苗守野

中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司 北京 100033

引言

5G支持更高帶寬、更低時(shí)延、更大連接的特性將推動(dòng)通信技術(shù)向各行業(yè)融合滲透，為社會(huì)帶來(lái)新的變革。5G在開啟萬(wàn)物互聯(lián)新局面的同時(shí)，5G新業(yè)務(wù)、新架構(gòu)、新技術(shù)也帶來(lái)了新的安全挑戰(zhàn)和風(fēng)險(xiǎn)，其安全性不僅關(guān)系到個(gè)人通信安全，還影響到所連接的工業(yè)、能源、交通、醫(yī)療等實(shí)體經(jīng)濟(jì)安全，5G網(wǎng)絡(luò)風(fēng)險(xiǎn)防范成為各國(guó)政府、國(guó)際標(biāo)準(zhǔn)組織、電信運(yùn)營(yíng)和設(shè)備制造企業(yè)高度關(guān)注的焦點(diǎn)。

1 全球?yàn)樘嵘?G網(wǎng)絡(luò)安全持續(xù)努力

1.1 3GPP持續(xù)優(yōu)化完善安全標(biāo)準(zhǔn)，消減5G網(wǎng)絡(luò)風(fēng)險(xiǎn)

近年來(lái)，3GPP SA3工作組持續(xù)對(duì)5G各場(chǎng)景的安全威脅和風(fēng)險(xiǎn)進(jìn)行分析，不斷優(yōu)化完善5G安全標(biāo)準(zhǔn)，已演進(jìn)到R18版本。相比2/3/4G網(wǎng)絡(luò)，5G網(wǎng)絡(luò)安全能力進(jìn)一步增強(qiáng)，例如更好的空口安全、用戶隱私保護(hù)增強(qiáng)、更好的漫游安全、密碼算法增強(qiáng)、核心網(wǎng)增強(qiáng)的SBA安全、用戶面提供完整性保護(hù)等等。

在5G垂直行業(yè)應(yīng)用安全方面，3GPP標(biāo)準(zhǔn)為各垂直行業(yè)提供了豐富且定制化的安全特性，例如支持IoT設(shè)備小數(shù)據(jù)傳輸安全、支持URLLC的冗余會(huì)話傳輸安全、支持切片的認(rèn)證和授權(quán)、支持多種私網(wǎng)形態(tài)的靈活認(rèn)證，以滿足不同行業(yè)的多樣性安全需求，并向第三方開放3GPP安全能力。

1.2 GSMA聯(lián)合3GPP提出5G網(wǎng)絡(luò)安全保障方案(NESAS)

在5G設(shè)備安全認(rèn)證方面，GSMA聯(lián)合3GPP定義網(wǎng)絡(luò)設(shè)備安全保障方案(NESAS)[1]，對(duì)移動(dòng)網(wǎng)絡(luò)設(shè)備的開發(fā)過程及設(shè)備驗(yàn)證進(jìn)行安全評(píng)估。其提供了一個(gè)全行業(yè)的安全保障框架，以促進(jìn)整個(gè)移動(dòng)行業(yè)的安全級(jí)別的提高。NESAS定義了安全產(chǎn)品開發(fā)和產(chǎn)品全生命周期的安全要求和評(píng)估框架，并使用3GPP定義的SCAS(安全保障規(guī)范)中的安全測(cè)試用例對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全評(píng)估。NESAS認(rèn)證是評(píng)估5G設(shè)備商安全能力的重要手段[2]，促進(jìn)了移動(dòng)通信領(lǐng)域全球產(chǎn)業(yè)界運(yùn)營(yíng)商、設(shè)備商之間安全合作互信。全球主流設(shè)備商均通過開展NESAS/SCAS認(rèn)證，有效提升了5G設(shè)備的安全性。

1.3 GSMA提出的5G安全知識(shí)庫(kù)可以指導(dǎo)運(yùn)營(yíng)商消減5G網(wǎng)絡(luò)風(fēng)險(xiǎn)

5G安全知識(shí)庫(kù)是GSMA聯(lián)合5G產(chǎn)業(yè)生態(tài)構(gòu)建的5G網(wǎng)絡(luò)安全指南，為保障移動(dòng)通信網(wǎng)絡(luò)安全提供了參考和依據(jù)[3]。5G安全知識(shí)庫(kù)按照“應(yīng)用安全、網(wǎng)絡(luò)安全、設(shè)備安全”三層模型，針對(duì)不同的網(wǎng)絡(luò)威脅，明確應(yīng)用提供者、運(yùn)營(yíng)商、設(shè)備廠商應(yīng)采取的消減措施，共同保障5G網(wǎng)絡(luò)安全。它圍繞5G端到端網(wǎng)絡(luò)安全架構(gòu)，描述網(wǎng)絡(luò)威脅、安全場(chǎng)景、攻擊方法、消減措施、安全標(biāo)準(zhǔn)及最佳實(shí)踐等，同時(shí)在安全治理、運(yùn)營(yíng)管理以及網(wǎng)絡(luò)部署等方面給出相關(guān)建議。

2022年，中國(guó)聯(lián)通研究院在GSMA提交了5G安全知識(shí)庫(kù)2.0優(yōu)化建議，得到GSMA專家的認(rèn)可。

2 運(yùn)營(yíng)商5G網(wǎng)絡(luò)防護(hù)現(xiàn)狀與不足

2.1 5G網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

運(yùn)營(yíng)商保護(hù)網(wǎng)絡(luò)安全的核心目標(biāo)是：保證用戶數(shù)據(jù)的安全和網(wǎng)絡(luò)的可用性，確保網(wǎng)絡(luò)不癱瘓，在受到網(wǎng)絡(luò)攻擊時(shí)，能發(fā)現(xiàn)和阻斷攻擊、快速恢復(fù)網(wǎng)絡(luò)服務(wù)。全球運(yùn)營(yíng)商已采用多種技術(shù)手段，保護(hù)5G網(wǎng)絡(luò)不被入侵，確保用戶數(shù)據(jù)不被竊取。目前采用的安全技術(shù)手段主要包括如下幾種。

1)業(yè)務(wù)連續(xù)性保障

通過設(shè)備冗余、鏈路冗余等，確保網(wǎng)絡(luò)韌性和業(yè)務(wù)連續(xù)性，防止網(wǎng)絡(luò)故障引發(fā)的網(wǎng)絡(luò)中斷和癱瘓。

2)網(wǎng)絡(luò)縱深安全防護(hù)體系

通過劃分網(wǎng)絡(luò)安全域，實(shí)現(xiàn)分層分域的縱深安全防護(hù)。在網(wǎng)絡(luò)安全域劃分的基礎(chǔ)上，在各安全域的邊界部署安全防護(hù)、安全檢測(cè)、安全監(jiān)測(cè)等網(wǎng)絡(luò)安全設(shè)備。

安全防護(hù)設(shè)備：通過部署防火墻、堡壘機(jī)、4A系統(tǒng)等限制非法的網(wǎng)絡(luò)訪問，通過入侵防護(hù)系統(tǒng)(IPS)基于流量分析發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為并進(jìn)行阻斷，通過抗DDoS攻擊設(shè)備防范各類拒絕服務(wù)攻擊流量[4]。

安全檢測(cè)設(shè)備：部署網(wǎng)絡(luò)安全掃描器、WEB應(yīng)用掃描器、安全配置核查系統(tǒng)等發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)的各類安全漏洞、設(shè)備配置不合規(guī)等。

安全監(jiān)測(cè)設(shè)備：通過入侵檢測(cè)、態(tài)勢(shì)感知、安全審計(jì)等技術(shù)手段動(dòng)態(tài)分析入侵行為、安全事件、違規(guī)操作等[5]。

運(yùn)營(yíng)商通過建立縱深安全防護(hù)體系，及時(shí)發(fā)現(xiàn)安全漏洞和風(fēng)險(xiǎn)、防范各類入侵和網(wǎng)絡(luò)攻擊、檢測(cè)安全入侵事件，同時(shí)對(duì)安全事件及時(shí)響應(yīng)和處置。

3)網(wǎng)絡(luò)安全運(yùn)營(yíng)

在網(wǎng)絡(luò)級(jí)縱深安全防護(hù)體系基礎(chǔ)上，運(yùn)營(yíng)商還建立安全管理平臺(tái)以支撐網(wǎng)絡(luò)運(yùn)營(yíng)，例如安全運(yùn)營(yíng)管理中心SOC、安全事件分析與應(yīng)急響應(yīng)平臺(tái)、資產(chǎn)與漏洞管理平臺(tái)等等，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行監(jiān)控、分析和響應(yīng)。

運(yùn)營(yíng)商建立設(shè)備或軟件入網(wǎng)驗(yàn)收機(jī)制。在設(shè)備部署期間對(duì)產(chǎn)品進(jìn)行安全加固，例如安裝最新安全補(bǔ)丁、關(guān)閉不需要的端口與服務(wù)、制定訪問策略、修改初始賬戶密碼、關(guān)閉遠(yuǎn)程登錄通道等等。在網(wǎng)絡(luò)運(yùn)行期間，定期進(jìn)行安全健康檢查，掃描網(wǎng)絡(luò)漏洞，管理設(shè)備版本和補(bǔ)丁的升級(jí)和更新，以及設(shè)備軟硬件生命周期的維護(hù)。

2.2 當(dāng)前5G安全防護(hù)體系存在的不足

1)5G安全防護(hù)體系性不足

目前，全球運(yùn)營(yíng)商在電信網(wǎng)絡(luò)安全防御體系方面，缺乏可以參考的安全標(biāo)準(zhǔn)，各運(yùn)營(yíng)商根據(jù)自己的實(shí)踐經(jīng)驗(yàn)在部署安全系統(tǒng)，缺乏體系性的安全架構(gòu)設(shè)計(jì)。5G網(wǎng)絡(luò)的管理面、控制面和用戶面連接的是三張不同的承載網(wǎng)，面臨的安全風(fēng)險(xiǎn)差異極大，因此三個(gè)平面的安全防御體系需要單獨(dú)設(shè)計(jì)。5G網(wǎng)絡(luò)面臨的最大風(fēng)險(xiǎn)來(lái)自管理網(wǎng)，如何消減管理面風(fēng)險(xiǎn)，零信任接入、微隔離、堡壘機(jī)、SASE等是現(xiàn)階段防范管理網(wǎng)被入侵的主要手段；5G網(wǎng)絡(luò)控制面也面臨核心網(wǎng)云化、能力開放、UPF下沉到邊緣引入的安全風(fēng)險(xiǎn)，例如UPF暴露在園區(qū)網(wǎng)環(huán)境，存在通過UPF攻擊核心網(wǎng)的風(fēng)險(xiǎn)等。

2)外掛補(bǔ)丁式邊界防護(hù)存在短板

5G網(wǎng)絡(luò)包括海量的基站、UPF、邊緣云等網(wǎng)絡(luò)暴露面資產(chǎn)，還有大量的垂直行業(yè)應(yīng)用終端，同時(shí)還有位于運(yùn)營(yíng)商電信云上的核心網(wǎng)網(wǎng)元等，資產(chǎn)數(shù)量多，暴露面風(fēng)險(xiǎn)突出。傳統(tǒng)外掛式、邊界防護(hù)等安全建設(shè)思路難以應(yīng)對(duì)新的安全風(fēng)險(xiǎn)[6]。

當(dāng)前運(yùn)營(yíng)商5G核心網(wǎng)部署在電信云資源池上，在核心網(wǎng)邊界部署安全防護(hù)設(shè)備，縱深防御不足，一旦突破邊界防御，在核心網(wǎng)內(nèi)部就可以實(shí)現(xiàn)橫向攻擊。從全球安全案例來(lái)看，突破運(yùn)營(yíng)商網(wǎng)絡(luò)防御邊界的案例屢見不鮮。例如，2022年初，葡萄牙某運(yùn)營(yíng)商的5G核心網(wǎng)云化資源池被入侵，攻擊者刪除了核心網(wǎng)虛擬機(jī)，導(dǎo)致大面積斷網(wǎng)。

5G暴露面資產(chǎn)分散，難以集中部署安全防護(hù)設(shè)備。例如5G基站面臨無(wú)線空口攻擊，在基站上難以部署“外掛式”安全產(chǎn)品，例如無(wú)法部署傳統(tǒng)防火墻防護(hù)海量基站所面臨的無(wú)線空口DoS攻擊和無(wú)線頻譜干擾；5G用戶面網(wǎng)關(guān)UPF數(shù)量多，暴露在園區(qū)網(wǎng)，受攻擊的可能性大，部署外掛式安全產(chǎn)品的成本過高。

3)數(shù)智化程度不足難以支撐高效安全運(yùn)營(yíng)

對(duì)5G基礎(chǔ)設(shè)施設(shè)備威脅檢測(cè)能力不足，一旦出現(xiàn)針對(duì)海量5G設(shè)備的攻擊，通過人工方式難以在初始階段快速發(fā)現(xiàn)和消減5G安全風(fēng)險(xiǎn)。運(yùn)營(yíng)商超百萬(wàn)個(gè)5G基站、數(shù)萬(wàn)個(gè)UPF分散部署在全國(guó)，僅僅依賴部署在核心網(wǎng)邊界的安全設(shè)備無(wú)法有效感知全網(wǎng)安全風(fēng)險(xiǎn)，運(yùn)營(yíng)商現(xiàn)有安全態(tài)勢(shì)感知平臺(tái)等，在缺乏數(shù)智化安全分析、策略編排和響應(yīng)能力情況下，難以支撐高效安全運(yùn)營(yíng)[7]。

3 內(nèi)生安全助力打造5G堅(jiān)強(qiáng)網(wǎng)絡(luò)

針對(duì)5G網(wǎng)絡(luò)當(dāng)前面臨的安全挑戰(zhàn)，5G設(shè)備內(nèi)生安全是有效應(yīng)對(duì)之道。5G設(shè)備內(nèi)生安全，是將網(wǎng)絡(luò)安全能力與5G設(shè)備融合內(nèi)生，使得5G設(shè)備具備“自主免疫力”，讓5G端到端網(wǎng)絡(luò)環(huán)境具有更強(qiáng)健的“肌體”，從而能增強(qiáng)網(wǎng)絡(luò)韌性，提高5G網(wǎng)絡(luò)抗攻擊能力?！皟?nèi)生安全”與“外掛式安全”不是非此即彼、相互割裂的關(guān)系，而是需要互為補(bǔ)充，有機(jī)結(jié)合[8]。設(shè)備內(nèi)生安全能力可以增強(qiáng)網(wǎng)絡(luò)肌體的“免疫”能力，但不能完全代替網(wǎng)絡(luò)邊界外掛安全設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)“穿盔戴甲”。

3.1 5G網(wǎng)絡(luò)的內(nèi)生安全目標(biāo)

5G內(nèi)生安全要將安全能力內(nèi)置(Build-in)在網(wǎng)元設(shè)備上，而不再是在設(shè)備上安裝外掛(Add-on)安全組件[9]。這種內(nèi)生安全能力屬于設(shè)備網(wǎng)元的原生能力，需要和業(yè)務(wù)深度融合，網(wǎng)元具備自我安全監(jiān)控、防護(hù)、響應(yīng)能力，在不影響電信業(yè)務(wù)的前提下，實(shí)現(xiàn)網(wǎng)元內(nèi)生的檢測(cè)、防護(hù)和處置閉環(huán)。

5G網(wǎng)絡(luò)內(nèi)生安全是5G網(wǎng)絡(luò)自身具備的原生安全能力，其目標(biāo)是：由運(yùn)營(yíng)商制定內(nèi)生安全規(guī)范要求，設(shè)備商具體實(shí)現(xiàn)。網(wǎng)元內(nèi)生安全要具備安全檢測(cè)、防護(hù)和事件處置能力，從而讓5G網(wǎng)絡(luò)具有自動(dòng)檢測(cè)、主動(dòng)防護(hù)、精準(zhǔn)防護(hù)的能力，將關(guān)鍵資產(chǎn)和資源(數(shù)據(jù)、接口、賬號(hào)、組件)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到運(yùn)營(yíng)商可接受的水平，實(shí)現(xiàn)5G網(wǎng)絡(luò)持續(xù)、穩(wěn)定、可靠運(yùn)行。

設(shè)備商要將安全功能內(nèi)置到設(shè)備網(wǎng)元的硬件層、OS層、虛擬化層及業(yè)務(wù)層，提供軟件包防篡改、操作系統(tǒng)防護(hù)、重要核心數(shù)據(jù)防護(hù)、網(wǎng)元安全監(jiān)控防護(hù)響應(yīng)等能力，確保入侵者進(jìn)不來(lái)、拿不走、改不了、跑不掉。

業(yè)務(wù)無(wú)損：不影響5G網(wǎng)絡(luò)業(yè)務(wù)性能，實(shí)現(xiàn)99.999%可靠性，并要確保部署升級(jí)業(yè)務(wù)零中斷、不新增網(wǎng)元暴露面等。

3.2 5G設(shè)備內(nèi)生安全需求

5G設(shè)備內(nèi)生安全能力應(yīng)包括5G設(shè)備網(wǎng)元內(nèi)生的通用安全能力、特有的安全防護(hù)和檢測(cè)能力、網(wǎng)元間安全隔離防護(hù)能力、安全可視化管理及安全風(fēng)險(xiǎn)自動(dòng)化處置能力。

1)通用的設(shè)備內(nèi)生安全能力。設(shè)備硬件層內(nèi)生可信芯片、密碼加速芯片等安全芯片，為設(shè)備提供硬件可信根；操作系統(tǒng)層面內(nèi)生內(nèi)核保護(hù)、進(jìn)程防護(hù)、安全啟動(dòng)、可信度量、主機(jī)檢測(cè)等安全能力；虛擬化層面提供虛機(jī)隔離、容器隔離、容器逃逸檢測(cè)等安全能力；電信業(yè)務(wù)層內(nèi)生接入安全控制、協(xié)議安全、信令安全、業(yè)務(wù)異常檢測(cè)、重要核心數(shù)據(jù)保護(hù)等業(yè)務(wù)層的內(nèi)生安全能力。

2)不同5G設(shè)備網(wǎng)元內(nèi)生的特有安全特性。無(wú)線基站內(nèi)生防止空口DDoS攻擊[10]、頻譜干擾檢測(cè)，安全弱配置主動(dòng)檢查，基站自身進(jìn)程、文件和用戶操作等異常行為自主及時(shí)發(fā)現(xiàn)，并且可快速定位止損的能力；核心網(wǎng)元運(yùn)行在電信云資源上，應(yīng)具備攻擊感知(基于白名單檢測(cè)并感知攻擊事件，防破壞和信息竊取)、入侵檢測(cè)(檢測(cè)異常賬號(hào)、信息竊取、權(quán)限提升、異常行為操作、非法文件篡改等安全攻擊事件)、病毒檢測(cè)(檢測(cè)蠕蟲/木馬/勒索等惡意軟件植入安全事件)、微隔離(基于白名單的細(xì)粒度網(wǎng)絡(luò)訪問控制，防止橫向訪問攻擊擴(kuò)散)等能力。

3)5G網(wǎng)元間安全隔離防護(hù)。域內(nèi)網(wǎng)元間實(shí)現(xiàn)微隔離，即基于5G網(wǎng)絡(luò)內(nèi)確定性業(yè)務(wù)訪問關(guān)系，根據(jù)精細(xì)化的訪問控制策略，實(shí)現(xiàn)網(wǎng)元間全域?qū)崟r(shí)安全隔離[11]。

4)5G網(wǎng)元安全可視化管理。5G網(wǎng)元內(nèi)生安全組件發(fā)現(xiàn)的異常事件和行為與威脅情報(bào)、漏洞庫(kù)等關(guān)聯(lián)，在網(wǎng)元管理系統(tǒng)(網(wǎng)元安全管理中心)層面構(gòu)建安全風(fēng)險(xiǎn)可視及管理能力，基于網(wǎng)元/網(wǎng)絡(luò)云資產(chǎn)視角以及安全事件視角實(shí)現(xiàn)安全風(fēng)險(xiǎn)整體可視。網(wǎng)元安全管理中心以資產(chǎn)維度呈現(xiàn)網(wǎng)元當(dāng)前的安全狀態(tài)，風(fēng)險(xiǎn)評(píng)分及TOP級(jí)攻擊事件，保障網(wǎng)絡(luò)安全運(yùn)營(yíng)人員可以快速發(fā)現(xiàn)異常并及時(shí)采取相關(guān)處置措施。

5)5G安全風(fēng)險(xiǎn)自動(dòng)化處置。網(wǎng)元安全管理中心應(yīng)具備快速響應(yīng)和處置能力，通過預(yù)定義和自定義腳本構(gòu)建安全事件響應(yīng)處置策略，并基于安全策略及應(yīng)急響應(yīng)機(jī)制，構(gòu)筑調(diào)整—處置—恢復(fù)—優(yōu)化閉環(huán)的自適應(yīng)安全處置體系。

3.3 內(nèi)生安全的附加特性要求

5G內(nèi)生安全的具體落地，需要在對(duì)5G網(wǎng)絡(luò)業(yè)務(wù)深刻理解的基礎(chǔ)上，實(shí)現(xiàn)業(yè)務(wù)無(wú)損、檢測(cè)全面精準(zhǔn)、快集成和易維護(hù)等要求。

1)業(yè)務(wù)無(wú)損。相對(duì)于外掛安全軟件，內(nèi)生安全能力需要保障對(duì)5G網(wǎng)絡(luò)業(yè)務(wù)本身無(wú)影響，資源占用消耗率低，可以隨業(yè)務(wù)動(dòng)態(tài)拉起等特點(diǎn)。在保障5G網(wǎng)絡(luò)自身安全的同時(shí)，近似“零存在”地為業(yè)務(wù)服務(wù)，實(shí)現(xiàn)5G正常運(yùn)行和安全保障的平衡。

2)檢測(cè)全面精準(zhǔn)。以電信業(yè)務(wù)模型庫(kù)為基礎(chǔ)，基于電信領(lǐng)域的確定性知識(shí)，構(gòu)建確定性的白名單和行為基線，降低誤報(bào)率。通過持續(xù)性信任評(píng)估、多維深度檢測(cè)、防護(hù)和響應(yīng)，可應(yīng)對(duì)各種安全風(fēng)險(xiǎn)。

3)快集成?？梢院碗娦艠I(yè)務(wù)系統(tǒng)預(yù)集成，和電信系統(tǒng)一起安裝調(diào)試，無(wú)需額外集成測(cè)試。

4)易維護(hù)。通過網(wǎng)元安全管理，使5G業(yè)務(wù)的運(yùn)維人員具備網(wǎng)元安全運(yùn)營(yíng)管理能力，讓網(wǎng)元的安全防護(hù)、檢測(cè)能力等可以和5G業(yè)務(wù)軟件完成同步部署、變更、擴(kuò)縮容，讓網(wǎng)元安全管理融入日常運(yùn)營(yíng)管理。

4 內(nèi)生安全現(xiàn)網(wǎng)實(shí)踐

4.1 5G內(nèi)生安全解決方案的整體架構(gòu)

針對(duì)第二章、第三章所述相關(guān)威脅和挑戰(zhàn)以及目標(biāo)，提出以下5G網(wǎng)絡(luò)內(nèi)生安全架構(gòu)，如圖1所示。

圖1 5G網(wǎng)絡(luò)安全架構(gòu)圖

1)設(shè)備安全：制定設(shè)備安全規(guī)范，要求設(shè)備商將內(nèi)生安全功能融入產(chǎn)品，確保設(shè)備的軟硬件可信，防止設(shè)備被非法入侵、控制，支撐構(gòu)建網(wǎng)絡(luò)韌性。

2)網(wǎng)絡(luò)安全：打造嵌入式網(wǎng)絡(luò)安全能力，將安全嵌入業(yè)務(wù)，實(shí)現(xiàn)高效的安全管理和網(wǎng)絡(luò)韌性，使能行業(yè)應(yīng)用安全。包括以下三個(gè)層面的安全能力：

網(wǎng)絡(luò)功能安全：電信級(jí)的橫向網(wǎng)絡(luò)韌性，確保設(shè)備間網(wǎng)絡(luò)通訊的機(jī)密性、完整性、可用性；

安全管理：感知業(yè)務(wù)的安全策略編排、感知業(yè)務(wù)的安全事件檢測(cè)、提升安全有效性和運(yùn)維安全效率；

使能行業(yè)安全：從安全能力變現(xiàn)的目標(biāo)出發(fā)，基于網(wǎng)+云的安全能力，保護(hù)行業(yè)客戶5G應(yīng)用安全。

3)應(yīng)用安全：5G賦能各個(gè)垂直行業(yè)，行業(yè)應(yīng)用在環(huán)境、業(yè)務(wù)、資產(chǎn)、運(yùn)營(yíng)等層面具有不同的特征，在實(shí)際應(yīng)用中，不同行業(yè)、不同應(yīng)用有不同的安全需求。需要充分應(yīng)用5G基礎(chǔ)設(shè)施以及圍繞5G網(wǎng)絡(luò)打造嵌入式網(wǎng)絡(luò)安全能力，使垂直行業(yè)的應(yīng)用安全充分受益。

4.2 5G內(nèi)生安全解決方案

內(nèi)生安全理念應(yīng)成為全行業(yè)的統(tǒng)一行動(dòng)。首先，應(yīng)推動(dòng)5G內(nèi)生安全成為行業(yè)標(biāo)準(zhǔn)，并在實(shí)踐中持續(xù)優(yōu)化演進(jìn)。設(shè)備內(nèi)生安全的概念、內(nèi)涵、功能、范圍需要明確，設(shè)備內(nèi)生安全與網(wǎng)絡(luò)安全管理平臺(tái)之間的接口需要確定。在5G向5.5G、6G網(wǎng)絡(luò)演進(jìn)過程中，內(nèi)生安全也應(yīng)成為其重要特征與內(nèi)在要求。

其次，推動(dòng)5G基礎(chǔ)設(shè)施內(nèi)生安全能力在現(xiàn)網(wǎng)落地。圍繞5G基礎(chǔ)設(shè)施設(shè)備的“啟動(dòng)—運(yùn)行—退網(wǎng)”生命周期，確保進(jìn)入運(yùn)營(yíng)商網(wǎng)絡(luò)的每一個(gè)5G設(shè)備都是安全可信的；通過內(nèi)生安全能力，讓5G網(wǎng)絡(luò)具備更強(qiáng)壯的“肌體”，在網(wǎng)絡(luò)攻擊面前具備更強(qiáng)大的免疫能力；內(nèi)生的安全防護(hù)、威脅檢測(cè)和響應(yīng)處置能力，要讓維護(hù)人員實(shí)現(xiàn)高效安全運(yùn)營(yíng)。

再次，將零信任、動(dòng)態(tài)身份評(píng)估、微隔離等縱深防護(hù)思路應(yīng)用到5G場(chǎng)景。結(jié)合垂直行業(yè)應(yīng)用終端接入、MEC邊緣虛擬化網(wǎng)絡(luò)、5G網(wǎng)絡(luò)安全運(yùn)營(yíng)等重點(diǎn)場(chǎng)景，建立維護(hù)人員、網(wǎng)元設(shè)備、5G終端的動(dòng)態(tài)身份信任評(píng)估機(jī)制，并結(jié)合可信接入、微隔離等新技術(shù)，實(shí)現(xiàn)對(duì)人員和5G設(shè)備、終端的接入可信、訪問可信和操作可信的多重訪問控制，防止對(duì)5G網(wǎng)絡(luò)的非法接入、越權(quán)訪問等。

最后，設(shè)備內(nèi)生安全應(yīng)與AI、SOAR等新技術(shù)、新模式結(jié)合，探索建設(shè)5G網(wǎng)絡(luò)安全能力新平面，實(shí)現(xiàn)5G網(wǎng)絡(luò)安全能力向垂直行業(yè)外溢[12]。運(yùn)營(yíng)商可基于大數(shù)據(jù)、AI安全、SOAR等新技術(shù)，聚合5G設(shè)備內(nèi)生安全、外掛式安全產(chǎn)品、5G終端安全等多種安全數(shù)據(jù)，構(gòu)建自動(dòng)化的安全運(yùn)營(yíng)平臺(tái)，為垂直行業(yè)提供態(tài)勢(shì)感知、通報(bào)預(yù)警和應(yīng)急響應(yīng)能力。同時(shí)，5G網(wǎng)絡(luò)內(nèi)生的安全能力開放，例如基于USIM卡的認(rèn)證能力、基于核心網(wǎng)的應(yīng)用認(rèn)證與密鑰管理能力(AKMA)等，可以為行業(yè)應(yīng)用安全性保駕護(hù)航。

4.3 5G內(nèi)生安全現(xiàn)網(wǎng)驗(yàn)證

中國(guó)聯(lián)通已聯(lián)合設(shè)備商，率先在某省公司完成全球首個(gè)引入第三方攻防驗(yàn)證的5G核心網(wǎng)內(nèi)生安全試點(diǎn)驗(yàn)證，取得了良好的效果，為支撐公司打造堅(jiān)強(qiáng)網(wǎng)絡(luò)提供了有效保障。如圖2所示，實(shí)踐基于GSMA 5G安全知識(shí)庫(kù)指引，面向提升5G核心網(wǎng)安全運(yùn)營(yíng)能力，突破傳統(tǒng)的邊界防護(hù)思路，充分結(jié)合核心網(wǎng)超高可靠性運(yùn)行要求和技術(shù)特點(diǎn)，構(gòu)建5G核心網(wǎng)內(nèi)生安全創(chuàng)新型高效解決方案。

圖2 5G核心網(wǎng)內(nèi)生安全部署視圖

本次創(chuàng)新試點(diǎn)主要驗(yàn)證了在運(yùn)行安全、運(yùn)維安全、系統(tǒng)安全和資產(chǎn)風(fēng)險(xiǎn)可視四大核心場(chǎng)景，覆蓋快捷輕量部署、高效合規(guī)檢查、敏捷入侵檢測(cè)、一鍵處置響應(yīng)、全量資產(chǎn)管理和極低性能損耗等六大關(guān)鍵能力。在功能測(cè)試過程中，測(cè)試用例100%通過，構(gòu)造了數(shù)萬(wàn)次攻擊100%檢出；在性能測(cè)試過程中，完成了全球首個(gè)在百萬(wàn)話務(wù)量場(chǎng)景下內(nèi)生安全技術(shù)對(duì)業(yè)務(wù)影響、資源占用及可靠性測(cè)試，虛擬機(jī)CPU使用率和物理內(nèi)存占用率符合預(yù)期，真正做到了業(yè)務(wù)無(wú)損；在攻防測(cè)試過程中，全球首次在真實(shí)環(huán)境引入了第三方攻防測(cè)試，攻擊涉及10+類場(chǎng)景和數(shù)百件安全事件，事件均被檢出，通過一鍵處置響應(yīng)能力成功阻斷攻擊，充分驗(yàn)證了5G核心網(wǎng)內(nèi)生安全優(yōu)秀的安全防護(hù)能力。

5 結(jié)語(yǔ)

5G內(nèi)生安全的理念已在行業(yè)主管部門、運(yùn)營(yíng)商、設(shè)備商之間逐步形成共識(shí)。為加強(qiáng)5G網(wǎng)絡(luò)安全防護(hù)，通信行業(yè)主管部門在5G安全指南等相關(guān)要求中，提出加強(qiáng)5G安全技術(shù)和產(chǎn)品研發(fā)，推動(dòng)內(nèi)生安全、零信任安全、動(dòng)態(tài)隔離等技術(shù)研究和實(shí)踐落地。針對(duì)5G核心網(wǎng)、邊緣計(jì)算平臺(tái)等5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施，推動(dòng)容器安全、微隔離等虛擬化安全防護(hù)產(chǎn)品及5G空口和信令防護(hù)檢測(cè)等安全產(chǎn)品的部署應(yīng)用，提升5G內(nèi)生安全能力和5G網(wǎng)絡(luò)威脅的感知能力。下一步，內(nèi)生安全理念應(yīng)成為全行業(yè)的統(tǒng)一行動(dòng)，加快推動(dòng)5G內(nèi)生安全成為行業(yè)標(biāo)準(zhǔn)并在現(xiàn)網(wǎng)落地，將零信任、動(dòng)態(tài)身份評(píng)估、微隔離等縱深防護(hù)思路應(yīng)用到5G場(chǎng)景，充分結(jié)合AI、SOAR等新技術(shù)、新模式，探索建設(shè)5G網(wǎng)絡(luò)安全能力新平面，實(shí)現(xiàn)5G網(wǎng)絡(luò)安全能力向垂直行業(yè)賦能。

內(nèi)生安全作為一種理念，不僅適用于5G網(wǎng)絡(luò)，還應(yīng)推廣運(yùn)用到整個(gè)電信網(wǎng)絡(luò)。內(nèi)生安全應(yīng)作為電信網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)能力的重要手段，可以在實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控”過程中發(fā)揮重要作用。