国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

面向垂直行業(yè)的5G專網(wǎng)安全解決方案的研究

2022-02-10 02:15:32陳三強(qiáng)喬思遠(yuǎn)羅海龍張曉兵鐘君毅
信息通信技術(shù) 2022年6期
關(guān)鍵詞:專網(wǎng)終端能力

陳三強(qiáng) 喬思遠(yuǎn) 羅海龍 張曉兵 鐘君毅

奇安信科技集團(tuán)股份有限公司 北京 100044

引言

近年來我國致力于加快5G建設(shè),5G應(yīng)用融入各行各業(yè),為千行百業(yè)的數(shù)字化轉(zhuǎn)型注入新動能。5G與垂直行業(yè)的融合創(chuàng)新發(fā)展,將推動數(shù)字中國、智慧社會建設(shè),加速中國新型工業(yè)化進(jìn)程,為中國經(jīng)濟(jì)發(fā)展注入新動能。然而5G在與垂直行業(yè)深度融合的同時,也帶來了更加嚴(yán)峻的安全挑戰(zhàn)。

國際知名咨詢機(jī)構(gòu)Gartner[1]提出5G時代的安全策略應(yīng)包括縱深防御、持續(xù)性及自適應(yīng)、以及零信任,如圖1所示。其中縱深防御涉及整體安全協(xié)調(diào),端到端系統(tǒng)的安全和更高程度的安全自動化;持續(xù)優(yōu)化和自適應(yīng)涉及自適應(yīng)風(fēng)險決策,以及持續(xù)的透明度與評估;零信任是通過對實時用戶認(rèn)證與設(shè)備狀態(tài)判斷,以及通過軟件定義邊界與微隔離的手段,構(gòu)建新型的信任模型和管理方式,滿足任何設(shè)備隨時隨地訪問應(yīng)用和服務(wù)的安全需要。

圖1 Gartner 5G安全策略

本文參考Gartner提出的5G安全理念,從新架構(gòu)、新技術(shù)、新業(yè)務(wù)角度全面分析面向垂直行業(yè)的5G專網(wǎng)中存在的安全風(fēng)險,提出了一套面向垂直行業(yè)的“縱深防御+零信任防護(hù)+深度安全運(yùn)營”的5G專網(wǎng)安全解決方案思路。

1 面向垂直行業(yè)的5G專網(wǎng)安全風(fēng)險分析

5G網(wǎng)絡(luò)向網(wǎng)元虛擬化、架構(gòu)開放化、編排智能化的方向演進(jìn)發(fā)展,為5G專網(wǎng)服務(wù)能力的靈活化和定制化提供了技術(shù)上的保障,5G專網(wǎng)根據(jù)網(wǎng)絡(luò)時延、安全隔離度、網(wǎng)絡(luò)可靠性等差異化的能力,滿足不同的應(yīng)用場景的定制化通信服務(wù)需求。根據(jù)行業(yè)用戶對公共網(wǎng)絡(luò)的安全隔離程度、時延等要求的不同,5G專網(wǎng)主要可分為以下三種類型[2],如圖2所示。

圖2 5G專網(wǎng)類型

1)獨(dú)立專網(wǎng):與5GC公網(wǎng)完全獨(dú)立,在企業(yè)園區(qū)內(nèi)建設(shè)專用基站,使用專用頻率,部署園區(qū)定制5G核心網(wǎng)和專用園區(qū)級UPF,根據(jù)業(yè)務(wù)需求,提供專屬無線網(wǎng)絡(luò),最大程度上保障時延、帶寬、安全性等各項承載要求,一般面向?qū)Π踩砸蠓浅8叩男袠I(yè)用戶。

2)混合專網(wǎng):根據(jù)業(yè)務(wù)需求,將UPF、MEC等核心網(wǎng)網(wǎng)元下沉至邊緣機(jī)房或園區(qū),同時對業(yè)務(wù)覆蓋區(qū)域增強(qiáng)無線網(wǎng)絡(luò)覆蓋強(qiáng)度,提升業(yè)務(wù)承載能力,一般面向有數(shù)據(jù)不出園區(qū)和低時延等要求的行業(yè)用戶。

3)虛擬專網(wǎng):共享公網(wǎng)的基礎(chǔ)設(shè)施,通過QoS、切片、DNN等服務(wù)的方式,將終端接入專用標(biāo)識的客戶內(nèi)網(wǎng),一般面向?qū)Π踩砸笙鄬ι缘偷男袠I(yè)用戶。

本文以“混合專網(wǎng)”的部署方式作為典型場景,以運(yùn)營商網(wǎng)絡(luò)作為邊界,將5G專網(wǎng)安全威脅分為域外安全威脅和域內(nèi)安全威脅兩種。

1.1 5G專網(wǎng)域外的安全風(fēng)險分析

5G專網(wǎng)域外的安全風(fēng)險,如圖3所示。

圖3 5G專網(wǎng)域外安全風(fēng)險

1)終端安全威脅:垂直行業(yè)會用到大量的物聯(lián)網(wǎng)設(shè)備,總量大、計算能力低,具有突發(fā)性的網(wǎng)絡(luò)接入特征,是威脅入侵的重點(diǎn)。終端面臨的威脅主要包括終端被竊取、偽造;系統(tǒng)存在漏洞,被植入惡意程序;無人維護(hù)的物聯(lián)網(wǎng)終端易受到非法控制;非法終端直接或通過CPE間接接入5G網(wǎng)絡(luò),攻擊園區(qū)業(yè)務(wù)系統(tǒng);SIM卡被插放到惡意終端上,帶來終端認(rèn)證鑒權(quán)的失效;終端非法接入和訪問企業(yè)專網(wǎng),造成敏感數(shù)據(jù)的泄露等。

2)空口安全威脅:空口指用戶終端和基站設(shè)備間的空中無線信號傳播,安全威脅主要表現(xiàn)在對用戶數(shù)據(jù)的竊取和篡改;制造空口信令風(fēng)暴,利用DDoS攻擊拒絕用戶接入;偽基站安全風(fēng)險以及空口惡意干擾等安全威脅。

3)運(yùn)維管理安全威脅:主要表現(xiàn)為運(yùn)維管理系統(tǒng)可能會受到系統(tǒng)入侵、非授權(quán)訪問或越權(quán)訪問的風(fēng)險,篡改、泄露管理信息;合法用戶進(jìn)行惡意操作;以及遭受web攻擊(SQL注入等),惡意軟件植入等安全威脅。

4)行業(yè)應(yīng)用安全威脅:行業(yè)應(yīng)用側(cè)面臨用戶數(shù)據(jù)的泄露、篡改;DDoS攻擊使數(shù)據(jù)業(yè)務(wù)服務(wù)被拒絕;通過能力開放API進(jìn)行非授權(quán)訪問等安全威脅。

1.2 5G專網(wǎng)域內(nèi)的安全風(fēng)險分析

5G專網(wǎng)域內(nèi)的安全風(fēng)險,如圖4所示。

圖4 5G專網(wǎng)域內(nèi)安全風(fēng)險

1)SBA架構(gòu)威脅:主要包括NRF可能被進(jìn)行DoS攻擊導(dǎo)致服務(wù)無法被注冊發(fā)現(xiàn)的風(fēng)險;攻擊者假冒NF接入核心網(wǎng)網(wǎng)絡(luò),進(jìn)行非法訪問;NF間傳輸通信數(shù)據(jù)被竊聽和篡改的風(fēng)險;利用業(yè)界公開已有的HTTPS協(xié)議漏洞進(jìn)行攻擊;切片非法接入、跨切片的攻擊等威脅。

2)網(wǎng)元間接口、網(wǎng)元內(nèi)模塊間安全威脅:核心網(wǎng)網(wǎng)元間或網(wǎng)元內(nèi)模塊間可能存在傳輸數(shù)據(jù)被竊聽、篡改,以及非法訪問網(wǎng)元、網(wǎng)元內(nèi)模塊的風(fēng)險。

3)組網(wǎng)安全及下沉網(wǎng)元安全威脅:相比運(yùn)營商機(jī)房完善的物理安全措施,專網(wǎng)設(shè)備部署在相對不完全的物理環(huán)境,管理控制能力減弱,更容易遭受設(shè)備物理攻擊,如攻擊者非法訪問物理服務(wù)器的I/O接口,獲得敏感信息;下沉5G網(wǎng)絡(luò)設(shè)備部署在客戶機(jī)房,存在仿冒、非授權(quán)訪問等風(fēng)險。

4)虛擬化網(wǎng)絡(luò)功能安全:虛擬化模糊了傳統(tǒng)網(wǎng)絡(luò)邊界,通過物理隔離部署的網(wǎng)絡(luò)安全措施不再適用。容器或虛機(jī)鏡像可能會被惡意篡改,攻擊者利用Host OS或虛擬化軟件漏洞發(fā)起攻擊;隔離不當(dāng)會造成資源越權(quán)訪問、非法授權(quán)控制的風(fēng)險,如利用容器或虛機(jī)逃逸來攻擊主機(jī)或主機(jī)上的其他容器和虛機(jī),利用低防護(hù)能力的切片作為攻擊跳板攻擊其他切片;此外開源軟件的使用也會引入大量的安全漏洞。

5)MEC安全威脅:MEC應(yīng)用存在App的越權(quán)訪問,App間資源搶占的安全風(fēng)險,影響其他App的正常使用;在隔離控制不當(dāng)?shù)那闆r下,可能存在惡意App對MEC平臺或UPF的攻擊,進(jìn)而影響5G核心網(wǎng);NF/App鏡像包可能會被病毒和木馬感染,以及被惡意篡改;UPF與MEC的一體機(jī)形態(tài)則存在資源搶占、橫向攻擊的風(fēng)險,導(dǎo)致UPF的功能和性能受到影響;MEP可能會遭受DDoS攻擊,進(jìn)而影響MEP的可用性,以及存在越權(quán)運(yùn)維管理,濫用資源的風(fēng)險。

6)流量安全威脅:信令面和媒體面的數(shù)據(jù)存在被非法攔截和竊聽,流量數(shù)據(jù)被惡意偽造,以及利用畸形報文進(jìn)行流量攻擊的風(fēng)險。

2 面向垂直行業(yè)的5G專網(wǎng)安全需求分析

5G網(wǎng)絡(luò)所面臨的威脅和挑戰(zhàn)與4G基本一致,但新技術(shù)、新架構(gòu)、新業(yè)務(wù)也給5G網(wǎng)絡(luò)帶來了全新的安全挑戰(zhàn)。5G網(wǎng)絡(luò)的安全需求可歸納為如下三種類型。

1)新架構(gòu)帶來的網(wǎng)絡(luò)演進(jìn)的安全需求:主要是指5G網(wǎng)絡(luò)自身安全架構(gòu)的延續(xù)和增強(qiáng)[3-4],包括終端入網(wǎng)的認(rèn)證鑒權(quán)增強(qiáng)、5G網(wǎng)元交互流程安全、無線空口的機(jī)密性、完整性、可用性等,這部分內(nèi)容在3GPP安全標(biāo)準(zhǔn)中已有相應(yīng)的安全解決方案進(jìn)行了討論和解決,屬于5G自有的安全機(jī)制。

2)新技術(shù)帶來的IT演進(jìn)的安全需求:5G引入了各種新技術(shù),加速了IT與CT的融合,同時也將傳統(tǒng)IT領(lǐng)域的安全問題引入了CT領(lǐng)域,如云化架構(gòu)在5G中的廣泛使用,需要考慮主機(jī)安全、虛擬化安全、容器安全以及計算資源資產(chǎn)的安全使用。

3)新業(yè)務(wù)帶來的業(yè)務(wù)演進(jìn)的安全需求:5G與垂直應(yīng)用場景相融合,安全需求的范疇有了更大的突破和延伸,ToB場景下的eMBB、mMTC、uRLLC面臨個性化和差異性的安全需求,需要充分考慮網(wǎng)絡(luò)切片、邊緣計算等5G自身特點(diǎn),基于業(yè)務(wù)特點(diǎn)滿足安全的需要。

在以上3個方面中,3GPP安全標(biāo)準(zhǔn)更多的是從網(wǎng)絡(luò)演進(jìn)的安全角度進(jìn)行了自有安全機(jī)制的增強(qiáng),但在IT演進(jìn)和業(yè)務(wù)演進(jìn)的方面,5G自有的安全機(jī)制還無法完全覆蓋和保障垂直行業(yè)5G安全的落地和應(yīng)用,在5G自有的安全機(jī)制背景下,還需要從多個維度進(jìn)行安全能力的補(bǔ)充和提升[5-6],如表1所示。

表1 5G專網(wǎng)安全需求分析

3 面向垂直行業(yè)的5G專網(wǎng)安全解決方案研究

3.1 5G專網(wǎng)安全框架研究

內(nèi)生安全最早源于生物領(lǐng)域的生物免疫系統(tǒng),后被借鑒和延續(xù)到科技領(lǐng)域、IT領(lǐng)域、CT領(lǐng)域。內(nèi)生安全能夠為網(wǎng)絡(luò)提供一個全新的安全理念乃至安全范式,啟發(fā)以“向內(nèi)轉(zhuǎn)、向內(nèi)思考”的視角來重新認(rèn)知和看待網(wǎng)絡(luò)安全問題。內(nèi)生安全是網(wǎng)絡(luò)的一種綜合能力,這個能力由一系列安全能力構(gòu)成,這些安全能力共同協(xié)作構(gòu)成自感知、自適應(yīng)、自生長的網(wǎng)絡(luò)免疫體系。它要求安全與網(wǎng)絡(luò)系統(tǒng)的設(shè)計與建設(shè)同步進(jìn)行,同時能夠在網(wǎng)絡(luò)運(yùn)行中進(jìn)行適應(yīng)和變化,隨系統(tǒng)業(yè)務(wù)的提升而提升,最終來持續(xù)保障網(wǎng)絡(luò)及業(yè)務(wù)和數(shù)據(jù)的安全[7]。

基于“內(nèi)生安全”的理念,面向垂直行業(yè)的5G專網(wǎng)需要結(jié)合不同行業(yè)用戶業(yè)務(wù)場景的差異性,充分考慮其對安全需求側(cè)重點(diǎn)的不同,基于行業(yè)場景確定相應(yīng)的安全建設(shè)思路。

本文以組件化的安全技術(shù)能力為基礎(chǔ),提出了一套面向垂直行業(yè)5G專網(wǎng)的安全技術(shù)能力框架模型,形成10大增強(qiáng)安全技術(shù)能力組件,如圖5所示,一是以“縱深防御”為核心的基礎(chǔ)安全、終端安全、核心網(wǎng)流量安全、MEC安全、NFV虛擬化安全、以及企業(yè)側(cè)的云數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全和業(yè)務(wù)系統(tǒng)安全;二是以“零信任”為核心的零信任5G安全接入;三是以持續(xù)深度“安全運(yùn)營”為核心的5G安全測評服務(wù)和安全運(yùn)維管理。該模型相比Gartner的框架做了更合理的分層梳理,清晰地描述出5G自有的安全機(jī)制與5G增強(qiáng)安全技術(shù)能力的關(guān)系,形成“能力互補(bǔ)”,可為垂直行業(yè)構(gòu)建覆蓋“端、邊、云、網(wǎng)”的5G專網(wǎng)安全建設(shè)提供有效的參考。

組件化的安全技術(shù)能力框架,是將網(wǎng)絡(luò)安全技術(shù)能力映射成可執(zhí)行、可建設(shè)的網(wǎng)絡(luò)安全技術(shù)能力組件的重要工具,組件化的安全技術(shù)能力能夠在安全能力解耦的基礎(chǔ)上形成不同的安全技術(shù)組件,根據(jù)不同的場景需求以快速搭建個性化、針對性的組件。在實際應(yīng)用中,將安全技術(shù)能力組件與信息化組件進(jìn)行融合,使安全技術(shù)能力對信息化能力進(jìn)行完整的覆蓋。

如圖5所示,藍(lán)色部分為5G基礎(chǔ)的安全能力,當(dāng)工作場景、安全保障目標(biāo)與傳統(tǒng)公眾通信網(wǎng)絡(luò)相同時,通過繼承當(dāng)前通信網(wǎng)絡(luò)安全保障技術(shù)即可滿足,通常由運(yùn)營商提供,這里包括了3GPP定義的5G自有安全機(jī)制;而紅色部分的安全能力,主要是為應(yīng)對行業(yè)應(yīng)用場景、高資產(chǎn)價值帶來的安全風(fēng)險,在基礎(chǔ)能力之上,通過增強(qiáng)的安全能力才能滿足,需要垂直行業(yè)客戶結(jié)合自身的業(yè)務(wù)需求進(jìn)行重點(diǎn)規(guī)劃和建設(shè)。本文重點(diǎn)討論5G專網(wǎng)部分的安全解決方案,因此圖5企業(yè)側(cè)部分的安全不做重點(diǎn)論述。

圖5 5G專網(wǎng)安全框架

3.2 5G專網(wǎng)安全技術(shù)能力研究

1)基礎(chǔ)安全技術(shù)能力

一是物理安全。在公網(wǎng)專網(wǎng)場景中,可能會以UPF、UPF+SMF、UPF+AMF+SMF等形態(tài)下沉,這些網(wǎng)元部署在地市甚至是客戶園區(qū)層面,需要做好網(wǎng)元自身的安全加固與防護(hù),確保物理I/O的可信接入。同時,根據(jù)國家等保相關(guān)要求,MEP以及云側(cè)MEC業(yè)務(wù)管理平臺所在機(jī)房應(yīng)滿足其所承載MEC業(yè)務(wù)的等級保護(hù)要求。運(yùn)營商應(yīng)對客戶側(cè)機(jī)房提出物理環(huán)境要求,同時為降低數(shù)據(jù)泄露風(fēng)險,敏感數(shù)據(jù)不應(yīng)在本地存儲。另外,下沉網(wǎng)元設(shè)備應(yīng)具備防拆、防盜、防篡改等物理安全保護(hù)機(jī)制,采用具備相關(guān)功能的安全機(jī)柜來提高物理環(huán)境安全。

二是組網(wǎng)安全。網(wǎng)絡(luò)按照流量類型劃分為管理平面、業(yè)務(wù)平面、存儲平面,不同平面間流量采用物理隔離,保證從物理層面互不干擾,同一平面不同功能接口之間進(jìn)行子網(wǎng)劃分,進(jìn)行邏輯隔離。根據(jù)5G網(wǎng)絡(luò)組網(wǎng)架構(gòu)、網(wǎng)絡(luò)功能及部署方式,5G專網(wǎng)可劃分為用戶終端域、無線接入域、核心網(wǎng)域、核心用戶域、支撐管理域,邊緣計算域、企業(yè)業(yè)務(wù)域等幾個大的安全域,如圖6所示。

圖6 5G網(wǎng)絡(luò)安全域

根據(jù)與互聯(lián)網(wǎng)連接暴露程度以及自身安全級別,業(yè)務(wù)節(jié)點(diǎn)應(yīng)在安全域下繼續(xù)劃分安全子域,不同安全子域在計算、存儲、網(wǎng)絡(luò)等資源上應(yīng)進(jìn)行隔離,并在域間采用防火墻、ACL等措施實施訪問控制。應(yīng)加強(qiáng)控制管理平面的訪問控制,僅允許指定管理網(wǎng)元訪問管理平面端口,降低非授權(quán)接入的安全風(fēng)險。

三是邊界安全。不同的安全域之間需設(shè)置邊界防護(hù)和安全隔離措施,采用部署防火墻、入侵防御、防病毒網(wǎng)關(guān)等方式來實現(xiàn),對跨域互聯(lián)的流量進(jìn)行隔離、訪問控制和攻擊防護(hù),同時根據(jù)實際需要開啟防病毒功能。

2)終端安全技術(shù)能力

按照類型劃分,終端可分為主機(jī)終端、移動終端以及物聯(lián)網(wǎng)終端三種典型的終端類型。5G時代終端安全的核心訴求為識別、保護(hù)和監(jiān)管?!白R別”是準(zhǔn)確發(fā)現(xiàn)企業(yè)終端資產(chǎn),識別并標(biāo)定其數(shù)字化身份;“保護(hù)”是防止惡意終端接入網(wǎng)絡(luò),防止企業(yè)的數(shù)據(jù)外泄;“監(jiān)管”是監(jiān)管終端的安全態(tài)勢。因此終端的安全需要強(qiáng)化身份認(rèn)證、訪問控制和自身安全性的基本防護(hù),涉及終端的合規(guī)與加固、威脅防御與檢測、終端管控與審計、數(shù)據(jù)防泄漏,以及管理與安全運(yùn)營等幾個方面的安全能力。同時,針對不同終端在不同的應(yīng)用模式中也需要采取不同的安全防護(hù)措施。

3)MEC安全技術(shù)能力

MEC的安全防護(hù)繼承了電信云數(shù)據(jù)中心的安全防護(hù)手段,包括云化基礎(chǔ)設(shè)施的加固,虛擬化的網(wǎng)絡(luò)安全服務(wù)等。同時,在MEC平臺安全方面,首先應(yīng)對MEC平臺及其軟件進(jìn)行安全加固,對鏡像進(jìn)行完整性保護(hù),對敏感數(shù)據(jù)進(jìn)行加密和完整性保護(hù)、對MEApp進(jìn)行身份認(rèn)證、授權(quán)訪問;其次要加強(qiáng)對開放接口API的安全管控,對API接口調(diào)用采用證書等方式進(jìn)行認(rèn)證與鑒權(quán),具備防重放攻擊、中間人攻擊等安全防護(hù)手段;第三應(yīng)在MEC平臺相關(guān)組件之間應(yīng)啟用TLS加密傳輸,并對傳輸參數(shù)進(jìn)行簽名驗證,防止信息被篡改;此外對于MEC節(jié)點(diǎn)部署在用戶側(cè)業(yè)務(wù)場景,應(yīng)建立隔離措施,防止MEC節(jié)點(diǎn)向核心網(wǎng)發(fā)起攻擊。

4)NFV虛擬化安全技術(shù)能力

5G網(wǎng)絡(luò)是以虛擬功能網(wǎng)元的形式部署在云化基礎(chǔ)設(shè)施上,網(wǎng)絡(luò)功能由軟件實現(xiàn),以達(dá)到按需彈縮、靈活部署,高效利用資源。虛擬化網(wǎng)絡(luò)共享物理資源,使得傳統(tǒng)以物理實體為核心的安全防護(hù)技術(shù)已經(jīng)不再適用,因此針對虛擬化的安全防護(hù),需要從基礎(chǔ)架構(gòu)的安全、東西向流量的安全、容器的安全進(jìn)行展開,同時需要安全管理部分負(fù)責(zé)對安全資源池做統(tǒng)一的安全納管,負(fù)責(zé)組件編排及策略調(diào)度等管理功能。

5)核心網(wǎng)流量安全技術(shù)能力

5G網(wǎng)絡(luò)復(fù)雜和開放性以及各行業(yè)多樣化的應(yīng)用接入,使5G網(wǎng)絡(luò)面臨信令安全、用戶訪問安全的巨大挑戰(zhàn),垂直行業(yè)應(yīng)用需要加強(qiáng)信令面與用戶面的安全協(xié)同,通過對信令面和用戶面的全流量檢測分析,保障5G ToB核心網(wǎng)的安全。將信令面設(shè)備入網(wǎng)、地理位置等信息,與用戶面流量的日志檢測、文件還原、威脅情報、入侵攻擊檢測相結(jié)合,發(fā)現(xiàn)由于外部攻擊、干擾或配置不當(dāng)造成的5G核心網(wǎng)運(yùn)行異常,實現(xiàn)安全攻擊分析、信令安全分析、切片安全分析以及溯源取證等效果,實現(xiàn)5G全流量安全分析能力閉環(huán),如圖7所示。

圖7 核心網(wǎng)流量安全技術(shù)能力

6)零信任5G安全接入技術(shù)能力

5G網(wǎng)絡(luò)自身提供了終端的接入認(rèn)證、二次認(rèn)證等縱向認(rèn)證措施,確保終端接入主站的合法性。具體手段有以下幾種。

①雙向鑒權(quán)和加密:RAN側(cè)啟用5G UE與5G網(wǎng)絡(luò)進(jìn)行雙向鑒權(quán)和加密,防止仿冒5G UE接入5G網(wǎng)絡(luò)。

②機(jī)卡綁定:核心網(wǎng)側(cè)將終端USIM卡的IMSI與設(shè)備IMEI進(jìn)行綁定認(rèn)證,如果二者不匹配則拒絕接入網(wǎng)絡(luò)。

③二次認(rèn)證:基于3GPP二次認(rèn)證架構(gòu)及標(biāo)準(zhǔn)協(xié)議完成終端到DN-AAA服務(wù)器之間的終端二次鑒權(quán)認(rèn)證,二次認(rèn)證失敗后則不允許終端訪問企業(yè)業(yè)務(wù)。

④安全模塊認(rèn)證:終端集成安全模塊,與中心側(cè)安全網(wǎng)關(guān)之間建立VPN數(shù)據(jù)傳輸通道,實現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證。

在實際應(yīng)用中,需要基于業(yè)務(wù)的安全等級和縱向認(rèn)證要求,靈活使用相應(yīng)的鑒權(quán)認(rèn)證模式,此外可以利用在5GC配置IMSI與園區(qū)DNN或園區(qū)切片S-NSSAI對應(yīng)關(guān)系,限制僅在園區(qū)IMSI清單內(nèi)的終端才可以接入專網(wǎng);通過用戶位置信息,限制僅在園區(qū)內(nèi)位置的終端才可以接入專網(wǎng);通過在5GC配置TAI list與園區(qū)切片S-NSSAI對應(yīng)關(guān)系,限制僅能從園區(qū)基站才能接入專網(wǎng)等,來保證5G終端對專網(wǎng)的接入安全。

運(yùn)營商以USIM卡為基礎(chǔ)進(jìn)行單一的身份識別,利用5G網(wǎng)絡(luò)提供的接入安全體系,確保了合法的設(shè)備接入5G核心網(wǎng),然而這種認(rèn)證方式?jīng)]有完整地將身份認(rèn)證與業(yè)務(wù)認(rèn)證進(jìn)行統(tǒng)一。通過零信任機(jī)制,可以將CT入網(wǎng)和漫游認(rèn)證等信息作為基礎(chǔ)環(huán)境安全要素,將IT持續(xù)認(rèn)證和行為分析結(jié)果,反饋給CT作為用戶入網(wǎng)控制的決策依據(jù),將用戶的身份信息、地理位置信息、終端的環(huán)境信息和業(yè)務(wù)有效結(jié)合起來,實現(xiàn)動態(tài)的安全認(rèn)證,如圖8所示。

圖8 5G零信任安全接入

通過5G與零信任的有效結(jié)合,就可以基于CT信息、用戶屬性、信任等級,實現(xiàn)對不同場景下,比如用戶訪問、API調(diào)用、運(yùn)維訪問等場景的動態(tài)控制能力。

7)運(yùn)維管理安全技術(shù)能力

5G運(yùn)維管理安全主要是對5G網(wǎng)絡(luò)設(shè)備、人員、流程等進(jìn)行安全管理,并按照“三同步”要求滿足行業(yè)安全監(jiān)管要求,通過安全運(yùn)維實時監(jiān)測5G專網(wǎng)的運(yùn)行狀況,及時發(fā)現(xiàn)和處置安全風(fēng)險。

運(yùn)維管理安全首先應(yīng)具備資產(chǎn)管理功能,能對5G相關(guān)資產(chǎn)進(jìn)行自動識別、基礎(chǔ)數(shù)據(jù)的收集、處理和統(tǒng)計分析,能對專網(wǎng)的設(shè)備和組件制定安全配置基線要求,定期實施基線核查和漏洞掃描作業(yè),對核查和掃描結(jié)果進(jìn)行處理和管控。

其次是定期對專網(wǎng)內(nèi)各類日志信息和安全事件信息進(jìn)行統(tǒng)一的匯總和分析,建立態(tài)勢感知系統(tǒng),如圖9所示。態(tài)勢感知平臺以可視化的方式,從宏觀到微觀提升安全監(jiān)測和數(shù)據(jù)呈現(xiàn)能力,全面掌握網(wǎng)絡(luò)安全狀態(tài),發(fā)現(xiàn)安全威脅,及時處置;對威脅提前預(yù)判、預(yù)防,對安全事件及時預(yù)警,評估風(fēng)險,快速響應(yīng),形成閉環(huán)處置能力,降低事件影響。

圖9 集中化安全運(yùn)營

第三應(yīng)對內(nèi)部管理人員和第三方維護(hù)人員進(jìn)行集中的身份認(rèn)證管理與訪問控制,建議基于零信任方案實現(xiàn)維護(hù)管理人員的認(rèn)證授權(quán)管理、訪問控制和行為操作安全審計,遵循權(quán)限最小化原則,建立權(quán)限分離機(jī)制。

8)5G安全測評技術(shù)能力

5G網(wǎng)絡(luò)和系統(tǒng)在正式運(yùn)行前,應(yīng)結(jié)合國家和行業(yè)的安全標(biāo)準(zhǔn)對5G網(wǎng)絡(luò)的安全狀況進(jìn)行系統(tǒng)的評估[8],通過5G網(wǎng)絡(luò)安全測評,拉通通信網(wǎng)絡(luò)、行業(yè)應(yīng)用網(wǎng)絡(luò)的安全需求,滿足行業(yè)差異化的安全需求。

安全測評整體分為設(shè)備級安全測評、網(wǎng)絡(luò)級安全測評、行業(yè)應(yīng)用級安全測評,以及安全攻防測試共4部分內(nèi)容,如圖10所示,分別從設(shè)備供應(yīng)商、通信運(yùn)營商、行業(yè)客戶和攻擊者4個不同的視角出發(fā),確保5G設(shè)備、5G網(wǎng)絡(luò)、行業(yè)應(yīng)用的安全性,同時通過模擬黑客的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對目標(biāo)系統(tǒng)做深入的探測和滲透入侵,嘗試發(fā)現(xiàn)系統(tǒng)安全的最薄弱環(huán)節(jié)。

圖10 5G網(wǎng)絡(luò)安全測評技術(shù)框架

3.3 5G專網(wǎng)安全解決方案

5G專網(wǎng)的安全技術(shù)能力框架充分考慮5G網(wǎng)絡(luò)特點(diǎn)、安全現(xiàn)狀和行業(yè)應(yīng)用場景,基于“內(nèi)生安全”思想將5G網(wǎng)絡(luò)包括上層應(yīng)用進(jìn)行解構(gòu),將安全能力、組網(wǎng)結(jié)構(gòu)和業(yè)務(wù)場景三者進(jìn)行深度融合,從而構(gòu)建面向行業(yè)應(yīng)用場景化、安全能力系統(tǒng)化的5G安全解決方案。

首先,在端、網(wǎng)、云等基礎(chǔ)設(shè)施層面,構(gòu)建聯(lián)合作戰(zhàn)的“縱深防御”安全體系,通過物理安全、組網(wǎng)安全、邊界安全、終端安全、MEC安全、核心網(wǎng)全流量安全等維度,監(jiān)測并預(yù)防5G網(wǎng)絡(luò)中信令和數(shù)據(jù)交互帶來的風(fēng)險,對網(wǎng)絡(luò)安全事件深度挖掘,結(jié)合網(wǎng)絡(luò)的基礎(chǔ)設(shè)施情況和運(yùn)行狀態(tài),對網(wǎng)絡(luò)安全態(tài)勢做出評估,對未來可能遭受的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)測,提供針對性的預(yù)防建議。

其次,在5G應(yīng)用安全保障層面,以“零信任”為核心進(jìn)行防護(hù),將核心網(wǎng)對設(shè)備的認(rèn)證與行業(yè)側(cè)對業(yè)務(wù)的認(rèn)證相結(jié)合并持續(xù)進(jìn)行信任評估,提高防護(hù)精度,確保合適的人、在合適的時間、以合適的方式,訪問合適的業(yè)務(wù)數(shù)據(jù)。

第三,在5G網(wǎng)絡(luò)的持續(xù)深度“安全運(yùn)營”方面,通過運(yùn)維管理安全、5G安全測評服務(wù),構(gòu)建5G場景下的安全檢測與評價體系,梳理識別5G網(wǎng)絡(luò)中的安全資產(chǎn),分析安全威脅風(fēng)險,借助專業(yè)工具進(jìn)行實戰(zhàn)化的攻防測試,檢驗5G應(yīng)用系統(tǒng)應(yīng)對各種類型攻擊的實際效果,及時消除隱患,不斷提升安全防御能力。

4 成功案例

某智能制造企業(yè)為滿足工業(yè)生產(chǎn)需求,聯(lián)合運(yùn)營商搭建5G虛擬企業(yè)專網(wǎng),目前已建設(shè)5G基站37個,室分基站9套,MEC兩套,通過5G+MEC實現(xiàn)了機(jī)器設(shè)備相關(guān)生產(chǎn)數(shù)據(jù)的本地分流和實時分析處理,為企業(yè)用更少的人力成本,帶來了更大的生產(chǎn)力和更高的決策精度和速度。

在5G專網(wǎng)安全層面,該項目以內(nèi)生安全的理念為指引,規(guī)劃設(shè)計了5G專網(wǎng)的安全體系,將安全能力框架與場景安全需求相結(jié)合,覆蓋了組網(wǎng)安全、終端安全、MEC安全、核心網(wǎng)流量安全、運(yùn)維管理安全等多個5G安全技術(shù)能力框架組件,打通了CT安全、IT基礎(chǔ)設(shè)施安全和OT業(yè)務(wù)安全三個層面,實現(xiàn)了在5G專網(wǎng)場景下對工業(yè)資產(chǎn)、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用的集中管理、集中監(jiān)測、集中運(yùn)維、集中分析,通過統(tǒng)一的IT-CT-OT綜合態(tài)勢體系,全面提高了工業(yè)企業(yè)的風(fēng)險預(yù)警、安全防護(hù)和安全運(yùn)營的水平,如圖11所示。

圖11 某智能制造企業(yè)5G專網(wǎng)安全設(shè)計

5 結(jié)語

5G在行業(yè)應(yīng)用具有先進(jìn)性和不可替代性,是未來數(shù)字經(jīng)濟(jì)的關(guān)鍵驅(qū)動力,其安全保障能力對于垂直行業(yè)的快速、平穩(wěn)發(fā)展至關(guān)重要。5G專網(wǎng)是涉及多網(wǎng)融合的信息和業(yè)務(wù)系統(tǒng),需要在行業(yè)整體網(wǎng)絡(luò)安全體系框架下解決5G安全問題,將安全能力框架與行業(yè)應(yīng)用場景結(jié)合,形成面向行業(yè)應(yīng)用場景化、安全能力系統(tǒng)化的5G安全解決方案。

猜你喜歡
專網(wǎng)終端能力
消防安全四個能力
X美術(shù)館首屆三年展:“終端〉_How Do We Begin?”
通信控制服務(wù)器(CCS)維護(hù)終端的設(shè)計與實現(xiàn)
無線專網(wǎng)通信在武漢配電自動化中的應(yīng)用
活力(2019年21期)2019-04-01 12:17:12
無線通信技術(shù)在電力通信專網(wǎng)中的應(yīng)用
大興學(xué)習(xí)之風(fēng) 提升履職能力
你的換位思考能力如何
多功能北斗船載終端的開發(fā)應(yīng)用
電子制作(2016年15期)2017-01-15 13:39:14
抄能力
我國警用通信專網(wǎng)與公網(wǎng)比較研究
蕲春县| 酒泉市| 长岭县| 大悟县| 涞源县| 北京市| 邹平县| 从江县| 靖安县| 化隆| 交城县| 河曲县| 万年县| 佛山市| 腾冲县| 昌宁县| 永德县| 监利县| 连江县| 潞城市| 新源县| 特克斯县| 高雄市| 新闻| 常宁市| 家居| 明溪县| 错那县| 江西省| 德阳市| 栾城县| 浮梁县| 从江县| 虹口区| 旺苍县| 天台县| 镇巴县| 西吉县| 阿图什市| 吉木乃县| 马龙县|