中兴通讯5G行业应用安全白皮书.pdf

中兴通讯5G行业应用安全白皮书2019年8月01前言“4G改变生活，5G改变社会！”除了进一步更好地服务于传统的消费移动互联网，5G还将赋能整个社会的其他垂直行业。这意味着5G在承载更多的社会资产、服务和责任的同时，必然会遭受更多的恶意攻击，也对垂直行业的网络和信息安全提出了更多新的挑战。在新的环境下，如何保障网络正常运作及数据核心资产安全，是行业用户首要关心的问题。行业应用在环境、业务、资产、运营等层面具有不同的特征，这些特征之间关联交织，使得安全性问题显得隐蔽而复杂。在实际应用中，不同行业、不同应用也会有不同的安全需求。网络化协同、个性化的安全定制等不仅要求网络提供安全服务的保障，也对网络的安全隔离能力提出更高的要求。在OT（操作技术Operation Technology）与IT（信息技术Information Technology）的融合时代，数据的开放、流动和共享使得企业数据面临着前所未有的挑战，数据的保护难度也在增大。同时个性化定制、服务化转型涉及到大量的用户信息，使得用户隐私泄露风险也在不断增加。随着多接入边缘计算（Multi-access Edge Computing：MEC）大量部署，数据安全和隐私保护将被摆在更显眼的位置。随着信息技术的发展，云计算、虚拟化、边缘计算等新技术的广泛应用也导致行业安全风险不断叠加。云计算、虚拟化技术使得安全边界模糊，流量不可见；边缘计算使得行业数据安全传输与存储的风险大大增加；行业的多业务场景要求安全与业务需求、接入技术、终端能力等相结合。如何充分利用大数据、人工智能（Artif_icial Intelligence：AI）等技术为行业应用提供智能化的安全服务，也是当前行业面临的重要课题之一。在本白皮书中，中兴通讯基于对安全领域长期以来的技术积累以及对5G网络的深刻洞察，分享了对于5G垂直行业应用安全的一些观点。中兴通讯认为，5G为垂直行业提供了更安全的智能网络服务，从多个维度提升了安全特性；同时，通过5G基础设施与垂直行业的典型业务特征相结合，以网络与设备为中心，以可视性与可控性为基本框架，充分利用切片定制、能力开放、边缘计算、APT（高级持续性威胁Advanced Persistent Threat）防御、可信技术、动态防御等创新平台与技术，打造与垂直行业紧密融合的网络安全长城，完成对5G行业应用网络的深层次加固。02目录5G行业应用安全挑战 安全的5G网络能力可定制化安全 端到端网络安全 边缘定义安全 灵活的5G安全架构 多层次的隔离能力 丰富的安全开放能力 多元化的边缘计算安全 端到端的数据安全保护 先进的数据隐私保护面向5G行业的新型防御技术 智能化的高级持续性威胁防御精细化的微分段技术 动态化的主动防御 行业应用安全治理与评估未来及展望缩略语030405060810111213141516171818192021035G行业应用安全挑战5G网络的高带宽、低时延、海量连接等特性大幅提升了全社会各产业的信息化水平。同时，5G网络提供的灵活定制、弹性部署、多层次隔离等智能网络能力，推动了互联网创新从量变到质变的转型。未来5G将深入垂直行业，促进产业创新与经济增长，影响我们的生活方式，提升全社会的福祉。自2015年以来，全球每年有超过300起大型工业网络安全事件发生，企业与公众开始越来越多地关注此类事件，并从安全、财产、经济、声誉等方面评估可能产生的影响。随着5G的规模商用以及在垂直行业中的普及，行业应用将会吸引更多的恶意攻击。诸如工业制造、能源、交通、金融等关键领域的高价值资产将成为首要的攻击目标，并可能给国家、社会和企业带来严重的风险。在5G时代，传统互联网的方法论、设计范式、软件技术仍会继续在垂直行业使用，用于攻击的漏洞、工具与手段都能够直接对行业资产产生威胁。5G引入切片、NFV（网络功能虚拟化Network Function Virtualization）、MEC等新技术以支持智能网络服务的定制，也使得网络的形态、生态、商业模式、信任与风险关系呈现出更加动态与复杂的态势。集中编排与软件定义能力的运用，在为网络带来新的中心化特征的同时，也对安全性带来了新的挑战。5G时代的行业应用网络，必须能够提供不低于传统专网的安全性与可靠性，才能够胜任高价值资产的承载，同时，需要充分灵活地应用5G基础设施以及围绕5G网络的创新所带来的新技术与新能力，使垂直行业的安全充分受益。04安全的5G网络能力05图 1 5G网络安全定制框架5G网络进一步满足了人们对超高带宽的增强移动互联需求（例如AR、VR、8K视频通讯等），同时实现了由消费类网络向行业应用网络的转型（例如远程医疗、无人驾驶、智能制造等）。行业应用对网络时延、传输速率、连接数等存在差异化的要求，而传统移动网络受限于网络架构、交付方式、运维模式等因素，已经难以满足不同行业的应用需求。因此，5G基于SDN（软件定义网络Software Def_ined Network）/NFV等新技术，重构了全新的网络架构，以更好地支撑多样化的行业应用场景。作为网络必要组成部分的安全体系，传统移动网络采用了固化的安全防御架构，难以满足行业应用对于安全的差异化和可扩展性需求，安全能力只能依靠打补丁方式进行扩展加固，导致移动网络无法及时使用新的安全技术、防御新型安全威胁。不同的行业应用存在共性的安全需求，同时各行业应用又存在特殊安全防护要求，5G基于网络切片技术提供了智能网络服务，并基于安全能力开放机制提供了灵活的安全架构，既可实现共性安全的统一考虑，又能兼顾具体行业应用所需安全机制的灵活定制。相对于传统企业专网，基于切片的可定制化5G网络能够为垂直行业提供更安全的、端到端保障的网络服务与能力。5G网络应用于垂直行业，不仅仅提供基础的安全网络接入能力，还会开放边缘DC（数据中心Data Center）、核心DC中的各种基础设施能力，其安全架构不但需要考虑差异化的业务需求，还需要考虑网络与业务融合特殊场景的业务需求，以进行安全架构的定制和加固。可定制5G网络安全架构如下图所示。可定制化安全安全可控性更安全的接入多层次安全隔离安全可视性更强的安全审计能力高安全标准高水准供应链端到端全网安全治理（等保2.0）专业化运维切片定制与行业加固SLA交付与能力开放3GPP/ETSI/IETF基于eSIM/USIMGDPR合规Top制造商合作产品安全治理第三方权威认证长期运维经验基于AI等新技术专属服务团队高速响应能力平滑演进面向6G演进新安全能力引入威胁情报共享06更高的网络安全接入标准移动通信网作为商业化的电信网络，在标准设计之初，就充分考虑了网络接入的移动性、可靠性和安全性，通过SIM（用户识别卡Subscriber Identity Module）/USIM（全球用户识别卡Universal Subscriber Identity Module）等身份标识、认证授权、访问控制、信道与承载加密等方式，提供了良好的安全通信能力。5G网络继承了4G的安全特性，同时对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进行了优化或增强。相对WiFi、企业专网等非3GPP接入机制，5G提供了更大范围的移动性，也为用户提供了更健壮的业务安全、更严密的数据保护及更强的用户隐私保护。5G提供了基于统一认证框架的双向认证能力，使终端和网络都能够确认对方身份的合法性。这样不仅能避免非法用户接入，也能避免利用伪基站、伪热点进行诈骗或者窃取用户信息。更强的安全审计能力任何通过不同接入方式接入到5G网络的终端，都需要进行统一的认证与管理，并对设备使用网络的情况进行记录。同时，还可以通过设备管理平台建立并维护各行业资产，及业务、部门、组织等实体之间的权属与管理关系，当发生异常行为时，可以快速追溯终端使用者的身份和行为轨迹，强化了所有者的管理责任，增加了攻击者的法律风险，有效降低攻击的概率。多层次的安全隔离传统局域网与互联网的设计初衷是开放性，这也是导致网络安全问题频发的一个根源。未来的产业互联网将会连接工业、金融、能源、交通等重要领域的高价值资产，5G网络切片不但能够为不同SLA（服务等级协议Service Level Agreement）的业务提供网络架构的定制，还能够提供多种安全级别的网络隔离能力，为终端提供端到端的安全通道。这样，即使某一终端被攻破，恶意程序也很难在5G网络中横向传播，使得攻击的扩散势头以及导致的损失得到有效的遏制。高水准的供应链5G网络各种软件、硬件以及服务的供应商与合作伙伴，优先选择具备强大实力的提供商，其内部安全治理水平处于业界领先水准，可以从源头保障5G网络的长期安全，并可简化、加快行业客户从设备认证、选型、采购到部署的全过程。端到端网络安全07专业化的运维很多安全事件的根本原因都是因为不专业的管理与运维导致。相对于企业专网中各种中间设备的多样性、暴露性以及管理的分散性等隐患，5G提供了一站式的弹性网络安全能力，并在运行期间能够提供长期专业化的网络智能维护体系与应急响应体系，最大程度地减少由于企业自建专网等带来的安全运维风险。端到端的全网安全治理面向全网的端到端安全治理体系，能对5G网络的持续、高安全运行提供保障。受益于5G网络全业务运营、广覆盖的优势，5G网络能够为垂直行业网络安全提供端到端的信任机制，使得为行业用户建立更加便利的专用的网络切片成为可能，有利于5G行业应用网络的大规模快速部署。面向未来的安全演进不同于IT系统的短生命周期的特点，OT技术的使用寿命往往是IT系统的10倍以上，其控制系统及补丁也有很低的更新频率。5G作为智能化的网络平台，具备面向未来的多种接入方式融合与演进能力，例如：特殊场景下的卫星接入手段、向6G及后续网络的平滑演进能力等。这种安全演进能力，对于垂直行业长期保持业务连续性具有重要的意义。随着技术的发展，5G网络会不断平滑引入各种新技术、新安全能力以进一步加固网络安全，对垂直行业业务不会造成影响和中断。同时，5G网络还可以利用自己的核心位置，集中收集、分析各种面向垂直行业的威胁情报，并在垂直行业用户之间进行共享，提升安全事件响应速度。08边缘定义安全工控设备通常具有高度定制化、资源有限、难以升级维护、长寿命、抗攻击能力差等特点，必须依赖各种外部防御手段从多个层次为设备资产提供深度的防御能力。另外，由于安全边界收缩到设备侧，安全控制需要从网络边缘开始加固，进行近源控制与防御，减小资产攻击面。5G为垂直行业带来了新的能力平台，通过结合行业应用的特点（例如权属关系与管理关系的相对统一、相对固定的覆盖范围等），5G能够从可控性、可视性等角度，采用多种新技术、新手段，基于边缘从多个层次对企业网络进行定制化加固。图 2 5G边缘定义安全资产可控设备可视核心资产加固边缘定义安全逻辑边界与行为可控流量可视物理边界可控网络可视MEC平台行业网络深层次加固5G网络切片定制OTA/FOTAeSIM/TPM/TEE设备管理平台融合认证核心网下沉专用切片专属覆盖共建代维动态目标防御智能防火墙微分段技术零信任网络APT智能检测高价值资产09威胁往往来自看不见的领域，获取完整的OT资产列表并进行长期的持续监控，是安全的基础。5G网络结合IoT（物联网Internet of Things）设备管理平台，可以对企业用户、设备等不同类型终端，提供高效与精准的资产发现与管理能力，支持对设备连网接入、状态、流量及策略进行精细化的、实时性的管控，并从网络视角为企业自动构建完整的安全视图。5G网络不仅可对行业协议数据进行整型与规范化处理；还可将流量交给APT智能检测模块进行更加深入的分析与监控。信息透明是信任的基础，作为5G网络的拥有者，运营商需要提供网络服务与安全能力SLA的可视化，使得垂直行业用户可以动态实时地对网络风险进行评估，及时预测、发现并处置网络安全事件。5G行业应用网络可以基于网络切片，从站址资源、无线频谱、覆盖范围、网络接口、接入认证等方面，对网络的物理边界进行多维度的定制与约束，通过多种接入方式满足网络覆盖需求。同时，可进一步结合边缘计算提供的定位能力，对终端的位置边界进行约束与管控。5G网络支持面向机器的连接。机器的行为模式相对简单，流量模型可预测，同时由于网络切片的使用，隔离了各种不同业务特征的网络流量，因此，通过快速的学习和训练，AI技术可以更加准确地对垂直行业的流量与行为异常进行检测、回溯与根因分析，为垂直行业用户提供实用的安全分析与告警，抵御各类APT攻击。网络、流量与行为以及终端层面的安全防御，最终是为了完成对于核心业务的保护，而针对业务层以及用户身份的攻击，是最直接和快速的手段。由于管理与维护的疏忽、不可避免的系统漏洞，都会对系统造成重大的安全风险威胁。因此，管理上的可控性尤其显得重要，需要从环境、硬件架构、操作系统等层面基于特殊设计或者密码学方法进行加固。安全可视性加固安全可控性加固网络行为终端核心业务保护流量