電信網(wǎng)絡(luò)IT化安全風(fēng)險大增:業(yè)界需轉(zhuǎn)變安全管理思路
電信網(wǎng)絡(luò)IT化雖然讓網(wǎng)絡(luò)變得更加簡單、高效,但也增加了網(wǎng)絡(luò)的安全威脅。從人們熟知的偽基站、虛假電話到系統(tǒng)漏洞,尤其是IoT的來臨,網(wǎng)絡(luò)安全形勢更為嚴峻。
即使是目前最為先進的已大規(guī)模商用的4G網(wǎng)絡(luò),安全問題并不比傳統(tǒng)的2G、3G少。同時,由于電信運營商及電信協(xié)會尚未習(xí)慣IT化帶來的漏洞多發(fā),解決速度及版本升級緩慢。
未來5G網(wǎng)絡(luò)將承載更多的設(shè)備、信息,如果網(wǎng)絡(luò)安全出現(xiàn)問題,不僅會大大降低用戶體驗,更為嚴重的是將影響社會生活的穩(wěn)定。
網(wǎng)絡(luò)IT化帶來新的安全風(fēng)險
雖然,網(wǎng)絡(luò)IT化讓電信網(wǎng)絡(luò)更加靈活多變,能夠適應(yīng)越來越豐富的業(yè)務(wù)類型,能夠為新興業(yè)務(wù)預(yù)留出彈性擴容的空間,滿足未來發(fā)展的需求。但從CT向IT轉(zhuǎn)化,也讓電信網(wǎng)絡(luò)變得像IT網(wǎng)絡(luò)一樣,可被攻擊的層面越來越多,也變得更容易遭受攻擊,網(wǎng)絡(luò)漏洞變得越來越多。
例如,今年年初,安全公司發(fā)現(xiàn)了名為幽靈接線員的漏洞,該漏洞是LTE網(wǎng)絡(luò)中首歌高危險性的信令漏洞,其利用了從LTE話音解決方案之一CSFB中缺少鑒權(quán)的漏洞,可冒充被叫接收呼入電話和短信;可冒充主角呼出電話發(fā)出短信;可獲得目標手機的手機號碼;可利用手機號碼和短信驗證碼重置各種互聯(lián)網(wǎng)賬戶??上攵?,綁定銀行卡的支付類APP如支付寶、微信將面臨巨大風(fēng)險。
隨著5G到來,對安全更是提出了新的要求,一是速度大幅提高,多制式和高速接入需要高性能的安全處理能力,僅僅靠安全處理速率已經(jīng)不適用了,需要高性能的計算和處理機制;二個是海量IoT設(shè)備的高效接入和安全管理。
中國電科首席專家,衛(wèi)士通信息產(chǎn)業(yè)公司的總工程師曾浩洋表示,基于SDN、NFV和云計算的5G網(wǎng)絡(luò)雖然更加靈活、智能、高效和開放,但網(wǎng)絡(luò)架構(gòu)的變革也帶來了網(wǎng)絡(luò)安全的改變。如網(wǎng)絡(luò)切片,在安全上打破了原來以物理設(shè)備為邊界的服務(wù)模式,需要建立起以虛擬資源和虛擬功能為目標的安全防護體系。
異構(gòu)無線接入,需要安全提供一個通用的認證機制,能夠在不同的接入技術(shù)和不同的運營商之間建立一個安全的網(wǎng)絡(luò)。同時也要保證終端在異構(gòu)網(wǎng)絡(luò)之間進行切換時的安全互操作;
網(wǎng)絡(luò)能力開放,打破了以前以能力封閉換取能力提供者自身安全性的思路,使得能力的使用者可以通過開放的接口對服務(wù)的提供者進行攻擊。
網(wǎng)絡(luò)安全需要全新思路
相對于互聯(lián)網(wǎng)對于漏洞修復(fù)的速度,電信行業(yè)則顯得緩慢許多。除了有各種各樣的因素,如各種設(shè)備升級困難,老舊設(shè)備不能升級等問題,最關(guān)鍵的是電信行業(yè)還未對漏洞變得越來越多的情況做好準備。電信行業(yè)需要從電信網(wǎng)絡(luò)是安全的思維,轉(zhuǎn)變到通信網(wǎng)絡(luò)本身不是那么安全的思維當中。更多的是考慮不斷有新漏洞發(fā)現(xiàn)的時候,怎么應(yīng)對它。
360首席安全官譚曉生表示,目前電信行業(yè)對于漏洞的反應(yīng)速度遠慢于互聯(lián)網(wǎng)行業(yè),同時相互協(xié)調(diào)也更加復(fù)雜。例如,今年1月,360公司發(fā)現(xiàn)幽靈接線員漏洞,并在2月份通報給三大運營商商,3月報告給GSMA漏洞平臺,4月份,中移動修復(fù)漏洞,而到現(xiàn)在其他運營商仍在修復(fù)中。
而在去年4月,360公司在安全會議報告了LTE重定向漏洞,2016年10月蘋果公司在3GPP RAN2提議修改標準,2016年11月,中移動在3GPP RAN2提出修復(fù)有困難,一直到2017年2月份,諾基亞在3GPP SA3提出其他修復(fù)方案,目前仍在討論之中。
不過,好的趨勢是,電信設(shè)備的可升級能力正在不斷加強,在FFC的DA16—1282文檔里,對5G安全提出了補丁管理機制,其類似于IT網(wǎng)絡(luò)漏洞修復(fù)機制,這將大大提升未來5G網(wǎng)絡(luò)漏洞修復(fù)效率。
電信運營商、電信設(shè)備商也針對5G安全推出多種解決方案,例如針對空口協(xié)議需對終端潛在安全入侵、安全事件、dos攻擊等方面進行設(shè)計。同時,要增強隱私保護,比如LTE中沒有相關(guān)的解決方案的IMSI攻擊在5G中添加解決方案。此外,未來網(wǎng)絡(luò)開放之后,要對硬件、軟件、業(yè)務(wù)邏輯,所有的網(wǎng)絡(luò)切片等網(wǎng)絡(luò)所有環(huán)節(jié)進行安全掃描、安全檢測,為網(wǎng)絡(luò)提供安全保障。