基于5G的垂直行業安全新特征與對策

湯凱

摘要：分析了5G的新技術給網絡安全性帶來的新挑戰。針對傳統安全產品和技術，提出了優化與增強的要求。同時還從環境、業務、資產和運營4個角度，總結了垂直行業應用的各種新特征，并分析了這些特征給安全性帶來的挑戰與影響，同時提出了一些針對性的緩解措施。

關鍵詞：5G;垂直行業;安全;物聯網;網絡切片;移動邊緣計算;運營技術

Abstract： The new challenges brought by the new technologies of 5G on network security are analyzed， and the optimization and enhancement requirements for traditional security products and technologies are proposed in this paper. Various new application characteristics of vertical industry applications are extracted from four perspectives of environment， service， assets and operations. The challenges and effects of these characteristics on security are analyzed， and some targeted mitigation measures are put forward.

Key words： 5G; vertical industries; security; internet of things; network slice; mobile edge computing; operation technology

1 安全是產業互聯網的基石

如果說在消費互聯網時代，“控制住了網絡就控制住了世界”只是一句口號的話，那么在5G時代，這句話即將變成現實。隨著越來越多的設備、基礎設施、行業應用與數字化資產承載于5G網絡之上，網絡安全逐步上升為事關國家和社會穩定發展的重大命題。

根據越來越頻繁的安全事件可以看出，針對物聯網、電網、交通基礎設施等非傳統價值目標的攻擊比例越來越高，攻擊的門檻越來越低，手段也越來越豐富。隨著5G網絡大規模部署，無論是從黑色產業鏈角度，還是出于其他政治、軍事、經濟、社會等目的，5G所連接的重要基礎設施，對攻擊者的吸引力都會與日俱增。未來20年，通過網絡對各類基礎設施進行破壞、劫持、勒索的網絡恐怖主義將會成為各國政府、各行業監管機構、基礎設施提供者、企業運營者以及廣大公眾需要經常直面的問題。全社會需要從政策、法規、組織、技術等各個層面提前做出應對，設立多條安全防線，構建完善的網絡空間安全治理框架，為未來產業互聯網的可持續發展提供穩定的基石。

2 傳統威脅疊加新挑戰

在5G階段，大量現有的方法論、信息技術（IT）將會繼續在垂直行業中使用，傳統上用于攻擊的漏洞、工具與手段都能夠直接作用于垂直行業應用并產生威脅。由于被攻擊的目標往往還會連接物理世界的人、資產和關鍵基礎設施，會使得風險后果更為嚴重，處置起來也更為復雜。由于垂直行業應用往往會具有多種不同的特征，相互之間關聯交織，從而導致威脅與攻擊顯得更加隱蔽和復雜。5G面向網絡架構的定制化，引入了軟件定義網絡（SDN）/網絡功能虛擬化（NFV）等，這種基礎設施層面的靈活性與動態性也進一步加劇了安全挑戰。因此，總體上基于5G的垂直行業應用安全呈現出攻擊面擴大化、攻擊方式泛在化、安全邊界模糊等趨勢。

傳統的安全機制與防御產品、服務與技術，例如認證/加密算法、密鑰管理系統、防火墻、入侵檢測系統（IDS）/入侵防御系統（IPS）、各種面向主機以及云基礎設施的漏洞管理以及安全加固手段，需要針對性地進行優化、增強，以適應5G時代垂直行業應用的新特征。必要時，還需要引進一些特殊的安全技術，來填補傳統安全盲點。

3 新特征下的安全對策

區別于傳統的消費互聯網的商業模式與業務架構的單一性，產業互聯網由于面向場景的多元化，具備了很多獨特的新特征。我們對這些新特征進行了如下的更細維度的系統化歸納與分類。每一類新特征，都可能會對垂直行業應用安全帶來消極影響。

·加：增加新的威脅與風險

·減：降低安全架構可選擇性

·乘：疊加、放大傳統的威脅與風險

·除：影響安全架構實施效果

另外，還有一些新特征會對垂直行業應用安全帶來積極影響。通過降低成本與復雜性，提升可定制性，這些特征可以從相反的方向對消極特征帶來的影響起到一定的抵消作用。以上各種影響都需要在制定垂直行業安全解決方案時，基于威脅模型進行統籌分析，以被保護的垂直行業資產為中心，依據威脅的重要性以及風險后果進行技術方案的權衡與定制。

按照對應的能力層次，本文中，我們將各種垂直行業應用新特征劃分為4種類型：環境型特征、業務型特征、資產型特征以及運營型特征。

3.1 環境型特征

（1）低功耗：大規模物聯網（IoT）的要求。

很多負責傳感、環境監測控制的設備，需要運行在無法進行持續外部供電的環境當中。由于體積或成本等因素的限制，這些設備自身很難儲備太大的電能，需要設法降低功耗，以獲得更長的工作時間。目前，產業界對于此類設備連續工作時間的初步共識是10 Y左右。設備的功耗來自于各個方面，優化也需要針對不同的組件分別展開，例如使用更高集成度的處理硬件、輕量級的操作系統與協議，采用窄帶物聯網（NB-IoT）、遠距離無線（LoRa）等低功耗廣域網（LPWAN）技術。從安全角度看，在此類終端中加載復雜的安全邏輯是比較困難的，因此需要考慮使用其他的輔助手段來提供增強型保護，例如在匯聚/網關設備上加載安全邏輯，對來往終端的行為與流量進行監測控制、分析與過濾;使用具有高度網絡隔離性的接入措施等。通過對認證協議進行優化，盡量減少網絡交互的次數。對于必須使用加密的場景，需要在安全性與功耗之間進行適當的權衡，選用合適的加密算法，并根據業務特點對其進行輕量化改造，例如減少密鑰長度、降低加密計算輪次、減少密鑰更新次數等。