Bảo mật mạng 5G
Năm 2015, Liên minh Viễn thông Quốc tế (ITU) đã công bố "Tầm nhìn IMT: Kiến trúc 5G và Mục tiêu tổng thể", xác định ba công nghệ chính của 5G gồm: Băng thông rộng di động nâng cao (eMBB), Siêu đáng tin cậy và độ trễ thấp (uRLLC) và Truyền thông máy số lượng lớn (mMTC). So với 4G, 5G sẽ cung cấp tốc độ cao (gấp 10 lần so với 4G), độ trễ đường truyền cực thấp (cấp mili giây) và số lượng kết nối lớn (hàng triệu kết nối trên mỗi km vuông).
Mạng 5G là một sự kết hợp phức tạp. Cấu trúc của mạng thông tin di động truyền thống chủ yếu được chia thành mạng truy cập, mạng truyền dẫn và mạng lõi, sau mạng lõi là mạng đường trục. Do sự ra đời của các công nghệ mới như ảo hóa chức năng mạng (Network Functions Virtualization - NFV), mạng điều khiển bằng phần mềm (Software Defined Networking - SDN), điện toán biên đa truy cập (Multi-access Edge Computing - MEC),… mạng 5G có nhiều dạng mạng phức tạp hơn 4G. Việc ra đời của các công nghệ mới giúp cho trên thị trường ngoài các nhà sản xuất thiết bị liên lạc truyền thống, các công ty viễn thông, thì có thêm các bên tham gia mạng 5G khác như nhà cung cấp đám mây, dữ liệu lớn, trung tâm dữ liệu Internet... Từ đó hình thành nhiều liên kết hơn trong hệ sinh thái mạng 5G. Bên cạnh đó, những chủ thể ứng dụng khác nhau cũng tham gia sâu vào việc phát triển các ứng dụng 5G.
Mạng 5G là nền tảng kết nối con người, máy móc và vạn vật, là động lực quan trọng để hiện thực hóa cơ sở hạ tầng thông tin mới và chuyển đổi số quốc gia. Do đó, bảo mật 5G là nền tảng quan trọng, đảm bảo sự phát triển an toàn, ổn định của kinh tế, xã hội trong tương lai.
Nhận dạng các dạng rủi ro bảo mật của 5G
Dạng rủi ro đối với các công nghệ chính của 5G, gồm:
- Một là, rủi ro bảo mật của công nghệ Ảo hóa chức năng mạng (NFV): Trong môi trường ảo, các chức năng quản lý, điều khiển mang tính tập trung cao, một khi chức năng bị lỗi hoặc bị kiểm soát trái phép sẽ ảnh hưởng đến sự vận hành an toàn, ổn định của toàn hệ thống. Bên cạnh đó, nhiều chức năng mạng ảo chia sẻ các tài nguyên cơ bản bên dưới, nếu một chức năng mạng ảo bị tấn công sẽ ảnh hưởng đến các chức năng khác. Ngoài ra, do việc sử dụng rộng rãi phần mềm nguồn mở và phần mềm của bên thứ ba trong ảo hóa mạng, nên khả năng xuất hiện các lỗ hổng bảo mật cũng tăng lên.
- Hai là, rủi ro bảo mật của công nghệ Phân chia mạng 5G (5G network slicing): Phân chia mạng 5G là một kiến trúc mạng cho phép ghép kênh các mạng logic ảo hóa và độc lập trên cùng một cơ sở hạ tầng mạng vật lý. Dựa trên công nghệ ảo hóa, phân chia mạng thực hiện cách ly logic trên các tài nguyên được chia sẻ. Nếu không có cơ chế và biện pháp cách ly bảo mật phù hợp, khi một lát mạng có khả năng bảo vệ thấp bị tấn công, kẻ tấn công có thể sử dụng nó làm bàn đạp để tấn công tiếp các lát cắt khác, từ đó ảnh hưởng đến hoạt động bình thường của mạng.
- Ba là, rủi ro bảo mật của công nghệ Điện toán biên: Các nút điện toán biên chìm xuống biên của mạng lõi và có nhiều khả năng bị tấn công vật lý hơn khi chúng được triển khai trong môi trường vật lý tương đối không an toàn. Bên cạnh đó, nhiều ứng dụng có thể được triển khai trên nền tảng điện toán biên để chia sẻ tài nguyên liên quan, một khi ứng dụng có khả năng bảo vệ yếu bị xâm phạm, sẽ ảnh hưởng đến sự an toàn của các ứng dụng khác.
- Bốn là, rủi ro bảo mật về khả năng mạng mở (là một trong những khả năng cốt lõi của mạng 5G, bao gồm các khả năng mở: chính sách, thiết bị đầu cuối, cấu hình, dữ liệu): Việc mở khả năng mạng sẽ khiến thông tin cá nhân người dùng, dữ liệu mạng và dữ liệu kinh doanh từ trạng thái đóng (trong phạm vi nhà mạng) được mở ra, khiến khả năng quản lý, kiểm soát dữ liệu của nhà mạng yếu đi, dẫn đến nguy cơ rò rỉ dữ liệu.
Dạng rủi ro đến từ các kịch bản ứng dụng 5G
- Một là, Băng thông rộng di động nâng cao (eMBB): Kịch bản này có các ứng dụng như video di động độ phân giải cực cao 4K/8K, các dịch vụ VR (thực tế ảo)/AR (thực tế tăng cường). Do tốc độ dữ liệu của 5G cao hơn rất nhiều so với 4G, lưu lượng dữ liệu ở biên mạng sẽ tăng, đặt ra thách thức đối với các phương pháp bảo mật hiện có. Các thiết bị bảo mật như tường lửa, hệ thống phát hiện xâm nhập,… triển khai trong mạng hiện tại sẽ khó đáp ứng được do nhu cầu lưu lượng truy cập lớn.
- Hai là, Truyền thông tin cậy cao và độ trễ thấp (URLLC): Các ứng dụng điển hình bao gồm Internet công nghiệp, Internet phương tiện và lái xe tự động. uRLLC cung cấp dịch vụ đảm bảo chất lượng có độ tin cậy cao, độ trễ thấp. Tuy nhiên việc triển khai các cơ chế bảo mật phức tạp sẽ bị hạn chế trong 5G do các yêu cầu về độ trễ thấp. Các cơ chế bảo mật, chẳng hạn như xác thực quyền truy cập, bảo mật truyền dữ liệu, mã hóa/giải mã dữ liệu,... sẽ làm tăng độ trễ của mạng. Do đó cơ chế bảo mật quá phức tạp không thể đáp ứng yêu cầu của các dịch vụ có độ trễ thấp.
- Ba là, Truyền thông máy số lượng lớn (mMTC): Có đặc điểm là phạm vi ứng dụng rộng, nhiều thiết bị truy cập, nhiều loại hình dịch vụ, khu vực ứng dụng phân tán, tiêu chuẩn nhà cung cấp thiết bị khác nhau. Việc có nhiều loại thiết bị đầu cuối kết nối dẫn đến dễ bị lợi dụng khai thác tấn công, đặt ra mối đe dọa lớn cho an ninh mạng. Trong kỷ nguyên 5G, sẽ có rất nhiều truy cập thiết bị đầu cuối IoT, ước tính đến năm 2025, số lượng thiết bị IoT toàn cầu được kết nối Internet sẽ lên tới 25,2 tỷ. Trong số đó, một lượng lớn thiết bị đầu cuối có mức tiêu thụ điện năng thấp, tài nguyên lưu trữ, tính toán hạn chế nên rất khó triển khai các chính sách bảo mật phức tạp. Một khi những thiết bị này bị tấn công, rất dễ hình thành botnet, trở thành nguồn tấn công mạng vào các hệ thống thông tin và ứng dụng người dùng.
Dạng rủi ro bảo mật hệ sinh thái 5G: Trong hệ sinh thái mạng 5G, cần xem xét đầy đủ trách nhiệm và yêu cầu bảo mật của từng đối tượng ở các cấp độ khác nhau; vừa phải xem xét các giải pháp bảo mật của nhà mạng và nhà cung cấp thiết bị, cũng cần yêu cầu các nhà cung cấp dịch vụ ứng dụng (trong các ngành như năng lượng, tài chính, chăm sóc y tế, giao thông vận tải, công nghiệp,...) phải thực hiện các biện pháp bảo mật thích hợp.
- Một là, bảo mật triển khai và vận hành mạng: Việc quản lý bảo mật 5G phải xuyên suốt toàn bộ vòng đời triển khai và vận hành mạng. Các nhà mạng cần thực hiện các biện pháp để quản lý rủi ro bảo mật và đảm bảo tính liên tục của các dịch vụ họ cung cấp. Về thiết kế bảo mật 5G, do tính mở và độ phức tạp của mạng 5G, nên có yêu cầu cao hơn đối với quản lý quyền, phân chia và cách ly miền bảo mật, đánh giá và kiểm soát rủi ro nội bộ, ứng phó khẩn cấp... Về triển khai mạng 5G, việc triển khai phân tán các phần tử mạng có thể gặp phải các vấn đề như cấu hình hệ thống không hợp lý, bảo vệ môi trường vật lý không đầy đủ.… Về vận hành và bảo trì, mạng 5G có nhiều khâu cần vận hành và bảo trì, đồng thời yêu cầu rất chi tiết, do đó nguy cơ lỗi cấu hình vận hành và bảo trì tăng lên, cấu hình bảo mật sai có thể dẫn đến các cuộc tấn công vào hệ thống mạng 5G. Ngoài ra, yêu cầu vận hành và bảo trì 5G rất cao, điều này mang đến những thách thức đối với tiêu chuẩn hóa hoạt động và kiến thức chuyên môn của các nhân viên.
- Hai là, bảo mật ứng dụng chuyên ngành: 5G được tích hợp sâu vào các chuyên ngành, lĩnh vực khác nhau. Nhà cung cấp dịch vụ ứng dụng, nhà mạng và nhà cung cấp thiết bị đã trở thành một phần quan trọng trong an ninh sinh thái 5G, đan xen lẫn nhau và ảnh hưởng lẫn nhau; từ đó yêu cầu cần tăng cường phối hợp giữa các bên để cùng giải quyết các vấn đề bảo mật. Các nhà cung cấp ứng dụng trực tiếp cung cấp dịch vụ cho người dùng, nên họ phải chịu trách nhiệm chính trong việc đảm bảo an ninh ứng dụng và an ninh thiết bị đầu cuối. Do đó, cần làm rõ ranh giới trách nhiệm bảo mật giữa các bên, nhất là của nhà cung cấp ứng dụng và các nhà mạng. Bên cạnh đó, do có sự khác biệt trong ứng dụng giữa các lĩnh vực, dẫn đến yêu cầu bảo mật khác nhau, năng lực bảo mật khác nhau, rất khó để áp dụng một giải pháp bảo mật duy nhất và phổ quát cho các lĩnh vực.
- Ba là, rủi ro bảo mật chuỗi cung ứng: Công nghệ 5G có yêu cầu kỹ thuật cao, chuỗi công nghiệp dài, lĩnh vực ứng dụng rộng. Chuỗi công nghiệp bao gồm thiết bị hệ thống, chip, thiết bị đầu cuối, phần mềm ứng dụng, hệ điều hành.… Sự đổi mới liên tục, tính toàn cầu của công nghệ bảo mật cơ bản và khả năng hỗ trợ của chuỗi công nghiệp 5G có tác động lớn đến hệ sinh thái 5G và các ứng dụng của nó. Từ đó xuất hiện yêu cầu cần tăng cường đổi mới các công nghệ bảo mật cơ bản, nâng cấp các sản phẩm và giải pháp bảo mật, cung cấp các sản phẩm công nghệ 5G an toàn và đáng tin cậy hơn.
Kinh nghiệm bảo đảm an ninh mạng 5G của một số quốc gia, khu vực
Các chính sách bảo đảm an ninh mạng 5G của Trung Quốc:
Năm 2020, Nhóm xúc tiến IMT-2020 (5G) công bố "Báo cáo bảo mật 5G", phân tích toàn diện các rủi ro bảo mật 5G và các biện pháp đối phó; cung cấp hướng dẫn kỹ thuật cho các bên trong chuỗi công nghiệp 5G để hiểu và ứng phó một cách khách quan với các vấn đề bảo mật 5G. Tháng 7/2021, Bộ Công nghiệp và Công nghệ thông tin Trung Quốc công bố "Kế hoạch hành động ứng dụng 5G giai đoạn 2021 - 2023", đưa ra các mục tiêu, yêu cầu về khả năng bảo đảm an ninh của ứng dụng 5G, đồng thời chỉ rõ cần đẩy nhanh việc xây dựng hệ thống bảo mật tương thích với sự phát triển của ứng dụng 5G.
Trong việc thiết lập hệ thống tiêu chuẩn bảo mật 5G, Nhóm xúc tiến IMT-2020 (5G) đã xây dựng các tiêu chuẩn trong nước như TC260, TC485 và CCSA; đưa ra "Yêu cầu kỹ thuật bảo mật mạng truyền thông di động 5G" và các tiêu chuẩn ngành khác; dựa trên các tiêu chuẩn quốc tế như 3GPP, xây dựng một loạt các thông số kỹ thuật để đảm bảo an ninh cho thiết bị thông tin di động 5G ở trong nước; xây dựng hệ thống đánh giá an ninh cho các trạm gốc và mạng lõi 5G.
Về xây dựng năng lực đánh giá bảo mật 5G: Học viện Công nghệ thông tin và Truyền thông Trung Quốc đã thành lập "Trung tâm Đánh giá Bảo mật 5G"; xây dựng hệ thống đánh giá bảo mật 5G theo tiêu chuẩn quốc tế; xây dựng nền tảng thử nghiệm mạng 5G; phát triển năng lực kiểm tra, đánh giá như bảo mật truy cập thiết bị đầu cuối, bảo mật thiết bị mạng lõi/trạm cơ sở, bảo mật giao thức truyền thông, bảo mật phân lớp mạng…
Hộp công cụ đánh giá rủi ro bảo mật 5G của EU
Tháng 3/2019, Ủy ban Châu Âu đã thông qua "Khuyến nghị an ninh mạng 5G", kêu gọi các quốc gia thành viên tiến hành đánh giá rủi ro đối với cơ sở hạ tầng mạng 5G và xem xét các biện pháp an ninh quốc gia dựa trên nhu cầu và đặc điểm của từng quốc gia. Tháng 10/2019, Cơ quan An ninh mạng Liên minh Châu Âu (ENISA) công bố báo cáo "Đánh giá rủi ro an ninh mạng 5G của EU", trong đó phân tích chi tiết các rủi ro bảo mật 5G mà các quốc gia thành viên EU có thể gặp phải; đồng thời cung cấp hướng dẫn cho các quốc gia thành viên trong quản lý, triển khai, vận hành, bảo trì mạng và mua sắm cho cơ sở hạ tầng 5G. Tháng 11/2019, ENISA công bố "Bản đồ bảo mật mạng 5G", phân tích chi tiết các công nghệ như tài sản mạng, nhận dạng rủi ro,...
Tháng 1/2020, Nhóm hợp tác an ninh thông tin mạng của EU (NIS CG) công bố "Hộp công cụ của EU về các biện pháp giảm thiểu rủi ro an ninh mạng 5G" (Hộp công cụ) để triển khai các biện pháp giảm thiểu rủi ro an ninh mạng 5G cho EU và các quốc gia thành viên. Hộp công cụ đề xuất 8 biện pháp chiến lược, 11 biện pháp kỹ thuật và 10 hành động hỗ trợ; đồng thời làm rõ quy trình và phương pháp để mỗi quốc gia thành viên thực hiện các biện pháp giảm thiểu rủi ro. Hộp công cụ nhằm giải quyết tất cả các rủi ro đã được đánh giá, bao gồm các rủi ro liên quan đến các yếu tố phi kỹ thuật và có tầm quan trọng chiến lược đối với toàn bộ thị trường chung EU và chủ quyền công nghệ của EU. Tháng 12/2020, dựa trên Mã truyền thông điện tử của EU (EU Electronic Communications Code - EECC), Liên minh Châu Âu đã công bố "Hướng dẫn về các biện pháp bảo mật của EECC" và "Hướng dẫn triển khai các biện pháp bảo mật bổ sung 5G" để thúc đẩy việc thực hiện Hộp công cụ trong việc xây dựng mạng 5G ở các quốc gia thành viên.
Hướng dẫn Thực hành An ninh mạng 5G của NIST (Hoa Kỳ): Tháng 2/2021, đã công bố dự thảo "Hướng dẫn Thực hành An ninh Mạng 5G", nhằm mục đích xác định các thuộc tính bảo mật như cơ sở hạ tầng cơ bản, kiến trúc kỹ thuật và các thành phần; đồng thời xây dựng khả năng đảm bảo an ninh mạng 5G mang tính tổng thể. Hướng dẫn thực hành này được thiết kế để giúp những bên tham gia như nhà mạng, nhà cung cấp thiết bị 5G cải thiện khả năng bảo mật của họ. Hướng dẫn này cũng có giá trị tham khảo cao về viễn thông và an toàn công cộng.
Khung đảm bảo an ninh thiết bị mạng của GSMA:
Năm 2020, Hiệp hội Hệ thống Truyền thông Di động Toàn cầu (GSMA) và Dự án Đối tác Thế hệ Thứ ba (3GPP) cùng công bố “Kế hoạch đảm bảo an ninh thiết bị mạng” (NESAS) nhằm xây dựng cơ sở bảo mật chung để thúc đẩy hợp tác bảo mật và tin tưởng lẫn nhau trong lĩnh vực truyền thông trên toàn cầu. NESAS cung cấp tiêu chuẩn đánh giá an ninh mạng thống nhất và hiệu quả cho ngành truyền thông, đồng thời cung cấp tài liệu tham khảo có giá trị cho các bên liên quan như nhà mạng, nhà sản xuất thiết bị, cơ quan quản lý chính phủ và nhà cung cấp dịch vụ ứng dụng để đảm bảo an ninh mạng 5G. GSMA NESAS được chia thành kiểm tra quy trình R&D sản phẩm và kiểm tra chức năng bảo mật sản phẩm (SCAS). Thông qua kiểm tra và thử nghiệm bảo mật theo khuôn khổ NESAS, các nhà sản xuất thiết bị có thể chứng minh khả năng bảo mật sản phẩm của họ ở một mức độ nào đó.
Một số khuyến nghị giải pháp về bảo mật 5G
Để giải quyết các vấn đề bảo mật 5G, có thể dựa trên khung quản lý bảo mật 4G hiện có, tập trung đánh giá và giải quyết các rủi ro, thách thức bảo mật mới của mạng 5G, trong đó cần:
- Tuân thủ quan điểm chú trọng cả tăng cường ứng dụng và đảm bảo an toàn, vừa khuyến khích phát triển vừa quản lý, điều tiết. Bên cạnh việc đẩy nhanh triển khai mạng 5G và thúc đẩy tích hợp sâu rộng ứng dụng 5G vào các lĩnh vực khác nhau, cũng cần nâng cao xây dựng năng lực bảo mật 5G, lập kế hoạch tổng thể về bảo mật hạ tầng, bảo mật ứng dụng và bảo mật dữ liệu mạng 5G; theo dõi chặt chẽ các rủi ro bảo mật 5G, chủ động tiến hành đánh giá bảo mật công nghệ 5G và làm rõ các điểm quan trọng, cốt lõi trong bảo mật 5G.
- Xây dựng hệ thống trách nhiệm bảo mật rõ ràng. Làm rõ trách nhiệm của tất cả các bên trong hệ sinh thái 5G; liên tục cải thiện các luật, quy định, tiêu chuẩn liên quan như bảo vệ thông tin cá nhân, bảo vệ cơ sở hạ tầng thông tin trọng yếu, quản trị thông tin mạng,… để đảm bảo rằng nhà mạng, nhà cung cấp thiết bị, nhà cung cấp dịch vụ ứng dụng và các chủ thể khác thực hiện đầy đủ trách nhiệm của họ.
- Thúc đẩy phát triển sáng tạo của bảo mật 5G. Tăng cường nghiên cứu về công nghệ và tiêu chuẩn bảo mật 5G; thiết lập hệ thống thử nghiệm bảo mật 5G; nâng cấp các sản phẩm an ninh mạng như: nhận dạng tài sản, khai thác lỗ hổng, ngăn chặn xâm nhập, bảo vệ dữ liệu, truy xuất nguồn gốc,...; xây dựng hệ thống cung cấp sản phẩm và dịch vụ bảo mật 5G hoàn chỉnh, đa dạng và đáng tin cậy; đẩy nhanh quá trình chuyển đổi thành tựu đổi mới công nghệ bảo mật 5G; quảng bá các giải pháp bảo mật trong các lĩnh vực như Internet phương tiện và Internet công nghiệp.
- Tăng cường đánh giá rủi ro bảo mật ứng dụng 5G. Khi triển khai mạng quy mô lớn, các ứng dụng của 5G trong các lĩnh vực khác nhau sẽ nhiều hơn; rủi ro bảo mật cũng mang đặc điểm của từng lĩnh vực ứng dụng cụ thể. Do đó cần nghiên cứu các tiêu chuẩn liên quan đến bảo mật cho từng lĩnh vực công nghiệp phù hợp; tăng cường đánh giá rủi ro bảo mật liên ngành và liên lĩnh vực; đưa ra các biện pháp ứng phó và xử lý kịp thời để ngăn ngừa rủi ro bảo mật.
- Xây dựng cơ chế bảo vệ tích hợp cho an ninh mạng 5G. Tích cực thúc đẩy việc xây dựng các biện pháp bảo mật cơ sở hạ tầng mạng 5G; cải thiện cơ chế liên kết chia sẻ thông tin về mối đe dọa mạng 5G; xây dựng hệ thống phòng thủ an ninh mạng 5G nhằm giám sát mối đe dọa, nhận thức toàn cầu, cảnh báo sớm và xử lý chung; hình thành khả năng bảo vệ an ninh mạng toàn bộ vòng đời mạng 5G.
- Tăng cường bồi dưỡng, đào tạo nhân tài 5G. Làm phong phú thêm cơ chế tuyển chọn nhân lực an ninh mạng; thúc đẩy đào tạo các chuyên gia liên ngành 5G; tăng cường đào tạo và bồi dưỡng về bảo mật 5G.
Tài liệu tham khảo [1] http://www.caict.ac.cn/kxyj/qwfb/bps/202002/P020200204353105445429.pdf [2] https://pdf.dfcfw.com/pdf/H3_AP202112141534538455_1.pdf?1639501401000.pdf [3] https://www.tc260.org.cn/file/5gwlaq.pdf [4] https://www.itu.int/en/ITU-T/Workshops-and-Seminars/20171016/Documents/Yoshikane.pdf [5] https://www.gsma.com/security/wp-content/uploads/2020/06/NESAS-Test-Laboratory-Competency-Guidelines.pdf |
Nguyễn Liệu