基于業務確定性構建5G內生安全體系架構
持續的 5G 創新和演進不斷賦能千行百業,在礦山、港口等領域的規模應用大力推動了產業數字化轉型。截至目前,全球已有超過 200 個運營商部署了 5G 網絡。5G 安全對國計民生具有重要影響,網絡安全成為國際上 5G 領域最受關注的熱點之一。通信行業國際組織第三代合作伙伴計劃(3GPP)、全球移動通信系統協會(GSMA)等已發布了 5G 安全相關測評標準,歐美國家也不斷提出 5G 安全防護方案,并持續利用在國際領域的優勢引導基于 IT 安全的 5G 測評方法,但是業界至今仍然沒有就 5G 安全達成統一共識。我國通信行業在 5G 網絡建設、5G 行業應用等方面處于全球領先地位,在 5G 網絡安全防護方面也不斷進行技術創新和探索。總體看,5G 安全防護仍然高度依賴各運營商的安全認知及防護手段,5G 安全在全球 5G 商用多年后依然是研究與討論的熱點。
一、5G 通信網安全的重要性前所未有
基于 5G 網絡打造可預期、可驗證和性能指標可保障的專網,為行業提供確定性網絡能力,是當前 5G 國際標準演進及應用研究的熱點。網絡安全將直接影響到 5G 可靠性,也會影響時延、帶寬、抖動等確定性指標。因此,行業應用對 5G 提出了確定性安全要求,也就是在防入侵、防濫用等安全防護方面實現可預期、可管、可控、有確定性特征的保障水平。同時,國際社會也對 5G 安全給予足夠關切。歐盟網絡安全局(ENISA)在《ENISA 威脅視圖 2022》(ENISA Threat Landscape 2022)中指出,通信業是僅次于金融業受到網絡攻擊最多的行業。其中,高級持續性威脅(APT)攻擊成為主要威脅之一。5G 作為關鍵基礎設施,承載了很多重要生產系統,對網絡安全提出了極高要求。根據 GSMA 的報告《移動通信安全威脅視圖(2020)》(Mobile Telecommunications Security Landscape2020),某國外運營商調研發現超過 70% 的受訪者表示對 5G 安全高度關切。
(一)5G 安全面臨重大挑戰
當前,全球關鍵基礎設施成為網絡攻擊的重要目標。2022 年 2 月,英國運營商沃達豐的葡萄牙子公司遭到破壞性網絡攻擊,導致 4/5G、固話等網絡中斷,嚴重影響日常生產生活。在俄烏沖突中,針對關鍵基礎設施的持續網絡攻擊,也再次引發全球對關鍵基礎設施保護的高度關注。
5G 引入了軟件定義網絡(SDN)/網絡功能虛擬化(NFV)等新技術,網元從傳統的先進電信計算平臺(ATCA)硬件架構轉向全面軟件化,在擁有靈活性、韌性等優勢的同時,也會面臨虛擬化、開放性等帶來的安全風險。在 To B 專網等應用場景中,客戶側環境相對傳統運營商機房更加不可控,面臨新的安全攻擊。
因此,希望 5G 能為重要行業應用提供相對確定的、可預期的安全保障,減少安全的不確定性。例如,對業務連續性、穩定性要求極為嚴格的工業領域而言,傳統移動通信網絡以“盡力而為”方式“一網提供所有業務”的模式不再適用,取而代之的是滿足不同應用場景、不同安全等級的確定性剛性需求。
(二)5G 安全呼喚持續創新
通信網絡對可靠性、穩定性要求較高,電信級要求甚至已成為網絡高質量的代名詞。為了不影響通信網可靠性,運營商普遍高度重視通信網邊界安全防護,在網絡邊界部署防火墻、入侵防御系統(IPS)等安全手段,在網絡關鍵節點集中建設安全能力,期望將安全威脅隔離在網絡之外,同時通過加強安全管理、安全運維等方式消除網絡內部的安全風險。
但是,上述安全模式難以發現、檢測網絡內部的安全威脅,存在明顯缺陷。攻防實戰和攻防演練活動都充分驗證了這種集安全防護于一點的模式將會導致安全風險高度集中,極易帶來“一點突破、危害全網”的風險,甚至在極端情況下可能會出現 5G 網元被完全刪除的重大安全事件。
二、各國應對 5G 安全的思路不盡相同
歐美將 5G 網絡視為最大的單體關鍵基礎設施系統,在傳統的安全防護、風險評估、安全認證等基礎上,不斷提出新的增強型安全要求。
(一)美國利用 IT 技術優勢,引導圍繞 IT 安全的 5G 測評及防護
美國近年來持續加大 5G 安全標準化研究投入。2022 年,美國國家標準技術研究院(NIST)發布《5G 安全——方法、架構及安全特征》(5GCybersecurity-Approach,Architecture,and Security Characteristics),圍繞 5G 數據中心架構安全、5G 接口、5G 業務等提出安全能力要求,并給出不同廠商的安全解決方案。同年,美國國土安全部下屬的網絡安全和基礎設施安全局(CISA)和國防部研究工程局(USD(R&E))聯合發布《5G 安全評估過程調查》(5G Security Evaluation Process Investigation),在傳統 NIST 風險管理框架(RMF)基礎上,提出 5G 安全評估新需求。同時,美國政府也加大安全國際標準的參與力度,資助部分公司、研究機構積極參與國際標準制定工作。例如,MITRE 公司在 GSMA 大力推動基于傳統 IT 安全的對抗戰術、技術和常識(ATT&CK)對 5G 進行安全測評,利用其掌握的 APT 攻擊手法,引領 5G 安全檢測發展方向。
(二)歐盟強化安全認證,提出 5G 安全通用準則
歐盟網絡安全局在發布《歐盟 5G 網絡安全風險評估報告》(EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks) 和《5G 網絡威脅視圖》(Threat Landscape for 5G)后,又提出《歐盟 5G 網絡安全風險消減工具箱》(Cybersecurity of 5GNetworks EU Toolbox of Risk Mitigating Measures),制定一套通用的安全管理與技術措施,為成員國選擇風險消減提供指導意見。其中,《歐盟 5G 網絡安全風險消減工具箱》強調推動標準化、安全認證,加速歐盟 5G 安全方案的落地,并提出對 5G 安全能力的要求。歐盟通過制定電子通信準則(EECC)及指南等一系列監管措施,明確通信網在網絡運維、網絡安全防護等方面的通用準則,為指導成員國落實歐盟安全相關要求提供更加清晰的技術指引。同時,針對 5G 網絡安全,歐盟單獨出臺 EECC 的 5G 補充說明,細化對 5G 網絡的安全要求。
(三)英國提出新的通信安全要求,重點關注網管及互聯互通
英國提出電信安全框架——原則、要求和測試(Telecoms Security Framework-PRINCIPLES,REQUIREMENTS AND TESTS,TSR)要求,并將相應內容納入《電信安全實踐準則》(Telecommunications Security Code of Practice)之中,適用于包括 5G 在內的通信網絡。TSR 的通信網安全域劃分與我國通信行業比較類似,但是,針對網絡互聯互通及網管安全這兩大安全風險點,TSR 提出更高要求的運維架構標準,并強調對網間互聯信令進行檢測、重組。在網元安全方面,TSR 也明確要求具備入侵檢測等安全能力。
三、基于業務確定性特征的安全防護新思路
我國在 5G 網絡建設、5G 行業應用等領域處于全球領先地位。截至 2022 年 10 月,我國 5G 基站數量已超過 220 萬個,專網數量超過 5000 個。在網絡安全方面,隨著《關鍵信息基礎設施安全保護條例》的實施及國家標準 GB/T 39204-2022《信息安全技術關鍵信息基礎設施安全保護要求》的發布,運營商作為重要的關基設施運營者也不斷探索 5G 安全防護新思路。總體而言,運營商需要依據相關要求,對 5G 實行重點防護、特殊防護,并持續開展技術創新。
在 5G 實際運營過程中,面向攻防實戰進行安全防護體系建設成為當前新形勢下的必然選擇。網絡攻擊的方法、環境、工具等都不斷發生變化,快速發現、精準檢測、有效防護成為 5G 安全防護的關鍵。在攻防博弈過程中,收集所有攻擊特征、開展特征匹配,成本越來越高、效果越來越弱,逐漸成為不可持續的防護方式。在一些關鍵基礎設施系統中結合業務特征僅允許業務系統期望的行為、網絡連接、資源,在可預期的運行環境中進行業務防護、檢測等將成為更有效的安全模式。
(一)圍繞確定性特征實現 5G 內生安全
近年來,內生安全成為行業廣受關注的一種安全理念。但是,學界、業界對此有不同理解,因為實現內生安全的產品和技術多樣、功能不一。運營商對內生安全的需求如下:網元、網絡、應用在設計和實現時就具備安全防護與檢測能力,并將安全能力原生(SecurityNative)內嵌在網元及網絡,取代傳統的補丁式與外掛式安全防護架構。從業務的角度出發,為保障業務穩定運行,5G 網元中需要運行的進程、協議、配置文件等是明確的,而這些明確的資源就是 5G 業務在網元層的確定性特征。基于這些確定性特征,若檢測發現 5G 網元有其他進程和端口運行,則可能是網絡攻擊導致。因此,基于通信網業務確定性特征,實現安全檢測與防護,成為 5G 內生安全的一種重要實現方式。
(二)基于確定性特征的 5G 內生安全體系架構
基于 5G 確定性特征,可以從網元層、網絡層、業務層分別構建原生實現的安全能力共同構建 5G 內生安全體系架構。
圖 5G 內生安全體系架構
1.網元層安全
基于資源確定性進行網元運行安全檢測。根據 5G 業務需求,網元運行時需要資源具有高度確定性,例如進程、文件、服務、端口、數據等系統資源,基本不會發生變化或者變化均可預期。以業務需求制定網元確定性特征基線可以發現網元運行異常,達到防入侵、防病毒等目的,同時,也可以輔助特征匹配等方式進行網元入侵檢測。
表 網元層各資源確定性特征
同時,應用可信計算、證書等安全根技術,基于系統的確定性,能夠實現網元啟動時的安全狀態檢測,確保網元可信關系從底層傳遞到上層應用,筑牢系統安全基礎。
2.網絡層安全
基于網元間確定的通信關系進行訪問控制。5G 業務流程決定了網元間的通信需求,基于網元之間確定的通信關系能夠實現精準的網元訪問控制,可以減少橫向攻擊,避免網絡攻擊危害放大。這種與業務相結合實施網元間的訪問控制,也是 5G 實現微隔離的最好方式,可以避免傳統安全方案存在的網絡兼容性、安全策略精準性欠佳等缺陷。
基于 5G 網絡確定的信令檢測流量異常。5G 核心網內的流量主要包括信令流、管理流等,類型較少,格式明確。除此之外的流量均可認為是疑似異常流量,需進一步分析。基于流量確定性特征建設核心網全流量分析能力,能夠實現 5G 核心網內部異常流量管控。
3.業務層安全
基于業務承載的確定性發現網絡攻擊。基于動態冗余架構的系統有助于減少攻擊成功率,但是相應代價也較大。借鑒冗余架構思想,同時引入欺騙防御理念,在核心網部署少量不承載業務的欺騙性網元。對欺騙性網元的訪問與交互,屬于確定性業務預期之外的行為,可能成為核心網的異常訪問攻擊。
基于業務預期的內容阻斷網絡攻擊。對核心網而言,互聯互通等業務信令內容是可以預期的,信令字段取值范圍也相對確定。然而,在信令傳遞過程中核心網不可避免會面臨傳統的傳輸控制協議/網際協議(TCP/IP)等網絡攻擊。借鑒工控安全防護中常用的邊界數據擺渡方式及英國 TSR 提出的邊界信令重組模式,在核心網網絡邊界僅將信令內容傳遞到網內,而把網絡連接終結在邊界,從而消除邊界面臨的各種網絡攻擊,特別是減少利用零日(0day)漏洞的網絡攻擊。
(三)基于確定性特征的安全架構優勢
與傳統安全檢測相比,基于上述網元層、網絡層與業務層確定性特征而構建的5G安全防護體系,在安全檢測能力上在三個方面具有突出優勢。
1.安全檢測資源占用少、可靠性高
通信網絡對可靠性、實時性要求較高,在業務處理時需要保證充足的系統資源。因此,安全檢測功能不能占用過多系統資源,以免影響網元處理通信業務的性能。傳統網絡安全檢測采用的特征匹配方式資源消耗較多,在通信高峰期容易造成網元擁塞,而結合業務確定性特征的安全檢測方式,資源占用少,不會影響網元穩定性、可靠性。
2.安全檢測以業務為中心、功能穩定
傳統網絡安全檢測技術,大多以網絡安全攻擊為中心,收集與分析盡可能多的安全威脅、攻擊方式及攻擊特征。這種基于攻擊特征的安全檢測,通常以檢測攻擊的維度或數量為評判標準,需要不斷升級攻擊特征。另外,傳統安全方案在處置安全風險時,一般以系統安全為目標,可能忽略通信業務需求。例如,在網元的病毒檢測與處置中,存在為了系統安全而中止通信業務的情況。因此,以業務為中心的 5G 安全檢測能夠確保業務健康穩定運行。
3.安全檢測適用于信令安全防護、減少業務攻擊
信令控制著通信業務的建立和釋放,是通信網絡的神經中樞,而信令安全也是通信業務安全中關鍵的部分。針對信令的攻擊可以造成中斷業務、篡改或竊取通信內容等危害,傳統的安全手段難以檢測信令攻擊。因此,信令安全防護一直是通信網安全防護的主要挑戰之一。5G 網絡采取了超文本傳輸協議(HTTP)等通用協議,信令安全攻擊相對更加容易,風險更大。基于業務確定性特征,業務所需的信令格式和協議字段內容明確,圍繞確定性特征可以檢測異常信令。與傳統攻擊模式匹配的方式相比,這種模式能夠更好地發現業務攻擊,提升 5G 整體安全。
