胡兆 張建敏 馮曉麗

(1.中國(guó)電信股份有限公司研究院，北京 102209；2.中國(guó)電信集團(tuán)有限公司，北京 100033)

0 引言

隨著我國(guó)工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，以及制造、冶金、礦山等行業(yè)的數(shù)字化轉(zhuǎn)型升級(jí)驅(qū)動(dòng)，企業(yè)對(duì)時(shí)延、算力、安全的要求正在不斷提高。在時(shí)延方面，工業(yè)自動(dòng)化控制中運(yùn)動(dòng)控制通常要求時(shí)延在1 ms級(jí)別，過(guò)程控制要求時(shí)延在10～100 ms級(jí)別[1]。在算力方面，需要系統(tǒng)支持大量工業(yè)終端的高并發(fā)和對(duì)結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的本地處理。在安全方面，企業(yè)需要降低內(nèi)部數(shù)據(jù)的泄露風(fēng)險(xiǎn)，需要應(yīng)用具備較高的可用性，支持故障時(shí)的快速切換和恢復(fù)。

多接入邊緣計(jì)算(Multi-Access Edge Computing，MEC)通過(guò)將計(jì)算存儲(chǔ)能力與業(yè)務(wù)服務(wù)能力向網(wǎng)絡(luò)邊緣遷移，使得應(yīng)用、服務(wù)和內(nèi)容可以實(shí)現(xiàn)本地化、近距離、分布式部署[2]。而5G MEC同時(shí)具備低時(shí)延、大帶寬、高算力、數(shù)據(jù)本地處理等特征，可以準(zhǔn)確匹配行業(yè)客戶業(yè)務(wù)需求，比較典型的應(yīng)用場(chǎng)景包括：AGV搬運(yùn)、AR維修等室內(nèi)大范圍移動(dòng)場(chǎng)景，以及遠(yuǎn)程駕駛、無(wú)人機(jī)巡檢等室外光纖難覆蓋場(chǎng)景。同時(shí)，MEC還支持異構(gòu)工業(yè)終端的多種網(wǎng)絡(luò)接入，面向固定或室內(nèi)小范圍移動(dòng)場(chǎng)景，兼容企業(yè)的已有固網(wǎng)、Wi-Fi接入設(shè)備，可以降低改造成本和對(duì)現(xiàn)有業(yè)務(wù)的影響。

得益于上述優(yōu)勢(shì)，目前5G MEC在垂直行業(yè)中的應(yīng)用不斷深入，正逐漸融入制造、礦山、電力、交通、警務(wù)等關(guān)系基礎(chǔ)設(shè)施和國(guó)計(jì)民生的重要領(lǐng)域。此類應(yīng)用對(duì)準(zhǔn)確度、可靠性要求較高，因網(wǎng)絡(luò)攻擊導(dǎo)致的網(wǎng)絡(luò)擁塞、計(jì)算資源宕機(jī)、應(yīng)用軟件不可用、數(shù)據(jù)篡改都極易引發(fā)嚴(yán)重事故。所以，做好安全防護(hù)，規(guī)避和減少5G SA+MEC組網(wǎng)下的安全風(fēng)險(xiǎn)，已經(jīng)是業(yè)界普遍關(guān)注的重點(diǎn)問(wèn)題。

1 5G SA+MEC企業(yè)園區(qū)組網(wǎng)的安全分析

常見的企業(yè)園區(qū)5G SA+MEC組網(wǎng)如圖1所示，由運(yùn)營(yíng)商在企業(yè)園區(qū)內(nèi)部署下沉的用戶面功能(User Plane Function，UPF)網(wǎng)元和MEC平臺(tái)，當(dāng)要求嚴(yán)格的數(shù)據(jù)不出園區(qū)時(shí)，還會(huì)下沉部署承載網(wǎng)接入層設(shè)備。運(yùn)營(yíng)商側(cè)5G核心網(wǎng)只負(fù)責(zé)與園區(qū)的終端、UPF網(wǎng)元進(jìn)行5G的控制信令交互。各類終端從5G宏站、室分接入，經(jīng)承載網(wǎng)傳輸至園區(qū)下沉UPF網(wǎng)元，本地業(yè)務(wù)流量由園區(qū)UPF網(wǎng)元以數(shù)據(jù)網(wǎng)絡(luò)標(biāo)識(shí)(Data Network Name，DNN)或上行分類器(Uplink Classifier，ULCL)等模式分流至MEC平臺(tái)，通過(guò)MEC平臺(tái)提供的高算力實(shí)現(xiàn)數(shù)據(jù)在企業(yè)園區(qū)的就近處理。MEC支持客戶自主管理，可以與企業(yè)內(nèi)網(wǎng)按需打通，實(shí)現(xiàn)與內(nèi)網(wǎng)各業(yè)務(wù)平臺(tái)的協(xié)同。

圖1 常見企業(yè)園區(qū)的5G SA+MEC組網(wǎng)架構(gòu)

在上述常見的5G SA+MEC組網(wǎng)下，整個(gè)業(yè)務(wù)流程主要面臨的安全風(fēng)險(xiǎn)可歸納為如下5類。

一是接入風(fēng)險(xiǎn)，主要包括終端和接入網(wǎng)面臨的安全風(fēng)險(xiǎn)，例如：基站被物理破壞、入侵；偽基站對(duì)用戶進(jìn)行欺詐；非法用戶憑證和非授權(quán)終端接入；終端非法濫用(如離開園區(qū)、攻擊等異常行為)；空口數(shù)據(jù)/信令被竊取/篡改；大量惡意連接造成基站不可用等。

二是傳輸風(fēng)險(xiǎn)，主要包括數(shù)據(jù)傳輸過(guò)程中面臨的安全風(fēng)險(xiǎn)，例如：接入層設(shè)備故障或被物理破壞；數(shù)據(jù)傳輸過(guò)程中被竊聽、篡改；傳輸鏈路被物理破壞或不可靠；UPF等轉(zhuǎn)發(fā)網(wǎng)元的故障；不同用戶/業(yè)務(wù)共用傳輸鏈路，缺乏保密性和可用性保障等。

三是MEC平臺(tái)風(fēng)險(xiǎn)，主要包括MEC節(jié)點(diǎn)從物理層至應(yīng)用層遭遇的安全威脅以及不規(guī)范的運(yùn)維操作導(dǎo)致的安全風(fēng)險(xiǎn)，例如：對(duì)主機(jī)的物理破壞、非法插線接入；不安全組網(wǎng)導(dǎo)致MEC、UPF甚至5G核心網(wǎng)被攻擊；物理機(jī)、網(wǎng)絡(luò)功能虛擬化基礎(chǔ)設(shè)施(Network Function Virtualization Infrastructure，NFVI)等被黑客登錄；操作系統(tǒng)的漏洞；宿主機(jī)/虛機(jī)的漏洞、容器/虛機(jī)鏡像的篡改、容器逃逸；平臺(tái)非授權(quán)登錄、通過(guò)應(yīng)用程序接口(Application Programming Interface，API)竊取通信數(shù)據(jù)、非法調(diào)用API；應(yīng)用程序(Application Program，APP)的非法創(chuàng)建刪除修改、植入惡意APP進(jìn)行東西向攻擊；后臺(tái)刪改日志、數(shù)據(jù)，無(wú)備份情況下升級(jí)等不規(guī)范的運(yùn)維操作等。

四是數(shù)據(jù)風(fēng)險(xiǎn)，主要包括客戶、應(yīng)用數(shù)據(jù)面臨的風(fēng)險(xiǎn)，例如：數(shù)據(jù)的損毀、篡改、竊取；對(duì)敏感數(shù)據(jù)的非授權(quán)導(dǎo)出、創(chuàng)建、刪除等。

五是管理風(fēng)險(xiǎn)，網(wǎng)絡(luò)與信息安全是由技術(shù)、人員、管理三者共同構(gòu)成的，缺乏規(guī)范的管理制度、操作規(guī)范和安全意識(shí)，精心設(shè)計(jì)的網(wǎng)絡(luò)安全防御體系也會(huì)形同虛設(shè)。

2 基于5G SA+MEC企業(yè)園區(qū)組網(wǎng)的安全防護(hù)方案

基于業(yè)界共識(shí)和主流技術(shù)，目前針對(duì)前述5類安全風(fēng)險(xiǎn)一般可從以下幾方面加強(qiáng)安全防護(hù)。

2.1 接入安全

接入安全是指圍繞終端安全接入5G網(wǎng)絡(luò)，而在終端、基站側(cè)涉及的一系列包括認(rèn)證、鑒權(quán)、加密、限制、保護(hù)等在內(nèi)的安全手段，具體包括以下幾方面。

(1)物理環(huán)境安全：即對(duì)基站設(shè)備所處的機(jī)房采用門禁、監(jiān)控、入侵告警、設(shè)備維護(hù)記錄、機(jī)房準(zhǔn)入管理，對(duì)設(shè)備實(shí)施網(wǎng)絡(luò)接入管理、關(guān)閉物理端口等保護(hù)方式。

(2)用戶憑證保護(hù)：即對(duì)5G 用戶永久標(biāo)識(shí)符(Subscription Permanent Identifier，SUPI)加密以防范偽基站攻擊；將用戶憑證的長(zhǎng)期會(huì)話密鑰(K值)在終端加密存儲(chǔ)并通過(guò)HTTPS/SFTP安全協(xié)議傳輸；SUPI保護(hù)方案存儲(chǔ)在通用集成電路卡(Universal Integrated Circuit Card，UICC)中并限制嘗試訪問(wèn)次數(shù)等。

圖2 常見承載網(wǎng)傳輸安全保障方案

(3)接入二次認(rèn)證：即終端應(yīng)支持3GPP主認(rèn)證(5G-AKA 認(rèn)證機(jī)制等)并在特定場(chǎng)景下支持主認(rèn)證之外的二次AAA認(rèn)證。

(4)非法訪問(wèn)限制：即基于SUPI、小區(qū)全球識(shí)別碼(Cell Global Identifier，CGI)、跟蹤區(qū)標(biāo)識(shí)(Tracing Area Identity，TAI)等用戶和位置標(biāo)識(shí)、流量限制、機(jī)卡綁定、IMEI黑名單多種手段對(duì)異常終端限制接入。

(5)信令和數(shù)據(jù)加密：即用戶面數(shù)據(jù)和控制面信令采用NEA0、128NEA1/2/3、128NIA1/2/3 等3GPP算法加密。

(6)基站抗重放及可用性保護(hù)：即基站具備對(duì)重放RRC信令和用戶面數(shù)據(jù)識(shí)別丟棄能力，通過(guò)網(wǎng)管監(jiān)控5G基站關(guān)鍵指標(biāo)，如無(wú)線資源控制(Radio Resource Control，RRC)連接成功率/阻塞率、掉話率等，基站設(shè)備啟用控制訪問(wèn)。

2.2 傳輸安全

傳輸安全主要指業(yè)務(wù)數(shù)據(jù)、控制信令在基站、MEC、5G核心網(wǎng)之間經(jīng)承載網(wǎng)傳輸過(guò)程中涉及的安全，主要圍繞加密傳輸及提高傳輸鏈路的可靠性和可用性，主要包括以下幾方面(見圖2)。

(1)高可靠組網(wǎng)：即對(duì)承載網(wǎng)接入層設(shè)備采用環(huán)狀組網(wǎng)、對(duì)匯聚層設(shè)備采用成對(duì)組網(wǎng)部署。

(2)傳輸通道加密：即對(duì)N2/N3/X2接口部署互聯(lián)網(wǎng)安全協(xié)議(Internet Protocol Security，IPsec)實(shí)現(xiàn)加密傳輸；在接入層和匯聚層設(shè)備間基于端到端偽線仿真(Pseudo Wire Emulation Edge-to-Edge，PWE3)技術(shù)建立虛鏈路(Pseudo Wire，PW)，數(shù)據(jù)通過(guò)點(diǎn)到點(diǎn)的二層虛擬專用網(wǎng)(Virtual Private Network，VPN)隧道承載。

(3)承載鏈路主備：即接入層與匯聚層設(shè)備間的PW主備；匯聚層設(shè)備提供雙網(wǎng)關(guān)保護(hù)。

(4)UPF+MEC主備容災(zāi)：即通過(guò)下沉UPF+MEC間、下沉與大網(wǎng)UPF+MEC間的主備/負(fù)荷分擔(dān)等模式提高傳輸容災(zāi)可靠性，參見圖3。

(5)端到端切片隔離：無(wú)線網(wǎng)切片主要是指無(wú)線網(wǎng)會(huì)根據(jù)報(bào)文上已配置的保證/非保證比特速率(Guaranteed Bit Rate/Non- Guaranteed Bit Rate，GBR/Non-GBR)、5G QoS 指示符(5G QoS Identifier，5QI)等服務(wù)質(zhì)量(Quality of Service，QoS)參數(shù)，為特定業(yè)務(wù)、用戶群體甚至單個(gè)用戶提供專用、高優(yōu)先級(jí)的無(wú)線網(wǎng)絡(luò)資源，具體包括為GBR業(yè)務(wù)提供最低帶寬保障且不允許其他業(yè)務(wù)搶占，不同5QI對(duì)應(yīng)差異化的轉(zhuǎn)發(fā)優(yōu)先級(jí)、丟包率、時(shí)延等。

承載網(wǎng)切片可分為硬、軟兩種不同實(shí)現(xiàn)方式，兩者可疊加使用。硬切片主要指在公眾業(yè)務(wù)和企業(yè)業(yè)務(wù)之間，以及不同需求的企業(yè)業(yè)務(wù)之間(例如視頻監(jiān)控和應(yīng)急救援)，通過(guò)配置不同的中間系統(tǒng)到中間系統(tǒng)(Intermediate System-to-Intermediate System，IS-IS)協(xié)議和開放式最短路徑優(yōu)先(Open Shortest Path First，OSPF)協(xié)議進(jìn)程、專用的虛擬局域網(wǎng)標(biāo)識(shí)(Virtual Local Area Network Identificator，VLAN ID)等方式實(shí)現(xiàn)網(wǎng)絡(luò)完全隔離。軟切片主要依靠差分服務(wù)代碼點(diǎn)(Differentiated Services Code Point，DSCP)以及專用VPN實(shí)現(xiàn)。其中，DSCP是IP報(bào)文頭部用于標(biāo)識(shí)優(yōu)先級(jí)的字段，5G基站會(huì)按照預(yù)置規(guī)則將5QI參數(shù)映射為對(duì)應(yīng)的DSCP標(biāo)識(shí)，具體參見表1。

承載網(wǎng)設(shè)備(STN-A、STN-B)以及5G 核心網(wǎng)UPF會(huì)根據(jù)DSCP標(biāo)識(shí)進(jìn)行優(yōu)先轉(zhuǎn)發(fā)并提供QoS保障，轉(zhuǎn)發(fā)過(guò)程中依據(jù)特定的路由目標(biāo)(Route Target，RT)值將報(bào)文導(dǎo)入到對(duì)應(yīng)的VPN中。

核心網(wǎng)切片主要是指，核心網(wǎng)側(cè)為特定的某類或單個(gè)業(yè)務(wù)提供獨(dú)立的UPF+MEC或獨(dú)立的輕量級(jí)5G核心網(wǎng)，實(shí)現(xiàn)業(yè)務(wù)享有獨(dú)立的數(shù)據(jù)面、控制面。

(6)毫秒級(jí)故障檢測(cè)：即在接入層與匯聚層設(shè)備間部署雙向轉(zhuǎn)發(fā)檢測(cè)(Bidirectional Forwarding Detection，BFD)機(jī)制，快速檢測(cè)鏈路故障；B設(shè)備與UPF間部署B(yǎng)FD保護(hù)外部邊界網(wǎng)關(guān)協(xié)議(External Border Gateway Protocol，eBGP)路由或靜態(tài)路由。

當(dāng)未部署B(yǎng)FD時(shí)，常見的OSPF、IS-IS等路由協(xié)議的Hello報(bào)文發(fā)送間隔默認(rèn)為10 s，邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol，BGP)的Keepalive報(bào)文發(fā)送

圖3 UPF+MEC主備容災(zāi)方案

表1 不同類型業(yè)務(wù)5QI與DSCP的映射

2.3 MEC平臺(tái)安全

MEC平臺(tái)安全主要指邊緣MEC節(jié)點(diǎn)涉及的安全，重點(diǎn)從MEC自身安全、MEC承載的應(yīng)用、與外部系統(tǒng)互聯(lián)等方面出發(fā)，提供從物理層至應(yīng)用層自底而上的全方位安全防護(hù)，具體如圖4、圖5所示。

2.3.1 物理環(huán)境安全

物理環(huán)境安全即確保MEC節(jié)點(diǎn)所在機(jī)房具備防拆、防盜、防斷電、防火、防水、電磁防護(hù)、人員進(jìn)出等物理安全防護(hù)能力。

2.3.2 組網(wǎng)安全

將MEC平臺(tái)流量劃分為管理、存儲(chǔ)、業(yè)務(wù)3個(gè)平面，不同平面獨(dú)占網(wǎng)口，物理隔離；通過(guò)部署防火墻實(shí)現(xiàn)MEC平臺(tái)與UPF間、MEC平臺(tái)與客戶內(nèi)網(wǎng)安全隔離；交換機(jī)配置虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)隔離、防火墻配置訪問(wèn)控制、資源池與其他系統(tǒng)不共用物理資源；UPF側(cè)配置白名單，針對(duì)N4、N6、N9配置虛擬路由轉(zhuǎn)發(fā)(Virtual Routing Forwarding，VRF)隔離，與會(huì)話管理功能(Session Management Function，SMF)的N4接口設(shè)置訪問(wèn)控制。

2.3.3 基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全即對(duì)底層硬件、NFVI等基礎(chǔ)設(shè)施配置認(rèn)證/鑒權(quán)和訪問(wèn)控制，包括：復(fù)雜口令、登錄失敗次數(shù)限制、支持賬號(hào)主動(dòng)退出、管理賬號(hào)權(quán)限最小化等；關(guān)閉不必要的服務(wù)/端口，進(jìn)行安全基線配置和加固，對(duì)接集中安全平臺(tái)進(jìn)行安全審計(jì)；確保UPF具備防地址欺騙、異常報(bào)文丟棄、訪問(wèn)控制列表(Access Control Lists，ACL)過(guò)濾、告警和IPsec隧道等能力；確保MEC平臺(tái)具備資源管理機(jī)制，限定單個(gè)用戶、進(jìn)程對(duì)資源使用的最大限度，并在單個(gè)虛機(jī)崩潰后不會(huì)影響虛擬機(jī)監(jiān)視器和其他虛機(jī)。

圖4 典型的MEC企業(yè)園區(qū)機(jī)房組網(wǎng)拓?fù)鋱D

圖5 MEC平臺(tái)虛擬化層以上安全架構(gòu)示意圖

2.3.4 虛擬化安全

虛擬化安全即對(duì)宿主機(jī)、虛機(jī)、虛擬化等不同層面進(jìn)行安全加固；開啟鏡像完整性校驗(yàn)，使用HTTPS等安全傳輸通道進(jìn)行鏡像上傳；虛擬機(jī)監(jiān)視器設(shè)置對(duì)虛機(jī)操作和使用資源權(quán)限的限制，同一物理機(jī)上不同虛機(jī)隔離并監(jiān)控資源使用情況；MEC平臺(tái)在部署階段對(duì)鏡像倉(cāng)庫(kù)進(jìn)行安全監(jiān)管、對(duì)上傳的容器鏡像進(jìn)行漏洞掃描，在運(yùn)行時(shí)確保容器實(shí)例與宿主機(jī)內(nèi)核隔離。

2.3.5 平臺(tái)安全

在MEC平臺(tái)上開啟訪問(wèn)的認(rèn)證和授權(quán)機(jī)制，防止非法訪問(wèn)篡改；確保MEC平臺(tái)對(duì)外接口支持通信雙方雙向認(rèn)證；MEC平臺(tái)與APP之間通信進(jìn)行加密；API接口采用安全的通信協(xié)議和通道，如安全傳輸層協(xié)議(Transport Layer Security，TLS)，不使用Telnet、FTP、SSHv1等不安全協(xié)議；對(duì)接入到MEC節(jié)點(diǎn)的終端進(jìn)行身份識(shí)別。

2.3.6 應(yīng)用安全

確保MEC平臺(tái)可對(duì)應(yīng)用全生命周期管理和監(jiān)控，防止應(yīng)用的非法創(chuàng)建、修改及刪除；同時(shí)基于Kubernetes (K8S) 內(nèi)部網(wǎng)絡(luò)、虛擬防火墻等手段實(shí)現(xiàn)應(yīng)用間隔離；確保MEC平臺(tái)對(duì)APP資源使用情況進(jìn)行實(shí)時(shí)監(jiān)控和限制管理；對(duì)應(yīng)用進(jìn)行漏洞掃描和加固，對(duì)鏡像進(jìn)行病毒查殺。

2.3.7 運(yùn)維管理安全

運(yùn)維管理安全即通過(guò)統(tǒng)一自服務(wù)門戶對(duì)宿主機(jī)、虛機(jī)、虛擬化管理、MEC平臺(tái)、APP進(jìn)行運(yùn)維管理，提供性能告警并留存系統(tǒng)日志，并按需對(duì)接集中告警監(jiān)控平臺(tái)。

2.4 數(shù)據(jù)安全

近年來(lái)，企業(yè)數(shù)據(jù)泄露、篡改等問(wèn)題頻發(fā)，數(shù)據(jù)安全問(wèn)題愈發(fā)凸顯。我國(guó)在《中華人民共和國(guó)數(shù)據(jù)安全法》中明確建立了數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)的重要程度及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。因此，數(shù)據(jù)安全主要應(yīng)防止數(shù)據(jù)被篡改、破壞和泄露，一般可通過(guò)以下手段對(duì)數(shù)據(jù)提供保護(hù)。

2.4.1 數(shù)據(jù)備份恢復(fù)

采用基于軟件定義存儲(chǔ)(Software Defined Storage，SDS)技術(shù)的多副本分布式存儲(chǔ)方案如圖6所示，數(shù)據(jù)依據(jù)算法自動(dòng)均衡地分布在不同的存儲(chǔ)節(jié)點(diǎn)，支持節(jié)點(diǎn)的快速添加和刪除橫向擴(kuò)展，支持節(jié)點(diǎn)故障或損壞后數(shù)據(jù)自動(dòng)重建自愈合，避免數(shù)據(jù)受到破壞。

2.4.2 數(shù)據(jù)本地處理

通過(guò)UPF+MEC下沉部署，實(shí)現(xiàn)數(shù)據(jù)采集、處理、存儲(chǔ)等全生命周期本地化，規(guī)避數(shù)據(jù)泄露至企業(yè)園區(qū)外部。

圖6 多副本分布式存儲(chǔ)方案(以三副本為例)

2.4.3 數(shù)據(jù)安全審計(jì)

按需部署審計(jì)設(shè)備或?qū)蛹邪踩珜徲?jì)平臺(tái)對(duì)數(shù)據(jù)導(dǎo)出、變更、系統(tǒng)日志進(jìn)行審計(jì)，避免數(shù)據(jù)被非法篡改、獲取。

2.5 運(yùn)維管理安全

即便再先進(jìn)的安全技術(shù)和完善的防護(hù)方案，也需要安全管理人員的執(zhí)行，因此除了前述四部分安全外，MEC所有者還需要建立規(guī)范的安全管理制度、設(shè)置安全管理機(jī)構(gòu)、配置專兼職安全管理人員、進(jìn)行安全意識(shí)及技能培訓(xùn)、制定系統(tǒng)建設(shè)和運(yùn)行維護(hù)過(guò)程中應(yīng)遵循的相應(yīng)制度和規(guī)范等。

3 典型案例

如在進(jìn)行某大型石化企業(yè)的5G MEC項(xiàng)目建設(shè)時(shí)，考慮到石化原料通常具有易燃易爆有毒等危險(xiǎn)特征，一旦企業(yè)因遭受網(wǎng)絡(luò)攻擊、數(shù)據(jù)篡改發(fā)生業(yè)務(wù)中斷時(shí)，極易引發(fā)嚴(yán)重的生產(chǎn)事故導(dǎo)致人員傷亡，因此應(yīng)提高其網(wǎng)絡(luò)安全保障的需求級(jí)別。依據(jù)此類項(xiàng)目的客戶需求，應(yīng)以至少滿足等保2級(jí)為目標(biāo)為企業(yè)提供網(wǎng)絡(luò)與信息安全保障，具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7所示。

整體物理安全由企業(yè)園區(qū)機(jī)房提供不低于等保2級(jí)要求的門禁、機(jī)房準(zhǔn)入、防火防水防靜電等措施，在此不再贅述。

在接入安全方面，除要提供5G SA網(wǎng)絡(luò)標(biāo)準(zhǔn)的認(rèn)證、鑒權(quán)、加密算法、基站安全防護(hù)外，還要通過(guò)限制特定DNN、只允許用戶在特定位置和基站接入等方式實(shí)現(xiàn)網(wǎng)絡(luò)的安全接入和終端訪問(wèn)控制。

在傳輸安全方面，承載網(wǎng)接入層設(shè)備(STN-A)和網(wǎng)關(guān)設(shè)備在企業(yè)園區(qū)內(nèi)成對(duì)部署，各傳輸鏈路呈雙星型或口字型冗余互聯(lián)，數(shù)據(jù)傳輸過(guò)程中采用IPsec加密。

在MEC平臺(tái)安全方面：一是組網(wǎng)安全，將MEC平臺(tái)流量三平面隔離，在MEC平臺(tái)、邊緣UPF和企業(yè)內(nèi)網(wǎng)間部署防火墻，并在防火墻、交換機(jī)上配置VLAN、ACL控制訪問(wèn)策略，同時(shí)UPF N4、N6、N9等接口配置獨(dú)立的VRF隔離和訪問(wèn)控制；二是基礎(chǔ)設(shè)施安全，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、NFVI等配置復(fù)雜口令認(rèn)證和訪問(wèn)控制，關(guān)閉不必要的服務(wù)/端口，部署安管一體機(jī)，實(shí)現(xiàn)基礎(chǔ)設(shè)施的漏洞掃描、安全基線配置和安全審計(jì)，UPF提供防地址欺騙、異常報(bào)文丟棄等安全能力，MEC平臺(tái)提供資源管理機(jī)制；三是虛擬化安全、平臺(tái)安全和應(yīng)用安全，這三部分安全能力主要由MEC平臺(tái)提供，通過(guò)部署和運(yùn)用鏡像安全掃描、容器安全檢測(cè)、TLS加密協(xié)議、用戶登錄鑒權(quán)、虛擬私有云(Virtual Private Cloud，VPC)隔離等技術(shù)實(shí)現(xiàn)。最后，企業(yè)可通過(guò)MEC平臺(tái)自助服務(wù)門戶統(tǒng)一對(duì)宿主機(jī)、虛機(jī)、MEC平臺(tái)等不同層面進(jìn)行啟動(dòng)、關(guān)閉、查看告警、業(yè)務(wù)恢復(fù)等操作，實(shí)現(xiàn)運(yùn)維管理安全。

在數(shù)據(jù)安全方面：一是采用三副本分布式存儲(chǔ)和存儲(chǔ)計(jì)算分離的架構(gòu)提供數(shù)據(jù)恢復(fù)和可靠保障；二是通過(guò)安管一體機(jī)實(shí)現(xiàn)日志安全審計(jì)；三是通過(guò)下沉專用的承載網(wǎng)接入設(shè)備和獨(dú)享型MEC實(shí)現(xiàn)數(shù)據(jù)不出園區(qū)，避免數(shù)據(jù)泄露風(fēng)險(xiǎn)。

圖7 5G SA+MEC企業(yè)園區(qū)組網(wǎng)安全典型案例

在管理安全方面，企業(yè)已建立安全管理制度和機(jī)構(gòu)、配置專職安全管理人員，并制定應(yīng)急預(yù)案，應(yīng)定期組織應(yīng)急演練，運(yùn)營(yíng)商則負(fù)責(zé)提供專業(yè)的安全響應(yīng)團(tuán)隊(duì)進(jìn)行7×24 h的技術(shù)支持。

4 結(jié)束語(yǔ)

5G MEC在運(yùn)營(yíng)商網(wǎng)絡(luò)邊緣引入了云計(jì)算和IT服務(wù)環(huán)境，使得運(yùn)營(yíng)商原本封閉的承載網(wǎng)網(wǎng)絡(luò)架構(gòu)更加開放，企業(yè)業(yè)務(wù)數(shù)據(jù)會(huì)經(jīng)運(yùn)營(yíng)商承載網(wǎng)再進(jìn)入企業(yè)，所以對(duì)運(yùn)營(yíng)商和企業(yè)來(lái)說(shuō)，MEC均不屬于傳統(tǒng)的安全域，云網(wǎng)基礎(chǔ)設(shè)施、企業(yè)內(nèi)網(wǎng)與業(yè)務(wù)應(yīng)用在MEC上交錯(cuò)，網(wǎng)絡(luò)安全邊界進(jìn)一步模糊，而相關(guān)的行業(yè)標(biāo)準(zhǔn)還在探討制定中，因此5G SA+MEC企業(yè)園區(qū)組網(wǎng)的安全防護(hù)還面臨很多問(wèn)題與挑戰(zhàn)亟待研究解決。一是容器逃逸帶來(lái)的安全挑戰(zhàn)。由于容器與宿主機(jī)共用內(nèi)核，并且在內(nèi)核層面的隔離性不足，這使得攻擊者可通過(guò)利用漏洞“逃逸”出自身?yè)碛械臋?quán)限，實(shí)現(xiàn)對(duì)宿主機(jī)或宿主機(jī)上其他容器的訪問(wèn)[3]。由于MEC平臺(tái)一般采用云原生架構(gòu)，因此也不可避免地面臨著容器逃逸問(wèn)題，容器逃逸將直接影響到MEC承載容器的底層基礎(chǔ)設(shè)施，攻擊者可以借此獲得主機(jī)上的根用戶(Root)級(jí)訪問(wèn)權(quán)限甚至接管K8S集群。二是網(wǎng)元下沉帶來(lái)的安全挑戰(zhàn)。在當(dāng)前5G SA+MEC組網(wǎng)下，企業(yè)園區(qū)內(nèi)下沉部署邊緣UPF和MEC，使得用戶數(shù)據(jù)在本地處理，大幅提高了數(shù)據(jù)安全性，并可以基于前文方案加強(qiáng)安全防護(hù)，但5G控制信令主要仍由企業(yè)園區(qū)外的運(yùn)營(yíng)商核心網(wǎng)處理，控制信令在園區(qū)外傳輸過(guò)程中同樣面臨著傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下的竊聽、篡改等威脅，因此部分對(duì)安全程度需求極高的企業(yè)(如礦山等)，會(huì)進(jìn)一步希望在企業(yè)園區(qū)內(nèi)下沉輕量級(jí)的5G核心網(wǎng)，實(shí)現(xiàn)控制信令和業(yè)務(wù)數(shù)據(jù)完全在本地處理， 5G核心網(wǎng)的下沉又會(huì)進(jìn)一步增加5G網(wǎng)絡(luò)暴露面，使得5G網(wǎng)絡(luò)更易受到攻擊。三是第三方應(yīng)用帶來(lái)的安全挑戰(zhàn)。MEC節(jié)點(diǎn)上一般承載了多個(gè)第三方應(yīng)用，一旦一個(gè)應(yīng)用出現(xiàn)安全漏洞，極易被攻擊者利用、入侵甚至利用共享的底層設(shè)施進(jìn)行橫向滲透，因此需要各應(yīng)用廠商遵循統(tǒng)一的安全規(guī)范和標(biāo)準(zhǔn)，避免出現(xiàn)木桶效應(yīng)。另外，云邊協(xié)同、多個(gè)MEC間的容災(zāi)備份也使得安全問(wèn)題更加復(fù)雜，入侵者植入的病毒、木馬可能會(huì)隨著第三方應(yīng)用的部署從企業(yè)園區(qū)復(fù)制擴(kuò)散至運(yùn)營(yíng)商5G核心網(wǎng)，甚至利用共享的MEC或公有云進(jìn)一步滲透至其他企業(yè)。