邬贺铨:新技术的引入是把双刃剑,需正视5G网络安全挑战
在今日举行的“第五届互联网安全领袖峰会”上,中国工程院院士邬贺铨指出,5G具有增强移动宽带、高可靠低时延和广覆盖大连接等特性,带来了业务的开放性、多样性、智能型、高可靠和敏捷性,为5G从面向消费者的应用扩展到面向产业的应用奠定了基础。但是也要看到虚拟化和软件定义等新技术的引入为网络带来了一些新的安全风险,需要正视5G带来的安全挑战。
新技术的引入带来新的安全隐患
互联网初期网络不够稳定,所有业务都以IP包的方式独立选路。对于视频类长的IP流切成小包选路效率太低。网络需要在不同层次的多种转发单元,以适应不同规模的业务流。而多转发模式可以带来灵活性,但需网络具有识别业务的能力。
邬贺铨指出,过去的网络是“傻瓜”,简单并对外来攻击具有鲁棒性。但是网络功能虚拟化之后,与电信专用设备相比,更易受攻击。同时,NFV依赖集中的网络智能管理系统,一旦遭遇攻击泽影响全局。但是从另一个角度来看,在网络遭受入侵的时候,可以执行变换网元的功能,实现改变游戏规则的动态防御。
此外,5G还会用到SDN(软件定义)技术。传统IP网络按无连接方式工作,不论前后的IP包是否属于同一次通信而独立选路,路径上的每一个路由器也逐包选路,效率不高。SDN可实现业务控制层和传送承载层分离,SDN基于大数据和人工智能形成可弹性扩展即插即用的资源池,实现端到端选路,可绕开有安全风险的路由。
“对于路由来说,过去各个路由器是独立选路的,现在改成了集中选路,网络操作系统会成为被攻击的重点。同时,大网集中选路对算法的收敛性有比较高的要求,网络稳定性是比较容易受影响的。因此,同样的能力,也对安全而言也是一把双刃剑。”邬贺铨表示。
在业务切片方面,未来5G会使用到网络切片技术,而网络切片技术对安全提出了更高的要求。比如,切片授权与接入控制;切片间的资源冲突;切片间的安全隔离;切片用户的隐私保护等等。
邬贺铨指出,切片技术的好处是可以隔离故障网元,做到网络业务的隔离。但从另外一个角度来看,切片依赖于网络资源和业务类型以及流量,要精准地把握,否则将无法组织好跟业务对应的切片。“切片本身要有很强大的操作系统,它可能会首先木马的攻击、病毒的控制,最后的影响将会使网络瘫痪。”
移动边缘计算的安全双刃剑
为适应工业传感器、视频业务、VR/AR与车联网以及远程医疗等的低时延要求,需要将这些业务的存储和内容分发下沉到边缘计算来处理。利用边缘计算可以过滤和压缩数据,节省核心网资源,成本仅为单独使用云计算的39%。在网络连接不稳定时仍可保证应用的可靠性。据IDC预测,未来将有超过50%的数据在边缘测处理。到2020年边缘计算支出将占物联网基础设施总支出的18%,成本仅为单独使用云计算的39%。
“虽然边缘计算对数据就近处理减少了敏感数据泄露的风险。但是边缘计算设备安全防护能力不及云中心,对原有集中式内容监管模式带来挑战。”邬贺铨称。
5G核心网协议互联网化的安全代价
过去移动通信协议是专用的,不易招致外部的病毒和木马等攻击,但是5G的协议全面互联网化后被外部攻击的可能性明显增加。与现有相对封闭的移动通信系统相比,业务能力开放的平台使第三方可通过获得的网络操控能力对网络发起攻击,增加安全监管责任主体的划分难度和业务数据泄露的风险。
据邬贺铨介绍,传统的互联网没有控制面,仅有用户面,很多网络功能能由管理面来支撑,即基于网管系统由人工配置。现在5G引入的SDN/NFV和网络切片需要利用控制面信令来动态配置,网络OS不仅要完成传统OSS功能,还要控制网元功能的变换和业务切片的管理,业务信道编排的计算量很大而且相应时间要求很严。
他指出,5G的智能运维中心是5G的中枢,是安全防御的重点。5G网络具有对外开放业务的能力,需要对开放门户认证管理。同时,还需对来自第三方的APP实施安全认证。
大连接特性带来的安全挑战
5G具有三大特性,其中大连接特性带来的安全挑战更为突出。物联网终端数量多,且永远在线,易被劫持和数据被窃取,或被木马入侵,成为DDOS攻击的跳板。如果每个设备的每条消息都需要单独认证,终端信令请求可能超过网络处理能力,则会触发信令风暴。邬贺铨指出,“5G物联网需要有群组认证机制。需要采用轻量化的安全机制,简单但不失强度的加密协议,保证物联网在安全方面增加过多的能量消耗,也不致时延太大。”
与面向消费者的应用相比,面向企业的应用一旦发生信息安全事件,其影响更严重。5G可以用在企业外网或企业内网,后者又分为基于5G公网与5G专网两种。公网针对人的应用,TDD的下行较上行时隙多,而物联网则相反,因此用5G专网作为企业内网更合适,而且内网安全性优于外网。不论5G作为企业外网还是内网,即便是5G专网,其安全防护都要特别重要。
大数据和人工智能助力网络安全
邬贺铨指出,5G实现了计算和通信的融合,基于大数据和人工智能的网络运维,减少了人为的差错,智能化的监控有利于提高网络的安全防御水平。
AI可对网络流量内外所包含的无数元数据的海量关联进行分析,实现对网络流量异常检测。AI技术可将包括企业运营日志数据和外部威胁情报服务的多个信息源整合分析,具备处理上百万数据点以及生成预测的能力,获得最准确的网络风险评估。在企业内部建立IT和OT统一的安全团队和企业安全运营中心外,还要与企业的上下游实现威胁情报共享和安全防护的协同联动,从政府和运营商获得安全态势感知信息。
对包括5G在内的企业网的安全需要利用大数据和人工智能技术。基于AI技术威胁检测,软件定义网络与安全的联动防御以及安全策略智能调优,可以为企业构建全网主动防御体系,让威胁检测、威胁处置以及安全运维更为智能,提高企业网络抵御威胁能力,降低运维成本。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。