前沿 | 基于业务确定性构建5G内生安全体系架构 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文│中国移动通信集团有限公司网络事业部王悦

持续的 5G 创新和演进不断赋能千行百业，在矿山、港口等领域的规模应用大力推动了产业数字化转型。截至目前，全球已有超过 200 个运营商部署了 5G 网络。5G 安全对国计民生具有重要影响，网络安全成为国际上 5G 领域最受关注的热点之一。通信行业国际组织第三代合作伙伴计划（3GPP）、全球移动通信系统协会（GSMA）等已发布了 5G 安全相关测评标准，欧美国家也不断提出 5G 安全防护方案，并持续利用在国际领域的优势引导基于 IT 安全的 5G 测评方法，但是业界至今仍然没有就 5G 安全达成统一共识。我国通信行业在 5G 网络建设、5G 行业应用等方面处于全球领先地位，在 5G 网络安全防护方面也不断进行技术创新和探索。总体看，5G 安全防护仍然高度依赖各运营商的安全认知及防护手段，5G 安全在全球 5G 商用多年后依然是研究与讨论的热点。

一、5G 通信网安全的重要性前所未有

基于 5G 网络打造可预期、可验证和性能指标可保障的专网，为行业提供确定性网络能力，是当前 5G 国际标准演进及应用研究的热点。网络安全将直接影响到 5G 可靠性，也会影响时延、带宽、抖动等确定性指标。因此，行业应用对 5G 提出了确定性安全要求，也就是在防入侵、防滥用等安全防护方面实现可预期、可管、可控、有确定性特征的保障水平。同时，国际社会也对 5G 安全给予足够关切。欧盟网络安全局（ENISA）在《ENISA 威胁视图 2022》（ENISA Threat Landscape 2022）中指出，通信业是仅次于金融业受到网络攻击最多的行业。其中，高级持续性威胁（APT）攻击成为主要威胁之一。5G 作为关键基础设施，承载了很多重要生产系统，对网络安全提出了极高要求。根据 GSMA 的报告《移动通信安全威胁视图（2020）》（Mobile Telecommunications Security Landscape2020），某国外运营商调研发现超过 70% 的受访者表示对 5G 安全高度关切。

（一）5G 安全面临重大挑战

当前，全球关键基础设施成为网络攻击的重要目标。2022 年 2 月，英国运营商沃达丰的葡萄牙子公司遭到破坏性网络攻击，导致 4/5G、固话等网络中断，严重影响日常生产生活。在俄乌冲突中，针对关键基础设施的持续网络攻击，也再次引发全球对关键基础设施保护的高度关注。

5G 引入了软件定义网络（SDN）/网络功能虚拟化（NFV）等新技术，网元从传统的先进电信计算平台（ATCA）硬件架构转向全面软件化，在拥有灵活性、韧性等优势的同时，也会面临虚拟化、开放性等带来的安全风险。在 To B 专网等应用场景中，客户侧环境相对传统运营商机房更加不可控，面临新的安全攻击。

因此，希望 5G 能为重要行业应用提供相对确定的、可预期的安全保障，减少安全的不确定性。例如，对业务连续性、稳定性要求极为严格的工业领域而言，传统移动通信网络以“尽力而为”方式“一网提供所有业务”的模式不再适用，取而代之的是满足不同应用场景、不同安全等级的确定性刚性需求。

（二）5G 安全呼唤持续创新

通信网络对可靠性、稳定性要求较高，电信级要求甚至已成为网络高质量的代名词。为了不影响通信网可靠性，运营商普遍高度重视通信网边界安全防护，在网络边界部署防火墙、入侵防御系统（IPS）等安全手段，在网络关键节点集中建设安全能力，期望将安全威胁隔离在网络之外，同时通过加强安全管理、安全运维等方式消除网络内部的安全风险。

但是，上述安全模式难以发现、检测网络内部的安全威胁，存在明显缺陷。攻防实战和攻防演练活动都充分验证了这种集安全防护于一点的模式将会导致安全风险高度集中，极易带来“一点突破、危害全网”的风险，甚至在极端情况下可能会出现 5G 网元被完全删除的重大安全事件。

二、各国应对 5G 安全的思路不尽相同

欧美将 5G 网络视为最大的单体关键基础设施系统，在传统的安全防护、风险评估、安全认证等基础上，不断提出新的增强型安全要求。

（一）美国利用 IT 技术优势，引导围绕 IT 安全的 5G 测评及防护

美国近年来持续加大 5G 安全标准化研究投入。2022 年，美国国家标准技术研究院（NIST）发布《5G 安全——方法、架构及安全特征》（5GCybersecurity-Approach,Architecture,and Security Characteristics），围绕 5G 数据中心架构安全、5G 接口、5G 业务等提出安全能力要求，并给出不同厂商的安全解决方案。同年，美国国土安全部下属的网络安全和基础设施安全局（CISA）和国防部研究工程局（USD(R&E)）联合发布《5G 安全评估过程调查》（5G Security Evaluation Process Investigation），在传统 NIST 风险管理框架（RMF）基础上，提出 5G 安全评估新需求。同时，美国政府也加大安全国际标准的参与力度，资助部分公司、研究机构积极参与国际标准制定工作。例如，MITRE 公司在 GSMA 大力推动基于传统 IT 安全的对抗战术、技术和常识（ATT&CK）对 5G 进行安全测评，利用其掌握的 APT 攻击手法，引领 5G 安全检测发展方向。

（二）欧盟强化安全认证，提出 5G 安全通用准则

欧盟网络安全局在发布《欧盟 5G 网络安全风险评估报告》（EU Coordinated Risk Assessment of the Cybersecurity of 5G Networks）和《5G 网络威胁视图》（Threat Landscape for 5G）后，又提出《欧盟 5G 网络安全风险消减工具箱》（Cybersecurity of 5GNetworks EU Toolbox of Risk Mitigating Measures），制定一套通用的安全管理与技术措施，为成员国选择风险消减提供指导意见。其中，《欧盟 5G 网络安全风险消减工具箱》强调推动标准化、安全认证，加速欧盟 5G 安全方案的落地，并提出对 5G 安全能力的要求。欧盟通过制定电子通信准则（EECC）及指南等一系列监管措施，明确通信网在网络运维、网络安全防护等方面的通用准则，为指导成员国落实欧盟安全相关要求提供更加清晰的技术指引。同时，针对 5G 网络安全，欧盟单独出台 EECC 的 5G 补充说明，细化对 5G 网络的安全要求。

（三）英国提出新的通信安全要求，重点关注网管及互联互通

英国提出电信安全框架——原则、要求和测试（Telecoms Security Framework-PRINCIPLES,REQUIREMENTS AND TESTS，TSR）要求，并将相应内容纳入《电信安全实践准则》（Telecommunications Security Code of Practice）之中，适用于包括 5G 在内的通信网络。TSR 的通信网安全域划分与我国通信行业比较类似，但是，针对网络互联互通及网管安全这两大安全风险点，TSR 提出更高要求的运维架构标准，并强调对网间互联信令进行检测、重组。在网元安全方面，TSR 也明确要求具备入侵检测等安全能力。

三、基于业务确定性特征的安全防护新思路

我国在 5G 网络建设、5G 行业应用等领域处于全球领先地位。截至 2022 年 10 月，我国 5G 基站数量已超过 220 万个，专网数量超过 5000 个。在网络安全方面，随着《关键信息基础设施安全保护条例》的实施及国家标准 GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》的发布，运营商作为重要的关基设施运营者也不断探索 5G 安全防护新思路。总体而言，运营商需要依据相关要求，对 5G 实行重点防护、特殊防护，并持续开展技术创新。

在 5G 实际运营过程中，面向攻防实战进行安全防护体系建设成为当前新形势下的必然选择。网络攻击的方法、环境、工具等都不断发生变化，快速发现、精准检测、有效防护成为 5G 安全防护的关键。在攻防博弈过程中，收集所有攻击特征、开展特征匹配，成本越来越高、效果越来越弱，逐渐成为不可持续的防护方式。在一些关键基础设施系统中结合业务特征仅允许业务系统期望的行为、网络连接、资源，在可预期的运行环境中进行业务防护、检测等将成为更有效的安全模式。

（一）围绕确定性特征实现 5G 内生安全

近年来，内生安全成为行业广受关注的一种安全理念。但是，学界、业界对此有不同理解，因为实现内生安全的产品和技术多样、功能不一。运营商对内生安全的需求如下：网元、网络、应用在设计和实现时就具备安全防护与检测能力，并将安全能力原生（SecurityNative）内嵌在网元及网络，取代传统的补丁式与外挂式安全防护架构。从业务的角度出发，为保障业务稳定运行，5G 网元中需要运行的进程、协议、配置文件等是明确的，而这些明确的资源就是 5G 业务在网元层的确定性特征。基于这些确定性特征，若检测发现 5G 网元有其他进程和端口运行，则可能是网络攻击导致。因此，基于通信网业务确定性特征，实现安全检测与防护，成为 5G 内生安全的一种重要实现方式。

（二）基于确定性特征的 5G 内生安全体系架构

基于 5G 确定性特征，可以从网元层、网络层、业务层分别构建原生实现的安全能力，共同构建 5G 内生安全体系架构。

图 5G 内生安全体系架构

1．网元层安全

基于资源确定性进行网元运行安全检测。根据 5G 业务需求，网元运行时需要资源具有高度确定性，例如进程、文件、服务、端口、数据等系统资源，基本不会发生变化或者变化均可预期。以业务需求制定网元确定性特征基线可以发现网元运行异常，达到防入侵、防病毒等目的，同时，也可以辅助特征匹配等方式进行网元入侵检测。

表网元层各资源确定性特征

同时，应用可信计算、证书等安全根技术，基于系统的确定性，能够实现网元启动时的安全状态检测，确保网元可信关系从底层传递到上层应用，筑牢系统安全基础。

2．网络层安全

基于网元间确定的通信关系进行访问控制。5G 业务流程决定了网元间的通信需求，基于网元之间确定的通信关系能够实现精准的网元访问控制，可以减少横向攻击，避免网络攻击危害放大。这种与业务相结合实施网元间的访问控制，也是 5G 实现微隔离的最好方式，可以避免传统安全方案存在的网络兼容性、安全策略精准性欠佳等缺陷。

基于 5G 网络确定的信令检测流量异常。5G 核心网内的流量主要包括信令流、管理流等，类型较少，格式明确。除此之外的流量均可认为是疑似异常流量，需进一步分析。基于流量确定性特征建设核心网全流量分析能力，能够实现 5G 核心网内部异常流量管控。

3．业务层安全

基于业务承载的确定性发现网络攻击。基于动态冗余架构的系统有助于减少攻击成功率，但是相应代价也较大。借鉴冗余架构思想，同时引入欺骗防御理念，在核心网部署少量不承载业务的欺骗性网元。对欺骗性网元的访问与交互，属于确定性业务预期之外的行为，可能成为核心网的异常访问攻击。

基于业务预期的内容阻断网络攻击。对核心网而言，互联互通等业务信令内容是可以预期的，信令字段取值范围也相对确定。然而，在信令传递过程中核心网不可避免会面临传统的传输控制协议/网际协议（TCP/IP）等网络攻击。借鉴工控安全防护中常用的边界数据摆渡方式及英国 TSR 提出的边界信令重组模式，在核心网网络边界仅将信令内容传递到网内，而把网络连接终结在边界，从而消除边界面临的各种网络攻击，特别是减少利用零日（0day）漏洞的网络攻击。

（三）基于确定性特征的安全架构优势

与传统安全检测相比，基于上述网元层、网络层与业务层确定性特征而构建的5G安全防护体系，在安全检测能力上在三个方面具有突出优势。

1．安全检测资源占用少、可靠性高

通信网络对可靠性、实时性要求较高，在业务处理时需要保证充足的系统资源。因此，安全检测功能不能占用过多系统资源，以免影响网元处理通信业务的性能。传统网络安全检测采用的特征匹配方式资源消耗较多，在通信高峰期容易造成网元拥塞，而结合业务确定性特征的安全检测方式，资源占用少，不会影响网元稳定性、可靠性。

2．安全检测以业务为中心、功能稳定

传统网络安全检测技术，大多以网络安全攻击为中心，收集与分析尽可能多的安全威胁、攻击方式及攻击特征。这种基于攻击特征的安全检测，通常以检测攻击的维度或数量为评判标准，需要不断升级攻击特征。另外，传统安全方案在处置安全风险时，一般以系统安全为目标，可能忽略通信业务需求。例如，在网元的病毒检测与处置中，存在为了系统安全而中止通信业务的情况。因此，以业务为中心的 5G 安全检测能够确保业务健康稳定运行。

3．安全检测适用于信令安全防护、减少业务攻击

信令控制着通信业务的建立和释放，是通信网络的神经中枢，而信令安全也是通信业务安全中关键的部分。针对信令的攻击可以造成中断业务、篡改或窃取通信内容等危害，传统的安全手段难以检测信令攻击。因此，信令安全防护一直是通信网安全防护的主要挑战之一。5G 网络采取了超文本传输协议（HTTP）等通用协议，信令安全攻击相对更加容易，风险更大。基于业务确定性特征，业务所需的信令格式和协议字段内容明确，围绕确定性特征可以检测异常信令。与传统攻击模式匹配的方式相比，这种模式能够更好地发现业务攻击，提升 5G 整体安全。

（本文刊登于《中国信息安全》杂志2022年第12期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情