5G安全的棘手問題(Security)
- 2019 年 12 月 12 日
- 筆記
僅在幾年前,在文章標題中加上「移動電信安全性」一詞即可獲得在文章下面撰寫任何內容的許可,因為除了標題沒有人會關心具體內容。而如今5G的熱門程度已經改變了這一點,「5G安全」現在是一個很火的話題。
例如,上個月,我們看到美國聯邦通信委員會主席阿吉特·帕伊(Ajit Pai)在洛杉磯GSMA MWC活動上的主題演講聚焦於5G設備的安全問題。
在大西洋彼岸,歐洲電子通信監管機構BEREC (Body of European Regulators for Electronic Communications) 將年度利益相關者活動的重點放在5G安全上。
是什麼改變了嗎?5G安全顯然有地緣政治的一面,但無論如何,這並不是全部。從根本上說,5G的安全性現在很重要,因為5G將成為我們生活中許多方面的必需。
不可否認,移動電信網絡在今天是相當重要的,但將5G作為製造業、醫療保健、智能城市、工業、農業和許多其他應用的預期基本推動力,使其成為一個國家基礎設施的戰略重要組成部分。
預計5G將把移動網絡的角色從目前的數據從一個地方轉移到另一個地方,轉而履行額外的控制功能。
安全挑戰
在探究5G帶來的新安全挑戰之前,必須認識到5G網絡將比在以前的移動標準下運行的網絡更加安全。從空中接口(通過無線電波將手機連接到網絡的無線部分)到核心網絡(控制,啟用和管理移動網絡的「大腦」)的安全性問題已在解決期間得到處理和緩解,這是一個標準化過程。
5G標準是在第三代合作項目(3GPP)中制定的,在3GPP中,安全問題已經在其他專家機構的參與下得到解決,如互聯網工程特別工作組。
因此5G將從比現有移動系統更高的基準開始。但是,安全威脅是一個不斷發展的軍備競賽,新技術和新的使用方式將產生新的漏洞。
關於5G安全挑戰的公開信息很多,但是這些報告通常長達數百頁,並且必須寫給該領域的專家。儘管可以通過多種方式將這些信息提取和壓縮為重點領域,但以下四種方式非常突出:
第一:網絡切片和虛擬網絡
什麼是切片?5G網絡將廣泛使用軟件來執行其工作所需的大多數功能。過去,這是在專用硬件上完成的。 藉助5G,所有內容都在軟件中,可以立即進行更改,定製和重新配置。
它將允許移動網絡運營商創建完全在軟件中運行的虛擬網絡,並根據客戶的特定需求進行定製。使用slice的人也可以將自己的軟件、系統和網絡元素與之結合起來。
新用途和應用的潛力是巨大的,一旦全面實施,這將是5G創新的迷人領域。然而,由於使用這種新功能的新方法的新穎性以及進行更改的速度,它確實帶來了許多新的安全威脅。
第二:威脅覆蓋面
5G將擁有更多的基站或小區。使用更高的頻率,它們對於提供更大的容量和最高的性能水平至關重要。也將有更多設備連接到網絡。特別是,人們期望對許多5G連接的機器或LoT設備進行測量和控制,以使事情更高效地運行並總體上更好地運行。
5G的缺點是安全術語中稱之為「增加的威脅面」。這就意味着會有更多的東西受到攻擊,需要保護。需要仔細考慮以確保所有這些新的物聯網設備的安全,這些設備在歷史上具有較低的安全標準和能力。
不僅是設備需要注意,街道建築上的小住戶更多,這意味着諸如人身安全之類的事情需要更仔細地考慮。在一個小型手機基站的背面留下一個容易訪問的不安全端口,讓人可以插入筆記本電腦並控制手機,這是一個出人意料的容易犯的錯誤。過去,當單元站點是大型安全站點時,這並不重要,但將來會。
第三:異構網絡
5G將允許不同實體運營的獨立網絡無縫協作。這可能意味着像在公司校園運營的私有5G網絡,或在偏遠村莊的社區寬帶服務等網絡。
它也可能包括使用衛星系統或HAP的非陸地衛星。這裡的安全風險僅與最薄弱的一環緊密相關。 實際上,您如何確保正確配置由不同組織運行的所有網絡,並保持一致的安全級別?
第四:高影響力應用
關於5G安全問題辯論的一個重要部分涉及未來安全漏洞的後果。當前,如果移動網絡停止運行,則會造成問題,但最終的影響是:收發信息、觀看視頻、打電話或使用應用程序。安全漏洞也可能導致欺詐或數據盜竊。
將來,如果5G達到了預期,則由於安全漏洞而導致的網絡故障或破壞可能會發生根本性的變化。 方案包括公開個人健康數據,在工廠停止生產數周,凍結或撞毀自動駕駛汽車,在中途停止遠程定向醫療操作,這僅僅只是幾個例子。
在識別這些類型的風險時,存在着危言聳聽的成分,但事實仍然是,當5G被用於控制整個經濟中至關重要的功能時,安全問題更為重要。
聽起來很可怕,那麼解決方案是什麼?
解決5G安全問題已經做了大量工作。例如,規範中內置了更強的安全標準。政府和監管機構越來越重視5G安全。
儘早考慮這些問題對於確保認真考慮和審查任何法規並按預期進行至關重要。在這方面,全球監管機構和政府的關注是一個積極信號。
唯一能產生重大影響的地方是商業領域。健康和安全對任何公司來說都是一項必不可少的活動,由於工作本身具有危險性,因此在許多行業中,它具有深遠的現實意義。
儘管大多數國家/地區都制定了確保各行各業員工安全的規則和程序,但令人遺憾的是,人們每年仍在工作中受傷和死亡。許多政府要求公司記錄這些事件。較嚴重的事件將由官方機構進行調查,該機構將生成報告並將其公開發佈,以便每個人都可以從事故中學習。
仔細閱讀任何具有完善的安全規則和程序系統的國家的報告,就會發現一種反覆出現的模式。 幾乎每個事件都是人們不遵守規則的結果; 管理層沒有聽取關注或迫使員工無視安全性而無法按時完成任務; 或即使已經知道安全方法也沒有制定規則。 這些失敗是文化性的,ACSNI的這段話很好地總結了這些失敗:
「一個組織的安全文化是個人和群體價值觀、態度、觀念、能力和行為模式的產物…
…具有積極安全文化的組織的特點是建立在互信基礎上的溝通,對安全重要性的共同認識,以及對預防措施效力的信心。」
ACSNI人類因素研究組:第三次報告
現在5G安全變得越來越重要,現在是企業和組織採用與「安全文化」相同的「安全性文化」的時候了。任何一家涉及5G的公司,對領導者的要求都是創造一個強調三點的安全環境:
對溝通的信任——那些對安全性有擔憂的人應該知道他們會被傾聽並認真對待。
共享價值在安全性中的重要性——從董事會到呼叫中心,每個人都需要專註於安全性。
有效的系統和流程——公司領導者應創建規則,流程和標準,以確保系統和數據的安全並遵守這些規則。
簡單來說,要對「安全性」負責,並以對待人身安全相同的方式對待安全性。如果人人都這樣做,則移動網絡安全性可以再次回到無聊而匿名的主題。
