5G网络是数字经济的底层核心技术, 是信息产业高速发展的基础支撑,5G网络安全是未来移动通信面临的重要挑战。当前通信网络通过补丁式、被动式、外挂式等措施来进行安全防护,网络安全风险等级只能通过静态方式评估,通过网络价值、安全漏洞、安全事件的发生频率等因素粗略地对网络的风险状态进行评估, 但对网络正在遭受的攻击不能实时检测与防护。网络安全防护部署,维护成本较高,难以动态策略调整、自动化维护,已经无法满足当前复杂的电信网络的业务需求和应用场景。
面对未来网络演进,中兴通讯提出构建4“自”一体的5G可信网络安全架构(见图1)。5G/5G-Advanced网络安全应具备以下特征:
- 全面自动化:基于自动化安全引擎,为网络基础设施、软件等提供自动化部署、自动化检测、自动化修复等主动防御能力;
- 安全自防御,根据行业防护的安全需求,提升网络及网络服务功能安全能力,并实现安全能力的弹性部署,降低安全风险,提升韧性;
- 安全自适应,利用AI、联邦学习技术实现网络预测与修复;
- 安全自演进,通过端、边、网、云的智能协同,准确感知整个网络的安全态势,敏捷处置安全风险,形成自适应安全模型建设、细粒度、多角度、可持续动态安全防御体系。
图1 可信网络安全架构
安全自动化
自动化提升5G网络中各种资产自身的安全防护能力构建,包括设备节点、基础设施、网络服务、数据、用户、管理节点、操作系统、中间件、数据库、软件服务等,增强各资产系统内部的安全防范能力,实现完整可信防护、服务、访问、数据可信,动态度量系统状态检测系统安全,构建网元级内生安全,从而推进网络级内生安全能力。
通过可视化对5G网络云所有资产进行安全管理,并实现安全漏洞统一管理、配置下发、升级等;对网络流量、数据流进行入侵检测,设定ACL策略,对异常流程进行管理控制;通过安全引擎实现统一的安全能力编排,并对云和网调度和编排,实现安全资源自动分配、安全业务自动化发放、安全策略自动适应网络业务变化(网络安全协同)、网络高级威胁实时响应防护(安全分析联动)等能力,多网元、多层次协同保障网络安全,实现安全策略集中管理和编排,为用户按需提供安全服务。
安全自防御
5G网络云基于云计算、SDN/NFV技术,需要借鉴传统经验和教训,同时引入区块链技术帮助网络构建安全可信的通信环境,以实现系统的防篡改能力和恢复能力。通过可信计算技术可以实现网元的可信启动、可信度量和远程可信管理,使得网络中的硬件、软件功能运行持续符合预期,为网络基础设施提供主动防御能力;引入零信任技术,对网络进行精细化可视化管理;部署相应的安全组件,构建端到端的网络云安全体系。对所有管理系统用户行为、日志进行集中管理,并设定定期审计策略,进行安全审计;实现网络云整体安全可审计、可追溯。
安全自适应
5G安全服务能够随时监测感知5G网络云安全动态,资产安全风险可见,并第一时间快速自动预测、告警,对安全事件及时发现和修复或平衡处置,保障网络服务的可用性;网络服务升级和安全系统换代升级,业务系统流程再改造的时候,安全能力能够动态提升。
当网络局部被入侵时,安全引擎会采用阻断威胁流量和启动安全加固流程的方式快速规避或消除威胁;同时,安全服务能共享威胁情报,做到全网“免疫”同类威胁。
安全自演进
网络各层嵌入AI能力、联邦学习(分布式机器学习)能力实现网络自适应、自感知、自运维,采用联邦学习技术,通过快速的学习和训练,AI、联邦学习技术可以更加准确地对网络的流量与行为的异常进行检测、回溯与根因分析,为电信网络建立端、边、网、云智能主体间的泛在交互和协同机制,准确感知网络安全态势并预测潜在风险,进而通过智能共识决策机制完成自主优化演进,实现主动纵深安全防御和安全风险自动处置;同时,提供实用化的安全分析与告警,抵御各类APT攻击。
总结
5G可信网络内生安全体系从安全自治、防御、预测、检测、响应4个维度,强调安全防护是一个持续处理的、循环的过程,并实现主要业务场景的自适应安全模型建设;基于自适应安全架构,实现防御能力、检测能力、响应能力、预测能力的生成和协同,实现安全攻击的自我发现、自我修复、自我平衡,构建自主的安全免疫能力,形成网络一体化安全服务。
中兴通讯致力于建设端到端自动化、AI智能、弹性可信内生安全通信网络,为全球客户提供更加安全可信的产品与服务。
.png)
.png)
.png)
