本文目录一览:
工信部发5G牌照,为何会有广电?
应邀回答本行业问题。
工信部发5G牌照,一定会有广电,这是为了三网融合,另外广电的700M如果不利用起来,实在也是频谱资源最大的浪费。
三网是是电话网络、广播电视网络、互联网,所谓的三网融合就是把这三个网络通过技术改造,使得可以在一部终端上同时提供语音、上网、多媒体等综合的应用。
IPTV就是三网融合的一个产品,现在已经进入了众多用户的家庭之中。
而手机端的三网融合的问题将在5G时代更加紧迫,这是因为5G里三大应用场景之中非常重要的一个就是4K/8K的视频类应用,而这个4k/8K的内容则主要是由广电提供的。
其实就从 历史 情况而言,其实电信业和广电也发生过两次小规模的"战斗"。
早在电信局的年代,那个时候家庭的宽带还是处于ISDN和ADSL的时代,当时广电有Cable Modem,传输速度要比电信的宽带要快不少,当时广电试图使用Cable modem来进入电信市场,不过被当时的电信局给告了,最后的结果是这个业务被基本叫停了,这是电信业和广电的第一次交锋,以电信的胜利结束。
第二次交锋是在当时的电信业试图开始IPTV的时候,最早的IPTV是运营商自己搞的,我就参与了当时的IPTV实验网,开始的时候运营商是试图自己做片源,自己找节目源,甚至是自己做电视台,不过后来广电强势插入,将全部的IPTV都收归自己管理。全部的IPTV集成播控平台牌照、IPTV内容牌照都是广电系掌握,三大运营商只有了IPTV传输牌照,在这块是广电系大获全胜。
后来,随着三网融合业务的需要,加深广电和电信体系的融合,工信部给广电网络发放了基础运营牌照,同意它展开宽带服务,从此的时候广电就成了第四大的基础运营商,不过当时它没有移动牌照。
700M频段由于无线频谱低,绕射能力强,更适合做基础覆盖以及深度覆盖,建设在这个频段可以使用更少的基站完成更好的覆盖,这个频段也被称为"数字红利"。
但是由于 历史 原因,这个频段一直是掌握在广电的手中的,一直也等于是闲置着,而这种闲置是一种无线频谱资源巨大的浪费。
而广电也一直在探讨着700M的利用问题,现在700M也在国际上被部署,相对的设备和终端也不需要广电自己培养。
5G时代来临,虽然700M由于频谱过低,无法支持Massive MIMO,不能满足高速下载的需求,但是做为打底覆盖来说,还是非常合适的。而且,5G也不仅仅是高速需求,一些不需要高速的应用也是存在的,这些应用也可以使用700M。
总而言之,为了加速三网融合,为了不让广电的700M无线频谱资源浪费,所以工信部这次5G牌照也发给了广电,这也是行业内部早就知道的消息了,一点儿也不突然。
工信部发5G牌照,为何会有广电?在6月6日的工信部对于运营商颁发5G商用牌照的同时,还为第四家颁布牌照,那就是大家所熟知的广电,为什么广电也会拿到工信部的5G运营牌照,那么下面我们一起说一说。
一、我认为这是时代发展的趋势,是避无可避的,只有勇于面对才能够解决这个问题,在网络媒体的兴起之后,广电的有线用户量确实是有着非常大的下降,给大家举一个非常简单的例子,现在大家还经常看电视吗?可能有的朋友已经很多年没有踏实的在电视剧旁边看过电视了。
二、传统的电视已经在4G的时候就出现有没落的趋势,可以说现在看电视的用户越来越少,而有线电视的停机率却是在每年上升,所以对于广大来说,这是已经到需要作出改变的时候了不然可能再过几年就没有广电这两个字了。
一、想想广电这些年过的实在是不如意,不过好在多年的媳妇熬成婆,广电手中还有一个非常重要的王牌,那就是早在2016年的时候,广电就拿到了在运营商中穿透力最强,覆盖率最广的700M的频率范围频段,这要比现在的移动、联通、电信所勇于的频段更加优质一些。
二、换个角度来说,如果在将来的5G时代,三大运营商能够拥有在700M的频段,那么三大运营商的组网成本将会降低至少30%左右,所以说,广电所拥有的是目前最为优势的频段。
一、广电虽然用户最为优质的频段,但是在这之前并没有运营商的牌照,也是没有办法使用的,但是广电手中却还是拥有着非常多的有线用户资源,这可不能白白的浪费掉,不然太可惜了,虽然说将来的有线电视会退出市场,但是还是需要合理的利用有线网络资源。
二、通过把电话网络和广电电视网络、互联网进行一个融合,是通过技术方面的改造实现的,在将来的5G时代,三网融合显得尤为重要,而这个三网融合的关键就是在于广电所提供的4K/8K的视频应用。
6月6日工信部向中国移动、中国联通和中国电信发放了5G商用牌照,第四家拿到牌照的则是中国广电。很多网友可能不理解广电一个搞有线电视的,为什么会拿到5G牌照呢?
其实,广电发展5G还是有先天优势的。首先,广电拥有700MHz黄金频段,这一频段虽然用作5G网络会稍微慢一点,但绝对比现在的4G快很多。而且700MHz频段拥有信号传播损耗低、覆盖广、穿透力强、组网成本低等优势特性,非常适合用来建设5G网络。
其次,广电在很多城市都拥有完整的光网,在一些城市的覆盖率甚至超过了移动。由于5G网络对基站密度的要求相对较高,光靠三大运营商很难在短时间内完成全国范围内的5G网络部署。这个时候引入拥有700MHz频段的广电,能够大大加快5G的组网速度,并降低5G的普及成本。
第三,广电拥有丰富的内容资源,虽然现在有线电视的用户正在减少,但互联网电视内容仍然由广电进行监督和管理。5G网速快的特点将会大大加速移动互联网电视的普及,一些家庭中的大屏幕电视也可以通过5G网络来在线播放4K甚至8K的超高清电视节目。而这些节目内容仍然需要经由广电提供。
最后,5G网络不仅仅只用在手机上,物联网AIoT才是5G的真正用武之地。利用5G网络延迟低、5G芯片功耗低的特点,可以真正实现“万物皆可联网”。未来用户家中的电视、电冰箱、洗衣机甚至 汽车 均可直接通过5G接入互联网。由于三大运营商的主要精力仍然放在移动通讯领域,所以新加入的广电就有望承担起发展5G物联网的重任。
而对于用户来说,5G运营商由三家变为四家显然也是一件好事,因为这意味着运营商之间的竞争会更加激烈,用户也有了更多的选择。
广电真的是“媳妇熬成婆”了!
广电的想进入到“运营商”的角色中,分一杯羹已经不是一天两天了。如今,终于在5G上得偿所愿,也不枉费它能够把持700MHZ这个黄金频段了!
其实,广电的700Mhz的优势太明显了,它应该是最优质的通讯频段,随着5G网络发展的需求,更优质的频谱能够实现更低成本网络覆盖,而700Mhz就是目前可用频谱较宽、传播特性好、国际标准支持的最优质的频段。
确实,7000MHZ频段的优势太明显了,信号传播损耗低、覆盖广、穿透力强、组网成本低等优势特性;随着欧美等国家纷纷将700Mhz进行分配,我国统筹700Mhz频段刻不容缓。
然而,这一次工信部将5G牌照发给广电的想法很有深度:
其实,广电手中的700Mhz对于广电没有什么意义了,因为双向互动广电无线网没任何意义,而我国的移动通信低端频段奇缺,三大运营商最低频段在800mhz以上。
其实,给广电发5G牌照,也有利于工信部加强对广电的监管,这是一个好事。不过,700Mhz到底能够发挥多好效应,我们还是比较期待的!
不过,在移动,联想,电信三大传统运营商的压力下,广电能否获得它所期待的成就,我还是有点怀疑,毕竟在运营商业务方面,它相比三大运营商来说,更像一张白纸!
我觉得是
1,传统电视在4G时代已经开始逐渐没落,家庭有线电视停机率每年逐渐提高,主要是各类视频直播网站冲击很大。
2,5G时代来领,网络速度加倍,传统有线电视会加速衰退,很快就会退出市场,而遍布全国的有线网络却是巨大浪费。
3,广电从传统有线电视运营商转变为电信运营商,是潮流,是趋势,也是国家从大局考虑。
三大运营商主营的是网络通讯和宽带连接服务。中国广电网络的加入是基于5G时代能提供全新的网络服务。并且,还有一些5G服务是我们目前未能发现的。从这方面讲,中国广电的加入相当于一个泥鳅,一个搅局者。激发竞争,激发创新。当然,也许还可能有国家未来新的安排。
有线电视要彻底完蛋了,但是有线电视这个体系,你知道他养了多少人吗?一个县的有线电视这个机构呢?至少养了200多人。这些人现在呢,还活的挺滋润,因为大家还在交有线电视费,但是现在我已经感受到了有线电视交费的人越来越少,越来越少,到了5g时代面铺开的时候就没人去交有线电视费了。
有线电视这个事了,一直在尝试着的做这个电信的业务,因为我们现在家里用的电脑,如果是有线那个设备的完全可以直接就接受互联网接收器。现在这个有线电视的发展一直是老大气势,老大气势耽误了他们,把自己当成了一个衙门,害了自己。
当年,联通,电信,移动,他们共创铁塔集团的时候,其实这个铁塔集团就应该是有线电视来做这项工作,多余再创立一个塔集团。当年在动议铁塔集团这个时候呢?为什么没有把这件事情协商好呢?这个机会错过了,是挺很的可惜的一件事情。
现在我们一定有理由担心中国广电的5g业务服务会怎么样?如果他们发电话那个号码了,提供电话方便的业务服务,我们到底放心不放心,我们有理由怀疑他们,因为有线电视这个服务还是差了一个级别。
好在呢?这波的浪潮呢?有线电视又抓住了,这是挺好的,这次咱们政府啊,没有放弃,他们要成全他们,你们很快的事情,电视这个产业就要彻底的没落了。有线电视呢,马上就烟消云散了。
前一个阶段呢,吉林广电在全国创立几十家公司要招聘几千人,原来这个事儿就是为当下的这个5G的事儿,做一个准备。
欢迎广电加入到新的电信业务当中来,希望他们把当下的这个网络利用好,为客户提供更加优质的,全方位的服务。到底行不行呢?拉出来遛一遛吧!
广电行业现状分析: 受移动新媒体冲击,广电渠道用户流失严重。 受互联网视频等新媒体冲击,有线电视行业面临空前的竞争压力,行业增速下行,用户流失加速。 2018 年,我国有线电视用户全年流失 2140 万户,数字电视用户流失 1319 万户,数字电视缴费用户流失超 700 万户。 2018 年爱奇艺和腾讯视频不去重口径下移动新视频总订阅用户数已经超越广电 1.46 亿订阅用户数。放眼海外, 2017Q2, Netflix 订阅用户数已经超越传统的广电渠道,成为美国最大的媒体内容平台。因此无论国内还是国外,传统广电渠道的转型和变革都已经迫在眉睫。
变革与转型:中国广电成立,一张网整合开启。 一直以来,我国有线电视网络均呈现出各地区割裂的状态。 2014 年 5 月 28 日,中国广播电视网络有限公司经国务院批复成立,全国一张网整合随之展开。 我们认为,随着《全国有线电视网络整合发展实施方案》等政策的积极推进,以及今年 3 月中国广电和中信、阿里资本方的战略合作协议的达成,广电一张网整合在 2019 年有望加速。 目前国网公司拥有 700 兆频段优质资源, 5G 牌照若申请成功, 未来5G+700 兆战略将推动广电系公司在政府智慧城市等项目上加速布局,以弥补传统主业下滑。
超高清视频产业规划:产业有望获得更大力度支持。 2019 年 3 月 1 日《超高清视频产业发展行动计划(2019-2022 年)》成功发布,政策支持力度空前,该政策要求按照“4K 先行、兼顾 8K”的总体技术路线,大力推进超高清视频产业发展和相关领域的应用。 2022 年,我国超高清视频产业总体规模超过 4万亿元, 4K 产业生态体系基本完善, 8K 关键技术产品研发和产业化取得突破,形成一批具有国际竞争力的企业。 我们认为 5G 具有速率高、信号质量好等特点,辅以 4K 超高清画质,广电行业有望迎来发展新机遇。
我们认为,在政策扶持和资本推动下,广电行业有望迎来自上而下的一张网整合。且随着 5G 牌照申请和超高清产业规划的出台, 广电行业公司也有望实现业务变革和战略转型。我们认为中信、阿里和国广网络的签约只是全国一张网整合的开端,后期包括 5G 牌照的下放,国网公司在和下面省级有线网络整合有望不断落 地,当前时点我们建议重点关注广电行业主题投资机会。我们认为行业正面临自上而下巨大的变革,行业内的公司从逻辑上面临同等的机遇。
5G后,这个传统的通讯行业转变为媒介行业,以广电的加入为标志,我国将形成几大传播媒介,传统意义的通讯将不复存在,人们的联络手段完全依赖于5G等网络,终于我们不再要交套餐里的电话费了。广电的内容制作和管理合二为一,看好广电!
无线电视盒子吧!不过没什么节目~~
长辈们想知道,5G网络是什么意思?有没有官方人员可以解答?
第五代移动通信技术(英语欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”:5th Generation Mobile Communication Technology简称5G)是具有高速率、低时延和大连接特点的新一代宽带移动通信技术,是实现人机物互联的网络基础设施。 国际电信联盟(ITU)定义了5G的三大类应用场景,即增强移动宽带(eMBB)、超高可靠低时延通信(uRLLC)和海量机器类通信(mMTC)。增强移动宽带(eMBB)主要面向移动互联网流量爆炸式增长,为移动互联网用户提供更加极致的应用体验欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”;超高可靠低时延通信(uRLLC)主要面向工业控制、远程医疗、自动驾驶等对时延和可靠性具有极高要求的垂直行业应用需求欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”;海量机器类通信(mMTC)主要面向智慧城市、智能家居、环境监测等以传感和数据采集为目标的应用需求5G作为一种新型移动通信网络,不仅要解决人与人通信,为用户提供增强现实、虚拟现实、超高清(3D)视频等更加身临其境的极致业务体验,更要解决人与物、物与物通信问题,满足移动医疗、车联网、智能家居、工业控制、环境监测等物联网应用需求。最终,5G将渗透到经济社会的各行业各领域,成为支撑经济社会数字化、网络化、智能化转型的关键新型基础设施。
关于电信网络关键信息基础设施保护的思考
文 华为技术有限公司中国区网络安全与用户隐私保护部 冯运波 李加赞 姚庆天
根据欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”我国《网络安全法》及《关键信息基础设施安全保护条例》,关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”的网络设施和信息系统”。其中,电信网络自身是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。电信网络是关键信息基础设施的基础设施,做好电信网络关键信息基础设施的安全保护尤为重要。
一、电信网络关键信息基础设施的范围
依据《关键信息基础设施安全保护条例》第 9条,应由通信行业主管部门结合本行业、本领域实际,制定电信行业关键信息基础设施的认定规则。
不同于其他行业的关键信息基础设施,承载话音、数据、消息的电信网络(以 CT 系统为主)与绝大多数其他行业的关键信息基础设施(以 IT 系统为主)不同,电信网络要复杂得多。电信网络会涉及移动接入网络(2G/3G/4G/5G)、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信网络,任何一个网络被攻击,都会对承载在电信网上的话音或数据业务造成影响。
在电信行业关键信息基础设施认定方面,美国的《国家关键功能集》可以借鉴。2019 年 4 月,美国国土安全部下属的国家网络安全和基础设施安全局(CISA)国家风险管理中心发布了《国家关键功能集》,将影响国家关键功能划分为供应、分配、管理和连接四个领域。按此分类方式,电信网络属于连接类。
除了上述电信网络和服务外,支撑网络运营的大量 IT 支撑系统,如业务支撑系统(BSS)、网管支撑系统(OSS),也非常重要,应考虑纳入关键信息基础设施范围。例如,网管系统由于管理着电信网络的网元设备,一旦被入侵,通过网管系统可以控制核心网络,造成网络瘫痪欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”;业务支撑系统(计费)支撑了电信网络运营,保存了用户数据,一旦被入侵,可能造成用户敏感信息泄露。
二、电信网络关键信息基础设施的保护目标和方法
电信网络是数字化浪潮的关键基础设施,扮演非常重要的角色,关系国计民生。各国政府高度重视关键基础设施安全保护,纷纷明确关键信息基础设施的保护目标。
2007 年,美国国土安全部(DHS)发布《国土安全国家战略》,首次指出面对不确定性的挑战,需要保证国家基础设施的韧性。2013 年 2 月,奥巴马签发了《改进关键基础设施网络安全行政指令》,其首要策略是改善关键基础设施的安全和韧性,并要求美国国家标准与技术研究院(NIST)制定网络安全框架。NIST 于 2018 年 4 月发布的《改进关键基础设施网络安全框架》(CSF)提出,关键基础设施保护要围绕识别、防护、检测、响应、恢复环节,建立网络安全框架,管理网络安全风险。NIST CSF围绕关键基础设施的网络韧性要求,定义了 IPDRR能力框架模型,并引用了 SP800-53 和 ISO27001 等标准。IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,是这五个能力的首字母。2018 年 5 月,DHS 发布《网络安全战略》,将“通过加强政府网络和关键基础设施的安全性和韧性,提高国家网络安全风险管理水平”作为核心目标。
2009 年 3 月,欧盟委员会通过法案,要求保护欧洲网络安全和韧性;2016 年 6 月,欧盟议会发布“欧盟网络和信息系统安全指令”(NISDIRECTIVE),牵引欧盟各国关键基础设施国家战略设计和立法;欧盟成员国以 NIS DIRECTIVE为基础,参考欧盟网络安全局(ENISA)的建议开发国家网络安全战略。2016 年,ENISA 承接 NISDIRECTIVE,面向数字服务提供商(DSP)发布安全技术指南,定义 27 个安全技术目标(SO),该SO 系列条款和 ISO 27001/NIST CSF之间互相匹配,关键基础设施的网络韧性成为重要要求。
借鉴国际实践,我国电信网络关键信息基础设施安全保护的核心目标应该是欧盟推进5G基础设施建设方案,要求苹果、Netflix等占用宽带资源大的公司支付“互联网税”:保证网络的可用性,确保网络不瘫痪,在受到网络攻击时,能发现和阻断攻击、快速恢复网络服务,实现网络高韧性;同时提升电信网络安全风险管理水平,确保网络数据和用户数据安全。
我国《关键信息基础设施安全保护条例》第五条和第六条规定:国家对关键信息基础设施实行重点保护,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。我国《国家网络空间安全战略》也提出,要着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度。
参考 IPDRR 能力框架模型,建立电信网络的资产风险识别(I)、安全防护(P)、安全检测(D)、安全事件响应和处置(R)和在受攻击后的恢复(R)能力,应成为实施电信网络关键信息基础设施安全保护的方法论。参考 NIST 发布的 CSF,开展电信网络安全保护,可按照七个步骤开展。一是确定优先级和范围,确定电信网络单元的保护目标和优先级。二是定位,明确需要纳入关基保护的相关系统和资产,识别这些系统和资产面临的威胁及存在的漏洞、风险。三是根据安全现状,创建当前的安全轮廓。四是评估风险,依据整体风险管理流程或之前的风险管理活动进行风险评估。评估时,需要分析运营环境,判断是否有网络安全事件发生,并评估事件对组织的影响。五是为未来期望的安全结果创建目标安全轮廓。六是确定当期风险管理结果与期望目标之间的差距,通过分析这些差距,对其进行优先级排序,然后制定一份优先级执行行动计划以消除这些差距。七是执行行动计划,决定应该执行哪些行动以消除差距。
三、电信网络关键信息基础设施的安全风险评估
做好电信网络的安全保护,首先要全面识别电信网络所包含的资产及其面临的安全风险,根据风险制定相应的风险消减方案和保护方案。
1. 对不同的电信网络应分别进行安全风险评估
不同电信网络的结构、功能、采用的技术差异很大,面临的安全风险也不一样。例如,光传送网与 5G 核心网(5G Core)所面临的安全风险有显著差异。光传送网设备是数据链路层设备,转发用户面数据流量,设备分散部署,从用户面很难攻击到传送网设备,面临的安全风险主要来自管理面;而5G 核心网是 5G 网络的神经中枢,在云化基础设施上集中部署,由于 5G 网络能力开放,不仅有来自管理面的风险,也有来自互联网的风险,一旦被渗透攻击,影响面极大。再如,5G 无线接入网(5GRAN)和 5G Core 所面临的安全风险也存在显著差异。5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面,从现网运维实践来看,RAN 被渗透的攻击的案例极其罕见,风险相对较小。5G Core 的云化、IT 化、服务化(SBA)架构,传统的 IT 系统的风险也引入到电信网络;网络能力开放、用户端口功能(UPF)下沉到边缘等,导致接口增多,暴露面扩大,因此,5G Core 所面临的安全风险客观上高于 5G RAN。在电信网络的范围确定后,运营商应按照不同的网络单元,全面做好每个网络单元的安全风险评估。
2. 做好电信网络三个平面的安全风险评估
电信网络分为三个平面:控制面、管理面和用户面,对电信网络的安全风险评估,应从三个平面分别入手,分析可能存在的安全风险。
控制面网元之间的通信依赖信令协议,信令协议也存在安全风险。以七号信令(SS7)为例,全球移动通信系统协会(GSMA)在 2015 年公布了存在 SS7 信令存在漏洞,可能导致任意用户非法位置查询、短信窃取、通话窃听;如果信令网关解析信令有问题,外部攻击者可以直接中断关键核心网元。例如,5G 的 UPF 下沉到边缘园区后,由于 UPF 所处的物理环境不可控,若 UPF 被渗透,则存在通过UPF 的 N4 口攻击核心网的风险。
电信网络的管理面风险在三个平面中的风险是最高的。例如,欧盟将 5G 管理面管理和编排(MANO)风险列为最高等级。全球电信网络安全事件显示,电信网络被攻击的实际案例主要是通过攻击管理面实现的。虽然运营商在管理面部署了统一安全管理平台解决方案(4A)、堡垒机、安全运营系统(SOC)、多因素认证等安全防护措施,但是,在通信网安全防护检查中,经常会发现管理面安全域划分不合理、管控策略不严,安全防护措施不到位、远程接入 VPN 设备及 4A 系统存在漏洞等现象,导致管理面的系统容易被渗透。
电信网络的用户面传输用户通信数据,电信网元一般只转发用户面通信内容,不解析、不存储用户数据,在做好终端和互联网接口防护的情况下,安全风险相对可控。用户面主要存在的安全风险包括:用户面信息若未加密,在网络传输过程中可能被窃听;海量用户终端接入可能导致用户面流量分布式拒绝服务攻击(DDoS);用户面传输的内容可能存在恶意信息,例如恶意软件、电信诈骗信息等;电信网络设备用户面接口可能遭受来自互联网的攻击等。
3. 做好内外部接口的安全风险评估
在开展电信网络安全风险评估时,应从端到端的视角分析网络存在的外部接口和网元之间内部接口的风险,尤其是重点做好外部接口风险评估。以 5G 核心网为例,5G 核心网存在如下外部接口:与 UE 之间的 N1 接口,与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等,还有漫游接口、能力开放接口、管理面接口等。每个接口连接不同的安全域,存在不同风险。根据3GPP 协议标准定义,在 5G 非独立组网(NSA)中,当用户漫游到其他网络时,该用户的鉴权、认证、位置登记,需要在漫游网络与归属网络之间传递。漫游边界接口用于运营商之间互联互通,需要经过公网传输。因此,这些漫游接口均为可访问的公网接口,而这些接口所使用的协议没有定义认证、加密、完整性保护机制。
4. 做好虚拟化/容器环境的安全风险评估
移动核心网已经云化,云化架构相比传统架构,引入了通用硬件,将网络功能运行在虚拟环境/容器环境中,为运营商带来低成本的网络和业务的快速部署。虚拟化使近端物理接触的攻击变得更加困难,并简化了攻击下的灾难隔离和灾难恢复。网络功能虚拟化(NFV)环境面临传统网络未遇到过的新的安全威胁,包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。云化环境中网元可能面临的典型安全风险包括:通过虚拟网络窃听或篡改应用层通信内容,攻击虚拟存储,非法访问应用层的用户数据,篡改镜像,虚拟机(VM)之间攻击、通过网络功能虚拟化基础设施(NFVI)非法攻击 VM,导致业务不可用等。
5. 做好暴露面资产的安全风险评估
电信网络规模大,涉及的网元多,但是,哪些是互联网暴露面资产,应首先做好梳理。例如,5G网络中,5G 基站(gNB)、UPF、安全电子支付协议(SEPP)、应用功能(AF)、网络开放功能(NEF)等网元存在与非可信域设备之间的接口,应被视为暴露面资产。暴露面设备容易成为入侵网络的突破口,因此,需重点做好暴露面资产的风险评估和安全加固。
四、对运营商加强电信网络关键信息基础设施安全保护的建议
参考国际上通行的 IPDRR 方法,运营商应根据场景化安全风险,按照事前、事中、事后三个阶段,构建电信网络安全防护能力,实现网络高韧性、数据高安全性。
1. 构建电信网络资产、风险识别能力
建设电信网络资产风险管理系统,统一识别和管理电信网络所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本,定期开展资产和风险扫描,实现资产和风险可视化。安全关键功能设备是实施网络监管和控制的关键网元,例如,MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录(AD)域控服务器、运维 VPN 接入网关、审计和监控系统等。安全关键功能设备一旦被非法入侵,对电信网络的影响极大,因此,应做好对安全关键功能设备资产的识别和并加强技术管控。
2. 建立网络纵深安全防护体系
一是通过划分网络安全域,实现电信网络分层分域的纵深安全防护。可以将电信网络用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域;管理面的网络管理安全域(NMS),其安全信任等级是整个网络中最高的。互联网第三方应用属于非信任区;对外暴露的网元(如 5G 的 NEF、UPF)等放在半信任区,核心网控制类网元如接入和移动管理功能(AMF)等和存放用户认证鉴权网络数据的网元如归属签约用户服务器(HSS)、统一数据管理(UDM)等放在信任区进行保护,并对用户认证鉴权网络数据进行加密等特别的防护。二是加强电信网络对外边界安全防护,包括互联网边界、承载网边界,基于对边界的安全风险分析,构建不同的防护方案,部署防火墙、入侵防御系统(IPS)、抗DDoS 攻击、信令防护、全流量监测(NTA)等安全防护设备。三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心(VDC)/虚拟私有网络(VPC)隔离,例如通过防火墙(Firewall)可限制大部分非法的网络访问,IPS 可以基于流量分析发现网络攻击行为并进行阻断,VDC 可以实现云内物理资源级别的隔离,VPC 可以实现虚拟化层级别的隔离。四是在同一个安全域内,采用虚拟局域网(VLAN)、微分段、VPC 隔离,实现网元访问权限最小化控制,防止同一安全域内的横向移动攻击。五是基于网元间通信矩阵白名单,在电信网络安全域边界、安全域内实现精细化的异常流量监控、访问控制等。
3. 构建全面威胁监测能力
在电信网络外部边界、安全域边界、安全域内部署网络层威胁感知能力,通过部署深度报文检测(DPI)类设备,基于网络流量分析发现网络攻击行为。基于设备商的网元内生安全检测能力,构建操作系统(OS)入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式,构建全面威胁安全态势感知平台,及时发现各类安全威胁、安全事件和异常行为。
4. 加强电信网络管理面安全风险管控
管理面的风险最高,应重点防护。针对电信网络管理面的风险,应做好管理面网络隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维操作的安全审计等,防止越权访问,防止从管理面入侵电信网络,保护用户数据安全。
5. 构建智能化、自动化的安全事件响应和恢复能力
在网络级纵深安全防护体系基础上,建立安全运营管控平台,对边界防护、域间防护、访问控制列表(ACL)、微分段、VPC 等安全访问控制策略实施统一编排,基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析,及时发现入侵行为,并能对攻击行为自动化响应。
(本文刊登于《中国信息安全》杂志2021年第11期)
发表评论