侵权投诉
订阅
纠错
加入自媒体

中兴通讯发布《5G行业应用安全白皮书》(附白皮书全文)

2019-08-29 10:04
智能风向标
关注

2019年8月26日,中兴通讯正式发布了《5G行业应用安全白皮书》。

白皮书中,中兴通讯基于对安全领域长期以来的技术积累以及对 5G 网络的深刻洞察,分享了对于 5G 垂直行业应用安全的一些观点。

中兴通讯认为,5G 为垂直行业提供了更安全的智能网络服务,从多个维度提升了安全特性;同时,通过 5G 基础设施与垂直行业的典型业务特征相结合,以网络与设备为中心,以可视性与可控性为基本框架,充分利用切片定制、能力开放、边缘计算、APT(高级持续性威胁 Advanced Persistent Threat)防御、可信技术、动态防御等创新平台与技术,打造与垂直行业紧密融合的网络安全长城,完成对 5G 行业应用网络的深层次加固。

中兴通讯《5G行业应用安全白皮书》全文如下:

5G行业应用安全挑战

5G 网络的高带宽、低时延、海量连接等特性大幅提升了全社会各产业的信息化水平。同时,5G 网络提供的灵活定制、弹性部署、多层次隔离等智能网络能力,推动了互联网创新从量变到质变的转型。未来 5G 将深入垂直行业,促进产业创新与经济增长,影响我们的生活方式,提升全社会的福祉。

自 2015 年以来,全球每年有超过 300 起大型工业网络安全事件发生,企业与公众开始越来越多地关注此类事件,并从安全、财产、经济、声誉等方面评估可能产生的影响。随着 5G 的规模商用以及在垂直行业中的普及,行业应用将会吸引更多的恶意攻击。诸如工业制造、能源、交通、金融等关键领域的高价值资产将成为首要的攻击目标,并可能给国家、社会和企业带来严重的风险。

在 5G 时代,传统互联网的方法论、设计范式、软件技术仍会继续在垂直行业使用,用于攻击的漏洞、工具与手段都能够直接对行业资产产生威胁。5G 引入切片、NFV(网络功能虚拟化 Network Function Virtualization)、MEC 等新技术以支持智能网络服务的定制,也使得网络的形态、生态、商业模式、信任与风险关系呈现出更加动态与复杂的态势。集中编排与软件定义能力的运用,在为网络带来新的中心化特征的同时,也对安全性带来了新的挑战。

5G 时代的行业应用网络,必须能够提供不低于传统专网的安全性与可靠性,才能够胜任高价值资产的承载,同时,需要充分灵活地应用 5G 基础设施以及围绕 5G网络的创新所带来的新技术与新能力,使垂直行业的安全充分受益。

安全的5G网络能力

可定制化安全

5G 网络进一步满足了人们对超高带宽的增强移动互联需求(例如 AR、VR、8K 视频通讯等),同时实现了由消费类网络向行业应用网络的转型(例如远程医疗、无人驾驶、智能制造等)。行业应用对网络时延、传输速率、连接数等存在差异化的要求,而传统移动网络受限于网络架构、交付方式、运维模式等因素,已经难以满足不同行业的应用需求。因此,5G 基于 SDN(软件定义网络 Software Dened Network)/NFV 等新技术,重构了全新的网络架构,以更好地支撑多样化的行业应用场景。

作为网络必要组成部分的安全体系,传统移动网络采用了固化的安全防御架构,难以满足行业应用对于安全的差异化和可扩展性需求,安全能力只能依靠打补丁方式进行扩展加固,导致移动网络无法及时使用新的安全技术、防御新型安全威胁。不同的行业应用存在共性的安全需求,同时各行业应用又存在特殊安全防护要求,5G 基于网络切片技术提供了智能网络服务,并基于安全能力开放机制提供了灵活的安全架构,既可实现共性安全的统一考虑,又能兼顾具体行业应用所需安全机制的灵活定制。

相对于传统企业专网,基于切片的可定制化 5G 网络能够为垂直行业提供更安全的、端到端保障的网络服务与能力。5G 网络应用于垂直行业,不仅仅提供基础的安全网络接入能力,还会开放边缘 DC(数据中心 Data Center)、核心DC 中的各种基础设施能力,其安全架构不但需要考虑差异化的业务需求,还需要考虑网络与业务融合特殊场景的业务需求,以进行安全架构的定制和加固。可定制 5G 网络安全架构如下图所示。

image.png

图 1 5G 网络安全定制框架

端到端网络安全

更高的网络安全接入标准

移动通信网作为商业化的电信网络,在标准设计之初,就充分考虑了网络接入的移动性、可靠性和安全性,通过 SIM(用户识别卡 Subscriber Identity Module)/USIM(全球用户识别卡 Universal SubscriberIdentity Module)等身份标识、认证授权、访问控制、信道与承载加密等方式,提供了良好的安全通信能力。

5G 网络继承了 4G 的安全特性,同时对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进行了优化或增强。相对 WiFi、企业专网等非 3GPP 接入机制,5G 提供了更大范围的移动性,也为用户提供了更健壮的业务安全、更严密的数据保护及更强的用户隐私保护。

5G 提供了基于统一认证框架的双向认证能力,使终端和网络都能够确认对方身份的合法性。这样不仅能避免非法用户接入,也能避免利用伪基站、伪热点进行诈骗或者窃取用户信息。

多层次的安全隔离

传统局域网与互联网的设计初衷是开放性,这也是导致网络安全问题频发的一个根源。未来的产业互联 网将会连接工业、金融、能源、交通等重要领域的高价值资产,5G 网络切片不但能够为不同 SLA(服务 等级协议 Service Level Agreement)的业务提供网络架构的定制,还能够提供多种安全级别的网络隔 离能力,为终端提供端到端的安全通道。这样,即使某一终端被攻破,恶意程序也很难在 5G 网络中横 向传播,使得攻击的扩散势头以及导致的损失得到有效的遏制。

更强的安全审计能力

任何通过不同接入方式接入到 5G 网络的终端,都需要进行统一的认证与管理,并对设备使用网络的情况进行记录。同时,还可以通过设备管理平台建立并维护各行业资产,及业务、部门、组织等实体之间的权属与管理关系,当发生异常行为时,可以快速追溯终端使用者的身份和行为轨迹,强化了所有者的管理责任,增加了攻击者的法律风险,有效降低攻击的概率。

高水准的供应链

5G 网络各种软件、硬件以及服务的供应商与合作伙伴,优先选择具备强大实力的提供商,其内部安全治理水平处于业界领先水准,可以从源头保障 5G 网络的长期安全,并可简化、加快行业客户从设备认证、选型、采购到部署的全过程。

专业化的运维

很多安全事件的根本原因都是因为不专业的管理与运维导致。相对于企业专网中各种中间设备的多样性、暴露性以及管理的分散性等隐患,5G 提供了一站式的弹性网络安全能力,并在运行期间能够提供长期专业化的网络智能维护体系与应急响应体系,最大程度地减少由于企业自建专网等带来的安全运维风险。

端到端的全网安全治理

面向全网的端到端安全治理体系,能对5G网络的持续、高安全运行提供保障。受益于5G网络全业务运营、广覆盖的优势,5G 网络能够为垂直行业网络安全提供端到端的信任机制,使得为行业用户建立更加便利的专用的网络切片成为可能,有利于 5G 行业应用网络的大规模快速部署。

面向未来的安全演进

不同于 IT 系统的短生命周期的特点,OT 技术的使用寿命往往是 IT 系统的 10 倍以上,其控制系统及补丁也有很低的更新频率。5G作为智能化的网络平台,具备面向未来的多种接入方式融合与演进能力,例如:特殊场景下的卫星接入手段、向 6G 及后续网络的平滑演进能力等。这种安全演进能力,对于垂直行业长期保持业务连续性具有重要的意义。

随着技术的发展,5G 网络会不断平滑引入各种新技术、新安全能力以进一步加固网络安全,对垂直行业业务不会造成影响和中断。同时,5G 网络还可以利用自己的核心位置,集中收集、分析各种面向垂直行业的威胁情报,并在垂直行业用户之间进行共享,提升安全事件响应速度。

边缘定义安全

工控设备通常具有高度定制化、资源有限、难以升级维护、长寿命、抗攻击能力差等特点,必须依赖各种外部防御手段从多个层次为设备资产提供深度的防御能力。另外,由于安全边界收缩到设备侧,安全控制需要从网络边缘开始加固,进行近源控制与防御,减小资产攻击面。5G 为垂直行业带来了新的能力平台,通过结合行业应用的特点(例如权属关系与管理关系的相对统一、相对固定的覆盖范围等),5G 能够从可控性、可视性等角度,采用多种新技术、新手段,基于边缘从多个层次对企业网络进行定制化加固。

image.png

图 2 5G 边缘定义安全

1  2  3  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号