📘 AI時代系列(4):AI 驅動的電信網路規劃與設計 🌐
60/100 第六週:📌 電信安全與防護
60. 小結與實作:模擬電信安全攻防 —— 體驗安全防護與滲透測試。
在電信網路安全的脈絡中,51–59 單元完整呈現了從 常見威脅與協定漏洞(DDoS、偽基站、SS7、Diameter)、到 技術防護措施(加密協定、IDS/IPS、DPI、AAA),再到 法規要求與新世代架構(GDPR、5G SEPP/SUPI、零信任 ZTNA)的完整鏈條,說明網路安全並非單一環節,而是必須結合威脅認知、技術防護與制度規範,才能確保電信網路的可靠性、隱私性與合規性。
________________________________________
📖 第 6 章:電信網安全與隱私
📘 單元總結(51–59)
51. 🧨 常見威脅(DDoS、偽基站、SIM 詐騙)
電信環境經常遭遇大規模流量攻擊、惡意攔截訊號、以及利用 SIM 卡進行詐騙的問題。這些威脅會導致網路癱瘓或用戶資料外洩。
🔹 核心要點: 建立多層防護與 AI 流量分析機制,快速辨識並緩解異常攻擊流量。
52. 🔓 SS7 與 Diameter 安全漏洞
傳統電信訊號協定 SS7 存在竊聽與定位漏洞;新一代 Diameter 雖改善部分設計,但仍可能遭遇 DoS 與認證繞過等攻擊。
🔹 核心要點: 部署信令防火牆與端到端加密,封鎖惡意查詢與偽造封包。
53. 🔐 加密協定(TLS、IPSec、SRTP)
提供數據與語音的保護:TLS 用於網頁與應用層,IPSec 用於 VPN 與網路層,SRTP 專為即時語音與影像設計。
🔹 核心要點: 在應用、網路與傳輸層建立多層加密防線,確保端到端安全傳輸。
54. 🧱 防火牆與入侵檢測系統 IDS/IPS
防火牆作為流量過濾的第一層防線;IDS 用於監控異常流量,IPS 可即時阻斷攻擊,組成安全邊界的核心。
🔹 核心要點: 結合威脅情報與自動化回應,實現主動防禦的安全架構。
55. 🧬 深度封包檢測 DPI
能辨識流量層級應用類型,過濾惡意封包、識別 P2P 或攻擊行為,但需平衡隱私與性能。
🔹 核心要點: 利用 AI 進行智慧封包分類與異常流量檢測,兼顧隱私與網路效率。
56. 🪪 身份驗證與授權 AAA
Authentication(驗證)、Authorization(授權)、Accounting(計費與追蹤),確保用戶合法、安全使用網路。
🔹 核心要點: 實施多因素驗證與精細化授權政策,確保每筆連線都可追蹤與管控。
57. 🛡️ GDPR 與個資保護法規
歐盟與各國個資法要求電信業者最小化收集、確保數據可控與刪除權,影響網路設計與服務提供方式。
🔹 核心要點: 將「隱私設計」(Privacy by Design) 納入網路規劃,確保合法合規與信任建立。
58. 📡 5G 安全架構(SEPP / SUPI 保護)
SEPP 提供跨營運商訊息的加密與完整性,SUPI 保護避免用戶真實身分直接暴露,是 5G 的核心安全設計。
🔹 核心要點: 透過 SEPP 與 SUPI 匿名化技術,實現國際漫遊與跨域安全傳輸。
59. 🔒 零信任網路 ZTNA 模型
不再假設內部網路可信,而是每一個連線都需驗證與授權,降低橫向攻擊風險。
🔹 核心要點: 採用「永不信任、持續驗證」原則,整合身份、設備與行為風險分析,建立動態安全防線。
________________________________________
測驗題目(單選題)
1. 下列哪一項屬於傳統電信協定的安全漏洞?
A. HTTPS
B. SS7
C. IPSec
D. TLS
👉 答案:B
解析: SS7 是早期電信訊號協定,存在竊聽、定位與偽裝身分等漏洞;HTTPS、IPSec、TLS 都屬於較安全的加密協定。
2. 在 5G 架構中,哪一個機制能保護用戶身分避免被攔截?
A. TLS
B. SUPI
C. SRTP
D. IDS
👉 答案:B
解析: 5G 使用 SUCI(由 SUPI 加密而來)來隱藏真實用戶身分,避免在無線介面中被攔截。TLS 與 SRTP 分別保護網頁與語音,IDS 則是入侵偵測系統。
3. AAA 中的 “Accounting” 功能主要是?
A. 控制存取權限
B. 計費與使用紀錄
C. 資料加密
D. 使用者身分驗證
👉 答案:B
解析: AAA 分為 Authentication(驗證)、Authorization(授權)、Accounting(計費與紀錄);其中 Accounting 負責記錄使用者的上網行為、流量與時長,作為計費或審計依據。
4. 零信任網路(ZTNA)的核心理念是?
A. 內網可信
B. 預設允許所有連線
C. 所有存取都需驗證
D. 只需邊界防火牆即可
👉 答案:C
解析: 零信任(Zero Trust)強調「不預設任何網路可信」,每一次連線都必須進行驗證與授權,才能降低橫向移動攻擊的風險。
________________________________________
反思題目
1. 為什麼傳統「邊界防護思維」在 5G 和雲端時代逐漸失效?
👉 提示思考:在傳統網路中,只要保護企業邊界(如防火牆)就能相對安全。但 5G 與雲端服務高度分散,設備、應用和資料不再集中於單一邊界,攻擊者也能繞過邊界直接入侵,這是否意味著需要「零信任」模式?
2. 如果沒有加密協定(例如 TLS 或 IPSec),你認為哪些應用會最容易受到攻擊?
👉 提示思考:傳輸過程中的密碼、個資、語音、視訊會不會被竊聽?銀行交易、即時通訊、VPN 通道、企業機密資料流動,若沒有加密保護會發生什麼事?
3. GDPR 的「被遺忘權」對電信業者會帶來哪些挑戰?
👉 提示思考:電信業者需保留使用紀錄(如計費、通話明細),但 GDPR 要求用戶有刪除資料的權利,這會不會與法規、營運需求衝突?如何在合規與業務需求之間取得平衡?
4. 你如何看待 DPI 在「安全」與「隱私」之間的平衡問題?
👉 提示思考:DPI 能偵測惡意流量、阻止攻擊,但同時也可能揭露使用者的應用內容或行為模式。你認為應該如何設定 DPI 的範圍與使用規範,才能同時兼顧 安全防護 與 隱私保護?
________________________________________
🕵️♂️ 實作活動:模擬電信安全攻防
🎯 目標
透過流量觀察、攻擊演練、防禦實作,讓學習者對 電信網路的攻防對抗 有直觀體驗,並思考 攻擊與防禦的成本落差 及 零信任在電信環境的應用。
🔍 1. 流量觀察(基礎)
Wireshark 分析 HTTP 封包:可清楚看到帳號密碼、Cookie 等明文資料,顯示傳統未加密的高風險。
Wireshark 分析 HTTPS 封包:雖然無法直接讀取內容,但能看到 TLS 握手與加密通道建立,體驗加密在資料保護上的效果。
VoIP 封包比較:觀察 SIP/RTP(未加密) vs. SRTP(加密)的差異,理解即時語音/影像在電信中的安全需求。
📌 專業關聯:電信核心網(IMS、VoLTE、VoWiFi)大量依賴加密協定(IPSec、SRTP),若未加密,容易被竊聽或重放攻擊。
💥 2. 模擬攻擊(紅隊視角)
DDoS 模擬:使用 hping3 或類似工具對測試伺服器發送大量 SYN 洪水,體驗資源耗盡攻擊。
偽基站概念演示:架設假 SSID Wi-Fi,模擬攻擊者誘導使用者連線,觀察流量攔截或流量操控的可能性。
📌 專業關聯:
DDoS 是電信網路最常見的威脅,尤其在 5G 環境下,因萬物互聯而更易被濫用。
偽基站(IMSI Catcher)在行動網路中是重大隱私威脅,因此 5G 引入 SUPI → SUCI 加密機制 來防範。
🛡 3. 防禦措施(藍隊視角)
防火牆規則設置:針對異常流量(如大量 SYN 或 ICMP 洪水)設定封鎖策略。
IDS/IPS 啟用:檢測攻擊模式(如 DoS、Port Scan),並觸發告警或自動阻斷。
📌 專業關聯:
電信核心網與承載網會使用 DPI + IPS/IDS 進行惡意流量檢測。
邊界防護(Firewall)已不足,因此 5G 安全架構特別強調 SEPP(營運商間的信令防護)。
🧠 4. 反思討論(專業思維)
(1) 攻擊與防禦的成本差異
攻擊端:發起 DDoS 僅需簡單工具與殭屍網路,即可癱瘓目標。
防禦端:需投資昂貴的防火牆、流量清洗中心、全網監測系統,防禦成本遠高於攻擊成本。
👉 這反映出 「攻擊容易、防禦困難」 的結構性問題。
(2) 零信任思維在電信的應用
不再假設「內部網路可信」,即便是核心網元(gNB、UPF、AMF)之間,也要進行 相互驗證。
使用 動態授權與最小權限原則,確保設備、應用與人員僅能存取必要的資源。
在漫遊與跨營運商情境下,透過 SEPP 加密隧道 與 SUPI 隱私保護,落實「不信任 → 驗證後授權」的精神。
📌 總結(專業觀點):
這個模擬實作讓我們體會到:
攻擊與防禦存在 成本不對稱,防守方需要持續投資。
單靠邊界防護已不足,必須導入 加密、DPI、AAA、ZTNA 與法規遵循 的多層安全架構。
在 5G 與雲端時代,「零信任」不只是企業的資安策略,更是電信營運商設計網路安全的必然方向。
