面向垂直行業的5G專網安全解決方案的研究

陳三強 喬思遠 羅海龍 張曉兵 鐘君毅

奇安信科技集團股份有限公司 北京 100044

引言

近年來我國致力于加快5G建設，5G應用融入各行各業，為千行百業的數字化轉型注入新動能。5G與垂直行業的融合創新發展，將推動數字中國、智慧社會建設，加速中國新型工業化進程，為中國經濟發展注入新動能。然而5G在與垂直行業深度融合的同時，也帶來了更加嚴峻的安全挑戰。

國際知名咨詢機構Gartner[1]提出5G時代的安全策略應包括縱深防御、持續性及自適應、以及零信任，如圖1所示。其中縱深防御涉及整體安全協調，端到端系統的安全和更高程度的安全自動化；持續優化和自適應涉及自適應風險決策，以及持續的透明度與評估；零信任是通過對實時用戶認證與設備狀態判斷，以及通過軟件定義邊界與微隔離的手段，構建新型的信任模型和管理方式，滿足任何設備隨時隨地訪問應用和服務的安全需要。

圖1 Gartner 5G安全策略

本文參考Gartner提出的5G安全理念，從新架構、新技術、新業務角度全面分析面向垂直行業的5G專網中存在的安全風險，提出了一套面向垂直行業的“縱深防御+零信任防護+深度安全運營”的5G專網安全解決方案思路。

1 面向垂直行業的5G專網安全風險分析

5G網絡向網元虛擬化、架構開放化、編排智能化的方向演進發展，為5G專網服務能力的靈活化和定制化提供了技術上的保障，5G專網根據網絡時延、安全隔離度、網絡可靠性等差異化的能力，滿足不同的應用場景的定制化通信服務需求。根據行業用戶對公共網絡的安全隔離程度、時延等要求的不同，5G專網主要可分為以下三種類型[2]，如圖2所示。

圖2 5G專網類型

1)獨立專網：與5GC公網完全獨立，在企業園區內建設專用基站，使用專用頻率，部署園區定制5G核心網和專用園區級UPF，根據業務需求，提供專屬無線網絡，最大程度上保障時延、帶寬、安全性等各項承載要求，一般面向對安全性要求非常高的行業用戶。

2)混合專網：根據業務需求，將UPF、MEC等核心網網元下沉至邊緣機房或園區，同時對業務覆蓋區域增強無線網絡覆蓋強度，提升業務承載能力，一般面向有數據不出園區和低時延等要求的行業用戶。

3)虛擬專網：共享公網的基礎設施，通過QoS、切片、DNN等服務的方式，將終端接入專用標識的客戶內網，一般面向對安全性要求相對稍低的行業用戶。

本文以“混合專網”的部署方式作為典型場景，以運營商網絡作為邊界，將5G專網安全威脅分為域外安全威脅和域內安全威脅兩種。

1.1 5G專網域外的安全風險分析

5G專網域外的安全風險，如圖3所示。

圖3 5G專網域外安全風險

1)終端安全威脅：垂直行業會用到大量的物聯網設備，總量大、計算能力低，具有突發性的網絡接入特征，是威脅入侵的重點。終端面臨的威脅主要包括終端被竊取、偽造；系統存在漏洞，被植入惡意程序；無人維護的物聯網終端易受到非法控制；非法終端直接或通過CPE間接接入5G網絡，攻擊園區業務系統；SIM卡被插放到惡意終端上，帶來終端認證鑒權的失效；終端非法接入和訪問企業專網，造成敏感數據的泄露等。

2)空口安全威脅：空口指用戶終端和基站設備間的空中無線信號傳播，安全威脅主要表現在對用戶數據的竊取和篡改；制造空口信令風暴，利用DDoS攻擊拒絕用戶接入；偽基站安全風險以及空口惡意干擾等安全威脅。

3)運維管理安全威脅：主要表現為運維管理系統可能會受到系統入侵、非授權訪問或越權訪問的風險，篡改、泄露管理信息；合法用戶進行惡意操作；以及遭受web攻擊(SQL注入等)，惡意軟件植入等安全威脅。

4)行業應用安全威脅：行業應用側面臨用戶數據的泄露、篡改；DDoS攻擊使數據業務服務被拒絕；通過能力開放API進行非授權訪問等安全威脅。

1.2 5G專網域內的安全風險分析

5G專網域內的安全風險，如圖4所示。

圖4 5G專網域內安全風險

1)SBA架構威脅：主要包括NRF可能被進行DoS攻擊導致服務無法被注冊發現的風險；攻擊者假冒NF接入核心網網絡，進行非法訪問；NF間傳輸通信數據被竊聽和篡改的風險；利用業界公開已有的HTTPS協議漏洞進行攻擊；切片非法接入、跨切片的攻擊等威脅。

2)網元間接口、網元內模塊間安全威脅：核心網網元間或網元內模塊間可能存在傳輸數據被竊聽、篡改，以及非法訪問網元、網元內模塊的風險。

3)組網安全及下沉網元安全威脅：相比運營商機房完善的物理安全措施，專網設備部署在相對不完全的物理環境，管理控制能力減弱，更容易遭受設備物理攻擊，如攻擊者非法訪問物理服務器的I/O接口，獲得敏感信息；下沉5G網絡設備部署在客戶機房，存在仿冒、非授權訪問等風險。

4)虛擬化網絡功能安全：虛擬化模糊了傳統網絡邊界，通過物理隔離部署的網絡安全措施不再適用。容器或虛機鏡像可能會被惡意篡改，攻擊者利用Host OS或虛擬化軟件漏洞發起攻擊；隔離不當會造成資源越權訪問、非法授權控制的風險，如利用容器或虛機逃逸來攻擊主機或主機上的其他容器和虛機，利用低防護能力的切片作為攻擊跳板攻擊其他切片；此外開源軟件的使用也會引入大量的安全漏洞。

5)MEC安全威脅：MEC應用存在App的越權訪問，App間資源搶占的安全風險，影響其他App的正常使用；在隔離控制不當的情況下，可能存在惡意App對MEC平臺或UPF的攻擊，進而影響5G核心網；NF/App鏡像包可能會被病毒和木馬感染，以及被惡意篡改；UPF與MEC的一體機形態則存在資源搶占、橫向攻擊的風險，導致UPF的功能和性能受到影響；MEP可能會遭受DDoS攻擊，進而影響MEP的可用性，以及存在越權運維管理，濫用資源的風險。

6)流量安全威脅：信令面和媒體面的數據存在被非法攔截和竊聽，流量數據被惡意偽造，以及利用畸形報文進行流量攻擊的風險。

2 面向垂直行業的5G專網安全需求分析

5G網絡所面臨的威脅和挑戰與4G基本一致，但新技術、新架構、新業務也給5G網絡帶來了全新的安全挑戰。5G網絡的安全需求可歸納為如下三種類型。

1)新架構帶來的網絡演進的安全需求：主要是指5G網絡自身安全架構的延續和增強[3-4]，包括終端入網的認證鑒權增強、5G網元交互流程安全、無線空口的機密性、完整性、可用性等，這部分內容在3GPP安全標準中已有相應的安全解決方案進行了討論和解決，屬于5G自有的安全機制。

2)新技術帶來的IT演進的安全需求：5G引入了各種新技術，加速了IT與CT的融合，同時也將傳統IT領域的安全問題引入了CT領域，如云化架構在5G中的廣泛使用，需要考慮主機安全、虛擬化安全、容器安全以及計算資源資產的安全使用。

3)新業務帶來的業務演進的安全需求：5G與垂直應用場景相融合，安全需求的范疇有了更大的突破和延伸，ToB場景下的eMBB、mMTC、uRLLC面臨個性化和差異性的安全需求，需要充分考慮網絡切片、邊緣計算等5G自身特點，基于業務特點滿足安全的需要。

在以上3個方面中，3GPP安全標準更多的是從網絡演進的安全角度進行了自有安全機制的增強，但在IT演進和業務演進的方面，5G自有的安全機制還無法完全覆蓋和保障垂直行業5G安全的落地和應用，在5G自有的安全機制背景下，還需要從多個維度進行安全能力的補充和提升[5-6]，如表1所示。

表1 5G專網安全需求分析

3 面向垂直行業的5G專網安全解決方案研究

3.1 5G專網安全框架研究

內生安全最早源于生物領域的生物免疫系統，后被借鑒和延續到科技領域、IT領域、CT領域。內生安全能夠為網絡提供一個全新的安全理念乃至安全范式，啟發以“向內轉、向內思考”的視角來重新認知和看待網絡安全問題。內生安全是網絡的一種綜合能力，這個能力由一系列安全能力構成，這些安全能力共同協作構成自感知、自適應、自生長的網絡免疫體系。它要求安全與網絡系統的設計與建設同步進行，同時能夠在網絡運行中進行適應和變化，隨系統業務的提升而提升，最終來持續保障網絡及業務和數據的安全[7]。

基于“內生安全”的理念，面向垂直行業的5G專網需要結合不同行業用戶業務場景的差異性，充分考慮其對安全需求側重點的不同，基于行業場景確定相應的安全建設思路。

本文以組件化的安全技術能力為基礎，提出了一套面向垂直行業5G專網的安全技術能力框架模型，形成10大增強安全技術能力組件，如圖5所示，一是以“縱深防御”為核心的基礎安全、終端安全、核心網流量安全、MEC安全、NFV虛擬化安全、以及企業側的云數據中心基礎架構安全和業務系統安全；二是以“零信任”為核心的零信任5G安全接入；三是以持續深度“安全運營”為核心的5G安全測評服務和安全運維管理。該模型相比Gartner的框架做了更合理的分層梳理，清晰地描述出5G自有的安全機制與5G增強安全技術能力的關系，形成“能力互補”，可為垂直行業構建覆蓋“端、邊、云、網”的5G專網安全建設提供有效的參考。

組件化的安全技術能力框架，是將網絡安全技術能力映射成可執行、可建設的網絡安全技術能力組件的重要工具，組件化的安全技術能力能夠在安全能力解耦的基礎上形成不同的安全技術組件，根據不同的場景需求以快速搭建個性化、針對性的組件。在實際應用中，將安全技術能力組件與信息化組件進行融合，使安全技術能力對信息化能力進行完整的覆蓋。

如圖5所示，藍色部分為5G基礎的安全能力，當工作場景、安全保障目標與傳統公眾通信網絡相同時，通過繼承當前通信網絡安全保障技術即可滿足，通常由運營商提供，這里包括了3GPP定義的5G自有安全機制；而紅色部分的安全能力，主要是為應對行業應用場景、高資產價值帶來的安全風險，在基礎能力之上，通過增強的安全能力才能滿足，需要垂直行業客戶結合自身的業務需求進行重點規劃和建設。本文重點討論5G專網部分的安全解決方案，因此圖5企業側部分的安全不做重點論述。

圖5 5G專網安全框架

3.2 5G專網安全技術能力研究

1)基礎安全技術能力

一是物理安全。在公網專網場景中，可能會以UPF、UPF+SMF、UPF+AMF+SMF等形態下沉，這些網元部署在地市甚至是客戶園區層面，需要做好網元自身的安全加固與防護，確保物理I/O的可信接入。同時，根據國家等保相關要求，MEP以及云側MEC業務管理平臺所在機房應滿足其所承載MEC業務的等級保護要求。運營商應對客戶側機房提出物理環境要求，同時為降低數據泄露風險，敏感數據不應在本地存儲。另外，下沉網元設備應具備防拆、防盜、防篡改等物理安全保護機制，采用具備相關功能的安全機柜來提高物理環境安全。

二是組網安全。網絡按照流量類型劃分為管理平面、業務平面、存儲平面，不同平面間流量采用物理隔離，保證從物理層面互不干擾，同一平面不同功能接口之間進行子網劃分，進行邏輯隔離。根據5G網絡組網架構、網絡功能及部署方式，5G專網可劃分為用戶終端域、無線接入域、核心網域、核心用戶域、支撐管理域，邊緣計算域、企業業務域等幾個大的安全域，如圖6所示。

圖6 5G網絡安全域

根據與互聯網連接暴露程度以及自身安全級別，業務節點應在安全域下繼續劃分安全子域，不同安全子域在計算、存儲、網絡等資源上應進行隔離，并在域間采用防火墻、ACL等措施實施訪問控制。應加強控制管理平面的訪問控制，僅允許指定管理網元訪問管理平面端口，降低非授權接入的安全風險。

三是邊界安全。不同的安全域之間需設置邊界防護和安全隔離措施，采用部署防火墻、入侵防御、防病毒網關等方式來實現，對跨域互聯的流量進行隔離、訪問控制和攻擊防護，同時根據實際需要開啟防病毒功能。

2)終端安全技術能力

按照類型劃分，終端可分為主機終端、移動終端以及物聯網終端三種典型的終端類型。5G時代終端安全的核心訴求為識別、保護和監管?！白R別”是準確發現企業終端資產，識別并標定其數字化身份；“保護”是防止惡意終端接入網絡，防止企業的數據外泄；“監管”是監管終端的安全態勢。因此終端的安全需要強化身份認證、訪問控制和自身安全性的基本防護，涉及終端的合規與加固、威脅防御與檢測、終端管控與審計、數據防泄漏，以及管理與安全運營等幾個方面的安全能力。同時，針對不同終端在不同的應用模式中也需要采取不同的安全防護措施。

3)MEC安全技術能力

MEC的安全防護繼承了電信云數據中心的安全防護手段，包括云化基礎設施的加固，虛擬化的網絡安全服務等。同時，在MEC平臺安全方面，首先應對MEC平臺及其軟件進行安全加固，對鏡像進行完整性保護，對敏感數據進行加密和完整性保護、對MEApp進行身份認證、授權訪問；其次要加強對開放接口API的安全管控，對API接口調用采用證書等方式進行認證與鑒權，具備防重放攻擊、中間人攻擊等安全防護手段；第三應在MEC平臺相關組件之間應啟用TLS加密傳輸，并對傳輸參數進行簽名驗證，防止信息被篡改；此外對于MEC節點部署在用戶側業務場景，應建立隔離措施，防止MEC節點向核心網發起攻擊。

4)NFV虛擬化安全技術能力

5G網絡是以虛擬功能網元的形式部署在云化基礎設施上，網絡功能由軟件實現，以達到按需彈縮、靈活部署，高效利用資源。虛擬化網絡共享物理資源，使得傳統以物理實體為核心的安全防護技術已經不再適用，因此針對虛擬化的安全防護，需要從基礎架構的安全、東西向流量的安全、容器的安全進行展開，同時需要安全管理部分負責對安全資源池做統一的安全納管，負責組件編排及策略調度等管理功能。

5)核心網流量安全技術能力

5G網絡復雜和開放性以及各行業多樣化的應用接入，使5G網絡面臨信令安全、用戶訪問安全的巨大挑戰，垂直行業應用需要加強信令面與用戶面的安全協同，通過對信令面和用戶面的全流量檢測分析，保障5G ToB核心網的安全。將信令面設備入網、地理位置等信息，與用戶面流量的日志檢測、文件還原、威脅情報、入侵攻擊檢測相結合，發現由于外部攻擊、干擾或配置不當造成的5G核心網運行異常，實現安全攻擊分析、信令安全分析、切片安全分析以及溯源取證等效果，實現5G全流量安全分析能力閉環，如圖7所示。

圖7 核心網流量安全技術能力

6)零信任5G安全接入技術能力

5G網絡自身提供了終端的接入認證、二次認證等縱向認證措施，確保終端接入主站的合法性。具體手段有以下幾種。

①雙向鑒權和加密：RAN側啟用5G UE與5G網絡進行雙向鑒權和加密，防止仿冒5G UE接入5G網絡。

②機卡綁定：核心網側將終端USIM卡的IMSI與設備IMEI進行綁定認證，如果二者不匹配則拒絕接入網絡。

③二次認證：基于3GPP二次認證架構及標準協議完成終端到DN-AAA服務器之間的終端二次鑒權認證，二次認證失敗后則不允許終端訪問企業業務。

④安全模塊認證：終端集成安全模塊，與中心側安全網關之間建立VPN數據傳輸通道，實現網絡層雙向身份認證。

在實際應用中，需要基于業務的安全等級和縱向認證要求，靈活使用相應的鑒權認證模式，此外可以利用在5GC配置IMSI與園區DNN或園區切片S-NSSAI對應關系，限制僅在園區IMSI清單內的終端才可以接入專網；通過用戶位置信息，限制僅在園區內位置的終端才可以接入專網；通過在5GC配置TAI list與園區切片S-NSSAI對應關系，限制僅能從園區基站才能接入專網等，來保證5G終端對專網的接入安全。

運營商以USIM卡為基礎進行單一的身份識別，利用5G網絡提供的接入安全體系，確保了合法的設備接入5G核心網，然而這種認證方式沒有完整地將身份認證與業務認證進行統一。通過零信任機制，可以將CT入網和漫游認證等信息作為基礎環境安全要素，將IT持續認證和行為分析結果，反饋給CT作為用戶入網控制的決策依據，將用戶的身份信息、地理位置信息、終端的環境信息和業務有效結合起來，實現動態的安全認證，如圖8所示。

圖8 5G零信任安全接入

通過5G與零信任的有效結合，就可以基于CT信息、用戶屬性、信任等級，實現對不同場景下，比如用戶訪問、API調用、運維訪問等場景的動態控制能力。

7)運維管理安全技術能力

5G運維管理安全主要是對5G網絡設備、人員、流程等進行安全管理，并按照“三同步”要求滿足行業安全監管要求，通過安全運維實時監測5G專網的運行狀況，及時發現和處置安全風險。

運維管理安全首先應具備資產管理功能，能對5G相關資產進行自動識別、基礎數據的收集、處理和統計分析，能對專網的設備和組件制定安全配置基線要求，定期實施基線核查和漏洞掃描作業，對核查和掃描結果進行處理和管控。

其次是定期對專網內各類日志信息和安全事件信息進行統一的匯總和分析，建立態勢感知系統，如圖9所示。態勢感知平臺以可視化的方式，從宏觀到微觀提升安全監測和數據呈現能力，全面掌握網絡安全狀態，發現安全威脅，及時處置；對威脅提前預判、預防，對安全事件及時預警，評估風險，快速響應，形成閉環處置能力，降低事件影響。

圖9 集中化安全運營

第三應對內部管理人員和第三方維護人員進行集中的身份認證管理與訪問控制，建議基于零信任方案實現維護管理人員的認證授權管理、訪問控制和行為操作安全審計，遵循權限最小化原則，建立權限分離機制。

8)5G安全測評技術能力

5G網絡和系統在正式運行前，應結合國家和行業的安全標準對5G網絡的安全狀況進行系統的評估[8]，通過5G網絡安全測評，拉通通信網絡、行業應用網絡的安全需求，滿足行業差異化的安全需求。

安全測評整體分為設備級安全測評、網絡級安全測評、行業應用級安全測評，以及安全攻防測試共4部分內容，如圖10所示，分別從設備供應商、通信運營商、行業客戶和攻擊者4個不同的視角出發，確保5G設備、5G網絡、行業應用的安全性，同時通過模擬黑客的攻擊技術和漏洞發現技術，對目標系統做深入的探測和滲透入侵，嘗試發現系統安全的最薄弱環節。

圖10 5G網絡安全測評技術框架

3.3 5G專網安全解決方案

5G專網的安全技術能力框架充分考慮5G網絡特點、安全現狀和行業應用場景，基于“內生安全”思想將5G網絡包括上層應用進行解構，將安全能力、組網結構和業務場景三者進行深度融合，從而構建面向行業應用場景化、安全能力系統化的5G安全解決方案。

首先，在端、網、云等基礎設施層面，構建聯合作戰的“縱深防御”安全體系，通過物理安全、組網安全、邊界安全、終端安全、MEC安全、核心網全流量安全等維度，監測并預防5G網絡中信令和數據交互帶來的風險，對網絡安全事件深度挖掘，結合網絡的基礎設施情況和運行狀態，對網絡安全態勢做出評估，對未來可能遭受的網絡攻擊進行預測，提供針對性的預防建議。

其次，在5G應用安全保障層面，以“零信任”為核心進行防護，將核心網對設備的認證與行業側對業務的認證相結合并持續進行信任評估，提高防護精度，確保合適的人、在合適的時間、以合適的方式，訪問合適的業務數據。

第三，在5G網絡的持續深度“安全運營”方面，通過運維管理安全、5G安全測評服務，構建5G場景下的安全檢測與評價體系，梳理識別5G網絡中的安全資產，分析安全威脅風險，借助專業工具進行實戰化的攻防測試，檢驗5G應用系統應對各種類型攻擊的實際效果，及時消除隱患，不斷提升安全防御能力。

4 成功案例

某智能制造企業為滿足工業生產需求，聯合運營商搭建5G虛擬企業專網，目前已建設5G基站37個，室分基站9套，MEC兩套，通過5G+MEC實現了機器設備相關生產數據的本地分流和實時分析處理，為企業用更少的人力成本，帶來了更大的生產力和更高的決策精度和速度。

在5G專網安全層面，該項目以內生安全的理念為指引，規劃設計了5G專網的安全體系，將安全能力框架與場景安全需求相結合，覆蓋了組網安全、終端安全、MEC安全、核心網流量安全、運維管理安全等多個5G安全技術能力框架組件，打通了CT安全、IT基礎設施安全和OT業務安全三個層面，實現了在5G專網場景下對工業資產、網絡、業務應用的集中管理、集中監測、集中運維、集中分析，通過統一的IT-CT-OT綜合態勢體系，全面提高了工業企業的風險預警、安全防護和安全運營的水平，如圖11所示。

圖11 某智能制造企業5G專網安全設計

5 結語

5G在行業應用具有先進性和不可替代性，是未來數字經濟的關鍵驅動力，其安全保障能力對于垂直行業的快速、平穩發展至關重要。5G專網是涉及多網融合的信息和業務系統，需要在行業整體網絡安全體系框架下解決5G安全問題，將安全能力框架與行業應用場景結合，形成面向行業應用場景化、安全能力系統化的5G安全解決方案。