奇安信齐向东:5G时代传统安全防护将完全失效 内生安全是破解之法
{video=1}
新浪科技讯 9月22日上午消息,在新浪科技、新浪5G联合主办的“Refresh Your Life”新浪5G Open Day上,奇安信董事长齐向东阐述了他对5G安全的见解以及应对之策。
他认为,5G时代下,新业务场景的安全需求千差万别,需要针对不同行业的差异化需求、不同的业务场景量身定做个性化的网络安全解决方案。
“5G低时延、高带宽、大连接的特征,可以实现人与物、物与物的连接,极大推动物联网的发展,但同时网络空间与物理空间的边界正在逐渐消失,这带来了严峻的安全挑战”,他表示,这种挑战主要体现在三个方面:
第一是攻击暴露面扩大;第二是数据泄露风险加剧;第三是个性化安全需求剧增。
“可以说,真正的个性化安全从5G开始。5G是面向应用而生的,和场景关联性极强,5G时代下,新业务场景的安全需求千差万别,我们需要针对不同行业的差异化需求、不同的业务场景量身定做个性化的网络安全解决方案”,齐向东坦言,面对这三大挑战,以往采用的围墙式、补丁式的碎片化安全防护手段完全失效,黑客能够通过边缘层终端跳转进入核心网络;大量的数据汇聚后,开放度和流动率更高,更难管控,“这要求我们用内生安全的方法,让系统具有像免疫系统一样的自主、自成长、自适应的特点,从内生长出安全能力,持续保证不同应用场景下的网络安全”。据悉,内生安全是一套复杂的系统工程,它需要一个新形态的能力体系做支撑,需要用工程化、体系化的方式进行实施,实现它的关键就是安全框架。
“我相信,5G时代下,按照内生安全的网络安全框架,一定能建立起完善的网络安全协同联动防御体系,筑牢防线,共同迈向一个安全的5G时代”,齐向东说道。
欢迎持续关注新浪5G Open Day,与中国工程院院士邬贺铨,国际电信协会(ITS)常务理事、北京邮电大学教授吕廷杰,中国传媒大学新媒体研究院院长、白杨学者赵子忠,高通中国区董事长孟璞,蔚来联合创始人、总裁秦力洪、文远知行创始人兼CEO韩旭,小冰公司CEO李笛等院士专家、领军企业高管共话5G新机遇。(大鹏)
以下为演讲全文:
各位朋友们,大家好!
非常高兴参加这次新浪举办的5G Open Day论坛峰会。5G作为数字化转型的基石,已经成为国际竞争的关键领域。公开资料显示,全球已经有38个国家或地区部署了商用5G网络,截至今年7月,全球126个国家或地区的392家运营商宣布将投资5G建设。我国也在去年正式发放了5G商用牌照,现在正在如火如荼地建设中。
5G低时延、高带宽、大连接的特征,可以实现人与物、物与物的连接,极大推动物联网的发展,网络空间与物理空间的边界正在逐渐消失,这给我们带来了严峻的安全挑战。我总结主要有三个方面,主要集中在应用和场景层面:
一是攻击暴露面扩大。原来封闭的生产网络、业务系统开始向外界打开。网络、应用、数据有了更多的暴露面,带来了新的安全风险。由于终端接入更简单、成本更低、数量更大,带来了认证难、审查难、控制难等安全问题。
二是数据泄露风险加剧。数据的开放、共享和持续流动加剧了信息数据的泄露风险。5G独有的边缘计算技术,和以往用核心主机进行计算不同,每个边缘计算中心都成为了一个数据中心,边缘计算产生了大量终端侧数据,数据的实时吞吐量很大,不仅增加了攻击点、扩大了攻击范围,还更容易被篡改和窃取。
三是个性化安全需求剧增。可以说,真正的个性化安全从5G开始。5G是面向应用而生的,和场景关联性极强,5G时代下,新业务场景的安全需求千差万别,我们需要针对不同行业的差异化需求、不同的业务场景量身定做个性化的网络安全解决方案。
面对这三大挑战,以往采用的围墙式、补丁式的碎片化安全防护手段完全失效了,黑客能够通过边缘层终端跳转进入核心网络;大量的数据汇聚后,开放度和流动率更高,更难管控。这要求我们用内生安全的方法,让系统具有像免疫系统一样的自主、自成长、自适应的特点,从内生长出安全能力,持续保证不同应用场景下的网络安全。
内生安全是一套复杂的系统工程,它需要一个新形态的能力体系做支撑,需要用工程化、体系化的方式进行实施,实现它的关键就是安全框架。这个框架有三个重点:“理清楚”、“建起来”、“跑得赢”。
先说第一个重点,“理清楚”。“理清楚”,指的是体系化地梳理、设计出所需的安全能力,通俗来讲,就是企业要明确自己的需求。我们在梳理时要充分考虑所有可能涉及到的问题,设计时要根据实际情况挑选、组合、规划,给出明确标准,确保这些安全能力能够融入到应用场景中。
具体到5G领域,首先要理清楚边界和责任。我们看到一个现象,不同的人谈5G安全,内涵是完全不一样的。运营商说的安全是自己的骨干网、核心网络是否安全;5G开发者想的是协议是否安全;而用户关注的是业务、应用是不是安全。如果我们从一个全局视角去看,5G安全其实包括着网络安全、业务安全、终端安全、机制安全和行业应用安全5大层面,这5个层面的安全都是互相制约互相影响的,边界比较模糊,非常容易造成三不管地带,形成安全防护上的漏洞。
运营商的安全目标是确保5G网络基础设施的安全可用,而不是确保用户用了我的网络,系统和业务就不会遭到攻击。对用户来说,利用5G为自己的业务进行赋能、进行创新,但他并不十分清楚用了5G以后自己的业务是否安全,该如何保障安全。就好比我租了一个仓库,但是这个仓库能不能防盗、防火,没有人告诉我,我自己也没想没问。安全防护盲区就这样出现了,所以我们不仅要从运营商的视角出发,也要从行业视角、端到端的视角来看5G安全,构建一个全景逻辑,分清楚哪个应该是运营商负责的,哪个应该是企业自身要做到的。只有责任的边界明确了,5G时代下的网络安全才能真正“理清楚”。
还要把风险理清楚。需要结合5G的技术特色来进行威胁分析,才能得出应对之法。结合业界的标准方法对通信系统进行梳理后,我们发现,5G大部分的风险都是已知风险,大部分的风险场景都是已知场景。我们将5G威胁分成了5大类,36个小类和10大风险场景,还对劫持、窃听、中断等主要攻击手段进行了深入分析,梳理出所需的安全能力。
第二个重点是“建起来”。“建起来”指通过融合实现深度结合、全面覆盖。在具体建设过程中,按照全景化的技术部署模型,把安全能力组件化,以系统、服务、软硬件资源的形态合理部署。在我们发布的内生安全框架中,有一个“十大工程、五大任务”,可以指导不同行业建设符合其业务特点的网络安全架构,建立无处不在的“免疫力”,全方位保障业务安全。
我们针对5G特有的技术,设计了相应的安全能力组件和部署模型。比如针对网络切片的安全能力建设。网络切片是5G至关重要的一个特性。不同行业对网络的需求不一样,比如IoT需要的是大容量,但对延时和带宽要求不高,自动驾驶要求的是低延时,而视频终端要求的是大带宽网络,5G通过网络切片,将一个网络划分成满足不同需求的多个分片,每个分片对应不同的场景需求,分片之间互不影响。这个技术最大的挑战就是安全,因为切片意味着可以跨越不同的区域来进行网络切片协调,切片中还有共享的通用接口,来方便用户进行切片的调用和管理。一旦被非法调用,就会造成业务中断、数据丢失等后果。
我们针对这些风险,设计了多个安全组件,并将这些组件科学分配部署。例如通过访问控制、DDoS流量清洗、入侵防御、全流量威胁检测等组件来确保对网络威胁的感知和防护,通过单点登录、多因素身份认证和动态访问权限控制,确保只有授权的用户才能访问相应的业务,通过应用加解密确保应用流量不会被监听和篡改等等。
第三个重点是“跑得赢”。“跑得赢”是确保安全运行的可持续性,实现管理闭环。缺乏安全运行的安全系统,相当于“靠天吃饭”,极易被攻击。只有强调安全运行,把管理作为关键,才能跑得赢漏洞、内鬼和黑客。
“跑得赢”需要根据千差万别的应用场景,构建一套完善的实战化运行管理体系,建立层级化的日常工作、协同响应、应急处置机制,把安全工作中大量隐性活动显性化、标准化、条令化,全面落实到具体责任岗位的细致工作事项中,打通团队协作机制,做到对任务事项、事件告警、情报预警、威胁线索等各个方面的管理闭环,面对突发威胁能快速触发响应措施,迅速恢复业务运转。
我相信,5G时代下,按照内生安全的网络安全框架,一定能建立起完善的网络安全协同联动防御体系,筑牢防线,共同迈向一个安全的5G时代。谢谢大家!
{image=1}