Контакты
Подписка 2026

Безопасность сетей 5G

Александр Зубарев, 12/01/21

Возможности сетей 5G не ограничиваются рекордной скоростью мобильного интернет-доступа. Новый стандарт мобильной связи может стать универсальной инфраструктурой взаимодействия людей, умных устройств, организаций и целых отраслей экономики.

Но всеобщая связанность имеет обратную сторону – появление более масштабных киберугроз. Позицию вендора по этому вопросу раскрыл Александр Зубарев, директор по информационной безопасности компании Huawei в России.

Автор: Александр Зубарев, директор по информационной безопасности компании Huawei в России

В статье рассмотрены актуальные угрозы информационной безопасности для сетей 5G и основы обеспечения их защиты.

Применение сетей 5G

В отличие от предыдущих поколений мобильных сетей, ориентированных в основном на массового потребителя (услуги голосовой связи, мобильного доступа в Интернет), стандарт 5G развивается преимущественно в интересах корпоративного и государственного сектора. Предлагаются три основных сценария использования сетей 5G:

  1. Сверхширокополосная мобильная связь (eMBB): пиковая скорость передачи данных до 25 Гбит/с. Применение: прямые трансляции 4K, сервисы AR/VR, облачные игры и другие услуги с высоким объемом трафика.
  2. Сверхнадежная межмашинная связь с низкими задержками (URLLC): сокращение задержек передачи данных до 1 мс. Применение: беспилотный транспорт, дистанционные технологии (например, роботизированная хирургия).
  3. Массовая межмашинная связь (mMTC): поддержка до 1 млн подключений к базовой станции на 1 кв. км. Применение: развитие потребительского и промышленного IoT (электроснабжение, производство, безопасный город и пр.).

Архитектура и ландшафт угроз безопасности

Рассмотрим основные особенности архитектуры сетей 5G и связанные с ними проблемы безопасности.

  1. Сеть радиодоступа (RAN) основана на новом стандарте 5G NR (New Radio), реализующем необходимые для заданного сценария характеристики: пропускную способность, минимальные задержки или массовые подключения. Согласно концепции конвергентной архитектуры, иные сети радиодоступа (Wi-Fi, 4G-LTE) должны подключаться к единому ядру сети 5G.
    Риски: большое число подключений и высокая пропускная способность увеличивают поверхность атаки. IoT-устройства менее устойчивы к взлому.
  2. Архитектура опорной сети (ядро сети или 5G Core) основана на облачных технологиях и виртуализации сетевых функций (SDN, NFV), позволяющих создать множество независимых сегментов и поддерживать таким образом сервисы с различным набором характеристик. Сегментирование также позволяет операторам предоставлять сетевую инфраструктуру в виде сервиса для организаций.
    Риски: более серьезные последствия сбоев или злоупотреблений с учетом масштаба использования.
  3. 5G предполагает активное использование технологии периферийных вычислений (MEC). Это могут быть, в частности, корпоративные приложения, работающие на сети операторов: интеллектуальные сервисы, финансовые сервисы, мультимедиа. Следует добавить, что в этом случае происходит интеграция операторских сетей 5G в корпоративную инфраструктуру.
    Риски: новые возможности проникновения в корпоративные сети, размещение оборудования MEC вне защищенного периметра организации.
  4. Централизованная инфраструктура управления сетью (O&M) усложняется за счет необходимости одновременной поддержки большого числа сервисных сегментов.
    Риски: более серьезные последствия злоупотребления ресурсами и/или ошибок конфигурации O&M.

Общая архитектура 5G-сети приведена на рис. 2.

Cегментированная архитектура 5G-сети, включая МЕС и внешние сети, которая используется для описания угроз безопасности, приведена на рис. 3.

Среди наиболее значимых угроз для каждого из главных компонентов сети 5G можно выделить следующие (см. табл.).

Подход к защите

Основываясь на редакциях разрабатываемого стандарта 5G, а также на опыте компании Huawei в области разработки комплексных защитных решений, определим, какие меры будут необходимы для противодействия угрозам в сетях 5G:

1. Защита на уровне стандарта:

  • разделение слоев протокола передачи данных на три плоскости: User Plane, Control Plane, Management Plane. Изоляция, шифрование и контроль целостности плоскостей. Шифрование абонентского и сигнального трафика;
  • увеличение длины ключа шифрования трафика с 128 бит до 256 бит (в новой редакции стандарта);
  • единый механизм аутентификации абонентов для различных типов беспроводной связи;
  • поддержка гибких политик безопасности для сегментов.

Причем следует отметить, что не исключается возможность использования и ГОСТа шифрования в сетях 5G при условии, что он будет соответствовать требованиям спецификаций безопасности стандарта 3GPP. Тогда его реализация и поддержка будут обеспечиваться при участии вендора и российских разработчиков, имеющих соответствующую лицензию ФСБ России. Но для этого надо подать заявку в 3GPP и пройти процедуры одобрения.

2. Защита на уровне решений, оборудования и инфраструктуры сети:

  • многоуровневая изоляция и защита целостности компонентов SDN и VNF – гипервизора, виртуальных машин, ОС, контейнеров;
  • обеспечение высокой доступности виртуальных машин для быстрого восстановления после атак;
  • аутентификация приложений MEC, авторизация запросов API;
  • дополнительный фактор аутентификации при доступе к корпоративной сети, белый список устройств и служб;
  • защищенные каналы связи между базовой станцией, MEC и корпоративной сетью;
  • доверенная аппаратная среда – безопасная загрузка устройств, TEE;
  • обнаружение атак в реальном времени на сетевых узлах и элементах виртуальной инфраструктуры с использованием алгоритмов ИИ.

3. Защита на уровне управления сетью:

  • многофакторная аутентификация и разграничение доступа к сегментам со стороны O&M;
  • средства обнаружения поддельных базовых станций на основе мониторинга событий обслуживания;
  • безопасное управление жизненным циклом пользовательских данных, а также аналитических и служебных данных оператора – шифрование, анонимизация, безопасное хранение и удаление;
  • централизованное управление уязвимостями, политиками ИБ, анализ больших данных для обнаружения аномалий и раннего реагирования на атаки (SOC).

Важно отметить, что безопасность сетей 5G не ограничивается техническими мерами защиты и складывается из совместных усилий доверяющих друг другу сторон – разработчиков стандарта, регуляторов, вендоров, операторов и поставщиков услуг. Поддерживая укрепление доверия между сторонами, компания Huawei участвует в разработке стандарта 5G в составе консорциума 3GPP, а также предлагает рынку варианты комплексных защищенных решений.

Более того, совместно с ведущими вендорами – поставщиками телеком-решений Huawei активно участвует в реализации новой схемы мобильной кибербезопасности, запущенной совместно GSMA и 3GPP с различными регуляторами кибербезопасности – NESAS/SCAS (Network Equipment Security Assurance Scheme/Security Assurance Specifications).

Преимущества NESAS/SCAS :

  1. Дает возможность обеспечить защиту для наиболее специфичных для промышленности точек доступа и связанных с ними угроз безопасности, таких как радиоинтерфейс, NAS, веб-безопасность и т.д.
  2. Предоставляет унифицированные спецификации, которые можно измерить, увидеть, сопоставить, понять и применить.
  3. Снижает фрагментации требований к безопасности и сокращает ненужные затраты операторов.

Для операторов использование этих решений позволит сократить время и затраты на оценку поставщиков, определит строгие и унифицированные стандарты безопасности и обеспечит эти высокие уровни безопасности.

В заключение хотелось бы рекомендовать создание совместных инновационных проектов (вендор – оператор – OTT-провайдер – B2Bи B2G-клиенты), направленных на проверку того, как коммерческие продукты для сетей 5G могут использовать стандарты кибербезопасности и рекомендуемые практики для соответствующих случаев и сценариев их использования. С помощью таких проектов также можно на практике продемонстрировать, как могут быть правильно использованы и улучшены функции безопасности 5G. 

Автор выражает благодарность своим коллегам Дмитрию Конареву и Юлии Чернокожиной за участие в работе над статьей.

Темы:5GHuaweiИнтернет вещей (IoT)АСУ ТПЖурнал "Информационная безопасность" №6, 2020
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Что мы сегодня понимаем под защищенностью АСУ ТП? Круглый стол экспертов
    Разговор о кибербезопасности АСУ ТП уверенно смещается с уровня технологий и мер на уровень интерпретаций и границ. Что считать защищенностью, где проходят зоны ответственности, какие допущения остаются незамеченными – эти вопросы все чаще оказываются важнее конкретных СЗИ. Именно их мы вынесли в фокус обсуждения.
  • Безопасность нельзя добавить постфактум. Практика DevSecOps от УЦСБ
    Евгений Тодышев, руководитель направления “Безопасная разработка” УЦСБ
    Безопасная разработка в промышленности требует постоянного поиска баланса между требованиями регуляторов, скоростью вывода продукта и жесткими ограничениями встраиваемых систем. Руководитель направления “Безопасная разработка” УЦСБ Евгений Тодышев рассказал, какие компромиссы неизбежны, а какие вредны, почему безопасность нельзя добавлять постфактум, как встроить DevSecOps в легаси и в каких случаях сервисная модель выгоднее собственной команды.
  • UDV DATAPK Industrial Kit – реальная безопасность АСУ ТП за разумные деньги
    Владислав Ганжа, руководитель производственного направления лаборатории кибербезопасности UDV Group
    На рынке промышленной кибербезопасности до сих пор действует установка: чем дороже решение для защиты АСУ ТП, тем оно эффективнее. Но сегодня российские предприятия понимают, что переплачивают не столько за реальную защиту, сколько за имя и сложную архитектуру
  • Энергетика уходит от формального подхода к встроенной безопасности
    Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
    Энергетика – одна из самых чувствительных отраслей с точки зрения киберрисков. Как выстраивается реальная киберустойчивость в условиях роста количества компьютерных атак, импортозамещения, цифровизации и динамично развивающейся законодательной базы, – рассказал Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”.
  • Что вы недооцениваете при внедрении комплексной защиты АСУ ТП
    Ольга Луценко, эксперт UDV Group
    Обсуждая комплексную защиту, ИБ-директора чаще всего фокусируются на средствах, требованиях регуляторов и документации. Формально это выглядит корректно, но в результате на практике защита оказывается внедренной, но не встроенной в архитектуру и процессы предприятия. То есть она превращается в набор разрозненных решений, формально соответствующих требованиям, но не обеспечивающих реальной устойчивости. В этом кроется ключевая ошибка – воспринимать комплексную защиту как набора технологий, а не как изменения процессов и модели управления безопасностью.
  • Безопасность без нарушения доступности: особенности промышленных межсетевых экранов
    Сергей Воробьев, менеджер продукта RTT
    Защита сети промышленного объекта – это комплексная задача, не имеющая единого простого решения. Однако несмотря на сложный и многоуровневый подход, одним из ключевых элементов такой системы защиты по-прежнему остается межсетевой экран (МЭ). Но не обычный, а промышленный.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...