构建安全组织体系_ 亚信安全薛辉：5G技术构建异构体系，安全尺度统一化是保障关键

据工业情报部报道，目前全国已经开设了11.3万个5G基站，截止到年底预计将达到13万人，5G定食订户将达到87万人，发展势头良好。

亚信安全首席技术官雪辉表示，5G的未来即将到来，一方面是手机制造商和消费者的狂欢，另一方面是5G技术向安全业者提出的新挑战。

5G安全，支撑异种世界的基础

决定时间、地点和人员，大家对第一位没有异议。 这是有限的游戏安全:玩法、时间、对象没有规定。 这是无限的游戏。

在5G安全的“游戏机”中，“异性”这个词很重要。

5G技术落地，为异构化打下全球夯实基础。 随之出现的是公有云、私有云和混合云的长期共存、SA (独立网络) Standalone和NSA (非独立网络) Non-Standalone的长期共存、边缘云( Telco1 MEC Telco2 MEC等)的长期共存、运用和解决方案

异构化的另一个表现是访问诸如PC、移动电话、Vehicle和Camera之类的许多终端设备。 安全需求的多样化是不可避免的，但安全需求多样化的真正课题是异构化下的安全尺度如何确保统一性。

理论上，安全是指系统活着，系统没有被篡改，系统保守秘密。 但是，在实战中，安全人员更加重视的是设计的合理性和正确性这两点，在5G的情况下实现这两点是极其困难的。

你为什么这么说呢？让我们看看“实战演习”

第一，设计合理。

黑客摧毁系统时，系统被设计成做a的工作，结果黑客突然超越权限控制系统，做d的工作。 此时，系统无法保持原来的设计约束，这往往是攻击的开始。

第二点是对的。

以反欺诈为例，攻击者经常根据系统规则开始这种“游戏”。 他们不是使用非常规的手段破坏系统，而是通过冲突程序库进行大量的尝试。 该行为对系统没有异常，但随着试行次数的增加，概率事件最终不会自毁。

这里的问题是滥用系统功能，即系统的设计有缺陷。

返回5G时，上述两个案例逐一放大。 首先，出现在异构系统之下的片段的情形意味着这种情形可以在许多层重复，每个层的实现方法可以不同(意味着增加了复杂性)以维持这些安全属性。

其次，系统之间的共存关系成为影响其设计合理性整个链路安全性的重要环节。

对于5G时代的到来，异构化的安全尺度必须统一。 对于上述问题，雪辉总结了以下三点建议

在5G基础设施中，安全不应作为“幕后英雄”存在。

把安全作为尺度，是把安全变成运营商和手机制造商等5G服务提供者的想法的范畴。 简单来说，以前只考虑网速、成本、体验，安全已经备份，现在安全不仅在其中，还在其前头。

灾难来临的时候，我们会恐慌吗？

黑鸟总是在。 根据墨菲法则，做某事有两种以上的方法，当其中一种方法发生灾害时，一定会有人做出选择。

5G的安全也不是绝对的，随着新技术的应用，新的攻击手法和战略不断出现。 所以，即使我们准备了“万全之策”，也一定有一天突然发现大事不好。

在5G的预期安全风险中，软件功能的硬件化首先出现了问题。

在现在的时代，如果认为这个功能非常重要的话，就必须设计硬件的想法很流行。 然而，这也给安全保障带来了巨大挑战。

2018年，加利福尼亚大学河滨分校( University of California，Riverside )发表了论文，公开了存在于NVIDIA GPU的3种边信道攻击的脆弱性。 这可以用于获取视频用户的互联网活动、破坏密码以及挖掘Tensor核心框架的秘密。

到目前为止，熔断、幽灵这两个安全漏洞使处理器业界陷入混乱。

那么，5G技术会遇到类似的问题吗？ 答案是肯定的。

据薛辉先生说，其实网卡上已经有破译路由器网络密码的攻击。 在其中，在5G处，控制云(也称为传送云)充当数据连接的重要角色，在获得更多益处的同时，硬件化也面临与上述相似的情形。

其次，开源软件供应链的安全问题也可能引起重大安全事故。

以XcodeGhost污染编译工具链为例，有些人选择第三方网站，因为国内开发人员下载XBOX的速度较慢。 如果编译器中嵌入了XcodeGhost病毒，则开发者写的4000个iOS代码中几乎都存在该病毒。

在5G技术中，各链路的安全保障也存在同样的问题。 假设开源软件的控制器中嵌入了高风险漏洞，作为开发人员的您本来是负责审计现有版本的。 现在，修复新漏洞的难度与以前的审计等级有100级不同，该怎么办(理想情况下，应在一小时内完成审计)

并且，边缘云( MEC )是许多相同设备的起点。

其实，缘云的物理保护起着“门”的作用。 缘云插卡，其安全性几乎无法保证。 更何况，也有直接烧毁的可能性。

4G时代，其本质之一是全球开发人员为两种低成本操作系统(安卓和iOS，他们很受攻击者欢迎，当然)编写程序，能够满足任何人的需求，不需要门槛。

很明显，边缘云并不像切开中心云那么简单，需要迁移组织、运营和计算方法，“由于服务器安全，安全漏洞只影响少数设备”的说法也不存在。

因此，边缘云很有可能在攻击者眼中受欢迎，好像2个系统处于4G时代。

其次，攻防双方对白盒化系统的理解更加平等。

至今为止的安全理念，很多制造商都认为我对外部保密，如果不让你知道的话会更安全。 现在所有的制造商几乎都这样做了，但实际上受到攻击的不少。

其原因是攻击者从“淘气孩子”变成了“反叛军”。 更多的攻击行为以组织形式出现，对于某些电信设备，从API接口、网络服务、应用、MANO、SDN控制器等进行深入研究，寻找突破口。

这意味着攻击方和足够的人才在物理上和制造商进行锯齿战争，如果保密的话就不能安全的说法。

最后是基于端到端云的安全挑战。

5G技术的应用离不开手机、IOT、人工智能等技术的附加，基于这些设备的恐吓事件、DDOS，零日攻击相继发生。 同时，5G应用系统和业务服务也面临着一系列攻击风险，如IP端口扫描TCP Syn攻击流窜、DDOS拒绝服务、APT高级威胁、IP欺诈、DNS欺诈等。

最终，这些端点通过LTE、Wifi和5G传输到5G IP核心网络，5G网络具有低延迟、丢失安全特性和“黑链”。

So，这是一个关于“病毒”传播的故事。 后者在养鸡场买到，最终感染了整个鸡场，就像得了禽流感的鸡转移到了别的鸡那样。

面对上面5G的“噩梦”，我们应该安全从哪里走？

雪辉以前认为安全设备设置在总出入的连接端口一侧的现在，在很多配置困难的防火墙规则之前，编组能力的大幅度提高成为突破防护瓶颈的关键。

5G端到端安全框架以终端安全性、接入网安全性、核心网安全性、服务/应用安全性为中心，安全组织能力的提高是点、面还是端点 其开展一直影响着共同安全的能力。

新技术的发展，也是保护安全的护卫。 不仅5G，量子加密、人工智能、VR/AR等技术的发展为安全技术提供了新的解决方案。