'鄔賀銓:新技術的引入是把雙刃劍 需正視5G網絡安全挑戰'
在昨日舉行的“第五屆互聯網安全領袖峰會”上,中國工程院院士鄔賀銓指出,5G具有增強移動寬帶、高可靠低時延和廣覆蓋大連接等特性,帶來了業務的開放性、多樣性、智能型、高可靠和敏捷性,為5G從面向消費者的應用擴展到面向產業的應用奠定了基礎。但是也要看到虛擬化和軟件定義等新技術的引入為網絡帶來了一些新的安全風險,需要正視5G帶來的安全挑戰。
在昨日舉行的“第五屆互聯網安全領袖峰會”上,中國工程院院士鄔賀銓指出,5G具有增強移動寬帶、高可靠低時延和廣覆蓋大連接等特性,帶來了業務的開放性、多樣性、智能型、高可靠和敏捷性,為5G從面向消費者的應用擴展到面向產業的應用奠定了基礎。但是也要看到虛擬化和軟件定義等新技術的引入為網絡帶來了一些新的安全風險,需要正視5G帶來的安全挑戰。
新技術的引入帶來新的安全隱患
互聯網初期網絡不夠穩定,所有業務都以IP包的方式獨立選路。對於視頻類長的IP流切成小包選路效率太低。網絡需要在不同層次的多種轉發單元,以適應不同規模的業務流。而多轉發模式可以帶來靈活性,但需網絡具有識別業務的能力。
鄔賀銓指出,過去的網絡是“傻瓜”,簡單並對外來攻擊具有魯棒性。但是網絡功能虛擬化之後,與電信專用設備相比,更易受攻擊。同時,NFV依賴集中的網絡智能管理系統,一旦遭遇攻擊澤影響全局。但是從另一個角度來看,在網絡遭受入侵的時候,可以執行變換網元的功能,實現改變遊戲規則的動態防禦。
此外,5G還會用到SDN(軟件定義)技術。傳統IP網絡按無連接方式工作,不論前後的IP包是否屬於同一次通信而獨立選路,路徑上的每一個路由器也逐包選路,效率不高。SDN可實現業務控制層和傳送承載層分離,SDN基於大數據和人工智能形成可彈性擴展即插即用的資源池,實現端到端選路,可繞開有安全風險的路由。
“對於路由來說,過去各個路由器是獨立選路的,現在改成了集中選路,網絡操作系統會成為被攻擊的重點。同時,大網集中選路對算法的收斂性有比較高的要求,網絡穩定性是比較容易受影響的。因此,同樣的能力,對安全而言也是一把雙刃劍。”鄔賀銓表示。
在業務切片方面,未來5G會使用到網絡切片技術,而網絡切片技術對安全提出了更高的要求。比如,切片授權與接入控制;切片間的資源衝突;切片間的安全隔離;切片用戶的隱私保護等等。
鄔賀銓指出,切片技術的好處是可以隔離故障網元,做到網絡業務的隔離。但從另外一個角度來看,切片依賴於網絡資源和業務類型以及流量,要精準地把握,否則將無法組織好跟業務對應的切片。“切片本身要有很強大的操作系統,它可能會首先進行木馬的攻擊、病毒的控制,最後的影響將會使網絡癱瘓。”
移動邊緣計算的安全雙刃劍
為適應工業傳感器、視頻業務、VR/AR與車聯網以及遠程醫療等的低時延要求,需要將這些業務的存儲和內容分發下沉到邊緣計算來處理。利用邊緣計算可以過濾和壓縮數據,節省核心網資源,成本僅為單獨使用雲計算的39%。在網絡連接不穩定時仍可保證應用的可靠性。據IDC預測,未來將有超過50%的數據在邊緣測處理。到2020年邊緣計算支出將佔物聯網基礎設施總支出的18%,成本僅為單獨使用雲計算的39%。
在昨日舉行的“第五屆互聯網安全領袖峰會”上,中國工程院院士鄔賀銓指出,5G具有增強移動寬帶、高可靠低時延和廣覆蓋大連接等特性,帶來了業務的開放性、多樣性、智能型、高可靠和敏捷性,為5G從面向消費者的應用擴展到面向產業的應用奠定了基礎。但是也要看到虛擬化和軟件定義等新技術的引入為網絡帶來了一些新的安全風險,需要正視5G帶來的安全挑戰。
新技術的引入帶來新的安全隱患
互聯網初期網絡不夠穩定,所有業務都以IP包的方式獨立選路。對於視頻類長的IP流切成小包選路效率太低。網絡需要在不同層次的多種轉發單元,以適應不同規模的業務流。而多轉發模式可以帶來靈活性,但需網絡具有識別業務的能力。
鄔賀銓指出,過去的網絡是“傻瓜”,簡單並對外來攻擊具有魯棒性。但是網絡功能虛擬化之後,與電信專用設備相比,更易受攻擊。同時,NFV依賴集中的網絡智能管理系統,一旦遭遇攻擊澤影響全局。但是從另一個角度來看,在網絡遭受入侵的時候,可以執行變換網元的功能,實現改變遊戲規則的動態防禦。
此外,5G還會用到SDN(軟件定義)技術。傳統IP網絡按無連接方式工作,不論前後的IP包是否屬於同一次通信而獨立選路,路徑上的每一個路由器也逐包選路,效率不高。SDN可實現業務控制層和傳送承載層分離,SDN基於大數據和人工智能形成可彈性擴展即插即用的資源池,實現端到端選路,可繞開有安全風險的路由。
“對於路由來說,過去各個路由器是獨立選路的,現在改成了集中選路,網絡操作系統會成為被攻擊的重點。同時,大網集中選路對算法的收斂性有比較高的要求,網絡穩定性是比較容易受影響的。因此,同樣的能力,對安全而言也是一把雙刃劍。”鄔賀銓表示。
在業務切片方面,未來5G會使用到網絡切片技術,而網絡切片技術對安全提出了更高的要求。比如,切片授權與接入控制;切片間的資源衝突;切片間的安全隔離;切片用戶的隱私保護等等。
鄔賀銓指出,切片技術的好處是可以隔離故障網元,做到網絡業務的隔離。但從另外一個角度來看,切片依賴於網絡資源和業務類型以及流量,要精準地把握,否則將無法組織好跟業務對應的切片。“切片本身要有很強大的操作系統,它可能會首先進行木馬的攻擊、病毒的控制,最後的影響將會使網絡癱瘓。”
移動邊緣計算的安全雙刃劍
為適應工業傳感器、視頻業務、VR/AR與車聯網以及遠程醫療等的低時延要求,需要將這些業務的存儲和內容分發下沉到邊緣計算來處理。利用邊緣計算可以過濾和壓縮數據,節省核心網資源,成本僅為單獨使用雲計算的39%。在網絡連接不穩定時仍可保證應用的可靠性。據IDC預測,未來將有超過50%的數據在邊緣測處理。到2020年邊緣計算支出將佔物聯網基礎設施總支出的18%,成本僅為單獨使用雲計算的39%。
“雖然邊緣計算對數據就近處理減少了敏感數據洩露的風險。但是邊緣計算設備安全防護能力不及雲中心,對原有集中式內容監管模式帶來挑戰。” 鄔賀銓稱。
5G核心網協議互聯網化的安全代價
過去移動通信協議是專用的,不易招致外部的病毒和木馬等攻擊,但是5G的協議全面互聯網化後被外部攻擊的可能性明顯增加。與現有相對封閉的移動通信系統相比,業務能力開放的平臺使第三方可通過獲得的網絡操控能力對網絡發起攻擊,增加安全監管責任主體的劃分難度和業務數據洩露的風險。
在昨日舉行的“第五屆互聯網安全領袖峰會”上,中國工程院院士鄔賀銓指出,5G具有增強移動寬帶、高可靠低時延和廣覆蓋大連接等特性,帶來了業務的開放性、多樣性、智能型、高可靠和敏捷性,為5G從面向消費者的應用擴展到面向產業的應用奠定了基礎。但是也要看到虛擬化和軟件定義等新技術的引入為網絡帶來了一些新的安全風險,需要正視5G帶來的安全挑戰。
新技術的引入帶來新的安全隱患
互聯網初期網絡不夠穩定,所有業務都以IP包的方式獨立選路。對於視頻類長的IP流切成小包選路效率太低。網絡需要在不同層次的多種轉發單元,以適應不同規模的業務流。而多轉發模式可以帶來靈活性,但需網絡具有識別業務的能力。
鄔賀銓指出,過去的網絡是“傻瓜”,簡單並對外來攻擊具有魯棒性。但是網絡功能虛擬化之後,與電信專用設備相比,更易受攻擊。同時,NFV依賴集中的網絡智能管理系統,一旦遭遇攻擊澤影響全局。但是從另一個角度來看,在網絡遭受入侵的時候,可以執行變換網元的功能,實現改變遊戲規則的動態防禦。
此外,5G還會用到SDN(軟件定義)技術。傳統IP網絡按無連接方式工作,不論前後的IP包是否屬於同一次通信而獨立選路,路徑上的每一個路由器也逐包選路,效率不高。SDN可實現業務控制層和傳送承載層分離,SDN基於大數據和人工智能形成可彈性擴展即插即用的資源池,實現端到端選路,可繞開有安全風險的路由。
“對於路由來說,過去各個路由器是獨立選路的,現在改成了集中選路,網絡操作系統會成為被攻擊的重點。同時,大網集中選路對算法的收斂性有比較高的要求,網絡穩定性是比較容易受影響的。因此,同樣的能力,對安全而言也是一把雙刃劍。”鄔賀銓表示。
在業務切片方面,未來5G會使用到網絡切片技術,而網絡切片技術對安全提出了更高的要求。比如,切片授權與接入控制;切片間的資源衝突;切片間的安全隔離;切片用戶的隱私保護等等。
鄔賀銓指出,切片技術的好處是可以隔離故障網元,做到網絡業務的隔離。但從另外一個角度來看,切片依賴於網絡資源和業務類型以及流量,要精準地把握,否則將無法組織好跟業務對應的切片。“切片本身要有很強大的操作系統,它可能會首先進行木馬的攻擊、病毒的控制,最後的影響將會使網絡癱瘓。”
移動邊緣計算的安全雙刃劍
為適應工業傳感器、視頻業務、VR/AR與車聯網以及遠程醫療等的低時延要求,需要將這些業務的存儲和內容分發下沉到邊緣計算來處理。利用邊緣計算可以過濾和壓縮數據,節省核心網資源,成本僅為單獨使用雲計算的39%。在網絡連接不穩定時仍可保證應用的可靠性。據IDC預測,未來將有超過50%的數據在邊緣測處理。到2020年邊緣計算支出將佔物聯網基礎設施總支出的18%,成本僅為單獨使用雲計算的39%。
“雖然邊緣計算對數據就近處理減少了敏感數據洩露的風險。但是邊緣計算設備安全防護能力不及雲中心,對原有集中式內容監管模式帶來挑戰。” 鄔賀銓稱。
5G核心網協議互聯網化的安全代價
過去移動通信協議是專用的,不易招致外部的病毒和木馬等攻擊,但是5G的協議全面互聯網化後被外部攻擊的可能性明顯增加。與現有相對封閉的移動通信系統相比,業務能力開放的平臺使第三方可通過獲得的網絡操控能力對網絡發起攻擊,增加安全監管責任主體的劃分難度和業務數據洩露的風險。
據鄔賀銓介紹,傳統的互聯網沒有控制面,僅有用戶面,很多網絡功能能由管理面來支撐,即基於網管系統由人工配置。現在5G引入的SDN/NFV和網絡切片需要利用控制面信令來動態配置,網絡OS不僅要完成傳統OSS功能,還要控制網元功能的變換和業務切片的管理,業務信道編排的計算量很大而且相應時間要求很嚴。
他指出,5G的智能運維中心是5G的中樞,是安全防禦的重點。5G網絡具有對外開放業務的能力,需要對開放門戶認證管理。同時,還需對來自第三方的APP實施安全認證。
大連接特性帶來的安全挑戰
5G具有三大特性,其中大連接特性帶來的安全挑戰更為突出。物聯網終端數量多,且永遠在線,易被劫持和數據被竊取,或被木馬入侵,成為DDOS攻擊的跳板。如果每個設備的每條消息都需要單獨認證,終端信令請求可能超過網絡處理能力,則會觸發信令風暴。鄔賀銓指出,“5G物聯網需要有群組認證機制。需要採用輕量化的安全機制,簡單但不失強度的加密協議,保證物聯網在安全方面增加過多的能量消耗,也不致時延太大。”
在昨日舉行的“第五屆互聯網安全領袖峰會”上,中國工程院院士鄔賀銓指出,5G具有增強移動寬帶、高可靠低時延和廣覆蓋大連接等特性,帶來了業務的開放性、多樣性、智能型、高可靠和敏捷性,為5G從面向消費者的應用擴展到面向產業的應用奠定了基礎。但是也要看到虛擬化和軟件定義等新技術的引入為網絡帶來了一些新的安全風險,需要正視5G帶來的安全挑戰。
新技術的引入帶來新的安全隱患
互聯網初期網絡不夠穩定,所有業務都以IP包的方式獨立選路。對於視頻類長的IP流切成小包選路效率太低。網絡需要在不同層次的多種轉發單元,以適應不同規模的業務流。而多轉發模式可以帶來靈活性,但需網絡具有識別業務的能力。
鄔賀銓指出,過去的網絡是“傻瓜”,簡單並對外來攻擊具有魯棒性。但是網絡功能虛擬化之後,與電信專用設備相比,更易受攻擊。同時,NFV依賴集中的網絡智能管理系統,一旦遭遇攻擊澤影響全局。但是從另一個角度來看,在網絡遭受入侵的時候,可以執行變換網元的功能,實現改變遊戲規則的動態防禦。
此外,5G還會用到SDN(軟件定義)技術。傳統IP網絡按無連接方式工作,不論前後的IP包是否屬於同一次通信而獨立選路,路徑上的每一個路由器也逐包選路,效率不高。SDN可實現業務控制層和傳送承載層分離,SDN基於大數據和人工智能形成可彈性擴展即插即用的資源池,實現端到端選路,可繞開有安全風險的路由。
“對於路由來說,過去各個路由器是獨立選路的,現在改成了集中選路,網絡操作系統會成為被攻擊的重點。同時,大網集中選路對算法的收斂性有比較高的要求,網絡穩定性是比較容易受影響的。因此,同樣的能力,對安全而言也是一把雙刃劍。”鄔賀銓表示。
在業務切片方面,未來5G會使用到網絡切片技術,而網絡切片技術對安全提出了更高的要求。比如,切片授權與接入控制;切片間的資源衝突;切片間的安全隔離;切片用戶的隱私保護等等。
鄔賀銓指出,切片技術的好處是可以隔離故障網元,做到網絡業務的隔離。但從另外一個角度來看,切片依賴於網絡資源和業務類型以及流量,要精準地把握,否則將無法組織好跟業務對應的切片。“切片本身要有很強大的操作系統,它可能會首先進行木馬的攻擊、病毒的控制,最後的影響將會使網絡癱瘓。”
移動邊緣計算的安全雙刃劍
為適應工業傳感器、視頻業務、VR/AR與車聯網以及遠程醫療等的低時延要求,需要將這些業務的存儲和內容分發下沉到邊緣計算來處理。利用邊緣計算可以過濾和壓縮數據,節省核心網資源,成本僅為單獨使用雲計算的39%。在網絡連接不穩定時仍可保證應用的可靠性。據IDC預測,未來將有超過50%的數據在邊緣測處理。到2020年邊緣計算支出將佔物聯網基礎設施總支出的18%,成本僅為單獨使用雲計算的39%。
“雖然邊緣計算對數據就近處理減少了敏感數據洩露的風險。但是邊緣計算設備安全防護能力不及雲中心,對原有集中式內容監管模式帶來挑戰。” 鄔賀銓稱。
5G核心網協議互聯網化的安全代價
過去移動通信協議是專用的,不易招致外部的病毒和木馬等攻擊,但是5G的協議全面互聯網化後被外部攻擊的可能性明顯增加。與現有相對封閉的移動通信系統相比,業務能力開放的平臺使第三方可通過獲得的網絡操控能力對網絡發起攻擊,增加安全監管責任主體的劃分難度和業務數據洩露的風險。
據鄔賀銓介紹,傳統的互聯網沒有控制面,僅有用戶面,很多網絡功能能由管理面來支撐,即基於網管系統由人工配置。現在5G引入的SDN/NFV和網絡切片需要利用控制面信令來動態配置,網絡OS不僅要完成傳統OSS功能,還要控制網元功能的變換和業務切片的管理,業務信道編排的計算量很大而且相應時間要求很嚴。
他指出,5G的智能運維中心是5G的中樞,是安全防禦的重點。5G網絡具有對外開放業務的能力,需要對開放門戶認證管理。同時,還需對來自第三方的APP實施安全認證。
大連接特性帶來的安全挑戰
5G具有三大特性,其中大連接特性帶來的安全挑戰更為突出。物聯網終端數量多,且永遠在線,易被劫持和數據被竊取,或被木馬入侵,成為DDOS攻擊的跳板。如果每個設備的每條消息都需要單獨認證,終端信令請求可能超過網絡處理能力,則會觸發信令風暴。鄔賀銓指出,“5G物聯網需要有群組認證機制。需要採用輕量化的安全機制,簡單但不失強度的加密協議,保證物聯網在安全方面增加過多的能量消耗,也不致時延太大。”
與面向消費者的應用相比,面向企業的應用一旦發生信息安全事件,其影響更嚴重。5G可以用在企業外網或企業內網,後者又分為基於5G公網與5G專網兩種。公網針對人的應用,TDD的下行較上行時隙多,而物聯網則相反,因此用5G專網作為企業內網更合適,而且內網安全性優於外網。不論5G作為企業外網還是內網,即便是5G專網,其安全防護都要特別重要。
大數據和人工智能助力網絡安全
鄔賀銓指出,5G實現了計算和通信的融合,基於大數據和人工智能的網絡運維,減少了人為的差錯,智能化的監控有利於提高網絡的安全防禦水平。
在昨日舉行的“第五屆互聯網安全領袖峰會”上,中國工程院院士鄔賀銓指出,5G具有增強移動寬帶、高可靠低時延和廣覆蓋大連接等特性,帶來了業務的開放性、多樣性、智能型、高可靠和敏捷性,為5G從面向消費者的應用擴展到面向產業的應用奠定了基礎。但是也要看到虛擬化和軟件定義等新技術的引入為網絡帶來了一些新的安全風險,需要正視5G帶來的安全挑戰。
新技術的引入帶來新的安全隱患
互聯網初期網絡不夠穩定,所有業務都以IP包的方式獨立選路。對於視頻類長的IP流切成小包選路效率太低。網絡需要在不同層次的多種轉發單元,以適應不同規模的業務流。而多轉發模式可以帶來靈活性,但需網絡具有識別業務的能力。
鄔賀銓指出,過去的網絡是“傻瓜”,簡單並對外來攻擊具有魯棒性。但是網絡功能虛擬化之後,與電信專用設備相比,更易受攻擊。同時,NFV依賴集中的網絡智能管理系統,一旦遭遇攻擊澤影響全局。但是從另一個角度來看,在網絡遭受入侵的時候,可以執行變換網元的功能,實現改變遊戲規則的動態防禦。
此外,5G還會用到SDN(軟件定義)技術。傳統IP網絡按無連接方式工作,不論前後的IP包是否屬於同一次通信而獨立選路,路徑上的每一個路由器也逐包選路,效率不高。SDN可實現業務控制層和傳送承載層分離,SDN基於大數據和人工智能形成可彈性擴展即插即用的資源池,實現端到端選路,可繞開有安全風險的路由。
“對於路由來說,過去各個路由器是獨立選路的,現在改成了集中選路,網絡操作系統會成為被攻擊的重點。同時,大網集中選路對算法的收斂性有比較高的要求,網絡穩定性是比較容易受影響的。因此,同樣的能力,對安全而言也是一把雙刃劍。”鄔賀銓表示。
在業務切片方面,未來5G會使用到網絡切片技術,而網絡切片技術對安全提出了更高的要求。比如,切片授權與接入控制;切片間的資源衝突;切片間的安全隔離;切片用戶的隱私保護等等。
鄔賀銓指出,切片技術的好處是可以隔離故障網元,做到網絡業務的隔離。但從另外一個角度來看,切片依賴於網絡資源和業務類型以及流量,要精準地把握,否則將無法組織好跟業務對應的切片。“切片本身要有很強大的操作系統,它可能會首先進行木馬的攻擊、病毒的控制,最後的影響將會使網絡癱瘓。”
移動邊緣計算的安全雙刃劍
為適應工業傳感器、視頻業務、VR/AR與車聯網以及遠程醫療等的低時延要求,需要將這些業務的存儲和內容分發下沉到邊緣計算來處理。利用邊緣計算可以過濾和壓縮數據,節省核心網資源,成本僅為單獨使用雲計算的39%。在網絡連接不穩定時仍可保證應用的可靠性。據IDC預測,未來將有超過50%的數據在邊緣測處理。到2020年邊緣計算支出將佔物聯網基礎設施總支出的18%,成本僅為單獨使用雲計算的39%。
“雖然邊緣計算對數據就近處理減少了敏感數據洩露的風險。但是邊緣計算設備安全防護能力不及雲中心,對原有集中式內容監管模式帶來挑戰。” 鄔賀銓稱。
5G核心網協議互聯網化的安全代價
過去移動通信協議是專用的,不易招致外部的病毒和木馬等攻擊,但是5G的協議全面互聯網化後被外部攻擊的可能性明顯增加。與現有相對封閉的移動通信系統相比,業務能力開放的平臺使第三方可通過獲得的網絡操控能力對網絡發起攻擊,增加安全監管責任主體的劃分難度和業務數據洩露的風險。
據鄔賀銓介紹,傳統的互聯網沒有控制面,僅有用戶面,很多網絡功能能由管理面來支撐,即基於網管系統由人工配置。現在5G引入的SDN/NFV和網絡切片需要利用控制面信令來動態配置,網絡OS不僅要完成傳統OSS功能,還要控制網元功能的變換和業務切片的管理,業務信道編排的計算量很大而且相應時間要求很嚴。
他指出,5G的智能運維中心是5G的中樞,是安全防禦的重點。5G網絡具有對外開放業務的能力,需要對開放門戶認證管理。同時,還需對來自第三方的APP實施安全認證。
大連接特性帶來的安全挑戰
5G具有三大特性,其中大連接特性帶來的安全挑戰更為突出。物聯網終端數量多,且永遠在線,易被劫持和數據被竊取,或被木馬入侵,成為DDOS攻擊的跳板。如果每個設備的每條消息都需要單獨認證,終端信令請求可能超過網絡處理能力,則會觸發信令風暴。鄔賀銓指出,“5G物聯網需要有群組認證機制。需要採用輕量化的安全機制,簡單但不失強度的加密協議,保證物聯網在安全方面增加過多的能量消耗,也不致時延太大。”
與面向消費者的應用相比,面向企業的應用一旦發生信息安全事件,其影響更嚴重。5G可以用在企業外網或企業內網,後者又分為基於5G公網與5G專網兩種。公網針對人的應用,TDD的下行較上行時隙多,而物聯網則相反,因此用5G專網作為企業內網更合適,而且內網安全性優於外網。不論5G作為企業外網還是內網,即便是5G專網,其安全防護都要特別重要。
大數據和人工智能助力網絡安全
鄔賀銓指出,5G實現了計算和通信的融合,基於大數據和人工智能的網絡運維,減少了人為的差錯,智能化的監控有利於提高網絡的安全防禦水平。
AI可對網絡流量內外所包含的無數元數據的海量關聯進行分析,實現對網絡流量異常檢測。AI技術可將包括企業運營日誌數據和外部威脅情報服務的多個信息源整合分析,具備處理上百萬數據點以及生成預測的能力,獲得最準確的網絡風險評估。在企業內部建立IT和OT統一的安全團隊和企業安全運營中心外,還要與企業的上下游實現威脅情報共享和安全防護的協同聯動,從政府和運營商獲得安全態勢感知信息。
對包括5G在內的企業網的安全需要利用大數據和人工智能技術。基於AI技術威脅檢測,軟件定義網絡與安全的聯動防禦以及安全策略智能調優,可以為企業構建全網主動防禦體系,讓威脅檢測、威脅處置以及安全運維更為智能,提高企業網絡抵禦威脅能力,降低運維成本。
相關推薦
