湯凱

摘要：分析了5G的新技術(shù)給網(wǎng)絡(luò)安全性帶來的新挑戰(zhàn)。針對傳統(tǒng)安全產(chǎn)品和技術(shù)，提出了優(yōu)化與增強的要求。同時還從環(huán)境、業(yè)務(wù)、資產(chǎn)和運營4個角度，總結(jié)了垂直行業(yè)應(yīng)用的各種新特征，并分析了這些特征給安全性帶來的挑戰(zhàn)與影響，同時提出了一些針對性的緩解措施。

關(guān)鍵詞：5G;垂直行業(yè);安全;物聯(lián)網(wǎng);網(wǎng)絡(luò)切片;移動邊緣計算;運營技術(shù)

Abstract： The new challenges brought by the new technologies of 5G on network security are analyzed， and the optimization and enhancement requirements for traditional security products and technologies are proposed in this paper. Various new application characteristics of vertical industry applications are extracted from four perspectives of environment， service， assets and operations. The challenges and effects of these characteristics on security are analyzed， and some targeted mitigation measures are put forward.

Key words： 5G; vertical industries; security; internet of things; network slice; mobile edge computing; operation technology

1 安全是產(chǎn)業(yè)互聯(lián)網(wǎng)的基石

如果說在消費互聯(lián)網(wǎng)時代，“控制住了網(wǎng)絡(luò)就控制住了世界”只是一句口號的話，那么在5G時代，這句話即將變成現(xiàn)實。隨著越來越多的設(shè)備、基礎(chǔ)設(shè)施、行業(yè)應(yīng)用與數(shù)字化資產(chǎn)承載于5G網(wǎng)絡(luò)之上，網(wǎng)絡(luò)安全逐步上升為事關(guān)國家和社會穩(wěn)定發(fā)展的重大命題。

根據(jù)越來越頻繁的安全事件可以看出，針對物聯(lián)網(wǎng)、電網(wǎng)、交通基礎(chǔ)設(shè)施等非傳統(tǒng)價值目標(biāo)的攻擊比例越來越高，攻擊的門檻越來越低，手段也越來越豐富。隨著5G網(wǎng)絡(luò)大規(guī)模部署，無論是從黑色產(chǎn)業(yè)鏈角度，還是出于其他政治、軍事、經(jīng)濟(jì)、社會等目的，5G所連接的重要基礎(chǔ)設(shè)施，對攻擊者的吸引力都會與日俱增。未來20年，通過網(wǎng)絡(luò)對各類基礎(chǔ)設(shè)施進(jìn)行破壞、劫持、勒索的網(wǎng)絡(luò)恐怖主義將會成為各國政府、各行業(yè)監(jiān)管機(jī)構(gòu)、基礎(chǔ)設(shè)施提供者、企業(yè)運營者以及廣大公眾需要經(jīng)常直面的問題。全社會需要從政策、法規(guī)、組織、技術(shù)等各個層面提前做出應(yīng)對，設(shè)立多條安全防線，構(gòu)建完善的網(wǎng)絡(luò)空間安全治理框架，為未來產(chǎn)業(yè)互聯(lián)網(wǎng)的可持續(xù)發(fā)展提供穩(wěn)定的基石。

2 傳統(tǒng)威脅疊加新挑戰(zhàn)

在5G階段，大量現(xiàn)有的方法論、信息技術(shù)（IT）將會繼續(xù)在垂直行業(yè)中使用，傳統(tǒng)上用于攻擊的漏洞、工具與手段都能夠直接作用于垂直行業(yè)應(yīng)用并產(chǎn)生威脅。由于被攻擊的目標(biāo)往往還會連接物理世界的人、資產(chǎn)和關(guān)鍵基礎(chǔ)設(shè)施，會使得風(fēng)險后果更為嚴(yán)重，處置起來也更為復(fù)雜。由于垂直行業(yè)應(yīng)用往往會具有多種不同的特征，相互之間關(guān)聯(lián)交織，從而導(dǎo)致威脅與攻擊顯得更加隱蔽和復(fù)雜。5G面向網(wǎng)絡(luò)架構(gòu)的定制化，引入了軟件定義網(wǎng)絡(luò)（SDN）/網(wǎng)絡(luò)功能虛擬化（NFV）等，這種基礎(chǔ)設(shè)施層面的靈活性與動態(tài)性也進(jìn)一步加劇了安全挑戰(zhàn)。因此，總體上基于5G的垂直行業(yè)應(yīng)用安全呈現(xiàn)出攻擊面擴(kuò)大化、攻擊方式泛在化、安全邊界模糊等趨勢。

傳統(tǒng)的安全機(jī)制與防御產(chǎn)品、服務(wù)與技術(shù)，例如認(rèn)證/加密算法、密鑰管理系統(tǒng)、防火墻、入侵檢測系統(tǒng)（IDS）/入侵防御系統(tǒng)（IPS）、各種面向主機(jī)以及云基礎(chǔ)設(shè)施的漏洞管理以及安全加固手段，需要針對性地進(jìn)行優(yōu)化、增強，以適應(yīng)5G時代垂直行業(yè)應(yīng)用的新特征。必要時，還需要引進(jìn)一些特殊的安全技術(shù)，來填補傳統(tǒng)安全盲點。

3 新特征下的安全對策

區(qū)別于傳統(tǒng)的消費互聯(lián)網(wǎng)的商業(yè)模式與業(yè)務(wù)架構(gòu)的單一性，產(chǎn)業(yè)互聯(lián)網(wǎng)由于面向場景的多元化，具備了很多獨特的新特征。我們對這些新特征進(jìn)行了如下的更細(xì)維度的系統(tǒng)化歸納與分類。每一類新特征，都可能會對垂直行業(yè)應(yīng)用安全帶來消極影響。

·加：增加新的威脅與風(fēng)險

·減：降低安全架構(gòu)可選擇性

·乘：疊加、放大傳統(tǒng)的威脅與風(fēng)險

·除：影響安全架構(gòu)實施效果

另外，還有一些新特征會對垂直行業(yè)應(yīng)用安全帶來積極影響。通過降低成本與復(fù)雜性，提升可定制性，這些特征可以從相反的方向?qū)ο麡O特征帶來的影響起到一定的抵消作用。以上各種影響都需要在制定垂直行業(yè)安全解決方案時，基于威脅模型進(jìn)行統(tǒng)籌分析，以被保護(hù)的垂直行業(yè)資產(chǎn)為中心，依據(jù)威脅的重要性以及風(fēng)險后果進(jìn)行技術(shù)方案的權(quán)衡與定制。

按照對應(yīng)的能力層次，本文中，我們將各種垂直行業(yè)應(yīng)用新特征劃分為4種類型：環(huán)境型特征、業(yè)務(wù)型特征、資產(chǎn)型特征以及運營型特征。

3.1 環(huán)境型特征

（1）低功耗：大規(guī)模物聯(lián)網(wǎng)（IoT）的要求。

很多負(fù)責(zé)傳感、環(huán)境監(jiān)測控制的設(shè)備，需要運行在無法進(jìn)行持續(xù)外部供電的環(huán)境當(dāng)中。由于體積或成本等因素的限制，這些設(shè)備自身很難儲備太大的電能，需要設(shè)法降低功耗，以獲得更長的工作時間。目前，產(chǎn)業(yè)界對于此類設(shè)備連續(xù)工作時間的初步共識是10 Y左右。設(shè)備的功耗來自于各個方面，優(yōu)化也需要針對不同的組件分別展開，例如使用更高集成度的處理硬件、輕量級的操作系統(tǒng)與協(xié)議，采用窄帶物聯(lián)網(wǎng)（NB-IoT）、遠(yuǎn)距離無線（LoRa）等低功耗廣域網(wǎng)（LPWAN）技術(shù)。從安全角度看，在此類終端中加載復(fù)雜的安全邏輯是比較困難的，因此需要考慮使用其他的輔助手段來提供增強型保護(hù)，例如在匯聚/網(wǎng)關(guān)設(shè)備上加載安全邏輯，對來往終端的行為與流量進(jìn)行監(jiān)測控制、分析與過濾;使用具有高度網(wǎng)絡(luò)隔離性的接入措施等。通過對認(rèn)證協(xié)議進(jìn)行優(yōu)化，盡量減少網(wǎng)絡(luò)交互的次數(shù)。對于必須使用加密的場景，需要在安全性與功耗之間進(jìn)行適當(dāng)?shù)臋?quán)衡，選用合適的加密算法，并根據(jù)業(yè)務(wù)特點對其進(jìn)行輕量化改造，例如減少密鑰長度、降低加密計算輪次、減少密鑰更新次數(shù)等。