隨著移動通信進入5G時代，與前幾代移動通信系統(tǒng)相比，5G依靠大規(guī)模天線和超密集組網(wǎng)等顯著提升了移動接入技術(shù)，帶動核心網(wǎng)技術(shù)的換代，賦能增強移動寬帶、超可靠低時延和廣覆蓋大連接特性，成為緊密聯(lián)結(jié)物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能(AI)、區(qū)塊鏈和工業(yè)互聯(lián)網(wǎng)的紐帶。同時，5G還將促進IT與OT(生產(chǎn)技術(shù))的融合，貫通數(shù)據(jù)從采集、匯聚、處理、分析和決策全過程，發(fā)揮數(shù)據(jù)的生產(chǎn)要素作用。

5G給網(wǎng)絡安全帶來的新挑戰(zhàn)

　　5G推動了新一代信息技術(shù)的發(fā)展，5G時代不僅是移動通信的新時代，也是IT技術(shù)發(fā)展的新時代。由于網(wǎng)絡安全與信息技術(shù)產(chǎn)品總是相伴而生、博弈同行，5G時代在解決原有一些網(wǎng)絡安全風險的同時，又將面對新的安全挑戰(zhàn)，對網(wǎng)絡系統(tǒng)和網(wǎng)絡服務提出了新的要求，這也是網(wǎng)絡安全服務發(fā)展的新時代。

　　1. 虛擬化的挑戰(zhàn)

　　互聯(lián)網(wǎng)初期網(wǎng)絡不夠穩(wěn)定，所有業(yè)務都以IP包方式獨立選路。對視頻類的長IP流也切成小包選路，效率太低。5G引入NFV(網(wǎng)絡功能虛擬化)，通過硬件通用化(白盒化)和軟件定義網(wǎng)元功能，可以根據(jù)業(yè)務流的需要靈活采用1.5層、2層或3層轉(zhuǎn)發(fā)，增加了網(wǎng)元功能動態(tài)變化的能力，提高了轉(zhuǎn)發(fā)效率并顯著降低時延。NFV實現(xiàn)同一網(wǎng)元在同一時間對不同的應用業(yè)務提供不同的轉(zhuǎn)發(fā)功能，例如以路由器模式轉(zhuǎn)發(fā)傳感器的IP包，以交換機模式交換話音MAC幀，以交叉連接模式來中繼以太網(wǎng)碼塊，不過各種應用間僅是邏輯隔離而非硬件隔離，存在不安全因素，而且軟硬件解耦增加了對外接口，雖然提供了對設備軟硬件供應商的可選擇性，但多供應商的互操作解決方案增加了互聯(lián)互通的測試認證以及故障時責任認定的難度。另外開放接口易受外部攻擊,需強化硬件錨定(認證)可信機理，維護應用與底層硬件間信任鏈。

　　由于數(shù)據(jù)中心虛擬化的網(wǎng)絡、計算與存儲資源及5G網(wǎng)絡虛擬化模糊了網(wǎng)絡的物理邊界，基于邏輯拓撲定義的虛擬安全域?qū)㈦S虛擬機的遷移狀況動態(tài)變化，傳統(tǒng)依賴網(wǎng)絡安全硬件外掛方式的安全機制難以奏效。另外，我國有很強的電信設備定制化產(chǎn)品優(yōu)勢，但NFV的白盒化仍依賴國外的通用芯片，存在不可控風險。

　　2. 切片化的挑戰(zhàn)

　　5G需要支持從Kbps的傳感器數(shù)據(jù)到高達Gbps的虛擬現(xiàn)實(VR)，需要支持從靜止狀態(tài)下的話音到行進中高鐵的通信，需要支持遠程醫(yī)療和車聯(lián)網(wǎng)等高可靠業(yè)務，但大量的應用對可靠性要求不高。

　　為了在同一物理設施上支持業(yè)務需求各異的應用，按照業(yè)務流的帶寬、時延、可靠性等需求，在集中的網(wǎng)絡運維支撐系統(tǒng)(OSS)管理下組織網(wǎng)絡資源，以信令方式自動生成網(wǎng)元的編排與服務的編排，實現(xiàn)端到端切片的產(chǎn)生、終止、指配拓撲和協(xié)議等生命周期管理，為各業(yè)務流提供與其屬性對應的邏輯上的VPN通道?，F(xiàn)在5G的網(wǎng)絡切片面臨VPN海量規(guī)模、實時性、端到端通道組織等難題。雖然VPN的服務在電信網(wǎng)中早就有，但過去都是預約建立而非實時的，而且僅對極少數(shù)業(yè)務流開通VPN服務?？邕\營商網(wǎng)絡建立VPN連接更是難以想象的任務，前提是運營商間必須相互開放網(wǎng)絡資源與業(yè)務數(shù)據(jù)，這基本沒有可操作性，而且也會引入網(wǎng)絡安全管理上的復雜性。通常集中控制系統(tǒng)易成網(wǎng)絡攻擊的對象，而底層網(wǎng)絡資源共享將挑戰(zhàn)切片間安全隔離。5G在功能上還考慮支持將切片開放給客戶來組織、生成和管理，并提供按需實時動態(tài)調(diào)整權(quán)限，雖然增加了對垂直客戶的吸引力，但網(wǎng)絡資源有被惡意的第三方控制的可能。另外，網(wǎng)絡切片是按用戶需求提供資源分配優(yōu)先權(quán)，如果用戶不可信或需求不準確則濫用網(wǎng)絡資源。

　　3. 開放化的挑戰(zhàn)

　　相對4G專用協(xié)議，5G采用通用互聯(lián)網(wǎng)協(xié)議，可直接承載現(xiàn)有網(wǎng)上各種業(yè)務，但也為互聯(lián)網(wǎng)上的病毒打開了方便之門。

　　5G采用基于服務的網(wǎng)絡體系(SBA)，SBA構(gòu)建一個業(yè)務開放平臺，承接各種業(yè)務智能單元以App方式按需添加，通過模塊化的智能單元組合產(chǎn)生相應的智能，便于靈活調(diào)用網(wǎng)絡服務和組織網(wǎng)絡切片。用戶身份管理、認證鑒權(quán)、密鑰管理、安全上下文管理等功能也可以服務化方式調(diào)用和開放，提升業(yè)務生成能力，適應新業(yè)態(tài)的不可預見性。SBA以開放接口承接外部生成的App時，存在惡意App進入的風險。另外，5G還具有業(yè)務外包能力，開放移動性、會話、QoS 和計費等功能的接口，垂直行業(yè)企業(yè)可租用這些服務自定義與調(diào)配業(yè)務，但也面臨被誤用和濫用的可能，而且惡意第三方容易通過獲得的網(wǎng)絡操控能力對網(wǎng)絡發(fā)起攻擊。為此5G在網(wǎng)絡安全與信息安全的防護方面要比4G下更大的功夫。

　　4. 開源化的挑戰(zhàn)

　　5G使用的深度學習等軟件很多都來自開源軟件，開源軟件優(yōu)點是可移植性，可以在操作系統(tǒng)上也可以在專有硬件上運行軟件，硬件和軟件生態(tài)系統(tǒng)的脫鉤有利于創(chuàng)新，還增加了對其進行惡意攻擊的難度。但開源軟件的開發(fā)通常落后于商業(yè)軟件開發(fā)，漏洞多、版本升級頻繁，執(zhí)行未知來源程序面臨安全威脅，軟件測試與漏洞分析檢查工作量太大。此外值得注意的是，5G、云計算、大數(shù)據(jù)和人工智能大量使用的開源軟件及其開源社區(qū)多為國外主導，而且開源軟件并非自由軟件，存在受到開源社區(qū)管理者限制的可能。

　　5. 大連接的挑戰(zhàn)

　　5G將物聯(lián)網(wǎng)從窄帶物聯(lián)網(wǎng)(NB-IoT)擴展到可支持100Mbps業(yè)務的寬帶物聯(lián)網(wǎng)和可支持每平方公里百萬傳感器接入的大規(guī)模機器類通信的物聯(lián)網(wǎng)(mMTC)。5G 物聯(lián)網(wǎng)還具有接入移動物聯(lián)網(wǎng)的終端能力，根據(jù)需要可提供與物聯(lián)網(wǎng)終端的人機對話功能，還可以利用一體化接入回傳(IAB)技術(shù)支持物聯(lián)網(wǎng)終端間數(shù)據(jù)接力。物聯(lián)網(wǎng)所感知的數(shù)據(jù)可通過5G低時延直接上云，相當于云端能力虛擬到終端，可以說5G將AI與IoT無縫融合成為智聯(lián)網(wǎng)(AI+IoT=AIoT)。更進一步可將AI芯片及其操作系統(tǒng)直接嵌入IoT模塊組成AIoT終端，相當于邊緣計算能力下沉。還可進一步嵌入?yún)^(qū)塊鏈能力到AIoT終端，保障物聯(lián)網(wǎng)設備接入認證、數(shù)據(jù)加密及設備控制授權(quán)安全。

　　但是IoT類型很多，需有多種身份管理機制，而不僅是常規(guī)移動終端使用的對稱密鑰，海量IoT連接需使用分層管理與群組認證或多節(jié)點分布認證，以免信令風暴。IoT還需要具有多對多的端到端聯(lián)合加密功能，既要簡化密鑰但又要有足夠強度。IoT終端由于功耗的限制而難有較強的安全防御能力，而且大連接和永遠在線，易被木馬入侵成為拒絕服務攻擊(DDoS)的跳板。車聯(lián)網(wǎng)點到多點和廣播式及繞過網(wǎng)絡的車輛間直接通信(V2V)也帶來新的安全問題。

　　6. 智能化的挑戰(zhàn)

　　5G會借助AI技術(shù)來優(yōu)化網(wǎng)絡的運營管理，但AI目前水平還是“大數(shù)據(jù)大算力小任務”，不確定性的概率計算模型需要巨量的空間和時間來訓練，而且AI結(jié)果還不可解釋。神經(jīng)網(wǎng)絡目前實質(zhì)是分類器，依賴大量正確標注的數(shù)據(jù)，但很多場景僅有小數(shù)據(jù)。當一些事件和圖像處于AI模型的辨識分界線時，或者受到樣本攻擊時會使AI誤判。攻擊者也會利用AI技術(shù)來發(fā)現(xiàn)網(wǎng)絡基礎(chǔ)設施的漏洞，高級持續(xù)性威脅(APT)攻擊將會更多出現(xiàn)。

　　7. 數(shù)據(jù)私密性的挑戰(zhàn)

　　傳統(tǒng)的基于外掛的防火墻、防病毒和入侵檢測的安全措施，因網(wǎng)絡和算力設施的虛擬化而作用有限。但它無需對被保護系統(tǒng)詳細了解，不涉及被保護系統(tǒng)內(nèi)部的數(shù)據(jù)。

　　依賴免疫能力的內(nèi)生防御方式需要對被保護系統(tǒng)有較深入了解，會跟蹤系統(tǒng)的數(shù)據(jù)，且仍需與外部網(wǎng)絡交互安全威脅情報，數(shù)據(jù)存在外泄風險。數(shù)字孿生數(shù)據(jù)可能會通過外網(wǎng)傳輸，僅靠加密仍難避免數(shù)據(jù)被劫持，會映射誤導或遭遇外界勒索。數(shù)據(jù)跨境流動因云化而難定位最終落地點，增加對網(wǎng)絡安全事件追溯的困難。在跨企業(yè)數(shù)據(jù)融合時如何保證數(shù)據(jù)能共享且敏感數(shù)據(jù)不外泄，也是很大的挑戰(zhàn)。清華大學姚期智院士提出MPC(多方計算)概念來應對這一難題，MPC協(xié)議是一種分布式協(xié)議，使用秘密分享、同態(tài)加密、混淆電路、不經(jīng)意傳送四大技術(shù)，按照明文數(shù)據(jù)及計算工作沒有離開本地的原則，允許各參與方只提交密文分片，通過既定邏輯共同計算出結(jié)果，但MPC計算量很大，性能還有待改進。

　　8. 數(shù)據(jù)資產(chǎn)化的挑戰(zhàn)

　　數(shù)據(jù)是生產(chǎn)要素，通過將數(shù)據(jù)分布存儲和加密可以防備數(shù)據(jù)被盜竊或被篡改。但通常對加密的數(shù)據(jù)難以進行安全掃描檢測，而且即便是加密的數(shù)據(jù)流，也會被劫持成為DDoS攻擊的炮彈。需要注意的是，一些外部攻擊并不以竊取數(shù)據(jù)為目的而是以勒索為目的，強行將數(shù)據(jù)再加密使原有數(shù)據(jù)的擁有方也無法讀取數(shù)據(jù)。因此需要實時對數(shù)據(jù)進行審計與版本核對，防止因數(shù)據(jù)(不論是否已加密數(shù)據(jù))被惡意再加密，防范的關(guān)鍵是堵塞網(wǎng)絡被入侵的漏洞。

　　9. 應用行業(yè)化的挑戰(zhàn)

　　能源、交通等融合基礎(chǔ)設施的信息系統(tǒng)與生產(chǎn)系統(tǒng)緊耦合，對網(wǎng)絡信息安全的管理比對通信網(wǎng)絡系統(tǒng)更為困難，即便是內(nèi)網(wǎng)也會因管理不慎，例如通過U盤而內(nèi)外勾連，一旦發(fā)生網(wǎng)絡安全事件將危害國家重要基礎(chǔ)設施。

　　工業(yè)互聯(lián)網(wǎng)底層PLC、MCU、SCADA等數(shù)據(jù)采集與監(jiān)控系統(tǒng)很多為國外產(chǎn)品，原來因在企業(yè)內(nèi)網(wǎng)對其安全隱患知之甚少。企業(yè)的工控軟件也有類似情況，一旦與外網(wǎng)關(guān)聯(lián)則有被利用的安全風險。企業(yè)會大量應用邊緣計算，而邊緣計算的安全能力不及中心云，也有被劫持的可能。IPv6海量的地址有利于實名制，但攻擊者可以大量利用IPv6地址而掩蓋真實攻擊源身份，而且基于IPv6的分段路由(SR)豐富了路由的選擇，為攻擊者同時使用多路由或隨機使用路由帶來方便，同時增加了溯源攻擊者路由的困難。

　　10. 網(wǎng)絡安全生態(tài)化的挑戰(zhàn)

　　網(wǎng)絡安全是涉及業(yè)務、管理、流程、團隊等各方面的系統(tǒng)工程，不僅是技術(shù)更是管理，在企業(yè)內(nèi)要覆蓋業(yè)務全環(huán)節(jié)，實現(xiàn)IT與OT團隊融合，還要與外部(生產(chǎn)裝備供應商、供應鏈、網(wǎng)絡安全服務商、電信運營商、政府、客戶等)實現(xiàn)網(wǎng)絡安全威脅情報共享和協(xié)同聯(lián)動。網(wǎng)絡安全需要有法律法規(guī)保障，需要國際合作，但基礎(chǔ)是建立我國自主可控的網(wǎng)絡安全技術(shù)、產(chǎn)品和服務的完整體系。

網(wǎng)絡安全服務的思考

　　當今社會，每一個企事業(yè)單位、政府、學校、醫(yī)院等都可能是網(wǎng)絡安全攻擊的對象，每一個單位都應成為網(wǎng)絡安全責任的主體，需要從網(wǎng)絡安全的制度建立、組織管理、隊伍建設、資金投入等方面全面部署。據(jù)IDC公司報告，我國在信息安全投入占IT投入之比在2017年為1.84%，而全球平均為3.74%，在信息安全投入的結(jié)構(gòu)中，全球平均硬件、軟件和服務分別為19.3%、36.3%和44.4%，我國為55.3%、18.6%和26.1%，我國在網(wǎng)絡安全投入方面不足并且重硬輕軟和弱服務，在5G時代如果繼續(xù)這種狀況則后果更加嚴重。5G時代由于網(wǎng)絡安全事件越來越復雜，僅靠本單位的努力往往不夠，需要借助第三方網(wǎng)絡安全服務機構(gòu)的支持。

　　1. 網(wǎng)絡安全是產(chǎn)業(yè)更是服務

　　產(chǎn)業(yè)講究通用性，而網(wǎng)絡安全服務通常具有個性化及永恒性。為降低網(wǎng)絡服務的成本，需要將網(wǎng)絡安全能力做成模塊化可擴展，前提是需要有很好的總體架構(gòu)設計和接口的標準化。由于安全配置和管理復雜化，需要自動化管理安全功能部署、編排、配置、調(diào)用等以提高效率。

　　網(wǎng)絡安全服務機構(gòu)不僅要把客戶當成服務對象，更要把客戶當成合作對象，讓安全和業(yè)務深度融合，實現(xiàn)從銷售硬件為主向安全服務為主的轉(zhuǎn)變，服務中還應包括網(wǎng)絡安全人才的培訓。

　　2. 網(wǎng)絡安全服務需要在企業(yè)制定網(wǎng)絡建設方案的階段介入

　　企業(yè)網(wǎng)絡建設方案的制定需要從網(wǎng)絡安全角度來審議，網(wǎng)絡基礎(chǔ)結(jié)構(gòu)應具有靈活改變的能力，以鈍化惡意攻擊。要假定網(wǎng)元不可信情況下設計網(wǎng)絡架構(gòu)，即零信任機制，但前提是涉及網(wǎng)元的每一操作都需要有信任認證，需要為網(wǎng)絡設備生成并簽名可信賴代碼，例如為SDN交換機生成并簽名可信代碼、完整或部分驗證NFV中虛擬網(wǎng)絡功能(VNF)的代碼，在驗證和執(zhí)行之間保持代碼的完整性。很多安全挑戰(zhàn)是內(nèi)生的，需要增強內(nèi)生免疫能力，但一些內(nèi)生安全防御方案仍難以對抗DDoS攻擊。企業(yè)制定的網(wǎng)絡部署方案需要進行網(wǎng)絡安全評估，最好邀請專業(yè)的網(wǎng)絡安全機構(gòu)來協(xié)助進行，或事前聽取網(wǎng)絡安全服務機構(gòu)的咨詢建議。

　　3. 網(wǎng)絡安全部署需與基礎(chǔ)設施同步建設

　　網(wǎng)絡建設全過程需要有可依據(jù)的安全標準體系、制度規(guī)范和法律法規(guī)，網(wǎng)絡安全軟硬件應與基礎(chǔ)設施一同部署，不應作為補丁事后再加入。對于已有的基礎(chǔ)設施，也需要定期進行網(wǎng)絡安全檢測。政府應該支持第三方的應用服務安全檢測環(huán)境和生命周期的安全風險評估平臺的建立和開展服務，包括定期發(fā)布網(wǎng)絡安全態(tài)勢，在政府指導下委托企業(yè)開展網(wǎng)絡安全風險評估，提出網(wǎng)絡安全改進的建議。

　　4. 網(wǎng)絡安全需要有大數(shù)據(jù)支撐

　　SDN、NFV、網(wǎng)絡切片、智能化運維和網(wǎng)絡安全保障都需要精準獲得全網(wǎng)業(yè)務流與網(wǎng)絡資源的實時大數(shù)據(jù)，工業(yè)互聯(lián)網(wǎng)的安全運行也需要獲得企業(yè)生產(chǎn)系統(tǒng)與網(wǎng)絡安全有關(guān)的完整數(shù)據(jù)，在制度上需要保證網(wǎng)絡安全實施主體能集中管理網(wǎng)絡安全有關(guān)數(shù)據(jù)，而且數(shù)據(jù)標注與清洗能按標準進行。由于企業(yè)擔心商業(yè)秘密的安全而不可能向其委托的網(wǎng)絡安全服務機構(gòu)提供較全面的數(shù)據(jù)，網(wǎng)絡安全服務機構(gòu)需要使用數(shù)據(jù)增強技術(shù)從有限的數(shù)據(jù)樣本中進行模型訓練，以便優(yōu)化模型，發(fā)現(xiàn)安全隱患。

　　5. 開發(fā)并應用軟件代碼可信賴檢測技術(shù)

　　鑒于從開源軟件中發(fā)現(xiàn)安全漏洞的工作量很大，網(wǎng)絡安全服務機構(gòu)需要開發(fā)通過使用自然語言標準文檔的機器翻譯來快速提取開源軟件信息的方法，所提取的信息用作自動化遵從性測試、正確性證明、協(xié)議執(zhí)行完整性檢查等，確保網(wǎng)絡內(nèi)代碼值得信賴。

　　網(wǎng)絡安全是個大系統(tǒng)工程，網(wǎng)絡安全總是魔高一尺道高一丈。在數(shù)字經(jīng)濟時代，網(wǎng)絡安全的影響愈加嚴峻，網(wǎng)絡安全的重要性前所未有。隨著5G等新一代信息技術(shù)應用的進一步深入與普及，網(wǎng)絡安全新挑戰(zhàn)層出不窮，網(wǎng)絡安全技術(shù)與產(chǎn)業(yè)及服務也將得到更大的發(fā)展，網(wǎng)絡安全的技術(shù)與管理創(chuàng)新永遠在路上。(本文刊登于《中國信息安全》雜志2020年第10期)

　　來源：中國信息安全