5G 環境下信息系統網絡安全保障模型研究

(四川省工業和信息化研究院,四川成都 610017)

0 引言

5G,即第五代移動通信技術是最新一代蜂窩移動通信技術[1]。5G的性能目標是高數據速率、減少延遲、節省能源、降低成本、提高系統容量和大規模設備連接[2]。5G采用了超密集異構網絡、自組織網絡、內容分發網絡、D2D 通信、M2M通信和信息中心網絡等關鍵技術[3]。

在國家總體戰略部署下,各地紛紛推出了各自的政策,推進5G產業快速發展。5G網絡建設和應用系統建設得到了迅猛發展,與此同時,5G安全問題也逐漸凸顯出來。一方面,5G網絡的新特性,給5G信息系統在不同應用場景帶來了千差萬別的挑戰和安全威脅;另一方面,5G網絡系統暴露出的安全問題,也直接威脅著5G信息系統的安全;最后,信息系統自身的安全問題,也會反過來給5G通信網絡帶來沖擊,威脅著5G通信網絡的安全穩定[4]。

總體上來看,目前的5G 應用系統建設都針對系統的各個層面從技術上采取了安全措施,給出了具體的安全解決方案。但尚未建立全面的安全保障體系。基于上述問題,本論文提出的保障體系包括了國家戰略、政策法規、標準規范、人力資源、認證認可與質量監督、產品測評、技術與信息等保障要素。

1 CISAW安全模型

目前,針對5G 環境下信息系統網絡安全保障尚無統一的安全架構和框架。值得參考的是5G 推進組IMT 提出的安全框架、5G 醫療行業應用安全架構以及中國移動在《5G智慧城市白皮書》中給出的安全架構和CISAW安全模型[5]。

CISAW(Certification of Information Security Assurance Worker,信息安全保障人員認證)信息安全保障模型,是中國網絡安全審查技術與認證中心(CCRC)于2015年,在我國863專家組的WPDRRC安全模型的基礎上提出的[6-10]。

CISAW 模型在WPDRRC 模型的基礎上,明確信息安全保障的本質對象,抽象出數據、載體、環境與邊界4個實體對象,增加管理和資源兩大基本要素。具體內容請參看圖1。模型中的資源具體包括了人、財務、信息、技術4類資源[11-15]。這些資源在管理的基礎上服務于信息安全保障模型中的各個要素。

圖1 CISAW 安全模型Fig.1 CISAW security model

2 5G安全保障模型

本課題將CISAW安全保障模型與5G環境下信息系統網絡安全保障相結合,提出5G 環境下信息系統網絡安全保障模型,如圖2所示。

圖2 5G 環境下信息系統網絡安全保障模型Fig.2 Network security guarantee model of information system in 5G environment

本質對象:5G環境下信息系統網絡安全保障的最終目的還是為了保障該信息系統所支撐5G 應用業務的正常開展。這些業務包括5G應用的千行百業的應用系統。保障工作的開展,從管理和技術角度而言需從具體實體對象入手。

實體對象:5G 環境下信息系統實體對象可從業務數據,以及構成系統的云、網、端入手,確保其全生命周期安全屬性的實現,以支撐業務的正常開展。“云”指與應用系統相關的云計算、數據中心、機房等軟硬件設備設施;“網”指與該信息系統相關的5G網絡、專網、局域網等不同類型的傳輸環境;“端”指5G網絡接入終端及相關應用系統。

保障環節:為了實現實體對象的安全屬性,需要在合規要求、風險評估、建設實施、安全運維、應急處理和持續改進環節,采取相關的安全措施和管理。

保障資源:5G 環境下信息系統網絡安全的保障需要提供充足的資源,這些資源包括人力資源、財務資源、技術資源和信息資源。人力資源涉及到5G 環境下信息系統建設各個環節的人才,包括架構師、設計師、工程師、分析師等;技術資源涉及到安全保障產品、技術研發、技能培訓等;信息資源涉及到信息共享平臺、知識庫等。

管理:5G 環境下信息系統網絡安全保障體系建立在管理之上,5G業務連續性,數據、云、網、端等實體對象,保障環節的安全措施乃至5G信息系統網絡安全保障資源都需要有效、高效的管理。

2.1 合規要求

實施安全保障必須符合相關法律法規、標準規范和監管部門的要求。分析合規要求,是實施5G環境下信息系統網絡安全保障的首要工作。同時,分析合規要求應兼顧兩個方面的要求:一方面要分析國家對5G 安全保障的一般性安全要求;另一方面還要分析相關部門對相應5G 安全保障的特殊性安全要求。《網絡安全法》體現出國家對5G安全保障的一般性要求,其十分注重公共通信和信息服務、能源、交通、電力、金融、公共服務、電子政務等重要行業的數據安全,分別對電子政務安全支持與促進、網絡運行安全、網絡信息安全、監測預警與應急、法律責任等做出規定。在網絡安全和促進方面,其規定國家要制定網絡安全相關策略,堅持網絡安全與信息化發展并重,支持培養網絡安全人才,建立健全網絡安全保障體系,提高網絡安全保護能力。同時,其明確提出國家網信部門負責統籌協調網絡安全工作和相關監督管理工作,建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施。除此之外,醫療、能源、交通等具體行業都對其相應的5G 安全問題提出了特殊性的要求。

2.2 風險評估

風險評估是風險應對的基礎,開展風險評估能夠全面識別所在領域面對的潛在安全風險,為制定完善的安全保障措施奠定堅實基礎。開展風險評估應采用科學的方法和先進的工具,并遵循規范的流程。同時,風險評估一定要5G 應用領域具體的實際情況出發,全面分析所擁有的5G 環境下信息系統可能面臨的各種風險。要對物理環境、邏輯環境、載體、技術及管理人員等多個層面的風險進行評估。首先,要關注對物理環境的風險評估,要定期對機房安全及設備安全進行風險評估。其次,要注重對載體的分析概念評估和維護,為數據安全提供支撐。再次,在技術層面,要注重對技術脆弱性的風險評估,要針對服務器、操作系統、網絡機構、操作系統等設置不同的數據防護技術,同時針對數據建設和運行的全生命周期采取不同的技術,隨時檢測,隨時更新。一旦發現某一環節或某一部分的技術防護薄弱環節就要 立即采取優化措施。最后還要注重對管理和人員風險的評估。例如關注日常安全管理是否落實,是否規范,關注管理人員是否惡意使用數據,是否跨越職權,濫用權力。除此之外,還要對黑客攻擊、信息泄密等情況進行風險評估,為制定相應的防護措施和保障體系奠定堅實的全方位的基礎。

2.3 建設實現

5G 環境下信息系統建設,應在充分開展風險評估的基礎上,確認系統建設的功能、性能及安全性需求,從系統結構、構成要素(如軟件、硬件、設備、設施等)出發,編制系統建設的技術方案和實施方案,并開展方案的評審,確保方案的合規、規范,以及與系統建設需求的一致性。在建設實施過程中,詳細記錄實施過程,并嚴格按照安全規范進行安裝、調試和測試,同時開展系統安全態勢監視,及時發現系統及過程風險并進行處置。開展安全測試,確保測試方案與技術方案的一致性;確保測試工具的安全性,確保測試人員的安全性和勝任度。開展項目試運行,以驗證系統運行的穩定性。

2.4 安全評價

實施5G應用信息系統安全保障工作的成效應定期開展安全評價工作,應結合5G 應用信息系統的目標和相應的應用領域實際情況,采用科學的方法,借助先進的工具,從保障對象、保障資源、合規要求、安全策略、風險評估、保障措施、安全監控等方面出發,評價5G應用信息系統安全保障工作的成效。需要注意的是,開展安全評價應充分結合自評和他評,不僅要開展自身安全評估,還要邀請第三方機構開展安全評估。很多時候,第三方機構的安全測評更為重要。5G 應用信息系統評價的目的是全面評價信息系統和網絡安全保障的完備性、管理組織的有效性、業務運營保障能力的有效性、技術保障及大數據安全的長效性。此時要以應用領域數據特殊性,對其數據、載體、環境與邊界分別進行安全評價。在進行安全評價時,可以從其內部機構成立專門的評價小組和機構,也可以聘請專業人員或第三方組織進行客觀專業的評價。除此之外,應該注重評價方法的科學性和可靠性,借助評價量表等工具,對應用領域系統建設、運維和管理的全過程進行安全評價。最后得出安全保障措施和安全保障體系的成效,為更好的優化保障提供基礎。

2.5 安全運維

建立安全運維團隊或外包給信息安全服務公司開展5G環境下信息系統的安全運維。充分調研運維需求,設計安全運維方案,明確安全運維的范圍、內容、方式和服務級別。開展日常巡檢,記錄5G環境下信息系統中軟硬件系統、設備、設施的日常運行情況,及時解決發現的問題和故障。建立應急響應團隊,編制應急預案,定期開展應急演練。定期對5G環境下信息系統中關鍵的信息資產,依據安全基線,進行健康檢查,發現問題及時處理。依據安全基線,對5G環境下信息系統安全保障措施進行定期檢查,更新檢測特征庫、病毒庫,更新系統版本、安裝補丁,開展安全監測和病毒掃描,對關鍵信息資產進行優化和加固。定期報告安全運維的總體情況。

2.6 安全監控

針對5G應用系統安全存在的潛在威脅應進行全方位的實時監控,通過實時監控分析用戶和系統的行為審計系統配置和漏洞。評估電子政務系統和數據的完整性,識別攻行為對異常行為進行統計和跟蹤盡可能早地發現可能存在的風險實施安全監控是啟用相應安全保障措施的基礎,只有及時發現可能存在的風險,相應的安全保障措施才能最大限度地發揮作用。安全監控是電子政務安全保障的基礎性工作,也是日常工作中最為重要、最為繁重的一部分工作。在5G應用系統安全監控環節,主要是感知并5G 應用系統安全存在的風險和威脅,發現和審計物理環境和邏輯環境可能存在的安全風險,對5G 應用系統安全風險進行及時的追蹤和預防。在這個過程中,首先要注意運用人工智能和機器學習等技術,初步實現智能判斷和預測,快速捕捉安全風險,對事態進行分析和走勢判斷。其次,提升人員敏感捕獲信息和分析信息的素質,要借鑒以互聯網為基礎的信息收集技術、數據分析技術、趨勢研判技術、情報追蹤技術、案例搜索技術、決策輔助技術等作為安全監控和分析的基礎。

2.7 保障資源

5G環境下信息系統網絡安全保障資源是指保障5G環境下信息系統網絡安全的資源,它服務于5G 環境下信息系統網絡安全保障對象生命周期的各個安全環節,具體可分為5G環境下信息系統網絡安全人力資源、信息資源、技術資源和財務資源,如下圖所示。其中人力資源是最有“活力”的資源,是推進5G環境下信息系統網絡安全保障的主要動力,技術資源是推進5G 環境下信息系統網絡安全的根本保障,信息資源和財務資源則是5G 環境下信息系統網絡安全的重要保障。

3 結語

本報告從5G網絡相關技術、戰略布局、安全風險的基本情況分析出發,結合5G網絡帶來的新特性,調研分析了5G環境下信息系統網絡安全面臨的威脅、風險,分析了5G網絡及應用的安全架構,提出了5G 環境下信息系統網絡安全保障模型。