何為5G?

與針對(duì)大眾消費(fèi)的前幾代移動(dòng)網(wǎng)絡(luò)(語(yǔ)音通信服務(wù)，移動(dòng)互聯(lián)網(wǎng)訪問)不同，5G標(biāo)準(zhǔn)主要是為企業(yè)和公共部門的利益而創(chuàng)建的，5G的三大場(chǎng)景包括：

• 增強(qiáng)型移動(dòng)寬帶(eMBB)，峰值數(shù)據(jù)速率可達(dá)25 Gbps。應(yīng)用：4K直播、AR/VR服務(wù)、云游戲和其他高流量服務(wù)。
• 高可靠低延遲通信(URLLC)，數(shù)據(jù)傳輸延遲降低到1ms。應(yīng)用：自動(dòng)駕駛、遠(yuǎn)程技術(shù)(例如機(jī)器人手術(shù))。
• 大規(guī)模機(jī)器通信(mMTC)，每平方千米最多可支持1M基站連接。應(yīng)用：消費(fèi)和工業(yè)物聯(lián)網(wǎng)(電力、制造等)的開發(fā)。

[[398176]]

5G網(wǎng)絡(luò)安全威脅

讓我們回顧一下5G網(wǎng)絡(luò)的主要架構(gòu)特征以及相關(guān)的安全挑戰(zhàn)。

1)無(wú)線接入網(wǎng)(RAN)建立在新的5G NR標(biāo)準(zhǔn)的基礎(chǔ)上，主要特征是高帶寬、低延遲和大規(guī)模連接。

可能存在的風(fēng)險(xiǎn)：大量的連接和高帶寬增加了攻擊面。物聯(lián)網(wǎng)設(shè)備比較容易受到黑客攻擊。

2)骨干架構(gòu)(5G核心網(wǎng))往往基于云技術(shù)和網(wǎng)絡(luò)功能虛擬化(NFV，SDN)，可創(chuàng)建多個(gè)獨(dú)立的網(wǎng)段并支持具有不同特征的服務(wù)，同時(shí)還允許提供商將網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為服務(wù)提供給組織。

可能存在的風(fēng)險(xiǎn)：由于使用規(guī)模的擴(kuò)大，可能會(huì)導(dǎo)致故障增多或?yàn)E用的情況增加。

3)5G的發(fā)展還推動(dòng)了多接入邊緣計(jì)算(MEC)的使用。尤其是運(yùn)行在服務(wù)提供商網(wǎng)絡(luò)上的企業(yè)應(yīng)用程序:智能服務(wù)、金融服務(wù)、多媒體等。需要指出的是，在這種情況下，5G提供商的網(wǎng)絡(luò)已經(jīng)集成到了企業(yè)基礎(chǔ)設(shè)施中。

可能存在的風(fēng)險(xiǎn)：MEC設(shè)備往往在組織受保護(hù)的范圍之外，可能會(huì)給黑客提供入侵公司網(wǎng)絡(luò)的機(jī)會(huì)。

4)集中式運(yùn)維基礎(chǔ)設(shè)施同時(shí)支持多個(gè)業(yè)務(wù)領(lǐng)域，使其變得更加復(fù)雜。

可能存在的風(fēng)險(xiǎn)：資源濫用/O&M配置錯(cuò)誤，從而帶來(lái)嚴(yán)重的后果。

保護(hù)方法

1.標(biāo)準(zhǔn)級(jí)別的保護(hù)

• 將數(shù)據(jù)傳輸協(xié)議層分為三個(gè)平面：控制平面、用戶平面、管理平面。隔離、加密和平面完整性控制。
• 加密用戶和信令流量。
• 將流量加密密鑰的大小從128位增加到256位。
• 為各種類型的無(wú)線通信引入統(tǒng)一的用戶認(rèn)證機(jī)制。
• 支持靈活的分段安全策略。

2.解決方案、設(shè)備和網(wǎng)絡(luò)基礎(chǔ)設(shè)施級(jí)別的保護(hù)

• 多層隔離和保護(hù)SDN和VNF組件(包括hypervisor、虛擬機(jī)、操作系統(tǒng)和容器)的完整性。
• 確保虛擬機(jī)的高可用性，從各種攻擊中快速恢復(fù)。
• MEC應(yīng)用的身份驗(yàn)證。
• API請(qǐng)求的授權(quán)。
• 訪問公司網(wǎng)絡(luò)時(shí)使用多重身份驗(yàn)證。
• 使用白名單的設(shè)備和服務(wù)。
• 基站、MEC和公司網(wǎng)絡(luò)之間受保護(hù)的通信信道。
• 受信任的硬件環(huán)境，安全的設(shè)備啟動(dòng)。
• 利用人工智能算法實(shí)時(shí)檢測(cè)針對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)和虛擬基礎(chǔ)設(shè)施組件的攻擊。

3.網(wǎng)絡(luò)管理級(jí)別的保護(hù)

• O&M多重身份驗(yàn)證和分段訪問劃分。
• 安全管理用戶數(shù)據(jù)以及提供者的分析和服務(wù)數(shù)據(jù)：加密、匿名化、安全存儲(chǔ)和刪除。
• 漏洞和信息安全策略的集中管理，用于異常檢測(cè)的大數(shù)據(jù)分析以及對(duì)攻擊的早期響應(yīng)。

5G網(wǎng)絡(luò)的安全性不僅限于技術(shù)保護(hù)措施，還應(yīng)該包含相互信任的各方的共同努力，包括標(biāo)準(zhǔn)開發(fā)人員、監(jiān)管機(jī)構(gòu)、供應(yīng)商和服務(wù)提供商。一項(xiàng)新的移動(dòng)網(wǎng)絡(luò)安全計(jì)劃正在引入中。

NESAS/SCAS是由GSMA與3GPP兩大重量級(jí)行業(yè)組織合作，召集全球主要運(yùn)營(yíng)商、供應(yīng)商、行業(yè)伙伴和監(jiān)管機(jī)構(gòu)一起制定的網(wǎng)絡(luò)安全測(cè)試規(guī)范和評(píng)估機(jī)制，由經(jīng)過認(rèn)證的權(quán)威第三方機(jī)構(gòu)進(jìn)行審計(jì)及測(cè)試。NESAS/SCAS為移動(dòng)通信行業(yè)量身定制，提供威脅分析、重要資產(chǎn)定義、安全保障方法和通用要求。統(tǒng)一安全審計(jì)方法，避免不同市場(chǎng)中的碎片化和相互沖突的安全保障要求，提高認(rèn)證效率。同時(shí)，以更開放的態(tài)度考慮和采納來(lái)自各利益相關(guān)方的反饋。

5G的安全問題是客觀存在的，但并非不能解決，并且，隨著技術(shù)的不斷發(fā)展，保護(hù)措施也在不斷演進(jìn)。面對(duì)5G安全問題，我們要做的不是各自為戰(zhàn)，協(xié)同作戰(zhàn)才是最明智的選擇。