关于5G网络内生安全的思考

2023-10-30 11:29苗守野
信息通信技术 2023年4期
关键词:网元核心网内生

苗守野

中国联合网络通信集团有限公司 北京 100033

引言

5G支持更高带宽、更低时延、更大连接的特性将推动通信技术向各行业融合渗透,为社会带来新的变革。5G在开启万物互联新局面的同时,5G新业务、新架构、新技术也带来了新的安全挑战和风险,其安全性不仅关系到个人通信安全,还影响到所连接的工业、能源、交通、医疗等实体经济安全,5G网络风险防范成为各国政府、国际标准组织、电信运营和设备制造企业高度关注的焦点。

1 全球为提升5G网络安全持续努力

1.1 3GPP持续优化完善安全标准,消减5G网络风险

近年来,3GPP SA3工作组持续对5G各场景的安全威胁和风险进行分析,不断优化完善5G安全标准,已演进到R18版本。相比2/3/4G网络,5G网络安全能力进一步增强,例如更好的空口安全、用户隐私保护增强、更好的漫游安全、密码算法增强、核心网增强的SBA安全、用户面提供完整性保护等等。

在5G垂直行业应用安全方面,3GPP标准为各垂直行业提供了丰富且定制化的安全特性,例如支持IoT设备小数据传输安全、支持URLLC的冗余会话传输安全、支持切片的认证和授权、支持多种私网形态的灵活认证,以满足不同行业的多样性安全需求,并向第三方开放3GPP安全能力。

1.2 GSMA联合3GPP提出5G网络安全保障方案(NESAS)

在5G设备安全认证方面,GSMA联合3GPP定义网络设备安全保障方案(NESAS)[1],对移动网络设备的开发过程及设备验证进行安全评估。其提供了一个全行业的安全保障框架,以促进整个移动行业的安全级别的提高。NESAS定义了安全产品开发和产品全生命周期的安全要求和评估框架,并使用3GPP定义的SCAS(安全保障规范)中的安全测试用例对网络设备进行安全评估。NESAS认证是评估5G设备商安全能力的重要手段[2],促进了移动通信领域全球产业界运营商、设备商之间安全合作互信。全球主流设备商均通过开展NESAS/SCAS认证,有效提升了5G设备的安全性。

1.3 GSMA提出的5G安全知识库可以指导运营商消减5G网络风险

5G安全知识库是GSMA联合5G产业生态构建的5G网络安全指南,为保障移动通信网络安全提供了参考和依据[3]。5G安全知识库按照“应用安全、网络安全、设备安全”三层模型,针对不同的网络威胁,明确应用提供者、运营商、设备厂商应采取的消减措施,共同保障5G网络安全。它围绕5G端到端网络安全架构,描述网络威胁、安全场景、攻击方法、消减措施、安全标准及最佳实践等,同时在安全治理、运营管理以及网络部署等方面给出相关建议。

2022年,中国联通研究院在GSMA提交了5G安全知识库2.0优化建议,得到GSMA专家的认可。

2 运营商5G网络防护现状与不足

2.1 5G网络安全防护现状

运营商保护网络安全的核心目标是:保证用户数据的安全和网络的可用性,确保网络不瘫痪,在受到网络攻击时,能发现和阻断攻击、快速恢复网络服务。全球运营商已采用多种技术手段,保护5G网络不被入侵,确保用户数据不被窃取。目前采用的安全技术手段主要包括如下几种。

1)业务连续性保障

通过设备冗余、链路冗余等,确保网络韧性和业务连续性,防止网络故障引发的网络中断和瘫痪。

2)网络纵深安全防护体系

通过划分网络安全域,实现分层分域的纵深安全防护。在网络安全域划分的基础上,在各安全域的边界部署安全防护、安全检测、安全监测等网络安全设备。

安全防护设备:通过部署防火墙、堡垒机、4A系统等限制非法的网络访问,通过入侵防护系统(IPS)基于流量分析发现网络攻击行为并进行阻断,通过抗DDoS攻击设备防范各类拒绝服务攻击流量[4]。

安全检测设备:部署网络安全扫描器、WEB应用扫描器、安全配置核查系统等发现网络和系统的各类安全漏洞、设备配置不合规等。

安全监测设备:通过入侵检测、态势感知、安全审计等技术手段动态分析入侵行为、安全事件、违规操作等[5]。

运营商通过建立纵深安全防护体系,及时发现安全漏洞和风险、防范各类入侵和网络攻击、检测安全入侵事件,同时对安全事件及时响应和处置。

3)网络安全运营

在网络级纵深安全防护体系基础上,运营商还建立安全管理平台以支撑网络运营,例如安全运营管理中心SOC、安全事件分析与应急响应平台、资产与漏洞管理平台等等,对网络安全事件进行监控、分析和响应。

运营商建立设备或软件入网验收机制。在设备部署期间对产品进行安全加固,例如安装最新安全补丁、关闭不需要的端口与服务、制定访问策略、修改初始账户密码、关闭远程登录通道等等。在网络运行期间,定期进行安全健康检查,扫描网络漏洞,管理设备版本和补丁的升级和更新,以及设备软硬件生命周期的维护。

2.2 当前5G安全防护体系存在的不足

1)5G安全防护体系性不足

目前,全球运营商在电信网络安全防御体系方面,缺乏可以参考的安全标准,各运营商根据自己的实践经验在部署安全系统,缺乏体系性的安全架构设计。5G网络的管理面、控制面和用户面连接的是三张不同的承载网,面临的安全风险差异极大,因此三个平面的安全防御体系需要单独设计。5G网络面临的最大风险来自管理网,如何消减管理面风险,零信任接入、微隔离、堡垒机、SASE等是现阶段防范管理网被入侵的主要手段;5G网络控制面也面临核心网云化、能力开放、UPF下沉到边缘引入的安全风险,例如UPF暴露在园区网环境,存在通过UPF攻击核心网的风险等。

2)外挂补丁式边界防护存在短板

5G网络包括海量的基站、UPF、边缘云等网络暴露面资产,还有大量的垂直行业应用终端,同时还有位于运营商电信云上的核心网网元等,资产数量多,暴露面风险突出。传统外挂式、边界防护等安全建设思路难以应对新的安全风险[6]。

当前运营商5G核心网部署在电信云资源池上,在核心网边界部署安全防护设备,纵深防御不足,一旦突破边界防御,在核心网内部就可以实现横向攻击。从全球安全案例来看,突破运营商网络防御边界的案例屡见不鲜。例如,2022年初,葡萄牙某运营商的5G核心网云化资源池被入侵,攻击者删除了核心网虚拟机,导致大面积断网。

5G暴露面资产分散,难以集中部署安全防护设备。例如5G基站面临无线空口攻击,在基站上难以部署“外挂式”安全产品,例如无法部署传统防火墙防护海量基站所面临的无线空口DoS攻击和无线频谱干扰;5G用户面网关UPF数量多,暴露在园区网,受攻击的可能性大,部署外挂式安全产品的成本过高。

3)数智化程度不足难以支撑高效安全运营

对5G基础设施设备威胁检测能力不足,一旦出现针对海量5G设备的攻击,通过人工方式难以在初始阶段快速发现和消减5G安全风险。运营商超百万个5G基站、数万个UPF分散部署在全国,仅仅依赖部署在核心网边界的安全设备无法有效感知全网安全风险,运营商现有安全态势感知平台等,在缺乏数智化安全分析、策略编排和响应能力情况下,难以支撑高效安全运营[7]。

3 内生安全助力打造5G坚强网络

针对5G网络当前面临的安全挑战,5G设备内生安全是有效应对之道。5G设备内生安全,是将网络安全能力与5G设备融合内生,使得5G设备具备“自主免疫力”,让5G端到端网络环境具有更强健的“肌体”,从而能增强网络韧性,提高5G网络抗攻击能力。“内生安全”与“外挂式安全”不是非此即彼、相互割裂的关系,而是需要互为补充,有机结合[8]。设备内生安全能力可以增强网络肌体的“免疫”能力,但不能完全代替网络边界外挂安全设备实现网络“穿盔戴甲”。

3.1 5G网络的内生安全目标

5G内生安全要将安全能力内置(Build-in)在网元设备上,而不再是在设备上安装外挂(Add-on)安全组件[9]。这种内生安全能力属于设备网元的原生能力,需要和业务深度融合,网元具备自我安全监控、防护、响应能力,在不影响电信业务的前提下,实现网元内生的检测、防护和处置闭环。

5G网络内生安全是5G网络自身具备的原生安全能力,其目标是:由运营商制定内生安全规范要求,设备商具体实现。网元内生安全要具备安全检测、防护和事件处置能力,从而让5G网络具有自动检测、主动防护、精准防护的能力,将关键资产和资源(数据、接口、账号、组件)的网络安全风险降到运营商可接受的水平,实现5G网络持续、稳定、可靠运行。

设备商要将安全功能内置到设备网元的硬件层、OS层、虚拟化层及业务层,提供软件包防篡改、操作系统防护、重要核心数据防护、网元安全监控防护响应等能力,确保入侵者进不来、拿不走、改不了、跑不掉。

业务无损:不影响5G网络业务性能,实现99.999%可靠性,并要确保部署升级业务零中断、不新增网元暴露面等。

3.2 5G设备内生安全需求

5G设备内生安全能力应包括5G设备网元内生的通用安全能力、特有的安全防护和检测能力、网元间安全隔离防护能力、安全可视化管理及安全风险自动化处置能力。

1)通用的设备内生安全能力。设备硬件层内生可信芯片、密码加速芯片等安全芯片,为设备提供硬件可信根;操作系统层面内生内核保护、进程防护、安全启动、可信度量、主机检测等安全能力;虚拟化层面提供虚机隔离、容器隔离、容器逃逸检测等安全能力;电信业务层内生接入安全控制、协议安全、信令安全、业务异常检测、重要核心数据保护等业务层的内生安全能力。

2)不同5G设备网元内生的特有安全特性。无线基站内生防止空口DDoS攻击[10]、频谱干扰检测,安全弱配置主动检查,基站自身进程、文件和用户操作等异常行为自主及时发现,并且可快速定位止损的能力;核心网元运行在电信云资源上,应具备攻击感知(基于白名单检测并感知攻击事件,防破坏和信息窃取)、入侵检测(检测异常账号、信息窃取、权限提升、异常行为操作、非法文件篡改等安全攻击事件)、病毒检测(检测蠕虫/木马/勒索等恶意软件植入安全事件)、微隔离(基于白名单的细粒度网络访问控制,防止横向访问攻击扩散)等能力。

3)5G网元间安全隔离防护。域内网元间实现微隔离,即基于5G网络内确定性业务访问关系,根据精细化的访问控制策略,实现网元间全域实时安全隔离[11]。

4)5G网元安全可视化管理。5G网元内生安全组件发现的异常事件和行为与威胁情报、漏洞库等关联,在网元管理系统(网元安全管理中心)层面构建安全风险可视及管理能力,基于网元/网络云资产视角以及安全事件视角实现安全风险整体可视。网元安全管理中心以资产维度呈现网元当前的安全状态,风险评分及TOP级攻击事件,保障网络安全运营人员可以快速发现异常并及时采取相关处置措施。

5)5G安全风险自动化处置。网元安全管理中心应具备快速响应和处置能力,通过预定义和自定义脚本构建安全事件响应处置策略,并基于安全策略及应急响应机制,构筑调整—处置—恢复—优化闭环的自适应安全处置体系。

3.3 内生安全的附加特性要求

5G内生安全的具体落地,需要在对5G网络业务深刻理解的基础上,实现业务无损、检测全面精准、快集成和易维护等要求。

1)业务无损。相对于外挂安全软件,内生安全能力需要保障对5G网络业务本身无影响,资源占用消耗率低,可以随业务动态拉起等特点。在保障5G网络自身安全的同时,近似“零存在”地为业务服务,实现5G正常运行和安全保障的平衡。

2)检测全面精准。以电信业务模型库为基础,基于电信领域的确定性知识,构建确定性的白名单和行为基线,降低误报率。通过持续性信任评估、多维深度检测、防护和响应,可应对各种安全风险。

3)快集成。可以和电信业务系统预集成,和电信系统一起安装调试,无需额外集成测试。

4)易维护。通过网元安全管理,使5G业务的运维人员具备网元安全运营管理能力,让网元的安全防护、检测能力等可以和5G业务软件完成同步部署、变更、扩缩容,让网元安全管理融入日常运营管理。

4 内生安全现网实践

4.1 5G内生安全解决方案的整体架构

针对第二章、第三章所述相关威胁和挑战以及目标,提出以下5G网络内生安全架构,如图1所示。

图1 5G网络安全架构图

1)设备安全:制定设备安全规范,要求设备商将内生安全功能融入产品,确保设备的软硬件可信,防止设备被非法入侵、控制,支撑构建网络韧性。

2)网络安全:打造嵌入式网络安全能力,将安全嵌入业务,实现高效的安全管理和网络韧性,使能行业应用安全。包括以下三个层面的安全能力:

网络功能安全:电信级的横向网络韧性,确保设备间网络通讯的机密性、完整性、可用性;

安全管理:感知业务的安全策略编排、感知业务的安全事件检测、提升安全有效性和运维安全效率;

使能行业安全:从安全能力变现的目标出发,基于网+云的安全能力,保护行业客户5G应用安全。

3)应用安全:5G赋能各个垂直行业,行业应用在环境、业务、资产、运营等层面具有不同的特征,在实际应用中,不同行业、不同应用有不同的安全需求。需要充分应用5G基础设施以及围绕5G网络打造嵌入式网络安全能力,使垂直行业的应用安全充分受益。

4.2 5G内生安全解决方案

内生安全理念应成为全行业的统一行动。首先,应推动5G内生安全成为行业标准,并在实践中持续优化演进。设备内生安全的概念、内涵、功能、范围需要明确,设备内生安全与网络安全管理平台之间的接口需要确定。在5G向5.5G、6G网络演进过程中,内生安全也应成为其重要特征与内在要求。

其次,推动5G基础设施内生安全能力在现网落地。围绕5G基础设施设备的“启动—运行—退网”生命周期,确保进入运营商网络的每一个5G设备都是安全可信的;通过内生安全能力,让5G网络具备更强壮的“肌体”,在网络攻击面前具备更强大的免疫能力;内生的安全防护、威胁检测和响应处置能力,要让维护人员实现高效安全运营。

再次,将零信任、动态身份评估、微隔离等纵深防护思路应用到5G场景。结合垂直行业应用终端接入、MEC边缘虚拟化网络、5G网络安全运营等重点场景,建立维护人员、网元设备、5G终端的动态身份信任评估机制,并结合可信接入、微隔离等新技术,实现对人员和5G设备、终端的接入可信、访问可信和操作可信的多重访问控制,防止对5G网络的非法接入、越权访问等。

最后,设备内生安全应与AI、SOAR等新技术、新模式结合,探索建设5G网络安全能力新平面,实现5G网络安全能力向垂直行业外溢[12]。运营商可基于大数据、AI安全、SOAR等新技术,聚合5G设备内生安全、外挂式安全产品、5G终端安全等多种安全数据,构建自动化的安全运营平台,为垂直行业提供态势感知、通报预警和应急响应能力。同时,5G网络内生的安全能力开放,例如基于USIM卡的认证能力、基于核心网的应用认证与密钥管理能力(AKMA)等,可以为行业应用安全性保驾护航。

4.3 5G内生安全现网验证

中国联通已联合设备商,率先在某省公司完成全球首个引入第三方攻防验证的5G核心网内生安全试点验证,取得了良好的效果,为支撑公司打造坚强网络提供了有效保障。如图2所示,实践基于GSMA 5G安全知识库指引,面向提升5G核心网安全运营能力,突破传统的边界防护思路,充分结合核心网超高可靠性运行要求和技术特点,构建5G核心网内生安全创新型高效解决方案。

图2 5G核心网内生安全部署视图

本次创新试点主要验证了在运行安全、运维安全、系统安全和资产风险可视四大核心场景,覆盖快捷轻量部署、高效合规检查、敏捷入侵检测、一键处置响应、全量资产管理和极低性能损耗等六大关键能力。在功能测试过程中,测试用例100%通过,构造了数万次攻击100%检出;在性能测试过程中,完成了全球首个在百万话务量场景下内生安全技术对业务影响、资源占用及可靠性测试,虚拟机CPU使用率和物理内存占用率符合预期,真正做到了业务无损;在攻防测试过程中,全球首次在真实环境引入了第三方攻防测试,攻击涉及10+类场景和数百件安全事件,事件均被检出,通过一键处置响应能力成功阻断攻击,充分验证了5G核心网内生安全优秀的安全防护能力。

5 结语

5G内生安全的理念已在行业主管部门、运营商、设备商之间逐步形成共识。为加强5G网络安全防护,通信行业主管部门在5G安全指南等相关要求中,提出加强5G安全技术和产品研发,推动内生安全、零信任安全、动态隔离等技术研究和实践落地。针对5G核心网、边缘计算平台等5G网络基础设施,推动容器安全、微隔离等虚拟化安全防护产品及5G空口和信令防护检测等安全产品的部署应用,提升5G内生安全能力和5G网络威胁的感知能力。下一步,内生安全理念应成为全行业的统一行动,加快推动5G内生安全成为行业标准并在现网落地,将零信任、动态身份评估、微隔离等纵深防护思路应用到5G场景,充分结合AI、SOAR等新技术、新模式,探索建设5G网络安全能力新平面,实现5G网络安全能力向垂直行业赋能。

内生安全作为一种理念,不仅适用于5G网络,还应推广运用到整个电信网络。内生安全应作为电信网络关键信息基础设施保护能力的重要手段,可以在实现关键信息基础设施“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”过程中发挥重要作用。

猜你喜欢
网元核心网内生
植物内生菌在植物病害中的生物防治
内生微生物和其在作物管理中的潜在应用
GSM-R核心网升级改造方案
“党建+”激活乡村发展内生动力
一种全网时钟同步管理方法
授人以渔 激活脱贫内生动力
5G移动通信核心网关键技术
通信核心网技术的应用探讨
VoLTE核心网建设方案
Java EE平台在综合网元管理系统中的应用研究