［王海燚 林燕飛］

1 引言

隨著新一輪科技革命與產(chǎn)業(yè)迭代，圍繞5G 技術(shù)展開的國際競爭空前激烈。作為5G 網(wǎng)絡(luò)架構(gòu)的一個重要特征，具有邏輯隔離、資源共享、按需定制、彈性伸縮等特點的網(wǎng)絡(luò)切片，能夠助力運營商根據(jù)業(yè)務(wù)場景構(gòu)建相互隔離的邏輯網(wǎng)絡(luò)，結(jié)合切片租賃、能力開放、切片托管等多種運營模式，可以靈活滿足垂直行業(yè)的多元化需求。對于5G商用化的發(fā)展，在寄予網(wǎng)絡(luò)切片深厚期望的同時，也需關(guān)注切片技術(shù)引入帶來的安全挑戰(zhàn)。因此，構(gòu)建一個滿足運營商切片運營和安全運維需求的網(wǎng)絡(luò)切片安全策略框架，進而指導(dǎo)切片安全防護體系建設(shè)已成為當(dāng)務(wù)之急。

2 網(wǎng)絡(luò)切片面臨的安全威脅

網(wǎng)絡(luò)切片由一組能支持特定場景通信業(yè)務(wù)需求的網(wǎng)絡(luò)功能實例和運行這些網(wǎng)絡(luò)功能實例的計算、存儲、網(wǎng)絡(luò)資源組成。網(wǎng)絡(luò)切片面臨切片內(nèi)部和切片外部多方面的安全風(fēng)險，切片內(nèi)部的安全風(fēng)險主要來自切片管理安全、切片自身安全防護、數(shù)據(jù)安全方面；切片外部的安全風(fēng)險主要來自與終端的交互。

（1）切片管理安全威脅

攻擊者可能利用認證鑒權(quán)防護的不足或配置不當(dāng)帶來的漏洞，通過惡意代碼注入等手段非法獲取切片的管理權(quán)限，針對切片實例執(zhí)行非法創(chuàng)建、修改、刪除等操作，或者針對管理公開接口實施拒絕服務(wù)攻擊，影響切片服務(wù)的可用性。

（2）切片自身安全威脅

在切片自身安全防護措施不到位的情況下，如切片隔離不足、安全監(jiān)測機制缺失，可能導(dǎo)致切片間資源擠占，被攻擊的切片或出現(xiàn)故障的切片影響到其他切片，以及切片間的接口被非法操縱等安全問題。

（3）數(shù)據(jù)安全威脅

在信息傳輸和存儲過程中，切片模板、密鑰、切片標(biāo)識等相關(guān)數(shù)據(jù)如果未進行有效的加密、完整性保護，將面臨信息泄露、信息篡改等數(shù)據(jù)安全風(fēng)險。在切片運行時，攻擊者可以通過多種途徑竊取用戶憑證、切片實例ID 等敏感數(shù)據(jù)；或在切片下線后，利用尚未清除干凈的配置信息和部分數(shù)據(jù)，提取敏感信息。

（4）與終端的交互風(fēng)險

終端設(shè)備安全防護薄弱，攻擊者能夠利用認證授權(quán)流程上的漏洞，未授權(quán)接入切片，進一步地，若此時終端同時接入多個切片，攻擊者有可能進行橫向移動，破壞其他切片數(shù)據(jù)的機密性和完整性。

3 切片安全研究進展

近年來，業(yè)界標(biāo)準(zhǔn)化組織、產(chǎn)業(yè)聯(lián)盟等紛紛開展了對切片安全的研究，制定并發(fā)布的一系列相關(guān)標(biāo)準(zhǔn)和解決方案，涵蓋了一部分切片安全保護對象和切片安全性目標(biāo)。

ITU-T 標(biāo)準(zhǔn)針對網(wǎng)絡(luò)切片架構(gòu)和切片安全功能方面提出了高層次的需求。ITU-T Y.3110[1]明確網(wǎng)絡(luò)切片實例管理需支持異常信息收集和分析、支持異常隔離的能力，應(yīng)具備相關(guān)消除異常的控制措施。ITU-T Y.3111[2]從網(wǎng)絡(luò)切片的視角提出了5G 網(wǎng)絡(luò)框架，并從身份驗證和授權(quán)、檢測和避免攻擊兩方面對各組件提出切片相關(guān)的安全要求。

3GPP 標(biāo)準(zhǔn)為5G 網(wǎng)絡(luò)切片的研究奠定了基礎(chǔ)，在Rel-15 階段，TS 33.501[3]中針對網(wǎng)絡(luò)切片管理規(guī)定了雙向認證和授權(quán)機制，以及采用TLS 方式提供接口之間的安全等。同期開展制定的TR 33.811[4]中，針對5G 網(wǎng)絡(luò)切片管理特性方面的威脅、潛在安全需求等進行了較為詳細的闡述，并給出了對應(yīng)的解決方案和建議。Rel-16 階段，包括訪問特定切片的身份認證、敏感信息防護等前階段遺留的開放性問題在TR 33.813[5]中進行了研究。

NGMN 針對5G 網(wǎng)絡(luò)切片使用過程中可能出現(xiàn)的安全威脅或缺陷進行了識別，并提出了身份認證、基線配置、隔離機制等安全方面的原則性建議[6]。ETSI 關(guān)于切片安全方面的考慮，則引用了NGMN 的安全指導(dǎo)方針，并從基礎(chǔ)資源租用和租戶的視角在租戶數(shù)據(jù)的保護和隱私、租戶資源隔離、仿冒攻擊防護等方面提出安全要求。

ONF 關(guān)于SDN 各層面安全要求的研究，如SDN 特有的安全挑戰(zhàn)及安全原則、SDN 架構(gòu)面臨的安全威脅分析等，也可以為網(wǎng)絡(luò)切片底層技術(shù)的安全體系設(shè)計提供參考。

綜上可以看出，業(yè)界對于切片安全的研究尚未形成體系，關(guān)于切片安全策略的研究較為欠缺。隨著5G 網(wǎng)絡(luò)切片的商業(yè)化落地，賦能垂直行業(yè)的步伐進一步加快，切片安全的薄弱鏈條面臨嚴峻挑戰(zhàn)。

4 網(wǎng)絡(luò)切片運營和安全運維需求

隨著5G 新基建的持續(xù)推進，電信運營商應(yīng)當(dāng)以滿足客戶定制化需求為出發(fā)點，創(chuàng)新網(wǎng)絡(luò)切片的商業(yè)模式。網(wǎng)絡(luò)切片既有云時代業(yè)務(wù)定制化的特點，又有傳統(tǒng)資源型產(chǎn)品專有屬性的特征。運營商可根據(jù)不同的客戶需求選擇如下三種商業(yè)模式：一是標(biāo)準(zhǔn)切片模式，運營商統(tǒng)一建設(shè)5G 網(wǎng)絡(luò)，提供端到端網(wǎng)絡(luò)切片業(yè)務(wù)，向企業(yè)提供切片租賃和增值服務(wù)[7]；二是能力開放模式，網(wǎng)絡(luò)切片具備邏輯隔離和獨立的生命周期管理，運營商向企業(yè)提供開放的接口，企業(yè)按照自身的特殊要求開發(fā)特定的運維功能；三是切片托管模式，企業(yè)自建專網(wǎng)，托管給運營商進行運維管理[8]。結(jié)合切片商業(yè)模式，從產(chǎn)品運營層面來看，一方面運營商需要對網(wǎng)絡(luò)切片管理平臺進行標(biāo)準(zhǔn)化建設(shè)，以此滿足快速部署、節(jié)約成本的需求；另一方面，運營商需要對切片運營進行智能化升級，通過定制化切片模板、智能編排調(diào)度、切片部署優(yōu)化等手段實現(xiàn)高質(zhì)量供給市場的長遠目標(biāo)。

端到端切片的安全保障還對運營商的安全維護工作提出如下需求：一是對切片資產(chǎn)進行全面納管。需要通過資產(chǎn)管理平臺或其他技術(shù)手段對切片相關(guān)軟硬件資源進行統(tǒng)一納管，形成網(wǎng)絡(luò)切片信息資產(chǎn)清單，并能從多維度掌握切片資產(chǎn)安全基礎(chǔ)信息的情況。二是常態(tài)化安全作業(yè)。需要制定漏洞掃描、基線合規(guī)、動態(tài)風(fēng)險評估、人工滲透等作業(yè)計劃，定期識別網(wǎng)絡(luò)切片的脆弱性信息并及時整改，以提高全網(wǎng)切片安全管理能力。三是安全威脅監(jiān)測與處置。切片安全威脅監(jiān)測范圍包括但不限于5G 承載網(wǎng)、5GC、接入設(shè)備、切片管理平臺等，需要對上述監(jiān)測對象的日志、告警信息進行收集和分析，并按照企業(yè)安全事件處置要求及時處理，消除影響和隱患，確保切片系統(tǒng)和業(yè)務(wù)的正常運行。四是切片安全審計。需要對切片相關(guān)賬號進行全生命周期的管理和審計，并能夠?qū)Π踩a(chǎn)數(shù)據(jù)進行集中統(tǒng)計和呈現(xiàn)，以保障切片網(wǎng)絡(luò)和數(shù)據(jù)免受來自內(nèi)部用戶的不合規(guī)操作造成的嚴重影響。

5 網(wǎng)絡(luò)切片安全策略框架

網(wǎng)絡(luò)切片安全策略框架需要考慮到整體架構(gòu)以及各個模塊的安全性，還要考慮新技術(shù)發(fā)展所帶來的威脅。因此，建立滿足運營商切片運營和安全維護需求的網(wǎng)絡(luò)切片安全策略框架，其整體的構(gòu)建思路是將保護對象與企業(yè)經(jīng)營目標(biāo)相結(jié)合，以傳統(tǒng)的信息安全防護體系為基礎(chǔ)，一方面要關(guān)注到切片安全與傳統(tǒng)網(wǎng)絡(luò)安全的共通之處，諸如終端安全、網(wǎng)絡(luò)設(shè)備安全、操作系統(tǒng)安全、信息泄露安全等，另外一方面要關(guān)注整個網(wǎng)絡(luò)切片生命周期所存在的特殊風(fēng)險?；诰W(wǎng)絡(luò)切片面臨的安全風(fēng)險，本文參考NIST 發(fā)布的“Framework for Improving Critical Infrastructure Cybersecurity”[9]、ISO/IEC 27001:2013 等業(yè)內(nèi)標(biāo)準(zhǔn)和最佳實踐，結(jié)合IPDRR 安全模型，提出一種面向網(wǎng)絡(luò)切片的安全策略框架，繼承以“識別、保護、檢測、響應(yīng)、恢復(fù)”為核心的安全理念，提供了與網(wǎng)絡(luò)切片安全相關(guān)的策略以及實現(xiàn)該策略所需要進行的活動。該框架能夠較為全面地反映出網(wǎng)絡(luò)安全保障體系的各個層面，結(jié)合參與安全運營的三個要素“人、技術(shù)、操作”，形成切片安全風(fēng)險管理的閉環(huán)體系。

該框架結(jié)構(gòu)包括四個核心元素：安全能力、安全策略、具體要求和具體措施，如表1 所示。針對每一個安全能力制定對應(yīng)的安全策略，提供管理人員應(yīng)對安全風(fēng)險的準(zhǔn)則，具體要求和具體措施則向操作人員提供更為詳細的行動指南。該框架提供了可以幫助識別管理網(wǎng)絡(luò)切片安全風(fēng)險的關(guān)鍵網(wǎng)絡(luò)安全活動。運營商能夠參照這些指導(dǎo)范例，對各個層面的網(wǎng)絡(luò)切片安全風(fēng)險進行審視，針對所應(yīng)承擔(dān)的風(fēng)險責(zé)任，綜合管理業(yè)務(wù)目標(biāo)、資產(chǎn)、技術(shù)以及人員。

表1 網(wǎng)絡(luò)切片安全策略框架結(jié)構(gòu)

安全策略框架的核心元素說明如下：

（1）安全能力

安全能力處于策略框架的最高層級，涵蓋識別、保護、檢測、響應(yīng)和恢復(fù)五個核心環(huán)節(jié)，提供了網(wǎng)絡(luò)切片安全風(fēng)險管理的高層次戰(zhàn)略視圖。

（2）安全策略

將抽象凝練的安全能力劃分為具象的安全策略，并與具體要求、具體措施一一映射。這些安全策略涵蓋了前、中、后期應(yīng)對切片安全風(fēng)險的一系列對策，提供安全管控活動的指導(dǎo)方向。

（3）具體要求

基于安全策略，進一步細分在合規(guī)、管理、技術(shù)等層面的具體要求，這些要求可被視為開展切片安全工作的一系列規(guī)范性原則，能夠降低在工作過程中的各類風(fēng)險系數(shù)。

（4）具體措施

針對安全策略與具體要求制定具有可操作性、可量化的措施。這些措施雖然并非面面俱到，但其典型性和有效性能夠幫助企業(yè)實現(xiàn)切片安全最終目標(biāo)。

識別、保護、檢測、響應(yīng)和恢復(fù)五個核心安全能力是并發(fā)和連續(xù)的關(guān)系，并需要持續(xù)履行，形成閉環(huán)機制以應(yīng)對動態(tài)的網(wǎng)絡(luò)切片安全風(fēng)險。

（1）識別

圍繞網(wǎng)絡(luò)切片涉及的系統(tǒng)、資產(chǎn)、數(shù)據(jù)和人員進行資源識別，了解相關(guān)合規(guī)性要求，進行風(fēng)險評估，是開展保護、檢測、響應(yīng)和恢復(fù)環(huán)節(jié)的基礎(chǔ)性工作。例如，清點網(wǎng)絡(luò)切片相關(guān)的軟硬件資源，根據(jù)資源的分類、重要性以及業(yè)務(wù)價值劃分優(yōu)先級。

（2）保護

采用適當(dāng)?shù)氖侄伪ＷC切片相關(guān)系統(tǒng)的機密性、完整性、可用性、可控性及不可否認性，通過保護活動阻止?jié)撛诘木W(wǎng)絡(luò)切片安全事件發(fā)生或減少影響，以確保切片業(yè)務(wù)的正常運行。例如，在切片管理域、切片運維域、切片與企業(yè)園區(qū)之間、切片與MEC 之間應(yīng)設(shè)置防火墻，配置訪問控制策略。

（3）檢測

制定并實施適當(dāng)?shù)幕顒蛹皶r發(fā)現(xiàn)網(wǎng)絡(luò)切片安全事件的發(fā)生。例如，通過基線核查、主機漏掃對鏡像倉庫、容器、虛擬機等切片基礎(chǔ)設(shè)施定期進行漏洞掃描，及時修復(fù)不合規(guī)的配置和漏洞。

（4）響應(yīng)

對危害網(wǎng)絡(luò)切片安全的事件、行為、過程及時響應(yīng)，采取有效措施避免危害和損失進一步蔓延。例如，根據(jù)網(wǎng)絡(luò)切片安全事件管理指南進行事件處理，記錄事件處理過程。

（5）恢復(fù)

一旦系統(tǒng)遭受破壞，盡早地恢復(fù)因網(wǎng)絡(luò)切片安全事件而受損的任何功能或服務(wù)。例如，對于安全性要求較高的切片，應(yīng)提供異地實時備份功能。

該框架提供了一套梳理切片業(yè)務(wù)流程和評估切片相關(guān)風(fēng)險的系統(tǒng)方法，運營商和企業(yè)可以利用該框架進行切片安全工作計劃的創(chuàng)建或演進，與切片產(chǎn)業(yè)鏈條的利益相關(guān)者對齊安全目標(biāo)，并遵循法律法規(guī)要求開展合規(guī)化建設(shè)。下面以認證授權(quán)漏洞導(dǎo)致敏感數(shù)據(jù)泄露風(fēng)險為例，運用網(wǎng)絡(luò)切片安全策略框架實現(xiàn)風(fēng)險管理，并給出具體要求及對應(yīng)的措施，具體如表2 所示。需要注意的是，在實際運用中，安全能力對應(yīng)的安全策略和要求可以根據(jù)企業(yè)自身防護需求而變化。

表2 網(wǎng)絡(luò)切片安全策略框架應(yīng)用示例

隨著網(wǎng)絡(luò)端到端切片技術(shù)逐步成熟，構(gòu)建運營商特征的網(wǎng)絡(luò)切片安全策略框架成為現(xiàn)實需要。從國家層面來看，建立網(wǎng)絡(luò)切片安全策略框架能夠降低由于關(guān)鍵信息基礎(chǔ)設(shè)施日益復(fù)雜化和連接多樣化所帶來的風(fēng)險，使得公共利益得到保障。從電信運營商層面來看，該策略框架提供一套行業(yè)共通語言，助力運營商建立網(wǎng)絡(luò)切片安全機制和流程，對切片安全風(fēng)險進行全方位、全過程管控。

6 結(jié)束語

網(wǎng)絡(luò)切片技術(shù)的發(fā)展給電信運營商提供了更為廣闊的業(yè)務(wù)想象空間，但新技術(shù)的出現(xiàn)也給網(wǎng)絡(luò)空間安全帶來諸多挑戰(zhàn)。本文通過研究網(wǎng)絡(luò)切片的安全威脅，對業(yè)界關(guān)于切片安全的研究進展進行概述，基于電信運營商切片運營和安全運維需求，提出了一種面向網(wǎng)絡(luò)切片的安全策略框架。隨著切片安全技術(shù)進一步成熟，切片商業(yè)模式更加清晰，運營商應(yīng)統(tǒng)籌兼顧內(nèi)外需求，根據(jù)應(yīng)用反饋持續(xù)演進網(wǎng)絡(luò)切片安全策略框架，以更好的適應(yīng)動態(tài)環(huán)境中安全威脅的變化。