5G核心網(wǎng)安全措施探討

莊恒全

（中國電信股份有限公司 浙江分公司，浙江 杭州 310040）

0 引 言

5G核心網(wǎng)引入新的IT技術(shù)和架構(gòu)，行業(yè)對(duì)象眾多，業(yè)務(wù)系統(tǒng)復(fù)雜，安全邊界模糊化，威脅傳播更快、攻易防難。工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療等安全問題，更可能影響國計(jì)民生、社會(huì)秩序及人身安全，因此需要采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞、非法使用等意外事故，使網(wǎng)絡(luò)處于連續(xù)、可靠、正常地運(yùn)行狀態(tài)，并保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性以及可用性[1]。參照等保制度2.0標(biāo)準(zhǔn)第三級(jí)防護(hù)要求，高標(biāo)準(zhǔn)實(shí)施區(qū)域邊界、計(jì)算環(huán)境和通信網(wǎng)絡(luò)安全防護(hù)，并利用虛擬化資源及網(wǎng)元的容災(zāi)冗余機(jī)制，打造高可靠和高可用的5G核心網(wǎng)[2]。

1 夯實(shí)云網(wǎng)基礎(chǔ)，筑牢安全底座

5G核心網(wǎng)底座包括主機(jī)、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及容器等實(shí)現(xiàn)業(yè)務(wù)功能所必需的云網(wǎng)基礎(chǔ)設(shè)施。為滿足上級(jí)監(jiān)管和自身安全生產(chǎn)、安全管理的要求，5G核心網(wǎng)建設(shè)時(shí)需按照網(wǎng)絡(luò)安全法、等級(jí)保護(hù)制度、國家安全標(biāo)準(zhǔn)以及行業(yè)安全標(biāo)準(zhǔn)等要求同步規(guī)劃、建設(shè)、運(yùn)營網(wǎng)絡(luò)安全設(shè)施。5G網(wǎng)絡(luò)安全概覽如圖1所示。

圖1 5G網(wǎng)絡(luò)安全概覽

1.1 物理安全防護(hù)

基礎(chǔ)設(shè)施應(yīng)進(jìn)行物理隔離，具備獨(dú)立機(jī)房、門禁、機(jī)柜鎖以及攝像監(jiān)控等安全措施，并指定專人定期巡視。部署在用戶機(jī)房的邊緣UPF和MEC等設(shè)備應(yīng)參照自有機(jī)房設(shè)備進(jìn)行管理，在用戶機(jī)房劃定安全區(qū)域限制訪問，建設(shè)圍欄、安全門禁、機(jī)柜鎖等隔離設(shè)施。

1.2 網(wǎng)絡(luò)區(qū)域防護(hù)

5G核心網(wǎng)絡(luò)依據(jù)數(shù)據(jù)重要性和對(duì)外暴露程度綜合劃分為控制、轉(zhuǎn)發(fā)、管理以及存儲(chǔ)等安全域。控制域可以進(jìn)一步細(xì)分為可信數(shù)據(jù)區(qū)、可信業(yè)務(wù)控制區(qū)以及DMZ區(qū)。DCGW等數(shù)通設(shè)備配置應(yīng)滿足不同平面隔離的安全需求并通過VRF隔離不同類型的業(yè)務(wù)，由虛擬化技術(shù)實(shí)現(xiàn)虛擬機(jī)之間的邏輯隔離。

1.3 計(jì)算環(huán)境防護(hù)

全面收集網(wǎng)絡(luò)資產(chǎn)的基礎(chǔ)信息，動(dòng)態(tài)呈現(xiàn)網(wǎng)絡(luò)拓?fù)洌O(shè)定包括OpenStack在內(nèi)的5G核心網(wǎng)安全基線，落實(shí)基線配置規(guī)范與流程制度。虛擬化平臺(tái)需進(jìn)行安全加固，包括關(guān)閉不必要的端口和服務(wù)、刪除不必要的賬戶、更新補(bǔ)丁、嚴(yán)格限制管理接入以及開啟復(fù)雜密碼策略等，在上線前進(jìn)行安全風(fēng)險(xiǎn)評(píng)估并完成整改。常態(tài)化組織測(cè)評(píng)，定期使用基線配置核查工具對(duì)云平臺(tái)、5G核心網(wǎng)網(wǎng)元、服務(wù)器、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備等系統(tǒng)和設(shè)備開展基線核查與漏洞掃描，對(duì)不能使用工具核查的資產(chǎn)通過人工比對(duì)的方式進(jìn)行核查，及時(shí)發(fā)現(xiàn)和處置不合規(guī)項(xiàng)。

1.4 數(shù)據(jù)安全防護(hù)

重要數(shù)據(jù)需定期備份并保存在外部存儲(chǔ)介質(zhì)。設(shè)備不能存在暴露敏感數(shù)據(jù)的系統(tǒng)功能，包括系統(tǒng)指紋和敏感數(shù)據(jù)路徑等。日志和告警信息不存在密碼等敏感數(shù)據(jù)，存儲(chǔ)的敏感數(shù)據(jù)應(yīng)限制讀取權(quán)限，并進(jìn)行加擾、加密或Hash處理。

1.5 安全運(yùn)營管理

通過統(tǒng)一的電子化流程進(jìn)行全網(wǎng)運(yùn)維賬號(hào)和權(quán)限管理，定期審計(jì)人員變動(dòng)情況，清理無效賬號(hào)。規(guī)范設(shè)備接入，統(tǒng)一通過4A系統(tǒng)認(rèn)證登入，采集操作日志和安全事件信息，實(shí)現(xiàn)統(tǒng)一審計(jì)。系統(tǒng)設(shè)定嚴(yán)格密碼策略，定期審計(jì)用戶行為，及時(shí)發(fā)現(xiàn)和處置內(nèi)部運(yùn)維操作方面的異常行為。加強(qiáng)設(shè)備監(jiān)測(cè)與定期巡檢，規(guī)范設(shè)備升級(jí)與軟件管理，落實(shí)基礎(chǔ)防護(hù)要求。定期組織全網(wǎng)進(jìn)行安全隱患排查整治，主動(dòng)進(jìn)行風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分類、風(fēng)險(xiǎn)定級(jí)、風(fēng)險(xiǎn)傳遞以及風(fēng)險(xiǎn)清理等系列活動(dòng)，確保網(wǎng)絡(luò)安全。

2 構(gòu)建防護(hù)體系，強(qiáng)化風(fēng)險(xiǎn)防控

適應(yīng)5G新技術(shù)特點(diǎn)，將被動(dòng)防御向事先化、主動(dòng)化以及自動(dòng)化的目標(biāo)演進(jìn)，從合規(guī)標(biāo)準(zhǔn)體系、安全管理體系、安全技術(shù)、安全運(yùn)營體系4個(gè)方面構(gòu)建縱深防御、全網(wǎng)感知、多維檢測(cè)、集中管控、技管并重的新型高質(zhì)量5G安全防護(hù)體系[3]。安全防護(hù)體系如圖2所示。

圖2 安全防護(hù)體系

2.1 防火墻

需要分別針對(duì)5G核心網(wǎng)數(shù)據(jù)中心南北向、信令面東西向流量進(jìn)行防護(hù)和隔離，采用物理防火墻與虛擬防火墻等技術(shù)手段實(shí)現(xiàn)。在DC出口分別針對(duì)用戶面、信令與管理面部署專用防火墻，設(shè)置訪問控制策略，僅允許白名單內(nèi)的IP地址及對(duì)應(yīng)的端口、協(xié)議訪問。用戶面防火墻旁掛部署在5G核心網(wǎng)的CE，負(fù)責(zé)用戶面流量NAT地址轉(zhuǎn)換。信令與管理面防火墻旁掛部署在DCGW，負(fù)責(zé)網(wǎng)管和計(jì)費(fèi)等IT類流量的防護(hù)，并預(yù)留RAN、5GC/EPC信令面流量按需防護(hù)能力。

2.2 入侵防御系統(tǒng)

在DC出口處采用旁路或串接方式部署IPS對(duì)信令與管理面進(jìn)行入侵檢測(cè)和防護(hù)。系統(tǒng)應(yīng)具備攻擊快照功能，詳細(xì)記錄觸發(fā)告警的數(shù)據(jù)特征，以便開展進(jìn)一步的事件分析，實(shí)現(xiàn)攻擊取證能力。系統(tǒng)應(yīng)支持高可用部署方式，出現(xiàn)設(shè)備宕機(jī)和端口失效等故障時(shí)，完成主機(jī)與備機(jī)的即時(shí)切換，確保設(shè)備在關(guān)鍵時(shí)期的持續(xù)正常運(yùn)轉(zhuǎn)，此外應(yīng)具備對(duì)外接口，支持與其他安全運(yùn)營和分析平臺(tái)進(jìn)行對(duì)接。

2.3 病毒防護(hù)

應(yīng)配備5G核心網(wǎng)虛擬化網(wǎng)元防病毒軟件，查殺病毒、蠕蟲、木馬、后門、rootkit以及間諜軟件等惡意程序，支持實(shí)時(shí)、手動(dòng)、預(yù)設(shè)等掃描方式以及清除、刪除、隔離、告警、不予處理等處理措施，并支持對(duì)誤殺文件的恢復(fù)。此外，軟件應(yīng)與網(wǎng)元系統(tǒng)兼容，不能過高占用系統(tǒng)資源，影響業(yè)務(wù)正常運(yùn)行。

2.4 漏洞掃描系統(tǒng)

漏掃系統(tǒng)為5G核心網(wǎng)提供漏洞掃描和基線核查的能力，應(yīng)覆蓋所有5G核心網(wǎng)網(wǎng)元、MEC網(wǎng)元、網(wǎng)管系統(tǒng)以及NFVO管理與資源編排系統(tǒng)。網(wǎng)絡(luò)漏洞掃描設(shè)備負(fù)責(zé)對(duì)5G核心網(wǎng)網(wǎng)元的漏洞掃描，Web脆弱性掃描設(shè)備負(fù)責(zé)對(duì)路由可達(dá)的5G應(yīng)用系統(tǒng)和Web應(yīng)用的漏洞掃描。

通過分光和鏡像等方式采集5G網(wǎng)絡(luò)信令面與用戶面信息，并按照要求識(shí)別、解析、關(guān)聯(lián)合成、上報(bào)相應(yīng)的XDR等文件，以支撐上層應(yīng)用。基于統(tǒng)一DPI采集獲取5G核心網(wǎng)網(wǎng)絡(luò)流量，進(jìn)行惡意程序的檢測(cè)、識(shí)別、記錄以及捕獲還原，可進(jìn)行阻斷處置。基于大數(shù)據(jù)等技術(shù)對(duì)全流量進(jìn)行解析、分析與存儲(chǔ)，實(shí)現(xiàn)對(duì)信令面的全流量分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件線索，檢測(cè)病毒木馬和網(wǎng)絡(luò)攻擊等安全事件情況。通過全流量關(guān)聯(lián)和取證功能，實(shí)現(xiàn)多維度多角度的關(guān)聯(lián)分析。

在DC出口處采用旁路或串接方式部署，抵御OWASP Top 10等各類Web安全威脅和CC、TCP連接耗盡等應(yīng)用層拒絕服務(wù)攻擊，對(duì)信令面進(jìn)行應(yīng)用層安全檢測(cè)與防護(hù)。在5G核心網(wǎng)網(wǎng)絡(luò)上連ChinaNet骨干網(wǎng)的出口，通過采集與實(shí)時(shí)分析5G核心網(wǎng)網(wǎng)絡(luò)出口的XFlow數(shù)據(jù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常，實(shí)現(xiàn)對(duì)攻擊來源和攻擊目標(biāo)的準(zhǔn)確定位，做出告警并對(duì)異常流量的攻擊溯源取證[4]。

此外，在5G核心網(wǎng)網(wǎng)元的不同安全域內(nèi)部署偽裝代理，代理與蜜罐主控連接，配置相應(yīng)網(wǎng)段，通過誘使攻擊方對(duì)其實(shí)施攻擊，從而捕獲和分析攻擊行為[5]。了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓管理人員清晰地了解所面對(duì)的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力[6]。

3 提升運(yùn)營能力，打造高可用網(wǎng)絡(luò)

5G核心網(wǎng)各網(wǎng)元共享云底座，云底座故障會(huì)導(dǎo)致多網(wǎng)元故障甚至整個(gè)DC的網(wǎng)元故障，從傳統(tǒng)的單網(wǎng)元故障轉(zhuǎn)變?yōu)槎郪NF多節(jié)點(diǎn)故障，易于引發(fā)信令風(fēng)暴，故障風(fēng)險(xiǎn)和影響范圍倍增[7]。云化架構(gòu)部署的核心網(wǎng)設(shè)備，應(yīng)實(shí)現(xiàn)DC級(jí)備份，以防云基礎(chǔ)設(shè)施發(fā)生故障后影響單DC內(nèi)的全部上層應(yīng)用。應(yīng)結(jié)合實(shí)際情況和部署廠商，建立DC容災(zāi)容量的動(dòng)態(tài)評(píng)估機(jī)制，實(shí)時(shí)掌握DC業(yè)務(wù)量上限，制定場(chǎng)景化容災(zāi)方案，確保容災(zāi)可實(shí)施、可倒換，定期開展容災(zāi)演練。

3.1 資源冗余度保護(hù)

應(yīng)具備異局址雙DC組網(wǎng)，資源冗余度滿足DC級(jí)容災(zāi)需求。計(jì)算資源采用服務(wù)器集群，主機(jī)組內(nèi)負(fù)荷分擔(dān)。網(wǎng)絡(luò)資源采用雙平面、多接口、多鏈路以及多路由等冗余，存儲(chǔ)資源采用RAID技術(shù)和雙磁陣[8]。

3.2 設(shè)備可用性保護(hù)

設(shè)備應(yīng)具備過載保護(hù)機(jī)制，通過限制CPU、內(nèi)存以及磁盤等資源占用，在設(shè)備過載時(shí)保護(hù)設(shè)備正常運(yùn)行，保障設(shè)備不會(huì)宕機(jī)、重啟和無法操控。具備意外輸入的健壯性，能屏蔽或丟棄管理平臺(tái)錯(cuò)誤的輸入、畸形報(bào)文、分片錯(cuò)誤報(bào)文、重放報(bào)文、偽造源頭報(bào)文以及偽造廣播任播報(bào)文，按需實(shí)施網(wǎng)元、資源、管理系統(tǒng)的冗余要求，保障高可用性。

3.3 網(wǎng)絡(luò)可用性保護(hù)

5G核心網(wǎng)主要網(wǎng)元中，通常AMF和SMF/GW-C采用Pool組網(wǎng)，UPF/GW-U采用Pool組網(wǎng)（N4接口Full Mesh），NRF采用1+1雙活互備組網(wǎng)（HNRF疊加跨大區(qū)互備容災(zāi)），UDM和PCF等融合數(shù)據(jù)網(wǎng)元的BE節(jié)點(diǎn)通常采用1+1主備、FE節(jié)點(diǎn)采用N+1負(fù)荷分擔(dān)或N主1備方式組網(wǎng)。容量冗余度應(yīng)滿足DC級(jí)容災(zāi)需求[9]。

3.4 應(yīng)急處置能力

制定包括外部攻擊防御、信令風(fēng)暴防護(hù)、故障處置在內(nèi)的產(chǎn)品級(jí)、網(wǎng)絡(luò)級(jí)以及業(yè)務(wù)級(jí)應(yīng)急預(yù)案。基于實(shí)戰(zhàn)場(chǎng)景定期開展應(yīng)急演練，確保主流業(yè)務(wù)倒換可實(shí)施，同時(shí)強(qiáng)化維護(hù)人員安全意識(shí)和風(fēng)險(xiǎn)防控常態(tài)化管理機(jī)制。

3.5 數(shù)字化運(yùn)營能力

以M域、B域、O域數(shù)據(jù)為驅(qū)動(dòng)，整合資源、采控、編排等核心能力，構(gòu)建資產(chǎn)數(shù)字化、故障預(yù)警預(yù)測(cè)、風(fēng)險(xiǎn)操作管控、運(yùn)營智能決策以及業(yè)務(wù)一鍵恢復(fù)等應(yīng)用場(chǎng)景，提升5G運(yùn)營的自動(dòng)化和智能化水平，保障云網(wǎng)安全高效運(yùn)行[10]。

4 結(jié) 論

基礎(chǔ)設(shè)施云化、IT化已成為移動(dòng)通信網(wǎng)絡(luò)演進(jìn)的一種趨勢(shì)。5G核心網(wǎng)安全機(jī)制除了要滿足基本通信安全要求之外，還需要為不同業(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，并支持提供開放的網(wǎng)絡(luò)能力。圍繞垂直行業(yè)應(yīng)用帶來的新風(fēng)險(xiǎn)，轉(zhuǎn)換安全運(yùn)維的理念、模式以及手段，加強(qiáng)理念創(chuàng)新、管理創(chuàng)新與技術(shù)創(chuàng)新，積極應(yīng)對(duì)網(wǎng)絡(luò)云化及5G新技術(shù)帶來的風(fēng)險(xiǎn)。