陈三强 乔思远 罗海龙 张晓兵 钟君毅

奇安信科技集团股份有限公司 北京 100044

引言

近年来我国致力于加快5G建设，5G应用融入各行各业，为千行百业的数字化转型注入新动能。5G与垂直行业的融合创新发展，将推动数字中国、智慧社会建设，加速中国新型工业化进程，为中国经济发展注入新动能。然而5G在与垂直行业深度融合的同时，也带来了更加严峻的安全挑战。

国际知名咨询机构Gartner[1]提出5G时代的安全策略应包括纵深防御、持续性及自适应、以及零信任，如图1所示。其中纵深防御涉及整体安全协调，端到端系统的安全和更高程度的安全自动化；持续优化和自适应涉及自适应风险决策，以及持续的透明度与评估；零信任是通过对实时用户认证与设备状态判断，以及通过软件定义边界与微隔离的手段，构建新型的信任模型和管理方式，满足任何设备随时随地访问应用和服务的安全需要。

图1 Gartner 5G安全策略

本文参考Gartner提出的5G安全理念，从新架构、新技术、新业务角度全面分析面向垂直行业的5G专网中存在的安全风险，提出了一套面向垂直行业的“纵深防御+零信任防护+深度安全运营”的5G专网安全解决方案思路。

1 面向垂直行业的5G专网安全风险分析

5G网络向网元虚拟化、架构开放化、编排智能化的方向演进发展，为5G专网服务能力的灵活化和定制化提供了技术上的保障，5G专网根据网络时延、安全隔离度、网络可靠性等差异化的能力，满足不同的应用场景的定制化通信服务需求。根据行业用户对公共网络的安全隔离程度、时延等要求的不同，5G专网主要可分为以下三种类型[2]，如图2所示。

图2 5G专网类型

1)独立专网：与5GC公网完全独立，在企业园区内建设专用基站，使用专用频率，部署园区定制5G核心网和专用园区级UPF，根据业务需求，提供专属无线网络，最大程度上保障时延、带宽、安全性等各项承载要求，一般面向对安全性要求非常高的行业用户。

2)混合专网：根据业务需求，将UPF、MEC等核心网网元下沉至边缘机房或园区，同时对业务覆盖区域增强无线网络覆盖强度，提升业务承载能力，一般面向有数据不出园区和低时延等要求的行业用户。

3)虚拟专网：共享公网的基础设施，通过QoS、切片、DNN等服务的方式，将终端接入专用标识的客户内网，一般面向对安全性要求相对稍低的行业用户。

本文以“混合专网”的部署方式作为典型场景，以运营商网络作为边界，将5G专网安全威胁分为域外安全威胁和域内安全威胁两种。

1.1 5G专网域外的安全风险分析

5G专网域外的安全风险，如图3所示。

图3 5G专网域外安全风险

1)终端安全威胁：垂直行业会用到大量的物联网设备，总量大、计算能力低，具有突发性的网络接入特征，是威胁入侵的重点。终端面临的威胁主要包括终端被窃取、伪造；系统存在漏洞，被植入恶意程序；无人维护的物联网终端易受到非法控制；非法终端直接或通过CPE间接接入5G网络，攻击园区业务系统；SIM卡被插放到恶意终端上，带来终端认证鉴权的失效；终端非法接入和访问企业专网，造成敏感数据的泄露等。

2)空口安全威胁：空口指用户终端和基站设备间的空中无线信号传播，安全威胁主要表现在对用户数据的窃取和篡改；制造空口信令风暴，利用DDoS攻击拒绝用户接入；伪基站安全风险以及空口恶意干扰等安全威胁。

3)运维管理安全威胁：主要表现为运维管理系统可能会受到系统入侵、非授权访问或越权访问的风险，篡改、泄露管理信息；合法用户进行恶意操作；以及遭受web攻击(SQL注入等)，恶意软件植入等安全威胁。

4)行业应用安全威胁：行业应用侧面临用户数据的泄露、篡改；DDoS攻击使数据业务服务被拒绝；通过能力开放API进行非授权访问等安全威胁。

1.2 5G专网域内的安全风险分析

5G专网域内的安全风险，如图4所示。

图4 5G专网域内安全风险

1)SBA架构威胁：主要包括NRF可能被进行DoS攻击导致服务无法被注册发现的风险；攻击者假冒NF接入核心网网络，进行非法访问；NF间传输通信数据被窃听和篡改的风险；利用业界公开已有的HTTPS协议漏洞进行攻击；切片非法接入、跨切片的攻击等威胁。

2)网元间接口、网元内模块间安全威胁：核心网网元间或网元内模块间可能存在传输数据被窃听、篡改，以及非法访问网元、网元内模块的风险。

3)组网安全及下沉网元安全威胁：相比运营商机房完善的物理安全措施，专网设备部署在相对不完全的物理环境，管理控制能力减弱，更容易遭受设备物理攻击，如攻击者非法访问物理服务器的I/O接口，获得敏感信息；下沉5G网络设备部署在客户机房，存在仿冒、非授权访问等风险。

4)虚拟化网络功能安全：虚拟化模糊了传统网络边界，通过物理隔离部署的网络安全措施不再适用。容器或虚机镜像可能会被恶意篡改，攻击者利用Host OS或虚拟化软件漏洞发起攻击；隔离不当会造成资源越权访问、非法授权控制的风险，如利用容器或虚机逃逸来攻击主机或主机上的其他容器和虚机，利用低防护能力的切片作为攻击跳板攻击其他切片；此外开源软件的使用也会引入大量的安全漏洞。

5)MEC安全威胁：MEC应用存在App的越权访问，App间资源抢占的安全风险，影响其他App的正常使用；在隔离控制不当的情况下，可能存在恶意App对MEC平台或UPF的攻击，进而影响5G核心网；NF/App镜像包可能会被病毒和木马感染，以及被恶意篡改；UPF与MEC的一体机形态则存在资源抢占、横向攻击的风险，导致UPF的功能和性能受到影响；MEP可能会遭受DDoS攻击，进而影响MEP的可用性，以及存在越权运维管理，滥用资源的风险。

6)流量安全威胁：信令面和媒体面的数据存在被非法拦截和窃听，流量数据被恶意伪造，以及利用畸形报文进行流量攻击的风险。

2 面向垂直行业的5G专网安全需求分析

5G网络所面临的威胁和挑战与4G基本一致，但新技术、新架构、新业务也给5G网络带来了全新的安全挑战。5G网络的安全需求可归纳为如下三种类型。

1)新架构带来的网络演进的安全需求：主要是指5G网络自身安全架构的延续和增强[3-4]，包括终端入网的认证鉴权增强、5G网元交互流程安全、无线空口的机密性、完整性、可用性等，这部分内容在3GPP安全标准中已有相应的安全解决方案进行了讨论和解决，属于5G自有的安全机制。

2)新技术带来的IT演进的安全需求：5G引入了各种新技术，加速了IT与CT的融合，同时也将传统IT领域的安全问题引入了CT领域，如云化架构在5G中的广泛使用，需要考虑主机安全、虚拟化安全、容器安全以及计算资源资产的安全使用。

3)新业务带来的业务演进的安全需求：5G与垂直应用场景相融合，安全需求的范畴有了更大的突破和延伸，ToB场景下的eMBB、mMTC、uRLLC面临个性化和差异性的安全需求，需要充分考虑网络切片、边缘计算等5G自身特点，基于业务特点满足安全的需要。

在以上3个方面中，3GPP安全标准更多的是从网络演进的安全角度进行了自有安全机制的增强，但在IT演进和业务演进的方面，5G自有的安全机制还无法完全覆盖和保障垂直行业5G安全的落地和应用，在5G自有的安全机制背景下，还需要从多个维度进行安全能力的补充和提升[5-6]，如表1所示。

表1 5G专网安全需求分析

3 面向垂直行业的5G专网安全解决方案研究

3.1 5G专网安全框架研究

内生安全最早源于生物领域的生物免疫系统，后被借鉴和延续到科技领域、IT领域、CT领域。内生安全能够为网络提供一个全新的安全理念乃至安全范式，启发以“向内转、向内思考”的视角来重新认知和看待网络安全问题。内生安全是网络的一种综合能力，这个能力由一系列安全能力构成，这些安全能力共同协作构成自感知、自适应、自生长的网络免疫体系。它要求安全与网络系统的设计与建设同步进行，同时能够在网络运行中进行适应和变化，随系统业务的提升而提升，最终来持续保障网络及业务和数据的安全[7]。

基于“内生安全”的理念，面向垂直行业的5G专网需要结合不同行业用户业务场景的差异性，充分考虑其对安全需求侧重点的不同，基于行业场景确定相应的安全建设思路。

本文以组件化的安全技术能力为基础，提出了一套面向垂直行业5G专网的安全技术能力框架模型，形成10大增强安全技术能力组件，如图5所示，一是以“纵深防御”为核心的基础安全、终端安全、核心网流量安全、MEC安全、NFV虚拟化安全、以及企业侧的云数据中心基础架构安全和业务系统安全；二是以“零信任”为核心的零信任5G安全接入；三是以持续深度“安全运营”为核心的5G安全测评服务和安全运维管理。该模型相比Gartner的框架做了更合理的分层梳理，清晰地描述出5G自有的安全机制与5G增强安全技术能力的关系，形成“能力互补”，可为垂直行业构建覆盖“端、边、云、网”的5G专网安全建设提供有效的参考。

组件化的安全技术能力框架，是将网络安全技术能力映射成可执行、可建设的网络安全技术能力组件的重要工具，组件化的安全技术能力能够在安全能力解耦的基础上形成不同的安全技术组件，根据不同的场景需求以快速搭建个性化、针对性的组件。在实际应用中，将安全技术能力组件与信息化组件进行融合，使安全技术能力对信息化能力进行完整的覆盖。

如图5所示，蓝色部分为5G基础的安全能力，当工作场景、安全保障目标与传统公众通信网络相同时，通过继承当前通信网络安全保障技术即可满足，通常由运营商提供，这里包括了3GPP定义的5G自有安全机制；而红色部分的安全能力，主要是为应对行业应用场景、高资产价值带来的安全风险，在基础能力之上，通过增强的安全能力才能满足，需要垂直行业客户结合自身的业务需求进行重点规划和建设。本文重点讨论5G专网部分的安全解决方案，因此图5企业侧部分的安全不做重点论述。

图5 5G专网安全框架

3.2 5G专网安全技术能力研究

1)基础安全技术能力

一是物理安全。在公网专网场景中，可能会以UPF、UPF+SMF、UPF+AMF+SMF等形态下沉，这些网元部署在地市甚至是客户园区层面，需要做好网元自身的安全加固与防护，确保物理I/O的可信接入。同时，根据国家等保相关要求，MEP以及云侧MEC业务管理平台所在机房应满足其所承载MEC业务的等级保护要求。运营商应对客户侧机房提出物理环境要求，同时为降低数据泄露风险，敏感数据不应在本地存储。另外，下沉网元设备应具备防拆、防盗、防篡改等物理安全保护机制，采用具备相关功能的安全机柜来提高物理环境安全。

二是组网安全。网络按照流量类型划分为管理平面、业务平面、存储平面，不同平面间流量采用物理隔离，保证从物理层面互不干扰，同一平面不同功能接口之间进行子网划分，进行逻辑隔离。根据5G网络组网架构、网络功能及部署方式，5G专网可划分为用户终端域、无线接入域、核心网域、核心用户域、支撑管理域，边缘计算域、企业业务域等几个大的安全域，如图6所示。

图6 5G网络安全域

根据与互联网连接暴露程度以及自身安全级别，业务节点应在安全域下继续划分安全子域，不同安全子域在计算、存储、网络等资源上应进行隔离，并在域间采用防火墙、ACL等措施实施访问控制。应加强控制管理平面的访问控制，仅允许指定管理网元访问管理平面端口，降低非授权接入的安全风险。

三是边界安全。不同的安全域之间需设置边界防护和安全隔离措施，采用部署防火墙、入侵防御、防病毒网关等方式来实现，对跨域互联的流量进行隔离、访问控制和攻击防护，同时根据实际需要开启防病毒功能。

2)终端安全技术能力

按照类型划分，终端可分为主机终端、移动终端以及物联网终端三种典型的终端类型。5G时代终端安全的核心诉求为识别、保护和监管。“识别”是准确发现企业终端资产，识别并标定其数字化身份；“保护”是防止恶意终端接入网络，防止企业的数据外泄；“监管”是监管终端的安全态势。因此终端的安全需要强化身份认证、访问控制和自身安全性的基本防护，涉及终端的合规与加固、威胁防御与检测、终端管控与审计、数据防泄漏，以及管理与安全运营等几个方面的安全能力。同时，针对不同终端在不同的应用模式中也需要采取不同的安全防护措施。

3)MEC安全技术能力

MEC的安全防护继承了电信云数据中心的安全防护手段，包括云化基础设施的加固，虚拟化的网络安全服务等。同时，在MEC平台安全方面，首先应对MEC平台及其软件进行安全加固，对镜像进行完整性保护，对敏感数据进行加密和完整性保护、对MEApp进行身份认证、授权访问；其次要加强对开放接口API的安全管控，对API接口调用采用证书等方式进行认证与鉴权，具备防重放攻击、中间人攻击等安全防护手段；第三应在MEC平台相关组件之间应启用TLS加密传输，并对传输参数进行签名验证，防止信息被篡改；此外对于MEC节点部署在用户侧业务场景，应建立隔离措施，防止MEC节点向核心网发起攻击。

4)NFV虚拟化安全技术能力

5G网络是以虚拟功能网元的形式部署在云化基础设施上，网络功能由软件实现，以达到按需弹缩、灵活部署，高效利用资源。虚拟化网络共享物理资源，使得传统以物理实体为核心的安全防护技术已经不再适用，因此针对虚拟化的安全防护，需要从基础架构的安全、东西向流量的安全、容器的安全进行展开，同时需要安全管理部分负责对安全资源池做统一的安全纳管，负责组件编排及策略调度等管理功能。

5)核心网流量安全技术能力

5G网络复杂和开放性以及各行业多样化的应用接入，使5G网络面临信令安全、用户访问安全的巨大挑战，垂直行业应用需要加强信令面与用户面的安全协同，通过对信令面和用户面的全流量检测分析，保障5G ToB核心网的安全。将信令面设备入网、地理位置等信息，与用户面流量的日志检测、文件还原、威胁情报、入侵攻击检测相结合，发现由于外部攻击、干扰或配置不当造成的5G核心网运行异常，实现安全攻击分析、信令安全分析、切片安全分析以及溯源取证等效果，实现5G全流量安全分析能力闭环，如图7所示。

图7 核心网流量安全技术能力

6)零信任5G安全接入技术能力

5G网络自身提供了终端的接入认证、二次认证等纵向认证措施，确保终端接入主站的合法性。具体手段有以下几种。

①双向鉴权和加密：RAN侧启用5G UE与5G网络进行双向鉴权和加密，防止仿冒5G UE接入5G网络。

②机卡绑定：核心网侧将终端USIM卡的IMSI与设备IMEI进行绑定认证，如果二者不匹配则拒绝接入网络。

③二次认证：基于3GPP二次认证架构及标准协议完成终端到DN-AAA服务器之间的终端二次鉴权认证，二次认证失败后则不允许终端访问企业业务。

④安全模块认证：终端集成安全模块，与中心侧安全网关之间建立VPN数据传输通道，实现网络层双向身份认证。

在实际应用中，需要基于业务的安全等级和纵向认证要求，灵活使用相应的鉴权认证模式，此外可以利用在5GC配置IMSI与园区DNN或园区切片S-NSSAI对应关系，限制仅在园区IMSI清单内的终端才可以接入专网；通过用户位置信息，限制仅在园区内位置的终端才可以接入专网；通过在5GC配置TAI list与园区切片S-NSSAI对应关系，限制仅能从园区基站才能接入专网等，来保证5G终端对专网的接入安全。

运营商以USIM卡为基础进行单一的身份识别，利用5G网络提供的接入安全体系，确保了合法的设备接入5G核心网，然而这种认证方式没有完整地将身份认证与业务认证进行统一。通过零信任机制，可以将CT入网和漫游认证等信息作为基础环境安全要素，将IT持续认证和行为分析结果，反馈给CT作为用户入网控制的决策依据，将用户的身份信息、地理位置信息、终端的环境信息和业务有效结合起来，实现动态的安全认证，如图8所示。

图8 5G零信任安全接入

通过5G与零信任的有效结合，就可以基于CT信息、用户属性、信任等级，实现对不同场景下，比如用户访问、API调用、运维访问等场景的动态控制能力。

7)运维管理安全技术能力

5G运维管理安全主要是对5G网络设备、人员、流程等进行安全管理，并按照“三同步”要求满足行业安全监管要求，通过安全运维实时监测5G专网的运行状况，及时发现和处置安全风险。

运维管理安全首先应具备资产管理功能，能对5G相关资产进行自动识别、基础数据的收集、处理和统计分析，能对专网的设备和组件制定安全配置基线要求，定期实施基线核查和漏洞扫描作业，对核查和扫描结果进行处理和管控。

其次是定期对专网内各类日志信息和安全事件信息进行统一的汇总和分析，建立态势感知系统，如图9所示。态势感知平台以可视化的方式，从宏观到微观提升安全监测和数据呈现能力，全面掌握网络安全状态，发现安全威胁，及时处置；对威胁提前预判、预防，对安全事件及时预警，评估风险，快速响应，形成闭环处置能力，降低事件影响。

图9 集中化安全运营

第三应对内部管理人员和第三方维护人员进行集中的身份认证管理与访问控制，建议基于零信任方案实现维护管理人员的认证授权管理、访问控制和行为操作安全审计，遵循权限最小化原则，建立权限分离机制。

8)5G安全测评技术能力

5G网络和系统在正式运行前，应结合国家和行业的安全标准对5G网络的安全状况进行系统的评估[8]，通过5G网络安全测评，拉通通信网络、行业应用网络的安全需求，满足行业差异化的安全需求。

安全测评整体分为设备级安全测评、网络级安全测评、行业应用级安全测评，以及安全攻防测试共4部分内容，如图10所示，分别从设备供应商、通信运营商、行业客户和攻击者4个不同的视角出发，确保5G设备、5G网络、行业应用的安全性，同时通过模拟黑客的攻击技术和漏洞发现技术，对目标系统做深入的探测和渗透入侵，尝试发现系统安全的最薄弱环节。

图10 5G网络安全测评技术框架

3.3 5G专网安全解决方案

5G专网的安全技术能力框架充分考虑5G网络特点、安全现状和行业应用场景，基于“内生安全”思想将5G网络包括上层应用进行解构，将安全能力、组网结构和业务场景三者进行深度融合，从而构建面向行业应用场景化、安全能力系统化的5G安全解决方案。

首先，在端、网、云等基础设施层面，构建联合作战的“纵深防御”安全体系，通过物理安全、组网安全、边界安全、终端安全、MEC安全、核心网全流量安全等维度，监测并预防5G网络中信令和数据交互带来的风险，对网络安全事件深度挖掘，结合网络的基础设施情况和运行状态，对网络安全态势做出评估，对未来可能遭受的网络攻击进行预测，提供针对性的预防建议。

其次，在5G应用安全保障层面，以“零信任”为核心进行防护，将核心网对设备的认证与行业侧对业务的认证相结合并持续进行信任评估，提高防护精度，确保合适的人、在合适的时间、以合适的方式，访问合适的业务数据。

第三，在5G网络的持续深度“安全运营”方面，通过运维管理安全、5G安全测评服务，构建5G场景下的安全检测与评价体系，梳理识别5G网络中的安全资产，分析安全威胁风险，借助专业工具进行实战化的攻防测试，检验5G应用系统应对各种类型攻击的实际效果，及时消除隐患，不断提升安全防御能力。

4 成功案例

某智能制造企业为满足工业生产需求，联合运营商搭建5G虚拟企业专网，目前已建设5G基站37个，室分基站9套，MEC两套，通过5G+MEC实现了机器设备相关生产数据的本地分流和实时分析处理，为企业用更少的人力成本，带来了更大的生产力和更高的决策精度和速度。

在5G专网安全层面，该项目以内生安全的理念为指引，规划设计了5G专网的安全体系，将安全能力框架与场景安全需求相结合，覆盖了组网安全、终端安全、MEC安全、核心网流量安全、运维管理安全等多个5G安全技术能力框架组件，打通了CT安全、IT基础设施安全和OT业务安全三个层面，实现了在5G专网场景下对工业资产、网络、业务应用的集中管理、集中监测、集中运维、集中分析，通过统一的IT-CT-OT综合态势体系，全面提高了工业企业的风险预警、安全防护和安全运营的水平，如图11所示。

图11 某智能制造企业5G专网安全设计

5 结语

5G在行业应用具有先进性和不可替代性，是未来数字经济的关键驱动力，其安全保障能力对于垂直行业的快速、平稳发展至关重要。5G专网是涉及多网融合的信息和业务系统，需要在行业整体网络安全体系框架下解决5G安全问题，将安全能力框架与行业应用场景结合，形成面向行业应用场景化、安全能力系统化的5G安全解决方案。