把握5G未来：网络安全是实现5G广阔前景的关键.pdf

把握5G未来 网络安全是实现5G广阔前景的关键目录 概要： 重视机遇和 安全的5G 世界 3 进入5G时代 4 弹性设计 8 结论： 信任、弹性和实施，紧扣5G时代脉动 11 把握5G未来 2 概要 3 5G 把握 未来 重视机遇和安全的5G世界 世界各地的联网设备 正在改变人们 的生活和工作 方 式。这一变革中不 可或缺的部 分是 将这些设备连接起 来并使其能 够彼此“交谈”的通 信网络。在这一 背景下，速 度更快、 带宽更高的5G网络是一项重大的 进步，但仍需我们 对其客观看待。尽管围绕5G的宣传 甚广 ， 但 事实上 ，4G以及各 种低功 耗广域 网（LPWAN）已经实 现了5G所赋能 的诸多 服 务 项目。 即便如此， 支持5G 的核心技 术在一些 重要方面与 以往相比仍有 所突破，包括从根本 上重新定义了通 信网络的 概念。 前 四代移动通 信 技术均基于物 理架构实 现。 虽然5G 也涉及到新硬 件， 但它 首先是一个 虚拟网络 ， 并 最终将实现网 络和无线 通信的融 合。 尽管这一突破将 掀起一波 创新浪潮 ， 但5G 带来的 最大影响或许 将通过无 线技术的新 用途或增强功能才能感受 到：可能包括第四次工 业 革命（4IR）基础设施、智 慧城市、 自动驾驶汽车、远程手术和更强大的全新人工智能 （AI）系统。 而改变就发 生在新冠 肺炎疫 情这一全 球性公共 卫生 紧急事件的 大背景下 。由于政 府颁 布的“居家 令”，很 多人将利 用愈发依 赖5G 网络的 通信技术在 家办公。 那些在数 字化 转型方面表 现更优异 的企业 告诉我们 ，他们在 技术 、网络安全 和弹性工 作能力方 面的 投资，在应 对新冠肺 炎疫情时 取得了回 报。 然而这些变化也导致更为严格的网络安全审查。 有评论人士认为，5G 会增多受到对 手网络攻击的潜在对象， 因为与以往技术相比，5G 连接的设备更多， 且具有分布式 边缘计算能力。 不过，5G 可能产生的漏洞更多来 自于5G 生态系统的其他因素， 尤其 是终端设备的安全。 好消息是，5G 网络面临的这 些安全挑战是可以克服的， 这为各 方参与全球创新、实现5G技术应用的广阔前景提供 了坚实基础。进入 5G 时代 我们即将迎 来一个由5G赋能 的海量 物联网（mIoT） 支持和连接 的世界。 在这个世 界， 5G 将为我们的智慧城市、4IR 运营模式、 智能家居、 智能交通 、 智能医疗和无数 其他潜在应用提供基础。 普华永道最近在与世界经济论坛的合作中， 发表了题为 5G的影响 ：创造跨 行业和 社会新价 值 的报 告， 其中探讨了 现有5G 技术的广 泛应用 正如何改变商业环境。 如其他任何新技术一样，5G 技 术的引入要求我们 重新审视网络安全方面的举措， 但 5G 对于网络安全的高要求不应 分散规划5G 发展的 组织、 政府、 城市和行业对5G 重大 机遇的注意力。 事实上， 通过了解和应对5G 的特 定风险， 企业可以建立更强的弹性， 并将5G 作为公司创造收入和利 润的突破点， 以及 为社会做出贡献的一股重要力量。 随着新冠肺炎疫情以前所未有 的方式改变着人们 的生活和工作方式， 这一新技术在 当下变得更加重要。 谈到5G 的不 同之处 ， 数 字本身 就能说 明一切 。5G 的技术属 性（ 见 下页 总结） 意味着 5G 的 速度比4G 快大 约100 倍 ， 并 且可以 连接更 多的设 备。 此外 ， 超低 延迟（即接收 请 求响应所需 的时间） 也进一步 扩大了5G的优势 。 虽然消费者 对于能 在几秒 钟内下载 超高清 电影的 前景感到兴 奋， 但 这些技 术属性的 真正益处将 通过广 泛的创 新应用得 到体现 。 这些 创新应用不 仅会改 变我们 娱乐休闲 的方式， 还将改 变我们 的工作 方式和 地点， 改变 我们出行 和保持 健康的方 式 在 5G 应用 中嵌入个 性化的 人工智 能应用正 发挥着越 来越大的作 用， 帮助 我们更 加智能 地应对日常 生活和工 作。 5G 之所以 能够实现 其广阔前 景， 主 要因为5G 是一 个通过分布 式数字路 由器运行 的基 于软件的网 络， 并 通过将任 务迁移至 边缘来 优化 其处理速度 和能力。 这与前 几代移 动技术所采用的“轴辐式”（hub and spoke）配 置形成鲜明对比。 把握5G未来 4 “零信 任”方 法 确保5G网络安全是5G为消费者、企业和整个社会充 分创造潜在效益，以及确保最终用 户安全的关键。在新冠肺炎疫情大流行期间，随着 越来越多的企业采取远程办公政策 以及远程医疗应用的增加，5G网络安全变得更加重 要。举例来说，员工在办公室以外 工作导致企业IT基础设施外延，在受到网络安全攻 击时，系统脆弱性会进一步加剧。 此外，病人通过平板电脑、笔记本电脑或手机与医 疗专家联系时，也需要确保病人敏 感信息的安全。 要保护包括5G在内的所有移动网络免受网络安全威 胁，关键的第一步是要了解漏洞有 可能出现在哪里。漏洞主要出现在网络节点上，在 这些节点上风险会从网络中的一个 元素转移到另一个元素。与4G一样，在5G网络中， 不同的企业通常会处于这些风险转 移的任一侧，那么至关重要的就是要建立一个可以 确保从网络一端到另一端始终保持 安全的协调方式。考虑到技术工具的迅速发展，企 业和网络犯罪分子也都在寻求利用 这些发展优势，因此上述协调方式还需要灵活变通 。 5G生态 系统 中所 有的参 与者 ，包括 移动 运营 商、网 络供应 商、 系统集 成商 和终端企 业，应 该在 其被 允许进 入网 络之前 ，先 识别 、分析 和评估 其每 个组件 的健 康状况， 并基于 评估 结果， 在允 许范围 内对 连接5G服 务进行 一些限 制。 这可以 通过 基于以下 因素的战略来实现： 1. 零信 任 方法 。 对于所有设备和软件， 端到端的可靠安全态势将有助于减少整个 5G生态 系统 的风 险敞口 。在 连接到 网络 或资 源之前 ，需要 对设 备的安 全级 别进行评 估，然后，设备仅允许连接到资源，并且 5G 技术属性 5G为网络的诸多 方面带来了重大 变化，包括核心 和 管理系统，以及从无线 电到应用程 序在内的所有协议层。5G的技术属性包括： 网络切 片 ： 使服务提 供商能够为特定用户组 提供 网络即服务（NaaS ） ， 让其根 据具体需求灵活管理设备和服务。 增 强型移动 宽带 （1-20 Gbps ） ： 可支持4K或8K分 辨率的3D视频传 输、在 线游戏等应 用。 超 低延迟 （1ms ） ： 对于增强现实（AR ） 和虚 拟 现实（VR） 、 远程 医疗和 保健、 智能交通和 工业自动 化等任务 关键型服 务非常重 要 。 大规模设 备连 接：可支 持 车辆 、 移动用 户、企业 、 物联网等 设备 连接。 高可 用性 和密 集覆 盖： 使5G 能够 为数十 亿不 同用 户提 供无 限连 接。 低能 耗： 机器对 机器 （ M2M ）通 信的 电池 使用寿命 可达10 年。 为了实现 这些功 能，5G配备了 全新的 空中 接口，支持异构 网络接 入并 且支持 可变带 宽 。 分组 核心 网的升 级也正 在进 行， 这样 传 统网络 和5G 移 动服务 可以 共享基 础设施， 提升服务交付速度和运营效率。 5 5G 把握 未来应基于访问需求及设备的安全健康水平决定是否允 许设备访问资源。此外，对所有 软件配置，从核心到物联网设备，从固件到云，都 必须保持一定的怀疑。在网络构 建和部署之前，必须对资源中心进行验证，对代码 库进行检查，以排除恶意软件。 应用程序编程接口（API）应该根据风险级别进行 分区和访问控制。 2. 通用加密。 为了尽 可能降低数据 泄露或损坏风 险 ，电信运营商和其他5G参与者应 该利用强大的加密方 法来保护端点 与服务之间的 通 信。这包括采用灵活 的加密方法， 并随着标准和风险的 演变而逐渐增 强加密。集中 式 密钥管理过程将有助 于减少“中间 人”攻击，即攻击者 干预通信双方 建立的联系， 令 双方认为他们是在直 接与对方通信 。 3. 人工智能编排。 机器学习（ML）和人工智能将在识别和降低时刻变化的风险 方面发挥至关重要的作用，它们能够提供具有出色 响应速度和准确性的洞见和 智慧，以管理超密集机器类型通信和超低延迟应用 的安全策略。人工智能和机 器学习技术将在整个5G架构中被用于安全编排，包 括流量分析、深度数据包检 测（DPI）、威胁识别和感染隔离等活动。 人工智能：5G网络、 应用和设备核 心的强大工具 随着电信运营商开始部署5G，他们将不得不面对前 所未有的网络复杂性。推动网络 复杂性的关键因素包括5G网络的高密度分布、具有 挑战性的大规模天线阵列配置以 及整个网络基础设施的升级。电信公司还需要做好 持续开发解决方案的准备，以满 足来自物联网和相关智能系统的各种需求（包括已 预测和未预测的）。这就要求对 网络管理采取一种日益灵活且响应迅速的方法。 人工智能通 过促进网 络质量的 动态参与 ，做到比 当 前更快速地 检测和纠 正网络问 题， 在应对挑战 过程中发 挥着关键 作用。要 实现网络 切 片的全部应 用前景， 人工智能 也 是必要的： 它将帮助 运营商优 化其切片 策略，反 馈 有关评价、 评估和确 定切片分 配 的工作。 放眼网络之外，最近的 普华永道科技、媒体和通信 出版刊物 强调，人工智能和5G的融 合将催生一波新的网联设备，并将在两个关键方面 重新定义“智能”一词。首先，这 些设备的用户界面将不仅基于触控，并且无论是否 有触控功能，都会越来越多地基于 语音操作。其次，设备将使用分离应用程序来触发 用户要求的特定任务，并应用人工 智能驱动的算法来预测用户需求并主动满足这些要 求。 通过这些进步，人工 智能和5G将给 终端用户带来 一 系列影响。一是5G传 输的数据会形 成更加自动化和定制 化的产品和服 务，这将带来 更 大程度的个性化。二 是随着人工智 能增强人类能力，并 在人类和机器 之间建立更紧 密 的联系，人们的数字 体验将变得更 加亲近和人性化。总 之，这些影响 将推动生产力 以 及工作、空闲带宽的 大幅提高，人 们可以自由地进行他 们真正感兴趣 的活动。 人工智能还可以在5G世界的网络安全中发挥作用。 这是因为人工智能和机器学习为组 织提供了强大的新工具，以保护系统免受恶意攻击 ，亦即能够帮助组织对抗网络攻击 者使用的日益复杂的工具。在普华永道看来，最有 效的防御手段是利用人工智能对数 据进行分类，并标记出来进行进一步的人工分析， 然后再将人工分析反馈给人工智能， 从而改善其未来预测。这一良性循环会为关键系统 提供最佳防御，即为创新创造一个 可靠安全的基础，从而在所有用例中发挥5G的广阔 前景。 把握5G未来 6 如果运用得 当，该战 略将有助 于各组织 共同协作 确 保5G环境 安全，同 时不会过 度影响 5G生态系 统中各企 业服务客 户并与合 作伙伴交 互的 能力。对于 上述战略 实施问题 ，一 种行之有效 的方法是 采用被称 为“零信 任架构（ZTA）”的身 份认证驱 动模式。 这一 全面的信息 和网络架 构安全模 式解决了 “何人、 何 事、何处、 为何以及 如何”访 问关 键数据和网 络架构资 产的问题 。 在零信任架构模 式下，安 全功能无论 其部署于何 处 或者采用何种连 接方法， 都是为了 执行策略并保护 所有用户 、设备、应 用程序和数 据 资源，以及它们 之间的通 信流量。 图1 中描述的ACE模 型（认识、 分类、执 行）可以帮 助企业构建其零 信任架构 。 图1：为5G网 络采用 零信 任理念 全面的信息 和网络架 构安全模 式，必须 解决“何 人 、何事、何 处、为何 以及如何 ”访问关 键数据和 网 络架构资产 的问题。 这种以身 份认证为 驱动的信 任 体系通常称 为“零信 任架构（ZTA ）”，使 用ACE模 型来部署安 全功能， 以用来执 行策略并 保护所有 用 户、设备、 应用程序 和数据资 源，以及 它们之间 的 通信流量， 无论其位 于何处或 采用何种 连接方法 。 来源： 普华 永道 分析 欲使包括5G 在内的任何移动网络免遭网络威胁， 关 键 的 第一步是要了解漏洞有可能在哪里出现。 权衡： 评 估受保 护资产 、数据 和应用 程序的 价值 、重要性 。 风险评估： 根据安全漏洞的影响 进行风险 评估。 分配群组： 将数 据、用 户和端 点映射 到数据 分类 桶、组。 确定应用程序优先级： 使用业务特权、数 据分类桶 和相关的风 险 评估来生成 与优先级 一致的安 全策略。 限 制： 根 据安 全策 略确定 访问 资格 和执 行边 界。 隔 离： 确定如何检测、控制和 隔离数据 泄露和侵 犯 。 通 知： 建立数据泄露和安全侵 害的通知 机制。 细 分： 为基于身份认证的应用程序、端点和用户细分定义框架。 执 行： 根据定义的安全策略在 执行边界 内实现身 份 感知控制。 概述： 发现 并概述 网络 上的 每个 端点 和应用 程序 。 评估： 确定设备的安全态势。 识别：了解连 接到网 络的是 哪些用 户和设 备、以 及连接方 式。 学习：通过 监控 和记 录， 持续 评估设 备和 用户 的行为 。 执行 分类 认识 7 5G 把握 未来在5G 时代 ，由 零信 任安 全方 法及 其相关 架构 支持 的企 业能 够很 好地 构建 和嵌 入网络 弹性 。普 华永 道最 新的 数 字信任 洞察 报 告对如何 实现 这一 目标 提供 了极 具价值 的 指导 ，该 报告 主要 基于 来自全 球逾3,500 家企业的 调查 数据 。 研究发现， 具有高网 络弹性的 企业在与 制定弹性 策 略相关的三 个领域的 排名中均 跻 身前25%。从根 本上讲， 正是因为 对“弹性 设计” 的重视使其 遥遥领先 于其他企 业。 因此，他们 可以做到 以下三点 ： 提 高数据资 产的可见 性。 高 弹性 企业 始终如 一地 跟踪 其数 据资 产和 现有 流程 如何 影响 其业 务核 心。 数字 信任洞 察 报告 发现 ，91% 的高 弹性 企业 拥有 一份 准确 的 资产 清单 ，并 持续 滚动 更新。 与之 相比 ，其 他受访 企业 中只 有47% 能够 做到 。 这 份清 单还 必须 包含 与第 三方进 行的 合作 ，尤 其是在 业务 要求 与一 系列 供应 商进 行合 作的 情况 下， 需知 这在5G 世 界中几 乎是 不可 避免 的。 在弹性方面处于落后水平的企业可以采取行动迎头 赶上：通过构建自动化实时资 产清单以及映射过程，实现整个网络持续且准确的 可见性。低弹性企业也可以由 此开始解决他们的漏洞。 测 试容忍度 。 高弹 性企 业着 眼于 大局 ，并且 知道 自己 在处 理风 险情 况方 面的 容忍 度 。我 们的 研究 发现 ，在 关键业 务运 营受 到网 络攻击 面临 中断 时， 只有 不到 三分 之 一的 企业 能够 利用 冲击 容忍度 ，或 企业 为应 对业务 服务 中断 所准 备的 最大 影响 度 来保 护自 己。 而参 与调 查的其 他一 些企 业， 哪怕是 规模 最大 的， 在面 临中 断发 生 时， 其关 键业 务服 务也 处于危 险境 地。 通过识别关键业务服务，使用指标来定义其对风险 的容忍度，通过测试并将容忍度 结果映射回业务服务，企业就能够应对不断变化的 网络威胁。 弹性 设计 把握5G未来 8 调 整和完善 。 高弹性企业不 断改进其商业 策略：通 过提高数据资产的可 见性和测 试风险容忍度，企业 弹性不断增强 。然而，面对 技 术的快速发展，我们 发现只有 34%的高弹性企业能 够适应正在发 生的变化。 为了确保全 方位的保 护，三分 之一的高 弹性企业 在 采用新技术 时提升了 弹性能力 。 这些企业通 常依靠专 门的团队 来监控核 心资产的 性 能和IT依 赖性，并 且能够利 用 从网络问题 导致的中 断所获得 的经验教 训，快速 并 持续重新设 计其业务 服务。作 为准备工作 的一部分 ，企业应 通过自动 化和流程 编 排来获得先 进的威胁 捕获能力 。 总之，基于以上三个 方面，企业能 够从传统的灾 难 恢复和业务连续性模 式转向弹 性设计这是诸多 企业在新冠肺 炎疫情危机复 苏 的过程中所需要做的 事。弹性 设计已经证明其可以 保护组织、运 营和系统免受 网 络威胁，这在5G和其 他环境中 同样重要且有效。 在弹性方面处于落后水平的企业可以采取行动迎头赶上： 通过构建自动化实时资产清单以及映射过程，实现整个 网络持续且准确的可见性。低弹性企业也可以由此开始 解决他们的漏洞。 9 5G 把握 未来智 慧城 市：赋 能未来 城市 环境 随着城市人口持续快速增长， 传统基础设施面临的 压力与日俱增， 世界各地 的城市都在 竞相发展 智慧城 市。 英国 标准协会 （BSI ） 将智慧 城市定义为 “ 在建成环境中对实体、 数字和人类系统进行有效 整合， 从而为市民提供可 持续、 美好和包容性的未来” 。 这是一个非常恰当 的定义， 它强调了智慧城 市在创建信 息物理系 统（CPS ）的过 程中应 如何实 现物质和数 字世界 的融合 。 数字化 可以增 强一系 列城 市系统 ，以更 有效 地满足 市民的需 要 最明显 的是在 运输和 楼宇设 施管 理等领 域，以 及在 能源、 水域、公 共安全 、废物 管理和 污染控 制等方 面。 数字化 还可以 帮助 应对诸 如新冠肺 炎大流 行等公 共卫生 突发事 件，通 过建 立模型 、检测 和预 测，向 政府提供 实时数 据，帮 助其做出 更明智 的决 策。5G将通 过提供 超高 速、低 延迟的平 台来支 持这些 服务，从而 帮助实现 智慧城市 的广阔前 景。 维持智慧城市系统 的安全显然至 关重要， 无论 是 涉及到运营基础设施， 还 是保护市民的个人 数据隐私。 只 要我们确保所 有 智慧城市的系统和网络 连 接的设计、 评估和 调节都从根本 上以安全为核 心 并基于零信任架构，那么 上述目标就 能实现。 把握5G未来 10 人们常说5G将改变世 界，但重要的 是保持清醒， 不 要被天花乱坠的宣传 冲昏头脑。 虽然世界正在发生明 显的变化，但 真正推动这种 变 化的是智能网联设备 的普遍可用 性。尽管这些设备所 连接的网络很 重要，但它也 只 是这个新环境的一部 分。 尽管如此，5G的出现毫无疑问代表着网络安全领域 的一个转变。在未来关键的工业 和社会网络中，5G将成为一个重要媒介，自动化互 联组件的工作流程和决策链将通 过它来传播。如果没有5G，数量不断增长的数百万 台网联设备将毫无用处，尤其对 自动驾驶汽车等应用来说，网联设备的低延迟和超 高速是先决条件。5G作为许多智 能网联设备的“联网”组件，绝非言过其实。 在这种背景 下，没有 人会质疑 在5G生 态系统中 有效 确保网络安 全的必要 性。然 而，值得注 意的是， 许多通常 归咎于5G 的安全 漏洞 实际上并非5G所特 有。如果 连接到5G 网络的设 备、加密 算法或人 工智能引 擎被 侵入或遭到 破坏，这 对5G运 营商和用户 来说都是 一个问题 ，并非5G 技术本 身导 致。在5G 世界中， 有效确保 网络安全要 求价值链 中的每一 个参与者 都要发挥 自 己的作用。 这就是我 们提出 应采取一种 零信任架 构并辅以 “弹性设 计”支持 的 原因目 的是将网 络安全 置于5G部 署的核心 。 为达到这一目的，企 业领导人需要 关注构建网络 安 全的三个基础： 信任 ，以推动 网络安全措施的采用 ； 弹性 ，以预 防、安然度过 破 坏性的网络攻击，并 在攻击后 恢复； 实施 ，快速行 动以解决新生 和现有的威胁 。 以上三点是构建稳健 网络战略 的基础，可确保企业 快速、安全地 部署5G，让个 人 、企业和社会作为一 个整体， 自信安全地享受5G这 一强大新兴技 术的巨大潜力 。 信任、弹 性和实 施， 紧扣5G时代脉动 结论： 11 5G 把握 未来把握 未来 5G 12 欲进一步了解 普华永道 如何赋能 您的5G 未来之旅 ，请 联系： 科技、 媒体及 通信 中国 周伟然 普华永道全球科技、媒体及通信行业主管合伙人 +86 (755) 8261 8886 wilson.wy.chowcn.pwc 高建斌 普华永道中国科技、媒体及通信行业主管合伙人 +86 (21) 2323 3362 gao.jianbincn.pwc 网络安 全和隐 私保 护 中国 黄景深 普华永道中国网络安全和隐私保护服务主管合伙人 +852 2289 2719 kenneth.ks.wonghk.pwc 李睿 普华永道中国网络安全和隐私保护服务主管合伙人 +86 (10) 6533 2312 lisa.ra.licn.pwc 李扬 普华永道中国网络安全和隐私保护服务主管合伙人 +86 (10) 6533 7800 dennis.y.licn.pwc 英国 Kirolous Zikry 普华永道英国科技、媒体及通信行业高级经理 +44 (77) 2563 3388 kirolous.s.zikrypwc 英国 Richard Horne 普华永道全球网络安全和隐私保护服务主管合伙人 +44 (77) 7555 3373 richard.hornepwc Grant Waterfall 普华永道欧洲，中东和非洲网络安全和隐私保护服 务 主管合伙人 +44 77 1144 5396 grant.r.waterfallpwc 加拿大 Marin Ivezic 普华永道加拿大工业和物联网网络安全和隐私 保护服务合伙人 +1 (416) 687 8672 m.ivezicpwc 匈牙利 Peter Durojaiye 普华永道匈 牙利网络影响中心总监 +36 (70) 685 0360 peter.a.durojaiyepwc 联系方式pwccn 普华永 道秉 承“ 解决 重要问 题， 营造 社会 诚信 ”的 企业使 命。 我们 各 成员机 构组 成的 网络 遍及157 个国 家和 地区 ，有 超过27.6 万名 员工 ， 致力于 在审 计、咨 询及 税务 领域 提供高 质量 的服 务。 如有 业务 需求或 欲知 详情 ， 请浏览 pwc。 本文仅 为提 供一 般性 信息之 目的 ，不 应用 于替 代专 业咨询 者提 供的 咨 询意见 。 2020 普华永道。版权所 有。 普华永 道系 指普 华永 道网 络及 / 或普华永道网络中 各自独 立的 成员 机构 。详 情请进 入 pwc/structure 。