書名: 5G安全:數智化時代的網絡安全寶典作者名: 余曉光等編著本章字數: 2535字更新時間: 2023-12-06 18:04:26
序
我國5G與發達國家同期商用,至今已有三年。自 5G 商用之始,關于5G安全的熱點一直持續,而且上升為一些國家的戰略。2019年5月,美國聯合部分國家在布拉格召開5G安全大會并發布《布拉格提案》;2020年3月,美國白宮發布了《國家5G安全戰略》,美國總統特朗普簽署了《2020年5G安全保障法》;2020年8月,美國國土安全部網絡安全和基礎設施安全局(CISA)發布了《CISA 5G 戰略》;2020年12月,美國國防部發布了《5G技術實施方案》報告,提出了5G安全路線圖;2021年2月,美國國家標準與技術研究院(NIST)發布了《5G網絡安全實踐指南》;2021年5月,美國國家安全局(NSA)與國家情報總監辦公室(ODNI)和CISA聯合發布了《5G 基礎設施的潛在威脅向量分析報告》。2019年10月,歐盟國家網絡安全協作組(NIS)發布了《歐盟5G網絡安全風險評估報告》;2019年11月,歐洲網絡和信息安全局發布了《5G網絡安全威脅全景圖》;2020年1月和7月,歐盟國家網絡安全協作組(NIS)先后發布了《5G網絡安全風險消減措施工具箱》和《歐盟成員國5G網絡安全工具箱實施進展》。
事實上,5G 在安全技術上比4G有較多的改進和加固,但以下方面使得5G安全問題凸顯:一是5G技術更復雜,導致影響安全的因素增多;二是 5G 推動新一代信息技術無縫融合,數據安全問題因 5G 而被更多關注;三是 5G 擴展應用從消費到工業,這些領域對網絡與信息安全更為敏感;四是一些國家對5G安全借題發揮,摻雜了冷戰思維,給5G安全貼上政治標簽。
關于5G的安全技術,在接入認證方面,5G 用戶終端號碼從明文改為加密傳輸,去除了基于手機用戶識別碼(IMSI)對用戶非法跟蹤威脅,5G 用戶面和控制面的數據均加入了完整性保護。5G的通用認證機制(GBA)較傳統的短信認證和賬密認證等方式有更高的安全性,適合車聯網等對安全要求高的場景。在網間訪問安全方面,增加了 5G 訪問地網絡與歸屬地網絡間的安全邊緣保護。5G 支持網絡切片,為指定業務提供 VPN 通道,實現安全隔離。5G 基于服務化架構(SBA)實現核心網用戶面與控制面功能分離,其用戶面功能(UPF)可下沉到客戶所在地,并利用 IPv6 地址的多歸屬特性實現業務按目的地地址分流,保證客戶敏感數據不外泄。
5G與4G相比,在網絡架構上采用了不少新技術,在增加網絡配置靈活性和效率的同時,也存在安全隱患。在2021年5月美國國家安全局(NSA)等發布的《5G 基礎設施的潛在威脅向量分析報告》中分析了 5G 系統架構涉及軟件/配置、網絡安全、網絡切片、傳統通信基礎設施、多址邊緣計算、頻譜共享、軟件定義網絡七方面的威脅。軟件定義網絡(SDN)將傳送與控制分離,集中控制選路會成為網絡安全攻擊的重點,惡意攻擊者可能會在 SDN 控制器應用程序中嵌入代碼來控制網絡資源。傳統依賴物理邊界防護的安全機制在虛擬化下難以應用,大量使用的開源軟件會引入安全風險。SBA 使網絡功能以通用接口的方式對外開放,這與傳統移動網絡封閉的業務管理相比,惡意第三方容易通過獲得的網絡操控能力對網絡發起攻擊。網絡切片增加了網絡的復雜性,并且切片的隔離也可能面臨非授權用戶接入的風險。
5G的安全問題還體現在5G與新一代信息技術的融合上。5G的高帶寬、低時延、大連接使得物聯網感知的數據能快速上云,AI 的決策也能第一時間反饋到物聯網執行,5G 成為融合新一代信息技術的紐帶,貫穿了數據從采集到分析的全過程,發揮了數據作為生產要素的作用。但萬物互聯使得大量簡易且缺乏足夠安全保障的傳感器連接到 5G,擴大了 5G 被攻擊的暴露面。諾基亞發布的《2020年威脅情報報告》顯示,2019年全球受感染的物聯網設備占總數的 32.7%。邊緣計算造成網絡及用戶數據下沉至網絡邊緣,邊緣計算節點的安全機制缺失或策略錯誤配置可能導致非授權的邊緣計算網關接入、邊緣節點過載和邊界開放 API 濫用等風險。企業為了服務的多樣化會使用多云,多云協同增加了安全管理的復雜性,云網融合使得網絡物理邊界模糊,給5G核心網的可靠性與穩定性保障帶來挑戰。
5G 開拓了工業互聯網與智慧城市的應用領域,這些新的應用領域尤其是關鍵基礎設施的重要性被黑客所看重,甚至會被敵對勢力選為實施網絡戰的目標。企業和社會經濟的重要信息系統如果受到黑客入侵,輕則被勒索使財產遭遇很大的損失,重則使基礎設施癱瘓,一旦發生系統中斷和數據泄露,會對社會經濟穩定帶來嚴重危害。社會經濟對5G的依賴越深,5G安全的責任越大。
關于5G安全還有技術之外的考慮。《5G 基礎設施的潛在威脅向量分析報告》提出,在 5G 系統架構之外還有政治標準與供應鏈兩大影響要素,以意識形態畫線來判斷 5G 設備供應商是否安全,“司馬昭之心路人皆知”。該報告提到人為干預供應鏈的做法提醒我們關注 5G 設備的底層安全,包括芯片與操作系統,需要以零信任的理念來防范我們尚不能自主可控的核心器件及軟件的安全漏洞。應對5G安全問題需要技術與管理并重,2020年11月、2021年4月和 6月在德國、加拿大和法國先后發生的移動網絡中斷事故,都與軟件升級有關。5G網絡復雜,運維人員缺乏網絡功能虛擬化、軟件定義網絡的技能,網絡的錯誤配置會激活漏洞,運維經驗不足導致安全風險難以被及時有效處置。
盡管 5G 存在安全風險,但網絡安全總是在不安全環境中走過來的,“魔高一尺,道高一丈”,網絡安全永遠在路上。而且我們還要看到 5G 具有支撐社會和產業安全的重要作用,5G 物聯網在社會治安管理和經濟運行安全監測等方面得到廣泛的應用,2022年2月,國務院印發的《“十四五”國家應急體系規劃》就提到要充分利用物聯網、工業互聯網、遙感、視頻識別、5G 等技術提高災害事故監測感知能力。
“云安全聯盟叢書”將5G安全作為重點,叢書編委會及本書作者李雨航院士等都有豐富的網絡安全研究開發實踐經驗,他們來自 5G 領域研究領先或應用先行的企業,包括華為技術有限公司、云安全聯盟大中華區、中國移動通信集團公司、中國南方電網有限責任公司、中國信息通信研究院等。本書從網絡組成(接入網、傳輸網和核心網)、安全技術(身份認證、終端安全、信息安全、切片安全)和運維管理(運營、業務開放、測試和工程建設)等多個維度來介紹5G安全,給出了安全方案與應用案例。本書內容全面,深入淺出,適合從事電信行業、安全行業、應用5G的各行業技術與管理人員及高校學生閱讀。希望本書能激發更多從業者關注5G安全,投身5G安全創新研究與開發工作,創造更多的5G安全管理及運維經驗,為 5G 所支撐的各行各業的運行提供安全保障。
中國工程院院士