中興通訊正式發(fā)布了《5G行業(yè)應(yīng)用安全白皮書》。

白皮書中，中興通訊基于對(duì)安全領(lǐng)域長(zhǎng)期以來(lái)的技術(shù)積累以及對(duì) 5G 網(wǎng)絡(luò)的深刻洞察，分享了對(duì)于 5G 垂直行業(yè)應(yīng)用安全的一些觀點(diǎn)。

中興通訊認(rèn)為，5G 為垂直行業(yè)提供了更安全的智能網(wǎng)絡(luò)服務(wù)，從多個(gè)維度提升了安全特性；同時(shí)，通過(guò) 5G 基礎(chǔ)設(shè)施與垂直行業(yè)的典型業(yè)務(wù)特征相結(jié)合，以網(wǎng)絡(luò)與設(shè)備為中心，以可視性與可控性為基本框架，充分利用切片定制、能力開放、邊緣計(jì)算、APT（高級(jí)持續(xù)性威脅 Advanced Persistent Threat）防御、可信技術(shù)、動(dòng)態(tài)防御等創(chuàng)新平臺(tái)與技術(shù)，打造與垂直行業(yè)緊密融合的網(wǎng)絡(luò)安全長(zhǎng)城，完成對(duì) 5G 行業(yè)應(yīng)用網(wǎng)絡(luò)的深層次加固。

中興通訊《5G行業(yè)應(yīng)用安全白皮書》全文如下：

5G行業(yè)應(yīng)用安全挑戰(zhàn)

5G 網(wǎng)絡(luò)的高帶寬、低時(shí)延、海量連接等特性大幅提升了全社會(huì)各產(chǎn)業(yè)的信息化水平。同時(shí)，5G 網(wǎng)絡(luò)提供的靈活定制、彈性部署、多層次隔離等智能網(wǎng)絡(luò)能力，推動(dòng)了互聯(lián)網(wǎng)創(chuàng)新從量變到質(zhì)變的轉(zhuǎn)型。未來(lái) 5G 將深入垂直行業(yè)，促進(jìn)產(chǎn)業(yè)創(chuàng)新與經(jīng)濟(jì)增長(zhǎng)，影響我們的生活方式，提升全社會(huì)的福祉。

自 2015 年以來(lái)，全球每年有超過(guò) 300 起大型工業(yè)網(wǎng)絡(luò)安全事件發(fā)生，企業(yè)與公眾開始越來(lái)越多地關(guān)注此類事件，并從安全、財(cái)產(chǎn)、經(jīng)濟(jì)、聲譽(yù)等方面評(píng)估可能產(chǎn)生的影響。隨著 5G 的規(guī)模商用以及在垂直行業(yè)中的普及，行業(yè)應(yīng)用將會(huì)吸引更多的惡意攻擊。諸如工業(yè)制造、能源、交通、金融等關(guān)鍵領(lǐng)域的高價(jià)值資產(chǎn)將成為首要的攻擊目標(biāo)，并可能給國(guó)家、社會(huì)和企業(yè)帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)。

在 5G 時(shí)代，傳統(tǒng)互聯(lián)網(wǎng)的方法論、設(shè)計(jì)范式、軟件技術(shù)仍會(huì)繼續(xù)在垂直行業(yè)使用，用于攻擊的漏洞、工具與手段都能夠直接對(duì)行業(yè)資產(chǎn)產(chǎn)生威脅。5G 引入切片、NFV（網(wǎng)絡(luò)功能虛擬化 Network Function Virtualization）、MEC 等新技術(shù)以支持智能網(wǎng)絡(luò)服務(wù)的定制，也使得網(wǎng)絡(luò)的形態(tài)、生態(tài)、商業(yè)模式、信任與風(fēng)險(xiǎn)關(guān)系呈現(xiàn)出更加動(dòng)態(tài)與復(fù)雜的態(tài)勢(shì)。集中編排與軟件定義能力的運(yùn)用，在為網(wǎng)絡(luò)帶來(lái)新的中心化特征的同時(shí)，也對(duì)安全性帶來(lái)了新的挑戰(zhàn)。

5G 時(shí)代的行業(yè)應(yīng)用網(wǎng)絡(luò)，必須能夠提供不低于傳統(tǒng)專網(wǎng)的安全性與可靠性，才能夠勝任高價(jià)值資產(chǎn)的承載，同時(shí)，需要充分靈活地應(yīng)用 5G 基礎(chǔ)設(shè)施以及圍繞 5G網(wǎng)絡(luò)的創(chuàng)新所帶來(lái)的新技術(shù)與新能力，使垂直行業(yè)的安全充分受益。

安全的5G網(wǎng)絡(luò)能力

可定制化安全

5G 網(wǎng)絡(luò)進(jìn)一步滿足了人們對(duì)超高帶寬的增強(qiáng)移動(dòng)互聯(lián)需求（例如 AR、VR、8K 視頻通訊等），同時(shí)實(shí)現(xiàn)了由消費(fèi)類網(wǎng)絡(luò)向行業(yè)應(yīng)用網(wǎng)絡(luò)的轉(zhuǎn)型（例如遠(yuǎn)程醫(yī)療、無(wú)人駕駛、智能制造等）。行業(yè)應(yīng)用對(duì)網(wǎng)絡(luò)時(shí)延、傳輸速率、連接數(shù)等存在差異化的要求，而傳統(tǒng)移動(dòng)網(wǎng)絡(luò)受限于網(wǎng)絡(luò)架構(gòu)、交付方式、運(yùn)維模式等因素，已經(jīng)難以滿足不同行業(yè)的應(yīng)用需求。因此，5G 基于 SDN（軟件定義網(wǎng)絡(luò) Software Dened Network）／NFV 等新技術(shù)，重構(gòu)了全新的網(wǎng)絡(luò)架構(gòu)，以更好地支撐多樣化的行業(yè)應(yīng)用場(chǎng)景。

作為網(wǎng)絡(luò)必要組成部分的安全體系，傳統(tǒng)移動(dòng)網(wǎng)絡(luò)采用了固化的安全防御架構(gòu)，難以滿足行業(yè)應(yīng)用對(duì)于安全的差異化和可擴(kuò)展性需求，安全能力只能依靠打補(bǔ)丁方式進(jìn)行擴(kuò)展加固，導(dǎo)致移動(dòng)網(wǎng)絡(luò)無(wú)法及時(shí)使用新的安全技術(shù)、防御新型安全威脅。不同的行業(yè)應(yīng)用存在共性的安全需求，同時(shí)各行業(yè)應(yīng)用又存在特殊安全防護(hù)要求，5G 基于網(wǎng)絡(luò)切片技術(shù)提供了智能網(wǎng)絡(luò)服務(wù)，并基于安全能力開放機(jī)制提供了靈活的安全架構(gòu)，既可實(shí)現(xiàn)共性安全的統(tǒng)一考慮，又能兼顧具體行業(yè)應(yīng)用所需安全機(jī)制的靈活定制。

相對(duì)于傳統(tǒng)企業(yè)專網(wǎng)，基于切片的可定制化 5G 網(wǎng)絡(luò)能夠?yàn)榇怪毙袠I(yè)提供更安全的、端到端保障的網(wǎng)絡(luò)服務(wù)與能力。5G 網(wǎng)絡(luò)應(yīng)用于垂直行業(yè)，不僅僅提供基礎(chǔ)的安全網(wǎng)絡(luò)接入能力，還會(huì)開放邊緣 DC（數(shù)據(jù)中心 Data Center）、核心DC 中的各種基礎(chǔ)設(shè)施能力，其安全架構(gòu)不但需要考慮差異化的業(yè)務(wù)需求，還需要考慮網(wǎng)絡(luò)與業(yè)務(wù)融合特殊場(chǎng)景的業(yè)務(wù)需求，以進(jìn)行安全架構(gòu)的定制和加固?？啥ㄖ?5G 網(wǎng)絡(luò)安全架構(gòu)如下圖所示。

圖 1 5G 網(wǎng)絡(luò)安全定制框架

端到端網(wǎng)絡(luò)安全

更高的網(wǎng)絡(luò)安全接入標(biāo)準(zhǔn)

移動(dòng)通信網(wǎng)作為商業(yè)化的電信網(wǎng)絡(luò)，在標(biāo)準(zhǔn)設(shè)計(jì)之初，就充分考慮了網(wǎng)絡(luò)接入的移動(dòng)性、可靠性和安全性，通過(guò) SIM（用戶識(shí)別卡 Subscriber Identity Module）／USIM（全球用戶識(shí)別卡 Universal SubscriberIdentity Module）等身份標(biāo)識(shí)、認(rèn)證授權(quán)、訪問(wèn)控制、信道與承載加密等方式，提供了良好的安全通信能力。

5G 網(wǎng)絡(luò)繼承了 4G 的安全特性，同時(shí)對(duì)認(rèn)證授權(quán)、隱私保護(hù)、數(shù)據(jù)傳輸安全、網(wǎng)絡(luò)架構(gòu)和互通安全等進(jìn)行了優(yōu)化或增強(qiáng)。相對(duì) WiFi、企業(yè)專網(wǎng)等非 3GPP 接入機(jī)制，5G 提供了更大范圍的移動(dòng)性，也為用戶提供了更健壯的業(yè)務(wù)安全、更嚴(yán)密的數(shù)據(jù)保護(hù)及更強(qiáng)的用戶隱私保護(hù)。

5G 提供了基于統(tǒng)一認(rèn)證框架的雙向認(rèn)證能力，使終端和網(wǎng)絡(luò)都能夠確認(rèn)對(duì)方身份的合法性。這樣不僅能避免非法用戶接入，也能避免利用偽基站、偽熱點(diǎn)進(jìn)行詐騙或者竊取用戶信息。

多層次的安全隔離

傳統(tǒng)局域網(wǎng)與互聯(lián)網(wǎng)的設(shè)計(jì)初衷是開放性，這也是導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題頻發(fā)的一個(gè)根源。未來(lái)的產(chǎn)業(yè)互聯(lián) 網(wǎng)將會(huì)連接工業(yè)、金融、能源、交通等重要領(lǐng)域的高價(jià)值資產(chǎn)，5G 網(wǎng)絡(luò)切片不但能夠?yàn)椴煌?SLA（服務(wù) 等級(jí)協(xié)議 Service Level Agreement）的業(yè)務(wù)提供網(wǎng)絡(luò)架構(gòu)的定制，還能夠提供多種安全級(jí)別的網(wǎng)絡(luò)隔 離能力，為終端提供端到端的安全通道。這樣，即使某一終端被攻破，惡意程序也很難在 5G 網(wǎng)絡(luò)中橫 向傳播，使得攻擊的擴(kuò)散勢(shì)頭以及導(dǎo)致的損失得到有效的遏制。

更強(qiáng)的安全審計(jì)能力

任何通過(guò)不同接入方式接入到 5G 網(wǎng)絡(luò)的終端，都需要進(jìn)行統(tǒng)一的認(rèn)證與管理，并對(duì)設(shè)備使用網(wǎng)絡(luò)的情況進(jìn)行記錄。同時(shí)，還可以通過(guò)設(shè)備管理平臺(tái)建立并維護(hù)各行業(yè)資產(chǎn)，及業(yè)務(wù)、部門、組織等實(shí)體之間的權(quán)屬與管理關(guān)系，當(dāng)發(fā)生異常行為時(shí)，可以快速追溯終端使用者的身份和行為軌跡，強(qiáng)化了所有者的管理責(zé)任，增加了攻擊者的法律風(fēng)險(xiǎn)，有效降低攻擊的概率。

高水準(zhǔn)的供應(yīng)鏈

5G 網(wǎng)絡(luò)各種軟件、硬件以及服務(wù)的供應(yīng)商與合作伙伴，優(yōu)先選擇具備強(qiáng)大實(shí)力的提供商，其內(nèi)部安全治理水平處于業(yè)界領(lǐng)先水準(zhǔn)，可以從源頭保障 5G 網(wǎng)絡(luò)的長(zhǎng)期安全，并可簡(jiǎn)化、加快行業(yè)客戶從設(shè)備認(rèn)證、選型、采購(gòu)到部署的全過(guò)程。

專業(yè)化的運(yùn)維

很多安全事件的根本原因都是因?yàn)椴粚I(yè)的管理與運(yùn)維導(dǎo)致。相對(duì)于企業(yè)專網(wǎng)中各種中間設(shè)備的多樣性、暴露性以及管理的分散性等隱患，5G 提供了一站式的彈性網(wǎng)絡(luò)安全能力，并在運(yùn)行期間能夠提供長(zhǎng)期專業(yè)化的網(wǎng)絡(luò)智能維護(hù)體系與應(yīng)急響應(yīng)體系，最大程度地減少由于企業(yè)自建專網(wǎng)等帶來(lái)的安全運(yùn)維風(fēng)險(xiǎn)。

端到端的全網(wǎng)安全治理

面向全網(wǎng)的端到端安全治理體系，能對(duì)5G網(wǎng)絡(luò)的持續(xù)、高安全運(yùn)行提供保障。受益于5G網(wǎng)絡(luò)全業(yè)務(wù)運(yùn)營(yíng)、廣覆蓋的優(yōu)勢(shì)，5G 網(wǎng)絡(luò)能夠?yàn)榇怪毙袠I(yè)網(wǎng)絡(luò)安全提供端到端的信任機(jī)制，使得為行業(yè)用戶建立更加便利的專用的網(wǎng)絡(luò)切片成為可能，有利于 5G 行業(yè)應(yīng)用網(wǎng)絡(luò)的大規(guī)模快速部署。

面向未來(lái)的安全演進(jìn)

不同于 IT 系統(tǒng)的短生命周期的特點(diǎn)，OT 技術(shù)的使用壽命往往是 IT 系統(tǒng)的 10 倍以上，其控制系統(tǒng)及補(bǔ)丁也有很低的更新頻率。5G作為智能化的網(wǎng)絡(luò)平臺(tái)，具備面向未來(lái)的多種接入方式融合與演進(jìn)能力，例如：特殊場(chǎng)景下的衛(wèi)星接入手段、向 6G 及后續(xù)網(wǎng)絡(luò)的平滑演進(jìn)能力等。這種安全演進(jìn)能力，對(duì)于垂直行業(yè)長(zhǎng)期保持業(yè)務(wù)連續(xù)性具有重要的意義。

隨著技術(shù)的發(fā)展，5G 網(wǎng)絡(luò)會(huì)不斷平滑引入各種新技術(shù)、新安全能力以進(jìn)一步加固網(wǎng)絡(luò)安全，對(duì)垂直行業(yè)業(yè)務(wù)不會(huì)造成影響和中斷。同時(shí)，5G 網(wǎng)絡(luò)還可以利用自己的核心位置，集中收集、分析各種面向垂直行業(yè)的威脅情報(bào)，并在垂直行業(yè)用戶之間進(jìn)行共享，提升安全事件響應(yīng)速度。

邊緣定義安全

工控設(shè)備通常具有高度定制化、資源有限、難以升級(jí)維護(hù)、長(zhǎng)壽命、抗攻擊能力差等特點(diǎn)，必須依賴各種外部防御手段從多個(gè)層次為設(shè)備資產(chǎn)提供深度的防御能力。另外，由于安全邊界收縮到設(shè)備側(cè)，安全控制需要從網(wǎng)絡(luò)邊緣開始加固，進(jìn)行近源控制與防御，減小資產(chǎn)攻擊面。5G 為垂直行業(yè)帶來(lái)了新的能力平臺(tái)，通過(guò)結(jié)合行業(yè)應(yīng)用的特點(diǎn)（例如權(quán)屬關(guān)系與管理關(guān)系的相對(duì)統(tǒng)一、相對(duì)固定的覆蓋范圍等），5G 能夠從可控性、可視性等角度，采用多種新技術(shù)、新手段，基于邊緣從多個(gè)層次對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行定制化加固。

圖 2 5G 邊緣定義安全

安全可視性加固

威脅往往來(lái)自看不見的領(lǐng)域，獲取完整的 OT 資產(chǎn)列表并進(jìn)行長(zhǎng)期的持續(xù)監(jiān)控，是安全的基礎(chǔ)。5G 網(wǎng)絡(luò)結(jié)合 IoT（物聯(lián)網(wǎng) Internet of Things）設(shè)備管理平臺(tái)，可以對(duì)企業(yè)用戶、設(shè)備等不同類型終端，提供高效與精準(zhǔn)的資產(chǎn)發(fā)現(xiàn)與管理能力，支持對(duì)設(shè)備連網(wǎng)接入、狀態(tài)、流量及策略進(jìn)行精細(xì)化的、實(shí)時(shí)性的管控，并從網(wǎng)絡(luò)視角為企業(yè)自動(dòng)構(gòu)建完整的安全視圖。5G 網(wǎng)絡(luò)不僅可對(duì)行業(yè)協(xié)議數(shù)據(jù)進(jìn)行整型與規(guī)范化處理；還可將流量交給 APT 智能檢測(cè)模塊進(jìn)行更加深入的分析與監(jiān)控。

信息透明是信任的基礎(chǔ)，作為 5G 網(wǎng)絡(luò)的擁有者，運(yùn)營(yíng)商需要提供網(wǎng)絡(luò)服務(wù)與安全能力 SLA 的可視化，使得垂直行業(yè)用戶可以動(dòng)態(tài)實(shí)時(shí)地對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估，及時(shí)預(yù)測(cè)、發(fā)現(xiàn)并處置網(wǎng)絡(luò)安全事件。

安全可控性加固

5G 行業(yè)應(yīng)用網(wǎng)絡(luò)可以基于網(wǎng)絡(luò)切片，從站址資源、無(wú)線頻譜、覆蓋范圍、網(wǎng)絡(luò)接口、接入認(rèn)證等方面，對(duì)網(wǎng)絡(luò)的物理邊界進(jìn)行多維度的定制與約束，通過(guò)多種接入方式滿足網(wǎng)絡(luò)覆蓋需求。同時(shí)，可進(jìn)一步結(jié)合邊緣計(jì)算提供的定位能力，對(duì)終端的位置邊界進(jìn)行約束與管控。

5G 網(wǎng)絡(luò)支持面向機(jī)器的連接。機(jī)器的行為模式相對(duì)簡(jiǎn)單，流量模型可預(yù)測(cè)，同時(shí)由于網(wǎng)絡(luò)切片的使用，隔離了各種不同業(yè)務(wù)特征的網(wǎng)絡(luò)流量，因此，通過(guò)快速的學(xué)習(xí)和訓(xùn)練，AI 技術(shù)可以更加準(zhǔn)確地對(duì)垂直行業(yè)的流量與行為異常進(jìn)行檢測(cè)、回溯與根因分析，為垂直行業(yè)用戶提供實(shí)用的安全分析與告警，抵御各類 APT 攻擊。

網(wǎng)絡(luò)、流量與行為以及終端層面的安全防御，最終是為了完成對(duì)于核心業(yè)務(wù)的保護(hù)，而針對(duì)業(yè)務(wù)層以及用戶身份的攻擊，是最直接和快速的手段。由于管理與維護(hù)的疏忽、不可避免的系統(tǒng)漏洞，都會(huì)對(duì)系統(tǒng)造成重大的安全風(fēng)險(xiǎn)威脅。因此，管理上的可控性尤其顯得重要，需要從環(huán)境、硬件架構(gòu)、操作系統(tǒng)等層面基于特殊設(shè)計(jì)或者密碼學(xué)方法進(jìn)行加固。

靈活的5G安全架構(gòu)

多層次的隔離能力

5G 網(wǎng)絡(luò)切片借助于網(wǎng)絡(luò)虛擬化技術(shù)，在 5G 基礎(chǔ)設(shè)施上細(xì)分出功能完整的邏輯網(wǎng)絡(luò)，為垂直行業(yè)用戶提供專用的、安全的、差異化的網(wǎng)絡(luò)服務(wù)。

區(qū)別于傳統(tǒng)物理專網(wǎng)的私有性與封閉性，5G 網(wǎng)絡(luò)切片建立在開放環(huán)境下的虛擬化專用網(wǎng)絡(luò)，為行業(yè)用戶提供端到端的安全隔離機(jī)制和定制化的安全服務(wù)機(jī)制。5G 網(wǎng)絡(luò)切片安全涵蓋無(wú)線側(cè)、承載側(cè)和核心網(wǎng)側(cè)，除了提供傳統(tǒng)移動(dòng)網(wǎng)絡(luò)安全機(jī)制（例如接入認(rèn)證、接入層和非接入層信令安全、數(shù)據(jù)的加密和完整性保護(hù)等），還需要提供網(wǎng)絡(luò)切片之間端到端安全隔離機(jī)制，并根據(jù)用戶需要提供定制化的安全服務(wù)。

將切片技術(shù)應(yīng)用于垂直行業(yè)，每個(gè)切片承載著特定的行業(yè)應(yīng)用，彼此相互隔離，可在網(wǎng)絡(luò)層面實(shí)現(xiàn)精細(xì)化管理。首先通過(guò)細(xì)分基礎(chǔ)網(wǎng)絡(luò)，構(gòu)建不同粒度的切片域，顯著縮小被保護(hù)目標(biāo)的攻擊面；其次能夠按照切片實(shí)施更細(xì)粒度、更嚴(yán)格的安全策略和更有針對(duì)性的管理手段，按需提供不同等級(jí)的安全服務(wù)；最后切片之間采用嚴(yán)格的隔離措施，一方面能夠防范威脅向其他切片擴(kuò)散，控制威脅的影響范圍，另一方面也能夠控制故障和異常的影響范圍。

圖 3 5G 網(wǎng)絡(luò)切片端到端安全隔離模型

豐富的安全開放能力

為更好地支持多樣化行業(yè)應(yīng)用場(chǎng)景，應(yīng)對(duì)各種行業(yè)應(yīng)用對(duì)網(wǎng)絡(luò)服務(wù)的差異化需求，5G 網(wǎng)絡(luò)引入了網(wǎng)絡(luò)能力開放機(jī)制，使得垂直行業(yè)能夠以便捷與低成本的方式獲得更加貼合自身需求的網(wǎng)絡(luò)服務(wù)。

網(wǎng)絡(luò)功能虛擬化、服務(wù)化是實(shí)現(xiàn)網(wǎng)絡(luò)能力開放的前提。安全功能作為主要網(wǎng)絡(luò)功能，需要借鑒網(wǎng)絡(luò)功能虛擬化和服務(wù)化的思想，構(gòu)建服務(wù)化安全功能。通過(guò)對(duì)傳統(tǒng)安全功能的虛擬化，可設(shè)計(jì)出滿足不同安全需求的虛擬安全功能單元，例如防火墻、接入認(rèn)證、IPSec（網(wǎng)際協(xié)議安全 Internet Protocol Security）、SSL（安全套接層協(xié)議 Security SocketLayer） VPN（虛擬專用網(wǎng)絡(luò) Virtual Private Network）、入侵檢測(cè)、病毒檢測(cè)等。各虛擬安全功能單元通過(guò)按需調(diào)用不同基礎(chǔ)安全服務(wù)功能集來(lái)滿足安全功能可重構(gòu)、可裁剪的要求，實(shí)現(xiàn)安全功能服務(wù)化。

在切片編排部署過(guò)程中，能力開放引擎結(jié)合應(yīng)用的安全需求調(diào)用安全功能，使安全資源、網(wǎng)絡(luò)資源、數(shù)據(jù)資源在網(wǎng)絡(luò)切片中獨(dú)立提供，從而達(dá)到不低于傳統(tǒng)專網(wǎng)的安全保障和用戶體驗(yàn)。

圖 4 安全服務(wù)虛擬化體系架構(gòu)示意圖

基于開放的安全能力，行業(yè)用戶可以針對(duì)性地對(duì)切片內(nèi)的網(wǎng)絡(luò)安全功能按需重構(gòu)，使其更好地貼合網(wǎng)絡(luò)切片的業(yè)務(wù)特性。例如服務(wù)于車聯(lián)網(wǎng)（Vehicle to Everything：V2X）的低時(shí)延網(wǎng)絡(luò)切片，需要在網(wǎng)絡(luò)邊緣節(jié)點(diǎn)實(shí)例化一些必要的網(wǎng)絡(luò)功能，并選擇適應(yīng)低時(shí)延要求的認(rèn)證方法、加密算法和密鑰長(zhǎng)度，以便在時(shí)延約束下提供相應(yīng)的安全防護(hù)；對(duì)于服務(wù)于物聯(lián)網(wǎng)的網(wǎng)絡(luò)切片，可配置基本的控制面接入認(rèn)證功能、虛擬物聯(lián)網(wǎng)網(wǎng)關(guān)以及安全態(tài)勢(shì)感知系統(tǒng)。

多元化的邊緣計(jì)算安全

多接入邊緣計(jì)算技術(shù)（MEC）是使能 5G 業(yè)務(wù)多元化的核心技術(shù)之一。MEC 將服務(wù)能力和應(yīng)用推進(jìn)到網(wǎng)絡(luò)邊緣，部署位置更接近用戶，從而減少對(duì)傳輸網(wǎng)的帶寬壓力，大幅降低網(wǎng)絡(luò)時(shí)延，可滿足車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等低時(shí)延業(yè)務(wù)的需求。

5G 網(wǎng)絡(luò)通過(guò)用戶面功能（User Plane Function：UPF）下沉部署、靈活分流等功能，實(shí)現(xiàn)對(duì) MEC 的支持。MEC 平臺(tái)需要承載部分網(wǎng)絡(luò)功能和垂直行業(yè)應(yīng)用，如下圖所示：

圖 5 位于邊緣網(wǎng)絡(luò)的 MEC 平臺(tái)

由于部署的物理位置、網(wǎng)絡(luò)邊界和承載主體等方面的特殊性，使得行業(yè)客戶在使用 MEC 提供的服務(wù)時(shí)，特別關(guān)注行業(yè)數(shù)據(jù)資產(chǎn)的安全：

? 行業(yè)應(yīng)用和網(wǎng)絡(luò)功能共平臺(tái)部署時(shí)，網(wǎng)絡(luò)邊界模糊，如果缺乏信任、隔離等機(jī)制，容易滋生平臺(tái)內(nèi)部威脅（虛擬機(jī)逃逸、鏡像篡改、數(shù)據(jù)竊取等），增大了行業(yè)敏感數(shù)據(jù)資產(chǎn)泄露風(fēng)險(xiǎn)；

? 為了提升業(yè)務(wù)體驗(yàn)，縮短業(yè)務(wù)時(shí)延，通常使用用戶面?zhèn)鬏敼δ芟鲁痢⑿袠I(yè)服務(wù)接近用戶部署、安全機(jī)制輕量化等措施，可能導(dǎo)致資產(chǎn)數(shù)據(jù)在傳輸時(shí)面臨被竊取或被篡改的風(fēng)險(xiǎn)。

對(duì)此，需要從平臺(tái)層、網(wǎng)絡(luò)層和業(yè)務(wù)管理層等多個(gè)方面對(duì) MEC 進(jìn)行安全加固，確保行業(yè)數(shù)據(jù)資產(chǎn)傳輸、處理、存儲(chǔ)過(guò)程中的安全。

MEC 是一個(gè)多元系統(tǒng)，承載了移動(dòng)通信網(wǎng)絡(luò)功能、網(wǎng)絡(luò)能力開放服務(wù)以及行業(yè)應(yīng)用等多個(gè)系統(tǒng)，需要構(gòu)建有效的信任關(guān)系，為多系統(tǒng)的安全共存提供信任基礎(chǔ)。除了建立用戶、行業(yè)應(yīng)用及能力開放服務(wù)（如定位服務(wù)）之間的信任關(guān)系，還需要考慮構(gòu)建移動(dòng)終端、網(wǎng)絡(luò)切片與 MEC 平臺(tái)之間的信任。

MEC 平臺(tái)安全通過(guò)引入可信計(jì)算技術(shù)，從系統(tǒng)啟動(dòng)到上層應(yīng)用，逐級(jí)驗(yàn)證，構(gòu)建可信的 MEC 平臺(tái)。平臺(tái)內(nèi)部也需要?jiǎng)澐植煌墓δ苡?，如管理域、核心網(wǎng)域、基礎(chǔ)服務(wù)域、第三方應(yīng)用域等，加強(qiáng)域間隔離和訪問(wèn)控制。根據(jù)需要，可進(jìn)一步部署入侵檢測(cè)技術(shù)、異常流量分析、反 APT 技術(shù)等，對(duì)惡意軟件、惡意攻擊等行為進(jìn)行檢測(cè)，防止威脅橫向擴(kuò)展。

MEC 節(jié)點(diǎn)位于網(wǎng)絡(luò)邊緣，處于運(yùn)營(yíng)商控制較弱的開放網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)竊取、泄露的風(fēng)險(xiǎn)相對(duì)較高。為確保 MEC 上運(yùn)行和存儲(chǔ)的行業(yè)客戶數(shù)據(jù)資產(chǎn)安全，需要對(duì)使用 MEC 的各方的行為執(zhí)行認(rèn)證、授權(quán)、審計(jì)，對(duì)數(shù)據(jù)資產(chǎn)的所有權(quán)、使用權(quán)和運(yùn)維權(quán)進(jìn)行分權(quán)分域管理。在 MEC 部署及業(yè)務(wù)運(yùn)行過(guò)程中，必須對(duì) MEC 應(yīng)用可能涉及的數(shù)據(jù)進(jìn)行識(shí)別，包括用戶標(biāo)識(shí)、接入位置等，對(duì)安全要求高的數(shù)據(jù)需要采用加密方式存儲(chǔ)；對(duì)行業(yè)高價(jià)值資產(chǎn)數(shù)據(jù)，應(yīng)使用 IPSec／TLS（傳輸層安全Transport Layer Security） 等安全傳輸方式，避免傳輸過(guò)程中數(shù)據(jù)泄露或被篡改。對(duì)數(shù)據(jù)處理、分析和使用，需要服從當(dāng)?shù)財(cái)?shù)據(jù)隱私法律法規(guī)，結(jié)合數(shù)據(jù)操作對(duì)象的認(rèn)證、授權(quán)等方式規(guī)范數(shù)據(jù)處理，并對(duì)操作過(guò)程進(jìn)行記錄；如果涉及數(shù)據(jù)隱私，在使用之前需要對(duì)數(shù)據(jù)進(jìn)行脫敏處理。

端到端的數(shù)據(jù)安全保護(hù)

用戶數(shù)據(jù)在傳輸過(guò)程中存在被竊聽、篡改、泄露等安全威脅。為降低 5G 行業(yè)應(yīng)用中數(shù)據(jù)安全風(fēng)險(xiǎn)，5G 提供了更強(qiáng)壯的數(shù)據(jù)安全保護(hù)方法。

在機(jī)密性保護(hù)的密碼算法方面，5G 延用了 4G 所采用的 AES（高級(jí)加密標(biāo)準(zhǔn) Advanced Encryption Standard）、SNOW3G（3GPP 流密碼算法）、ZUC（祖沖之密碼算法）等算法，這些算法采用 128 位密鑰長(zhǎng)度，被業(yè)界證明是安全的。同時(shí)，為應(yīng)對(duì)將來(lái)量子計(jì)算可能對(duì)對(duì)稱秘鑰體系的影響，考慮采用更長(zhǎng)的安全秘鑰及更強(qiáng)的安全保護(hù)算法。為保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)間傳輸，5G 新增了安全邊緣保護(hù)代理功能（Security Edge Protection Proxies：SEPP）。SEPP 在運(yùn)營(yíng)商之間建立 TLS 安全傳輸通道，對(duì)需要保護(hù)的信息進(jìn)行機(jī)密性和完整性保護(hù)，有效防止數(shù)據(jù)在網(wǎng)間傳輸時(shí)被篡改或竊聽。

隨著科技的發(fā)展，偽基站對(duì)移動(dòng)網(wǎng)絡(luò)的危害越來(lái)越大，攻擊者可誘導(dǎo)行業(yè)用戶接入到偽基站以非法獲取用戶數(shù)據(jù)信息。5G將對(duì)基站廣播或者單播消息進(jìn)行安全保護(hù)，行業(yè)用戶在驗(yàn)證消息合法后再接入，避免接入到非法的偽基站造成數(shù)據(jù)泄露。

此外，5G 針對(duì)行業(yè)應(yīng)用中的數(shù)據(jù)產(chǎn)生、處理、使用等環(huán)節(jié)提供了完整的安全保護(hù)。在數(shù)據(jù)產(chǎn)生和處理過(guò)程中，可根據(jù)數(shù)據(jù)的敏感度進(jìn)行分類，建立不同安全域間的加密傳輸鏈路；根據(jù)不同的安全級(jí)別采用差異化的數(shù)據(jù)安全技術(shù)；對(duì)數(shù)據(jù)使用方進(jìn)行授權(quán)和驗(yàn)證，保證數(shù)據(jù)使用的目的和范圍符合安全策略；并對(duì)重要業(yè)務(wù)數(shù)據(jù)的使用進(jìn)行審計(jì)，最終為行業(yè)用戶提供數(shù)據(jù)的機(jī)密性和完整性保護(hù)。

先進(jìn)的數(shù)據(jù)隱私保護(hù)

5G 提供了保證數(shù)據(jù)機(jī)密性、完整性和可用性的相關(guān)防護(hù)技術(shù)并對(duì)數(shù)據(jù)全生命周期實(shí)施安全保護(hù)。數(shù)據(jù)隱私保護(hù)在此基礎(chǔ)上，進(jìn)一步防止個(gè)人隱私信息、重要敏感數(shù)據(jù)泄露。

在隱私保護(hù)技術(shù)上除了采用業(yè)界廣泛使用的數(shù)據(jù)脫敏技術(shù)之外，中興通訊首次將動(dòng)態(tài)數(shù)據(jù)脫敏等功能應(yīng)用到數(shù)據(jù)隱私保護(hù)中，可同時(shí)進(jìn)行動(dòng)態(tài)脫敏和數(shù)據(jù)過(guò)濾，解決了實(shí)時(shí)處理場(chǎng)景下的隱私保護(hù)難題。

圖 6 多種技術(shù)全面保護(hù)數(shù)據(jù)隱私

中興通訊提出了一種基于大數(shù)據(jù)引擎原生代碼的數(shù)據(jù)脫敏架構(gòu)，可以在不改變用戶請(qǐng)求邏輯及數(shù)據(jù)原始值的前提下，利用數(shù)據(jù)庫(kù)引擎自身的分布式處理能力，實(shí)現(xiàn)數(shù)據(jù)脫敏高性能處理。處理過(guò)程對(duì)用戶完全透明，用戶不感知數(shù)據(jù)保護(hù)過(guò)程，可實(shí)現(xiàn)無(wú)縫透明地敏感數(shù)據(jù)保護(hù)。

匿名化算法是目前數(shù)據(jù)安全領(lǐng)域的研究熱點(diǎn)之一，中興通訊提出了全新的基于 Spark 引擎的數(shù)據(jù)匿名化框架，使用Spark 分布式并行計(jì)算框架，重點(diǎn)考慮算法的并行性，同時(shí)支持 K－ 匿名化（K－anonymity），L－ 多樣性（L－diversity）、T– 近鄰 （T－closeness），支持單表億條記錄匿名化處理，適用于處理各類數(shù)據(jù)，算法通用性高，保證發(fā)布數(shù)據(jù)的真實(shí)性，有效防止鏈接攻擊，實(shí)現(xiàn)對(duì)各種數(shù)據(jù)的高效匿名化處理。

面向5G行業(yè)的 新型防御技術(shù)

除了傳統(tǒng)安全防護(hù)手段，5G 行業(yè)應(yīng)用還需要研究和引入新型網(wǎng)絡(luò)防御技術(shù)，不斷從多個(gè)維度增強(qiáng)網(wǎng)絡(luò)安全能力，為 5G 行業(yè)應(yīng)用的健康和持續(xù)發(fā)展提供多重保障。

智能化的高級(jí)持續(xù)性威脅防御

在眾多威脅形式中，破壞性較大的要數(shù)高級(jí)持續(xù)性威脅 APT。自 2010 年極光、震網(wǎng)攻擊發(fā)生以來(lái)，針對(duì)重要基礎(chǔ)設(shè)施攻擊事件層出不窮，也是 5G 行業(yè)應(yīng)用中面臨的最大挑戰(zhàn)。在 2019 年 12 月 1 日將正式實(shí)施的網(wǎng)絡(luò)安全等級(jí)保護(hù) 2．0 標(biāo)準(zhǔn)中，抗 APT 攻擊技術(shù)被列為確保行業(yè)網(wǎng)絡(luò)安全的必備測(cè)評(píng)項(xiàng)。

為應(yīng)對(duì) APT 攻擊對(duì) 5G 網(wǎng)絡(luò)乃至其相關(guān)行業(yè)用戶所帶來(lái)的安全威脅，中興通訊提出基于態(tài)勢(shì)感知理念的高級(jí)威脅防御方案，使 5G 及其行業(yè)應(yīng)用網(wǎng)絡(luò)具備高級(jí)威脅防御能力。APT 攻擊旨在干擾基礎(chǔ)設(shè)施運(yùn)行及破壞其敏感信息，其攻擊鏈分為偵查探測(cè)、滲透利用、命令控制、橫向移動(dòng)、數(shù)據(jù)泄露破壞等幾個(gè)過(guò)程。中興通訊的高級(jí)威脅防御方案，圍繞 APT 攻擊過(guò)程，基于行為檢測(cè)原理，從惡意軟件和異常流量?jī)蓚€(gè)角度出發(fā)，提供全面、智能化檢測(cè)機(jī)制，并將人工智能技術(shù)運(yùn)用于威脅檢測(cè)及事件關(guān)聯(lián)分析，提升威脅檢測(cè)準(zhǔn)確率，預(yù)測(cè)威脅態(tài)勢(shì)。

精細(xì)化的微分段技術(shù)

傳統(tǒng)網(wǎng)絡(luò)防御手段遵循邊界防御的思路，將防御重點(diǎn)放在網(wǎng)絡(luò)邊界上，以阻止網(wǎng)絡(luò)攻擊進(jìn)入內(nèi)網(wǎng)。隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)找不到清晰的邊界，惡意軟件通過(guò)各種渠道進(jìn)入內(nèi)網(wǎng)，在內(nèi)網(wǎng)通過(guò)主機(jī)到主機(jī)直接傳播，迅速擴(kuò)散。由于內(nèi)網(wǎng)流量控制手段有限，即使能發(fā)現(xiàn)入侵，到有效控制也需要一個(gè)漫長(zhǎng)的過(guò)程（如封端口、打補(bǔ)丁、升級(jí)病毒庫(kù)等）。

中興通訊提出的微分段技術(shù)，實(shí)現(xiàn)了更精細(xì)化的流量可視、威脅分析、安全管控及自動(dòng)響應(yīng)，保證了主機(jī)之間、虛擬機(jī)之間甚至進(jìn)程之間的流量得到嚴(yán)密管控。在 5G 行業(yè)應(yīng)用中，微分段以純軟件方式部署在云計(jì)算平臺(tái)上，作為安全管理系統(tǒng)的組成部分，為流量精細(xì)化管控和流量可視化等功能提供支持。安全管理系統(tǒng)根據(jù)每個(gè)應(yīng)用層功能的業(yè)務(wù)特性和管控要求形成精細(xì)化的安全策略，下發(fā)給底層的安全模塊，由安全模塊實(shí)施這些安全策略。同時(shí)，安全模塊根據(jù)需要采集流量日志，提交給安全管理系統(tǒng)，供安全管理系統(tǒng)進(jìn)一步進(jìn)行異常流量分析與診斷等操作。

動(dòng)態(tài)化的主動(dòng)防御

針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全被動(dòng)防御、易攻難守的局面，學(xué)術(shù)界提出了動(dòng)態(tài)主動(dòng)防御的思想，通過(guò)技術(shù)手段對(duì)被保護(hù)目標(biāo)的攻擊面實(shí)施持續(xù)性的動(dòng)態(tài)變換，迷惑攻擊者，從而增加攻擊者實(shí)施攻擊的難度和代價(jià)，降低其攻擊成功的概率，提高系統(tǒng)彈性和安全性。

基于動(dòng)態(tài)主動(dòng)防御的思想，中興通訊分別提出了動(dòng)態(tài)網(wǎng)絡(luò)防御方案和多版本編譯方案，前者應(yīng)用于網(wǎng)絡(luò)層，動(dòng)態(tài)變換被防護(hù)目標(biāo)的網(wǎng)絡(luò)參數(shù)，后者應(yīng)用于終端和服務(wù)器的軟件系統(tǒng)，部署異構(gòu)主機(jī)系統(tǒng)，從而構(gòu)建從主機(jī)到網(wǎng)絡(luò)的端到端的動(dòng)態(tài)防御體系。

動(dòng)態(tài)網(wǎng)絡(luò)防御方案

動(dòng)態(tài)網(wǎng)絡(luò)防御方案將動(dòng)態(tài)主動(dòng)防御思想應(yīng)用于 IP 網(wǎng)絡(luò)，重點(diǎn)保護(hù)行業(yè)用戶的業(yè)務(wù)服務(wù)器。動(dòng)態(tài)網(wǎng)絡(luò)防御方案通過(guò)改變網(wǎng)絡(luò)的通信參數(shù)，使得被防護(hù)目標(biāo)的攻擊面不斷隨機(jī)變化，讓攻擊者難以識(shí)別目標(biāo)節(jié)點(diǎn)或服務(wù)入口，無(wú)法有效偵測(cè)網(wǎng)絡(luò)拓?fù)湫畔⒑椭鳈C(jī)信息，從而阻止網(wǎng)絡(luò)攻擊行為的發(fā)生。

多版本編譯方案

多版本編譯采用安全的動(dòng)態(tài)編譯技術(shù)，對(duì)同源的軟件進(jìn)行動(dòng)態(tài)編譯，改變攻擊過(guò)程所依賴的系統(tǒng)規(guī)律，生成具有隨機(jī)、多樣性特征的版本，使可能的攻擊路徑呈現(xiàn)出很強(qiáng)的動(dòng)態(tài)性、異構(gòu)性、隨機(jī)性等不確定性特點(diǎn)，使攻擊者難以觀察和作出預(yù)測(cè)，增大了構(gòu)建基于漏洞和后門等的攻擊鏈難度與代價(jià)，從而在無(wú)需增加防御流程的前提下實(shí)現(xiàn)系統(tǒng)主動(dòng)防御功能。

行業(yè)應(yīng)用安全治理與評(píng)估

5G 網(wǎng)絡(luò)與垂直行業(yè)的融合，在打破 5G 網(wǎng)絡(luò)基礎(chǔ)設(shè)施的天然隔離屏障的同時(shí)，也使得行業(yè)客戶在使用 5G 網(wǎng)絡(luò)時(shí)增加了風(fēng)險(xiǎn)。5G 網(wǎng)絡(luò)一方面需要面向產(chǎn)業(yè)互聯(lián)網(wǎng)，重構(gòu)安全治理體系、評(píng)估體系和運(yùn)維體系，為行業(yè)用戶提供持續(xù)、可信、安全的網(wǎng)絡(luò)服務(wù)；另一方面，為了建立多條安全防線，還需要將行業(yè)客戶引入到 5G 網(wǎng)絡(luò)的治理工作中來(lái)，為客戶提供深層次治理能力。

5G 設(shè)備供應(yīng)商是 5G 供應(yīng)鏈重要的組成部分，其安全治理水平?jīng)Q定了 5G 網(wǎng)絡(luò)的安全基礎(chǔ)。中興通訊作為領(lǐng)先的 5G 綜合解決方案提供商，深刻理解消費(fèi)者、客戶、政府及相關(guān)組織對(duì)網(wǎng)絡(luò)安全方面的關(guān)切與重視，構(gòu)筑了一流的安全治理體系，從多角度保障產(chǎn)品及服務(wù)的安全性，實(shí)現(xiàn)產(chǎn)品和服務(wù)端到端的安全交付，為客戶提供端到端產(chǎn)品和服務(wù)的安全保障。同時(shí)，中興通訊秉承透明、開放、信任、合作的理念，堅(jiān)持實(shí)行持續(xù)的、全面的安全審計(jì)，采用了面向產(chǎn)品全生命周期的數(shù)據(jù)保護(hù)方法，并與全球知名第三方安全評(píng)測(cè)與認(rèn)證機(jī)構(gòu)合作，對(duì)產(chǎn)品與服務(wù)的安全性進(jìn)行獨(dú)立測(cè)試與評(píng)估。中興通訊已在國(guó)內(nèi)及海外多地籌建安全實(shí)驗(yàn)室，客戶與獨(dú)立評(píng)測(cè)機(jī)構(gòu)可對(duì)中興通訊提供的 5G 產(chǎn)品進(jìn)行更加透明的檢視與審查，以進(jìn)一步提升對(duì)中興通訊 5G 產(chǎn)品與服務(wù)安全性的信心。

隨著 IT 與 OT 的融合，OT 安全成為垂直行業(yè)安全的核心。不同于 IT 領(lǐng)域，OT 領(lǐng)域有自己的運(yùn)營(yíng)模式與行業(yè)特征，對(duì)于 OT 資產(chǎn)的安全防御，從供應(yīng)鏈安全到系統(tǒng)安全設(shè)計(jì)、安全運(yùn)營(yíng)以及事件響應(yīng)，都需要針對(duì)性的治理措施。隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2．0時(shí)代，傳統(tǒng)網(wǎng)絡(luò)安全、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、云計(jì)算、大數(shù)據(jù)等在內(nèi)所有的新技術(shù)都將納入監(jiān)管，因此需要運(yùn)用并發(fā)展新的安全模型和安全方法論來(lái)支撐構(gòu)建更加完善的垂直行業(yè)安全治理體系。

未來(lái)及展望

隨著 5G 商業(yè)化進(jìn)程加速，5G 網(wǎng)絡(luò)和垂直行業(yè)深度結(jié)合，新型業(yè)務(wù)場(chǎng)景不斷涌現(xiàn)，新技術(shù)大規(guī)模使用，將對(duì)網(wǎng)絡(luò)與信息安全提出更多新的挑戰(zhàn)。中興通訊將繼續(xù)以安全、合規(guī)為基石，不斷完善產(chǎn)品安全治理體系，加強(qiáng)安全技術(shù)和方法的研究，強(qiáng)化產(chǎn)品安全競(jìng)爭(zhēng)力。同時(shí)，中興通訊將持續(xù)與行業(yè)客戶、合作伙伴、政府、運(yùn)營(yíng)商、標(biāo)準(zhǔn)組織開展更加緊密的合作，推動(dòng)端到端的行業(yè)安全實(shí)踐，驅(qū)動(dòng)安全能力不斷創(chuàng)新，從容應(yīng)對(duì)未來(lái)的安全挑戰(zhàn)，持續(xù)地提供安全可信的產(chǎn)品和服務(wù)，以滿足新技術(shù)、新應(yīng)用、新模式的安全保障需求。

縮略語(yǔ)

參考文獻(xiàn)

［1］ 3GPP TS 33．501． Security Architecture and Procedures for 5G System［S］， 3GPP． 

［2］ 5G－ENSURE＿D2．7 Security Architecture［R］， 5GPPP． 

［3］ ETSI GS MEC－002． MEC Technical Requirements［S］， ETSI． 

［4］ IMT－2020 5G Network Security Requirement ＆ Architecture［R］， IMT－2020． 

［5］ GTI 5G Network Security Consideration［R］， GTI 

［6］ ZHAO Fuchuan， WEN Jianzhong． Slicing Packet Network Infrastructure and KeyTechnologies for 5G Mobile Backaul［J］， ZTE TECHNOLOGY，2018．8． 

［7］ Recommendation ITU－T X．rdmase： Requirements and Guidelines for DynamicMalware Analysis in a Sandbox Environment［R］， ITU－T． 

［8］ 陸平 ， 李建華 ， 趙維鐸 ． 5G 在垂直行業(yè)中的應(yīng)用 ［J］． 中興通訊技術(shù) ， 25（1）：67－74． DOI：10．12142／ZTETJ．20190111 

［9］ 5G 信息安全白皮書 ［R］． 未來(lái)移動(dòng)通信論壇 ， 2017