5G网络安全运营思考与实践.pdf

1、第38次全国计算机安全学术交流会中国移动研究院 粟栗目 录3 32 21 15G网络的安全设计5GC运营安全风险思考集中监测+内生防护5G5G作为关键信息基础设施，安全成为关键因素作为关键信息基础设施，安全成为关键因素3G跟随 4G并跑 5G领先 中国5G已引领世界，安全成为关键因素航运港口政务新闻空中物流工业园区医院工厂5G网络，因“国家安全”而被限制5G应用，因深度融合而更需要安全美国白宫2020年3月欧盟委员会2020年1月以安全为借口，限制中国企业发展网络与业务深度融合，5G安全影响国计民生重要行业美国战略与国际研究中心2021年3月美国国安局2021年5月5G5G安全的目标：在非信任

2、环境中构建安全的网络安全的目标：在非信任环境中构建安全的网络5G引入通用硬件平台，网络IT化垂直行业引入大量新的实体5G安全技术与标准：5G安全是在非信任的前提下，构建安全的网络并提供服务。多样化的用户设备信任模型更加复杂5G5G安全的目标：在非信任环境中构建安全的网络安全的目标：在非信任环境中构建安全的网络5G网络除了面临传统的用户非法接入、互联网攻击等，还面临来自MEC非法访问、虚拟化漏洞备用等新风险传统安全风险接入安全：非法接入、恶意流量信令安全：信令风暴、信令篡改管理安全：非法登录、弱口令外部攻击：互联网DDoS、网间攻击等远程篡改恶意访问隐私泄漏新增安全风险MEC安全：边缘非法访问核

3、心网租户切片安全：非授权访问其它切片虚拟化安全：虚拟化软件漏洞被利用、虚拟机逃逸等+相比相比4G4G，5G5G网络进行了更安全的设计网络进行了更安全的设计5G网络安全在数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强SEPP安全网关TLS加密传输更全面的更丰富的更严密的更灵活的数据安全保护AES、SNOW 3G、ZUC信令数据、用户数据完整性保护认证机制支持5G-AKA：抗内外部攻击EAP-AKA：兼容垂直行业用户隐私保护网间信息保护SUPI：不传递SUCI：由SUPI加密生成4个“更”使5G具备一定的抵御非信任环境下安全风险的能力相比相比4G4G，5G5G网络进行了更安全的设计

4、网络进行了更安全的设计3GPP定义了网络设备安全保障的方法论（SECAM），方法论中明确：1.由GSMA制定网络设备安全保障的体系框架、安全审计以及测试实验室资质相关的标准，即NESAS（Network Equipment Security Assurance Scheme）。2.由3GPP制定网络设备保障中安全测试的相关标准，即SCAS(SeCurity Assurance Specification)。从端到端安全要求、安全评测、应用安全三方面构建5G安全标准体系，指导5G网络安全建设目 录3 32 21 15GC运营安全风险思考集中监测+内生防护5G网络的安全设计设备：依据标准执行设备：

5、依据标准执行5G5G设备入网安全测评设备入网安全测评联合信通院、头部厂商构建5G安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力；通过网络建设前的设备测试，保障设备入网、设备组网安全性。设备级测试床信通院网络级测试床中国移动端到端安全测评工具一套；自主开发能力40余项；测试效率提升70%测评环境和测评工具：测评报告：新问题：在完成入网测试后，实际运行中的安全如何保障？测评体系：1个体系、5类方法、96项用例核心网：安全域划分保障分域安全核心网：安全域划分保障分域安全5G安全域进行了独立设计，通过安全域划分，有效防止运行阶段安全风险扩散。1传统互联网接入域：部署双层异构防

6、火墙、IPS等进行防护和检测（大隔离）2新增承载网接入域：部署防火墙、IPS进行防护和检测（大隔离）3安全子域：安全子域之间VLAN+交换机ACL（小隔离）4安全子域内部：无安全手段，存在网元VM间攻击风险核心网：内网安全风险仍然存在核心网：内网安全风险仍然存在在现有防护手段的基础上，5G网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用等风险漏洞利用：网元或虚拟层的漏洞被利用（）横向移动攻击：恶意VM通过业务面（）或管理面（）攻击其它VM关键文件篡改：恶意VM通过业务面篡改其它VM上的关键文件（）.目 录3 32 21 15G网络的安全设计5GC运营安全风险思考集中监测+内生防护集中监

7、测集中监测+内生防护解决内生防护解决5G5G内网安全风险内网安全风险根据IPDRR，对内网进行集中安全监测，协同内生防护手段，全面提升5G内网的安全能力精细化的安全监测和防护集中监测：集中监测：5G5G网络安全机器人（安宝）网络安全机器人（安宝）集中监测内网安全集中监测内网安全5G网络安全机器人（安宝）是面向5G网络及应用的安全检测工具，具有对网络设备自动化的安全检查、入侵告警、风险防范、渗透测试、攻击诱捕、自动学习演进等能力全5G专业网络覆盖，按需部署，集中管控；已在5G核心网、5G物联网、工业互联网等场景部署采用微服务应用架构具有高并发、高扩展、高容错、高性能等特性集中监测：集中监测：5G

8、5G网络安全机器人（安宝）网络安全机器人（安宝）集中监测内网安全集中监测内网安全安宝实现机器换人的SaaS安全监测服务，革新内网安全服务模式机器换人SAAS安宝自研建立面向5G的自有安全漏洞库17万条；创新链路层编码漏洞高速扫描技术，扫描效率提升60倍；年节约人工成本约500万。内生防护：微隔离内生防护：微隔离+，解决安全监测盲点，解决安全监测盲点基于内生安全理念，设计基于内生的微隔离+方案为资源池内的虚拟机/容器、进程、文件进行访问控制，并结合OMC分析能力，感知安全攻击，以“自身防护+安全监控”方式，防止横向移动攻击，实现东西向流量隔离、可视，攻击可感知l基于内生的微隔离+，实现网元微隔离

9、、攻击感知能力；l能力可独立部署，也可一体部署l微隔离实现VM/容器隔离，内网流量可视l攻击感知实现攻击可检测非法流量进不来安全攻击可感知微隔离+系统架构内生防护：内生防护：微隔离微隔离+，解决安全监测盲点：构建，解决安全监测盲点：构建5G5G网络第三层隔离网络第三层隔离根据安全域划分，资源池外部边界、内部安全子域之间，以专用安全设备能力为基础，构建大隔离、小隔离；资源池内安全子域内部，基于内生安全理念，以网元为单位，部署微隔离+，构建5G网络第三层隔离大隔离、小隔离无法解决安全子域内的VNF间相互攻击网元内建微隔离、攻击感知插件，隔离异常流量、检测网元攻击内生防护：微隔离内生防护：微隔离+，

10、解决安全监测盲点：防护，解决安全监测盲点：防护内网横向移动攻击内网横向移动攻击微隔离+包含微隔离和攻击感知两个内生的安全能力，防止横向移动攻击，有效解决“一点击破，全网沦陷”风险主要功能微隔离能力防护内网东西向异常流量攻击感知能力防护网元自身攻击ii引领微隔离+标准，已完成CCSA行标及企业标准GSMA，ITU标准推进中标准推进未来：以未来：以SaaSSaaS方式输出方式输出5G5G网络安全能力网络安全能力5G专网以及边缘计算业务的发展，为5G网络安全能力的输出提供了机会在梳理现网已有安全能力的基础上，通过基础安全+增强安全能力的方式，构建标准化、运营商级的灵活的安全服务能力THANKS!谢谢