5G 环境下信息系统网络安全保障模型研究

2021-06-01

数字技术与应用 2021年4期

(四川省工业和信息化研究院,四川成都 610017)

0 引言

5G,即第五代移动通信技术是最新一代蜂窝移动通信技术[1]。5G的性能目标是高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接[2]。5G采用了超密集异构网络、自组织网络、内容分发网络、D2D 通信、M2M通信和信息中心网络等关键技术[3]。

在国家总体战略部署下,各地纷纷推出了各自的政策,推进5G产业快速发展。5G网络建设和应用系统建设得到了迅猛发展,与此同时,5G安全问题也逐渐凸显出来。一方面,5G网络的新特性,给5G信息系统在不同应用场景带来了千差万别的挑战和安全威胁;另一方面,5G网络系统暴露出的安全问题,也直接威胁着5G信息系统的安全;最后,信息系统自身的安全问题,也会反过来给5G通信网络带来冲击,威胁着5G通信网络的安全稳定[4]。

总体上来看,目前的5G 应用系统建设都针对系统的各个层面从技术上采取了安全措施,给出了具体的安全解决方案。但尚未建立全面的安全保障体系。基于上述问题,本论文提出的保障体系包括了国家战略、政策法规、标准规范、人力资源、认证认可与质量监督、产品测评、技术与信息等保障要素。

1 CISAW安全模型

目前,针对5G 环境下信息系统网络安全保障尚无统一的安全架构和框架。值得参考的是5G 推进组IMT 提出的安全框架、5G 医疗行业应用安全架构以及中国移动在《5G智慧城市白皮书》中给出的安全架构和CISAW安全模型[5]。

CISAW(Certification of Information Security Assurance Worker,信息安全保障人员认证)信息安全保障模型,是中国网络安全审查技术与认证中心(CCRC)于2015年,在我国863专家组的WPDRRC安全模型的基础上提出的[6-10]。

CISAW 模型在WPDRRC 模型的基础上,明确信息安全保障的本质对象,抽象出数据、载体、环境与边界4个实体对象,增加管理和资源两大基本要素。具体内容请参看图1。模型中的资源具体包括了人、财务、信息、技术4类资源[11-15]。这些资源在管理的基础上服务于信息安全保障模型中的各个要素。

图1 CISAW 安全模型Fig.1 CISAW security model

2 5G安全保障模型

本课题将CISAW安全保障模型与5G环境下信息系统网络安全保障相结合,提出5G 环境下信息系统网络安全保障模型,如图2所示。

图2 5G 环境下信息系统网络安全保障模型Fig.2 Network security guarantee model of information system in 5G environment

本质对象:5G环境下信息系统网络安全保障的最终目的还是为了保障该信息系统所支撑5G 应用业务的正常开展。这些业务包括5G应用的千行百业的应用系统。保障工作的开展,从管理和技术角度而言需从具体实体对象入手。

实体对象:5G 环境下信息系统实体对象可从业务数据,以及构成系统的云、网、端入手,确保其全生命周期安全属性的实现,以支撑业务的正常开展。“云”指与应用系统相关的云计算、数据中心、机房等软硬件设备设施;“网”指与该信息系统相关的5G网络、专网、局域网等不同类型的传输环境;“端”指5G网络接入终端及相关应用系统。

保障环节:为了实现实体对象的安全属性,需要在合规要求、风险评估、建设实施、安全运维、应急处理和持续改进环节,采取相关的安全措施和管理。

保障资源:5G 环境下信息系统网络安全的保障需要提供充足的资源,这些资源包括人力资源、财务资源、技术资源和信息资源。人力资源涉及到5G 环境下信息系统建设各个环节的人才,包括架构师、设计师、工程师、分析师等;技术资源涉及到安全保障产品、技术研发、技能培训等;信息资源涉及到信息共享平台、知识库等。

管理:5G 环境下信息系统网络安全保障体系建立在管理之上,5G业务连续性,数据、云、网、端等实体对象,保障环节的安全措施乃至5G信息系统网络安全保障资源都需要有效、高效的管理。

2.1 合规要求

实施安全保障必须符合相关法律法规、标准规范和监管部门的要求。分析合规要求,是实施5G环境下信息系统网络安全保障的首要工作。同时,分析合规要求应兼顾两个方面的要求:一方面要分析国家对5G 安全保障的一般性安全要求;另一方面还要分析相关部门对相应5G 安全保障的特殊性安全要求。《网络安全法》体现出国家对5G安全保障的一般性要求,其十分注重公共通信和信息服务、能源、交通、电力、金融、公共服务、电子政务等重要行业的数据安全,分别对电子政务安全支持与促进、网络运行安全、网络信息安全、监测预警与应急、法律责任等做出规定。在网络安全和促进方面,其规定国家要制定网络安全相关策略,坚持网络安全与信息化发展并重,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。同时,其明确提出国家网信部门负责统筹协调网络安全工作和相关监督管理工作,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施。除此之外,医疗、能源、交通等具体行业都对其相应的5G 安全问题提出了特殊性的要求。

2.2 风险评估

风险评估是风险应对的基础,开展风险评估能够全面识别所在领域面对的潜在安全风险,为制定完善的安全保障措施奠定坚实基础。开展风险评估应采用科学的方法和先进的工具,并遵循规范的流程。同时,风险评估一定要5G 应用领域具体的实际情况出发,全面分析所拥有的5G 环境下信息系统可能面临的各种风险。要对物理环境、逻辑环境、载体、技术及管理人员等多个层面的风险进行评估。首先,要关注对物理环境的风险评估,要定期对机房安全及设备安全进行风险评估。其次,要注重对载体的分析概念评估和维护,为数据安全提供支撑。再次,在技术层面,要注重对技术脆弱性的风险评估,要针对服务器、操作系统、网络机构、操作系统等设置不同的数据防护技术,同时针对数据建设和运行的全生命周期采取不同的技术,随时检测,随时更新。一旦发现某一环节或某一部分的技术防护薄弱环节就要立即采取优化措施。最后还要注重对管理和人员风险的评估。例如关注日常安全管理是否落实,是否规范,关注管理人员是否恶意使用数据,是否跨越职权,滥用权力。除此之外,还要对黑客攻击、信息泄密等情况进行风险评估,为制定相应的防护措施和保障体系奠定坚实的全方位的基础。

2.3 建设实现

5G 环境下信息系统建设,应在充分开展风险评估的基础上,确认系统建设的功能、性能及安全性需求,从系统结构、构成要素(如软件、硬件、设备、设施等)出发,编制系统建设的技术方案和实施方案,并开展方案的评审,确保方案的合规、规范,以及与系统建设需求的一致性。在建设实施过程中,详细记录实施过程,并严格按照安全规范进行安装、调试和测试,同时开展系统安全态势监视,及时发现系统及过程风险并进行处置。开展安全测试,确保测试方案与技术方案的一致性;确保测试工具的安全性,确保测试人员的安全性和胜任度。开展项目试运行,以验证系统运行的稳定性。

2.4 安全评价

实施5G应用信息系统安全保障工作的成效应定期开展安全评价工作,应结合5G 应用信息系统的目标和相应的应用领域实际情况,采用科学的方法,借助先进的工具,从保障对象、保障资源、合规要求、安全策略、风险评估、保障措施、安全监控等方面出发,评价5G应用信息系统安全保障工作的成效。需要注意的是,开展安全评价应充分结合自评和他评,不仅要开展自身安全评估,还要邀请第三方机构开展安全评估。很多时候,第三方机构的安全测评更为重要。5G 应用信息系统评价的目的是全面评价信息系统和网络安全保障的完备性、管理组织的有效性、业务运营保障能力的有效性、技术保障及大数据安全的长效性。此时要以应用领域数据特殊性,对其数据、载体、环境与边界分别进行安全评价。在进行安全评价时,可以从其内部机构成立专门的评价小组和机构,也可以聘请专业人员或第三方组织进行客观专业的评价。除此之外,应该注重评价方法的科学性和可靠性,借助评价量表等工具,对应用领域系统建设、运维和管理的全过程进行安全评价。最后得出安全保障措施和安全保障体系的成效,为更好的优化保障提供基础。

2.5 安全运维

建立安全运维团队或外包给信息安全服务公司开展5G环境下信息系统的安全运维。充分调研运维需求,设计安全运维方案,明确安全运维的范围、内容、方式和服务级别。开展日常巡检,记录5G环境下信息系统中软硬件系统、设备、设施的日常运行情况,及时解决发现的问题和故障。建立应急响应团队,编制应急预案,定期开展应急演练。定期对5G环境下信息系统中关键的信息资产,依据安全基线,进行健康检查,发现问题及时处理。依据安全基线,对5G环境下信息系统安全保障措施进行定期检查,更新检测特征库、病毒库,更新系统版本、安装补丁,开展安全监测和病毒扫描,对关键信息资产进行优化和加固。定期报告安全运维的总体情况。

2.6 安全监控

针对5G应用系统安全存在的潜在威胁应进行全方位的实时监控,通过实时监控分析用户和系统的行为审计系统配置和漏洞。评估电子政务系统和数据的完整性,识别攻行为对异常行为进行统计和跟踪尽可能早地发现可能存在的风险实施安全监控是启用相应安全保障措施的基础,只有及时发现可能存在的风险,相应的安全保障措施才能最大限度地发挥作用。安全监控是电子政务安全保障的基础性工作,也是日常工作中最为重要、最为繁重的一部分工作。在5G应用系统安全监控环节,主要是感知并5G 应用系统安全存在的风险和威胁,发现和审计物理环境和逻辑环境可能存在的安全风险,对5G 应用系统安全风险进行及时的追踪和预防。在这个过程中,首先要注意运用人工智能和机器学习等技术,初步实现智能判断和预测,快速捕捉安全风险,对事态进行分析和走势判断。其次,提升人员敏感捕获信息和分析信息的素质,要借鉴以互联网为基础的信息收集技术、数据分析技术、趋势研判技术、情报追踪技术、案例搜索技术、决策辅助技术等作为安全监控和分析的基础。

2.7 保障资源

5G环境下信息系统网络安全保障资源是指保障5G环境下信息系统网络安全的资源,它服务于5G 环境下信息系统网络安全保障对象生命周期的各个安全环节,具体可分为5G环境下信息系统网络安全人力资源、信息资源、技术资源和财务资源,如下图所示。其中人力资源是最有“活力”的资源,是推进5G环境下信息系统网络安全保障的主要动力,技术资源是推进5G 环境下信息系统网络安全的根本保障,信息资源和财务资源则是5G 环境下信息系统网络安全的重要保障。