防不勝防也要防

當前，全球新一輪科技革命和產業變革加速發展，5G作為新一代信息通信技術演進升級的重要方向，是實現萬物互聯的關鍵信息基礎設施、經濟社會數字化轉型的重要驅動力量。但是，隨之而來的網絡信息安全風險挑戰也日益嚴峻。一方面，信息安全事件頻發。《中國互聯網絡發展狀況統計報告》顯示，截至2020年3月，我國有43.6%的網民在過去半年上網過程中遇到過網絡安全問題，其中遭遇個人信息泄露問題占比最高達23.3%。另一方面，境外安全攻擊日益猖獗。據國家計算機網絡應急技術處理協調中心發布的報告顯示，去年DDoS攻擊高發頻發且攻擊組織性與目的性更加凸顯，僅某黑客組織對我國300余家政府網站就發起1000多次攻擊，APT攻擊在重大活動和敏感時期更加猖獗。毫無疑問，如何堅守5G時代漏洞防護區，已經成為一個迫切的話題。

安全，是亙古不變的話題

我們知道，5G生態系統由各方參與者共同組成，包括移動運營商、云提供商、托管安全服務提供商、企業和技術合作伙伴，通過競爭與合作提供服務。這樣的鏈條下，安全自然是亙古不變的話題。

我們常說，雖然移動網絡運營商的首要任務是提供5G網絡基礎設施的核心要素，但要實現真正的數字化轉型，則需要與5G用例價值鏈中的所有行業利益相關方建立合作關系。在將5G用例的愿景變為現實的過程中，商業和任務關鍵型行業的主要參與者、監管機構，以及國家和地方政府的決策者都將發揮各自的作用。

別忘了，在5G承諾的背后，我們的行業參與者也需時刻保持警惕。5G的采用讓整個服務提供商生態系統面臨更大的網絡攻擊風險。隨著消費者和企業越來越依賴數字化服務，在采用5G之前就需要考慮安全問題。畢竟，5G網絡更依賴于云和邊緣計算，從而創建了跨多提供商和多云基礎設施的高度分布式環境。

與此同時，軟件由于開發及設計等各方面的原因，存在漏洞在所難免。對安全研究人員來說，通過對漏洞發展 趨勢的研究，可以在攻擊者利用漏洞造成危害之前，提出及時有效的修補方案，盡可能的減少攻擊事件的發生。對軟件開發商來說，通過對漏洞的研究，可以幫助開發人員把更多的精力放在安全開發過程中需要注意的關鍵技術上，開發出高質量的軟件。

更為重要的是，隨著企業的數字化轉型，來自云端的威脅與攻擊正持續升級。在影視及傳媒資訊、電商零售和政府機構等互聯網及近年來加速上云的信息密集型行業，有越來越多的敏感數據、關鍵業務暴露在互聯網中，被黑產團隊以惡意爬蟲、API攻擊等方式獲取，因信息泄露導致的詐騙案件數量呈爆發式增長。更為明顯的表現還在于，隨著5G、IPv6、人工智能和物聯網等新技術的發展與普及，業務安全問題更難識別與防御，為網絡安全防護帶來全新的挑戰。

如前文所說，隨著計算機網絡技術的發展，全球互聯網體量急速膨脹，網絡安全形勢日益嚴峻，國家政治、經濟、 文化、社會及公民在網絡空間的合法權益面臨嚴峻挑戰。近些年來安全漏洞數量呈現遞增趨勢，基于漏洞的網絡安全事件層出不窮，為我們敲響了信息安全攻防戰的警鐘。

5G環境下的安全漏洞思考

接上一章節的話題。世界很多國家都把5G作為經濟發展、技術創新的重點，將5G作為謀求競爭新優勢的戰略方向。根據全球移動供應商協會統計，截至2019年底，全球119個國家或地區的348家電信運營商開展了5G投資，其中，61家電信運營商已經推出5G商用服務。那么，在5G環境下的安全漏洞思考就變得尤其必要了。在此，5G網絡安全的話題主要分為兩類：

一類是如5G核心網、邊緣計算、人工智能推理引擎等新型基礎設施的自身漏洞，這部分漏洞如被利用，可能會造成整個系統出現災難性的后果;另一類是基于新型基礎設施之上的第三方應用的業務漏洞，如邊緣計算支撐的智能交通、智慧醫療應用的漏洞，而這類漏洞則會影響到具體應用的安全性，也可能會造成嚴重影響，關系到人身安全、生產安全、社會安定等。

實際上，虛擬化、云計算、云原生以及邊緣計算等這些創新的技術和應用都是發軔于開源。開源軟件具有開放、免費、功能靈活等特點，得到了越來越廣泛的應用，但是安全問題仍然普遍存在。公開的利用代碼在短時間內被集成到成熟的攻擊框架或木馬程序中，進一步降低了漏洞利用的門檻，而從漏洞公布到被攻擊者大規模利用的時間窗口也在進一步縮短，給安全廠商防護能力帶來了更大的挑戰。

除此之外，軟件及其系統中的漏洞也是導致信息安全問題的根源所在，如何減少安全漏洞已經成為了信息安全業內的熱門話題。

詳細來說，在目前許多網絡建設項目開發中，大部分都是先進行生產功能的實現，測試生產功能沒有問題后，直接上線或者再考慮一些邊界安全問題。這樣做，雖然可以通過對程序的輸入進行嚴格的校驗而避免攻擊的發生，但在程序內部中的一些邏輯問題及潛在的安全問題都沒有機會被發現，一旦被外部攻擊者或用戶有意或無意的觸發，造成非常明顯的安全影響。要避免這個情況，只有將安全作為軟件的固有功能和屬性從設計之初就加以考慮的話，可以部分避免安全漏洞的出現。

畢竟，漏洞數量呈現顯著增長的總體趨勢是不變的，而更出乎人們預料的是，十年以上高齡漏洞在攻擊事件中占比仍然高。

瀏覽器（尤其是移動端瀏覽器，比如手機里的瀏覽器APP）作為網絡攻擊的入口，漏洞種類復雜多樣;利用文件格式漏洞的魚叉式釣魚攻擊已成為網絡安全的主要威脅之一，此類漏洞利用穩定性高，在APT攻擊事件中屢見不鮮;Flash漏洞作為曾經的研究焦點，今后一段時間內，Flash漏洞并不會徹底消亡，還需繼續關注。

與此同時，隨著開源軟件開發模式的興起，針對軟件供應鏈的攻擊成為面向軟件開發人員和供應商的一種新興威脅;近些年來社會各界對移動應用的漏洞關注度逐漸提高;物聯網設備數量增長迅速，設備廠商應該重視并加強自身產品的安全。

物聯網也是重點關照區域

繼續接著上文的話題。目前，物聯網的爆炸式增長以及工作負載逐漸向云過渡加劇了這種復雜性。根據Gartner 2019年的一份報告，到2019年底，預計已有48億臺物聯網終端設備投入使用，比2018年增長了21.5%。物聯網為各行各業打開了創新和服務的大門，但同時也帶來了新的網絡安全風險。有報告顯示，物聯網設備的總體安全狀況正在下滑，企業容易受到針對物聯網的新型惡意軟件以及早已被IT團隊遺忘的老舊技術的攻擊。

攻擊者引進和更新攻擊工具，使用自動化、漏洞利用工具包和云技術來攻擊移動運營商的網絡基礎設施、應用和服務，以及運營商的客戶/最終用戶（消費者和企業）。風險和潛在傷害不僅與電信行業相關，而且與和電信行業緊密聯系并相互依存的所有行業相關，包括能源、金融、醫療、交通、IT、政府、制造和零售。隨著5G網絡規模的擴大，這種風險將呈指數級增長。

換句話說，盡管未來可能會涌現大量新服務，但高度互聯的環境將帶來更多新的安全漏洞和威脅載體。這將增加潛在入侵點的數量，并給服務提供商、企業和消費者帶來更大的安全風險。企業將尋求專注于安全設計的5G網絡，以便能夠放心地部署新的應用和物聯網服務，從而實現5G商業價值的最大化。盡管數字化轉型進展順利，解決安全問題仍迫在眉睫。

我們之前說過，5G網絡能夠大幅提高網絡容量和速度，讓更多設備能夠使用高速連接服務，實現前所未有的移動服務規模。但是，這也為攻擊創造了更多機會。此外，任何新出現的威脅都將對整個生態系統構成威脅，包括關鍵基礎設施或服務，例如通過5G連接的電力、制造、公用事業和其他行業部門。簡而言之，5G網絡上的應用和服務與網絡基礎設施本身一樣，其安全性都至關重要。

同時，在云化和SaaS化在多云環境下，將面臨多方面的風險。首先云化以后的云原生就會帶來大量第三方的代碼的風險，此外跨云的管理還會面臨錯誤配置錯誤的風險危險，為網絡攻擊者帶來攻擊便利。況且，隨著私有云、行業云的大量部署，如果云上的安全管理不到位，會造成大量的當大量云服務器被攻破后，將會變成免費的挖礦機器，成為挖礦病毒傳播的土壤。

因而，網絡安全態勢變得越來越復雜，數據泄露、APT攻擊、勒索病毒等事件愈演愈烈，國家政策日益完善并逐步落地，全行業用戶對網絡安全技術、產品、服務的需求也逐漸顯現。而新基建在5G等領域的落地，在帶動數字化經濟快速發展的同時，更凸顯了網絡安全的基礎性意義。為此，盯住云網安全也是處理好物聯網安全的一個關鍵節點。

后記

業內早有共識，網絡安全是新基建的重要內涵，也是數字經濟發展的重要基石。今年以來，國家層面屢次提及新基建，加快發展新基建已成為社會共識下，更需做好 5G、人工智能、工業互聯網、物聯網的安全防護工作。即使沒有今天這篇，我們之前在多篇關于5G互聯網環境下的安全問題討論中也都明確提到，“網絡發展突飛猛進，網絡安全形勢嚴峻”。況且，在新基建大潮下，亟需夯實網絡安全根基，筑牢網絡安全屏障，更是重中之重。