構建5G時代的內生安全體系
一、5G是否存在殺手級用例?
第五代通信技術保證了數據傳遞速度,低時延和高帶寬,這必將在全世界範圍引起轟動。從4G的大數據時代演進至5G萬物智聯時代,網路安全伴隨時代的改變從互聯網業務和數據安全向智能安全、整體安全進發。中國信通院研究統計,到2025年中國5G用戶將到達8.16億,占移動用戶的48%左右。
Gartner於2019年底發布預測,預計在2020年至2021年5G IoT終端量將增加至1130萬個,是2020年數量的三倍左右。到2023年,預估5G IoT終端數量約為4,900萬個。下表為2020年-2023年5G IoT終端設備數量(千台):
從上表數據中可以發現未來三年內,5G IoT的終端設備數量增長龐大,遠超於4G時代的物聯網設備數量,一定程度上打破了帶寬限制和成本原因,作為主要連接為更多行業領域開闢新的市場機遇。與此同時,5G時代下的網路安全也要從其四大關鍵用例分析:
1)增強的移動帶寬:快速、低延時和高帶寬可以實現移動的超高清視頻,VR和其他高級應用程序。但是因無線數據價格正在下降,並且可以通過其他方式來滿足需求的增長,如LTE網路基礎設施或Wi-Fi等設備的加強。另一層受阻原因,由於高頻率下的傳播損耗,對於5G來講其可連續性會受到限制。
2)IoT:隨著連接設備數量的爆炸性增長,現有網路正在努力跟上步伐。5G的到來將通過以極低的功率一次啟用更多連接(大約每平方公里最多一百萬)來釋放物聯網的潛力。
3)關鍵任務控制:隨著互聯設備在要求絕對可靠性的應用中(如:醫療設備、車輛安全系統)變得越來越重要,而5G低延時的特性,使其在醫療保健、公共事業等其他時間緊迫的應用場景下打開了新的窗口。
4)FWA:固定無線訪問(FWA)已經存在了多年,主要適用於無有線寬頻的地區。5G能夠為家庭提供超過100 Mbps的速度,從而使其成為許多市場替代有線寬頻的不二選擇。
綜上四大關鍵用例大多集中於通訊技術的特性延展開來,實則針對網路安全5G技術從問世使用至今,並未發現殺手級用例。筆者認為短期內仍會保持這種模糊狀態,甚至在5G時代發展前期,具有一定成本效益的帶寬和數據容量會成為殺手級用例的先驅者。由此,嘶吼記者採訪了奇安信副總裁韓永剛,探討了關於5G時代網路安全的問題和由此帶來的安全防護思路的轉變。
二、對5G安全的誤解
通常人們提及網路安全更多想到的是個人隱私泄漏,而5G安全解決的卻不是常規思維下通訊安全問題,主要是解決在應用新技術後的不同行業場景的安全問題,安全風險集中在應用場景和接入的設備,這在工業、城市和基礎設施建設等領域顯得尤其重要。
中國從去年開始在5G技術上,無論是研發或者基礎設施的建設規劃和投入量都是龐大的,到今年會呈現出大規模應用的情況。第一個階段肯定是消費級應用,包括像一些低功耗、大連接的應用場景。深度應用目前還在開發中,運營商通信套餐的升級在北京很多實驗區域感受較為明顯。實際上5G深層應用還未完全展開,大家都在快速發展進程中,當開始切入到深度應用時其安全問題就會暴露出來。4G到5G的轉變,不僅是在通訊網路傳輸上籌備良多,同樣在基礎安全保障體系不會存在較大的安全風險。相比之下,4G時代並未出現通訊網路安全問題,5G最大的區別是深度應用上的核心網下沉,一張網路以多切片高可靠的方式貼近場景。
真正的個性化安全從5G開始,如智慧城市、智慧工廠以及智慧園區中的交通、物流的IoT設備,這些設備的連接、縱深擴展和信息系統中數據的彙集,對應不同的場景化安全問題。如何正確使用策略以防護多場景下的網路安全問題呢?就好比智慧醫療,5G通訊加上智能手術機器人使得一切成為現實。此類場景下,如果安全出現問題波及的不僅是經濟效益,受影響的還有醫患的人身安全。同樣的在智慧交通上,如車聯網、無人駕駛,一旦出現問題影響必然重大。伴隨更多設備的推出和更新、迭代,網路安全領域變得比以往更加寬泛,更多的設備需要更為智能的安全解決方案。智慧城市裡多場景就會同比存在多切片,當信息深入時影響會被放大,這其實是5G時代網路安全最大的風險所在。
三、5G安全防禦思路會有改變嗎?
通信技術的變化會影響安全防禦思路也隨之變化。韓永剛在採訪中提及,從去年開始奇安信提出內生安全理念,相當於安全防禦體系思路的轉變。內生安全應用於5G、雲、大數據這類型的數字化轉型信息系統,是在信息化頂層設計規劃之初安全就貼合進去的。數字化轉型下原本清晰的邊界概念因算力遷移、雲計算的普及和其他新技術的廣泛應用而逐漸模糊。在5G時代,更多的雲邊協同使計算邊緣化,數據到達邊緣呈現愈加分散的狀態,但邏輯上更趨於統一。
邊緣計算產生大量的端側數據,數據實時吞吐量很大,容易被篡改和竊取。也正是因傳統邊界消失,安全防護邏輯轉變為更加貼近受保護的業務實體,靠近數據本身。內生安全是基於身份的一種從內而外貼合的概念,這與傳統安全體系有很大的變化。這幫助大型機構進入數字化轉型深水區的階段時,保障業務的順暢運行。大型機構的核心在於整體業務的正常運轉,不論是從管理決策,亦或是到營銷乃至整體的運轉,都高度依賴於關乎整體生命線的核心信息系統。
四、踐行內生安全
零信任最早由Forrester分析師提出,後谷歌用了近7,8年時間使用至整體系統框架中,奇安信是最早將其引入到中國網路安全構建里的。韓永剛回應道,由於傳統邊界消失和瓦解,萬物互聯的連接端大量增加,數據側大量聚集,網路安全基礎模型發生了很大的變化。
5G時代打亂了原本的物理層至網路層的分層結構,但是在邏輯上還是大量訪問主題的彙集,另一邊是被訪問數據和應用的大量彙集,雲計算環境和大數據環境的彙集會達到怎樣的量級?訪問端可能會出現幾十萬人甚至上百萬的訪問量級。另一側多維度數據的彙集和使用,在很多大型政企的應用場景內數據量級已至數百PB級。
分散的數字化身份,在信息系統里合理、安全共享數據。新場景下你會發現原來抵禦攻擊的方法效用降低,此時零信任恰好填補了這一空缺。在多次實戰化攻防演習後,我們發現一個有趣的事實。內外網之間的隔離被打破了,攻擊者會有各種方法繞過邊界直擊內網,一旦突破內網一點被突破,更加橫行無阻。橫向移動會接觸到關鍵數據和業務系統上,零信任是不分內外網一律不信任,信任是構建在基於訪問者身份和行為來判別行為是否合理的。
常說的動態防禦、靜態防禦,實際上傳統安全思維更多的是防禦。零信任之所以是內生安全的重要組成,原因是它是基於身份進行的細粒度動態訪問控制,從業務訪問角度出發,它的場景特別適用於大集成、面向雲、面向大數據和面向萬物互聯的時代,機制貼合信息化系統的變革。
五、5G時代下冬奧會網路安全籌備
作為北京2020年冬奧會網路安全服務商,尤其在通訊技術發生重大變革的時間。韓永剛表示,冬奧會是一個非常實戰化的過程。實際網路安全部署的時間段包括了賽事籌備前—舉辦大賽—直至圓滿結束,這期間會出現不同強度的風險和對抗。在近幾屆夏季奧運會與冬奧會上,網路安全問題越來越嚴重。因為類似的國際賽事,一些攻擊者抱著炫耀的心態嘗試碰觸底線,或者出於一些政治因素進行竊取與破壞,同樣也存在黑灰產獲利目的及隱私竊取發動的攻擊等。
其中還包括有組織攻擊,例如平昌冬奧會上因興奮劑檢測結果出現一些質疑聲音,輿論和利益驅使不法分子發起攻擊,竊取反興奮劑組織數據並對外公布。屆時,北京冬奧會會使用很多新技術,信息的傳遞形成相對複雜的體系,這對於網路安全是一次重大的挑戰。在整體建設周期內,從起初的同步網路安全體系,到雲、對應關鍵基礎設施建設等,都要在前期鋪墊,做好設計、運行工作,也就是說,在冬奧會還未開始的很長一段時間,奇安信會長期同奧組委一起參加到賽事的服務和支撐中來。
六、總結
萬物智聯的5G時代,不僅僅帶來的是更為優質的通信效果、低延時、高可靠性,自然地越來越多人依賴新增智能化設備的新系統,這也正是薄軟環節所在。隨著我們越來越接近5G時代的廣泛使用,組織需要做好升級或增強現有網路安全解決方案的準備,來應對傳統邊際消失,隨之日益增長的網路安全威脅。
