HW2 CYBERSEC 2021 心得報告

Group content visibility: 
Use group defaults

CYBERSEC 2021 心得報告

我在5/5去南港聽資安展去聽5G的重要價值:服務垂直應用領域

國內正在加速5G網路建設,隨著網路涵蓋率逐漸提升,不少企業對5G專網感到興趣,其中政府準備釋出專頻供企業架構專網,目前已有業者展開實驗。今年資安大會第二天主題演講中,NCC委員孫雅麗揭露,NCC正研擬專網管理辦法,並提醒外界應正視面對專網潛在的資安風險。

外界多看好5G在非公眾網路(non-public network)潛力,即在企業的特定場域中建置5G專用網路。3GPP對非公眾網路定義為供專屬單位(例如企業)單獨使用,以虛擬或實體方式組態布建,可以布建為完全獨立網路,或是公眾電信網路(PLMN)或以公眾電信網路切片提供非公眾網路。

以現在來說的話專網友兩種建置方式可以看,第一種是以電信業者競標取得的商業頻率及網路提供場域使用,也就是共頻專網,第二種是申請專用頻率,建立完全獨立網路,隔離、自主獨立運作的「行動寬頻專用電信網路」,即專頻專網。其中,第一種布建方式,隨著去年國內電信業者以商業頻率,開通5G服務,目前已開始提供5G共頻共網服務,而第二種方式,行政院在2019年拍板定案,準備在2020年到2021年之間釋出,規畫釋出4.8到4.9GHz的100MHz頻寬,國內已開放申請進行PoC的場域實驗。

孫雅麗透露制定中的行動寬頻專網管理方法部分方向,例如現行的電信法規對專網使用設有限制。依據電信管理法,原則上,專用電信網路是不能連接公眾電信網路,或是設置目的之外的使用。

企業如果在臺北、高雄兩地各自建設專網,中間以VPN虛擬專線作為兩地專網的通訊,孫雅麗認為,因VPN連線至internet接取企業網路,並沒有透過internet連接第三地或其他服務,用途僅在不同專網間的通訊應無禁止的必要。

而上下游供應鏈間使用多個專網,彼此間以VPN連接交換資料,因用途僅作為企業與企業之間,不同地點的通訊,孫雅麗表示,未來在行動寬頻專網辦法中,沒有禁止連接公眾網路的必要。

而企業在雲端進行資料分析的需求之下,將資料蒐集儲存在雲端,中間需連接公眾電信網路進行數據傳輸,考量到可能是企業運作的方式之一,依照電信管理法第50條第5項,由NCC以專案核准方式,允許企業專網連接公眾電信網路。

另外,企業布建專網及管控也有不同的方式,例如5G基地臺、MEC、核心網路等設備都建置在大型企業的場域,由企業自行管理維運,或是5G基地臺、MEC、核心網路等設備都建置在企業的場域,但維運管理都在雲端,委托給業者,中小型企業的布建方式,將資料傳輸留在場域,控制及管理都在雲端。

電信業者以商用頻段提供企業專網服務,電信業者主要提供4種共頻專網建置方式,包括以網路切片提供專網,只在企業場域建置基地臺,以及在企業場域建置基地臺與MEC,還有在企業場域建置完整的基地臺、MEC、核網的小型獨立網路。

NCC也同時參照國際上各國對5G專網的監理做法,例如法國、德國、香港、英國、日本釋出的專頻專網頻段,有的地區釋出低頻段,也有的釋出高頻段供專頻專網使用,各國對專頻專網的監理政策也有差異,例如排除取得商用頻段的電信業者或全國性電信業者申請,專網的網路涵蓋範圍,以及是否能連接公眾電信網路等等。

應重視5G專網相關的資安議題:

孫雅麗認為,各國對專網的法規及監理做法上缺少一塊拼圖,那就是對資安議題的重視(重要的議題)。

她以總統過去提出的資安即國安1.0為例,政府投入資源,確保8大關鍵基礎設施的資通安全,但有不少資安事件發生在私部門,如同總統所言,公私領域協力合作變得很重要,特別對國家而言,重要的產業,資安的維護更是重中之重。當進入數位時代,數位升級,完全自動化及智能化,曝露的威脅和風險將會更大。

未來有幾個值得重視的資安議題,例如在5G專網下,如何確保連接專網的用戶裝置(User Equitment, UE)是安全的,可被信賴的,在5G的大規模連網、低延遲特性下,用戶可能非人,而是機器,企業要如何確保接入專網的設備是安全的、來自可信賴的供應鏈,設備裝置上執行的應用是否安全。

UE的安全性,有兩項重要的議題:如何避免不被授權的裝置連結5G專網?如何在5G專網中驗證連結裝置?

第一個議題衍生相關的問題,例如,過去由電信商提供SIM卡,以作為用戶身分識別的依據,未來在5G專網下,SIM卡可能更換頻繁,如何確保SIM卡的製作是安全的?或是合法的SIM卡轉至非法的設備使用,還有SIM卡可能被複製,濫用於存取5G專網等等。

第二個議題則關係到裝置的身分認證機制,目前有一些建議採用PKI的身分認證架構。

至於5G的大規模連結,要帶動大量的IoT裝置連結5G專網,應如何確保IoT裝置的身分安全?孫雅麗建議採Security by design的思維,採用Root of Trust(RoT),尤其是獨立硬體如安全元件,從根本上確保IoT裝置的身分安全,從硬體、韌體向上到作業系統、應用、數據,層層建構信賴鏈(Chain of Trust)。

未來,5G帶動萬物聯網,但IoT裝置布署環境多變且複雜,其資安防護不比IT設備,使裝置曝露更多的安全威脅,更容易受到攻擊,她引用NIST的文件,在未來物聯網時代,IoT設備製造商對裝置的安全是有責任,並非單靠使用者自己去防護。

在企業5G專網,如涵蓋室外的環境,容易受到節訊號壅塞攻擊(Signal Jamming Attack),大量的非法訊號阻斷攻擊,可能使得仰賴5G專網的工廠自動化被癱瘓。

所以對5G的專網資安是非常重要的。