中国移动研究院粟栗在第38次全国计算机安全学术交流会上的演讲：5G网络安全运营思考与实践

中国移动研究院粟栗5G网络的安全设计5G网络的安全设计155GC运营安全风险思考2集中监测+内生防护集中监测+内生防护33G跟随3G跟随4G并跑5G领先中国5G已引领世界，安全成为关键因素5G网络，因“国家安全”而被限制5G应用，因深度融合而更需要安全信任模型更加复杂5G安全的目标：在非信任环境中构建安全的网络信任模型更加复杂••5G引入通用硬件平台，网络IT化•垂直行业引入大量新的实体《5G安全技术与标准》：5G安全是在非信任的前提下，构建安全的网络并提供服务。新增安全风险新增安全风险+5G网络除了面临传统的用户非法接入、互联网攻击等5G网络除了面临传统的用户非法接入、互联网攻击等，还面临来自MEC非法访问、虚拟化漏洞备用等新风险远程篡改远程篡改恶意访问隐私泄漏•外部攻击：互联网DDoS、网间攻击等网间信息保护 用户隐私保护相比4G，5G网络进行了更安全的设计网间信息保护 用户隐私保护5G网络安全在5G网络安全在数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强更全面的数据安全保护数据安全保护更丰富的认证机制支持更严密的更灵活的4个“更”使5G具备一定的抵御非信任环境下安全风险的能力相比4G，5G网络进行了更安全的设计从从端到端安全要求、安全评测、应用安全三方面构建5G安全标准体系，指导5G网络安全建设3GPP定义了网络设备安全保障的方法论（SECAM方法论中明确：AssuranceScheme）。AssuranceSpecification)。5G网络的安全设计5G网络的安全设计15GC运营安全风险思考2集中监测+内生防护3设备：依据标准执行5G设备入网安全测评••联合信通院、头部厂商构建5G安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力；•通过网络建设前的设备测试，保障设备入网、设备组网安全性。>测评环境和测评工具：核心网：安全域划分保障分域安全5G安全域进行了独立设计5G安全域进行了独立设计，通过安全域划分，有效防止运行阶段安全风险扩散。1传统互联网接入域：部署双层异构防火墙、IPS等进行防护和检测（大隔离）2新增承载网接入域：部署防火墙、IPS进行防护和检测（大隔离）3安全子域：安全子域之间VLAN+交换机ACL（小隔离）4安全子域内部：无安全手段，存在网元VM间攻击风险核心网：内网安全风险仍然存在在现有防护手段的基础上在现有防护手段的基础上，5G网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用等风险•漏洞利用：网元或虚拟层的漏洞被利用(①)•关键文件篡改：恶意VM通过业务面篡改其它VM上的关键文件②()......5G网络的安全设计5G网络的安全设计155GC运营安全风险思考2集中监测+内生防护集中监测+内生防护3集中监测+内生防护解决5G内网安全风险根据根据IPDRR，对内网进行集中安全监测，协同内生防护手段，全面提升5G内网的安全能力精细化的安全监测和防护集中监测：5G网络安全机器人（安宝）集中监测内网安全5G网络安全机器人（安宝）是面向5G网5G网络安全机器人（安宝）是面向5G网络及应用的安全检测工具，具有对网络设备自动化的安全检查、入侵告警、风险防范、渗透测试、攻击诱捕、自动学习演进等能力•具有高并发、高扩展、高容错、高性能等特性集中监测：5G网络安全机器人（安宝）集中监测内网安全安宝实现安宝实现机器换人的SaaS安全监测服务，革新内网安全服务模式•安宝自研建立面向5G的自有安全漏洞库17万条；•创新链路层编码漏洞高速扫描技术，扫描效率提升60倍；年节约人工成本约500万。内生防护：微隔离+，解决安全监测盲点基于基于内生安全理念，设计基于内生的微隔离+方案为资源池内的虚拟机/容器、进程、文件进行访问控制，并结合OMC分析能力，感知安全攻击，以“自身防护+安全监控”方式，防止横向移动攻击，实现东西向流量隔离、可视，攻击可感知微隔离+系统架构非法流量进不来安全攻击可感知内生防护：微隔离+，解决安全监测盲点：构建5G网络第三层隔离••根据安全域划分，资源池外部边界、内部安全子域之间，以专用安全设备能力为基础，构建大隔离、小隔离；•资源池内安全子域内部，基于内生安全理念，以网元为单位，部署微隔离+，构建5G网络第三层隔离大隔离、小隔离无法解决安全子域内的VNF间相互攻击网元内建微隔离、攻击感知插件，隔离异常流量、检测网元攻击内生防护：微隔离+，解决安全监测盲点：防护内网横向移动攻击微隔离+包含微隔离+包含微隔离和攻击感知两个内生的安全能力，防止横向移动攻击，有效解决“一点击破，全网沦陷”风险主要功能主要功能•微隔离能力防护内网东西向异常流量标准推进标准推进未来：以SaaS方式输出5G网络