《5G专网安全技术白皮书2023.docx》由会员分享,可在线阅读,更多相关《5G专网安全技术白皮书2023.docx(21页珍藏版)》请在课桌文档上搜索。
1、目录一、5G专网发展概述11.1 5G专网发展现状11.2 中国联通5G行业专网介绍2二、5G专网安全诉求及风险分析32.1 5G相关安全政策与标准32.2 5G专网总体安全风险分析4三、面向5G专网,构建端到端的安全解决方案63.15G专网安全体系通用架构63.2 终端安全73.3 网络安全83.4MEC安全103. 5边界安全123.6专网管理安全与运维安全12四、5G专网安全应用案例探讨144. 15G工厂制造基地安全应用案例144.2 5G智能驾驶示范区安全应用案例154.3 钢厂5G+工业互联网安全应用案例164.4 广东联通集约化云安全应用案例17五、总结与未来展望18附录119附
2、录220附录322Ol5G专网发展概述1.1 5G专网发展现状随着中国联通发布5G行业专网产品体系2.0、中国移动发布5G专网技术体系2.0,5G专网已逐步从1.O时代向2.0时代迈进,网络形式由TOB通用网络向个性化定制的网络演进。截止2022年,我国三大运营商均已推出了拥有自己特色的5G专网服务产品,并建成了大量的商用行业5G专网,实现在工业制造、电力、医疗、交通、港口、物流、教育等行业广泛部署,并实现多个技术突破和成功案例。以中国联通为例,中国联通推出的5G专网产品体系2.0tt5G专网P1.US”,实现网络跨越、行业跨越、服务跨越三大跨越,提供了更强网络、更懂行业和更优服务,构建了基于
3、流量和切片模式、基于网络+平台+应用模式、网络+平台+集成服务模式等3种商业模式,分别满足5GT。B客户的不同需求,以5G专网带动行业DICT的收入增长。通过汇聚科技创新能力,集结行业专家,聚合生态力量,面向全国一点支撑,基于5G、“云大物智链安”等自主能力,锤炼“专精特新”的“独门绝技”,推进创新链、产业链、价值链融合发展。在数字政府领域中,中国联通与广东政数局合作,打造了全国首个省级5G政务专网,创新性地推进了广东省5G基层治理、5G智慧防疫、5G智慧应急、智慧城市管理等多个应用场景落地,促进5G技术与政务服务的深入融合,不断地助力广东政数局提升政府公共服务、社会治理的数字化、智能化水平。
4、当前我国5G网络覆盖广度、深度持续提升,边缘计算和智能网络切片技术不断进步、融合,5G专网能力不断增强,5G专网作为数字化转型的新引擎,将持续赋能干行百业数智化转型升级、拓展生产效能。布局5G7+9+9行业应用,深耕重点垂直行业,1.2 中国联通5G行业专网介绍5G网络演进的趋势是向网元虚拟化、架构开放化、编排智能化方向发展,这为5G专网服务能力的灵活化、定制化提供了有力的技术保障,以中国联通5G专网产品为例,5G专网产品主要包括:5G虚拟专网、5G混合专网以及5G独立专网。1.2.1 5(;虚拟专网5G虚拟专网产品是中国联通基于5G公众网络资源,利用端到端QoS或切片技术,为客户提供一张时延
5、和带宽有保障的、与中国联通公众网络普通用户数据隔离的虚拟专有网络,网络架构如下图所示:W50站忸公网用fl口专网用尸|见灌Wa一;图1-15G虚拟专网网络架构图1.2.2 5G专网5G独立专网产品采用专有无线设备和核心网一体化设备,为行业用户构建一张物理封闭、低时延、高带宽的基础连接网络,实现用户数据与中国联通公众网络数据完全隔离,网络架构如下图所示:图1-25G独立专网网络架构图1.235G混合专网5G混合专网产品采用核心网控制面共有化部署,行业用户UPF网元私有化部署,无线基站、核心网控制面网元根据客户需求灵活部署的模式,为用户提供部分物理独享的5G专用网络。满足行业用户大带宽、低时延、数
6、据不出园区的需求。网络架构如下图所示:图1.35G混合专网网络架构图025G专网安全诉求及风险分析2.1 5G相关安全政策与标准5G规模商用以后,国家层面高度重视5G行业的安全发展,陆续出台了多项政策要求与标准,鼓励5G行业发展与创新的同时把安全放在全新的高度,护航5G专网赋能各行各业数字化转型。2.1.1 安全政策中华人民共和国网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行保障网络免受干扰、破坏或者未经授权的访问,防止数据泄露或者被窃取、篡改的安全义务。信息安全技术网络安全等级保护基本要求2.0版本将网络基础设施(广电网、电信网
7、、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等纳入了保护对象。中华人民共和国数据安全法明确提出对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置,全面建设有效防护机制,保障数字产业蓬勃健康发展。工信部印发的“十四五”信息通信行业发展规戈砂中明确要求全面推进5G网络建设,加快5G独立组网(SA)规模优化产业园区、港口、厂矿等场景5G覆盖,推广5G行业虚拟专网建设。要求运营商全面加强网络和数据安全保障体系和能力建设,持续提升新型数字基
8、础设施安全管理水平,打造国际领先的5G安全保障能力,全面构建基础安全管理体系:并严格落实数据安全法、个人信息保护法、关键信息基础设施安全保护条例,积极推动电信法等立法工作,加快完善信息通信行业相关规章制度。十部门印发的5G应用“扬帆”行动计划(2021-2023年)中提出开展提升5G应用安全提升行动,强化5G应用安全供给支撑服务:支持5G安全科技创新与核心技术转化,鼓励5G安全创新企业入驻国家网络安全产业园区;加强5G安全服务模式创新,推动5G安全技术合作和能力共享,鼓励跨行业、跨领域制定融合应用场景安全服务方案;加强5G网络安全威胁信息发现共享与协同处置。2.12安全标准针对5G网络安全,其
9、中3GPP发布了TS33.501SeCUrityarchitectureandproceduresfor5Gsystem,对5G安全体系结构概述,对5G网络接入安全、网络域安全、用户域安全、应用域安全等等安全域进行说明,规范了5G核心网络周边的安全实体、5G核心网络中的安全实体,并制定了安全要求和功能的标准规范。中国通信标准化协会发布了YD/T4056-20225G多接入边缘计算平台通用安全防护要求、YD/T3628-20195G移动通信网安全技术要求,对5G的安全性进行了全方位的描述,涵盖5G网络的安全架构、安全需求、安全功能要求以及相关安全流程等方面的标准制定。2.25G专网总体安全风险分
10、析5G专网的安全风险包含终端安全风险、网络安全风险、MEC安全风险、边界安全风险、管理安全风险。WCPEOongieQ数解安全Q网络中间人攻击MEC平台资现的物安全0O-从0&M入侵安全态势不明t及不可学Internet。所部狒收住益稠&攻出私有云企业内叫私有点MECg边界Q管理中心&运维图2-15G专网总体安全分风险分析2.2.1 终端安全风险分析5G专网终端分为两大类,分别是5G终端(如5GCPE、5GDonglC和物联终端内的5G模组)和其它非5G终端(如普通摄像头、P1.e和AGV等可以通过连接5GCPE来接入5G网络)。终端安全风险点主要包括:终端物理安全、终端接入安全、终端数据传输
11、安全及其它安全风险,详细如下表:表2-1终端安全风险分析风险点风险分析终端物理安全终端失联(如丢失、关机)终端SIM卡非法拔出终端接入安全非授权终端接入(CPEi必IM卡不合法)终端非法恶意接入终端数据传输安全终端接入5G网络访问安全(网络层)终端与MEC通信安全(应用层)其它CPE下挂设备攻击CPE下挂设备失联恶意设备非法接入自身安全终端/设备自身安全2.2.2 网络安全风险分析网络安全风险点主要包括:基站和无线空口安全、切片安全、传输安全及5GC安全,详细如下表:表2-2网络安全风险分析风险点风险分析基站和无线空口安全1 .空口无线干扰、数据窃听、数据篡改2 .卫星GPS信号干扰、信号屏蔽
12、、遮挡3 .终端重放攻击、DOS攻击4 .移动终端标识窃取5 .伪基站攻击切片安全I.用户的非法接入切片、滥用切片资源、切片间非法访问、切片间资源争夺、切片间非法攻击等2.切片管理员权限滥用、切片敏感信息篡改等传输安全1.传输链路异常2 .传输拥塞3 .传输网络上进行恶意软件攻击、数据窃听5GC安全I.基础设施层虚拟化安全,如虚拟资源的滥用、云平台内部的横向攻击、虚机及镜像破坏等2 .网元功能层安全,如非法用户接入网络、对网元间接口的非法访问、数据的监听和墓改3 .管理编排、能力开放的安全,如非法用户访问、权限滥用攻击、数据安全等2.2.3 MEc安全风险分析5GMEC平台从组网架构、业务服务
13、方式、运营模式等方面进行分析,主要涉及的风险包括网络安全风险、应用安全风险、计算环境安全风险、数据安全风险,详细如下表:表2-3MEC安全风险分析风险点风险分析网络安全风险1 .设备接入风险,边缘设备通过不安全协议/非法接入网络2 .网络攻击威胁,核心网网元、MEC平台遭受攻击3.网络配置缺陷,配置不当引起安全问题应用安全风险1.MEC应用安全隔离,权限界面模糊,业务未相互安全隔离,存在数据丢失、泄密及资源挤占的风险2.恶意应用,由于应用安全检测及限制,恶意应用入驻引起恶意消耗平台资源引发DDOS攻击、窃取数据和用户信息、扩散非法内容等安全风险3 .应用管理编排不当4 .安全漏洞,MEC应用存
14、在后门等漏洞隐患计算环境风险1.设备配置缺陷2 .管理通道安全设备安全漏洞3 .设备级安全防护设备及措施不足,无法及时发现、拦截和响应针对设备的非法访问、入侵等安全风险。4 .硬件、平台、系统、容器等载体存在安全漏洞所引起的安全风险数据安全风险1 .数据损毁风险,遭受攻击损坏数据,未有相关数据的容灾备份、恢复机制2 .数据篡改风险,因SQ1.注入、XSS注入等外部攻击入侵造成的数据篡改风险3 .数据泄露风险,业务应用数据和用户个人敏感隐私数据的泄露问题224边界安全风险分析边界安全风险是指5G网络之间及5G专网网络与其他网络之间等不同网络之间进行信息交互时所产生的安全风险,包括安全分区分域、网
15、络访问控制、远程管理、网络边界安全等风险点,详细如下表:表2-4边界安全风险分析风险点风险分析安全分区分域1.未合理分区分域重要网元遭受到网络攻击威胁,容易造成网络瘫痪网络访问控制1.由于网络连接、资源分配、UPF的访问控制策略配置不当及多MEC平台间管理编排调度不当而引起的安全风险远程管理风险1.远程管理控制软件与平台相关功能网元之间的控制传输安全风险,包括控制传输流量、上报资源状态和业务信息被监听、窃取、柒改等安全风险网络边界安全风险1.由于网络级IDS、抗DDOS、防火墙等防攻击手段落后,或未署网络告警管理、安全资源管理、安全审计措施等,导致无法及时发现、拦截和响应来自网络层面的非法访问
16、、入侵等安全风险2.2.5 管理安全风险分析5G专网管理安全风险主要为5G专网安全态势及安全管理能力不足而引起的安全隐患;运维规范问题及运维通道安全不可信等引起的安全风险,包括安全态势、安全设备管理、运维管理、运维通道风险等风险点,详细如下表:表2-5运维管理安全风险分析风险点风险分析安全态势风险1.资产信息存在隐藏安全风险,存在漏洞2 .缺少对安全整体态势,缺乏主动探测风险、威胁研判的能力3 .遭受攻击难于及时响应,无法溯源取证安全设备管理风险1 .运营难度大,运维与租户无独立管理界面,安全业务管理界面模糊2 .专网安全涉及设备种类多,安全设备未统纳管,设备管理复杂3 .专网及MEC安全事件
17、分散,安全问题难于定位,运维难度大运维管理风险1.运营商MEC及专网设备下沉园区,运维权限划分界限模糊2.运维操作权限划分不清晰,操作规范难于约束,违规运维容易造成网络故障运维通道风险I.远程运维存在管理终端不可信、越权访问非法入侵风险,运维通道不可信03面向5G专网,构建端到端的安全解决方案3.1 5G专网安全体系通用架构为解决5G专网面临的潜在安全风险,满足多种形态的专网安全需求,安全通用架构以5G专网安全能力为基础,结合行业应用场景的差异化环境,提出5G专网安全体系通用架构。5G专网安全体系通用架构主要针对5G专网安全风险威胁构建全方位、端到端的专网安全管理能力,满足不同行业客户业务发展
18、带来的安全诉求,赋能5G专网全场景,保障5G专网端到端业务安全,为5G专网应用发展保驾护航。其中5G专网安全能力包括终端安全、网络安全、MEC安全、边界安全、管理安全五个维度,如图3-1所示:图3-15G专网安全体系通用架构图3.2 终端安全终端包括5G终端及CPE等,因自身计算能力、存储资源限制,对在终端上配置安全策略与执行安全控制难度较大,因此需从接入认证及终端资产管理方面来保障终端接入安全。3.2.1 终端多重安全接入机制通过多重认证机制、多重访问控制实现专网终端安全接入,实现用户接入和业务接入时的安全防护,如下图所示。位置访问控制利用先进的无线移动网络和电子信息技术,能够对特定的区域或
19、指定的人员进行精图3-25G专网多重认证机制终端接入5G网络时,通过核心网的5G主认证和切片认证实现终端的基本认证及访问控制,在终端通过5G网络接入到企业网时,可进一步进行二次认证功能,实现更丰富认证和接入控制能力。(1)二次认证在5G移动网络的主认证鉴权的基础上,引入企业二次认证服务器DN-AAA,对会话建立进行再认证,从而增强了企业对用户身份的鉴别能力以及对会话的管理控制能力,提升终端接入的安全性。图3-35G专网主认证与二次认证(2)位置访问控制确管控。用户只能在园区覆盖的基站下才能访问,出了园区不能访问:同时只允许指定接入的访问才能分流到园区内网。(3)多重认证控制点基于二次认证机制,
20、企业可以自主地采用IMSI、IMEI、位置标识组合检验的方式,实现机卡绑定、接入位置控制等功能。终端接入可由5GC与DNIAM(身份识别与访问管理)分别实施控制决策。表3-1多重认证控制点控制点控制内容安全能力控制决策点1终端可否接入运营商5G网络5G网络主认证5GC(由运营商管理和控制)2终端接入时进行二次鉴权和认证VPDN5GC3终端可否接入企业5G网络企业网络企业自主认证DN-AAA(5GC和IAM协同,行业可自管理)4合法SlM卡是否在合法终端上使用机卡绑定控制DN-AAA(5GC和IAM协同,行业可自管理)5终端能在哪些位置接入到企业5G网络电子围栏控制DN-AAA(5GC和IAM协
21、同,行业可自管理)6终端能否接入企业切片切片隔离5GC(IMSI与切片ID的映射,由运营商管理)7终端能接入企业哪个业务区基于SlM卡信息的访问控制策略IAM、安全网关(行业可自管理,决定终端能够访问的业务)3.2.2 终端资产统一安全管理针对终端开展5G资产安全管理,对终端信息的采集、统计、查询及风险评估,根据终端在网络拓扑中的位置和业务访问关系对终端的属性、位置等特征进行检测,及时发现异常设备接入,如非法终端接入、非授权5G终端使用合法SlM卡接入。在统一的5G终端资产管理的基础上,通过流量的采集和建模分析,发现终端的异常行为检测,进而实现安全事件与资产的关联分析,呈现资产的威胁信息。3.
22、3 网络安全为应对5G引入后带来的安全威胁,建设一个安全的5G专网,通过对5G基站空口、5GC下沉、传输通道、切片等采取严格的安全防护策略,形成网络安全防护体系。如下图3-4:3.3.1 5G基站安全5G专网基站空口安全主要包括:无线空口安全、防空口DoS攻击、防伪基站攻击等。(1)无线空口安全机制:分为接入层安全机制和非接入层安全机制。接入层安全机制,用于NR和UE之间的安全,为RRC信令和用户面数据提供加密和完整性保护;非访问层安全性机制,用于AMF与UE之间的安全,为NAS信令提供加密和完整性保护:(2)防空口DoS攻击手段:针对网络侧造成DoS的威胁,,在AMF发送认证请求后,适当降低
23、等待回复的时间,加快等待状态中RRC连接的释放速率;在网络运维方面,结合KPl异常监测,以及用户投诉问题的情况,及时排查报警;(3)防伪基站攻击手段:虽然5G网络拥有用户隐私保护功能(将SUPl隐藏为SUC1)、用户面数据保护措施等,但是伪基站的问题在5G网络仍然存在。通过UE辅助测量,可分析出疑似伪基站,使用伪基站快速定位系统定位跟踪探测出伪基站,从根本上解决伪基站的威胁问题。3.3.2 5G下沉园区数据自治为了满足5G园区专网的可靠性和数据不出园区的需求,进步将5GC全部功能或部分功能下沉到边缘,实现专网专用、物理隔离和确定性S1.Ao核心网功能下沉的主要功能如下:(1)支持核心网业务全量
24、下沉,数据流动可控,确保关键信息不出园区:(2)在园区与公网失联场景下,支持连接态用户业务惯性运行,在线业务流可保持24小时;(3)下沉5GC控制面作为备份,支持移动终端通过园区应急控制面重建传输通道,实现业务快速恢复;(4)下沉UPF在转发层面通过访问控制列表(AC1.)方式控制,禁止下沉UPF访问除指定SMF以外的公网,并5GC通过流量限速防范DOS攻击;路由层面屏蔽除SMF以外的其他网元信息;业务层面开启与SMF之间双向认证,同时建立针对信令流量的监测阻断机制。3.3.3 传输通道加密5G网络与企业网之间的边界、网元之间的数据传输的安全性。(1)网元之间的安全通信通过IPSeC来实现,提
25、供数据源认证、数据完整性和数据机密性等保护措施;(2)网管和网元之间数据传输采用各种安全协议,禁用不安全的传输协议,如telnet/ftp等;(3)网元和网管传愉层之间采用T1.SI.2协议。crMWW5GC图3-4网络&传输安全架构确NF,在AMF中监测请求频率:3.3.4 端到端切片安全隔离由于5G专网切片之间的资源共享性和网络可编程接口的开放性,因此必须保证端到端切片的安全隔离,具体机制如图3-5所示。(1)切片接入安全:当UE访问不同切片内的业务时,各网络切片不能共享PDU会话;(2)公共NF与切片NF的安全:通过白名单机制配置访问控制列表,严格控制公共NF和切片NF之间的互访关系,同
26、时NSSF保证AMF连接正(3)切片间安全:应采用V1.AN/Vx1.AN进行网络隔离、虚机/容器进行资源隔离,并对不同客户的管理员进行授权,实现对切片资源的分权分域管理;(4)5GC与DN之间的安全:5G网络数据面出口(如UPF与垂直行业DN)之间部署边界防火墙、访问控制、抗DDOS等设备防止外部攻击,通过IPSec或SS1.VPN保证安全连接;(5)切片能力开放安全:当运营商切片管理平台对垂直行业开放时,在对外接口采用鉴权认证机制,并应进行详细接入策略控制,通过IPSeC或SS1.VPN保证接入链路安全。皇个公艮,s於*令日W单Wjra&访MVlKMrttiEWt切学令A*Qm,MMIKw
27、QTSS1.EWt5QC,BN之M的以令T5crSaErff图3-5切片安全隔离方案3.4MEC安全MEC安全技术可分为网络安全、计算环境安全、应用安全、数据安全及物理安全等5个维度。3.4. 1.MEC网络安全防护MEC平台本身承载客户业务应用系统,面临着大量的网络访问请求,包含业务访问、业务管理、运维管理访问等,MEC平台自身应做好网络安全防护工作及网络隔离,建议采用以下安全措施来降低MEC平台网络层面安全风险。(1)访问控制:MEC和5GC之间部署防火墙隔离进行边界防护,仅允许信令及OM相关的数据流量通过防火墙:在UPF的N6接口部署网络防火墙进行流量安全控制,设置UPF白名单规则,针对
28、N4、N6、N9接口分别设置专门的VRF;(2)安全隔离:将UPF和MEP与MEC应用之间进行安全隔离,通V1.AN等方式将MEC应用之间进行隔离;对UPF和SMF的N4接口流量进行安全访问控制,并在MEC与核心网之间部署网络防火墙进行安全流量控制;(3)安全检测与监测:5G网络提供对UPF数据面攻击流量的实时特征进行检测,识别UPF与外部DN的可疑流量。并且提供5G场景下的用户行为分析UEBA,通过模式识别、深度学习等手段发现5G网络用户和网络节点的异常行为,实现对未知威胁的发现和监测;(4)入侵防范措施:在边界部署抗DDoS攻击、入侵检测、访问控制、Web流量检测等安全能力,实现边界安全防
29、护。包括最小化安装软件原则、关闭不需要要的系统服务/端口、支持漏洞监测和及时修补、部署防恶意代码软件/入侵监测系统、对设备进行安全基线配置、支持敏感数据的加密传输和存储、支持软件包校验等。3.4.2. MEC计算环境安全防护MEC计算环境通过对镜像与环境进行安全防护,并采用严格资源管理机制与安全审计等安全防护措施,防范攻击者利用HoStoS或虚拟化软件漏洞篡改容器或虚机镜像,或针对容器或虚机发起容器逃逸、DDOS等攻击。(1)镜像安全:开发阶段应要求开发者对容器镜像及中间过程镜像进行漏洞扫描,同时对第三方甚至自有应用/代码进行安全检查:部署阶段应由MEC平台对镜像仓库进行安全监管,对上传的第三
30、方/自有容器镜像进行漏洞扫描;运行阶段应支持容器实例跟宿主机之间的内核隔离。(2)环境安全:使用防火墙隔离手段防止容器之间的非法访问,对环境内的第三方进程进行监控:在虚拟化平台层面部署APl安全网关来对容器管理平台的APl调用情况进行安全监控,防止非法恶意APl调用:对虚拟化编排管理实体进行安全加固,登录需要进行认证授权,防止管理面被攻击。(3)资源管理机制:保证虚拟机仅能使用为其分配的计算资源,限制单个用户或进程对系统资源的最大使用限度,并通过资源预留等方式确保某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机运行。(4)安全审计:对用户行为、系统资源的异常使用、系统命令的使用和安全事件进行审计
31、,依据关法律法规要求进行留存,并对审计记录采取防篡改、窃取保护。3.4.3. 应用安全防护MEC中的应用在部署前应完成安全评估保证应用通信安全,通过MEP实现对应用安全隔离、检测与监测。(1)应用部署安全:当第三方MECAPP部署在运营商的MEC节点时,应进行安全评估,包括身份验证、安全合规检查和审核、执行病毒扫描等:MECAPP与MEP或其它MECAPP进行通信时,应对进行身份验证,并对传输的数据进行机密性和完整性保护。(2) MEP安全:MEP采用微服务隔离、V1.AN隔离、VFW等机制,实现行业APP间的按需安全隔离,提供MEC内部南北向及东西向流量的安全防护,并提供全面安全检测与监测能
32、力。3.4.4. 数据安全防护MEC采取严格数据安全保护措施,对各类数据进行全生命周期的保护,防止数据损毁、数据泄露、数据篡改等安全风险。(1)数据采集:将涉及用户隐私的数据信息加以标识,在每个MEC节点的数据入口通过防火墙进行隔离,按照最小化原则关掉所有不必要的服务及端口,对于增加标识的重要数据进行完整性、机密性及防复制的保护。(2)数据传输:采用独享式UPF,网络侧配置数据U1.C1.分流策略,本地做分流规则自检与IP/FQDN一致性检查,保证本地分流数据不出企业、数据传输过程中的加密。(3)数据存储:数据应加密存储,采用加密的安全方式存储和传输用户口令等身份鉴别信息,防止用户鉴别认证信息
33、泄露而造成身份冒用,同时边缘MEP应提供对APP数据的安全存储,涉及行业5G用户的位置、标识等信息应在MEP中加密存储。(4)数据处理:依据行业相关标准规范对重要、敏感数据进行分类分级处理。对于存储的数据需要识别重要数据并进行安全备份和恢复,保障业务稳定运行。(5)数据共享:对MEP关键数据进行监测审计,对APl接口行为监控,支持MEC边缘流量常见攻击行为的监测,例如漏洞利用、非授权访问攻击、拒绝服务攻击等。(6)数据销毁:保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除,虚机内存、存储空间在回收时完全清除。3.45MEC物理安全MEC物理安全满足YD/T1754-2008电信和互联网
34、物理环境安全等级保护要求、GB/T22239-2019信息安全技术网络安全等级保护基本要求的安全要求。3.5 边界安全5G专网边界安全主要考虑如何从部署、配置和管理上对5G网络的安全提供防护手段,从而防止5G网络遭受外部和内部的攻击,并能够对已经产生的安全风险进行控制。5G网络提供运营商资产与垂直行业网络资产(包括服务器、交换机等物理资产,以及在物理资源上的应用、数据等虚拟资产)之间的安全边界防护能力,保障网络边界安全。3.5.1 分区分域精准防御根据运营需求和网元功能,将网元进行安全等级分类,根据网元安全等级划分安全域。按照安全域之间的互通原则,在不同等级的安全域之间进行互通时,需要进行边界
35、防护。跨域的数据传输必须受安全策略控制,例如在域间配置防火墙、VPN、IPS等;安全资源域内的数据传输,根据需要配置安全控制,例如VNF之间配置防火培3VNF之间增加相互认证机制等3.5.2 边界访问控制隔离在5G专网的网络安全隔离上,应考虑运营商侧与垂直行业主体侧双方对安全的诉求。垂直行业主体侧明确垂直行业资产与5G网络的边界,并在边界位置部署访问控制、网络隔离等安全防护措施,如通过网闸、正反向隔离装置等对CT与OT域进行通信隔离。同时可考虑在网络边界上部署流量监测和防护措施,通过设置黑白名单、异常流量识别等机制对可能来自5G网络的非法访问和攻击流量进行识别和过滤。3.5.3 入侵防御安全审
36、计5G专网对不同的安全域之间实际的通信业务/流量部署对应的安全设备:例如抗DDoS、IDS/IPS、防火墙、漏洞扫描、网络安全审计等安全设备,支持过滤链路层、网络层、传输层非法报文,以确保对来自外网的流量以及APT攻击进行检测与防护。在此基础之上,构建边界、内网、网元入侵检测和处置能力,对边界攻击入侵进行监测和发现,并及时调整边界防护策略,对攻击者的网络地址、端口等进行限制。3.6 专网管理安全与运维安全3.6.1.5G专网运营安全管理为保证5G专网运营安全管理,引入安全态势感知平台及5G专网安全管理平台,形成对5G专网整体的安全感知能力及可控能力。(1)搭建态势感知平台,构建5G专网整体安全
37、感知能力搭建5G专网安全态势感知平台,基于机器学习、关联分析等能力,以5G专网网络设备、主机设备、安全设备、系统日志等多源数据为驱动,对5G专网各层次的资产信息进行关联,进行脆弱性分析,并在安全事件中寻找因果关系,追踪安全事件的源头,结合5G专网的网络运行状态及设备信息,进行安全态势评估,为5G专网提供智能的安全风险分析及威胁感知能力。全面提升安全感知能力,将5G专网安全战略由被动防御转向主动智能防御。平台架构如下图:MK1lr?士Nw图3-6专网安全态势感知架构(2)搭建5G专网安全管理平台,构建5G专网运营管理能力采用“集中+近源”的安全资源池的部署模式,通过搭建5G专网安全管理平台对专网
38、各类安全系统或安全能力进行纳管,结合网络编排能力,实现安全能力服务化。结合安全态势感知平台,可对信息资产、安全事件、安全风险、访问行为进行统一分析与监管,协助运维人员在发生安全事件时能够迅速发现问题,定位问题,处置问题。安全管理平台支持统一安全服务编排,统一安全业务一键发放,构建“可知、可见、可控”的5G专网安全管理体系。图3-75G专网安全管理体系架构1)安全多级协同管理:针对各级MEC存在的安全能力分散、缺乏安全能力统一调度、安全服务按需开通难等问题,专网安全管理平舍采用多级协同架构,实现对安全能力统一纳管及策略部署,提供弹性、灵活的安全服务。2)统一安全运营:多租户自运营及运营商自运营,
39、并支持从不同角色、不同维度向用户展示专网与MEC的安全能力信息,包括服务状态统计、服务资源统计、告警事件统计、用户账户信息、服务费用统计、工单统计、安全态势信息等。3)业务按需编排:对专网租户的流量进行灵活牵引,将各类安全能力组件进行服务链编排,实现5G专网安全技术白皮书*5G专网用户对安全服务按需申请,减少用户因自身安全能力不足而引起的各类安全风险问题,赋能5G专网业务。3.6.2.运维安全5G专网在实际的安全运行维护管理中,除了严格按规范流程执行之外,可通过有效运用运维管理技术手段,保障运维操作安全及运维通道安全,全方面提升运维管理风险控制能力。(1)运维操作安全通过建设4A平台及堡垒机实
40、现集中帐号管理、认证管理、授权管理、审计功能等能力,满足资产安全管控需求及运维IT常维护需要。帐号管理:包括主从帐号管理、主从帐号角色维护、密码定期更新以及密码策略管理等功能。认证管理:支持双因子认证,支持对不同用户设置不同认证方式组合的双因素认证,保障认证安全。授权管理:将相应的权限(资源)或角色授予用户或用户组的一系列维护管理操作。对用户授权后,用户即拥有访问目标资源的权限。审计管理:对专网的运维人员/租户管理用户的操作行为以及登录登出和操作资源的行为进行分析审计,具备记录完整操作过程、数据流回放技术、传输文件备份、日志搜索、展示关联行业的能力。(2)运维通道安全引入零信任SDP架构,在专
41、网网络、MEC平台与企业内网之间部署零信任接入网关及零信任控制器,针对运维人员、租户管理人员的安全接入管控,构建网络隐身、身份鉴别、传输加密等安全保障能力,实现在不安全的网络环境对应用和服务进行隔离,保证运维管理人员的运维通道安全及安全接入。045G专网安全应用案例探讨4.15G工厂制造基地安全应用案例应用总体介绍5G工厂围绕智能工厂数字化生产线、自动化测试及实时数据交互需求,突破5G工业互联网基础网络技术研究,联合建立企业级协同制造工业互联网iMES平台,实现不同典型业务场景下的5G工业互联网创新应用,打造“5G+智能制造”示范工厂。目前已部署的5G行业应用包括:5G云化AGV、巡逻机器人、
42、工业可穿戴、机器臂控制云化P1.C、机器视觉质检等。图4-15G工厂互联网基地安全需求该基地通过引入5G行业终端实现工厂智能转型,但智能化提升生产效率的同时也产生了更多的安全隐患,为应对种类繁多的安全威胁,需建立统一的安全态势感知与管控平台,对5G行业终端各环节进行监测,从而形成纵深的防护体系。安全方案实施方案涉及的三类组件,均使用纯软件方式部署,安全代理安装在行业终端(包括AGV、CPE、扫地机器人、摄像头等),物联网安全态势感知及安全监测系统都部署在业务边缘云虚拟环境中。图42工业互联网终端安全管控系统主要完成以下能力建设:(I)建立面向工业终端的实时安全监控防护能力对终端资产置入安全模块
43、,进行自身安全加固,对终端设备进行签名认证,感知周边安全。(2)建设统一终端安全态势感知与管控平台建立终端安全管控平台,对设备的安全状态实时监控,运用大数据、动态预警、系统漏洞检测等多项关键技术,对范围内的网络设备进行安全漏洞主动发现,及时感知海量设备的漏洞及风险情况,实现终端设备的安全态势感知和通报预警,达到及时感知网络风险所在,辅助相关部门进行安全整改。(3)形成周期性的终端安全监测评估机制为终端资产进行安全监测,智能感知终端安全状态信息,从终端的资产出发,关注终端资产状态、弱口令、系统漏洞等威胁信息,结合多角度、多维度分析终端的安全事件,为工业终端安全管控构建管理平台。同时在终端侧安装安
44、全代理,只需要简单适配开发工作,即可使得工业终端具备安全检测、数据安全加密功能。4.25G智能驾驶示范区安全应用案例应用总体介绍智能车联网引入5G网络边缘安全,以车联网综合标准化体系建设指南为指导,从网络切片隔离、实时业务保障、空口安全、端到端数据安全、终端接入认证以及安全运维管理等方面进行设计,实现终端全链路的安全,满足智能驾驶的各类安全需求。图4-45G智能驾驶安全安全需求目前5G智能驾驶无法保证端到端的链路安全,需要补齐全链路的接入安全与网络威胁全面感知能力,保证安全的同时提高安全事故处置效率。安全方案通过从逻辑结构上将5G智能驾驶示范区网络进行安全区划分,同时考虑到边缘数据中心内部有不
45、同的应用区,依照功能属性对其进行安全域划分为:5G接入区、5G边缘区、5G核心网区、智能驾驶业务区以及运维管理区。为了保证终端接入的安全,综合5G网络的安全准入能力和终端安全管理功能,通过多种终端类型双向接入认证、访问控制、机卡绑定、IP地址分配等多种手段,提供了严格的端到端网络安全保护措施。2MJ/XMaOnUS图455G认证和终端安全管理同时建设5G专网态势感知平台,通过安全探针对5G专网的网络流量进行深度包解析和流解析,实现对网络威胁的全面有效检测,进一步从多维视角对安全态势进行描绘,实现了安全综合态势、攻击态势、资产安全态势、风险态势等场多种态势感知场景,建立了安全威胁检测与响应体系,
46、及时发现各类来自内部和外部的安全威胁,,进行主动进行响应和处置,缩短安全威胁的检测周期,提升恢复效率。应用总体介绍钢铁厂积极推动5G+工业互联网,通过5G的主认证和二次认证机制、切片隔离机制、MEC技术,保证终端的接入和数据传输的安全。但由于钢厂网络中有大量的传统工业终端,这些终端并没有5G的接入能力,采用WIFI或有线方式先接入到5GCPE,再通过5GCPE接入到网络中。当终端接入时,5GCPE为接入的终端分配内网地址,并执行NAPT功能,建立终端与位于MEC或园区网中工业互联网应用之间的数据连接。由于使用NApT,网络和业务无法看到终端的网络接入情况,影响了终端的可信度,因此希望引入零信任安全加强终端的管理,尤其是对传统终端的管理。安全需求现有传统工业终端的网络接入情况不可知,接入安全不可靠,对非5G工业互联网终端进行信任管理、管控,增强系统的安全性,最终实现终端接入可管、可控、可信。安全方案基于工业互联网零信任参考架构,在现有的物联网管理平台的基础上,引入
