5G環(huán)境下的網(wǎng)絡(luò)安全等級保護(hù)舉措探析

◎成都安美勤信息技術(shù)股份有限公司◎閻育斌

隨著第四代蜂窩移動通信技術(shù)的應(yīng)用和穩(wěn)定，加之移動終端增長速度越來越快，人們對移動通信技術(shù)的要求也越來越高，在這種情況下，第五代蜂窩移動通信技術(shù)（以下簡稱5G技術(shù)）開始提出、試用并逐步應(yīng)用，而5G技術(shù)必然要在4G技術(shù)的基礎(chǔ)上增強(qiáng)信息安全性、數(shù)據(jù)安全性以及信息監(jiān)管有效性，因此，本研究著重針對5G環(huán)境下的網(wǎng)絡(luò)安全等級保護(hù)舉措進(jìn)行探析，旨在為日后5G技術(shù)發(fā)展方向提供一定借鑒價值。

科學(xué)技術(shù)水平的不斷發(fā)展和進(jìn)步，使得物聯(lián)網(wǎng)、互聯(lián)網(wǎng)行業(yè)出現(xiàn)迅猛增長，數(shù)據(jù)流量的大幅增長對移動通信技術(shù)的質(zhì)量和安全要求也隨之不斷提高，在4G技術(shù)已經(jīng)全面運營并趨于穩(wěn)定的現(xiàn)狀下，為追求進(jìn)一步提高，5G技術(shù)的提出和使用已經(jīng)成為必然趨勢。5G技術(shù)除能夠滿足萬物互聯(lián)需求外，還應(yīng)該真正意義上實現(xiàn)網(wǎng)絡(luò)、數(shù)據(jù)和用戶隱私的安全，提高用戶的使用體驗。

1. 網(wǎng)絡(luò)安全概述

《中華人民共和國網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)安全的定義是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。簡單來說就是系統(tǒng)軟件、硬件以及其中包含的數(shù)據(jù)信息都受保護(hù)，不會受惡意損壞、偶然因素的影響導(dǎo)致信息和數(shù)據(jù)的丟失和泄露、系統(tǒng)軟硬件的不可使用。網(wǎng)絡(luò)安全建設(shè)要根據(jù)不同對象網(wǎng)絡(luò)安全保護(hù)等級進(jìn)行分類防護(hù)，5G新技術(shù)帶來的全新網(wǎng)絡(luò)服務(wù)和運營模式對網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)，如何按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求做好5G網(wǎng)絡(luò)下的安全建設(shè)是值得思考的問題。

2. 5G場景下的網(wǎng)絡(luò)安全威脅

隨著5G技術(shù)的成熟和不斷應(yīng)用，整個世界進(jìn)入萬物互聯(lián)時代，在帶給我們各種便利的同時，產(chǎn)生了更多的應(yīng)用場景和想象空間，不同應(yīng)用場景對5G技術(shù)的要求側(cè)重點不同，因此面臨不同的安全威脅，如果不能很好的防范和解決這些安全威脅，將會帶來諸多問題，嚴(yán)重的可能會造成人身、財產(chǎn)損失，甚至對國家安全造成危害。

2.1 海量機(jī)器通信（match）場景

此類場景主要應(yīng)用在智慧城市、智能家居、環(huán)境監(jiān)測、森林防火、共享設(shè)備等領(lǐng)域的數(shù)據(jù)采集，采集終端具有小數(shù)據(jù)包、海量連接、低功耗等特點，對時延要求不敏感，但分布范圍廣、數(shù)量眾多。其面臨的安全威脅有DDOS攻擊，網(wǎng)絡(luò)干擾、擁塞，數(shù)據(jù)篡改、偽造、重放等，一旦被攻擊造成網(wǎng)絡(luò)不可用或其采集數(shù)據(jù)被篡改，很容易造成監(jiān)控失效、分析研判不準(zhǔn)確、誤導(dǎo)輔助決策等問題，嚴(yán)重的可能造成人身、財產(chǎn)損失，甚至危害國家安全。如：地質(zhì)災(zāi)害監(jiān)測系統(tǒng)依賴前端采集設(shè)備采集到的環(huán)境數(shù)據(jù)，傳送到數(shù)據(jù)中心進(jìn)行分析研判，進(jìn)行地質(zhì)災(zāi)害預(yù)報等。通過5G網(wǎng)絡(luò)攻擊，不法分子對前端采集設(shè)備的數(shù)據(jù)進(jìn)行篡改，發(fā)送大量偽造的數(shù)據(jù)，會對地質(zhì)災(zāi)害監(jiān)測造成重大影響，出現(xiàn)可能發(fā)生的地質(zhì)災(zāi)害無法準(zhǔn)確預(yù)報或已經(jīng)發(fā)生的地質(zhì)災(zāi)害被顯示為正常等現(xiàn)象，嚴(yán)重時會造成人員傷亡和財產(chǎn)損失，甚至引起社會恐慌。

2.2 超高可靠低時延通信（uRLLC）場景

此類場景主要應(yīng)用在遠(yuǎn)程醫(yī)療、自動駕駛、工業(yè)4.0、機(jī)器人控制等領(lǐng)域，多用于工業(yè)系統(tǒng)和遠(yuǎn)程設(shè)備控制。因其要實現(xiàn)對設(shè)備的精確控制，所以對5G網(wǎng)絡(luò)帶寬要求中等，對可靠性和低時延要求很高。其面臨的安全威脅有終端入侵，DDOS攻擊，數(shù)據(jù)隱私泄露，傳輸、存儲漏洞等，一旦被攻擊造成網(wǎng)絡(luò)不可用或數(shù)據(jù)傳輸過程中被篡改，會造成設(shè)備不受控制或受到惡意控制等情況，輕則影響生產(chǎn)生活，重則產(chǎn)生事故，造成人員傷亡和財產(chǎn)損失，嚴(yán)重時可能危害國家安全。如：自動駕駛系統(tǒng)在車輛運行過程中不斷接收和分析收到的數(shù)據(jù)，并與指揮中心通過5G網(wǎng)絡(luò)通信，做出分析研判后向車輛下達(dá)指令，躲避擁塞，避免事故。通過5G網(wǎng)絡(luò)攻擊，不法分子可能接管車輛的控制權(quán)，向車輛下達(dá)錯誤的指令，輕則造成大面積擁堵，重則可造成大量人員傷亡和財產(chǎn)損失，形成群體事件。

2.3 增強(qiáng)移動寬帶（eMBB）場景

此類場景主要應(yīng)用在增強(qiáng)現(xiàn)實和虛擬現(xiàn)實（AR/VR）、增強(qiáng)型室內(nèi)無線寬帶覆蓋等領(lǐng)域，因其要傳輸大量的視頻，所以對5G網(wǎng)絡(luò)的帶寬和實時性要求極高。其面臨的安全威脅有仿冒平臺及用戶、數(shù)據(jù)隱私泄露等，一旦被攻擊有可能會使用戶在虛擬現(xiàn)實中看到虛假的信息，引導(dǎo)用戶行為。如：AR/VR利用程序?qū)⑾胍故镜母黝愒兀ㄈ宋铩⒔ㄖ?、環(huán)境等）都能清晰的展示在用戶眼前，不法分子通過攻擊獲取平臺權(quán)限后，可以向用戶傳遞虛假的信息，引導(dǎo)用戶做出錯誤的行為，輕則導(dǎo)致用戶不適或信息失真，重則可造成人員傷亡和財產(chǎn)損失。

3. 5G環(huán)境下的網(wǎng)絡(luò)安全等級保護(hù)的相關(guān)措施

3.1 規(guī)范化網(wǎng)絡(luò)安全等級保護(hù)對象

規(guī)范化網(wǎng)絡(luò)安全等級保護(hù)對象主要分為兩個方向，一是關(guān)于切片網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)安全等級保護(hù)對象，這是因為切片網(wǎng)絡(luò)服務(wù)是5G環(huán)境下產(chǎn)生的一種新型網(wǎng)絡(luò)服務(wù)，主要包含垂直通信商和網(wǎng)絡(luò)運營商，與傳統(tǒng)的網(wǎng)絡(luò)通信技術(shù)的網(wǎng)絡(luò)安全等級保護(hù)對象有所不同，這是在垂直通信商和網(wǎng)絡(luò)運營商交叉的基礎(chǔ)上實現(xiàn)等級劃分和保護(hù)，除了簡單的物理區(qū)域劃分外，還可通過空間、多維度等方式進(jìn)行等級劃分和保護(hù)。二是關(guān)于移動邊緣計算（MEC）平臺的網(wǎng)絡(luò)安全等級保護(hù)對象，這是因為5G環(huán)境下加入了新的等級保護(hù)對象MEC節(jié)點計算，該種方式順應(yīng)了大數(shù)據(jù)和云計算的要求，從數(shù)據(jù)庫、服務(wù)器、終端和程度等多個方面進(jìn)行等級保護(hù)，具備短時間內(nèi)大數(shù)據(jù)計算的功能，根據(jù)業(yè)務(wù)需求的變化進(jìn)行變化，而不是傳統(tǒng)上單一固定劃分安全等級保護(hù)對象。

3.2 重視網(wǎng)絡(luò)安全等級保護(hù)的特殊性

重視網(wǎng)絡(luò)安全等級保護(hù)特殊性必須重視安全防護(hù)難度系數(shù)問題。新技術(shù)下必然帶來更高的風(fēng)險內(nèi)容，進(jìn)而增加安全防護(hù)的難度系數(shù)，在5G環(huán)境下開展網(wǎng)絡(luò)安全等級保護(hù)必須做到充分考慮核心網(wǎng)、接入網(wǎng)、切片網(wǎng)、移動邊緣計算節(jié)點和終端等多個方面滿足網(wǎng)絡(luò)等級保護(hù)基本要求。重視網(wǎng)絡(luò)安全等級保護(hù)特殊性必須明確安全責(zé)任問題，這是由于在傳統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)中對訪問控制和安全隔離十分重視。因此，5G環(huán)境下必須沿用該原則并在此基礎(chǔ)上合理劃分邊界，明確邊界防護(hù)問題。重視網(wǎng)絡(luò)安全等級保護(hù)特殊性必須做到根據(jù)不同終端類型確定不同網(wǎng)絡(luò)安全等級保護(hù)方式，5G環(huán)境下可能存在的危及人體健康和生命安全的事故都應(yīng)受到重視，終端類型的多樣化就要求對等級保護(hù)方式的多樣化，以適應(yīng)終端需求，確保安全性。

3.3 充分考慮接入安全

在今后一段時期，一方面來自不同網(wǎng)絡(luò)系統(tǒng)（5G、4G、3G、Wifi）、不同接入技術(shù)、不同類型站點的并行接入模式將成為常態(tài)。而原本不同的網(wǎng)絡(luò)系統(tǒng)各自對接入終端進(jìn)行認(rèn)證，客觀上無法實現(xiàn)終端設(shè)備的互認(rèn)互信。因此需要考慮對不同網(wǎng)絡(luò)系統(tǒng)統(tǒng)一進(jìn)行相關(guān)改造，采用統(tǒng)一的認(rèn)證框架，實現(xiàn)適用于各種應(yīng)用場景下的靈活且高效的雙向認(rèn)證，并建立統(tǒng)一的密鑰體系；另一方面成本的降低和技術(shù)發(fā)展必將使5G的垂直行業(yè)使用大量的物聯(lián)網(wǎng)設(shè)備，這類設(shè)備總量大，計算能力低，具有突發(fā)性的網(wǎng)絡(luò)接入特征，現(xiàn)有的面向傳統(tǒng)設(shè)備的接入認(rèn)證機(jī)制需要終端具有一定的算力，而這些海量低算力設(shè)備的算力無法滿足基本要求，因此需要專門面向物聯(lián)網(wǎng)設(shè)備研發(fā)更高效的接入認(rèn)證機(jī)制。另外5G網(wǎng)絡(luò)中，黑客如果利用海量物聯(lián)網(wǎng)設(shè)備對網(wǎng)絡(luò)發(fā)起DoS攻擊，對網(wǎng)絡(luò)造成的危害遠(yuǎn)比傳統(tǒng)終端帶來的危害大，因此需要在終端接入認(rèn)證機(jī)制研發(fā)過程中限制或阻止攻擊者對資源的過度請求，減少每次請求對資源的消耗。

3.4 確?；A(chǔ)網(wǎng)絡(luò)安全

5G網(wǎng)絡(luò)切片技術(shù)的引入，為運營商在同一套物理設(shè)備上提供多個端到端的虛擬網(wǎng)絡(luò)提供了可能。5G網(wǎng)絡(luò)切片可劃分為功能型切片和服務(wù)型切片，由一個網(wǎng)絡(luò)切片管理的敏感數(shù)據(jù)可能通過一些側(cè)信道攻擊，被運行于另一個網(wǎng)絡(luò)切片中的應(yīng)用獲得；一個切片內(nèi)部的錯誤和故障也會對其他切片產(chǎn)生影響。因此需要為不同網(wǎng)絡(luò)切片間提供持續(xù)的安全隔離機(jī)制，相同業(yè)務(wù)類型的網(wǎng)絡(luò)切片之間也需要隔離，并能為用戶或者基礎(chǔ)設(shè)施運營商提供有效的隔離證明。

5G網(wǎng)絡(luò)切片的基礎(chǔ)技術(shù)是網(wǎng)絡(luò)功能虛擬化（NFV）和軟件定義網(wǎng)絡(luò)（SDN），要實現(xiàn)網(wǎng)絡(luò)切片安全，首先要實現(xiàn)NFV安全。傳統(tǒng)4G網(wǎng)絡(luò)依賴物理設(shè)備“隔離”的方式不再適用，5G須考慮由NFV等新技術(shù)帶來的虛擬化安全問題。利用NFV的彈性、快捷性，可以快速部署大量的虛擬化安全設(shè)備，并且可利用虛擬化隔離業(yè)務(wù)負(fù)載從而強(qiáng)化安全。用戶和切片間安全通過接入策略控制來應(yīng)對訪問類風(fēng)險；切片內(nèi)網(wǎng)絡(luò)功能間安全，先進(jìn)行認(rèn)證對方NF是可信的，再建立安全隧道保障通訊安全；切片內(nèi)NF與切片外NF間安全可通過如下方法實現(xiàn)：

1.切片內(nèi)NF與切片公用NF間的安全（白名單機(jī)制）

2.切片內(nèi)NF與外網(wǎng)設(shè)備間的安全（部署防火墻）

3.不同切片間NF的隔離（通過虛擬局域網(wǎng)劃分）

其次要實現(xiàn) SDN安全。由于SDN采用集中式的控制器，一旦控制器被攻破，攻擊者就將擁有整個網(wǎng)絡(luò)的控制權(quán)；SDN的核心OpenFlow交換機(jī)與控制器之間的頻繁通信在遭受DoS攻擊時會極大降低網(wǎng)絡(luò)性能。因此如何保護(hù)SDN這個網(wǎng)絡(luò)中脆弱的部分，需要部署有效的防范措施和抗Dos攻擊手段?？梢岳肧DN的全局視野、集中控制，可快速流量調(diào)度等優(yōu)勢，實現(xiàn)防護(hù)的快速生效。

3.5 利用密碼保障安全

5G萬物互聯(lián)，帶來巨大的密碼使用需求，但4G中原來使用的大量密碼算法計算代價大，對終端和邊緣設(shè)備性能要求高，與5G綠色節(jié)能的要求存在沖突，因此需要考慮設(shè)計具有豐富層級架構(gòu)的一系列輕量級密碼算法，改進(jìn)密碼算法的適應(yīng)性，以提供按需的安全服務(wù)，優(yōu)先發(fā)展和使用國產(chǎn)密碼算法。

5G將引入公鑰基礎(chǔ)設(shè)施（PKI）來加強(qiáng)用戶身份的機(jī)密性保護(hù)以及網(wǎng)絡(luò)各節(jié)點之間的相互認(rèn)證。5G與PKI相互影響，PKI的操作復(fù)雜性制約著5G現(xiàn)實中的應(yīng)用，5G的需求促進(jìn)PKI的發(fā)展，因此應(yīng)優(yōu)先發(fā)展和使用國產(chǎn)化公鑰基礎(chǔ)設(shè)施。

在密鑰管理方面，由于5G應(yīng)用場景豐富，5G的密鑰各類呈現(xiàn)多樣化的特點，密鑰既統(tǒng)一又獨立，保證網(wǎng)絡(luò)切片通信安全的密鑰與支持非3GPP接入的密鑰。

3.6注重應(yīng)用場景安全保護(hù)

物聯(lián)網(wǎng)終端資源受限，網(wǎng)絡(luò)環(huán)境復(fù)雜，海量連接，容易受到攻擊。因此需要有群組認(rèn)證機(jī)制防范信令風(fēng)暴；需要抗DDOS攻擊機(jī)制，應(yīng)對NB-IoT終端被攻擊者劫持和利用；需要采用輕量化的安全機(jī)制，在安全方面不要增加過多的能量消耗；需要確保信令和數(shù)據(jù)傳輸安全性，如隱私保護(hù)和完整性保護(hù)。

車聯(lián)網(wǎng)要求空口時延低至1ms，直接的車-車通信需要快速相互認(rèn)證。而傳統(tǒng)的認(rèn)證和加密流程等協(xié)議，未考慮超高可靠低時延的通信場景，因此需要為車聯(lián)網(wǎng)設(shè)計優(yōu)化認(rèn)證和加密協(xié)議，優(yōu)先發(fā)展和使用國產(chǎn)化認(rèn)證和加密協(xié)議，此外還要防范基于偽基站的無線通信劫持和基于DNS欺騙的中間人攻擊。

3.7 保障用戶隱私安全

5G加速用戶隱私信息在多種網(wǎng)絡(luò)、服務(wù)、應(yīng)用及網(wǎng)絡(luò)設(shè)備中存儲使用，如何保護(hù)用戶隱私成為巨大挑戰(zhàn)。因此應(yīng)該使用加密技術(shù)、匿名化技術(shù)為臨時身份標(biāo)識、永久身份標(biāo)識、設(shè)備身份標(biāo)識、網(wǎng)絡(luò)切片標(biāo)識等身份標(biāo)識提供保護(hù)；使用加密等技術(shù)提供對海量的用戶設(shè)備及其應(yīng)用產(chǎn)生的用戶位置相關(guān)信息的保護(hù)，并防止通過位置信息分析和預(yù)測用戶軌跡；使用機(jī)密性、完整性保護(hù)等技術(shù)對用戶使用服務(wù)產(chǎn)生的相關(guān)服務(wù)信息提供保護(hù)。

3.8 加強(qiáng)數(shù)據(jù)安全保護(hù)

MEC使得計算下沉到無線接入網(wǎng)和移動終端一側(cè)，MEC服務(wù)器部署在網(wǎng)絡(luò)匯聚結(jié)點之后或基站內(nèi)，MEC處在對外開放且不受控制的環(huán)境，特別容易遭到物理篡改和攻擊；低成本物聯(lián)網(wǎng)終端更容易被攻擊，部署在不可信環(huán)境中的核心網(wǎng)網(wǎng)元易被物理接觸攻擊，因此應(yīng)該采用集中式或分布式的鑒權(quán)和認(rèn)證方法，通過虛擬機(jī)隔離提供虛擬化安全并采用入侵檢測技術(shù)發(fā)現(xiàn)惡意攻擊；

無線和核心網(wǎng)參數(shù)開放給第三方APP做智能優(yōu)化，MEC具備數(shù)據(jù)緩存能力，敏感數(shù)據(jù)易被攻擊者獲取，會造成敏感數(shù)據(jù)泄露，因此應(yīng)該充分利用已有通信安全協(xié)議、密碼加密和解密體系保護(hù)數(shù)據(jù)。

4. 結(jié)語

5G環(huán)境下針對網(wǎng)絡(luò)安全等級保護(hù)來說要求更高，必須通過規(guī)范化網(wǎng)絡(luò)安全等級保護(hù)對象、重視網(wǎng)絡(luò)安全等級保護(hù)的特殊性、充分考慮接入安全、確?；A(chǔ)網(wǎng)絡(luò)安全、利用密碼保障安全、注重應(yīng)用場景安全保護(hù)、保障用戶隱私安全以及加強(qiáng)數(shù)據(jù)安全保護(hù)等方式，不斷提高5G環(huán)境下的網(wǎng)絡(luò)安全，為更多的用戶帶來便利。