1.4 5G安全面临的挑战_5G安全：数智化时代的网络安全宝典-QQ阅读男生轻小说网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.4 5G安全面临的挑战

5G网络采用了新的服务化架构，并引入了一些新的技术，为了满足不同行业及用户的需求，分为三大主要应用场景，不可避免地伴生了新的安全风险。另外，产业链支撑层面也对5G安全提出了比较大的挑战。

1.新架构带来的安全挑战

5G 服务化架构在满足不同垂直行业应用需求的同时，也引发了一些新的安全风险与挑战，主要表现在安全防护对象发生变化、信任关系由二元变为多元、集中管理带来了安全风险及新服务交付模式安全。

1）安全防护对象发生变化

5G网络基础设施云化和虚拟化，使得资源利用率和资源提供方式的灵活性大大提升，但也打破了原有以物理设备为边界的资源提供模式。3G、4G 网络中以物理实体为核心的安全防护技术在5G网络中不再适用，需要建立起以虚拟资源和虚拟化网络功能为目标的安全防护体系。

2）信任关系由二元变为多元

3G、4G 网络的价值链中只有终端用户和网络运营商两个角色，并没有明确而完整地提出信任管理体系。5G网络与垂直行业应用的结合使得一批新的参与者、新的设备类型加入价值链。例如，传统移动网络中网络运营商通常也是基础设施供应商，而在5G网络时代，可能会引入虚拟移动网络运营商的角色。虚拟移动网络运营商需要从移动网络运营商/基础设施提供商中购买网络切片。与传统网络的终端用户相比，5G网络用户除手机用户外，还有各种物联网（IoT）设备用户、交通工具等。因此，5G网络需要构建新的信任管理体系、研究身份和信任管理机制以解决各个角色之间的多元信任问题。

3）集中管理带来了安全风险

3G、4G 网络较少地采用集中管理方式，除少数网元外，其他网元之间的管理更多依赖于自主协商。5G网络使用不同的网络切片来满足不同的行业应用需求，不同的网络切片需要分配不同的网络资源。网络切片管理以及与网络切片相关的网络资源管理不可能再基于自主协商方式，因此集中管理将成为主要方式。5G网络中使用网络功能虚拟化管理和编排（Management and Orchestration，MANO）、软件定义网络（Software Defined Network，SDN）控制器等对网络进行集中管理和编排。MANO和SDN属于网络中枢，一旦被非法控制或遭受攻击，将对网络造成严重影响，甚至使网络瘫痪。集中管理网元的安全防护问题迫切需要解决。

4）新服务交付模式安全

5G网络为了更好地应对各种不同的业务需求，接纳了新的参与角色并将其加入网络价值链与生态系统中，由此产生了新的服务交付模式。5G网络通过将能力开放，同时配合资源动态部署与按需组合机制，为垂直行业提供灵活、可定制的差异化网络服务。能力开放改变了传统网络以能力封闭换取能力提供者自身安全的思路，使得能力使用者通过控制协议对能力提供者发起攻击成为可能。一旦能力使用者被恶意入侵，利用能力开放接口的可编程性，经由控制接口对5G网络进行恶意编排，将会造成严重后果，因此新服务交付模式需要解决网络能力开放的安全防护问题。

2.新技术带来的安全挑战

5G网络引入了一些新技术，如网络功能虚拟化、网络切片、边缘计算、网络能力开放等，这些新技术也带来了一些新的安全挑战。

1）网络功能虚拟化

网络功能虚拟化采用虚拟化技术将传统网络的专用网元进行软硬件解耦，构造出基于统一虚拟设施的网络功能，实现资源的集中控制、动态配置、高效调度和智能部署，有利于网络运营的业务创新周期控制、动态配置、高效调度和智能部署，缩短网络运营的业务创新周期。

在虚拟环境下，管理控制功能高度集中，一旦其功能失效或被非法控制，将影响整个系统的安全稳定运行。多个虚拟化网络功能（Virtualized Network Function，VNF）共享下层基础资源，若某个虚拟化网络功能被攻击将会波及其他功能。此外，由于网络虚拟化大量采用开源和第三方软件，引入安全漏洞的可能性加大。对于网络功能虚拟化安全风险，建议首先进行系统安全加固，对管理控制操作进行安全跟踪和审计，提升防攻击能力；其次是需提供端到端、多层次资源的安全隔离措施，对关键数据进行加密和备份；此外，需要加强开源第三方软件安全管理。

2）网络切片

网络切片可在一个物理网络上切分出功能、特性各不相同的多个逻辑网络，同时支持多种业务场景。基于网络切片技术，可以提高网络资源利用率，隔离不同业务场景所需的网络资源。

网络切片基于虚拟化技术，在共享的资源上实现逻辑隔离，如果没有采取适当的安全隔离机制和措施，当某个低防护能力的网络切片受到攻击时，攻击者可以此为跳板攻击其他网络切片，进而影响其正常运行。针对上述安全风险，可使用云化、虚拟化隔离措施，如物理隔离、虚拟机（Virtual Machine，VM）资源隔离、虚拟防火墙等，实现精准、灵活的网络切片隔离，保证不同网络切片使用者之间资源的有效隔离，同时要做好网络切片运维和运营安全的管理，确保相应的技术措施得到落实。

3）边缘计算

边缘计算是在网络边缘、靠近用户的位置，提供计算和数据处理能力，以提升网络数据处理效率和数据处理能力，满足垂直行业对网络低时延、大流量以及安全等方面的需求。

边缘计算节点下沉到5G核心网边缘，当部署到相对不安全的物理环境时，受到物理攻击的可能性变大。另外，在边缘计算平台上可部署多个应用，共享相关资源，一旦某个应用防护被攻破，将会影响在边缘计算平台上其他应用的安全运行。对于上述安全风险，首先应对边缘计算设施加强物理保护和网络防护，充分利用已有的安全技术进行平台加固并增强边缘设施自身的防盗防破坏措施。其次需要加强应用的安全防护，完善应用层接入边缘计算节点的安全认证与授权机制，在部署第三方应用时，要根据部署模式明确各方安全责任划分并协作落实。

4）网络能力开放

5G网络可以通过能力开放接口将网络能力开放给第三方应用，以便第三方按照各自的需求设计定制化的网络服务。

网络能力开放将带来相应的安全风险与挑战。首先，网络能力开放将用户个人信息、网络数据和业务数据等从网络运营商内部的封闭平台中开放出来，网络运营商对数据的管理控制能力减弱，可能会带来数据泄露的风险。其次，网络能力开放接口采用互联网通用协议，会进一步将互联网已有的安全风险引入5G网络。对于上述安全风险挑战，需要加强5G网络数据保护，强化安全威胁监测与处置。此外，还需要加强网络开放接口安全防护能力，防止攻击者从开放接口渗透进入运营商网络。

3.新应用带来的安全挑战

前面我们了解到，5G的应用场景主要包括eMBB、uRLLC和mMTC三大场景，这三个新的应用场景所面临的安全挑战可以总结为三点。

1）eMBB应用安全

eMBB 场景主要应用包括 4K/8K 超高清移动视频、沉浸式的增强现实（Augmented Reality，AR）/虚拟现实（Virtual Reality，VR）业务。对eMBB应用而言，eMBB场景下的超大流量对现有网络安全防护手段形成挑战。由于 5G 数据传输速率较4G增长10倍以上，网络边缘数据流量将大幅提升，现有网络中部署的防火墙、入侵检测系统等安全设备在流量检测、链路覆盖、数据存储等方面将难以满足超大流量下的安全防护需求，面临较大挑战。

基于上述 eMBB 业务安全挑战，应升级现有不良信息安全管控系统的管控能力，满足超大流量管控需求；5G网络下的大流量业务成为常态，应升级现有安全设备管控能力，以适应超大流量业务发展。

2）uRLLC应用安全

uRLLC 场景的典型应用包括工业互联网、车联网自动驾驶等。uRLLC 能够提供高可靠、低时延的服务质量保障。对 uRLLC 而言，其主要安全风险在于低时延需求造成复杂安全机制部署受限。安全机制的部署，如接入认证、数据传输安全保护、终端移动过程中切换、数据加解密等均会增加时延，过于复杂的安全机制不能满足低时延业务的要求。

基于上述 uRLLC 业务安全挑战，针对低时延业务需求造成的复杂的高级别安全机制部署受限问题，应有效评估安全措施对有国家重要基础设施的垂直行业安全的影响，防止安全措施缺失导致社会、国家安全受影响。

3）mMTC应用安全

mMTC 场景的应用覆盖领域广，接入设备多，应用地域和设备供应商标准分散，业务种类多。对 mMTC 而言，泛在连接场景下的海量多样化终端易被攻击利用，对网络运行安全造成威胁。5G 时代将有海量物联网终端接入，预计到 2025年全球物联网设备联网数量将达到 252 亿个。其中大量功耗低、计算和存储资源有限的终端难以部署复杂的安全策略，一旦被攻击则容易形成僵尸网络，将会成为攻击源，进而引发对用户应用和后台系统等的网络攻击，带来网络中断、系统瘫痪等安全风险。

基于上述 mMTC 业务安全挑战，针对大量功耗低、计算和存储资源有限的终端难以部署复杂的安全策略，终端易被控制形成僵尸网络等问题，应建立对僵尸网络等的监测手段，及时发现异常终端，防止僵尸网络对用户、业务关键基础设施、社会等发起网络攻击。

4.产业链带来的安全挑战

除新架构、新技术及新应用所引入的安全风险外，5G网络在网络部署运营、垂直行业应用和产业链供应等层面也存在较多的安全挑战。

1）网络部署运营

5G网络的安全管理贯穿于网络部署运营的整个生命周期，网络运营商应采取措施管理安全风险，保障这些网络提供服务的连续性：一是在5G安全设计方面，由于5G网络的开放性和复杂性，对权限管理、安全域划分隔离、内部风险评估控制、应急处置等方面提出了更高要求；二是在5G网络部署方面，网元分布式部署可能面临系统配置不合理、物理环境防护不足等问题；三是在5G网络运行维护方面，5G网络具有运维粒度细和运营角色多的特点，细粒度的运维要求和运维角色的多样化意味着运维配置错误的风险提升，错误的安全配置可能导致5G网络遭受不必要的安全攻击。此外，5G网络运营维护要求高，对从业人员操作规范性、业务素养等带来了挑战，也会影响5G网络的安全性。

2）垂直行业应用

5G网络与垂直行业深度融合，行业应用服务提供商与网络运营商、设备供应商一起，成为 5G 产业生态安全的重要组成部分。一是5G网络安全、应用安全、终端安全问题相互交织、互相影响，行业应用服务提供商由于直接面对用户提供服务，在确保应用安全和终端安全方面承担主体责任，需要与网络运营商明确安全责任边界、强化协同配合，从整体上解决安全问题；二是不同垂直行业应用存在较大差别，安全诉求存在差异，安全能力水平不一，难以采用单一化、通用化的安全解决方案来保障各垂直行业安全应用。

3）产业链供应

5G技术门槛高、产业链长、应用领域广泛，产业链涵盖系统设备、芯片、终端、应用软件、操作系统等，其安全基础技术及产业支撑能力的持续创新性和全球协同性，对 5G 及其应用产生重大影响。如果不能在基础性、通用性和前瞻性安全技术方面加强创新，不能在产业链各环节同步更新完善5G网络安全产品和解决方案，不能持续提供更为安全可靠的5G技术产品，则会增加网络基础设施的脆弱性，影响5G安全体系的完善。根据5G网络生态中不同的角色划分，5G网络生态的安全应充分考虑各主体不同层次的安全责任和要求，既需要从网络运营商、设备供应商的角度考虑安全措施与保障，也需要垂直行业如能源、金融、医疗、交通、工业等行业应用服务提供商采取恰当的安全措施。