5G网络安全运营思考与实践

第38次全国计算机安全学术交流会 中国移动研究院粟栗 目录 5G网络的安全设计1 5GC运营安全风险思考2 集中监测+内生防护3 3G跟随 4G并跑 5G领先 中国5G已引领世界，安全成为关键因素 5G作为关键信息基础设施，安全成为关键因素 5G网络，因“国家安全”而被限制 5G应用，因深度融合而更需要安全 欧盟委员会 2020年1月 美国白宫 2020年3月 美国战略与国际研究中心2021年3月 美国国安局 2021年5月 以安全为借口，限制中国企业发展 航运港口 工业园区 医院工厂 政务新闻空中物流 网络与业务深度融合，5G安全影响国计民生重要行业 5G安全的目标：在非信任环境中构建安全的网络 •5G引入通用硬件平台，网络IT化 •垂直行业引入大量新的实体 信任模型更加复杂 多样化的用户设备 《5G安全技术与标准》：5G安全是在非信任的前提下，构建安全的网络并提供服务。 5G安全的目标：在非信任环境中构建安全的网络 5G网络除了面临传统的用户非法接入、互联网攻击等，还面临来自MEC非法访问、虚拟化漏洞备用等新风险 远程篡改恶意访问隐私泄漏 传统安全风险 •接入安全：非法接入、恶意流量 •信令安全：信令风暴、信令篡改 •管理安全：非法登录、弱口令 •外部攻击：互联网DDoS、网间攻击等 新增安全风险 •MEC安全：边缘非法访问核心网 •租户切片安全：非授权访问其它切片 •虚拟化安全：虚拟化软件漏洞被利用、虚拟机逃逸等 + 相比4G，5G网络进行了更安全的设计 5G网络安全在数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强 网间信息保护 •SEPP安全网关 •TLS加密传输 用户隐私保护 •SUPI：不传递 •SUCI：由SUPI加 密生成 认证机制支持 •5G-AKA：抗内外 部攻击 •EAP-AKA’：兼 容垂直行业 数据安全保护 •AES、SNOW3G、 ZUC •信令数据、用户数 据完整性保护 更全面的更丰富的更严密的更灵活的 4个“更”使5G具备一定的抵御非信任环境下安全风险的能力 从端到端安全要求、安全评测、应用安全三方面构建5G安全标准体系，指导5G网络安全建设 相比4G，5G网络进行了更安全的设计 3GPP定义了网络设备安全保障的方法论（SECAM），方法论中明确： 1.由GSMA制定网络设备安全保障的体系框架、安全审计以及测试实验室资质相关的标准，即NESAS （NetworkEquipmentSecurityAssuranceScheme）。 2.由3GPP制定网络设备保障中安全测试的相关标准，即SCAS(SeCurityAssuranceSpecification)。 目录 5G网络的安全设计1 5GC运营安全风险思考2 集中监测+内生防护3 设备：依据标准执行5G设备入网安全测评 •联合信通院、头部厂商构建5G安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力； •通过网络建设前的设备测试，保障设备入网、设备组网安全性。 测评体系：测评环境和测评工具：测评报告： 1个体系、5类方法、96项用例 设备级测试床—信通院 网络级测试床—中国移动 端到端安全测评工具一套； 自主开发能力40余项；测试效率提升>70% 新问题：在完成入网测试后，实际运行中的安全如何保障？ 核心网：安全域划分保障分域安全 5G安全域进行了独立设计，通过安全域划分，有效防止运行阶段安全风险扩散。 传统互联网接入域：部署双层异构防火墙、IPS等进行防护和检测（大隔离）新增承载网接入域：部署防火墙、IPS进行防护和检测（大隔离） 1 2 3 4 安全子域：安全子域之间VLAN+交换机ACL（小隔离）安全子域内部：无安全手段，存在网元VM间攻击风险 核心网：内网安全风险仍然存在 在现有防护手段的基础上，5G网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用等风险 •漏洞利用：网元或虚拟层的漏洞被利用（①） •横向移动攻击：恶意VM通过业务面（②）或管理面（③）攻击其它VM •关键文件篡改：恶意VM通过业务面篡改其它VM上的关键文件（②） •...... 目录 5G网络的安全设计1 5GC运营安全风险思考2 集中监测+内生防护3 根据IPDRR，对内网进行集中安全监测，协同内生防护手段，全面提升5G内网的安全能力 集中监测+内生防护解决5G内网安全风险 精细化的安全监测和防护 5G网络安全机器人（安宝）是面向5G网络及应用的安全检测工具，具有对网络设备自动化的安全检查、入侵告警、风险防范、渗透测试、攻击诱捕、自动学习演进等能力 集中监测：5G网络安全机器人（安宝）集中监测内网安全 •采用微服务应用架构 •具有高并发、高扩展、高容错、高性能等特性 •全5G专业网络覆盖，"按需部署，集中管控"； •已在5G核心网、5G物联网、工业互联网等场景部署 集中监测：5G网络安全机器人（安宝）集中监测内网安全 安宝实现机器换人的SaaS安全监测服务，革新内网安全服务模式 机器换人SAAS •安宝自研建立面向5G的自有安全漏洞库17万条； •创新链路层编码漏洞高速扫描技术，扫描效率提升60倍；年节约人工成本约500万。 基于内生安全理念，设计基于内生的微隔离+方案为资源池内的虚拟机/容器、进程、文件进行访问控制，并结合OMC分析能力，感知安全攻击，以“自身防护+安全监控”方式，防止横向移动攻击，实现东西向流量隔离、可视，攻击可感知 内生防护：微隔离+，解决安全监测盲点 微隔离+系统架构 基于内生的微隔离+，实现网元微隔离、攻击感知能力； 能力可独立部署，也可一体部署 微隔离实现VM/容器隔离，内网流量可视 攻击感知实现攻击可检测 非法流量进不来安全攻击可感知 内生防护：微隔离+，解决安全监测盲点：构建5G网络第三层隔离 •根据安全域划分，资源池外部边界、内部安全子域之间，以专用安全设备能力为基础，构建大隔离、小隔离； •资源池内安全子域内部，基于内生安全理念，以网元为单位，部署微隔离+，构建5G网络第三层隔离 大隔离、小隔离无法解决安全子域内的VNF间相互攻击网元内建微隔离、攻击感知插件，隔离异常流量、检测网元攻击 内生防护：微隔离+，解决安全监测盲点：防护内网横向移动攻击 微隔离+包含微隔离和攻击感知两个内生的安全能力，防止横向移动攻击，有效解决“一点击破，全网沦陷”风险 主要功能 i i •微隔离能力防护内网东西向异常流量 •攻击感知能力防护网元自身攻击 •引领微隔离+标准，已完成CCSA行标及企业标准 标准推进 •GSMA，ITU标准推进中 未来：以SaaS方式输出5G网络安全能力 •5G专网以及边缘计算业务的发展，为5G网络安全能力的输出提供了机会 •在梳理现网已有安全能力的基础上，通过基础安全+增强安全能力的方式，构建标准化、运营商级的灵活的安全服务能力 THANKS! 谢谢