陳三強 喬思遠 羅海龍 張曉兵 鐘君毅

奇安信科技集團股份有限公司 北京 100044

引言

近年來我國致力于加快5G建設(shè)，5G應(yīng)用融入各行各業(yè)，為千行百業(yè)的數(shù)字化轉(zhuǎn)型注入新動能。5G與垂直行業(yè)的融合創(chuàng)新發(fā)展，將推動數(shù)字中國、智慧社會建設(shè)，加速中國新型工業(yè)化進程，為中國經(jīng)濟發(fā)展注入新動能。然而5G在與垂直行業(yè)深度融合的同時，也帶來了更加嚴峻的安全挑戰(zhàn)。

國際知名咨詢機構(gòu)Gartner[1]提出5G時代的安全策略應(yīng)包括縱深防御、持續(xù)性及自適應(yīng)、以及零信任，如圖1所示。其中縱深防御涉及整體安全協(xié)調(diào)，端到端系統(tǒng)的安全和更高程度的安全自動化；持續(xù)優(yōu)化和自適應(yīng)涉及自適應(yīng)風(fēng)險決策，以及持續(xù)的透明度與評估；零信任是通過對實時用戶認證與設(shè)備狀態(tài)判斷，以及通過軟件定義邊界與微隔離的手段，構(gòu)建新型的信任模型和管理方式，滿足任何設(shè)備隨時隨地訪問應(yīng)用和服務(wù)的安全需要。

圖1 Gartner 5G安全策略

本文參考Gartner提出的5G安全理念，從新架構(gòu)、新技術(shù)、新業(yè)務(wù)角度全面分析面向垂直行業(yè)的5G專網(wǎng)中存在的安全風(fēng)險，提出了一套面向垂直行業(yè)的“縱深防御+零信任防護+深度安全運營”的5G專網(wǎng)安全解決方案思路。

1 面向垂直行業(yè)的5G專網(wǎng)安全風(fēng)險分析

5G網(wǎng)絡(luò)向網(wǎng)元虛擬化、架構(gòu)開放化、編排智能化的方向演進發(fā)展，為5G專網(wǎng)服務(wù)能力的靈活化和定制化提供了技術(shù)上的保障，5G專網(wǎng)根據(jù)網(wǎng)絡(luò)時延、安全隔離度、網(wǎng)絡(luò)可靠性等差異化的能力，滿足不同的應(yīng)用場景的定制化通信服務(wù)需求。根據(jù)行業(yè)用戶對公共網(wǎng)絡(luò)的安全隔離程度、時延等要求的不同，5G專網(wǎng)主要可分為以下三種類型[2]，如圖2所示。

圖2 5G專網(wǎng)類型

1)獨立專網(wǎng)：與5GC公網(wǎng)完全獨立，在企業(yè)園區(qū)內(nèi)建設(shè)專用基站，使用專用頻率，部署園區(qū)定制5G核心網(wǎng)和專用園區(qū)級UPF，根據(jù)業(yè)務(wù)需求，提供專屬無線網(wǎng)絡(luò)，最大程度上保障時延、帶寬、安全性等各項承載要求，一般面向?qū)Π踩砸蠓浅８叩男袠I(yè)用戶。

2)混合專網(wǎng)：根據(jù)業(yè)務(wù)需求，將UPF、MEC等核心網(wǎng)網(wǎng)元下沉至邊緣機房或園區(qū)，同時對業(yè)務(wù)覆蓋區(qū)域增強無線網(wǎng)絡(luò)覆蓋強度，提升業(yè)務(wù)承載能力，一般面向有數(shù)據(jù)不出園區(qū)和低時延等要求的行業(yè)用戶。

3)虛擬專網(wǎng)：共享公網(wǎng)的基礎(chǔ)設(shè)施，通過QoS、切片、DNN等服務(wù)的方式，將終端接入專用標(biāo)識的客戶內(nèi)網(wǎng)，一般面向?qū)Π踩砸笙鄬ι缘偷男袠I(yè)用戶。

本文以“混合專網(wǎng)”的部署方式作為典型場景，以運營商網(wǎng)絡(luò)作為邊界，將5G專網(wǎng)安全威脅分為域外安全威脅和域內(nèi)安全威脅兩種。

1.1 5G專網(wǎng)域外的安全風(fēng)險分析

5G專網(wǎng)域外的安全風(fēng)險，如圖3所示。

圖3 5G專網(wǎng)域外安全風(fēng)險

1)終端安全威脅：垂直行業(yè)會用到大量的物聯(lián)網(wǎng)設(shè)備，總量大、計算能力低，具有突發(fā)性的網(wǎng)絡(luò)接入特征，是威脅入侵的重點。終端面臨的威脅主要包括終端被竊取、偽造；系統(tǒng)存在漏洞，被植入惡意程序；無人維護的物聯(lián)網(wǎng)終端易受到非法控制；非法終端直接或通過CPE間接接入5G網(wǎng)絡(luò)，攻擊園區(qū)業(yè)務(wù)系統(tǒng)；SIM卡被插放到惡意終端上，帶來終端認證鑒權(quán)的失效；終端非法接入和訪問企業(yè)專網(wǎng)，造成敏感數(shù)據(jù)的泄露等。

2)空口安全威脅：空口指用戶終端和基站設(shè)備間的空中無線信號傳播，安全威脅主要表現(xiàn)在對用戶數(shù)據(jù)的竊取和篡改；制造空口信令風(fēng)暴，利用DDoS攻擊拒絕用戶接入；偽基站安全風(fēng)險以及空口惡意干擾等安全威脅。

3)運維管理安全威脅：主要表現(xiàn)為運維管理系統(tǒng)可能會受到系統(tǒng)入侵、非授權(quán)訪問或越權(quán)訪問的風(fēng)險，篡改、泄露管理信息；合法用戶進行惡意操作；以及遭受web攻擊(SQL注入等)，惡意軟件植入等安全威脅。

4)行業(yè)應(yīng)用安全威脅：行業(yè)應(yīng)用側(cè)面臨用戶數(shù)據(jù)的泄露、篡改；DDoS攻擊使數(shù)據(jù)業(yè)務(wù)服務(wù)被拒絕；通過能力開放API進行非授權(quán)訪問等安全威脅。

1.2 5G專網(wǎng)域內(nèi)的安全風(fēng)險分析

5G專網(wǎng)域內(nèi)的安全風(fēng)險，如圖4所示。

圖4 5G專網(wǎng)域內(nèi)安全風(fēng)險

1)SBA架構(gòu)威脅：主要包括NRF可能被進行DoS攻擊導(dǎo)致服務(wù)無法被注冊發(fā)現(xiàn)的風(fēng)險；攻擊者假冒NF接入核心網(wǎng)網(wǎng)絡(luò)，進行非法訪問；NF間傳輸通信數(shù)據(jù)被竊聽和篡改的風(fēng)險；利用業(yè)界公開已有的HTTPS協(xié)議漏洞進行攻擊；切片非法接入、跨切片的攻擊等威脅。

2)網(wǎng)元間接口、網(wǎng)元內(nèi)模塊間安全威脅：核心網(wǎng)網(wǎng)元間或網(wǎng)元內(nèi)模塊間可能存在傳輸數(shù)據(jù)被竊聽、篡改，以及非法訪問網(wǎng)元、網(wǎng)元內(nèi)模塊的風(fēng)險。

3)組網(wǎng)安全及下沉網(wǎng)元安全威脅：相比運營商機房完善的物理安全措施，專網(wǎng)設(shè)備部署在相對不完全的物理環(huán)境，管理控制能力減弱，更容易遭受設(shè)備物理攻擊，如攻擊者非法訪問物理服務(wù)器的I/O接口，獲得敏感信息；下沉5G網(wǎng)絡(luò)設(shè)備部署在客戶機房，存在仿冒、非授權(quán)訪問等風(fēng)險。

4)虛擬化網(wǎng)絡(luò)功能安全：虛擬化模糊了傳統(tǒng)網(wǎng)絡(luò)邊界，通過物理隔離部署的網(wǎng)絡(luò)安全措施不再適用。容器或虛機鏡像可能會被惡意篡改，攻擊者利用Host OS或虛擬化軟件漏洞發(fā)起攻擊；隔離不當(dāng)會造成資源越權(quán)訪問、非法授權(quán)控制的風(fēng)險，如利用容器或虛機逃逸來攻擊主機或主機上的其他容器和虛機，利用低防護能力的切片作為攻擊跳板攻擊其他切片；此外開源軟件的使用也會引入大量的安全漏洞。

5)MEC安全威脅：MEC應(yīng)用存在App的越權(quán)訪問，App間資源搶占的安全風(fēng)險，影響其他App的正常使用；在隔離控制不當(dāng)?shù)那闆r下，可能存在惡意App對MEC平臺或UPF的攻擊，進而影響5G核心網(wǎng)；NF/App鏡像包可能會被病毒和木馬感染，以及被惡意篡改；UPF與MEC的一體機形態(tài)則存在資源搶占、橫向攻擊的風(fēng)險，導(dǎo)致UPF的功能和性能受到影響；MEP可能會遭受DDoS攻擊，進而影響MEP的可用性，以及存在越權(quán)運維管理，濫用資源的風(fēng)險。

6)流量安全威脅：信令面和媒體面的數(shù)據(jù)存在被非法攔截和竊聽，流量數(shù)據(jù)被惡意偽造，以及利用畸形報文進行流量攻擊的風(fēng)險。

2 面向垂直行業(yè)的5G專網(wǎng)安全需求分析

5G網(wǎng)絡(luò)所面臨的威脅和挑戰(zhàn)與4G基本一致，但新技術(shù)、新架構(gòu)、新業(yè)務(wù)也給5G網(wǎng)絡(luò)帶來了全新的安全挑戰(zhàn)。5G網(wǎng)絡(luò)的安全需求可歸納為如下三種類型。

1)新架構(gòu)帶來的網(wǎng)絡(luò)演進的安全需求：主要是指5G網(wǎng)絡(luò)自身安全架構(gòu)的延續(xù)和增強[3-4]，包括終端入網(wǎng)的認證鑒權(quán)增強、5G網(wǎng)元交互流程安全、無線空口的機密性、完整性、可用性等，這部分內(nèi)容在3GPP安全標(biāo)準(zhǔn)中已有相應(yīng)的安全解決方案進行了討論和解決，屬于5G自有的安全機制。

2)新技術(shù)帶來的IT演進的安全需求：5G引入了各種新技術(shù)，加速了IT與CT的融合，同時也將傳統(tǒng)IT領(lǐng)域的安全問題引入了CT領(lǐng)域，如云化架構(gòu)在5G中的廣泛使用，需要考慮主機安全、虛擬化安全、容器安全以及計算資源資產(chǎn)的安全使用。

3)新業(yè)務(wù)帶來的業(yè)務(wù)演進的安全需求：5G與垂直應(yīng)用場景相融合，安全需求的范疇有了更大的突破和延伸，ToB場景下的eMBB、mMTC、uRLLC面臨個性化和差異性的安全需求，需要充分考慮網(wǎng)絡(luò)切片、邊緣計算等5G自身特點，基于業(yè)務(wù)特點滿足安全的需要。

在以上3個方面中，3GPP安全標(biāo)準(zhǔn)更多的是從網(wǎng)絡(luò)演進的安全角度進行了自有安全機制的增強，但在IT演進和業(yè)務(wù)演進的方面，5G自有的安全機制還無法完全覆蓋和保障垂直行業(yè)5G安全的落地和應(yīng)用，在5G自有的安全機制背景下，還需要從多個維度進行安全能力的補充和提升[5-6]，如表1所示。

表1 5G專網(wǎng)安全需求分析

3 面向垂直行業(yè)的5G專網(wǎng)安全解決方案研究

3.1 5G專網(wǎng)安全框架研究

內(nèi)生安全最早源于生物領(lǐng)域的生物免疫系統(tǒng)，后被借鑒和延續(xù)到科技領(lǐng)域、IT領(lǐng)域、CT領(lǐng)域。內(nèi)生安全能夠為網(wǎng)絡(luò)提供一個全新的安全理念乃至安全范式，啟發(fā)以“向內(nèi)轉(zhuǎn)、向內(nèi)思考”的視角來重新認知和看待網(wǎng)絡(luò)安全問題。內(nèi)生安全是網(wǎng)絡(luò)的一種綜合能力，這個能力由一系列安全能力構(gòu)成，這些安全能力共同協(xié)作構(gòu)成自感知、自適應(yīng)、自生長的網(wǎng)絡(luò)免疫體系。它要求安全與網(wǎng)絡(luò)系統(tǒng)的設(shè)計與建設(shè)同步進行，同時能夠在網(wǎng)絡(luò)運行中進行適應(yīng)和變化，隨系統(tǒng)業(yè)務(wù)的提升而提升，最終來持續(xù)保障網(wǎng)絡(luò)及業(yè)務(wù)和數(shù)據(jù)的安全[7]。

基于“內(nèi)生安全”的理念，面向垂直行業(yè)的5G專網(wǎng)需要結(jié)合不同行業(yè)用戶業(yè)務(wù)場景的差異性，充分考慮其對安全需求側(cè)重點的不同，基于行業(yè)場景確定相應(yīng)的安全建設(shè)思路。

本文以組件化的安全技術(shù)能力為基礎(chǔ)，提出了一套面向垂直行業(yè)5G專網(wǎng)的安全技術(shù)能力框架模型，形成10大增強安全技術(shù)能力組件，如圖5所示，一是以“縱深防御”為核心的基礎(chǔ)安全、終端安全、核心網(wǎng)流量安全、MEC安全、NFV虛擬化安全、以及企業(yè)側(cè)的云數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全和業(yè)務(wù)系統(tǒng)安全；二是以“零信任”為核心的零信任5G安全接入；三是以持續(xù)深度“安全運營”為核心的5G安全測評服務(wù)和安全運維管理。該模型相比Gartner的框架做了更合理的分層梳理，清晰地描述出5G自有的安全機制與5G增強安全技術(shù)能力的關(guān)系，形成“能力互補”，可為垂直行業(yè)構(gòu)建覆蓋“端、邊、云、網(wǎng)”的5G專網(wǎng)安全建設(shè)提供有效的參考。

組件化的安全技術(shù)能力框架，是將網(wǎng)絡(luò)安全技術(shù)能力映射成可執(zhí)行、可建設(shè)的網(wǎng)絡(luò)安全技術(shù)能力組件的重要工具，組件化的安全技術(shù)能力能夠在安全能力解耦的基礎(chǔ)上形成不同的安全技術(shù)組件，根據(jù)不同的場景需求以快速搭建個性化、針對性的組件。在實際應(yīng)用中，將安全技術(shù)能力組件與信息化組件進行融合，使安全技術(shù)能力對信息化能力進行完整的覆蓋。

如圖5所示，藍色部分為5G基礎(chǔ)的安全能力，當(dāng)工作場景、安全保障目標(biāo)與傳統(tǒng)公眾通信網(wǎng)絡(luò)相同時，通過繼承當(dāng)前通信網(wǎng)絡(luò)安全保障技術(shù)即可滿足，通常由運營商提供，這里包括了3GPP定義的5G自有安全機制；而紅色部分的安全能力，主要是為應(yīng)對行業(yè)應(yīng)用場景、高資產(chǎn)價值帶來的安全風(fēng)險，在基礎(chǔ)能力之上，通過增強的安全能力才能滿足，需要垂直行業(yè)客戶結(jié)合自身的業(yè)務(wù)需求進行重點規(guī)劃和建設(shè)。本文重點討論5G專網(wǎng)部分的安全解決方案，因此圖5企業(yè)側(cè)部分的安全不做重點論述。

圖5 5G專網(wǎng)安全框架

3.2 5G專網(wǎng)安全技術(shù)能力研究

1)基礎(chǔ)安全技術(shù)能力

一是物理安全。在公網(wǎng)專網(wǎng)場景中，可能會以UPF、UPF+SMF、UPF+AMF+SMF等形態(tài)下沉，這些網(wǎng)元部署在地市甚至是客戶園區(qū)層面，需要做好網(wǎng)元自身的安全加固與防護，確保物理I/O的可信接入。同時，根據(jù)國家等保相關(guān)要求，MEP以及云側(cè)MEC業(yè)務(wù)管理平臺所在機房應(yīng)滿足其所承載MEC業(yè)務(wù)的等級保護要求。運營商應(yīng)對客戶側(cè)機房提出物理環(huán)境要求，同時為降低數(shù)據(jù)泄露風(fēng)險，敏感數(shù)據(jù)不應(yīng)在本地存儲。另外，下沉網(wǎng)元設(shè)備應(yīng)具備防拆、防盜、防篡改等物理安全保護機制，采用具備相關(guān)功能的安全機柜來提高物理環(huán)境安全。

二是組網(wǎng)安全。網(wǎng)絡(luò)按照流量類型劃分為管理平面、業(yè)務(wù)平面、存儲平面，不同平面間流量采用物理隔離，保證從物理層面互不干擾，同一平面不同功能接口之間進行子網(wǎng)劃分，進行邏輯隔離。根據(jù)5G網(wǎng)絡(luò)組網(wǎng)架構(gòu)、網(wǎng)絡(luò)功能及部署方式，5G專網(wǎng)可劃分為用戶終端域、無線接入域、核心網(wǎng)域、核心用戶域、支撐管理域，邊緣計算域、企業(yè)業(yè)務(wù)域等幾個大的安全域，如圖6所示。

圖6 5G網(wǎng)絡(luò)安全域

根據(jù)與互聯(lián)網(wǎng)連接暴露程度以及自身安全級別，業(yè)務(wù)節(jié)點應(yīng)在安全域下繼續(xù)劃分安全子域，不同安全子域在計算、存儲、網(wǎng)絡(luò)等資源上應(yīng)進行隔離，并在域間采用防火墻、ACL等措施實施訪問控制。應(yīng)加強控制管理平面的訪問控制，僅允許指定管理網(wǎng)元訪問管理平面端口，降低非授權(quán)接入的安全風(fēng)險。

三是邊界安全。不同的安全域之間需設(shè)置邊界防護和安全隔離措施，采用部署防火墻、入侵防御、防病毒網(wǎng)關(guān)等方式來實現(xiàn)，對跨域互聯(lián)的流量進行隔離、訪問控制和攻擊防護，同時根據(jù)實際需要開啟防病毒功能。

2)終端安全技術(shù)能力

按照類型劃分，終端可分為主機終端、移動終端以及物聯(lián)網(wǎng)終端三種典型的終端類型。5G時代終端安全的核心訴求為識別、保護和監(jiān)管?！白R別”是準(zhǔn)確發(fā)現(xiàn)企業(yè)終端資產(chǎn)，識別并標(biāo)定其數(shù)字化身份；“保護”是防止惡意終端接入網(wǎng)絡(luò)，防止企業(yè)的數(shù)據(jù)外泄；“監(jiān)管”是監(jiān)管終端的安全態(tài)勢。因此終端的安全需要強化身份認證、訪問控制和自身安全性的基本防護，涉及終端的合規(guī)與加固、威脅防御與檢測、終端管控與審計、數(shù)據(jù)防泄漏，以及管理與安全運營等幾個方面的安全能力。同時，針對不同終端在不同的應(yīng)用模式中也需要采取不同的安全防護措施。

3)MEC安全技術(shù)能力

MEC的安全防護繼承了電信云數(shù)據(jù)中心的安全防護手段，包括云化基礎(chǔ)設(shè)施的加固，虛擬化的網(wǎng)絡(luò)安全服務(wù)等。同時，在MEC平臺安全方面，首先應(yīng)對MEC平臺及其軟件進行安全加固，對鏡像進行完整性保護，對敏感數(shù)據(jù)進行加密和完整性保護、對MEApp進行身份認證、授權(quán)訪問；其次要加強對開放接口API的安全管控，對API接口調(diào)用采用證書等方式進行認證與鑒權(quán)，具備防重放攻擊、中間人攻擊等安全防護手段；第三應(yīng)在MEC平臺相關(guān)組件之間應(yīng)啟用TLS加密傳輸，并對傳輸參數(shù)進行簽名驗證，防止信息被篡改；此外對于MEC節(jié)點部署在用戶側(cè)業(yè)務(wù)場景，應(yīng)建立隔離措施，防止MEC節(jié)點向核心網(wǎng)發(fā)起攻擊。

4)NFV虛擬化安全技術(shù)能力

5G網(wǎng)絡(luò)是以虛擬功能網(wǎng)元的形式部署在云化基礎(chǔ)設(shè)施上，網(wǎng)絡(luò)功能由軟件實現(xiàn)，以達到按需彈縮、靈活部署，高效利用資源。虛擬化網(wǎng)絡(luò)共享物理資源，使得傳統(tǒng)以物理實體為核心的安全防護技術(shù)已經(jīng)不再適用，因此針對虛擬化的安全防護，需要從基礎(chǔ)架構(gòu)的安全、東西向流量的安全、容器的安全進行展開，同時需要安全管理部分負責(zé)對安全資源池做統(tǒng)一的安全納管，負責(zé)組件編排及策略調(diào)度等管理功能。

5)核心網(wǎng)流量安全技術(shù)能力

5G網(wǎng)絡(luò)復(fù)雜和開放性以及各行業(yè)多樣化的應(yīng)用接入，使5G網(wǎng)絡(luò)面臨信令安全、用戶訪問安全的巨大挑戰(zhàn)，垂直行業(yè)應(yīng)用需要加強信令面與用戶面的安全協(xié)同，通過對信令面和用戶面的全流量檢測分析，保障5G ToB核心網(wǎng)的安全。將信令面設(shè)備入網(wǎng)、地理位置等信息，與用戶面流量的日志檢測、文件還原、威脅情報、入侵攻擊檢測相結(jié)合，發(fā)現(xiàn)由于外部攻擊、干擾或配置不當(dāng)造成的5G核心網(wǎng)運行異常，實現(xiàn)安全攻擊分析、信令安全分析、切片安全分析以及溯源取證等效果，實現(xiàn)5G全流量安全分析能力閉環(huán)，如圖7所示。

圖7 核心網(wǎng)流量安全技術(shù)能力

6)零信任5G安全接入技術(shù)能力

5G網(wǎng)絡(luò)自身提供了終端的接入認證、二次認證等縱向認證措施，確保終端接入主站的合法性。具體手段有以下幾種。

①雙向鑒權(quán)和加密：RAN側(cè)啟用5G UE與5G網(wǎng)絡(luò)進行雙向鑒權(quán)和加密，防止仿冒5G UE接入5G網(wǎng)絡(luò)。

②機卡綁定：核心網(wǎng)側(cè)將終端USIM卡的IMSI與設(shè)備IMEI進行綁定認證，如果二者不匹配則拒絕接入網(wǎng)絡(luò)。

③二次認證：基于3GPP二次認證架構(gòu)及標(biāo)準(zhǔn)協(xié)議完成終端到DN-AAA服務(wù)器之間的終端二次鑒權(quán)認證，二次認證失敗后則不允許終端訪問企業(yè)業(yè)務(wù)。

④安全模塊認證：終端集成安全模塊，與中心側(cè)安全網(wǎng)關(guān)之間建立VPN數(shù)據(jù)傳輸通道，實現(xiàn)網(wǎng)絡(luò)層雙向身份認證。

在實際應(yīng)用中，需要基于業(yè)務(wù)的安全等級和縱向認證要求，靈活使用相應(yīng)的鑒權(quán)認證模式，此外可以利用在5GC配置IMSI與園區(qū)DNN或園區(qū)切片S-NSSAI對應(yīng)關(guān)系，限制僅在園區(qū)IMSI清單內(nèi)的終端才可以接入專網(wǎng)；通過用戶位置信息，限制僅在園區(qū)內(nèi)位置的終端才可以接入專網(wǎng)；通過在5GC配置TAI list與園區(qū)切片S-NSSAI對應(yīng)關(guān)系，限制僅能從園區(qū)基站才能接入專網(wǎng)等，來保證5G終端對專網(wǎng)的接入安全。

運營商以USIM卡為基礎(chǔ)進行單一的身份識別，利用5G網(wǎng)絡(luò)提供的接入安全體系，確保了合法的設(shè)備接入5G核心網(wǎng)，然而這種認證方式?jīng)]有完整地將身份認證與業(yè)務(wù)認證進行統(tǒng)一。通過零信任機制，可以將CT入網(wǎng)和漫游認證等信息作為基礎(chǔ)環(huán)境安全要素，將IT持續(xù)認證和行為分析結(jié)果，反饋給CT作為用戶入網(wǎng)控制的決策依據(jù)，將用戶的身份信息、地理位置信息、終端的環(huán)境信息和業(yè)務(wù)有效結(jié)合起來，實現(xiàn)動態(tài)的安全認證，如圖8所示。

圖8 5G零信任安全接入

通過5G與零信任的有效結(jié)合，就可以基于CT信息、用戶屬性、信任等級，實現(xiàn)對不同場景下，比如用戶訪問、API調(diào)用、運維訪問等場景的動態(tài)控制能力。

7)運維管理安全技術(shù)能力

5G運維管理安全主要是對5G網(wǎng)絡(luò)設(shè)備、人員、流程等進行安全管理，并按照“三同步”要求滿足行業(yè)安全監(jiān)管要求，通過安全運維實時監(jiān)測5G專網(wǎng)的運行狀況，及時發(fā)現(xiàn)和處置安全風(fēng)險。

運維管理安全首先應(yīng)具備資產(chǎn)管理功能，能對5G相關(guān)資產(chǎn)進行自動識別、基礎(chǔ)數(shù)據(jù)的收集、處理和統(tǒng)計分析，能對專網(wǎng)的設(shè)備和組件制定安全配置基線要求，定期實施基線核查和漏洞掃描作業(yè)，對核查和掃描結(jié)果進行處理和管控。

其次是定期對專網(wǎng)內(nèi)各類日志信息和安全事件信息進行統(tǒng)一的匯總和分析，建立態(tài)勢感知系統(tǒng)，如圖9所示。態(tài)勢感知平臺以可視化的方式，從宏觀到微觀提升安全監(jiān)測和數(shù)據(jù)呈現(xiàn)能力，全面掌握網(wǎng)絡(luò)安全狀態(tài)，發(fā)現(xiàn)安全威脅，及時處置；對威脅提前預(yù)判、預(yù)防，對安全事件及時預(yù)警，評估風(fēng)險，快速響應(yīng)，形成閉環(huán)處置能力，降低事件影響。

圖9 集中化安全運營

第三應(yīng)對內(nèi)部管理人員和第三方維護人員進行集中的身份認證管理與訪問控制，建議基于零信任方案實現(xiàn)維護管理人員的認證授權(quán)管理、訪問控制和行為操作安全審計，遵循權(quán)限最小化原則，建立權(quán)限分離機制。

8)5G安全測評技術(shù)能力

5G網(wǎng)絡(luò)和系統(tǒng)在正式運行前，應(yīng)結(jié)合國家和行業(yè)的安全標(biāo)準(zhǔn)對5G網(wǎng)絡(luò)的安全狀況進行系統(tǒng)的評估[8]，通過5G網(wǎng)絡(luò)安全測評，拉通通信網(wǎng)絡(luò)、行業(yè)應(yīng)用網(wǎng)絡(luò)的安全需求，滿足行業(yè)差異化的安全需求。

安全測評整體分為設(shè)備級安全測評、網(wǎng)絡(luò)級安全測評、行業(yè)應(yīng)用級安全測評，以及安全攻防測試共4部分內(nèi)容，如圖10所示，分別從設(shè)備供應(yīng)商、通信運營商、行業(yè)客戶和攻擊者4個不同的視角出發(fā)，確保5G設(shè)備、5G網(wǎng)絡(luò)、行業(yè)應(yīng)用的安全性，同時通過模擬黑客的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)做深入的探測和滲透入侵，嘗試發(fā)現(xiàn)系統(tǒng)安全的最薄弱環(huán)節(jié)。

圖10 5G網(wǎng)絡(luò)安全測評技術(shù)框架

3.3 5G專網(wǎng)安全解決方案

5G專網(wǎng)的安全技術(shù)能力框架充分考慮5G網(wǎng)絡(luò)特點、安全現(xiàn)狀和行業(yè)應(yīng)用場景，基于“內(nèi)生安全”思想將5G網(wǎng)絡(luò)包括上層應(yīng)用進行解構(gòu)，將安全能力、組網(wǎng)結(jié)構(gòu)和業(yè)務(wù)場景三者進行深度融合，從而構(gòu)建面向行業(yè)應(yīng)用場景化、安全能力系統(tǒng)化的5G安全解決方案。

首先，在端、網(wǎng)、云等基礎(chǔ)設(shè)施層面，構(gòu)建聯(lián)合作戰(zhàn)的“縱深防御”安全體系，通過物理安全、組網(wǎng)安全、邊界安全、終端安全、MEC安全、核心網(wǎng)全流量安全等維度，監(jiān)測并預(yù)防5G網(wǎng)絡(luò)中信令和數(shù)據(jù)交互帶來的風(fēng)險，對網(wǎng)絡(luò)安全事件深度挖掘，結(jié)合網(wǎng)絡(luò)的基礎(chǔ)設(shè)施情況和運行狀態(tài)，對網(wǎng)絡(luò)安全態(tài)勢做出評估，對未來可能遭受的網(wǎng)絡(luò)攻擊進行預(yù)測，提供針對性的預(yù)防建議。

其次，在5G應(yīng)用安全保障層面，以“零信任”為核心進行防護，將核心網(wǎng)對設(shè)備的認證與行業(yè)側(cè)對業(yè)務(wù)的認證相結(jié)合并持續(xù)進行信任評估，提高防護精度，確保合適的人、在合適的時間、以合適的方式，訪問合適的業(yè)務(wù)數(shù)據(jù)。

第三，在5G網(wǎng)絡(luò)的持續(xù)深度“安全運營”方面，通過運維管理安全、5G安全測評服務(wù)，構(gòu)建5G場景下的安全檢測與評價體系，梳理識別5G網(wǎng)絡(luò)中的安全資產(chǎn)，分析安全威脅風(fēng)險，借助專業(yè)工具進行實戰(zhàn)化的攻防測試，檢驗5G應(yīng)用系統(tǒng)應(yīng)對各種類型攻擊的實際效果，及時消除隱患，不斷提升安全防御能力。

4 成功案例

某智能制造企業(yè)為滿足工業(yè)生產(chǎn)需求，聯(lián)合運營商搭建5G虛擬企業(yè)專網(wǎng)，目前已建設(shè)5G基站37個，室分基站9套，MEC兩套，通過5G+MEC實現(xiàn)了機器設(shè)備相關(guān)生產(chǎn)數(shù)據(jù)的本地分流和實時分析處理，為企業(yè)用更少的人力成本，帶來了更大的生產(chǎn)力和更高的決策精度和速度。

在5G專網(wǎng)安全層面，該項目以內(nèi)生安全的理念為指引，規(guī)劃設(shè)計了5G專網(wǎng)的安全體系，將安全能力框架與場景安全需求相結(jié)合，覆蓋了組網(wǎng)安全、終端安全、MEC安全、核心網(wǎng)流量安全、運維管理安全等多個5G安全技術(shù)能力框架組件，打通了CT安全、IT基礎(chǔ)設(shè)施安全和OT業(yè)務(wù)安全三個層面，實現(xiàn)了在5G專網(wǎng)場景下對工業(yè)資產(chǎn)、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用的集中管理、集中監(jiān)測、集中運維、集中分析，通過統(tǒng)一的IT-CT-OT綜合態(tài)勢體系，全面提高了工業(yè)企業(yè)的風(fēng)險預(yù)警、安全防護和安全運營的水平，如圖11所示。

圖11 某智能制造企業(yè)5G專網(wǎng)安全設(shè)計

5 結(jié)語

5G在行業(yè)應(yīng)用具有先進性和不可替代性，是未來數(shù)字經(jīng)濟的關(guān)鍵驅(qū)動力，其安全保障能力對于垂直行業(yè)的快速、平穩(wěn)發(fā)展至關(guān)重要。5G專網(wǎng)是涉及多網(wǎng)融合的信息和業(yè)務(wù)系統(tǒng)，需要在行業(yè)整體網(wǎng)絡(luò)安全體系框架下解決5G安全問題，將安全能力框架與行業(yè)應(yīng)用場景結(jié)合，形成面向行業(yè)應(yīng)用場景化、安全能力系統(tǒng)化的5G安全解決方案。