5G網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法與實(shí)踐

湯 凱 王繼剛 翟亞紅

1(移動(dòng)網(wǎng)絡(luò)和移動(dòng)多媒體技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室 廣東深圳 518057)

2(中興通訊股份有限公司 廣東深圳 518057)

3(中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020)

(etangkai@outlook.com)

5G網(wǎng)絡(luò)(5th generation mobile networks)引入了SDN/NFV(software defined network/network function virtualization),SBA(service based architecture)等軟件化、服務(wù)化、虛擬化技術(shù)，解耦了CU/DU(centralized unit/distributed unit)，通過(guò)MEC(mobile edge computing)提供了邊緣化計(jì)算能力，定義了網(wǎng)絡(luò)切片，實(shí)現(xiàn)了面向產(chǎn)業(yè)互聯(lián)網(wǎng)的“可編程網(wǎng)絡(luò)”.

大量新技術(shù)、新理念在移動(dòng)網(wǎng)絡(luò)中第1次大規(guī)模地使用，使得5G網(wǎng)絡(luò)的架構(gòu)、生態(tài)、商業(yè)模式、信任關(guān)系與風(fēng)險(xiǎn)特征呈現(xiàn)出更加復(fù)雜的態(tài)勢(shì)(1)中興通訊5G 行業(yè)應(yīng)用安全白皮書(shū)(https://res-www.zte.com.cn/mediares/zte/Files/PDF/white_book/201908271502CN.pdf?la=zh-CN).復(fù)雜性是風(fēng)險(xiǎn)的主要來(lái)源之一，如何在動(dòng)態(tài)變化中同時(shí)保證5G網(wǎng)絡(luò)的靈活性與安全性是5G的重要挑戰(zhàn).

與5G網(wǎng)絡(luò)一樣，5G安全平面也是一個(gè)多層次的復(fù)雜系統(tǒng)，需要考慮生態(tài)、業(yè)務(wù)、網(wǎng)絡(luò)、供應(yīng)鏈、基礎(chǔ)設(shè)施等多個(gè)不同級(jí)別的安全需求與風(fēng)險(xiǎn)態(tài)勢(shì).本文基于ISO(International Organization for Standardization) 27005的框架[1]，引入了一種風(fēng)險(xiǎn)評(píng)估模型，對(duì)5G網(wǎng)絡(luò)空間的高級(jí)別風(fēng)險(xiǎn)(簡(jiǎn)稱(chēng)5G網(wǎng)絡(luò)風(fēng)險(xiǎn))進(jìn)行評(píng)估，并給出相應(yīng)的安全矩陣模型作為5G網(wǎng)絡(luò)風(fēng)險(xiǎn)的對(duì)策.

1 風(fēng)險(xiǎn)評(píng)估模型

目前存在多種不同的風(fēng)險(xiǎn)評(píng)估模型分別針對(duì)不同的上下文類(lèi)型.文獻(xiàn)[2]描述了一種基于UML(unified markup language)擴(kuò)展的安全系統(tǒng)的需求描述與開(kāi)發(fā)方法，主要針對(duì)基于UML的產(chǎn)品開(kāi)發(fā)，對(duì)使用者要求較高.文獻(xiàn)[3]描述了一種基于DFD(data flow diagram)的威脅建模方法，主要面向以數(shù)據(jù)流為中心的業(yè)務(wù).X.805標(biāo)準(zhǔn)[4]為端到端通信系統(tǒng)給出了一個(gè)比較高抽象層次的分層分面的安全模型，但并未在具體風(fēng)險(xiǎn)識(shí)別、分析方法層面給出任何建議.ENISA(The European Union Agency for Cybersecurity)對(duì)5G網(wǎng)絡(luò)空間的風(fēng)險(xiǎn)環(huán)境進(jìn)行了詳細(xì)的描述，但主要是基于逐步放大的上下文展開(kāi)(2)ENISA Threat Landscape for 5G Networks(https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-for-5g-networks/at_download/fullReport).

上述模型均需要基于非常清晰的上下文，即對(duì)象以及相互之間的關(guān)系與邏輯需要非常明確.本文主要聚焦5G網(wǎng)絡(luò)空間的高級(jí)別風(fēng)險(xiǎn)評(píng)估，而非特定的技術(shù)性漏洞.在這個(gè)層次上可以識(shí)別到的主要是一些離散的需求與相對(duì)抽象、模糊的特征，因此本文引入ISO 27005的一般性風(fēng)險(xiǎn)管理框架，結(jié)合5G網(wǎng)絡(luò)空間的高級(jí)別特征，給出了一個(gè)5G網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型，如圖1所示.

在圖1中，5G安全上下文從生態(tài)與技術(shù)2個(gè)維度對(duì)網(wǎng)絡(luò)的內(nèi)外環(huán)境及風(fēng)險(xiǎn)特征進(jìn)行畫(huà)像，并對(duì)既有的電信網(wǎng)絡(luò)安全框架進(jìn)行識(shí)別；5G網(wǎng)絡(luò)風(fēng)險(xiǎn)分析環(huán)節(jié)基于各種傳統(tǒng)風(fēng)險(xiǎn)分析方法，例如：Delphi法、腦力風(fēng)暴、業(yè)界知識(shí)庫(kù)、專(zhuān)家?guī)斓雀鞣N方式進(jìn)行，同時(shí)針對(duì)5G網(wǎng)絡(luò)本體，本文特別提出了一種基于ICO(IT—information technology，CT—communication technology，OT—opetation technology)融合的分析方法，將各種離散的特征進(jìn)行結(jié)構(gòu)化梳理，為上述傳統(tǒng)風(fēng)險(xiǎn)分析方法提供一種引導(dǎo)；基于識(shí)別出的風(fēng)險(xiǎn)清單，本文將對(duì)應(yīng)的對(duì)策安排到一個(gè)安全矩陣之中，為5G網(wǎng)絡(luò)安全提供了一個(gè)多視角的立體模型，用于指導(dǎo)更細(xì)粒度的風(fēng)險(xiǎn)管理.

圖1 5G網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型

2 5G安全上下文

2.1 5G利益相關(guān)者與資產(chǎn)

5G的利益相關(guān)者是5G生態(tài)中相對(duì)明確的部分.不同的利益相關(guān)者出于不同的資產(chǎn)關(guān)注點(diǎn)觀察5G網(wǎng)絡(luò)會(huì)有不同的安全需求與風(fēng)險(xiǎn)偏好.5G網(wǎng)絡(luò)的安全上下文首先需要識(shí)別5G引入的新參與者及其關(guān)注的資產(chǎn)種類(lèi).本文在參考ENISA的文獻(xiàn)②基礎(chǔ)上枚舉了代表性的利益相關(guān)者：

1) 網(wǎng)絡(luò)客戶(hù)，包括行業(yè)客戶(hù);

2) 產(chǎn)品與服務(wù)供應(yīng)商;

3) 移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商;

4) 虛擬化基礎(chǔ)設(shè)施服務(wù)提供商;

5) 數(shù)據(jù)中心提供商.

另外，ENISA還枚舉了另外一些利益相關(guān)者，與5G資產(chǎn)的所有權(quán)/責(zé)任相關(guān)，例如：

1) 互聯(lián)網(wǎng)交換點(diǎn);

2) 國(guó)家監(jiān)管機(jī)構(gòu);

3) 信息共享與分析中心;

4) 國(guó)家網(wǎng)絡(luò)安全協(xié)調(diào)機(jī)構(gòu);

5) 國(guó)家5G測(cè)試中心;

6) 國(guó)家認(rèn)證機(jī)構(gòu).

5G網(wǎng)絡(luò)體現(xiàn)了向產(chǎn)業(yè)互聯(lián)網(wǎng)的轉(zhuǎn)型，其承載的數(shù)據(jù)資產(chǎn)安全性級(jí)別遠(yuǎn)高于傳統(tǒng)移動(dòng)網(wǎng)絡(luò)中的消費(fèi)類(lèi)數(shù)據(jù)，對(duì)于社會(huì)與公眾利益的影響也更為深遠(yuǎn).在5G網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程中都需要持續(xù)貫徹對(duì)于不同類(lèi)型資產(chǎn)的關(guān)注.本文參考ENISA(3)EU-Wide Coordinated Risk Assessment of 5G Networks Security(https://ec.europa.eu/digital-single-market/en/news/eu-wide-coordinated-risk-assessment-5g-networks-security)對(duì)于5G網(wǎng)絡(luò)的主要資產(chǎn)分類(lèi)：

1) 物理與組織性基礎(chǔ)設(shè)施;

2) 硬件、軟件;

3) 互聯(lián)關(guān)系、協(xié)議;

4) 控制類(lèi)數(shù)據(jù);

5) 網(wǎng)絡(luò)切片;

6) 系統(tǒng)產(chǎn)生/消耗的數(shù)據(jù);

7) 流經(jīng)系統(tǒng)的數(shù)據(jù);

8) 各種角色;

9) 各種衍生權(quán)利.

2.2 生態(tài)平面風(fēng)險(xiǎn)特征

5G網(wǎng)絡(luò)生態(tài)是5G網(wǎng)絡(luò)最大的上下文.生態(tài)平面表達(dá)的上下文是近似性的、高度抽象性的，本文將5G網(wǎng)絡(luò)生態(tài)的外部上下文分為監(jiān)管、商業(yè)、業(yè)務(wù)、網(wǎng)絡(luò)4個(gè)平面，如圖2所示.

圖2 5G網(wǎng)絡(luò)生態(tài)特征

2.3 技術(shù)維度風(fēng)險(xiǎn)特征

網(wǎng)絡(luò)平面的內(nèi)部技術(shù)維度相對(duì)于生態(tài)平面具有更高的確定性.彈性分級(jí)電信云、軟件定義移動(dòng)網(wǎng)絡(luò)以及多元化行業(yè)專(zhuān)網(wǎng)從3個(gè)不同的技術(shù)維度定義了5G網(wǎng)絡(luò)的基礎(chǔ)設(shè)施、架構(gòu)與需求的核心特征，其原生安全特征分別由相應(yīng)的標(biāo)準(zhǔn)化組織、聯(lián)盟或者行業(yè)進(jìn)行定義或規(guī)范.由于安全與業(yè)務(wù)的同構(gòu)性，風(fēng)險(xiǎn)會(huì)通過(guò)架構(gòu)進(jìn)行傳染，因此需要考慮5G云網(wǎng)融合背景下的新增風(fēng)險(xiǎn)，如圖3所示.

圖3 5G網(wǎng)絡(luò)平面技術(shù)融合風(fēng)險(xiǎn)

2.4 既有控制框架

ENISA①認(rèn)為，對(duì)于5G而言可以考慮各種安全措施，這些措施中有些已經(jīng)到位或者部分到位.特別是涉及到適用于前幾代移動(dòng)網(wǎng)絡(luò)的安全框架，大多對(duì)于5G網(wǎng)絡(luò)依然有效.對(duì)于已經(jīng)確定的風(fēng)險(xiǎn)，特別是那些影響核心業(yè)務(wù)功能的風(fēng)險(xiǎn)，已經(jīng)通過(guò)3GPP(The 3rd Generation Partnership Project)等組織的標(biāo)準(zhǔn)來(lái)進(jìn)行定義.本文主要針對(duì)的是5G網(wǎng)絡(luò)除上述措施已到位、標(biāo)準(zhǔn)已確定的風(fēng)險(xiǎn)之外的那些風(fēng)險(xiǎn).

3 5G網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

3.1 生態(tài)性風(fēng)險(xiǎn)分析

針對(duì)5G網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析首先考慮生態(tài)性的風(fēng)險(xiǎn)特征對(duì)于5G網(wǎng)絡(luò)的影響，主要基于安全需求與行業(yè)經(jīng)驗(yàn)進(jìn)行，如圖2所示.

3.1.1 監(jiān)管風(fēng)險(xiǎn)

監(jiān)管平面的安全需求是安全的最小公約數(shù)，從法律法規(guī)或者行業(yè)層面作出具有普遍性的強(qiáng)制約束是社會(huì)、產(chǎn)業(yè)界對(duì)于5G網(wǎng)絡(luò)安全的基礎(chǔ)共識(shí).部分國(guó)家和地區(qū)(例如歐盟)已經(jīng)重新評(píng)估網(wǎng)絡(luò)安全政策與監(jiān)管框架，陸續(xù)制定、修訂網(wǎng)絡(luò)安全相關(guān)法規(guī)，聚焦于網(wǎng)絡(luò)與關(guān)鍵行業(yè)基礎(chǔ)設(shè)施保護(hù)、個(gè)人隱私保護(hù)、應(yīng)急響應(yīng)、跨境數(shù)據(jù)流動(dòng)、內(nèi)容審查等方面.更多面向不同行業(yè)的立法要求將會(huì)不斷涌現(xiàn)，必將直接或間接地對(duì)5G網(wǎng)絡(luò)產(chǎn)生新的監(jiān)管性需求.

3.1.2 商業(yè)風(fēng)險(xiǎn)

5G利益相關(guān)者之間存在各種契約性關(guān)系，涉及供應(yīng)鏈、建設(shè)模式以及網(wǎng)間協(xié)作等各方面.供應(yīng)鏈?zhǔn)蔷W(wǎng)絡(luò)風(fēng)險(xiǎn)的直接攜帶者，ICO融合導(dǎo)致更分散的供應(yīng)鏈；相對(duì)于傳統(tǒng)建設(shè)模式，5G存在更多創(chuàng)新性的網(wǎng)絡(luò)建設(shè)與運(yùn)維模式，行業(yè)將在網(wǎng)絡(luò)中擁有更大的話語(yǔ)權(quán)，例如：運(yùn)營(yíng)商之間的網(wǎng)絡(luò)共享、頻譜租用、運(yùn)營(yíng)商與行業(yè)用戶(hù)在站點(diǎn)與基礎(chǔ)設(shè)施層面的共建等，這些新的商業(yè)模式進(jìn)一步模糊了網(wǎng)絡(luò)資產(chǎn)與數(shù)據(jù)、安全與管理的責(zé)任邊界.商業(yè)鏈條的加長(zhǎng)，第三方風(fēng)控能力的不確定性，使得在面向重要行業(yè)客戶(hù)時(shí)，傳統(tǒng)外包服務(wù)模式的信任與溝通鏈條變長(zhǎng)，響應(yīng)速度變慢，加大了運(yùn)營(yíng)商的履約風(fēng)險(xiǎn)，加劇了客戶(hù)對(duì)于5G網(wǎng)絡(luò)安全性的擔(dān)憂.

3.1.3 業(yè)務(wù)風(fēng)險(xiǎn)

5G網(wǎng)絡(luò)本質(zhì)上還是IP網(wǎng)絡(luò)，對(duì)業(yè)務(wù)平面而言，最大的安全風(fēng)險(xiǎn)仍然是行業(yè)網(wǎng)絡(luò)的封閉性與互聯(lián)網(wǎng)的開(kāi)放性之間的沖突.設(shè)備主權(quán)等問(wèn)題隨著行業(yè)化的加深也將成為新的挑戰(zhàn)(4)《安全架構(gòu)實(shí)踐的公理》(https://www.opengroup.org.cn/system/files/download/2020-09/g192%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84%E5%AE%9E%E8%B7%B5%E7%9A%84%E5%85%AC%E7%90%86.pdf).IT技術(shù)以及開(kāi)放供應(yīng)鏈向5G的引入，使得移動(dòng)網(wǎng)絡(luò)的開(kāi)放性從外部連接走向內(nèi)部邏輯，為高價(jià)值資產(chǎn)帶來(lái)更多風(fēng)險(xiǎn).從長(zhǎng)遠(yuǎn)看，運(yùn)營(yíng)商還需要提供切片生態(tài)的監(jiān)管與協(xié)調(diào)提供基本能力，保證終端、用戶(hù)等業(yè)務(wù)要素的可信.

3.1.4 網(wǎng)絡(luò)風(fēng)險(xiǎn)

網(wǎng)絡(luò)平面是5G網(wǎng)絡(luò)的核心，ICO融合影響了網(wǎng)絡(luò)架構(gòu)的內(nèi)生風(fēng)險(xiǎn)特征，對(duì)此將在下一節(jié)單獨(dú)展開(kāi)分析.

3.2 ICO融合技術(shù)性風(fēng)險(xiǎn)分析

3.2.1 基于特征融合的風(fēng)險(xiǎn)分析方法

內(nèi)生風(fēng)險(xiǎn)采用了一種ICO融合的分析方法，如圖3所示.

風(fēng)險(xiǎn)分析是安全設(shè)計(jì)的輸入之一，需要依托風(fēng)險(xiǎn)鏈條展開(kāi).STIX(structured threat information expression)描述了一種結(jié)構(gòu)化的風(fēng)險(xiǎn)鏈條，如圖4所示，其中系統(tǒng)上下文具備資產(chǎn)與技術(shù)的雙重性，因此系統(tǒng)技術(shù)特征的變化一般都會(huì)帶來(lái)資產(chǎn)與威脅的變化，反之亦然，正如文獻(xiàn)[5]所述，資產(chǎn)、系統(tǒng)與威脅這3個(gè)主要安全要素之間存在三角影響關(guān)系.

圖4 STIX風(fēng)險(xiǎn)鏈條

這種影響不僅僅局限于同一上下文內(nèi)的原生安全，還會(huì)沿著系統(tǒng)架構(gòu)進(jìn)行傳染，對(duì)不同級(jí)別的上下文產(chǎn)生直接或間接的影響.基于特征融合的方法通過(guò)將一個(gè)上下文中的資產(chǎn)屬性(例如OT維度)與另外一個(gè)維度(例如IT維度)的威脅、技術(shù)屬性進(jìn)行概念上的綜合，進(jìn)行風(fēng)險(xiǎn)特征融合判斷.

5G網(wǎng)絡(luò)的ICO融合分析過(guò)程由于上下文的抽象性需要經(jīng)驗(yàn)的介入，但本身具有一定的結(jié)構(gòu)化特征，同時(shí)CAPEC(common attack pattern enumeration and classification)的元攻擊模式、ENISA的網(wǎng)絡(luò)威脅分類(lèi)法(5)Threat Landscape and Good Practice Guide for Software Defined Networks/5G(https://www.enisa.europa.eu/publications/sdn-threat-landscape/at_download/fullReport)也為高級(jí)別的風(fēng)險(xiǎn)分析提供了一種可用的5G威脅分類(lèi)法，可用于指導(dǎo)專(zhuān)家經(jīng)驗(yàn)的使用.

基于生態(tài)風(fēng)險(xiǎn)與技術(shù)融合風(fēng)險(xiǎn)分析之后得到的風(fēng)險(xiǎn)如下.

3.2.2 復(fù)雜性：增加攻擊面

靈活性是5G的關(guān)鍵設(shè)計(jì)原則，以滿(mǎn)足多元化業(yè)務(wù)的需要.對(duì)于架構(gòu)設(shè)計(jì)而言，靈活性與復(fù)雜性是一對(duì)矛盾.5G網(wǎng)絡(luò)復(fù)雜性主要體現(xiàn)在：產(chǎn)品與服務(wù)類(lèi)型與數(shù)量的增加、邏輯對(duì)象種類(lèi)與數(shù)量的增加、協(xié)作種類(lèi)與數(shù)量的增加等；反映到安全層面，則表現(xiàn)為利益相關(guān)者的多元化、受保護(hù)資產(chǎn)種類(lèi)和數(shù)量的增加、網(wǎng)絡(luò)攻擊面的增加、安全上下文與信任關(guān)系的復(fù)雜化以及身份爆炸.

復(fù)雜性也同時(shí)提升網(wǎng)絡(luò)與安全生命周期管理的對(duì)策難度、成本與人力資源要求.當(dāng)出現(xiàn)安全事件時(shí)，如何快速、準(zhǔn)確地在大量不同來(lái)源錯(cuò)綜復(fù)雜的組件之間對(duì)于定位問(wèn)題、溯源攻擊鏈進(jìn)行安全責(zé)任的界定，將面臨與傳統(tǒng)網(wǎng)絡(luò)完全不同的挑戰(zhàn).

3.2.3 新中心化：?jiǎn)吸c(diǎn)故障

中心化有利于管理的簡(jiǎn)單性.SDN作為5G網(wǎng)絡(luò)的核心使能技術(shù)之一，為移動(dòng)網(wǎng)絡(luò)拓?fù)鋷?lái)高度的靈活性與可管理性，但也帶來(lái)新的中心化特征以及單點(diǎn)故障的可能性.惡意的攻擊者會(huì)選擇性地針對(duì)SDN(software defined network)控制器、MANO(management and orchestration)等核心設(shè)備發(fā)起攻擊，各種隨機(jī)因素會(huì)給SDN基礎(chǔ)設(shè)施、MANO帶來(lái)威脅，給5G網(wǎng)絡(luò)帶來(lái)重大風(fēng)險(xiǎn).

3.2.4 軟件化：安全敏感度增加

5G網(wǎng)絡(luò)軟件化比例大幅提高，大量COTS(commercial off-the-shelf)組件與開(kāi)源軟件的使用、大量RESTful API接口，使得5G網(wǎng)絡(luò)喪失了專(zhuān)用硬件時(shí)代的安全紅利，風(fēng)險(xiǎn)不再僅僅與通信設(shè)備商相關(guān)，而是往更加開(kāi)放的IT供應(yīng)鏈與產(chǎn)業(yè)鏈進(jìn)行傳遞.軟件化還帶來(lái)資產(chǎn)之間的連通性，給惡意代碼的傳播與攻擊鏈的構(gòu)造提供了更大便利，使得包括基站在內(nèi)的網(wǎng)絡(luò)設(shè)備的安全敏感度大幅提升，針對(duì)5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施的APT(advanced persistent threat)類(lèi)攻擊的成功率也將大大提高.

3.2.5 邊緣化：核心網(wǎng)邊界模糊

典型的MEC承載了部分敏感的核心網(wǎng)功能和運(yùn)營(yíng)商增值業(yè)務(wù).由于MEC節(jié)點(diǎn)靠近網(wǎng)絡(luò)的邊緣，外部環(huán)境可信度降低，管理控制能力減弱，更容易遭受非授權(quán)訪問(wèn)、敏感數(shù)據(jù)泄露、物理攻擊等威脅.部分核心網(wǎng)功能下沉到MEC，由于流量不經(jīng)過(guò)核心區(qū)域，可能存在非法竊聽(tīng)、欺騙性計(jì)費(fèi)等威脅(6)安全讓5G走的更遠(yuǎn)：中興通訊5G安全白皮書(shū)(https://res-www.zte.com.cn/mediares/zte/Files/PDF/white_book/201905291835_5G_Security_White_Paper_CN.pdf?la=zh-CN).

3.2.6 動(dòng)態(tài)化：基礎(chǔ)設(shè)施安全紅利消失

虛擬化、微服務(wù)等新技術(shù)帶來(lái)架構(gòu)上的靈活性，也使得傳統(tǒng)邊界安全所依賴(lài)的物理屏障消失，主機(jī)邊界與網(wǎng)絡(luò)邊界退行至軟件層面，并跟隨業(yè)務(wù)架構(gòu)本身而動(dòng)態(tài)變化.

隨著云計(jì)算商業(yè)模式引入到5G，傳統(tǒng)的X.805安全框架呈現(xiàn)新的3層(云基礎(chǔ)設(shè)施、網(wǎng)絡(luò)虛擬化服務(wù)、端到端移動(dòng)框架)3面(控制、用戶(hù)、管理與編排)多切片的新特征，層與層、面與面之間的信任假設(shè)發(fā)生變化，5G網(wǎng)絡(luò)安全架構(gòu)需要能夠支持軟件定義的動(dòng)態(tài)安全模型，實(shí)現(xiàn)信任邊界的動(dòng)態(tài)定義與調(diào)整.

3.2.7 高級(jí)持續(xù)威脅：更嚴(yán)重的風(fēng)險(xiǎn)后果

ENISA(7)EU-Wide Coordinated Risk Assessment of 5G Networks Security(https://ec.europa.eu/digital-single-market/en/news/eu-wide-coordinated-risk-assessment-5g-networks-security)認(rèn)為國(guó)家或國(guó)家支持的行為者被認(rèn)為是最嚴(yán)重和最可能的威脅實(shí)施者，因?yàn)樗麄冇袆?dòng)機(jī)、意圖，最重要的是有能力對(duì)5G網(wǎng)絡(luò)的安全進(jìn)行持續(xù)和復(fù)雜的攻擊.

3.2.8 定制化：高業(yè)務(wù)耦合性

隨著垂直行業(yè)與5G的融合以及邊緣計(jì)算能力的普及，各種垂直行業(yè)計(jì)算模式將會(huì)在5G網(wǎng)絡(luò)上承載.5G網(wǎng)絡(luò)需要面向這些新計(jì)算模式的特征(無(wú)人值守、設(shè)備暴露、信令風(fēng)暴、差異化服務(wù)質(zhì)量等)[6]，提供可定制的行業(yè)專(zhuān)網(wǎng)安全能力[7].

3.2.9 切片邏輯化：邊界邏輯縱深安全一致性

按照切片的隔離級(jí)別，行業(yè)切片可以沿著端到端的路徑，在頻譜、小區(qū)、信道、處理單板、基站、軟件模塊、CPU、內(nèi)核、各種傳輸/網(wǎng)絡(luò)設(shè)備等不同層次提供不同的隔離選項(xiàng)，形成邏輯化邊界，滿(mǎn)足對(duì)應(yīng)的資產(chǎn)與數(shù)據(jù)隔離的保護(hù)等級(jí)要求，這需要在產(chǎn)品安全治理層面充分考慮，保證在頻繁的版本迭代、更新過(guò)程中維持網(wǎng)絡(luò)邊界的安全級(jí)別.

3.2.10 資產(chǎn)邊緣化：數(shù)據(jù)安全與業(yè)務(wù)效率的矛盾

邊緣計(jì)算能力主要服務(wù)于某些特殊的行業(yè)場(chǎng)景，以提供就近的、低時(shí)延的處理能力，但會(huì)引入新的風(fēng)險(xiǎn).為了彌合這種安全與效率的矛盾，邊緣基礎(chǔ)設(shè)施需要在面向行業(yè)的資產(chǎn)與數(shù)據(jù)保護(hù)方面進(jìn)行強(qiáng)化.

3.3 5G主要高級(jí)別風(fēng)險(xiǎn)列表

依據(jù)以上分析，5G主要的高級(jí)別風(fēng)險(xiǎn)如表1所示：

表1 5G主要高級(jí)別風(fēng)險(xiǎn)

4 5G安全對(duì)策

對(duì)于風(fēng)險(xiǎn)管理而言，安全對(duì)策用來(lái)為系統(tǒng)上下文中的資產(chǎn)與關(guān)系的確定性提供信心，文獻(xiàn)[8]提出，信任與控制是并行的概念，在建立信心方面是互補(bǔ)的關(guān)系.控制對(duì)系統(tǒng)實(shí)施干預(yù)緩解不確定性，提升系統(tǒng)的確信度；而信任則從影響主體入手，采用非干預(yù)性的方式提升系統(tǒng)的可信度.信任是一種必要的妥協(xié)，風(fēng)險(xiǎn)蘊(yùn)含著機(jī)遇，一味地強(qiáng)化控制可能喪失某些競(jìng)爭(zhēng)優(yōu)勢(shì)與協(xié)作機(jī)會(huì)，對(duì)于某些安全上下文建立信任是最優(yōu)的風(fēng)險(xiǎn)對(duì)策.

ISO 31000將風(fēng)險(xiǎn)控制分為消除、緩解、轉(zhuǎn)移和接受4種方式[9].在信任、治理與控制之間又會(huì)衍生出更多復(fù)雜的安全對(duì)策，如圖5所示：

圖5 一般風(fēng)險(xiǎn)對(duì)策模型

本文通過(guò)結(jié)合一般風(fēng)險(xiǎn)對(duì)策模型與5G網(wǎng)絡(luò)生態(tài)、網(wǎng)絡(luò)、供應(yīng)鏈等維度特征，采用安全矩陣模型對(duì)5G安全對(duì)策進(jìn)行描述，如圖6所示:

圖6 5G安全矩陣

各利益相關(guān)方可以基于此安全矩陣對(duì)5G網(wǎng)絡(luò)的安全級(jí)別定制專(zhuān)有評(píng)估模型，其中的5個(gè)對(duì)策維度相互之間并非排他關(guān)系，在實(shí)踐中對(duì)于同樣的風(fēng)險(xiǎn)，可以在多個(gè)安全對(duì)策維度進(jìn)行并行處置.

4.1 5G信任與測(cè)評(píng)體系

圍繞運(yùn)營(yíng)商構(gòu)建的信任體系為降低摩擦成本，提升協(xié)作效率起到了重要作用，是移動(dòng)網(wǎng)絡(luò)生態(tài)各方信心的重要來(lái)源.對(duì)于5G網(wǎng)絡(luò)而言，大量新參與者的加入導(dǎo)致信任的分散化，對(duì)5G信任體系提出了新的要求.信任可以存在于任何關(guān)系之中，表2列舉了一些運(yùn)營(yíng)商視角下重要的5G信任關(guān)系，主要用于支撐5G網(wǎng)絡(luò)的各種協(xié)作類(lèi)關(guān)系.

表2 5G信任體系

文獻(xiàn)[10]充分研究了建立信任、簡(jiǎn)化復(fù)雜性的過(guò)程，但由于個(gè)體的局限性與不對(duì)稱(chēng)性的存在，建立直接信任需要大量的博弈成本和時(shí)間，基于權(quán)威第三方的測(cè)評(píng)體系提供了另外一種專(zhuān)業(yè)化的信任來(lái)源，通過(guò)第三方信任的收斂作用可以進(jìn)一步降低網(wǎng)絡(luò)總體信任成本，緩解5G網(wǎng)絡(luò)風(fēng)險(xiǎn)復(fù)雜性.

第三方信任一般由能力較強(qiáng)的權(quán)威主體提供，他們有足夠的時(shí)間、能力、技術(shù)與經(jīng)驗(yàn)，來(lái)對(duì)系統(tǒng)、產(chǎn)品或服務(wù)的確定性進(jìn)行度量與跟蹤，基于信任的可傳遞性為其他主體提供信任背書(shū).表3列舉了一些重要的5G測(cè)評(píng)體系：

表3 5G測(cè)評(píng)體系

由于5G網(wǎng)絡(luò)面向的垂直行業(yè)客戶(hù)的多元化以及不同地區(qū)、政府、行業(yè)以及網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)信任體系需求的不同，測(cè)評(píng)體系之間需要加強(qiáng)互信與協(xié)作，例如：行業(yè)化測(cè)評(píng)體系與電信測(cè)評(píng)體系之間需要加強(qiáng)安全標(biāo)準(zhǔn)的等效性研究，建立互認(rèn)與測(cè)評(píng)結(jié)果的互信機(jī)制.對(duì)于等效的評(píng)測(cè)項(xiàng)目盡量相互引用評(píng)估結(jié)果，避免評(píng)估泛濫而加重生態(tài)負(fù)擔(dān).如有必要還可以建立相應(yīng)的5G信任聯(lián)盟，從更高的層次對(duì)測(cè)評(píng)體系框架進(jìn)行梳理、去冗余，實(shí)現(xiàn)自我完善與約束.

4.2 5G去信任化體系

雖然可以采用一定的方式對(duì)信任關(guān)系進(jìn)行定性或者定量的度量，但信任仍然是一種偏主觀的確定性，隨著數(shù)字化的深入，更多高價(jià)值資產(chǎn)承載于網(wǎng)絡(luò)空間，利益關(guān)系越來(lái)越復(fù)雜，難以預(yù)測(cè)，很多5G場(chǎng)景面臨更加復(fù)雜的博弈時(shí)需要更加客觀的確定性.去信任化的核心理念是將安全上下文中的大量信任關(guān)系通過(guò)可證明、可傳遞的技術(shù)手段錨定到少量信任源，減少對(duì)于分散化管理信任關(guān)系的依賴(lài)，提升系統(tǒng)的確信度.區(qū)塊鏈、零信任網(wǎng)絡(luò)以及可信計(jì)算是當(dāng)前最流行的幾種去信任化理念與技術(shù)，可以應(yīng)用于5G網(wǎng)絡(luò)的不同層次.表4列舉了一些重要的5G去信任化體系：

表4 5G去信任化體系

業(yè)界對(duì)去信任化在5G中的應(yīng)用已經(jīng)作了很多研究.文獻(xiàn)[13]提出的一種5G軟件定義身份思路，通過(guò)引入?yún)^(qū)塊鏈技術(shù)，將網(wǎng)絡(luò)平面的可信身份能力對(duì)業(yè)務(wù)平面開(kāi)放，實(shí)現(xiàn)5G網(wǎng)絡(luò)與行業(yè)之間的數(shù)字身份協(xié)同，滿(mǎn)足設(shè)備身份可信的要求.5G時(shí)代運(yùn)營(yíng)商之間的信任關(guān)系更加復(fù)雜與多元化，可以引入?yún)^(qū)塊鏈技術(shù)對(duì)跨運(yùn)營(yíng)商、跨網(wǎng)絡(luò)切片的漫游、計(jì)費(fèi)與策略協(xié)同提供支持.由于5G網(wǎng)絡(luò)的邊緣化特征，終端與網(wǎng)絡(luò)邊緣基礎(chǔ)設(shè)施在開(kāi)放環(huán)境下的現(xiàn)場(chǎng)安全將會(huì)受到挑戰(zhàn)，5G網(wǎng)絡(luò)可以引入可信計(jì)算，構(gòu)建面向行業(yè)利益相關(guān)者的可信資產(chǎn)域，對(duì)行業(yè)特性資產(chǎn)與信息資產(chǎn)提供更高強(qiáng)度的保護(hù)[14].文獻(xiàn)[15]提出了一種零信任網(wǎng)絡(luò)的理念，消除系統(tǒng)對(duì)于網(wǎng)絡(luò)層的安全依賴(lài)，將信任集中到身份與少量的零信任基礎(chǔ)設(shè)施之上，這種理念可以用來(lái)與行業(yè)高價(jià)值切片相結(jié)合，構(gòu)建零信任切片，強(qiáng)化行業(yè)專(zhuān)網(wǎng)內(nèi)生安全基因，滿(mǎn)足行業(yè)專(zhuān)網(wǎng)加固的要求.

4.3 5G安全全景圖

除上述與信任相關(guān)的對(duì)策之外，5G網(wǎng)絡(luò)的治理與控制對(duì)策一般體現(xiàn)為安全解決方案，根據(jù)實(shí)際需要可以圍繞風(fēng)險(xiǎn)鏈條對(duì)方案從不同視角進(jìn)行分類(lèi)與命名.例如：基于系統(tǒng)上下文、攻擊活動(dòng)命名，或者基于控制技術(shù)、資產(chǎn)來(lái)命名.

安全全景圖覆蓋了5G安全上下文中重要的安全解決方案，并作為總體安全需求進(jìn)一步落實(shí)到網(wǎng)絡(luò)、網(wǎng)元、產(chǎn)品與服務(wù)等層面進(jìn)行細(xì)化，尤其是那些5G新開(kāi)發(fā)引入的組件.本文在云化背景下，擴(kuò)展了基于X.805的端到端安全框架，作為5G安全全景圖的基礎(chǔ).

表5 5G安全全景圖

產(chǎn)品與組件的安全定級(jí)對(duì)于指導(dǎo)產(chǎn)品安全開(kāi)發(fā)具有重要指導(dǎo)意義.本文參考ENISA(8)ENISA Threat Landscape for 5G Networks(https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-for-5g-networks/at_download/fullReport)的文獻(xiàn)圍繞保密性、完整性與可用性，對(duì)于5G系統(tǒng)的組件進(jìn)行了初步的定級(jí)，如表6所示:

表6 5G主要產(chǎn)品與組件安全定級(jí)

4.4 持續(xù)的風(fēng)險(xiǎn)度量與管理

文獻(xiàn)[16]從系統(tǒng)建設(shè)者視角，描述了一種安全管理的持續(xù)優(yōu)化閉環(huán)控制模型.由于5G網(wǎng)絡(luò)的軟件化、服務(wù)化與虛擬化趨勢(shì)，使得各種系統(tǒng)與組件迭代周期加快，相應(yīng)的資產(chǎn)樹(shù)、信任網(wǎng)絡(luò)的結(jié)構(gòu)與可信度以及威脅態(tài)勢(shì)也將不斷動(dòng)態(tài)變化.5G網(wǎng)絡(luò)需要?jiǎng)討B(tài)感知各種威脅情報(bào)與新的攻擊態(tài)勢(shì)，跟蹤網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)狀態(tài)與供應(yīng)鏈的變化，保證5G安全矩陣的整體水平滿(mǎn)足各利益相關(guān)方的要求，適時(shí)安排對(duì)策，以應(yīng)對(duì)新風(fēng)險(xiǎn)的產(chǎn)生與殘余風(fēng)險(xiǎn)的升級(jí).

表5的安全全景圖中，安全管理負(fù)責(zé)進(jìn)行持續(xù)的風(fēng)險(xiǎn)度量與管理，5G網(wǎng)絡(luò)的復(fù)雜性使得需要引入人工智能等新技術(shù)手段對(duì)風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)與追溯，同時(shí)在風(fēng)險(xiǎn)的處置方面也需要結(jié)合5G網(wǎng)絡(luò)新虛擬化的特征，引入自動(dòng)化的事件處理機(jī)制，降低5G網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理成本.

5 結(jié)束語(yǔ)

運(yùn)營(yíng)商可以將本文所評(píng)估的這些高級(jí)別風(fēng)險(xiǎn)與對(duì)策通過(guò)各種機(jī)制傳遞到網(wǎng)絡(luò)建設(shè)、運(yùn)營(yíng)、治理、管理以及產(chǎn)品與服務(wù)研發(fā)等各個(gè)環(huán)節(jié)，這些下游環(huán)節(jié)各自應(yīng)用合適的方法論從更加細(xì)粒度的上下文進(jìn)行威脅建模與風(fēng)險(xiǎn)分析，并且還可能觀察到更多的高級(jí)別風(fēng)險(xiǎn)，為5G安全矩陣、安全全景圖以及安全定級(jí)的持續(xù)迭代提供了新的信息.5G新舊利益相關(guān)者之間需要基于安全矩陣構(gòu)建新型的安全協(xié)作關(guān)系，厘清相互之間安全責(zé)任，共建5G安全體系，并且隨著5G網(wǎng)絡(luò)向6G階段的演進(jìn)，各項(xiàng)安全策略與措施還將在6G網(wǎng)絡(luò)中繼續(xù)發(fā)揮作用.