通信世界网消息(CWW)近日,在世界5G大会上,奇安信集团总裁吴云坤分享了题为“内生安全框架指引5G场景安全体系建设”的演讲,吴云坤讲道,5G安全挑战主要集中在应用场景层面,目标是保护场景,关键是保护数据和应用。
5G带来全方位的安全挑战
未来5G安全问题会出现在很多场景中,尤其是5G在产业互联网领域的应用会带来多方面挑战。吴云坤讲道,主要原因有三方面。一是在终端方面,和toC领域的应用不同,toB领域应用所需的终端数量、种类、安全需求差异很大。二是边缘计算是5G的重要使能技术,但是却带来了附加问题,原来可以集中防护的点被推到了更多不同位置。三是数据和应用方面的防护差异较大。这三方面因素叠加起来,造成5G网络安全防护的复杂性极强。
在过去的网络安全防护过程中,有一种提法是先发展再研究安全,过去很多网络安全领域都是这么发展的。从1995年中国开展联合互联网一直到2015年,思路都是先做发展,再做安全。很多政策法规都是出了问题之后再做安全。但5G不一样,提出了很多能力,包括涉及到的算法都是在标准设计过程中加进去的。
如果以终端边缘以及未来数据流动为核心,那么5G会存在很多安全问题。如何保护上层应用?多个复杂的场景应用在一起如何解决?在2016年随着数字化转型的产生,安全必须作为一个无限责任者。
十四五期间,奇安信给一百多家央企做了相应的规划设计,打造5G应用场景的安全防护体系建设能力框架+应用场景,充分考虑网络切片、边缘计算等5G能力,将安全能力框架与行业应用场景结合,形成面向行业应用场景化、安全能力系统化的5G安全方案。
奇安信构建八大重点安全建设组件
奇安信多年来一直在做toB业务,在实践中发现,在企业数字化转型过程中,5G带来了更多的设备也带来了更大的风险,5G未来的场景非常丰富,这些应用场景和安全问题非常复杂,需要强大的安全保障。奇安信结合六大场景框架,通过研究八大重点建设组件,从终端到接入,再到全网监测、检测,以及应用数据安全,一直到底层保障5G安全。
一是5G终端设备安全防护,未来所有的终端是有身份的。未来物联网终端和5G相关的属性都会成为设计的关键点。另外终端不仅要防范安全,还涉及到安全管理的问题,5G数字化终端被纳入到安全防护体系,当它作为一个身份访问核心业务网络和数据的时候,它所具备的身份属性就需要授权。
二是基于零信任的5G安全接入。以前是网络授权,数据中心拥有全部权限。而在5G时代,接入问题是网络控制问题,应用与应用之间也是主问题,终端访问核心网络都是主逻辑,每一次访问给什么权限都是动态的,所以整个体系的核心问题是能不能给最小权限。
三是数据的打通。“以前我们花大量时间研究做隔离,但未来是数据的打通。在组网过程当中,数据层面和控制层面包含整个业务信息,而控制层面包含用户层面和通信网络信息,可以在针对业务安全信息场景检测的时候将两方面结合起来。”吴云坤讲道。
四是虚拟化安全防护。大量的数据在5G网络当中,配以防病毒、主机访问控制、防暴力破解、入侵防御、进程黑白名单为主的安全防护功能,配套安全基线、漏洞检测、完整性监控是至关重要的。每一个虚拟化层面的主机访问都需要在资源池中调用。
五是基于立体安全防护的5G边缘计算安全,基于“立体安全防护”的边缘安全框架,对边缘计算节点在物理层、网络层、虚拟化层、应用层等方面进行安全防护。
六是5G安全测评服务。开展面向行业5G应用的设备级安全合规检测、网络级安全合规检测、行业应用级安全合规检测,以及贯穿始终的安全渗透测试。
七是基于全生命周期及应用场景的数据安全防护。基于数据生命周期及数据应用场景开展数据安全防护工作,保障大数据采集、存储、传输、处理、使用、共享开放、销毁安全、做到大数据场景下的数据大失控、不被盗用、不被误用、不被滥用。
“一个身份访问一个数据,一个身份访问一个应用,一个身份访问一个功能。现在的生产资料涉及到整个数据当中的流通和交易,这时候会发现,数据贯穿在整个5G网络和行业应用之上,打破了边界。”吴云坤讲道。
八是大量使用第三方组件和开源,开展基于软件供应链安全的应用安全防护。应用安全的本质是安全左移,保护软件供应链安全成为关键。
吴云坤分享了一个案例,上海移动5G+智慧港口的安全体系就是基于内生安全理念,规划设计5G+智慧港口的网络安全体系,重点建设面向边缘云的安全。“5G安全挑战主要集中在应用场景层面,目标是保护场景,关键是保护数据和应用。”吴云坤总结道。
