NO.60 | 2019.10.31
banner
title有備而來 友善列印>>
5G資安趨勢分享_資通安全組 蔡明德工程師

  5G發展的步伐一直很快,隨著5G商業化廣泛應用,全球電信監管機構對5G頻譜釋照數正迅速增長,根據全球行動通訊供應商協會(Global mobile Suppliers Association,GSA)8月27日發布的一份關於最新5G頻譜報告中[1],全球100個國家或地區,計有296家營運商,正加緊推動5G應用試驗與5G技術及場域發展,準備迎接5G所帶來的數位轉型及創新經濟,在32個國家或地區內的56家營運商,已宣布在其既有網路中建置5G;其中已提供5G服務累計有39家營運商,正式宣告5G時代即將來臨。5G已不僅僅是通訊行業的熱門關鍵字,更是全球關注的焦點,政府、社會、企業及消費者都對5G寄予極高厚望。

  面對5G新世代,行政院於2018年10月29日至31日召開「5G應用與產業創新策略(SRB)會議」,廣邀海內外產官學研各界代表參加,聚焦關鍵議題,以凝聚各界對於5G的共識,於今年5月10日核定「台灣5G行動計畫」(2019年至2022年)[2],以五大主軸:「垂直應用場域實證」、「創新應用發展環境」、「完備技術核心及資安防護」、「符合整體利益之5G頻譜」、「調整法規以創造有利環境」為定位,發展5G電信加值服務及垂直應用服務,積極建立台灣在5G供應鏈的關鍵地位。國家通訊傳播委員會(以下簡稱NCC)身為政府通信傳播政策的重要機關,當務之急不僅要完成5G釋照相關作業及訂定後續管理規範;另一方面,隨著數位科技發展趨勢,5G服務導向的網路架構,朝向虛擬化、開源化、邊緣計算與網路切片的技術演進,涵蓋各種垂直應用領域,亦將產生越來越多新型態的攻擊威脅,造成5G多元資安風險,NCC身為電信業者主管機關角色,亦須承擔5G網路資安防護與用戶隱私挑戰的監理責任。

  那5G的資安風險有那些呢?首先5G是次世代無線行動網路,其建立在現有4G長期演進(LTE)基礎架構的基礎上,進一步提高了無線寬頻服務的頻寬、容量和可靠性,以滿足不斷增長的資料和通信需求,包括構成物聯網(IoT)數百億個連接設備的容量(mMTC)、關鍵即時通信所需的超低延遲(uRLLC)以及支援更快速度(eMBB)的新興技術,有望帶來4G安全性改進和更好的用戶體驗,得以實現智慧交通、智慧工廠、智慧醫療或5G物聯網世代等垂直產業的新興服務,但是這些重大發展及公共利益之前,不只涉及企業競爭與獲利,背後更隱藏著關鍵基礎設施的重大風險,可能影響國家安全及區域穩定(如於焉展開的中美貿易戰、科技戰)。由於提高到國家安全層級,因此國際間展開多場聚焦5G安全的會議與報告,具有重要指標與代表性內容,彙整如下:
  • 歐盟於2019年3月26日公告「Cybersecurity of 5G Networks」,建議歐盟會員國應合作確保5G網路建設高度安全性,10月9日發布「EU coordinated risk assessment of the cybersecurity of 5G networks報告」,對5G網路基礎設施之國家安全風險評估,歐盟未來將於2020年產出5G安全建議書,要求會員國遵守與執行。
  • 北約組織則於2019年5月2日於捷克布拉格,邀請32個國家150多名代表出席5G網路安全會議,進行為期2天的5G安全論壇,會後公布了一系列有關建設5G網路的「Prague Proposals布拉格安全提案」。
  • 美國參議院於2019年3月提出「Secure 5G and Beyond Act法案」、國防部4月提出「Defense Applications of 5G  Network Technology報告」、7月國會提出「Defending America's 5G Future Act捍衛美國5G未來法案」及網路安全暨基礎安全局(CISA)發布「5G Wireless Networks: Market Penetration and Risk Factors報告」,分析了5G關鍵技術產品的市場滲透率和可能存在的風險因素。

  彙整上述會議及報告重點,5G網路的崛起以及隨後的安全風險,可能影響國家的經濟、社會、科技及安全發展,應從5G網路的三大主要組成元件:終端設備、接取網路及核心網路,分析其安全風險及相互影響,如圖1所示。
 

圖1:5G網路關鍵元件
(圖片來源:網路安全暨基礎安全局CISA,https://reurl.cc/alVkjQ)

  在三大元件基礎下,可能存在的5G資安威脅如下所述:
  • 終端設備:車載設備、物聯網、智慧醫療等5G創新應用,不再局限於手機,不同等級的終端,因其差異化就具有不同的安全需求,且須確保端點到端點間之正常通訊,5G新業務引進新終端設備,新設備的安全性尚待驗證。
  • 接取網路:5G的接取網路未來發展允許各種異質網路技術接入,如Wi-Fi、NB-IoT及LTE技術,加上邊緣計算,不同的接取技術具有不同的安全機制,也存在既有的安全威脅,5G接取網路須滿足多元網路接取模式的安全要求。
  • 核心網路:開源軟體、雲端、虛擬化、SDN/NFV及網路切片技術,被大幅引進至5G核心網路,可以降低營運成本,卻打破傳統電信網路設備實體安全隔離的機制,新技術的引進所帶來的安全威脅,諸如這些新技術與資源需要被安全配置、管理、隔離及執行,另一方面也必須與傳統電信網路介接,其互通性、複雜性為營運帶來新挑戰。

  You can‘t protect what you don’t understand,本中心身為NCC通訊傳播技術智庫之角色,配合5G標準制定,組織第三代合作夥伴計劃(3rd Generation Partnership Project,3GPP)之5G標準釋出時程,致力於繪製5G網路背後的威脅格局,提供供應鏈、部署方式、網路安全以及競爭和漏洞的初步研究發現[3],後續將進行5G網路資通安全標準及規範與5G資安相關政策、法規和措施之建議,古書有云:「取法於上,僅得為中;取法於中,故為其下」,如果5G成為未來社會和經濟發展的重要支柱,對於網路可用性和完整性威脅的潛在安全隱患,就應強化資安治理,積極推動利益相關者在網路攻擊方面加強合作,提高預防與反應機制,以面對5G網路安全之挑戰。