白皮書中,中興通訊基于對安全領域長期以來的技術積累以及對 5G 網絡的深刻洞察,分享了對于 5G 垂直行業應用安全的一些觀點。
中興通訊認為,5G 為垂直行業提供了更安全的智能網絡服務,從多個維度提升了安全特性;同時,通過 5G 基礎設施與垂直行業的典型業務特征相結合,以網絡與設備為中心,以可視性與可控性為基本框架,充分利用切片定制、能力開放、邊緣計算、APT(高級持續性威脅 Advanced Persistent Threat)防御、可信技術、動態防御等創新平臺與技術,打造與垂直行業緊密融合的網絡安全長城,完成對 5G 行業應用網絡的深層次加固。
中興通訊《5G行業應用安全白皮書》全文如下:
5G行業應用安全挑戰
5G 網絡的高帶寬、低時延、海量連接等特性大幅提升了全社會各產業的信息化水平。同時,5G 網絡提供的靈活定制、彈性部署、多層次隔離等智能網絡能力,推動了互聯網創新從量變到質變的轉型。未來 5G 將深入垂直行業,促進產業創新與經濟增長,影響我們的生活方式,提升全社會的福祉。
自 2015 年以來,全球每年有超過 300 起大型工業網絡安全事件發生,企業與公眾開始越來越多地關注此類事件,并從安全、財產、經濟、聲譽等方面評估可能產生的影響。隨著 5G 的規模商用以及在垂直行業中的普及,行業應用將會吸引更多的惡意攻擊。諸如工業制造、能源、交通、金融等關鍵領域的高價值資產將成為首要的攻擊目標,并可能給國家、社會和企業帶來嚴重的風險。
在 5G 時代,傳統互聯網的方法論、設計范式、軟件技術仍會繼續在垂直行業使用,用于攻擊的漏洞、工具與手段都能夠直接對行業資產產生威脅。5G 引入切片、NFV(網絡功能虛擬化 Network Function Virtualization)、MEC 等新技術以支持智能網絡服務的定制,也使得網絡的形態、生態、商業模式、信任與風險關系呈現出更加動態與復雜的態勢。集中編排與軟件定義能力的運用,在為網絡帶來新的中心化特征的同時,也對安全性帶來了新的挑戰。
5G 時代的行業應用網絡,必須能夠提供不低于傳統專網的安全性與可靠性,才能夠勝任高價值資產的承載,同時,需要充分靈活地應用 5G 基礎設施以及圍繞 5G網絡的創新所帶來的新技術與新能力,使垂直行業的安全充分受益。
安全的5G網絡能力
可定制化安全
5G 網絡進一步滿足了人們對超高帶寬的增強移動互聯需求(例如 AR、VR、8K 視頻通訊等),同時實現了由消費類網絡向行業應用網絡的轉型(例如遠程醫療、無人駕駛、智能制造等)。行業應用對網絡時延、傳輸速率、連接數等存在差異化的要求,而傳統移動網絡受限于網絡架構、交付方式、運維模式等因素,已經難以滿足不同行業的應用需求。因此,5G 基于 SDN(軟件定義網絡 Software De ned Network)/NFV 等新技術,重構了全新的網絡架構,以更好地支撐多樣化的行業應用場景。
作為網絡必要組成部分的安全體系,傳統移動網絡采用了固化的安全防御架構,難以滿足行業應用對于安全的差異化和可擴展性需求,安全能力只能依靠打補丁方式進行擴展加固,導致移動網絡無法及時使用新的安全技術、防御新型安全威脅。不同的行業應用存在共性的安全需求,同時各行業應用又存在特殊安全防護要求,5G 基于網絡切片技術提供了智能網絡服務,并基于安全能力開放機制提供了靈活的安全架構,既可實現共性安全的統一考慮,又能兼顧具體行業應用所需安全機制的靈活定制。
相對于傳統企業專網,基于切片的可定制化 5G 網絡能夠為垂直行業提供更安全的、端到端保障的網絡服務與能力。5G 網絡應用于垂直行業,不僅僅提供基礎的安全網絡接入能力,還會開放邊緣 DC(數據中心 Data Center)、核心DC 中的各種基礎設施能力,其安全架構不但需要考慮差異化的業務需求,還需要考慮網絡與業務融合特殊場景的業務需求,以進行安全架構的定制和加固。可定制 5G 網絡安全架構如下圖所示。
圖 1 5G 網絡安全定制框架
端到端網絡安全
更高的網絡安全接入標準
移動通信網作為商業化的電信網絡,在標準設計之初,就充分考慮了網絡接入的移動性、可靠性和安全性,通過 SIM(用戶識別卡 Subscriber Identity Module)/USIM(全球用戶識別卡 Universal SubscriberIdentity Module)等身份標識、認證授權、訪問控制、信道與承載加密等方式,提供了良好的安全通信能力。
5G 網絡繼承了 4G 的安全特性,同時對認證授權、隱私保護、數據傳輸安全、網絡架構和互通安全等進行了優化或增強。相對 WiFi、企業專網等非 3GPP 接入機制,5G 提供了更大范圍的移動性,也為用戶提供了更健壯的業務安全、更嚴密的數據保護及更強的用戶隱私保護。
5G 提供了基于統一認證框架的雙向認證能力,使終端和網絡都能夠確認對方身份的合法性。這樣不僅能避免非法用戶接入,也能避免利用偽基站、偽熱點進行詐騙或者竊取用戶信息。
多層次的安全隔離
傳統局域網與互聯網的設計初衷是開放性,這也是導致網絡安全問題頻發的一個根源。未來的產業互聯 網將會連接工業、金融、能源、交通等重要領域的高價值資產,5G 網絡切片不但能夠為不同 SLA(服務 等級協議 Service Level Agreement)的業務提供網絡架構的定制,還能夠提供多種安全級別的網絡隔 離能力,為終端提供端到端的安全通道。這樣,即使某一終端被攻破,惡意程序也很難在 5G 網絡中橫 向傳播,使得攻擊的擴散勢頭以及導致的損失得到有效的遏制。
更強的安全審計能力
任何通過不同接入方式接入到 5G 網絡的終端,都需要進行統一的認證與管理,并對設備使用網絡的情況進行記錄。同時,還可以通過設備管理平臺建立并維護各行業資產,及業務、部門、組織等實體之間的權屬與管理關系,當發生異常行為時,可以快速追溯終端使用者的身份和行為軌跡,強化了所有者的管理責任,增加了攻擊者的法律風險,有效降低攻擊的概率。
高水準的供應鏈
5G 網絡各種軟件、硬件以及服務的供應商與合作伙伴,優先選擇具備強大實力的提供商,其內部安全治理水平處于業界領先水準,可以從源頭保障 5G 網絡的長期安全,并可簡化、加快行業客戶從設備認證、選型、采購到部署的全過程。
專業化的運維
很多安全事件的根本原因都是因為不專業的管理與運維導致。相對于企業專網中各種中間設備的多樣性、暴露性以及管理的分散性等隱患,5G 提供了一站式的彈性網絡安全能力,并在運行期間能夠提供長期專業化的網絡智能維護體系與應急響應體系,最大程度地減少由于企業自建專網等帶來的安全運維風險。
端到端的全網安全治理
面向全網的端到端安全治理體系,能對5G網絡的持續、高安全運行提供保障。受益于5G網絡全業務運營、廣覆蓋的優勢,5G 網絡能夠為垂直行業網絡安全提供端到端的信任機制,使得為行業用戶建立更加便利的專用的網絡切片成為可能,有利于 5G 行業應用網絡的大規模快速部署。
面向未來的安全演進
不同于 IT 系統的短生命周期的特點,OT 技術的使用壽命往往是 IT 系統的 10 倍以上,其控制系統及補丁也有很低的更新頻率。5G作為智能化的網絡平臺,具備面向未來的多種接入方式融合與演進能力,例如:特殊場景下的衛星接入手段、向 6G 及后續網絡的平滑演進能力等。這種安全演進能力,對于垂直行業長期保持業務連續性具有重要的意義。
隨著技術的發展,5G 網絡會不斷平滑引入各種新技術、新安全能力以進一步加固網絡安全,對垂直行業業務不會造成影響和中斷。同時,5G 網絡還可以利用自己的核心位置,集中收集、分析各種面向垂直行業的威脅情報,并在垂直行業用戶之間進行共享,提升安全事件響應速度。
邊緣定義安全
工控設備通常具有高度定制化、資源有限、難以升級維護、長壽命、抗攻擊能力差等特點,必須依賴各種外部防御手段從多個層次為設備資產提供深度的防御能力。另外,由于安全邊界收縮到設備側,安全控制需要從網絡邊緣開始加固,進行近源控制與防御,減小資產攻擊面。5G 為垂直行業帶來了新的能力平臺,通過結合行業應用的特點(例如權屬關系與管理關系的相對統一、相對固定的覆蓋范圍等),5G 能夠從可控性、可視性等角度,采用多種新技術、新手段,基于邊緣從多個層次對企業網絡進行定制化加固。
圖 2 5G 邊緣定義安全
安全可視性加固
威脅往往來自看不見的領域,獲取完整的 OT 資產列表并進行長期的持續監控,是安全的基礎。5G 網絡結合 IoT(物聯網 Internet of Things)設備管理平臺,可以對企業用戶、設備等不同類型終端,提供高效與精準的資產發現與管理能力,支持對設備連網接入、狀態、流量及策略進行精細化的、實時性的管控,并從網絡視角為企業自動構建完整的安全視圖。5G 網絡不僅可對行業協議數據進行整型與規范化處理;還可將流量交給 APT 智能檢測模塊進行更加深入的分析與監控。
信息透明是信任的基礎,作為 5G 網絡的擁有者,運營商需要提供網絡服務與安全能力 SLA 的可視化,使得垂直行業用戶可以動態實時地對網絡風險進行評估,及時預測、發現并處置網絡安全事件。
安全可控性加固
5G 行業應用網絡可以基于網絡切片,從站址資源、無線頻譜、覆蓋范圍、網絡接口、接入認證等方面,對網絡的物理邊界進行多維度的定制與約束,通過多種接入方式滿足網絡覆蓋需求。同時,可進一步結合邊緣計算提供的定位能力,對終端的位置邊界進行約束與管控。
5G 網絡支持面向機器的連接。機器的行為模式相對簡單,流量模型可預測,同時由于網絡切片的使用,隔離了各種不同業務特征的網絡流量,因此,通過快速的學習和訓練,AI 技術可以更加準確地對垂直行業的流量與行為異常進行檢測、回溯與根因分析,為垂直行業用戶提供實用的安全分析與告警,抵御各類 APT 攻擊。
網絡、流量與行為以及終端層面的安全防御,最終是為了完成對于核心業務的保護,而針對業務層以及用戶身份的攻擊,是最直接和快速的手段。由于管理與維護的疏忽、不可避免的系統漏洞,都會對系統造成重大的安全風險威脅。因此,管理上的可控性尤其顯得重要,需要從環境、硬件架構、操作系統等層面基于特殊設計或者密碼學方法進行加固。
靈活的5G安全架構
多層次的隔離能力
5G 網絡切片借助于網絡虛擬化技術,在 5G 基礎設施上細分出功能完整的邏輯網絡,為垂直行業用戶提供專用的、安全的、差異化的網絡服務。
區別于傳統物理專網的私有性與封閉性,5G 網絡切片建立在開放環境下的虛擬化專用網絡,為行業用戶提供端到端的安全隔離機制和定制化的安全服務機制。5G 網絡切片安全涵蓋無線側、承載側和核心網側,除了提供傳統移動網絡安全機制(例如接入認證、接入層和非接入層信令安全、數據的加密和完整性保護等),還需要提供網絡切片之間端到端安全隔離機制,并根據用戶需要提供定制化的安全服務。
將切片技術應用于垂直行業,每個切片承載著特定的行業應用,彼此相互隔離,可在網絡層面實現精細化管理。首先通過細分基礎網絡,構建不同粒度的切片域,顯著縮小被保護目標的攻擊面;其次能夠按照切片實施更細粒度、更嚴格的安全策略和更有針對性的管理手段,按需提供不同等級的安全服務;最后切片之間采用嚴格的隔離措施,一方面能夠防范威脅向其他切片擴散,控制威脅的影響范圍,另一方面也能夠控制故障和異常的影響范圍。
圖 3 5G 網絡切片端到端安全隔離模型
豐富的安全開放能力
為更好地支持多樣化行業應用場景,應對各種行業應用對網絡服務的差異化需求,5G 網絡引入了網絡能力開放機制,使得垂直行業能夠以便捷與低成本的方式獲得更加貼合自身需求的網絡服務。
網絡功能虛擬化、服務化是實現網絡能力開放的前提。安全功能作為主要網絡功能,需要借鑒網絡功能虛擬化和服務化的思想,構建服務化安全功能。通過對傳統安全功能的虛擬化,可設計出滿足不同安全需求的虛擬安全功能單元,例如防火墻、接入認證、IPSec(網際協議安全 Internet Protocol Security)、SSL(安全套接層協議 Security SocketLayer) VPN(虛擬專用網絡 Virtual Private Network)、入侵檢測、病毒檢測等。各虛擬安全功能單元通過按需調用不同基礎安全服務功能集來滿足安全功能可重構、可裁剪的要求,實現安全功能服務化。
在切片編排部署過程中,能力開放引擎結合應用的安全需求調用安全功能,使安全資源、網絡資源、數據資源在網絡切片中獨立提供,從而達到不低于傳統專網的安全保障和用戶體驗。
圖 4 安全服務虛擬化體系架構示意圖
基于開放的安全能力,行業用戶可以針對性地對切片內的網絡安全功能按需重構,使其更好地貼合網絡切片的業務特性。例如服務于車聯網(Vehicle to Everything:V2X)的低時延網絡切片,需要在網絡邊緣節點實例化一些必要的網絡功能,并選擇適應低時延要求的認證方法、加密算法和密鑰長度,以便在時延約束下提供相應的安全防護;對于服務于物聯網的網絡切片,可配置基本的控制面接入認證功能、虛擬物聯網網關以及安全態勢感知系統。
多元化的邊緣計算安全
多接入邊緣計算技術(MEC)是使能 5G 業務多元化的核心技術之一。MEC 將服務能力和應用推進到網絡邊緣,部署位置更接近用戶,從而減少對傳輸網的帶寬壓力,大幅降低網絡時延,可滿足車聯網、工業互聯網等低時延業務的需求。
5G 網絡通過用戶面功能(User Plane Function:UPF)下沉部署、靈活分流等功能,實現對 MEC 的支持。MEC 平臺需要承載部分網絡功能和垂直行業應用,如下圖所示:
圖 5 位于邊緣網絡的 MEC 平臺
由于部署的物理位置、網絡邊界和承載主體等方面的特殊性,使得行業客戶在使用 MEC 提供的服務時,特別關注行業數據資產的安全:
? 行業應用和網絡功能共平臺部署時,網絡邊界模糊,如果缺乏信任、隔離等機制,容易滋生平臺內部威脅(虛擬機逃逸、鏡像篡改、數據竊取等),增大了行業敏感數據資產泄露風險;
? 為了提升業務體驗,縮短業務時延,通常使用用戶面傳輸功能下沉、行業服務接近用戶部署、安全機制輕量化等措施,可能導致資產數據在傳輸時面臨被竊取或被篡改的風險。
對此,需要從平臺層、網絡層和業務管理層等多個方面對 MEC 進行安全加固,確保行業數據資產傳輸、處理、存儲過程中的安全。
MEC 是一個多元系統,承載了移動通信網絡功能、網絡能力開放服務以及行業應用等多個系統,需要構建有效的信任關系,為多系統的安全共存提供信任基礎。除了建立用戶、行業應用及能力開放服務(如定位服務)之間的信任關系,還需要考慮構建移動終端、網絡切片與 MEC 平臺之間的信任。
MEC 平臺安全通過引入可信計算技術,從系統啟動到上層應用,逐級驗證,構建可信的 MEC 平臺。平臺內部也需要劃分不同的功能域,如管理域、核心網域、基礎服務域、第三方應用域等,加強域間隔離和訪問控制。根據需要,可進一步部署入侵檢測技術、異常流量分析、反 APT 技術等,對惡意軟件、惡意攻擊等行為進行檢測,防止威脅橫向擴展。
MEC 節點位于網絡邊緣,處于運營商控制較弱的開放網絡環境中,數據竊取、泄露的風險相對較高。為確保 MEC 上運行和存儲的行業客戶數據資產安全,需要對使用 MEC 的各方的行為執行認證、授權、審計,對數據資產的所有權、使用權和運維權進行分權分域管理。在 MEC 部署及業務運行過程中,必須對 MEC 應用可能涉及的數據進行識別,包括用戶標識、接入位置等,對安全要求高的數據需要采用加密方式存儲;對行業高價值資產數據,應使用 IPSec/TLS(傳輸層安全Transport Layer Security) 等安全傳輸方式,避免傳輸過程中數據泄露或被篡改。對數據處理、分析和使用,需要服從當地數據隱私法律法規,結合數據操作對象的認證、授權等方式規范數據處理,并對操作過程進行記錄;如果涉及數據隱私,在使用之前需要對數據進行脫敏處理。
端到端的數據安全保護
用戶數據在傳輸過程中存在被竊聽、篡改、泄露等安全威脅。為降低 5G 行業應用中數據安全風險,5G 提供了更強壯的數據安全保護方法。
在機密性保護的密碼算法方面,5G 延用了 4G 所采用的 AES(高級加密標準 Advanced Encryption Standard)、SNOW3G(3GPP 流密碼算法)、ZUC(祖沖之密碼算法)等算法,這些算法采用 128 位密鑰長度,被業界證明是安全的。同時,為應對將來量子計算可能對對稱秘鑰體系的影響,考慮采用更長的安全秘鑰及更強的安全保護算法。為保護數據在網絡間傳輸,5G 新增了安全邊緣保護代理功能(Security Edge Protection Proxies:SEPP)。SEPP 在運營商之間建立 TLS 安全傳輸通道,對需要保護的信息進行機密性和完整性保護,有效防止數據在網間傳輸時被篡改或竊聽。
隨著科技的發展,偽基站對移動網絡的危害越來越大,攻擊者可誘導行業用戶接入到偽基站以非法獲取用戶數據信息。5G將對基站廣播或者單播消息進行安全保護,行業用戶在驗證消息合法后再接入,避免接入到非法的偽基站造成數據泄露。
此外,5G 針對行業應用中的數據產生、處理、使用等環節提供了完整的安全保護。在數據產生和處理過程中,可根據數據的敏感度進行分類,建立不同安全域間的加密傳輸鏈路;根據不同的安全級別采用差異化的數據安全技術;對數據使用方進行授權和驗證,保證數據使用的目的和范圍符合安全策略;并對重要業務數據的使用進行審計,最終為行業用戶提供數據的機密性和完整性保護。
先進的數據隱私保護
5G 提供了保證數據機密性、完整性和可用性的相關防護技術并對數據全生命周期實施安全保護。數據隱私保護在此基礎上,進一步防止個人隱私信息、重要敏感數據泄露。
在隱私保護技術上除了采用業界廣泛使用的數據脫敏技術之外,中興通訊首次將動態數據脫敏等功能應用到數據隱私保護中,可同時進行動態脫敏和數據過濾,解決了實時處理場景下的隱私保護難題。
圖 6 多種技術全面保護數據隱私
中興通訊提出了一種基于大數據引擎原生代碼的數據脫敏架構,可以在不改變用戶請求邏輯及數據原始值的前提下,利用數據庫引擎自身的分布式處理能力,實現數據脫敏高性能處理。處理過程對用戶完全透明,用戶不感知數據保護過程,可實現無縫透明地敏感數據保護。
匿名化算法是目前數據安全領域的研究熱點之一,中興通訊提出了全新的基于 Spark 引擎的數據匿名化框架,使用Spark 分布式并行計算框架,重點考慮算法的并行性,同時支持 K- 匿名化(K-anonymity),L- 多樣性(L-diversity)、T– 近鄰 (T-closeness),支持單表億條記錄匿名化處理,適用于處理各類數據,算法通用性高,保證發布數據的真實性,有效防止鏈接攻擊,實現對各種數據的高效匿名化處理。
面向5G行業的 新型防御技術
除了傳統安全防護手段,5G 行業應用還需要研究和引入新型網絡防御技術,不斷從多個維度增強網絡安全能力,為 5G 行業應用的健康和持續發展提供多重保障。
智能化的高級持續性威脅防御
在眾多威脅形式中,破壞性較大的要數高級持續性威脅 APT。自 2010 年極光、震網攻擊發生以來,針對重要基礎設施攻擊事件層出不窮,也是 5G 行業應用中面臨的最大挑戰。在 2019 年 12 月 1 日將正式實施的網絡安全等級保護 2.0 標準中,抗 APT 攻擊技術被列為確保行業網絡安全的必備測評項。
為應對 APT 攻擊對 5G 網絡乃至其相關行業用戶所帶來的安全威脅,中興通訊提出基于態勢感知理念的高級威脅防御方案,使 5G 及其行業應用網絡具備高級威脅防御能力。APT 攻擊旨在干擾基礎設施運行及破壞其敏感信息,其攻擊鏈分為偵查探測、滲透利用、命令控制、橫向移動、數據泄露破壞等幾個過程。中興通訊的高級威脅防御方案,圍繞 APT 攻擊過程,基于行為檢測原理,從惡意軟件和異常流量兩個角度出發,提供全面、智能化檢測機制,并將人工智能技術運用于威脅檢測及事件關聯分析,提升威脅檢測準確率,預測威脅態勢。
精細化的微分段技術
傳統網絡防御手段遵循邊界防御的思路,將防御重點放在網絡邊界上,以阻止網絡攻擊進入內網。隨著網絡攻擊技術的發展,網絡已經找不到清晰的邊界,惡意軟件通過各種渠道進入內網,在內網通過主機到主機直接傳播,迅速擴散。由于內網流量控制手段有限,即使能發現入侵,到有效控制也需要一個漫長的過程(如封端口、打補丁、升級病毒庫等)。
中興通訊提出的微分段技術,實現了更精細化的流量可視、威脅分析、安全管控及自動響應,保證了主機之間、虛擬機之間甚至進程之間的流量得到嚴密管控。在 5G 行業應用中,微分段以純軟件方式部署在云計算平臺上,作為安全管理系統的組成部分,為流量精細化管控和流量可視化等功能提供支持。安全管理系統根據每個應用層功能的業務特性和管控要求形成精細化的安全策略,下發給底層的安全模塊,由安全模塊實施這些安全策略。同時,安全模塊根據需要采集流量日志,提交給安全管理系統,供安全管理系統進一步進行異常流量分析與診斷等操作。
動態化的主動防御
針對傳統網絡安全被動防御、易攻難守的局面,學術界提出了動態主動防御的思想,通過技術手段對被保護目標的攻擊面實施持續性的動態變換,迷惑攻擊者,從而增加攻擊者實施攻擊的難度和代價,降低其攻擊成功的概率,提高系統彈性和安全性。
基于動態主動防御的思想,中興通訊分別提出了動態網絡防御方案和多版本編譯方案,前者應用于網絡層,動態變換被防護目標的網絡參數,后者應用于終端和服務器的軟件系統,部署異構主機系統,從而構建從主機到網絡的端到端的動態防御體系。
動態網絡防御方案
動態網絡防御方案將動態主動防御思想應用于 IP 網絡,重點保護行業用戶的業務服務器。動態網絡防御方案通過改變網絡的通信參數,使得被防護目標的攻擊面不斷隨機變化,讓攻擊者難以識別目標節點或服務入口,無法有效偵測網絡拓撲信息和主機信息,從而阻止網絡攻擊行為的發生。
多版本編譯方案
多版本編譯采用安全的動態編譯技術,對同源的軟件進行動態編譯,改變攻擊過程所依賴的系統規律,生成具有隨機、多樣性特征的版本,使可能的攻擊路徑呈現出很強的動態性、異構性、隨機性等不確定性特點,使攻擊者難以觀察和作出預測,增大了構建基于漏洞和后門等的攻擊鏈難度與代價,從而在無需增加防御流程的前提下實現系統主動防御功能。
行業應用安全治理與評估
5G 網絡與垂直行業的融合,在打破 5G 網絡基礎設施的天然隔離屏障的同時,也使得行業客戶在使用 5G 網絡時增加了風險。5G 網絡一方面需要面向產業互聯網,重構安全治理體系、評估體系和運維體系,為行業用戶提供持續、可信、安全的網絡服務;另一方面,為了建立多條安全防線,還需要將行業客戶引入到 5G 網絡的治理工作中來,為客戶提供深層次治理能力。
5G 設備供應商是 5G 供應鏈重要的組成部分,其安全治理水平決定了 5G 網絡的安全基礎。中興通訊作為領先的 5G 綜合解決方案提供商,深刻理解消費者、客戶、政府及相關組織對網絡安全方面的關切與重視,構筑了一流的安全治理體系,從多角度保障產品及服務的安全性,實現產品和服務端到端的安全交付,為客戶提供端到端產品和服務的安全保障。同時,中興通訊秉承透明、開放、信任、合作的理念,堅持實行持續的、全面的安全審計,采用了面向產品全生命周期的數據保護方法,并與全球知名第三方安全評測與認證機構合作,對產品與服務的安全性進行獨立測試與評估。中興通訊已在國內及海外多地籌建安全實驗室,客戶與獨立評測機構可對中興通訊提供的 5G 產品進行更加透明的檢視與審查,以進一步提升對中興通訊 5G 產品與服務安全性的信心。
隨著 IT 與 OT 的融合,OT 安全成為垂直行業安全的核心。不同于 IT 領域,OT 領域有自己的運營模式與行業特征,對于 OT 資產的安全防御,從供應鏈安全到系統安全設計、安全運營以及事件響應,都需要針對性的治理措施。隨著網絡安全等級保護進入2.0時代,傳統網絡安全、移動互聯、物聯網、工業控制、云計算、大數據等在內所有的新技術都將納入監管,因此需要運用并發展新的安全模型和安全方法論來支撐構建更加完善的垂直行業安全治理體系。
未來及展望
隨著 5G 商業化進程加速,5G 網絡和垂直行業深度結合,新型業務場景不斷涌現,新技術大規模使用,將對網絡與信息安全提出更多新的挑戰。中興通訊將繼續以安全、合規為基石,不斷完善產品安全治理體系,加強安全技術和方法的研究,強化產品安全競爭力。同時,中興通訊將持續與行業客戶、合作伙伴、政府、運營商、標準組織開展更加緊密的合作,推動端到端的行業安全實踐,驅動安全能力不斷創新,從容應對未來的安全挑戰,持續地提供安全可信的產品和服務,以滿足新技術、新應用、新模式的安全保障需求。
縮略語
參考文獻
[1] 3GPP TS 33.501. Security Architecture and Procedures for 5G System[S], 3GPP.
[2] 5G-ENSURE_D2.7 Security Architecture[R], 5GPPP.
[3] ETSI GS MEC-002. MEC Technical Requirements[S], ETSI.
[4] IMT-2020 5G Network Security Requirement & Architecture[R], IMT-2020.
[5] GTI 5G Network Security Consideration[R], GTI
[6] ZHAO Fuchuan, WEN Jianzhong. Slicing Packet Network Infrastructure and KeyTechnologies for 5G Mobile Backaul[J], ZTE TECHNOLOGY,2018.8.
[7] Recommendation ITU-T X.rdmase: Requirements and Guidelines for DynamicMalware Analysis in a Sandbox Environment[R], ITU-T.
[8] 陸平 , 李建華 , 趙維鐸 . 5G 在垂直行業中的應用 [J]. 中興通訊技術 , 25(1):67-74. DOI:10.12142/ZTETJ.20190111
[9] 5G 信息安全白皮書 [R]. 未來移動通信論壇 , 2017