中文
在过去,蜂窝网络曾被认为是相当安全的。从本质上来说,蜂窝网络几乎是一个闭环环境,涉及的厂商数量很少,而且采用的都是专有程度非常高的系统,因此在新闻媒体中几乎不可能找到任何有关运营商遭遇黑客袭击或攻击的实例。虽然过去几年中曾出现过若干次尝试,但可以量化的攻击成功案例犹如凤毛麟角,可以说是根本不存在。
但一切正在改变。5G所预示的不仅仅是更高的带宽和更低的时延,还有蜂窝网络设计、运行和与更广阔的ICT世界互连方式中的根本性变革。多数运营商都在软件定义和以云为中心的架构中采用更具扩张性的更多厂商。5G提供的激动人心的潜力包括智慧城市应用、专有企业5G网络,以及采用5G替代传统紧急服务无线电网络的增长趋势。
由于采用了这种日益开放且更加灵活的方法,蜂窝网络也就更容易暴露在潜在恶意攻击者的面前。在网络安全惯例中,人们将大部分的注意力都放在通过承载网络业务流量的用户面(或数据面)发动的攻击上,但为控制面提供安全保护也是非常有必要的,因为控制面承载的是关键的信令流量。业界正在逐步正视这些潜在的漏洞,并向公认的最佳惯例应对措施不断聚拢。
标准的支撑
3GPP正在主持多项倡议的推进。3GPP处于网络设备安全性保障方案(NESAS)金字塔的顶端,而该方案的目的是对确保产品开发和产品生命周期进程安全性的各项安全性要求及评估框架进行定义,同时3GPP还定义了用于网络设备安全性评价的各类测试例。
这一进程的产物便是完全从业界角度开发出来的3GPP安全性保障方法学(SECAM),其侧重点是通用标准(CC)和通用标准认可安排(CCRA)框架及其在移动网络中的实施。
在节点层面上,我们还拥有5G安全保障规格(SCAS),专门用于为网络设备实施一个或多个3GPP网络功能而定义各项安全要求和测试例。在这一阶段,我们需要在各组成部分上运行具体的测试,包括接入移动性管理功能(AMF)、用户面功能(UPF),以及会话管理功能(SMF)等。根据该规格,这些节点会经历一系列的测试,其中就包括一些关键的组成部分,例如漏洞、一致性和应用测试。
利用持续集成/持续部署(CI/CD)实现自动化
然而,这并不是个一劳永逸的进程。高更新频度和巨大的厂商数量意味着3G和4G网络中近乎静止的变化步伐将永远成为历史。过去几个月才会考虑一次更新修改,而如今取而代之的是每周,甚至每天都要进行修改的急促节奏。
正因如此,NESAS、SECAM和SCAS安全进程链必须成为一种持续且高度自动化的进程。这种转变一直都是思博伦开发团队关注的重点。思博伦在本月刚刚发布的5G核心网安全自动化软件包是对我们业界首创的基于订阅的5G核心网自动化平台
的一种增补,而且是一种完全遵循3GPP测试方法学的包围及端到端测试解决方案。该软件包基本上就是一个持续更新的安全测试库,会在下层SCAS规格的基础上通过后续的修订和增补逐步增长。
针对分布式拒绝服务(DDoS)和中间人(MITM)攻击,我们还进一步将安全攻击仿真测试也包含在内。
来自5G核心网自动化平台的反馈极为积极,而其中的亮点之一便是实施工作能够以无缝方式融入持续集成和持续部署(CI/CD)工作流程中,而此类工作流程正在成为向市场有效交付5G的关键。
在执行全面测试时,自动化是节省时间的主要因素。理论上,SCAS测试可以手动执行,但自动化的效率可以高出一个数量级,而且是CI/CD生命周期中的一个关键组成部分-是在网络更新快速变化的步伐下保持性能和功能的必备能力。从使用5G核心网自动化平台的第一天起,客户便可从数量巨大(且不断增长)的自动化现成可用测试例中受益,因为这些测试例融合了我们在5G、自动化和安全性方面经年累积下来的丰富专业知识。其结果便是节省80%的成本,并使入市速度提高60%。
最后要提及的一点是,我们接触过的运营商都诚心认为必须以极为严肃的态度对待安全需求。尤其是5G正逐步成为一种关键基础设施,例如作为第一响应者通信、闭路监控的骨干网,或者是作为自主驾驶车辆设计中的组成部分。安全入侵不仅会使整个网络陷入瘫痪,对政府、消费者,以及运营商的声誉带来毁灭性的后果,而且也会摧毁人们对5G的信任。
无论是对我们的业界,还是更广泛的整个社会,5G都是游戏规则的改变者。要想让5G的潜力变为各界乐见的现实,确保5G的安全可能将是这一进程中最重要的组成部分。
