① 網路信息安全系統對智慧建築貢獻怎樣的智能化功能提升
智能基礎設施面臨的安全威脅不僅僅源自信息系統,更有可能來自社會和物理系統。當前,傳統信息領域的安全標准體系與安全技術手段已較為成熟,但對於智能基礎設施來說還遠遠不夠,因為與傳統的網路信息安全相比,智能基礎設施還具有不同的安全需求特點:
一是智能基礎設施安全的首要目標是保證人的生命財產安全,其次是保護系統的可靠性和系統基礎設施的安全。
二是智能基礎設施系統結構更加復雜,不同業務特性、不同安全級別的二次系統在同一網路內進行信息交互,大大降低了實時控制業務的可靠性。處於邊緣的終端設備如果受損就有可能對全網設備造成影響,甚至會進一步影響整個網路的運行。
三是智能基礎設施通信網路環境更加復雜,不同於傳統基礎設施的監控與數據採集系統和其他控制系統專用性,智能基礎設施系統基於開放、標準的網路技術之上,所有的供應商都可以開發基於互聯網的應用程序來遠程監測和控制,從而導致系統的安全性降低。3G、WiFi、智能感測網路等無線通信技術和大量智能終端、移動終端的廣泛應用,造成攻擊手段更加多樣化和智能化,進一步加大了信息安全保障體系防護的難度。
四是智能基礎設施雙向互動更加頻繁,來自社會用戶的安全危險也將越來越突出,此外對用戶隱私的威脅也在增大,端對端的防護就顯得尤為重要,信息安全防禦保障的防護范圍和網路邊界的防護能力需要進一步增強。
五是來自智能終端的安全隱患更顯突出,智能終端在智能基礎設施中的應用會越來越普及,各種不同的操作系統、形形色色的不同智能化操作軟體、形式多樣的智能終端接入方式,以及多樣化的智能終端介面類型等,都有可能存在漏洞。
六是自主安全標准缺失的挑戰。當前國際強國高度重視基礎設施安全問題,如美國白宮於2014年發布了《提升關鍵基礎設施網路安全框架》,該框架由美國國家標准和技術局制定,推出了一整套幫助政府機構和私營部門解決關鍵基礎設施網路安全風險的標准和程序,為美國完善和建立更深入的網路安全標准建立了基礎,為政府機構和私營部門共享有關網路威脅的信息和保護個人隱私提供了指南。而我國至今還沒有一家在國際上,甚或於在國內處於引領地位的行業巨頭可參與競爭,標准缺失必然帶來安全的隱患。
四、智能化基礎設施的安全防護體系
關於信息安全,也有專業方向的視頻教程,比如:《 信息安全等級保護》,從信息安全等級保護概述、信息安全等級保護標准體系、信息安全等級保護技術措施,三方面詳細介紹,供參考:http://www.ichunqiu.com/course/56153
智能基礎設施的安全防護體系架構包括物理安全、感知執行層安全、數據傳輸層安全、應用控制層和供應鏈安全等幾個環節。安全的最終目標是確保智能基礎設施在業務各環節中各種數據的機密性、完整性、真實性和網路的容錯性。
(一)物理安全
物理安全是對智能基礎設施終端設備進行保護時需要重點關注和考慮的問題,包括業務系統中的設備和信息通信系統中的設備。物理安全的防護目標是防止有人通過破壞業務系統的外部物理特性以達到使系統停止服務的目的,或防止有人通過物理接觸方式對系統進行入侵。要做到在信息安全事件發生前和發生後能夠執行對設備物理接觸行為的審核和追查。
(二)感知執行層安全
感知執行層是重要的感知數據來源和控制命令執行場所。感知執行層的網路節點多數部署在無人監控的環境中,容易成為攻擊者的目標,並且其節點數據處理能力、通信能力和存儲能力有限,使得傳統的安全機制難以直接應用在感知執行層的網路中。目前針對感知執行層的主要安全威脅有物理攻擊、設備故障、線路故障、電磁泄漏、電磁干擾、拒絕服務攻擊、信道阻塞、女巫攻擊、重放攻擊、感知數據破壞、假冒偽裝、信息竊聽、數據篡改、非法訪問、被動攻擊、節點捕獲等。感知層數據採集安全使用的主要安全關鍵技術包括數據加密技術、密鑰管理機制、抗干擾技術、入侵檢測技術、安全接入技術、訪問控制技術等。
(三)數據傳輸層安全
智能基礎設施系統數據傳輸層採用「下一代網路」作為其核心承載網。「下一代網路」本身的架構、接入方式和網路設備會帶來一定的安全威脅,同時數據傳輸層存在海量節點和海量數據,可能引起網路阻塞,容易受到拒絕服務/分布式拒絕服務(DoS/DDoS)攻擊。異構網路之間的數據交換、網間認證、安全協議的銜接等也將為數據傳輸層帶來新的安全問題。此外可能存在的信息安全問題還包括不明身份的入侵所造成的非法修改、指令改變、服務中斷等。針對於此,智能基礎設施的數據傳輸安全需要採用防火牆技術、VPN技術、入侵防禦技術等邊界隔離的手段來阻止非法入侵,並加強對網路的監控和審查,特別加強對設備接入時的狀態和身份認證,包括事後審計等。網路層數據傳輸安全使用的主要安全關鍵技術包括安全路由機制、密鑰管理機制、訪問控制、容侵技術、入侵檢測技術、主動防禦技術、安全審計技術等。
(四)應用控制層安全
智能基礎設施的數據處理過程主要集中在應用控制層。應用服務層中的信息安全主要包括兩層含義,一是數據本身的安全,如果數據及控制命令均沒有認證信息,非法訪問、破壞信息完整性、破壞系統可用性、冒充、重演均成為可能,尤其是無認證的控制命令將導致失去整個基礎設施網路的控制權。因此,需要在業務處理過程中採用密碼技術對數據進行保護,如數據加密、數據完整性保護、雙向強身份認證等。二是應用控制層的某些應用會收集大量的用戶隱私數據,比如用戶的健康狀況、消費習慣等,因此必須考慮信息物理系統中的隱私保護問題。同時由於應用系統種類繁多,安全需求也不盡相同,這也為制定合適的安全策略帶來了巨大的挑戰。應用控制層數據處理安全使用的主要安全技術包括入侵檢測技術、隱私保護技術、雲安全存儲技術、數據加密技術、身份認證技術等。
(五)供應鏈安全
智能基礎設施的安全可靠從根本上還依賴於設備和信息網路系統的自主可控。在中國,智能基礎設施建設必須做到自主可控,盡量採用國產的設備、操作系統,保證供應鏈的安全,這是從源頭上保證信息安全的根本舉措。供應鏈安全包括系統設備的自主可控和信息網路設備的自主可控。
總結:加強城市智能基礎設施信息安全的對策,網路信息安全系統對智慧建築貢獻很大,有助於其自身智能化功能提升。
② 聚焦關鍵信息基礎設施,網路安全保護迎新政
鑒於此,網路安全保護勢在必行且刻不容緩。通過對硬體、軟體和數據的保護,讓網路系統運行安全,網路服務正常提供,成為我國發展的關鍵所在。在此背景下,此前我國已經出台了《網路安全漏洞管理規定》、《密碼法草案》等多部法規,給予網路安全重視、鼓勵和引導,為發展提供法律保障與護航。
而近日,我國也是再度發布《關鍵信息基礎設施安全保護條例》,將網路安全保護推向新階段。據悉,這是我國首部專門針對關鍵信息技術設施安全保護工作的行政法規。其主要從范圍定義、責任義務歸屬、實施落地以及追責等方面,對我國網路安全保障的核心要素及關鍵戰略性資源進行了明確規定與部署。
根據條例表示,所謂關鍵信息基礎設施,主要是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防 科技 工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
從《條例》看,關鍵信息基礎設施的認定,行業主管部門有重要決定權,是否屬於關鍵信息基礎設施,核心在於業務是否重要。關鍵信息基礎設施的范圍會隨著業務的影響而改變,隨著信息化潮流的發展而擴展。因此《條例》明確,要通過一個國家統籌的多級立體化協同綜合防控體系來有效保護。
在《條例》中,重點強調了運營商的責任和義務。《條例》明確,運營者應當建立健全網路安全保護制度和責任制,保障人力、財力、物力投入。運營者應當設置專門安全管理機構,並對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。此外,運營者應當優先採購安全可信的網路產品和服務。
若運營者有任何違規行為的,有關主管部門可依據職責責令改正,或給予警告;若拒不改正或者導致危害網路安全等後果的,可處10萬元以上100萬元以下罰款,並對直接負責的主管人員處1萬元以上10萬元以下罰款。同時,有關部門未能履行關保護監督職責的,也將依法對主管人員給予處分。
而針對實施危害關鍵信息基礎設施安全活動的個人和組織,《條例》也作出相應規范。其特別強調,任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全;對基礎電信網路實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告,否則違法必究。
總的來看,《關鍵信息基礎設施安全保護條例》作為網路安全法的重要配套立法,對國內外網路安全保護的主要問題和發展趨勢進行了積極應對,為下一步加強關鍵信息基礎設施安全保護工作提供了重要法治保障。按照計劃,《條例》將自2021年9月1日起正式施行,屆時我國網路安全保護將邁入全新階段。
③ 簡要概述網路安全保障體系的總體框架
網路安全保障體系的總體框架
1.網路安全整體保障體系
計算機網路安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。
圖4 網路安全保障體系框架結構
【拓展閱讀】:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
(1)網路安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整相互適應,反之,安全政策和標准也會影響管理、運作和技術。
(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)網路安全管理。網路安全管理是體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9
④ 關於電信網路關鍵信息基礎設施保護的思考
文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天
根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中,電信網路自身是關鍵信息基礎設施,同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務,在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施,做好電信網路關鍵信息基礎設施的安全保護尤為重要。
一、電信網路關鍵信息基礎設施的范圍
依據《關鍵信息基礎設施安全保護條例》第 9條,應由通信行業主管部門結合本行業、本領域實際,制定電信行業關鍵信息基礎設施的認定規則。
不同於其他行業的關鍵信息基礎設施,承載話音、數據、消息的電信網路(以 CT 系統為主)與絕大多數其他行業的關鍵信息基礎設施(以 IT 系統為主)不同,電信網路要復雜得多。電信網路會涉及移動接入網路(2G/3G/4G/5G)、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路,任何一個網路被攻擊,都會對承載在電信網上的話音或數據業務造成影響。
在電信行業關鍵信息基礎設施認定方面,美國的《國家關鍵功能集》可以借鑒。2019 年 4 月,美國國土安全部下屬的國家網路安全和基礎設施安全局(CISA)國家風險管理中心發布了《國家關鍵功能集》,將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式,電信網路屬於連接類。
除了上述電信網路和服務外,支撐網路運營的大量 IT 支撐系統,如業務支撐系統(BSS)、網管支撐系統(OSS),也非常重要,應考慮納入關鍵信息基礎設施范圍。例如,網管系統由於管理著電信網路的網元設備,一旦被入侵,通過網管系統可以控制核心網路,造成網路癱瘓;業務支撐系統(計費)支撐了電信網路運營,保存了用戶數據,一旦被入侵,可能造成用戶敏感信息泄露。
二、電信網路關鍵信息基礎設施的保護目標和方法
電信網路是數字化浪潮的關鍵基礎設施,扮演非常重要的角色,關系國計民生。各國政府高度重視關鍵基礎設施安全保護,紛紛明確關鍵信息基礎設施的保護目標。
2007 年,美國國土安全部(DHS)發布《國土安全國家戰略》,首次指出面對不確定性的挑戰,需要保證國家基礎設施的韌性。2013 年 2 月,奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》,其首要策略是改善關鍵基礎設施的安全和韌性,並要求美國國家標准與技術研究院(NIST)制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》(CSF)提出,關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節,建立網路安全框架,管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求,定義了 IPDRR能力框架模型,並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別(Identify)、安全防禦(Protect)、安全檢測(Detect)、安全響應(Response)和安全恢復(Recovery)五大能力,是這五個能力的首字母。2018 年 5 月,DHS 發布《網路安全戰略》,將「通過加強政府網路和關鍵基礎設施的安全性和韌性,提高國家網路安全風險管理水平」作為核心目標。
2009 年 3 月,歐盟委員會通過法案,要求保護歐洲網路安全和韌性;2016 年 6 月,歐盟議會發布「歐盟網路和信息系統安全指令」(NISDIRECTIVE),牽引歐盟各國關鍵基礎設施國家戰略設計和立法;歐盟成員國以 NIS DIRECTIVE為基礎,參考歐盟網路安全局(ENISA)的建議開發國家網路安全戰略。2016 年,ENISA 承接 NISDIRECTIVE,面向數字服務提供商(DSP)發布安全技術指南,定義 27 個安全技術目標(SO),該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配,關鍵基礎設施的網路韌性成為重要要求。
借鑒國際實踐,我國電信網路關鍵信息基礎設施安全保護的核心目標應該是:保證網路的可用性,確保網路不癱瘓,在受到網路攻擊時,能發現和阻斷攻擊、快速恢復網路服務,實現網路高韌性;同時提升電信網路安全風險管理水平,確保網路數據和用戶數據安全。
我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定:國家對關鍵信息基礎設施實行重點保護,在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出,要著眼識別、防護、檢測、預警、響應、處置等環節,建立實施關鍵信息基礎設施保護制度。
參考 IPDRR 能力框架模型,建立電信網路的資產風險識別(I)、安全防護(P)、安全檢測(D)、安全事件響應和處置(R)和在受攻擊後的恢復(R)能力,應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF,開展電信網路安全保護,可按照七個步驟開展。一是確定優先順序和范圍,確定電信網路單元的保護目標和優先順序。二是定位,明確需要納入關基保護的相關系統和資產,識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀,創建當前的安全輪廓。四是評估風險,依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時,需要分析運營環境,判斷是否有網路安全事件發生,並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距,通過分析這些差距,對其進行優先順序排序,然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃,決定應該執行哪些行動以消除差距。
三、電信網路關鍵信息基礎設施的安全風險評估
做好電信網路的安全保護,首先要全面識別電信網路所包含的資產及其面臨的安全風險,根據風險制定相應的風險消減方案和保護方案。
1. 對不同的電信網路應分別進行安全風險評估
不同電信網路的結構、功能、採用的技術差異很大,面臨的安全風險也不一樣。例如,光傳送網與 5G 核心網(5G Core)所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備,轉發用戶面數據流量,設備分散部署,從用戶面很難攻擊到傳送網設備,面臨的安全風險主要來自管理面;而5G 核心網是 5G 網路的神經中樞,在雲化基礎設施上集中部署,由於 5G 網路能力開放,不僅有來自管理面的風險,也有來自互聯網的風險,一旦被滲透攻擊,影響面極大。再如,5G 無線接入網(5GRAN)和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面,從現網運維實踐來看,RAN 被滲透的攻擊的案例極其罕見,風險相對較小。5G Core 的雲化、IT 化、服務化(SBA)架構,傳統的 IT 系統的風險也引入到電信網路;網路能力開放、用戶埠功能(UPF)下沉到邊緣等,導致介面增多,暴露面擴大,因此,5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後,運營商應按照不同的網路單元,全面做好每個網路單元的安全風險評估。
2. 做好電信網路三個平面的安全風險評估
電信網路分為三個平面:控制面、管理面和用戶面,對電信網路的安全風險評估,應從三個平面分別入手,分析可能存在的安全風險。
控制面網元之間的通信依賴信令協議,信令協議也存在安全風險。以七號信令(SS7)為例,全球移動通信系統協會(GSMA)在 2015 年公布了存在 SS7 信令存在漏洞,可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽;如果信令網關解析信令有問題,外部攻擊者可以直接中斷關鍵核心網元。例如,5G 的 UPF 下沉到邊緣園區後,由於 UPF 所處的物理環境不可控,若 UPF 被滲透,則存在通過UPF 的 N4 口攻擊核心網的風險。
電信網路的管理面風險在三個平面中的風險是最高的。例如,歐盟將 5G 管理面管理和編排(MANO)風險列為最高等級。全球電信網路安全事件顯示,電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案(4A)、堡壘機、安全運營系統(SOC)、多因素認證等安全防護措施,但是,在通信網安全防護檢查中,經常會發現管理面安全域劃分不合理、管控策略不嚴,安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象,導致管理面的系統容易被滲透。
電信網路的用戶面傳輸用戶通信數據,電信網元一般只轉發用戶面通信內容,不解析、不存儲用戶數據,在做好終端和互聯網介面防護的情況下,安全風險相對可控。用戶面主要存在的安全風險包括:用戶面信息若未加密,在網路傳輸過程中可能被竊聽;海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊(DDoS);用戶面傳輸的內容可能存在惡意信息,例如惡意軟體、電信詐騙信息等;電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。
3. 做好內外部介面的安全風險評估
在開展電信網路安全風險評估時,應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險,尤其是重點做好外部介面風險評估。以 5G 核心網為例,5G 核心網存在如下外部介面:與 UE 之間的 N1 介面,與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等,還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域,存在不同風險。根據3GPP 協議標準定義,在 5G 非獨立組網(NSA)中,當用戶漫遊到其他網路時,該用戶的鑒權、認證、位置登記,需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通,需要經過公網傳輸。因此,這些漫遊介面均為可訪問的公網介面,而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。
4. 做好虛擬化/容器環境的安全風險評估
移動核心網已經雲化,雲化架構相比傳統架構,引入了通用硬體,將網路功能運行在虛擬環境/容器環境中,為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難,並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化(NFV)環境面臨傳統網路未遇到過的新的安全威脅,包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括:通過虛擬網路竊聽或篡改應用層通信內容,攻擊虛擬存儲,非法訪問應用層的用戶數據,篡改鏡像,虛擬機(VM)之間攻擊、通過網路功能虛擬化基礎設施(NFVI)非法攻擊 VM,導致業務不可用等。
5. 做好暴露面資產的安全風險評估
電信網路規模大,涉及的網元多,但是,哪些是互聯網暴露面資產,應首先做好梳理。例如,5G網路中,5G 基站(gNB)、UPF、安全電子支付協議(SEPP)、應用功能(AF)、網路開放功能(NEF)等網元存在與非可信域設備之間的介面,應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口,因此,需重點做好暴露面資產的風險評估和安全加固。
四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議
參考國際上通行的 IPDRR 方法,運營商應根據場景化安全風險,按照事前、事中、事後三個階段,構建電信網路安全防護能力,實現網路高韌性、數據高安全性。
1. 構建電信網路資產、風險識別能力
建設電信網路資產風險管理系統,統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本,定期開展資產和風險掃描,實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元,例如,MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄(AD)域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵,對電信網路的影響極大,因此,應做好對安全關鍵功能設備資產的識別和並加強技術管控。
2. 建立網路縱深安全防護體系
一是通過劃分網路安全域,實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域;管理面的網路管理安全域(NMS),其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區;對外暴露的網元(如 5G 的 NEF、UPF)等放在半信任區,核心網控制類網元如接入和移動管理功能(AMF)等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器(HSS)、統一數據管理(UDM)等放在信任區進行保護,並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護,包括互聯網邊界、承載網邊界,基於對邊界的安全風險分析,構建不同的防護方案,部署防火牆、入侵防禦系統(IPS)、抗DDoS 攻擊、信令防護、全流量監測(NTA)等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心(VDC)/虛擬私有網路(VPC)隔離,例如通過防火牆(Firewall)可限制大部分非法的網路訪問,IPS 可以基於流量分析發現網路攻擊行為並進行阻斷,VDC 可以實現雲內物理資源級別的隔離,VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內,採用虛擬區域網(VLAN)、微分段、VPC 隔離,實現網元訪問許可權最小化控制,防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單,在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。
3. 構建全面威脅監測能力
在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力,通過部署深度報文檢測(DPI)類設備,基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力,構建操作系統(OS)入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式,構建全面威脅安全態勢感知平台,及時發現各類安全威脅、安全事件和異常行為。
4. 加強電信網路管理面安全風險管控
管理面的風險最高,應重點防護。針對電信網路管理面的風險,應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等,防止越權訪問,防止從管理面入侵電信網路,保護用戶數據安全。
5. 構建智能化、自動化的安全事件響應和恢復能力
在網路級縱深安全防護體系基礎上,建立安全運營管控平台,對邊界防護、域間防護、訪問控制列表(ACL)、微分段、VPC 等安全訪問控制策略實施統一編排,基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析,及時發現入侵行為,並能對攻擊行為自動化響應。
(本文刊登於《中國信息安全》雜志2021年第11期)