奇安信齊向東:5G時代傳統安全防護將完全失效 內生安全是破解之法

來源：新浪科技

新浪科技訊 9月22日上午消息，在新浪科技、新浪5G聯合主辦的「Refresh Your Life」新浪5G Open Day上，奇安信董事長齊向東闡述了他對5G安全的見解以及應對之策。

他認為，5G時代下，新業務場景的安全需求千差萬別，需要針對不同行業的差異化需求、不同的業務場景量身定做個性化的網絡安全解決方案。

「5G低時延、高帶寬、大連接的特徵，可以實現人與物、物與物的連接，極大推動物聯網的發展，但同時網絡空間與物理空間的邊界正在逐漸消失，這帶來了嚴峻的安全挑戰」，他表示，這種挑戰主要體現在三個方面：

第一是攻擊暴露面擴大；第二是數據洩露風險加劇；第三是個性化安全需求劇增。

「可以說，真正的個性化安全從5G開始。5G是面向應用而生的，和場景關聯性極強，5G時代下，新業務場景的安全需求千差萬別，我們需要針對不同行業的差異化需求、不同的業務場景量身定做個性化的網絡安全解決方案」，齊向東坦言，面對這三大挑戰，以往採用的圍牆式、補丁式的碎片化安全防護手段完全失效，黑客能夠通過邊緣層終端跳轉進入核心網絡；大量的數據匯聚後，開放度和流動率更高，更難管控，「這要求我們用內生安全的方法，讓系統具有像免疫系統一樣的自主、自成長、自適應的特點，從內生長出安全能力，持續保證不同應用場景下的網絡安全」。據悉，內生安全是一套複雜的系統工程，它需要一個新形態的能力體系做支撐，需要用工程化、體系化的方式進行實施，實現它的關鍵就是安全框架。

「我相信，5G時代下，按照內生安全的網絡安全框架，一定能建立起完善的網絡安全協同聯動防禦體系，築牢防線，共同邁向一個安全的5G時代」，齊向東說道。

歡迎持續關注新浪5G Open Day，與中國工程院院士鄔賀銓，國際電信協會（ITS）常務理事、北京郵電大學教授呂廷傑，中國傳媒大學新媒體研究院院長、白楊學者趙子忠，高通中國區董事長孟璞，蔚來聯合創始人、總裁秦力洪、文遠知行創始人兼CEO韓旭，小冰公司CEO李笛等院士專家、領軍企業高管共話5G新機遇。（大鵬）

以下為演講全文：

各位朋友們，大家好！

非常高興參加這次新浪舉辦的5G Open Day論壇峰會。5G作為數位化轉型的基石，已經成為國際競爭的關鍵領域。公開資料顯示，全球已經有38個國家或地區部署了商用5G網絡，截至今年7月，全球126個國家或地區的392家運營商宣布將投資5G建設。我國也在去年正式發放了5G商用牌照，現在正在如火如荼地建設中。

5G低時延、高帶寬、大連接的特徵，可以實現人與物、物與物的連接，極大推動物聯網的發展，網絡空間與物理空間的邊界正在逐漸消失，這給我們帶來了嚴峻的安全挑戰。我總結主要有三個方面，主要集中在應用和場景層面：

一是攻擊暴露面擴大。原來封閉的生產網絡、業務系統開始向外界打開。網絡、應用、數據有了更多的暴露面，帶來了新的安全風險。由於終端接入更簡單、成本更低、數量更大，帶來了認證難、審查難、控制難等安全問題。

二是數據洩露風險加劇。數據的開放、共享和持續流動加劇了信息數據的洩露風險。5G獨有的邊緣計算技術，和以往用核心主機進行計算不同，每個邊緣計算中心都成為了一個數據中心，邊緣計算產生了大量終端側數據，數據的實時吞吐量很大，不僅增加了攻擊點、擴大了攻擊範圍，還更容易被篡改和竊取。

三是個性化安全需求劇增。可以說，真正的個性化安全從5G開始。5G是面向應用而生的，和場景關聯性極強，5G時代下，新業務場景的安全需求千差萬別，我們需要針對不同行業的差異化需求、不同的業務場景量身定做個性化的網絡安全解決方案。

面對這三大挑戰，以往採用的圍牆式、補丁式的碎片化安全防護手段完全失效了，黑客能夠通過邊緣層終端跳轉進入核心網絡；大量的數據匯聚後，開放度和流動率更高，更難管控。這要求我們用內生安全的方法，讓系統具有像免疫系統一樣的自主、自成長、自適應的特點，從內生長出安全能力，持續保證不同應用場景下的網絡安全。

內生安全是一套複雜的系統工程，它需要一個新形態的能力體系做支撐，需要用工程化、體系化的方式進行實施，實現它的關鍵就是安全框架。這個框架有三個重點：「理清楚」、「建起來」、「跑得贏」。

先說第一個重點，「理清楚」。「理清楚」，指的是體系化地梳理、設計出所需的安全能力，通俗來講，就是企業要明確自己的需求。我們在梳理時要充分考慮所有可能涉及到的問題，設計時要根據實際情況挑選、組合、規劃，給出明確標準，確保這些安全能力能夠融入到應用場景中。

具體到5G領域，首先要理清楚邊界和責任。我們看到一個現象，不同的人談5G安全，內涵是完全不一樣的。運營商說的安全是自己的骨幹網、核心網絡是否安全；5G開發者想的是協議是否安全；而用戶關注的是業務、應用是不是安全。如果我們從一個全局視角去看，5G安全其實包括著網絡安全、業務安全、終端安全、機制安全和行業應用安全5大層面，這5個層面的安全都是互相制約互相影響的，邊界比較模糊，非常容易造成三不管地帶，形成安全防護上的漏洞。

運營商的安全目標是確保5G網絡基礎設施的安全可用，而不是確保用戶用了我的網絡，系統和業務就不會遭到攻擊。對用戶來說，利用5G為自己的業務進行賦能、進行創新，但他並不十分清楚用了5G以後自己的業務是否安全，該如何保障安全。就好比我租了一個倉庫，但是這個倉庫能不能防盜、防火，沒有人告訴我，我自己也沒想沒問。安全防護盲區就這樣出現了，所以我們不僅要從運營商的視角出發，也要從行業視角、端到端的視角來看5G安全，構建一個全景邏輯，分清楚哪個應該是運營商負責的，哪個應該是企業自身要做到的。只有責任的邊界明確了，5G時代下的網絡安全才能真正「理清楚」。

還要把風險理清楚。需要結合5G的技術特色來進行威脅分析，才能得出應對之法。結合業界的標準方法對通信系統進行梳理後，我們發現，5G大部分的風險都是已知風險，大部分的風險場景都是已知場景。我們將5G威脅分成了5大類，36個小類和10大風險場景，還對劫持、竊聽、中斷等主要攻擊手段進行了深入分析，梳理出所需的安全能力。

第二個重點是「建起來」。「建起來」指通過融合實現深度結合、全面覆蓋。在具體建設過程中，按照全景化的技術部署模型，把安全能力組件化，以系統、服務、軟硬體資源的形態合理部署。在我們發布的內生安全框架中，有一個「十大工程、五大任務」，可以指導不同行業建設符合其業務特點的網絡安全架構，建立無處不在的「免疫力」，全方位保障業務安全。

我們針對5G特有的技術，設計了相應的安全能力組件和部署模型。比如針對網絡切片的安全能力建設。網絡切片是5G至關重要的一個特性。不同行業對網絡的需求不一樣，比如IoT需要的是大容量，但對延時和帶寬要求不高，自動駕駛要求的是低延時，而視頻終端要求的是大帶寬網絡，5G通過網絡切片，將一個網絡劃分成滿足不同需求的多個分片，每個分片對應不同的場景需求，分片之間互不影響。這個技術最大的挑戰就是安全，因為切片意味著可以跨越不同的區域來進行網絡切片協調，切片中還有共享的通用接口，來方便用戶進行切片的調用和管理。一旦被非法調用，就會造成業務中斷、數據丟失等後果。

我們針對這些風險，設計了多個安全組件，並將這些組件科學分配部署。例如通過訪問控制、DDoS流量清洗、入侵防禦、全流量威脅檢測等組件來確保對網絡威脅的感知和防護，通過單點登錄、多因素身份認證和動態訪問權限控制，確保只有授權的用戶才能訪問相應的業務，通過應用加解密確保應用流量不會被監聽和篡改等等。

第三個重點是「跑得贏」。「跑得贏」是確保安全運行的可持續性，實現管理閉環。缺乏安全運行的安全系統，相當於「靠天吃飯」，極易被攻擊。只有強調安全運行，把管理作為關鍵，才能跑得贏漏洞、內鬼和黑客。

「跑得贏」需要根據千差萬別的應用場景，構建一套完善的實戰化運行管理體系，建立層級化的日常工作、協同響應、應急處置機制，把安全工作中大量隱性活動顯性化、標準化、條令化，全面落實到具體責任崗位的細緻工作事項中，打通團隊協作機制，做到對任務事項、事件告警、情報預警、威脅線索等各個方面的管理閉環，面對突發威脅能快速觸發響應措施，迅速恢復業務運轉。

我相信，5G時代下，按照內生安全的網絡安全框架，一定能建立起完善的網絡安全協同聯動防禦體系，築牢防線，共同邁向一個安全的5G時代。謝謝大家！