湯凱

摘要：分析了5G的新技術(shù)給網(wǎng)絡(luò)安全性帶來(lái)的新挑戰(zhàn)。針對(duì)傳統(tǒng)安全產(chǎn)品和技術(shù)，提出了優(yōu)化與增強(qiáng)的要求。同時(shí)還從環(huán)境、業(yè)務(wù)、資產(chǎn)和運(yùn)營(yíng)4個(gè)角度，總結(jié)了垂直行業(yè)應(yīng)用的各種新特征，并分析了這些特征給安全性帶來(lái)的挑戰(zhàn)與影響，同時(shí)提出了一些針對(duì)性的緩解措施。

關(guān)鍵詞：5G;垂直行業(yè);安全;物聯(lián)網(wǎng);網(wǎng)絡(luò)切片;移動(dòng)邊緣計(jì)算;運(yùn)營(yíng)技術(shù)

Abstract： The new challenges brought by the new technologies of 5G on network security are analyzed， and the optimization and enhancement requirements for traditional security products and technologies are proposed in this paper. Various new application characteristics of vertical industry applications are extracted from four perspectives of environment， service， assets and operations. The challenges and effects of these characteristics on security are analyzed， and some targeted mitigation measures are put forward.

Key words： 5G; vertical industries; security; internet of things; network slice; mobile edge computing; operation technology

1 安全是產(chǎn)業(yè)互聯(lián)網(wǎng)的基石

如果說(shuō)在消費(fèi)互聯(lián)網(wǎng)時(shí)代，“控制住了網(wǎng)絡(luò)就控制住了世界”只是一句口號(hào)的話，那么在5G時(shí)代，這句話即將變成現(xiàn)實(shí)。隨著越來(lái)越多的設(shè)備、基礎(chǔ)設(shè)施、行業(yè)應(yīng)用與數(shù)字化資產(chǎn)承載于5G網(wǎng)絡(luò)之上，網(wǎng)絡(luò)安全逐步上升為事關(guān)國(guó)家和社會(huì)穩(wěn)定發(fā)展的重大命題。

根據(jù)越來(lái)越頻繁的安全事件可以看出，針對(duì)物聯(lián)網(wǎng)、電網(wǎng)、交通基礎(chǔ)設(shè)施等非傳統(tǒng)價(jià)值目標(biāo)的攻擊比例越來(lái)越高，攻擊的門(mén)檻越來(lái)越低，手段也越來(lái)越豐富。隨著5G網(wǎng)絡(luò)大規(guī)模部署，無(wú)論是從黑色產(chǎn)業(yè)鏈角度，還是出于其他政治、軍事、經(jīng)濟(jì)、社會(huì)等目的，5G所連接的重要基礎(chǔ)設(shè)施，對(duì)攻擊者的吸引力都會(huì)與日俱增。未來(lái)20年，通過(guò)網(wǎng)絡(luò)對(duì)各類基礎(chǔ)設(shè)施進(jìn)行破壞、劫持、勒索的網(wǎng)絡(luò)恐怖主義將會(huì)成為各國(guó)政府、各行業(yè)監(jiān)管機(jī)構(gòu)、基礎(chǔ)設(shè)施提供者、企業(yè)運(yùn)營(yíng)者以及廣大公眾需要經(jīng)常直面的問(wèn)題。全社會(huì)需要從政策、法規(guī)、組織、技術(shù)等各個(gè)層面提前做出應(yīng)對(duì)，設(shè)立多條安全防線，構(gòu)建完善的網(wǎng)絡(luò)空間安全治理框架，為未來(lái)產(chǎn)業(yè)互聯(lián)網(wǎng)的可持續(xù)發(fā)展提供穩(wěn)定的基石。

2 傳統(tǒng)威脅疊加新挑戰(zhàn)

在5G階段，大量現(xiàn)有的方法論、信息技術(shù)（IT）將會(huì)繼續(xù)在垂直行業(yè)中使用，傳統(tǒng)上用于攻擊的漏洞、工具與手段都能夠直接作用于垂直行業(yè)應(yīng)用并產(chǎn)生威脅。由于被攻擊的目標(biāo)往往還會(huì)連接物理世界的人、資產(chǎn)和關(guān)鍵基礎(chǔ)設(shè)施，會(huì)使得風(fēng)險(xiǎn)后果更為嚴(yán)重，處置起來(lái)也更為復(fù)雜。由于垂直行業(yè)應(yīng)用往往會(huì)具有多種不同的特征，相互之間關(guān)聯(lián)交織，從而導(dǎo)致威脅與攻擊顯得更加隱蔽和復(fù)雜。5G面向網(wǎng)絡(luò)架構(gòu)的定制化，引入了軟件定義網(wǎng)絡(luò)（SDN）/網(wǎng)絡(luò)功能虛擬化（NFV）等，這種基礎(chǔ)設(shè)施層面的靈活性與動(dòng)態(tài)性也進(jìn)一步加劇了安全挑戰(zhàn)。因此，總體上基于5G的垂直行業(yè)應(yīng)用安全呈現(xiàn)出攻擊面擴(kuò)大化、攻擊方式泛在化、安全邊界模糊等趨勢(shì)。

傳統(tǒng)的安全機(jī)制與防御產(chǎn)品、服務(wù)與技術(shù)，例如認(rèn)證/加密算法、密鑰管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)（IDS）/入侵防御系統(tǒng)（IPS）、各種面向主機(jī)以及云基礎(chǔ)設(shè)施的漏洞管理以及安全加固手段，需要針對(duì)性地進(jìn)行優(yōu)化、增強(qiáng)，以適應(yīng)5G時(shí)代垂直行業(yè)應(yīng)用的新特征。必要時(shí)，還需要引進(jìn)一些特殊的安全技術(shù)，來(lái)填補(bǔ)傳統(tǒng)安全盲點(diǎn)。

3 新特征下的安全對(duì)策

區(qū)別于傳統(tǒng)的消費(fèi)互聯(lián)網(wǎng)的商業(yè)模式與業(yè)務(wù)架構(gòu)的單一性，產(chǎn)業(yè)互聯(lián)網(wǎng)由于面向場(chǎng)景的多元化，具備了很多獨(dú)特的新特征。我們對(duì)這些新特征進(jìn)行了如下的更細(xì)維度的系統(tǒng)化歸納與分類。每一類新特征，都可能會(huì)對(duì)垂直行業(yè)應(yīng)用安全帶來(lái)消極影響。

·加：增加新的威脅與風(fēng)險(xiǎn)

·減：降低安全架構(gòu)可選擇性

·乘：疊加、放大傳統(tǒng)的威脅與風(fēng)險(xiǎn)

·除：影響安全架構(gòu)實(shí)施效果

另外，還有一些新特征會(huì)對(duì)垂直行業(yè)應(yīng)用安全帶來(lái)積極影響。通過(guò)降低成本與復(fù)雜性，提升可定制性，這些特征可以從相反的方向?qū)ο麡O特征帶來(lái)的影響起到一定的抵消作用。以上各種影響都需要在制定垂直行業(yè)安全解決方案時(shí)，基于威脅模型進(jìn)行統(tǒng)籌分析，以被保護(hù)的垂直行業(yè)資產(chǎn)為中心，依據(jù)威脅的重要性以及風(fēng)險(xiǎn)后果進(jìn)行技術(shù)方案的權(quán)衡與定制。

按照對(duì)應(yīng)的能力層次，本文中，我們將各種垂直行業(yè)應(yīng)用新特征劃分為4種類型：環(huán)境型特征、業(yè)務(wù)型特征、資產(chǎn)型特征以及運(yùn)營(yíng)型特征。

3.1 環(huán)境型特征

（1）低功耗：大規(guī)模物聯(lián)網(wǎng)（IoT）的要求。

很多負(fù)責(zé)傳感、環(huán)境監(jiān)測(cè)控制的設(shè)備，需要運(yùn)行在無(wú)法進(jìn)行持續(xù)外部供電的環(huán)境當(dāng)中。由于體積或成本等因素的限制，這些設(shè)備自身很難儲(chǔ)備太大的電能，需要設(shè)法降低功耗，以獲得更長(zhǎng)的工作時(shí)間。目前，產(chǎn)業(yè)界對(duì)于此類設(shè)備連續(xù)工作時(shí)間的初步共識(shí)是10 Y左右。設(shè)備的功耗來(lái)自于各個(gè)方面，優(yōu)化也需要針對(duì)不同的組件分別展開(kāi)，例如使用更高集成度的處理硬件、輕量級(jí)的操作系統(tǒng)與協(xié)議，采用窄帶物聯(lián)網(wǎng)（NB-IoT）、遠(yuǎn)距離無(wú)線（LoRa）等低功耗廣域網(wǎng)（LPWAN）技術(shù)。從安全角度看，在此類終端中加載復(fù)雜的安全邏輯是比較困難的，因此需要考慮使用其他的輔助手段來(lái)提供增強(qiáng)型保護(hù)，例如在匯聚/網(wǎng)關(guān)設(shè)備上加載安全邏輯，對(duì)來(lái)往終端的行為與流量進(jìn)行監(jiān)測(cè)控制、分析與過(guò)濾;使用具有高度網(wǎng)絡(luò)隔離性的接入措施等。通過(guò)對(duì)認(rèn)證協(xié)議進(jìn)行優(yōu)化，盡量減少網(wǎng)絡(luò)交互的次數(shù)。對(duì)于必須使用加密的場(chǎng)景，需要在安全性與功耗之間進(jìn)行適當(dāng)?shù)臋?quán)衡，選用合適的加密算法，并根據(jù)業(yè)務(wù)特點(diǎn)對(duì)其進(jìn)行輕量化改造，例如減少密鑰長(zhǎng)度、降低加密計(jì)算輪次、減少密鑰更新次數(shù)等。