电信网络IT化安全风险大增:业界需转变安全管理思路
电信网络IT化虽然让网络变得更加简单、高效,但也增加了网络的安全威胁。从人们熟知的伪基站、虚假电话到系统漏洞,尤其是IoT的来临,网络安全形势更为严峻。
即使是目前最为先进的已大规模商用的4G网络,安全问题并不比传统的2G、3G少。同时,由于电信运营商及电信协会尚未习惯IT化带来的漏洞多发,解决速度及版本升级缓慢。
未来5G网络将承载更多的设备、信息,如果网络安全出现问题,不仅会大大降低用户体验,更为严重的是将影响社会生活的稳定。
网络IT化带来新的安全风险
虽然,网络IT化让电信网络更加灵活多变,能够适应越来越丰富的业务类型,能够为新兴业务预留出弹性扩容的空间,满足未来发展的需求。但从CT向IT转化,也让电信网络变得像IT网络一样,可被攻击的层面越来越多,也变得更容易遭受攻击,网络漏洞变得越来越多。
例如,今年年初,安全公司发现了名为幽灵接线员的漏洞,该漏洞是LTE网络中首歌高危险性的信令漏洞,其利用了从LTE话音解决方案之一CSFB中缺少鉴权的漏洞,可冒充被叫接收呼入电话和短信;可冒充主角呼出电话发出短信;可获得目标手机的手机号码;可利用手机号码和短信验证码重置各种互联网账户。可想而之,绑定银行卡的支付类APP如支付宝、微信将面临巨大风险。
随着5G到来,对安全更是提出了新的要求,一是速度大幅提高,多制式和高速接入需要高性能的安全处理能力,仅仅靠安全处理速率已经不适用了,需要高性能的计算和处理机制;二个是海量IoT设备的高效接入和安全管理。
中国电科首席专家,卫士通信息产业公司的总工程师曾浩洋表示,基于SDN、NFV和云计算的5G网络虽然更加灵活、智能、高效和开放,但网络架构的变革也带来了网络安全的改变。如网络切片,在安全上打破了原来以物理设备为边界的服务模式,需要建立起以虚拟资源和虚拟功能为目标的安全防护体系。
异构无线接入,需要安全提供一个通用的认证机制,能够在不同的接入技术和不同的运营商之间建立一个安全的网络。同时也要保证终端在异构网络之间进行切换时的安全互操作;
网络能力开放,打破了以前以能力封闭换取能力提供者自身安全性的思路,使得能力的使用者可以通过开放的接口对服务的提供者进行攻击。
网络安全需要全新思路
相对于互联网对于漏洞修复的速度,电信行业则显得缓慢许多。除了有各种各样的因素,如各种设备升级困难,老旧设备不能升级等问题,最关键的是电信行业还未对漏洞变得越来越多的情况做好准备。电信行业需要从电信网络是安全的思维,转变到通信网络本身不是那么安全的思维当中。更多的是考虑不断有新漏洞发现的时候,怎么应对它。
360首席安全官谭晓生表示,目前电信行业对于漏洞的反应速度远慢于互联网行业,同时相互协调也更加复杂。例如,今年1月,360公司发现幽灵接线员漏洞,并在2月份通报给三大运营商商,3月报告给GSMA漏洞平台,4月份,中移动修复漏洞,而到现在其他运营商仍在修复中。
而在去年4月,360公司在安全会议报告了LTE重定向漏洞,2016年10月苹果公司在3GPP RAN2提议修改标准,2016年11月,中移动在3GPP RAN2提出修复有困难,一直到2017年2月份,诺基亚在3GPP SA3提出其他修复方案,目前仍在讨论之中。
不过,好的趋势是,电信设备的可升级能力正在不断加强,在FFC的DA16—1282文档里,对5G安全提出了补丁管理机制,其类似于IT网络漏洞修复机制,这将大大提升未来5G网络漏洞修复效率。
电信运营商、电信设备商也针对5G安全推出多种解决方案,例如针对空口协议需对终端潜在安全入侵、安全事件、dos攻击等方面进行设计。同时,要增强隐私保护,比如LTE中没有相关的解决方案的IMSI攻击在5G中添加解决方案。此外,未来网络开放之后,要对硬件、软件、业务逻辑,所有的网络切片等网络所有环节进行安全扫描、安全检测,为网络提供安全保障。