《中兴:2019年5G行业应用安全白皮书(24页).pdf》由会员分享,可在线阅读,更多相关《中兴:2019年5G行业应用安全白皮书(24页).pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、中兴通讯5G行业应用安全白皮书2019年8月01前言 “4G改变生活,5G改变社会!”除了进一步更好地服务于传统的消费移动互联网,5G还将赋能整个社会的其他垂直行业。这意味着5G在承载更多的社会资产、服务和责任的同时,必然会遭受更多的恶意攻击,也对垂直行业的网络和信息安全提出了更多新的挑战。在新的环境下,如何保障网络正常运作及数据核心资产安全,是行业用户首要关心的问题。行业应用在环境、业务、资产、运营等层面具有不同的特征,这些特征之间关联交织,使得安全性问题显得隐蔽而复杂。在实际应用中,不同行业、不同应用也会有不同的安全需求。网络化协同、个性化的安全定制等不仅要求网络提供安全服务的保障,也对网
2、络的安全隔离能力提出更高的要求。在OT(操作技术Operation Technology)与IT(信息技术Information Technology)的融合时代,数据的开放、流动和共享使得企业数据面临着前所未有的挑战,数据的保护难度也在增大。同时个性化定制、服务化转型涉及到大量的用户信息,使得用户隐私泄露风险也在不断增加。随着多接入边缘计算(Multi-access Edge Computing:MEC)大量部署,数据安全和隐私保护将被摆在更显眼的位置。随着信息技术的发展, 云计算、 虚拟化、 边缘计算等新技术的广泛应用也导致行业安全风险不断叠加。云计算、虚拟化技术使得安全边界模糊,流量不可
3、见;边缘计算使得行业数据安全传输与存储的风险大大增加;行业的多业务场景要求安全与业务需求、接入技术、终端能力等相结合。如何充分利用大数据、人工智能(Artifcial Intelligence:AI)等技术为行业应用提供智能化的安全服务,也是当前行业面临的重要课题之一。在本白皮书中,中兴通讯基于对安全领域长期以来的技术积累以及对5G网络的深刻洞察,分享了对于5G垂直行业应用安全的一些观点。中兴通讯认为,5G为垂直行业提供了更安全的智能网络服务,从多个维度提升了安全特性;同时,通过5G基础设施与垂直行业的典型业务特征相结合,以网络与设备为中心,以可视性与可控性为基本框架,充分利用切片定制、能力开
4、放、边缘计算、APT(高级持续性威胁Advanced Persistent Threat)防御、可信技术、动态防御等创新平台与技术,打造与垂直行业紧密融合的网络安全长城,完成对5G行业应用网络的深层次加固。02目录5G行业应用安全挑战 安全的5G网络能力可定制化安全 端到端网络安全 边缘定义安全 灵活的5G安全架构 多层次的隔离能力 丰富的安全开放能力 多元化的边缘计算安全 端到端的数据安全保护 先进的数据隐私保护面向5G行业的新型防御技术 智能化的高级持续性威胁防御精细化的微分段技术 动态化的主动防御 行业应用安全治理与评估未来及展望缩略语030405060851617
5、35G行业应用安全挑战5G网络的高带宽、低时延、海量连接等特性大幅提升了全社会各产业的信息化水平。同时,5G网络提供的灵活定制、弹性部署、多层次隔离等智能网络能力,推动了互联网创新从量变到质变的转型。未来5G将深入垂直行业,促进产业创新与经济增长,影响我们的生活方式,提升全社会的福祉。自2015年以来,全球每年有超过300起大型工业网络安全事件发生,企业与公众开始越来越多地关注此类事件,并从安全、财产、经济、声誉等方面评估可能产生的影响。随着5G的规模商用以及在垂直行业中的普及,行业应用将会吸引更多的恶意攻击。诸如工业制造、能源、交通、金融等关键领域的高价值资产将成为首要
6、的攻击目标,并可能给国家、社会和企业带来严重的风险。在5G时代,传统互联网的方法论、设计范式、软件技术仍会继续在垂直行业使用,用于攻击的漏洞、工具与手段都能够直接对行业资产产生威胁。5G引入切片、NFV(网络功能虚拟化Network Function Virtualization)、MEC等新技术以支持智能网络服务的定制,也使得网络的形态、生态、商业模式、信任与风险关系呈现出更加动态与复杂的态势。集中编排与软件定义能力的运用,在为网络带来新的中心化特征的同时,也对安全性带来了新的挑战。5G时代的行业应用网络,必须能够提供不低于传统专网的安全性与可靠性,才能够胜任高价值资产的承载,同时,需要充分
7、灵活地应用5G基础设施以及围绕5G网络的创新所带来的新技术与新能力,使垂直行业的安全充分受益。04安全的5G网络能力05图 1 5G网络安全定制框架5G网络进一步满足了人们对超高带宽的增强移动互联需求(例如AR、VR、8K视频通讯等),同时实现了由消费类网络向行业应用网络的转型(例如远程医疗、无人驾驶、智能制造等)。行业应用对网络时延、传输速率、连接数等存在差异化的要求,而传统移动网络受限于网络架构、交付方式、运维模式等因素,已经难以满足不同行业的应用需求。因此,5G基于SDN(软件定义网络Software Defned Network)/NFV等新技术,重构了全新的网络架构,以更好地支撑多样
8、化的行业应用场景。作为网络必要组成部分的安全体系,传统移动网络采用了固化的安全防御架构,难以满足行业应用对于安全的差异化和可扩展性需求,安全能力只能依靠打补丁方式进行扩展加固,导致移动网络无法及时使用新的安全技术、防御新型安全威胁。不同的行业应用存在共性的安全需求,同时各行业应用又存在特殊安全防护要求,5G基于网络切片技术提供了智能网络服务,并基于安全能力开放机制提供了灵活的安全架构,既可实现共性安全的统一考虑,又能兼顾具体行业应用所需安全机制的灵活定制。相对于传统企业专网,基于切片的可定制化5G网络能够为垂直行业提供更安全的、端到端保障的网络服务与能力。5G网络应用于垂直行业,不仅仅提供基础
9、的安全网络接入能力,还会开放边缘DC(数据中心Data Center)、核心DC中的各种基础设施能力,其安全架构不但需要考虑差异化的业务需求,还需要考虑网络与业务融合特殊场景的业务需求,以进行安全架构的定制和加固。可定制5G网络安全架构如下图所示。可定制化安全安全可控性更安全的接入多层次安全隔离安全可视性更强的安全审计能力高安全标准高水准供应链端到端全网安全治理(等保2.0)专业化运维切片定制与行业加固SLA交付与能力开放3GPP/ETSI/IETF基于eSIM/USIMGDPR合规Top制造商合作产品安全治理第三方权威认证长期运维经验基于AI等新技术专属服务团队高速响应能力平滑演进面向6G演
10、进新安全能力引入威胁情报共享06更高的网络安全接入标准移动通信网作为商业化的电信网络, 在标准设计之初, 就充分考虑了网络接入的移动性、 可靠性和安全性,通过SIM(用户识别卡Subscriber Identity Module)/USIM(全球用户识别卡Universal Subscriber Identity Module) 等身份标识、 认证授权、 访问控制、 信道与承载加密等方式, 提供了良好的安全通信能力。5G网络继承了4G的安全特性,同时对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进行了优化或增强。相对WiFi、企业专网等非3GPP接入机制,5G提供了更大范围的移动性,
11、也为用户提供了更健壮的业务安全、更严密的数据保护及更强的用户隐私保护。5G提供了基于统一认证框架的双向认证能力,使终端和网络都能够确认对方身份的合法性。这样不仅能避免非法用户接入,也能避免利用伪基站、伪热点进行诈骗或者窃取用户信息。更强的安全审计能力任何通过不同接入方式接入到5G网络的终端,都需要进行统一的认证与管理,并对设备使用网络的情况进行记录。同时,还可以通过设备管理平台建立并维护各行业资产,及业务、部门、组织等实体之间的权属与管理关系,当发生异常行为时,可以快速追溯终端使用者的身份和行为轨迹,强化了所有者的管理责任,增加了攻击者的法律风险,有效降低攻击的概率。多层次的安全隔离传统局域网
12、与互联网的设计初衷是开放性,这也是导致网络安全问题频发的一个根源。未来的产业互联网将会连接工业、金融、能源、交通等重要领域的高价值资产,5G网络切片不但能够为不同SLA(服务等级协议Service Level Agreement)的业务提供网络架构的定制,还能够提供多种安全级别的网络隔离能力,为终端提供端到端的安全通道。这样,即使某一终端被攻破,恶意程序也很难在5G网络中横向传播,使得攻击的扩散势头以及导致的损失得到有效的遏制。高水准的供应链5G网络各种软件、硬件以及服务的供应商与合作伙伴,优先选择具备强大实力的提供商,其内部安全治理水平处于业界领先水准,可以从源头保障5G网络的长期安全,并可
13、简化、加快行业客户从设备认证、选型、采购到部署的全过程。端到端网络安全07专业化的运维很多安全事件的根本原因都是因为不专业的管理与运维导致。 相对于企业专网中各种中间设备的多样性、暴露性以及管理的分散性等隐患,5G提供了一站式的弹性网络安全能力,并在运行期间能够提供长期专业化的网络智能维护体系与应急响应体系,最大程度地减少由于企业自建专网等带来的安全运维风险。端到端的全网安全治理面向全网的端到端安全治理体系, 能对5G网络的持续、 高安全运行提供保障。 受益于5G网络全业务运营、广覆盖的优势,5G网络能够为垂直行业网络安全提供端到端的信任机制,使得为行业用户建立更加便利的专用的网络切片成为可能
14、,有利于5G行业应用网络的大规模快速部署。面向未来的安全演进不同于IT系统的短生命周期的特点,OT技术的使用寿命往往是IT系统的10倍以上,其控制系统及补丁也有很低的更新频率。5G作为智能化的网络平台, 具备面向未来的多种接入方式融合与演进能力, 例如 :特殊场景下的卫星接入手段、向6G及后续网络的平滑演进能力等。这种安全演进能力,对于垂直行业长期保持业务连续性具有重要的意义。随着技术的发展,5G网络会不断平滑引入各种新技术、新安全能力以进一步加固网络安全,对垂直行业业务不会造成影响和中断。同时,5G网络还可以利用自己的核心位置,集中收集、分析各种面向垂直行业的威胁情报,并在垂直行业用户之间进
15、行共享,提升安全事件响应速度。08边缘定义安全工控设备通常具有高度定制化、资源有限、难以升级维护、长寿命、抗攻击能力差等特点,必须依赖各种外部防御手段从多个层次为设备资产提供深度的防御能力。另外,由于安全边界收缩到设备侧,安全控制需要从网络边缘开始加固,进行近源控制与防御,减小资产攻击面。5G为垂直行业带来了新的能力平台,通过结合行业应用的特点(例如权属关系与管理关系的相对统一、相对固定的覆盖范围等),5G能够从可控性、可视性等角度,采用多种新技术、新手段,基于边缘从多个层次对企业网络进行定制化加固。图 2 5G边缘定义安全资产可控设备可视核心资产加固边缘定义安全逻辑边界与行为可控流量可视物理
16、边界可控网络可视MEC平台行业网络深层次加固5G网络切片定制OTA/FOTAeSIM/TPM/TEE设备管理平台融合认证核心网下沉专用切片专属覆盖共建代维动态目标防御智能防火墙微分段技术零信任网络APT智能检测高价值资产09威胁往往来自看不见的领域,获取完整的OT资产列表并进行长期的持续监控,是安全的基础。5G网络结合IoT(物联网Internet of Things)设备管理平台,可以对企业用户、设备等不同类型终端,提供高效与精准的资产发现与管理能力,支持对设备连网接入、状态、流量及策略进行精细化的、实时性的管控,并从网络视角为企业自动构建完整的安全视图。5G网络不仅可对行业协议数据进行整型
17、与规范化处理;还可将流量交给APT智能检测模块进行更加深入的分析与监控。信息透明是信任的基础,作为5G网络的拥有者,运营商需要提供网络服务与安全能力SLA的可视化,使得垂直行业用户可以动态实时地对网络风险进行评估,及时预测、发现并处置网络安全事件。5G行业应用网络可以基于网络切片,从站址资源、无线频谱、覆盖范围、网络接口、接入认证等方面,对网络的物理边界进行多维度的定制与约束,通过多种接入方式满足网络覆盖需求。同时,可进一步结合边缘计算提供的定位能力,对终端的位置边界进行约束与管控。5G网络支持面向机器的连接。机器的行为模式相对简单,流量模型可预测,同时由于网络切片的使用,隔离了各种不同业务特
18、征的网络流量, 因此, 通过快速的学习和训练,AI技术可以更加准确地对垂直行业的流量与行为异常进行检测、回溯与根因分析,为垂直行业用户提供实用的安全分析与告警,抵御各类APT攻击。网络、 流量与行为以及终端层面的安全防御, 最终是为了完成对于核心业务的保护, 而针对业务层以及用户身份的攻击,是最直接和快速的手段。由于管理与维护的疏忽、不可避免的系统漏洞,都会对系统造成重大的安全风险威胁。因此,管理上的可控性尤其显得重要,需要从环境、硬件架构、操作系统等层面基于特殊设计或者密码学方法进行加固。安全可视性加固安全可控性加固网络行为终端核心业务保护流量10灵活的5G安全架构115G网络切片借助于网络
19、虚拟化技术,在5G基础设施上细分出功能完整的逻辑网络,为垂直行业用户提供专用的、安全的、差异化的网络服务。区别于传统物理专网的私有性与封闭性,5G网络切片建立在开放环境下的虚拟化专用网络,为行业用户提供端到端的安全隔离机制和定制化的安全服务机制。5G网络切片安全涵盖无线侧、承载侧和核心网侧,除了提供传统移动网络安全机制(例如接入认证、接入层和非接入层信令安全、数据的加密和完整性保护等),还需要提供网络切片之间端到端安全隔离机制,并根据用户需要提供定制化的安全服务。将切片技术应用于垂直行业,每个切片承载着特定的行业应用,彼此相互隔离,可在网络层面实现精细化管理。首先通过细分基础网络,构建不同粒度
20、的切片域,显著缩小被保护目标的攻击面;其次能够按照切片实施更细粒度、更严格的安全策略和更有针对性的管理手段,按需提供不同等级的安全服务;最后切片之间采用严格的隔离措施,一方面能够防范威胁向其他切片扩散,控制威胁的影响范围,另一方面也能够控制故障和异常的影响范围。多层次的隔离能力图 3 5G网络切片端到端安全隔离模型RAN隔离承载隔离核心网隔离频谱资源资源块传输12丰富的安全开放能力为更好地支持多样化行业应用场景,应对各种行业应用对网络服务的差异化需求,5G网络引入了网络能力开放机制,使得垂直行业能够以便捷与低成本的方式获得更加贴合自身需求的网络服务。网络功能虚拟化、服务化是实现网络能力开放的前
21、提。安全功能作为主要网络功能,需要借鉴网络功能虚拟化和服务化的思想,构建服务化安全功能。通过对传统安全功能的虚拟化,可设计出满足不同安全需求的虚拟安全功能单元,例如防火墙、接入认证、IPSec(网际协议安全Internet Protocol Security)、SSL(安全套接层协议Security Socket Layer) VPN(虚拟专用网络Virtual Private Network)、入侵检测、病毒检测等。各虚拟安全功能单元通过按需调用不同基础安全服务功能集来满足安全功能可重构、可裁剪的要求,实现安全功能服务化。在切片编排部署过程中,能力开放引擎结合应用的安全需求调用安全功能,使安
22、全资源、网络资源、数据资源在网络切片中独立提供,从而达到不低于传统专网的安全保障和用户体验。基于开放的安全能力, 行业用户可以针对性地对切片内的网络安全功能按需重构, 使其更好地贴合网络切片的业务特性。例如服务于车联网 (Vehicle to Everything:V2X) 的低时延网络切片, 需要在网络边缘节点实例化一些必要的网络功能,并选择适应低时延要求的认证方法、加密算法和密钥长度,以便在时延约束下提供相应的安全防护;对于服务于物联网的网络切片,可配置基本的控制面接入认证功能、虚拟物联网网关以及安全态势感知系统。面向行业应用的网络切片虚拟安全功能单元基础安全服务功能集网络能力开放引擎切片
23、A切片B切片C开放接口接入认证数据加解密数据完整性入侵特征匹配病毒特征匹配认证协议密码算法密钥协商深度包检测DPI接入认证授权控制防火墙入侵检测完整性校验加密传输病毒检测IPSec VPNSSL VPNVLAN/VxLAN权限控制通道安全日志记录行为审计数据安全图 4 安全服务虚拟化体系架构示意图13多元化的边缘计算安全多接入边缘计算技术(MEC)是使能5G 业务多元化的核心技术之一。MEC将服务能力和应用推进到网络边缘,部署位置更接近用户,从而减少对传输网的带宽压力,大幅降低网络时延,可满足车联网、工业互联网等低时延业务的需求。5G网络通过用户面功能(User Plane Function:
24、UPF)下沉部署、灵活分流等功能,实现对MEC 的支持。MEC平台需要承载部分网络功能和垂直行业应用,如下图所示:由于部署的物理位置、网络边界和承载主体等方面的特殊性,使得行业客户在使用MEC提供的服务时,特别关注行业数据资产的安全: 行业应用和网络功能共平台部署时,网络边界模糊,如果缺乏信任、隔离等机制,容易滋生平台内部威胁(虚拟机逃逸、镜像篡改、数据窃取等),增大了行业敏感数据资产泄露风险;为了提升业务体验,缩短业务时延,通常使用用户面传输功能下沉、行业服务接近用户部署、安全机制轻量化等措施,可能导致资产数据在传输时面临被窃取或被篡改的风险。对此,需要从平台层、网络层和业务管理层等多个方面
25、对MEC进行安全加固,确保行业数据资产传输、处理、存储过程中的安全。MEC 是一个多元系统,承载了移动通信网络功能、网络能力开放服务以及行业应用等多个系统,需要构建有效的信任关系,为多系统的安全共存提供信任基础。除了建立用户、行业应用及能力开放服务(如定位服务)之间的信任关系,还需要考虑构建移动终端、网络切片与MEC 平台之间的信任。图 5 位于边缘网络的MEC平台核心数据中心管理中心Backhaul无线网络行业应用行业应用MEC服务UPF虚拟化层垂直行业APPInternet边缘数据中心资源池PaaSMMEPCRFAMFSMFxGW/UPF.MANO网管非授信传输网络14MEC平台安全通过引
26、入可信计算技术,从系统启动到上层应用,逐级验证,构建可信的MEC 平台。平台内部也需要划分不同的功能域,如管理域、核心网域、基础服务域、第三方应用域等,加强域间隔离和访问控制。根据需要,可进一步部署入侵检测技术、异常流量分析、反APT 技术等,对恶意软件、恶意攻击等行为进行检测,防止威胁横向扩展。MEC 节点位于网络边缘,处于运营商控制较弱的开放网络环境中,数据窃取、泄露的风险相对较高。为确保MEC上运行和存储的行业客户数据资产安全,需要对使用MEC 的各方的行为执行认证、授权、审计,对数据资产的所有权、使用权和运维权进行分权分域管理。在MEC 部署及业务运行过程中,必须对MEC 应用可能涉及
27、的数据进行识别,包括用户标识、接入位置等,对安全要求高的数据需要采用加密方式存储;对行业高价值资产数据,应使用IPSec/TLS(传输层安全Transport Layer Security) 等安全传输方式,避免传输过程中数据泄露或被篡改。对数据处理、分析和使用,需要服从当地数据隐私法律法规,结合数据操作对象的认证、授权等方式规范数据处理,并对操作过程进行记录;如果涉及数据隐私,在使用之前需要对数据进行脱敏处理。端到端的数据安全保护用户数据在传输过程中存在被窃听、篡改、泄露等安全威胁。为降低5G行业应用中数据安全风险,5G提供了更强壮的数据安全保护方法。在机密性保护的密码算法方面,5G延用了4
28、G所采用的AES(高级加密标准Advanced Encryption Standard)、SNOW 3G(3GPP流密码算法)、ZUC(祖冲之密码算法)等算法,这些算法采用128位密钥长度,被业界证明是安全的。同时,为应对将来量子计算可能对对称秘钥体系的影响,考虑采用更长的安全秘钥及更强的安全保护算法。为保护数据在网络间传输,5G新增了安全边缘保护代理功能(Security Edge Protection Proxies:SEPP)。SEPP在运营商之间建立TLS安全传输通道,对需要保护的信息进行机密性和完整性保护,有效防止数据在网间传输时被篡改或窃听。随着科技的发展,伪基站对移动网络的危害越
29、来越大,攻击者可诱导行业用户接入到伪基站以非法获取用户数据信息。5G将对基站广播或者单播消息进行安全保护,行业用户在验证消息合法后再接入,避免接入到非法的伪基站造成数据泄露。此外,5G针对行业应用中的数据产生、处理、使用等环节提供了完整的安全保护。在数据产生和处理过程中,可根据数据的敏感度进行分类,建立不同安全域间的加密传输链路;根据不同的安全级别采用差异化的数据安全技术;对数据使用方进行授权和验证,保证数据使用的目的和范围符合安全策略;并对重要业务数据的使用进行审计,最终为行业用户提供数据的机密性和完整性保护。15先进的数据隐私保护5G提供了保证数据机密性、完整性和可用性的相关防护技术并对数
30、据全生命周期实施安全保护。数据隐私保护在此基础上,进一步防止个人隐私信息、重要敏感数据泄露。在隐私保护技术上除了采用业界广泛使用的数据脱敏技术之外,中兴通讯首次将动态数据脱敏等功能应用到数据隐私保护中,可同时进行动态脱敏和数据过滤,解决了实时处理场景下的隐私保护难题。中兴通讯提出了一种基于大数据引擎原生代码的数据脱敏架构,可以在不改变用户请求逻辑及数据原始值的前提下,利用数据库引擎自身的分布式处理能力,实现数据脱敏高性能处理。处理过程对用户完全透明,用户不感知数据保护过程,可实现无缝透明地敏感数据保护。匿名化算法是目前数据安全领域的研究热点之一,中兴通讯提出了全新的基于Spark引擎的数据匿名
31、化框架,使用Spark分布式并行计算框架,重点考虑算法的并行性,同时支持K-匿名化(K-anonymity),L-多样性(L-diversity)、T近邻(T-closeness),支持单表亿条记录匿名化处理,适用于处理各类数据,算法通用性高,保证发布数据的真实性,有效防止链接攻击,实现对各种数据的高效匿名化处理。认证、授权、审计业务系统测试系统用户加密核心数据动态脱敏数据过滤静态脱敏匿名化处理数据安全隐私保护图 6 多种技术全面保护数据隐私16面向5G行业的新型防御技术17除了传统安全防护手段,5G行业应用还需要研究和引入新型网络防御技术,不断从多个维度增强网络安全能力,为5G行业应用的健康
32、和持续发展提供多重保障。智能化的高级持续性威胁防御在众多威胁形式中,破坏性较大的要数高级持续性威胁APT。自2010年极光、震网攻击发生以来,针对重要基础设施攻击事件层出不穷,也是5G行业应用中面临的最大挑战。在2019年12月1日将正式实施的网络安全等级保护2.0标准中,抗APT攻击技术被列为确保行业网络安全的必备测评项。为应对APT攻击对5G网络乃至其相关行业用户所带来的安全威胁,中兴通讯提出基于态势感知理念的高级威胁防御方案,使5G及其行业应用网络具备高级威胁防御能力。APT攻击旨在干扰基础设施运行及破坏其敏感信息,其攻击链分为侦查探测、渗透利用、命令控制、横向移动、数据泄露破坏等几个过
33、程。中兴通讯的高级威胁防御方案,围绕APT攻击过程,基于行为检测原理,从恶意软件和异常流量两个角度出发,提供全面、智能化检测机制,并将人工智能技术运用于威胁检测及事件关联分析,提升威胁检测准确率,预测威胁态势。18动态化的主动防御针对传统网络安全被动防御、易攻难守的局面,学术界提出了动态主动防御的思想,通过技术手段对被保护目标的攻击面实施持续性的动态变换,迷惑攻击者,从而增加攻击者实施攻击的难度和代价,降低其攻击成功的概率,提高系统弹性和安全性。基于动态主动防御的思想,中兴通讯分别提出了动态网络防御方案和多版本编译方案,前者应用于网络层,动态变换被防护目标的网络参数,后者应用于终端和服务器的软
34、件系统,部署异构主机系统,从而构建从主机到网络的端到端的动态防御体系。动态网络防御方案动态网络防御方案将动态主动防御思想应用于IP网络,重点保护行业用户的业务服务器。动态网络防御方案通过改变网络的通信参数,使得被防护目标的攻击面不断随机变化,让攻击者难以识别目标节点或服务入口,无法有效侦测网络拓扑信息和主机信息,从而阻止网络攻击行为的发生。多版本编译方案多版本编译采用安全的动态编译技术,对同源的软件进行动态编译,改变攻击过程所依赖的系统规律,生成具有随机、多样性特征的版本,使可能的攻击路径呈现出很强的动态性、异构性、随机性等不确定性特点,使攻击者难以观察和作出预测,增大了构建基于漏洞和后门等的
35、攻击链难度与代价,从而在无需增加防御流程的前提下实现系统主动防御功能。精细化的微分段技术传统网络防御手段遵循边界防御的思路,将防御重点放在网络边界上,以阻止网络攻击进入内网。随着网络攻击技术的发展,网络已经找不到清晰的边界,恶意软件通过各种渠道进入内网,在内网通过主机到主机直接传播,迅速扩散。由于内网流量控制手段有限,即使能发现入侵,到有效控制也需要一个漫长的过程(如封端口、打补丁、升级病毒库等)。中兴通讯提出的微分段技术,实现了更精细化的流量可视、威胁分析、安全管控及自动响应,保证了主机之间、虚拟机之间甚至进程之间的流量得到严密管控。在5G行业应用中,微分段以纯软件方式部署在云计算平台上,作
36、为安全管理系统的组成部分,为流量精细化管控和流量可视化等功能提供支持。安全管理系统根据每个应用层功能的业务特性和管控要求形成精细化的安全策略,下发给底层的安全模块,由安全模块实施这些安全策略。同时,安全模块根据需要采集流量日志,提交给安全管理系统,供安全管理系统进一步进行异常流量分析与诊断等操作。19行业应用安全治理与评估5G网络与垂直行业的融合,在打破5G网络基础设施的天然隔离屏障的同时,也使得行业客户在使用5G网络时增加了风险。5G网络一方面需要面向产业互联网,重构安全治理体系、评估体系和运维体系,为行业用户提供持续、可信、安全的网络服务;另一方面,为了建立多条安全防线,还需要将行业客户引
37、入到5G网络的治理工作中来,为客户提供深层次治理能力。5G设备供应商是5G供应链重要的组成部分,其安全治理水平决定了5G网络的安全基础。中兴通讯作为领先的5G综合解决方案提供商,深刻理解消费者、客户、政府及相关组织对网络安全方面的关切与重视,构筑了一流的安全治理体系,从多角度保障产品及服务的安全性,实现产品和服务端到端的安全交付,为客户提供端到端产品和服务的安全保障。同时,中兴通讯秉承透明、开放、信任、合作的理念,坚持实行持续的、全面的安全审计,采用了面向产品全生命周期的数据保护方法,并与全球知名第三方安全评测与认证机构合作,对产品与服务的安全性进行独立测试与评估。中兴通讯已在国内及海外多地筹
38、建安全实验室,客户与独立评测机构可对中兴通讯提供的5G产品进行更加透明的检视与审查,以进一步提升对中兴通讯5G产品与服务安全性的信心。随着IT与OT的融合,OT安全成为垂直行业安全的核心。不同于IT领域,OT领域有自己的运营模式与行业特征,对于OT资产的安全防御,从供应链安全到系统安全设计、安全运营以及事件响应, 都需要针对性的治理措施。 随着网络安全等级保护进入2.0时代,传统网络安全、移动互联、物联网、工业控制、云计算、大数据等在内所有的新技术都将纳入监管,因此需要运用并发展新的安全模型和安全方法论来支撑构建更加完善的垂直行业安全治理体系。20未来及展望随着5G商业化进程加速,5G网络和垂
39、直行业深度结合,新型业务场景不断涌现,新技术大规模使用,将对网络与信息安全提出更多新的挑战。中兴通讯将继续以安全、合规为基石, 不断完善产品安全治理体系, 加强安全技术和方法的研究, 强化产品安全竞争力。同时,中兴通讯将持续与行业客户、合作伙伴、政府、运营商、标准组织开展更加紧密的合作, 推动端到端的行业安全实践, 驱动安全能力不断创新, 从容应对未来的安全挑战,持续地提供安全可信的产品和服务,以满足新技术、新应用、新模式的安全保障需求。21缩略语英文全称中文全称3GPPThird Generation Partnership Project第三代合作伙伴计划AESAdvanced Encry
40、ption Standard高级加密标准AIArtificial Intelligence人工智能AMFAccess and Mobility Management Function接入及移动性管理功能APTAdvanced Persistent Threat高级持续性威胁ARAugmented Reality增强现实DCData Center数据中心DPIDeep Packet Inspection深度包检测eSIMembedded Subscriber Identity Module嵌入式用户识别卡ETSIEuropean Telecommuni-cations Standards Ins
41、titute欧洲电信标准化协会FOTAFirmware Over-The-Air无线固件GDPRGeneral Data Protection Regulation通用数据保护条例IETFThe Internet Engineering Task Force国际互联网工程任务组IoTInternet of Things物联网IPSecInternet Protocol Security网际协议安全ITInformation Technology信息技术MANOManagement and Orchestration管理与编排MECMulti-access Edge Computing多接入边缘
42、计算MMEMobility Management Entity移动性管理实体NFVNetwork Function Virtualization网络功能虚拟化缩略语缩略语英文全称中文全称OTOperation Technology运营技术OTAOvertheAir Technology空中下载技术PaaSPlatform-as-a-Service平台即服务PCRFPolicy and Charging Rules Function策略与计费控制功能RANRadio Access Network无线接入网络SDNSoftware Defined Network软件定义网络SEPPSecurity
43、 Edge Protection Proxies安全边缘保护代理SIMSubscriber Identity Module用户识别卡SLAService Level Agreement服务等级协议SMFSession Management Function会话管理功能SSLSecurity Socket Layer安全套接层协议TEETrusted Execution Environment可信执行环境TLSTransport Layer Security传输层安全TPMTrusted Platform Module可信平台模块UPFUser Plane Function用户面功能USIMUn
44、iversal Subscriber Identity Module全球用户识别卡V2XVehicle to Everything车联网VLANVirtual Local Area Network虚拟局域网VPNVirtual Private Network虚拟专用网络VRVirtual Reality虚拟现实VxLANVirtual eXtensible LAN可扩展虚拟局域网1 3GPP TS 33.501. Security Architecture and Procedures for 5G SystemS, 3GPP.2 5G-ENSURE_D2.7 Security Archite
45、ctureR, 5GPPP.3 ETSI GS MEC-002. MEC Technical RequirementsS, ETSI.4 IMT-2020 5G Network Security Requirement & ArchitectureR, IMT-2020.5 GTI 5G Network Security ConsiderationR, GTI6 ZHAO Fuchuan, WEN Jianzhong. Slicing Packet Network Infrastructure and Key Technologies for 5G Mobile BackaulJ, ZTE T
46、ECHNOLOGY,2018.8.7 Recommendation ITU-T X.rdmase: Requirements and Guidelines for Dynamic Malware Analysis in a Sandbox EnvironmentR, ITU-T.8 陆平,李建华,赵维铎. 5G在垂直行业中的应用J. 中兴通讯技术, 25(1):67-74. DOI: 10.12142/ZTETJ.201901119 5G信息安全白皮书R. 未来移动通信论坛, 2017本文档由中兴通讯副总裁兼5G行业产品线总经理 陆平、中兴通讯首席安全官 钟宏指导感 谢王继刚 许秀莉 闫新成 李建华 汤 凯 田 甜 郝振武 毛玉欣牛家浩 林兆骥 游世林 蒋志红 王 静 严 为 赵维铎 郭 婷等同事的辛勤付出参考文献