電子政務外網5G專網方案研究

一、引言

在數字政府的建設中，隨著政務服務智慧化進程的推進，跨層級、跨地區、跨部門、跨系統信息共享和移動辦公成為趨勢，公務人員移動辦公、移動執法、應急指揮、政務自助服務機、視頻監控回傳等應用，使遠程、移動接人電子政務外網（簡稱“政務外網”）的需求快速增長。從國家到地方，各級政府相繼發布了5G在政務領域應用的相關規劃，旨在通過5G技術的優勢進一步提升政務外網網絡支撐能力?！丁笆奈濉蓖七M國家政務信息化規劃》指出，“探索5G、區塊鏈等新技術在政務外網領域的應用”，《國務院關于加強數字政府建設的指導意見》提出，“提高電子政務外網移動接人能力”。通過將5G技術與政務外網深度融合，打造一個泛在接人、智能安全、個性服務的政務數字網絡新基座，能夠擴大政務外網的覆蓋范圍，為多場景多終端快速靈活安全接入提供基礎通道，并推動政務通信服務更便捷、更高效、更經濟。本文從網絡架構、用戶接入、安全防護、運營支撐等角度對電子政務外網5G無線網（簡稱“5G政務專網”）的方案開展系統研究，提出了一個整體解決方案。

二、整體架構

為全面提升數字政府的集約化建設水平，避免重復建設，可利用運營商的5G網絡設施，促進運營商技術和資源共享，以多家運營商聯合協作模式來共同構建5G政務專網。

在組網架構方面，結合現有政務外網大容量光纖鏈路，構建“ 的架構體系，形成覆蓋全域的固移融合政務外網網絡。即1套5G政務專網標準化加密網絡服務體系；形成2種分別支持人聯與物聯業務的傳輸通道；5G網絡管理、安全管理及業務系統等3個系統與政務外網運行和安全監測支撐系統融合，提供統一網絡服務、開展業務分級管理、強化安全管控；4家5G運營商全接人，運營商5G網絡資源按照統一標準規范對接政務外網無線接人區，實現無線接入統一認證，端到端全流程管理；提供5重縱深安全防御，構建5G無線接人安全、AAA網絡準人、終端安全管控、用戶身份認證、邊界安全防護等安全防御體系，實現全流程的一體化管控。圖1為政務外網“固移融合”整體體系架構。

三、網絡方案

（一）專網技術方案

在無線接人側，引人全部四家5G運營商，運營商采用專用SIM卡、專用DNN以及專用切片隔離的技術方案。

專用SIM卡僅提供數據業務，其語言呼人呼出和短信收發功能均取消，基于“專網專卡專用”原則，通過路由策略配置限定卡僅能訪問特定的政務外網IP、URL地址或業務APP，業務須經過終端安全管控系統進行訪問，實現流量定向。

移動終端通過政務專用DNN對政務外網進行訪問，專用DNN不可訪問互聯網業務。專用DNN應區分不同的5G網絡運營商，由政務外網管理單位統一規劃、分配和管理，由5G運營商負責注冊開通。通過政務專用

DNN的使用，使得政務業務能夠匯聚至政務專用UPF從而進入政務外網，實現移動終端通過5G網絡接入政務外網時，政務外網的定向訪問，政務數據與互聯網數據網絡傳輸通道的安全隔離。

在5G運營商網絡中，需要使用流量隔離機制確保政務業務不受其他流量的干擾，采用軟切片技術來建立政務外網虛擬專用通道，優先保障政務應用接入的資源可用。其中，無線側采用5QI，QoS優先級管理，承載網采用MPLS-VPN，核心網控制面復用、用戶面專屬UPF下沉至政務外網專用機房，進人無線接人區后融入政務外網。

（二）業務漫游

針對公務人員外地出差接人政務外網的場景，當移動終端在全國范圍漫游時，漫游地運營商的5G網絡將本次政務業務流量轉發到歸屬地運營商5G網絡，并由歸屬地運營商的5G網絡分流到對應的政務專用UPF，從而實現無縫接人歸屬地政務外網。

（三）4G/5G切換

對于5G信號覆蓋較弱或未覆蓋的區域，為保障政務業務的持續性，設計政務外網無線專網4G和5G融合部署。具體做法為，核心網側的數據面HSS和UDM融合、PCRF和PCF融合，用戶面PGW-U和UPF融合，控制面PGW-C和SMF融合，從而實現5G終端在4G和5G網絡之間的自動切換，即當終端設備在無5G信號覆蓋區域工作時，自動切換到4G網絡進行接入，最終通過運營商4G/5G融合核心網，將業務數據送至政務專用UPF以接人政務外網。

四、安全防護方案

（一）整體安全架構

5G政務專網的應用場景豐富，政府部門、企事業單位、醫院、學校等各單位將通過智能手機等人聯終端以及政務服務機、視頻監控、水文監測等物聯終端接人，開展各類數據傳輸交換，需要設計完備的安全體系來保障政務外網的整體安全。政務外網5G無線專網安全體系（如圖2所示）從人防、技防、管理防三防一體的安全防護策略出發，基于《中華人民共和國網絡安全法》《信息安全技術一網絡安全等級保護基本要求》等安全建設與管理要求，采取五重安全防護，集無線接入安全、AAA網絡準入、終端安全管控、用戶身份認證、邊界安全防護的安全能力于一體，針對人聯和物聯兩種場景下的訪問數據流，形成針對業務場景的多重認證、授權、檢測、防護、身份管理，進而確保5G政務專網的網絡安全。

第一重防護為無線接人安全，由5G運營商提供專用SIM卡，專用DNN以及專用切片隔離，保障移動設備安全接入政務外網。

第二重防護為AAA網絡準入，實現移動終端接人政務外網的接入鑒權，終端認證后臺對數據傳輸安全進行保護，并由政務外網統一分配終端IP地址，通過機卡綁定識別SIM卡和移動終端設備，保障移動設備可信。

第三重防護為終端安全接入管控，通過終端安全管控系統對移動終端進行點對點控制，達到無線訪問的終端可信和鏈路可信。同時，執行終端管控策略，控制用戶準入，終結用戶加密隧道，實現業務資源代理接入，隱藏業務真實位置。

第四重防護為用戶數字身份認證，基于統一用戶身份管理，保障接入人員身份可信。

第五重防護為邊界安全防護，分別在無線接入區以及光纖網對接區建立兩道安全邊界區域，網絡中串聯防火墻、防病毒、人侵防御等安全設備，對未加密的認證信息數據包進行審查和阻斷，對業務流量進行安全防護，旁掛探針、沙箱進行高級威脅檢測，并將安全日志歸集至安全管理中心，進行模擬分析和提供威脅反饋。

（二）網絡準入控制

為解決終端的SIM卡濫用、機卡分離、非授權SIM卡接入等潛在安全風險，建設5G政務專網的AAA準人認證系統實現對用戶接入的二次認證（圖3）。5G運營商核心網通過用戶名／口令與無線接人區的DN-AAA建立RADIUS認證，進行鑒權協商，對移動終端進行身份認證，認證通過根據SIM卡的IMSI號分配相應的政務外網IP地址，向AAA認證網關同步用戶認證信息，并進行機卡綁定。AAA認證網關是安全策略執行點，5G無線專網路由器引流至AAA認證網關，執行移動終端安全準入準出和授權策略檢控。

（三）終端安全管控

運營商5G網絡與政務外網融合，使得網絡的物理邊界趨于模糊，傳統的以邊界防護為中心的安全架構具有一定的局限性，因此，需打破物理邊界防護的局限，引人新的安全方法來實現政務數據的安全傳輸，確保移動終端接人的安全可控。零信任以身份認證為核心，將認證和授權作為訪問控制的基礎，可基于零信任安全理念設計終端安全管控系統。終端安全管控系統包括客戶端、終端安全接人網關及終端安全接人管理后臺三部分。圖4為終端安全管控系統架構圖。

在5G接人終端上部署客戶端，實現接人認證、環境檢查、網絡隔離、安全沙箱（即數據隔離存放）等功能。在無線接人區的路由器旁路部署終端安全接人網關，路由器通過策略路由將流量牽引到終端安全接入網關，實現5G終端零信任接人及安全防護，提供單包SPA身份初驗、業務可信代理、動態權限控制、準入認證審計、端口隱藏保護、安全策略執行等功能，通過將政務業務部署在終端安全接入網關之后，可有效收斂業務暴露面，降低被人侵的風險。終端安全接入管理后臺部署于無線接人區的管理區，主要實現安全策略下發、動態信任評估、用戶行為審計、用戶權限管控、應用代理發布等功能。在數字政府建設中，將零信任作為一種關鍵的安全策略，在政務應用啟動時，在接入終端和零信任網關之間建立加密傳輸通道，采用國密算法對網絡傳輸鏈路進行加密，確保數據在傳輸過程中的安全性和機密性。同時，對用戶訪問進行最小權限控制，減少不必要的權限擴展，從而防止未經授權的訪問，保障政府各類數據的安全性，確保數字政府的穩健運行。

五、支撐系統設計

政務外網5G無線專網在組建底層網絡通道以及筑造安全防護的同時，也需借助管理平臺實現數字化運營，實現對5G政務專網的精細化管理。運行和安全監測支撐系統作為政務外網運營門戶，可為政務外網5G無線專網業務應用提供融合支撐，實現統一服務和管理。

通過對接運營商相關系統，與業務支撐系統、AAA系統、終端安全管控系統、網管系統、安管系統對接打通，形成5G一體化全流程運營平臺。支撐系統與運營商系統采用前置機進行數據交換。前置機作為支撐系統和各對接系統之間的“數據緩沖區”，功能上作為運營安全相關數據共享交換的重要節點，技術上作為運營商系統與政務外網管理單位系統的隔離，防止對運營商系統造成干擾，管理上作為數據安全管理責任的隔離。系統的對接在政務外網環境中實施，基于HTTPS協議傳輸，并采用RestfulAPI風格的接口規范。系統主要具備運營管理、故障管理、資源管理、網絡感知、計量計費、接口管理等功能。圖5為系統對接架構圖。

以上述5G政務專網整體方案為基礎，首先在政務外網中搭建測試環境開展技術驗證，重點針對運營商5G虛擬專網接入UPF、AAA認證授權系統、終端安全管控、終端 IPv4/IPv6 地址分配、用戶漫游等場景?；隍炞C結果，選取了數助政工應用和區級單位的常務會議無紙化應用，分別在平板及手機兩種終端上進行試點運營。目前已實現了用戶智能移動終端應用軟件與無線網終端安全管控系統的融合對接、政務外網無線專網專用SIM卡的開卡、首家5G運營商通信光纖網絡的貫通，以及部分場景應用試點的順利完成。

六、結束語

本文基于政務外網移動接人的新需求，從整體網絡架構、安全接入管控及運營支撐管理等方面展開研究，提出了構建5G政務專網的技術方案。同時，對網絡方案進行了技術驗證及試點應用，為5G政務專網在全國推廣進行了實踐探索研究。

參考文獻

[1]張力方，程奧林，趙雪聰，等.5G專網關鍵技術及設計部署方案研究[J].郵電設計技術，2021，（10）：0-8.

[2]陳荻坤，陸健聰.中國廣電4G/5G核心網互操作策略方案[J]廣播電視網絡，2022，29（09）：3.

[3]夏國光.5G移動通信網絡與電子政務外網融合研究[J]電子技術與軟件工程，2021，（21）：7-8.

[4]許銳，曹華梁，張宏遠.無線政務專網演進與建設研究[J].郵電設計技術，2021，（08）：34-42.

[5]焦偉.5G政務專網組網模式分析與探討[J].中國新通信，2023，25（22）：22-24.

[6]焦偉.5G政務專網的典型應用場景及發展建議[J].數碼設計，2024，（05）：66-69.

[7]蔡明興.政務外網雙網雙域5G專網架構研究[J].郵電設計技術，2023，（03）：83-87.

[8]劉建華.基于零信任架構的5G核心網安全改進研究[J].郵電設計技術，2020，（09）：75-78.

[9]馮毅，秦小飛，張就.5G行業虛擬專網數字運營方案研究[J].電子技術應，2022，48（03）：1-4，12.

[10]邊偉成，王光鑫.電子政務外網與5G移動通信網融合研究[J].無線互聯科技，2021，18（24）：1-4.