電信網(wǎng)絡(luò)IT化安全風(fēng)險(xiǎn)大增：業(yè)界需轉(zhuǎn)變安全管理思路

電信網(wǎng)絡(luò)IT化雖然讓網(wǎng)絡(luò)變得更加簡(jiǎn)單、高效，但也增加了網(wǎng)絡(luò)的安全威脅。從人們熟知的偽基站、虛假電話到系統(tǒng)漏洞，尤其是IoT的來(lái)臨，網(wǎng)絡(luò)安全形勢(shì)更為嚴(yán)峻。

即使是目前最為先進(jìn)的已大規(guī)模商用的4G網(wǎng)絡(luò)，安全問(wèn)題并不比傳統(tǒng)的2G、3G少。同時(shí)，由于電信運(yùn)營(yíng)商及電信協(xié)會(huì)尚未習(xí)慣IT化帶來(lái)的漏洞多發(fā)，解決速度及版本升級(jí)緩慢。

未來(lái)5G網(wǎng)絡(luò)將承載更多的設(shè)備、信息，如果網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題，不僅會(huì)大大降低用戶體驗(yàn)，更為嚴(yán)重的是將影響社會(huì)生活的穩(wěn)定。

網(wǎng)絡(luò)IT化帶來(lái)新的安全風(fēng)險(xiǎn)

雖然，網(wǎng)絡(luò)IT化讓電信網(wǎng)絡(luò)更加靈活多變，能夠適應(yīng)越來(lái)越豐富的業(yè)務(wù)類型，能夠?yàn)樾屡d業(yè)務(wù)預(yù)留出彈性擴(kuò)容的空間，滿足未來(lái)發(fā)展的需求。但從CT向IT轉(zhuǎn)化，也讓電信網(wǎng)絡(luò)變得像IT網(wǎng)絡(luò)一樣，可被攻擊的層面越來(lái)越多，也變得更容易遭受攻擊，網(wǎng)絡(luò)漏洞變得越來(lái)越多。

例如，今年年初，安全公司發(fā)現(xiàn)了名為幽靈接線員的漏洞，該漏洞是LTE網(wǎng)絡(luò)中首歌高危險(xiǎn)性的信令漏洞，其利用了從LTE話音解決方案之一CSFB中缺少鑒權(quán)的漏洞，可冒充被叫接收呼入電話和短信；可冒充主角呼出電話發(fā)出短信；可獲得目標(biāo)手機(jī)的手機(jī)號(hào)碼；可利用手機(jī)號(hào)碼和短信驗(yàn)證碼重置各種互聯(lián)網(wǎng)賬戶�？上攵�之，綁定銀行卡的支付類APP如支付寶、微信將面臨巨大風(fēng)險(xiǎn)。

隨著5G到來(lái)，對(duì)安全更是提出了新的要求，一是速度大幅提高，多制式和高速接入需要高性能的安全處理能力，僅僅靠安全處理速率已經(jīng)不適用了，需要高性能的計(jì)算和處理機(jī)制；二個(gè)是海量IoT設(shè)備的高效接入和安全管理。

中國(guó)電科首席專家，衛(wèi)士通信息產(chǎn)業(yè)公司的總工程師曾浩洋表示，基于SDN、NFV和云計(jì)算的5G網(wǎng)絡(luò)雖然更加靈活、智能、高效和開放，但網(wǎng)絡(luò)架構(gòu)的變革也帶來(lái)了網(wǎng)絡(luò)安全的改變。如網(wǎng)絡(luò)切片，在安全上打破了原來(lái)以物理設(shè)備為邊界的服務(wù)模式，需要建立起以虛擬資源和虛擬功能為目標(biāo)的安全防護(hù)體系。

異構(gòu)無(wú)線接入，需要安全提供一個(gè)通用的認(rèn)證機(jī)制，能夠在不同的接入技術(shù)和不同的運(yùn)營(yíng)商之間建立一個(gè)安全的網(wǎng)絡(luò)。同時(shí)也要保證終端在異構(gòu)網(wǎng)絡(luò)之間進(jìn)行切換時(shí)的安全互操作；

網(wǎng)絡(luò)能力開放，打破了以前以能力封閉換取能力提供者自身安全性的思路，使得能力的使用者可以通過(guò)開放的接口對(duì)服務(wù)的提供者進(jìn)行攻擊。

網(wǎng)絡(luò)安全需要全新思路

相對(duì)于互聯(lián)網(wǎng)對(duì)于漏洞修復(fù)的速度，電信行業(yè)則顯得緩慢許多。除了有各種各樣的因素，如各種設(shè)備升級(jí)困難，老舊設(shè)備不能升級(jí)等問(wèn)題，最關(guān)鍵的是電信行業(yè)還未對(duì)漏洞變得越來(lái)越多的情況做好準(zhǔn)備。電信行業(yè)需要從電信網(wǎng)絡(luò)是安全的思維，轉(zhuǎn)變到通信網(wǎng)絡(luò)本身不是那么安全的思維當(dāng)中。更多的是考慮不斷有新漏洞發(fā)現(xiàn)的時(shí)候，怎么應(yīng)對(duì)它。

360首席安全官譚曉生表示，目前電信行業(yè)對(duì)于漏洞的反應(yīng)速度遠(yuǎn)慢于互聯(lián)網(wǎng)行業(yè)，同時(shí)相互協(xié)調(diào)也更加復(fù)雜。例如，今年1月，360公司發(fā)現(xiàn)幽靈接線員漏洞，并在2月份通報(bào)給三大運(yùn)營(yíng)商商，3月報(bào)告給GSMA漏洞平臺(tái)，4月份，中移動(dòng)修復(fù)漏洞，而到現(xiàn)在其他運(yùn)營(yíng)商仍在修復(fù)中。

而在去年4月，360公司在安全會(huì)議報(bào)告了LTE重定向漏洞，2016年10月蘋果公司在3GPP RAN2提議修改標(biāo)準(zhǔn)，2016年11月，中移動(dòng)在3GPP RAN2提出修復(fù)有困難，一直到2017年2月份，諾基亞在3GPP SA3提出其他修復(fù)方案，目前仍在討論之中。

不過(guò)，好的趨勢(shì)是，電信設(shè)備的可升級(jí)能力正在不斷加強(qiáng)，在FFC的DA16—1282文檔里，對(duì)5G安全提出了補(bǔ)丁管理機(jī)制，其類似于IT網(wǎng)絡(luò)漏洞修復(fù)機(jī)制，這將大大提升未來(lái)5G網(wǎng)絡(luò)漏洞修復(fù)效率。

電信運(yùn)營(yíng)商、電信設(shè)備商也針對(duì)5G安全推出多種解決方案，例如針對(duì)空口協(xié)議需對(duì)終端潛在安全入侵、安全事件、dos攻擊等方面進(jìn)行設(shè)計(jì)。同時(shí)，要增強(qiáng)隱私保護(hù)，比如LTE中沒(méi)有相關(guān)的解決方案的IMSI攻擊在5G中添加解決方案。此外，未來(lái)網(wǎng)絡(luò)開放之后，要對(duì)硬件、軟件、業(yè)務(wù)邏輯，所有的網(wǎng)絡(luò)切片等網(wǎng)絡(luò)所有環(huán)節(jié)進(jìn)行安全掃描、安全檢測(cè)，為網(wǎng)絡(luò)提供安全保障。