入?yún)^(qū)塊鏈能力到AIoT終端,保障物聯(lián)網(wǎng)設(shè)備接入認(rèn)證、數(shù)據(jù)加密及設(shè)備控制授權(quán)安全。
但是IoT類型很多,需有多種身份管理機(jī)制,而不僅是常規(guī)移動終端使用的對稱密鑰,海量IoT連接需使用分層管理與群組認(rèn)證或多節(jié)點(diǎn)分布認(rèn)證,以免信令風(fēng)暴。IoT還需要具有多對多的端到端聯(lián)合加密功能,既要簡化密鑰但又要有足夠強(qiáng)度。IoT終端由于功耗的限制而難有較強(qiáng)的安全防御能力,而且大連接和永遠(yuǎn)在線,易被木馬入侵成為拒絕服務(wù)攻擊(DDoS)的跳板。車聯(lián)網(wǎng)點(diǎn)到多點(diǎn)和廣播式及繞過網(wǎng)絡(luò)的車輛間直接通信(V2V)也帶來新的安全問題。
6. 智能化的挑戰(zhàn)
5G會借助AI技術(shù)來優(yōu)化網(wǎng)絡(luò)的運(yùn)營管理,但AI目前水平還是“大數(shù)據(jù)大算力小任務(wù)”,不確定性的概率計算模型需要巨量的空間和時間來訓(xùn)練,而且AI結(jié)果還不可解釋。神經(jīng)網(wǎng)絡(luò)目前實質(zhì)是分類器,依賴大量正確標(biāo)注的數(shù)據(jù),但很多場景僅有小數(shù)據(jù)。當(dāng)一些事件和圖像處于AI模型的辨識分界線時,或者受到樣本攻擊時會使AI誤判。攻擊者也會利用AI技術(shù)來發(fā)現(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的漏洞,高級持續(xù)性威脅(APT)攻擊將會更多出現(xiàn)。
7. 數(shù)據(jù)私密性的挑戰(zhàn)
傳統(tǒng)的基于外掛的防火墻、防病毒和入侵檢測的安全措施,因網(wǎng)絡(luò)和算力設(shè)施的虛擬化而作用有限。但它無需對被保護(hù)系統(tǒng)詳細(xì)了解,不涉及被保護(hù)系統(tǒng)內(nèi)部的數(shù)據(jù)。
依賴免疫能力的內(nèi)生防御方式需要對被保護(hù)系統(tǒng)有較深入了解,會跟蹤系統(tǒng)的數(shù)據(jù),且仍需與外部網(wǎng)絡(luò)交互安全威脅情報,數(shù)據(jù)存在外泄風(fēng)險。數(shù)字孿生數(shù)據(jù)可能會通過外網(wǎng)傳輸,僅靠加密仍難避免數(shù)據(jù)被劫持,會映射誤導(dǎo)或遭遇外界勒索。數(shù)據(jù)跨境流動因云化而難定位最終落地點(diǎn),增加對網(wǎng)絡(luò)安全事件追溯的困難。在跨企業(yè)數(shù)據(jù)融合時如何保證數(shù)據(jù)能共享且敏感數(shù)據(jù)不外泄,也是很大的挑戰(zhàn)。清華大學(xué)姚期智院士提出MPC(多方計算)概念來應(yīng)對這一難題,MPC協(xié)議是一種分布式協(xié)議,使用秘密分享、同態(tài)加密、混淆電路、不經(jīng)意傳送四大技術(shù),按照明文數(shù)據(jù)及計算工作沒有離開本地的原則,允許各參與方只提交密文分片,通過既定邏輯共同計算出結(jié)果,但MPC計算量很大,性能還有待改進(jìn)。
8. 數(shù)據(jù)資產(chǎn)化的挑戰(zhàn)
數(shù)據(jù)是生產(chǎn)要素,通過將數(shù)據(jù)分布存儲和加密可以防備數(shù)據(jù)被盜竊或被篡改。但通常對加密的數(shù)據(jù)難以進(jìn)行安全掃描檢測,而且即便是加密的數(shù)據(jù)流,也會被劫持成為DDoS攻擊的炮彈。需要注意的是,一些外部攻擊并不以竊取數(shù)據(jù)為目的而是以勒索為目的,強(qiáng)行將數(shù)據(jù)再加密使原有數(shù)據(jù)的擁有方也無法讀取數(shù)據(jù)。因此需要實時對數(shù)據(jù)進(jìn)行審計與版本核對,防止因數(shù)據(jù)(不論是否已加密數(shù)據(jù))被惡意再加密,防范的關(guān)鍵是堵塞網(wǎng)絡(luò)被入侵的漏洞。
9. 應(yīng)用行業(yè)化的挑戰(zhàn)
能源、交通等融合基礎(chǔ)設(shè)施的信息系統(tǒng)與生產(chǎn)系統(tǒng)緊耦合,對網(wǎng)絡(luò)信息安全的管理比對通信網(wǎng)絡(luò)系統(tǒng)更為困難,即便是內(nèi)網(wǎng)也會因管理不慎,例如通過U盤而內(nèi)外勾連,一旦發(fā)生網(wǎng)絡(luò)安全事件將危害國家重要基礎(chǔ)設(shè)施。
工業(yè)互聯(lián)網(wǎng)底層PLC、MCU、SCADA等數(shù)據(jù)采集與監(jiān)控系統(tǒng)很多為國外產(chǎn)品,原來因在企業(yè)內(nèi)網(wǎng)對其安全隱患知之甚少。企業(yè)的工控軟件也有類似情況,一旦與外網(wǎng)關(guān)聯(lián)則有被利用的安全風(fēng)險。企業(yè)會大量應(yīng)用邊緣計算,而邊緣計算的安全能力不及中心云,也有被劫持的可能。IPv6海量的地址有利于實名制,但攻擊者可以大量利用IPv6地址而掩蓋真實攻擊源身份,而且基于IPv6的分段路由(SR)豐富了路由的選擇,為攻擊者同時使用多路由或隨機(jī)使用路由帶來方便,同時增加了溯源攻擊者路由的困難。
10. 網(wǎng)絡(luò)安全生態(tài)化的挑戰(zhàn)
網(wǎng)絡(luò)安全是涉及業(yè)務(wù)、管理、流程、團(tuán)隊等各方面的系統(tǒng)工程,不僅是技術(shù)更是管理,在企業(yè)內(nèi)要覆蓋業(yè)務(wù)全環(huán)節(jié),實現(xiàn)IT與OT團(tuán)隊融合,還要與外部(生產(chǎn)裝備供應(yīng)商、供應(yīng)鏈、網(wǎng)絡(luò)安全服務(wù)商、電信運(yùn)營商、政府、客戶等)實現(xiàn)網(wǎng)絡(luò)安全威脅情報共享和協(xié)同聯(lián)動。網(wǎng)絡(luò)安全需要有法律法規(guī)保障,需要國際合作,但基礎(chǔ)是建立我國自主可控的網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)的完整體系。
網(wǎng)絡(luò)安全服務(wù)的思考
當(dāng)今社會,每一個企事業(yè)單位、政府、學(xué)校、醫(yī)院等都可能是網(wǎng)絡(luò)安全攻擊的對象,每一個單位都應(yīng)成為網(wǎng)絡(luò)安全責(zé)任的主體,需要從網(wǎng)絡(luò)安全的制度建立、組織管理、隊伍建設(shè)、資金投入等方面全面部署。據(jù)IDC公司報告,我國在信息安全投入占IT投入之比在2017年為1.84%,而全球平均為3.74%,在信息安全投入的結(jié)構(gòu)中,全球平均硬件、軟件和服務(wù)分別為19.3%、36.3%和44.4%,我國為55.3%、18.6%和26.1%,我國在網(wǎng)絡(luò)安全投入方面不足并且重硬輕軟和弱服務(wù),在5G時代如果繼續(xù)這種狀況則后果更加嚴(yán)重。5G時代由于網(wǎng)絡(luò)安全事件越來越復(fù)雜,僅靠本單位的努力往往不夠,需要借助第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的支持。
1. 網(wǎng)絡(luò)安全是產(chǎn)業(yè)更是服務(wù)
產(chǎn)業(yè)講究通用性,而網(wǎng)絡(luò)安全服務(wù)通常具有個性化及永恒性。為降低網(wǎng)絡(luò)服務(wù)的成本,需要將網(wǎng)絡(luò)安全能力做成模塊化可擴(kuò)展,前提是需要有很好的總體架構(gòu)設(shè)計和接口的標(biāo)準(zhǔn)化。由于安全配置和管理復(fù)雜化,需要自動化管理安全功能部署、編排、配置、調(diào)用等以提高效率。
網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)不僅要把客戶當(dāng)成服務(wù)對象,更要把客戶當(dāng)成合作對象,讓安全和業(yè)務(wù)深度融合,實現(xiàn)從銷售硬件為主向安全服務(wù)為主的轉(zhuǎn)變,服務(wù)中還應(yīng)包括網(wǎng)絡(luò)安全人才的培訓(xùn)。
2. 網(wǎng)絡(luò)安全服務(wù)需要在企業(yè)制定網(wǎng)絡(luò)建設(shè)方案的階段介入
企業(yè)網(wǎng)絡(luò)建設(shè)方案的制定需要從網(wǎng)絡(luò)安全角度來審議,網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)應(yīng)具有靈活改變的能力,以鈍化惡意攻擊。要假定網(wǎng)元不可信情況下設(shè)計網(wǎng)絡(luò)架構(gòu),即零信任機(jī)制,但前提是涉及網(wǎng)元的每一操作都需要有信任認(rèn)證,需要為網(wǎng)絡(luò)設(shè)備生成并簽名可信賴代碼,例如為SDN交換機(jī)生成并簽名可信代碼、完整或部分驗證NFV中虛擬網(wǎng)絡(luò)功能(VNF)的代碼,在驗證和執(zhí)行之間保持代碼的完整性。很多安全挑戰(zhàn)是內(nèi)生的,需要增強(qiáng)內(nèi)生免疫能力,但一些內(nèi)生安全防御方案仍難以對抗DDoS攻擊。企業(yè)制定的網(wǎng)絡(luò)部署方案需要進(jìn)行網(wǎng)絡(luò)安全評估,最好邀請專業(yè)的網(wǎng)絡(luò)安全機(jī)構(gòu)來協(xié)助進(jìn)行,或事前聽取網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的咨詢建議。
3. 網(wǎng)絡(luò)安全部署需與基礎(chǔ)設(shè)施同步建設(shè)
網(wǎng)絡(luò)建設(shè)全過程需要有可依據(jù)的安全標(biāo)準(zhǔn)體系、制度規(guī)范和法律法規(guī),網(wǎng)絡(luò)安全軟硬件應(yīng)與基礎(chǔ)設(shè)施一同部署,不應(yīng)作為補(bǔ)丁事后再加入。對于已有的基礎(chǔ)設(shè)施,也需要定期進(jìn)行網(wǎng)絡(luò)安全檢測。政府應(yīng)該支持第三方的應(yīng)用服務(wù)安全檢測環(huán)境和生命周期的安全風(fēng)險評估平臺的建立和開展服務(wù),包括定期發(fā)布網(wǎng)絡(luò)安全態(tài)勢,在政府指導(dǎo)下委托企業(yè)開展網(wǎng)絡(luò)安全風(fēng)險評估,提出網(wǎng)絡(luò)安全改進(jìn)的建議。
4. 網(wǎng)絡(luò)安全需要有大數(shù)據(jù)支撐
SDN、NFV、網(wǎng)絡(luò)切片、智能化運(yùn)維和網(wǎng)絡(luò)安全保障都需要精準(zhǔn)獲得全網(wǎng)業(yè)務(wù)流與網(wǎng)絡(luò)資源的實時大數(shù)據(jù),工業(yè)互聯(lián)網(wǎng)的安全運(yùn)行也需要獲得企業(yè)生產(chǎn)系統(tǒng)與網(wǎng)絡(luò)安全有關(guān)的完整數(shù)據(jù),在制度上需要保證網(wǎng)絡(luò)安全實施主體能集中管理網(wǎng)絡(luò)安全有關(guān)數(shù)據(jù),而且數(shù)據(jù)標(biāo)注與清洗能按標(biāo)準(zhǔn)進(jìn)行。由于企業(yè)擔(dān)心商業(yè)秘密的安全而不可能向其委托的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)提供較全面的數(shù)據(jù),網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)需要使用數(shù)據(jù)增強(qiáng)技術(shù)從有限的數(shù)據(jù)樣本中進(jìn)行模型訓(xùn)練,以便優(yōu)化模型,發(fā)現(xiàn)安全隱患。
5. 開發(fā)并應(yīng)用軟件代碼可信賴檢測技術(shù)
鑒于從開源軟件中發(fā)現(xiàn)安全漏洞的工作量很大,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)需要開發(fā)通過使用自然語言標(biāo)準(zhǔn)文檔的機(jī)器翻譯來快速提取開源軟件信息的方法,所提取的信息用作自動化遵從性測試、正確性證明、協(xié)議執(zhí)行完整性檢查等,確保網(wǎng)絡(luò)內(nèi)代碼值得信賴。
網(wǎng)絡(luò)安全是個大系統(tǒng)工程,網(wǎng)絡(luò)安全總是魔高一尺道高一丈。在數(shù)字經(jīng)濟(jì)時代,網(wǎng)絡(luò)安全的影響愈加嚴(yán)峻,網(wǎng)絡(luò)安全的重要性前所未有。隨著5G等新一代信息技術(shù)應(yīng)用的進(jìn)一步深入與普及,網(wǎng)絡(luò)安全新挑戰(zhàn)層出不窮,網(wǎng)絡(luò)安全技術(shù)與產(chǎn)業(yè)及服務(wù)也將得到更大的發(fā)展,網(wǎng)絡(luò)安全的技術(shù)與管理創(chuàng)新永遠(yuǎn)在路上。(本文刊登于《中國信息安全》雜志2020年第10期)
來源:中國信息安全