“3+X”5G安全防護理念｜打造智慧敏捷的5G安全運營閉環

一、5G安全風險分析

1.1 正視5G面臨的安全挑戰

“4G改變生活,5G改變社會”，在“新基建”大潮的助推下，5G被賦予了時代的意義。在看到5G賦能千行百業、噴薄發展的同時，更應該看到它所面臨的安全威脅和挑戰。

首先，作為行動通訊技術發展過程中重要的里程碑節點，5G面臨著前幾代行動通訊技術所固有的安全風險，例如：終端的非授權接入、鏈路傳輸的保密性問題、電信業務層面的電話卡濫用或電信詐騙等。

另一方面，新技術的引入以及新型的業務應用模式，也給5G帶來了前所未有的安全挑戰。例如：1）各種新技術在5G中的應用，將傳統IT領域的安全問題引入了CT領域，也產生了很多之前從未遇到的安全需求；2）5G與各種產業類應用場景的融合，使得安全需求的範疇有了更大的突破和延伸，也對安全防護的靈活性提出了挑戰。

1.2 5G在設計之初，便考慮了自有安全機制的建設

5G是伴隨著網路安全大的時代背景逐步誕生和發展起來的。因此，在5G設計之初，針對5G所面臨的各種安全挑戰，便考慮了自有安全能力的建設，例如3GPP相關標準中對5G自有安全能力進行了詳細的描述。

上圖為3GPP TS 33.501標準中所描繪的5G安全整體架構。其中，從各個層面對5G自有安全機制進行了詳細規定，例如：對終端進行身份驗證和安全訪問網路服務的機制、網路內和跨網路安全地交換控制平面和使用者平面資料的流程、對移動裝置和移動服務的保護能力、SBA架構下網路功能基於服務介面的安全互動機制等。

5G網路建設和應用的落地過程中，5G強大的自有安全機制是否足夠有效的應對所有的安全挑戰呢？顯然是不能的。

二、5G安全建設思路

5G安全是一個系統性工程，著眼5G整體安全，大致由3個維度的安全需求構成：

1.5G基礎設施安全維度：指構成5G網路所需要的各種物理和虛擬基礎設施安全，如整體組網安全、通用主機和系統安全、虛擬化安全等。

2.5G基礎業務安全維度：指實現5G網路自身正常運轉的各類業務網元和互動流程安全，如終端入網接入的認證鑑權、網路切換的安全上下文管理等；

3.5G業務應用安全維度：指面向2C、2B使用者，滿足具體業務應用場景的應用安全，如2C場景下的5G訊息安全，以及2B場景下的智慧交通、智慧能源應用安全等。

為了保證5G能夠安全的落地和應用，在5G自有安全機制背景下，還需要從以上各個維度進行安全能力的補充和提升，以最終實現對5G安全挑戰的全面應對。

2.1 基礎設施安全是5G安全的基石

基礎設施作為資訊化建設的基礎部分，原則上不屬於5G本身需要重點關注的方向，因此在5G相關原生標準中涉及不多。但作為5G實現落地和應用的基礎，基礎設施的安全問題又將可能導致5G成為無源之水，無本之木。

因此，在5G的整體建設和應用過程中，需要重點關注5G基礎設施安全建設，著力加強物理層面、網路層面、邊界層面、主機層面以及流量和資料層面的基礎安全能力建設。

同時，還需要重點關注5G中新技術應用帶來的安全問題，加強針對MEC、SDN、NFV、網路切片、網路能力開放等技術的安全研究和安全防護，實現基礎設施安全與5G的發展保持同步。

2.2 基礎業務安全需要進一步完善和提升

基礎業務安全是5G相關原生標準重點關注的方向，如3GPP標準中對5G的各類網元安全、互動流程安全等各個方面進行了詳細的規定，保證了5G基礎業務能夠安全、穩定的執行。

但分析以往行動通訊的安全問題可以發現，在整體網路依據相關規範實際運轉過程中，仍然存在落地層面以及行為層面的安全或違規問題需要解決，例如：具體場景下信令互動的違規和異常、電信卡的挪用或濫用等。

可以預見，在5G實現IT和CT的高度融合過程中，以上基礎業務問題將繼續存在並更加凸顯。因此，需要結合現有的安全和分析技術手段，著力完善和提升5G基礎業務安全能力。

2.3 業務應用需要與應用場景適配的安全能力

業務應用場景的多樣性決定了安全需求的靈活性和實現的複雜性，也導致在5G相關的原生標準中明確表示：該部分安全保障能力由應用提供商負責。從另一方面來看，業務應用與使用者直接相關，針對業務應用的安全防護是使用者最直接的安全需求。

實現業務應用安全，主要可以從以下幾個層面來考慮：1）業務系統安全能力建設，如：業務系統抗攻擊、抗入侵能力建設；2）業務應用自身安全管理能力建設，如：業務使用者安全管理、業務資訊保安管理；3）業務邏輯安全能力建設，如：針對賬戶風險、交易風險、業務流程風險防護等；4）通訊管理安全能力建設，如：違法、詐騙行為的管理等；5）資訊保安能力建設，如：業務安全審計、日誌留存、不良資訊管理等；6）資料安全能力建設，如：資料採集/傳輸/儲存/處理/交換/銷燬，全生命週期安全管理。

另外，針對業務應用的安全防護過程中，需要重點關注與具體業務場景的適配，如：加/解密機制對業務終端計算能力的影響、認證授權機制對業務時延的影響等。最終需要透過靈活、適配的安全能力建設為多樣化的業務應用保駕護航。

2.4 安全新技術、新理念與5G安全的融合需要持續推進

網路安全的本質是攻防的持續對抗，安全技術是在不斷迭代和升級的過程中發展和進步。

在不斷變化的安全形勢下，需要持續關注安全新技術、新理念與5G安全的融合，比如推進人工智慧、機器學習、威脅情報、零信任等當前先進的技術、理念在5G安全場景的落地和應用，以實現5G安全與網路安全同步發展。

三、5G安全實踐

5G安全是融合的安全、創新的安全，因此在防護思路上需要充分考慮傳統防護理念和創新安全理念的深度融合。綠盟科技在深入理解5G安全需求的基礎上，結合多年的網路安全技術和經驗積累，創新性的提出了——以集中化態勢分析為核心、以全方位安全防護體系建設為根本的“3+X”5G安全整體防護理念，著力打造智慧、敏捷的5G安全運營閉環。

一方面，該理念著眼於5G網路的全域安全防護體系建設，實現針對終端域安全、邊緣域安全、核心域安全、應用域安全和管理域安全的全覆蓋。透過傳統安全產品和技術的升級和改造，以及針對性的創新研究和突破，實現安全能力與5G安全需求的完美適配。

另一方面，著力打造集中化態勢分析系統，以大資料分析為基礎，實現針對5G基礎設施安全（維度1）、5G基礎業務安全（維度2）以及通用應用安全（維度3）3個方面的態勢分析，並重點研究5G與各垂直行業的融合安全，實現針對千行百業特殊應用的垂直行業應用態勢分析（維度X）。

整體理念，以態勢分析作為核心分析和處理的決策點，以防護體系作為態勢分析決策的執行點，同時也作為感知點為態勢分析提供源源不斷的資料支撐。兩大體系雙向聯動，最終實現智慧、敏捷的安全運營閉環打造。

在“3+X”整體防護理唸的指導下，綠盟科技著力聚焦運營商5G核心網、垂直行業5G專網等典型場景的安全解決方案打造。一方面，憑藉公司技術積累優勢，加強典型場景下基礎設施安全落地，如MEC安全解決方案、5G核心網安全防護方案等。另一方面，透過與產業鏈深度合作，全力推進安全能力與5G業務應用的融合，如核心網業務安全解決方案、行業應用終端安全解決方案等。同時，發揮安全研究與轉化的能力優勢，著力推進安全態勢分析、資料安全、零信任安全等新技術、新理念在5G場景中的落地和應用。