【中國聯(lián)通】5G專網(wǎng)安全技術(shù)白皮書2023

5G專網(wǎng)安全技術(shù)白皮書前言參與編寫單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司廣東省分公司中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院中訊郵電咨詢設(shè)計院有限公司中興通訊股份有限公司深信服科技股份有限公司專家顧問：莫俊彬、潘桂新、徐雷、馮銘能、郝振武、張瑜編寫組成員：李文彬、彭健、張曼君、聶勛坦、謝澤鋮、郭新海、賈寶軍、韋秀林、林友建、張哲、徐高峰、張可原、趙馬煜、曾金杯、封華進隨著我國5G規(guī)模商用，5G專網(wǎng)憑借優(yōu)秀的通信性能、靈活的組網(wǎng)部署、差異化的能力定制，在工業(yè)制造、能源、礦山、交通、物流、醫(yī)療、教育、媒體娛樂等領(lǐng)域越來越多的被應(yīng)用，持續(xù)賦能千行百業(yè)數(shù)字化應(yīng)用場景創(chuàng)新及信息化業(yè)務(wù)演進，加速行業(yè)數(shù)字化智能化轉(zhuǎn)型。5G專網(wǎng)給行業(yè)客戶帶來優(yōu)質(zhì)服務(wù)、高效生產(chǎn)、智能業(yè)務(wù)的同時，也帶來了潛在的安全風(fēng)險。5G專網(wǎng)涉及多個安全域，在滿足行業(yè)應(yīng)用需求、引進新技術(shù)、提高生產(chǎn)效率和服務(wù)水平的同時，也打破了原本封閉的網(wǎng)絡(luò)環(huán)境，使得網(wǎng)絡(luò)邊界變得越來越模糊，因此，需要針對不同行業(yè)應(yīng)用場景部署滿足行業(yè)應(yīng)用需求的安全能力，為行業(yè)客戶提供更全面的安全保障。為了保障5G的安全發(fā)展，國家高度重視，在政策上給予了大力支持。工業(yè)和信息化部發(fā)布了《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》，要求加快行業(yè)虛擬專網(wǎng)落地，全面加強網(wǎng)絡(luò)和數(shù)據(jù)安全保障體系和能力建設(shè)，持續(xù)提升新型數(shù)字基礎(chǔ)設(shè)施安全管理水平，打造國際領(lǐng)先的5G安全保障能力，全面構(gòu)建基礎(chǔ)安全管理體系；并聯(lián)合十部門在《5G應(yīng)用“揚帆”行動計劃（2021-2023年）》中，明確了未來我國5G發(fā)展的目標(biāo)和重點任務(wù)。網(wǎng)絡(luò)安全是國家安全的重要基石，對5G專網(wǎng)來說，如何滿足我國相關(guān)安全政策、行業(yè)標(biāo)準(zhǔn)、規(guī)范要求，貫徹落實黨中央、國務(wù)院決策部署，解決5G專網(wǎng)的安全問題，建立主動安全防御體系，進一步保障行業(yè)客戶的利益，已成為5G專網(wǎng)需要解決的核心問題之一。本白皮書將重點梳理5G專網(wǎng)安全訴求，分析各類安全風(fēng)險產(chǎn)生的原因，提出端到端的安全解決方案建議，為5G專網(wǎng)安全技術(shù)實施與行業(yè)應(yīng)用場景落地提供具有建設(shè)性意義的參考。 15G專網(wǎng)發(fā)展概述隨著中國聯(lián)通發(fā)布5G行業(yè)專網(wǎng)產(chǎn)品體系2.0、中國移動發(fā)布5G專網(wǎng)技術(shù)體系2.0，5G專網(wǎng)已逐步從1.0時代向2.0時代邁進，網(wǎng)絡(luò)形式由ToB通用網(wǎng)絡(luò)向個性化定制的網(wǎng)絡(luò)演進。截止2022年，我國三大運營商均已推出了擁有自己特色的5G專網(wǎng)服務(wù)產(chǎn)品，并建成了大量的商用行業(yè)5G專網(wǎng)，實現(xiàn)在工業(yè)制造、電力、醫(yī)療、交通、港口、物流、教育等行業(yè)廣泛部署，并實現(xiàn)多個技術(shù)突破和成功案例。以中國聯(lián)通為例，中國聯(lián)通推出的5G專網(wǎng)產(chǎn)品體系2.0“5G專網(wǎng)PLUS”,實現(xiàn)網(wǎng)絡(luò)跨越、行業(yè)跨越、服務(wù)跨越三大跨越，提供了更強網(wǎng)絡(luò)、更懂行業(yè)和更優(yōu)服務(wù)，構(gòu)建了基于流量和切片模式、基于網(wǎng)絡(luò)+平臺+應(yīng)用模式、網(wǎng)絡(luò)+平臺+集成服務(wù)模式等3種商業(yè)模式，分別滿足5GToB客戶的不同需求，以5G專網(wǎng)帶動行業(yè)DICT的收入增長。通過布局5G“7+9+9”行業(yè)應(yīng)用，深耕重點垂直行業(yè)，匯聚科技創(chuàng)新能力，集結(jié)行業(yè)專家，聚合生態(tài)力量，面向全國一點支撐，基于5G、“云大物智鏈安”等自主能力，錘煉“專精特新”的“獨門絕技”，推進創(chuàng)新鏈、產(chǎn)業(yè)鏈、價值鏈融合發(fā)展。在數(shù)字政府領(lǐng)域中，中國聯(lián)通與廣東政數(shù)局合作，打造了全國首個省級5G政務(wù)專網(wǎng)，創(chuàng)新性地推進了廣東省5G基層治理、5G智慧防疫、5G智慧應(yīng)急、智慧城市管理等多個應(yīng)用場景落地，促進5G技術(shù)與政務(wù)服務(wù)的深入融合，不斷地助力廣東政數(shù)局提升政府公共服務(wù)、社會治理的數(shù)字化、智能化水平。當(dāng)前我國5G網(wǎng)絡(luò)覆蓋廣度、深度持續(xù)提升，邊緣計算和智能網(wǎng)絡(luò)切片技術(shù)不斷進步、融合，5G專網(wǎng)能力不斷增強，5G專網(wǎng)作為數(shù)字化轉(zhuǎn)型的新引擎，將持續(xù)賦能千行百業(yè)數(shù)智化轉(zhuǎn)型升級、拓展生產(chǎn)效能。25G網(wǎng)絡(luò)演進的趨勢是向網(wǎng)元虛擬化、架構(gòu)開放化、編排智能化方向發(fā)展，這為5G專網(wǎng)服務(wù)能力的靈活化、定制化提供了有力的技術(shù)保障，以中國聯(lián)通5G專網(wǎng)產(chǎn)品為例，5G專網(wǎng)產(chǎn)品主要包括：5G虛擬專網(wǎng)、5G混合專網(wǎng)以及5G獨立專網(wǎng)。5G虛擬專網(wǎng)產(chǎn)品是中國聯(lián)通基于5G公眾網(wǎng)絡(luò)資源，利用端到端QoS或切片技術(shù)，為客戶提供一張時延和帶寬有保障的、與中國聯(lián)通公眾網(wǎng)絡(luò)普通用戶數(shù)據(jù)隔離的虛擬專有網(wǎng)絡(luò)，網(wǎng)絡(luò)架構(gòu)如下圖所示：圖1-15G虛擬專網(wǎng)網(wǎng)絡(luò)架構(gòu)圖5G獨立專網(wǎng)產(chǎn)品采用專有無線設(shè)備和核心網(wǎng)一體化設(shè)備，為行業(yè)用戶構(gòu)建一張物理封閉、低時延、高帶寬的基礎(chǔ)連接網(wǎng)絡(luò)，實現(xiàn)用戶數(shù)據(jù)與中國聯(lián)通公眾網(wǎng)絡(luò)數(shù)據(jù)完全隔離，網(wǎng)絡(luò)架構(gòu)如下圖所示：圖1-25G獨立專網(wǎng)網(wǎng)絡(luò)架構(gòu)圖5G混合專網(wǎng)產(chǎn)品采用核心網(wǎng)控制面共有化部署，行業(yè)用戶UPF網(wǎng)元私有化部署，無線基站、核心網(wǎng)控制面網(wǎng)元根據(jù)客戶需求靈活部署的模式，為用戶提供部分物理獨享的5G專用網(wǎng)絡(luò)。滿足行業(yè)用戶大帶寬、低時延、數(shù)據(jù)不出園區(qū)的需求。網(wǎng)絡(luò)架構(gòu)如下圖所示：圖1-35G混合專網(wǎng)網(wǎng)絡(luò)架構(gòu)圖35G專網(wǎng)安全訴求及風(fēng)險分析5G規(guī)模商用以后，國家層面高度重視5G行業(yè)的安全發(fā)展，陸續(xù)出臺了多項政策要求與標(biāo)準(zhǔn)，鼓勵5G行業(yè)發(fā)展與創(chuàng)新的同時把安全放在全新的高度，護航5G專網(wǎng)賦能各行各業(yè)數(shù)字化轉(zhuǎn)型。《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定：國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止數(shù)據(jù)泄露或者被竊取、篡改的安全義務(wù)。《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版本將網(wǎng)絡(luò)基礎(chǔ)設(shè)施（廣電網(wǎng)、電信網(wǎng)、專用通信網(wǎng)絡(luò)等）、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等納入了保護對象?！吨腥A人民共和國數(shù)據(jù)安全法》明確提出對數(shù)據(jù)全生命周期各環(huán)節(jié)的安全保護義務(wù)，加強風(fēng)險監(jiān)測與身份核驗，結(jié)合業(yè)務(wù)需求，從數(shù)據(jù)分級分類到風(fēng)險評估、身份鑒權(quán)到訪問控制、行為預(yù)測到追蹤溯源、應(yīng)急響應(yīng)到事件處置，全面建設(shè)有效防護機制，保障數(shù)字產(chǎn)業(yè)蓬勃健康發(fā)展。工信部印發(fā)的《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》中明確要求全面推進5G網(wǎng)絡(luò)建設(shè)，加快5G獨立組網(wǎng)（SA）規(guī)模優(yōu)化產(chǎn)業(yè)園區(qū)、港口、廠礦等場景5G覆蓋，推廣5G行業(yè)虛擬專網(wǎng)建設(shè)。要求運營商全面加強網(wǎng)絡(luò)和數(shù)據(jù)安全保障體系和能力建設(shè)，持續(xù)提升新型數(shù)字基礎(chǔ)設(shè)施安全管理水平，打造國際領(lǐng)先的5G安全保障能力，全面構(gòu)建基礎(chǔ)安全管理體系；并嚴(yán)格落實《數(shù)據(jù)安全法》、《個人信息保護法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，積極推動《電信法》等立法工作，加快完善信息通信行業(yè)相關(guān)規(guī)章制度。（2021-2023年）》中提出開展提升5G應(yīng)用安全提升行動，強化5G應(yīng)用安全供給支撐服務(wù)；支持5G安全科技創(chuàng)新與核心技術(shù)轉(zhuǎn)化，鼓勵5G安全創(chuàng)新企業(yè)入駐國家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)；加強5G安全服務(wù)模式創(chuàng)新，推動5G安全技術(shù)合作和能力共享，鼓勵跨行業(yè)、跨領(lǐng)域制定融合應(yīng)用場景安全服務(wù)方案；加強5G網(wǎng)絡(luò)安全威脅信息發(fā)現(xiàn)共享與協(xié)同處置。system》，對5G安全體系結(jié)構(gòu)概述，對5G網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用域安全等等安全域進行說明，規(guī)范了5G核心網(wǎng)絡(luò)周邊的安全實體、5G核心網(wǎng)絡(luò)中的安全實體，并制定了安全要求和功能的標(biāo)準(zhǔn)規(guī)范。中國通信標(biāo)準(zhǔn)化協(xié)會發(fā)布了YD/T4056-2022《5G多接入邊緣計算平臺通用安全防護要求》、YD/T3628-2019《5G移動通信網(wǎng)安全技術(shù)要求》，對5G的安全性進行了全方位的描述，涵蓋5G網(wǎng)絡(luò)的安全架構(gòu)、安全需求、安全功能要求以及相關(guān)安全流程等方面的標(biāo)準(zhǔn)制定。45G專網(wǎng)的安全風(fēng)險包含終端安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、MEC安全風(fēng)險、邊界安全風(fēng)險、管理安全風(fēng)險。圖2-15G專網(wǎng)總體安全分風(fēng)險分析2.2.1終端安全風(fēng)險分析5G專網(wǎng)終端分為兩大類，分別是5G終端（如5GCPE、5GDongle和物聯(lián)終端內(nèi)的5G模組）和其它非5G終端（如普通攝像頭、PLC和AGV等可以通過連接5GCPE來接入5G網(wǎng)絡(luò)）。終端安全風(fēng)險點主要包括：終端物理安全、終端接入安全、終端數(shù)據(jù)傳輸安全及其它安全風(fēng)險，詳細(xì)如下表：表2-1終端安全風(fēng)險分析網(wǎng)絡(luò)安全風(fēng)險點主要包括：基站和無線空口安全、切片安全、傳輸安全及5GC安全，詳細(xì)如下表：表2-2網(wǎng)絡(luò)安全風(fēng)險分析52.2.3MEC安全風(fēng)險分析5GMEC平臺從組網(wǎng)架構(gòu)、業(yè)務(wù)服務(wù)方式、運營模式等方面進行分析，主要涉及的風(fēng)險包括網(wǎng)絡(luò)安全風(fēng)險、應(yīng)用安全風(fēng)險、計算環(huán)境安全風(fēng)險、數(shù)據(jù)安全風(fēng)險，詳細(xì)如下表：表2-3MEC安全風(fēng)險分析網(wǎng)絡(luò)安1.設(shè)備接入風(fēng)險，邊緣設(shè)備通過不安全協(xié)議/非法接入應(yīng)用安1.MEC應(yīng)用安全隔離，權(quán)限界面模糊，業(yè)務(wù)未相互安全2.惡意應(yīng)用，由于應(yīng)用安全檢測及限制，惡意應(yīng)用入駐引起惡意消耗平臺資源引發(fā)DDoS攻擊、竊取數(shù)據(jù)和計算環(huán)3.設(shè)備級安全防護設(shè)備及措施不足，無法及時發(fā)現(xiàn)、4.硬件、平臺、系統(tǒng)、容器等載體存在安全漏洞所引數(shù)據(jù)安1.數(shù)據(jù)損毀風(fēng)險，遭受攻擊損壞數(shù)據(jù)，未有相關(guān)數(shù)據(jù)2.數(shù)據(jù)篡改風(fēng)險，因SQL注入、XSS注入等外部攻擊入3.數(shù)據(jù)泄露風(fēng)險，業(yè)務(wù)應(yīng)用數(shù)據(jù)和用戶個人敏感隱私2.2.4邊界安全風(fēng)險分析邊界安全風(fēng)險是指5G網(wǎng)絡(luò)之間及5G專網(wǎng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間等不同網(wǎng)絡(luò)之間進行信息交互時所產(chǎn)生的安全風(fēng)險，包括安全分區(qū)分域、網(wǎng)絡(luò)訪問控制、遠(yuǎn)程管理、網(wǎng)絡(luò)邊界安全等風(fēng)險點，詳細(xì)如下表：表2-4邊界安全風(fēng)險分析域制策略配置不當(dāng)及多MEC平臺間管理編排調(diào)度不險2.2.5管理安全風(fēng)險分析5G專網(wǎng)管理安全風(fēng)險主要為5G專網(wǎng)安全態(tài)勢及安全管理能力不足而引起的安全隱患；運維規(guī)范問題及運維通道安全不可信等引起的安全風(fēng)險，包括安全態(tài)勢、安全設(shè)備管理、運維管理、運維通道風(fēng)險等風(fēng)險點，詳細(xì)如下表：表2-5運維管理安全風(fēng)險分析險險險6面向5G專網(wǎng),構(gòu)建端到端的安全解決方案為解決5G專網(wǎng)面臨的潛在安全風(fēng)險，滿足多種形態(tài)的專網(wǎng)安全需求，安全通用架構(gòu)以5G專網(wǎng)安全能力為基礎(chǔ)，結(jié)合行業(yè)應(yīng)用場景的差異化環(huán)境，提出5G專網(wǎng)安全體系通用架構(gòu)。5G專網(wǎng)安全體系通用架構(gòu)主要針對5G專網(wǎng)安全風(fēng)險威脅構(gòu)建全方位、端到端的專網(wǎng)安全管理能力，滿足不同行業(yè)客戶業(yè)務(wù)發(fā)展帶來的安全訴求，賦能5G專網(wǎng)全場景，保障5G專網(wǎng)端到端業(yè)務(wù)安全，為5G專網(wǎng)應(yīng)用發(fā)展保駕護航。其中5G專網(wǎng)安全能力包括終端安全、網(wǎng)絡(luò)安全、MEC安全、邊界安全、管理安全五個維度，如圖3-1所示:圖3-15G專網(wǎng)安全體系通用架構(gòu)圖7終端包括5G終端及CPE等，因自身計算能力、存儲資源限制，對在終端上配置安全策略與執(zhí)行安全控制難度較大，因此需從接入認(rèn)證及終端資產(chǎn)管理方面來保障終端接入安全。3.2.1終端多重安全接入機制通過多重認(rèn)證機制、多重訪問控制實現(xiàn)專網(wǎng)終端安全接入,實現(xiàn)用戶接入和業(yè)務(wù)接入時的安全防護，如下圖所示。圖3-25G專網(wǎng)多重認(rèn)證機制終端接入5G網(wǎng)絡(luò)時,通過核心網(wǎng)的5G主認(rèn)證和切片認(rèn)證實現(xiàn)終端的基本認(rèn)證及訪問控制，在終端通過5G網(wǎng)絡(luò)接入到企業(yè)網(wǎng)時，可進一步進行二次認(rèn)證功能，實現(xiàn)更豐富認(rèn)證和接入控制能力。（1）二次認(rèn)證在5G移動網(wǎng)絡(luò)的主認(rèn)證鑒權(quán)的基礎(chǔ)上，引入企業(yè)二次認(rèn)證服務(wù)器DN-AAA，對會話建立進行再認(rèn)證，從而增強了企業(yè)對用戶身份的鑒別能力以及對會話的管理控制能力，提升終端接入的安全性。圖3-35G專網(wǎng)主認(rèn)證與二次認(rèn)證（2）位置訪問控制位置訪問控制利用先進的無線移動網(wǎng)絡(luò)和電子信息技術(shù)，能夠?qū)μ囟ǖ膮^(qū)域或指定的人員進行精確管控。用戶只能在園區(qū)覆蓋的基站下才能訪問，出了園區(qū)不能訪問；同時只允許指定接入的訪問才能分流到園區(qū)內(nèi)網(wǎng)。（3）多重認(rèn)證控制點基于二次認(rèn)證機制，企業(yè)可以自主地采用IMSI、IMEI、位置標(biāo)識組合檢驗的方式，實現(xiàn)機卡綁定、接入位置控制等功能。終端接入可由5GC與DN-IAM（身份識別與訪問管理）分別實施控制決策。表3-1多重認(rèn)證控制點點1證234制5制673.2.2終端資產(chǎn)統(tǒng)一安全管理針對終端開展5G資產(chǎn)安全管理，對終端信息的采集、統(tǒng)計、查詢及風(fēng)險評估，根據(jù)終端在網(wǎng)絡(luò)拓?fù)渲械奈恢煤蜆I(yè)務(wù)訪問關(guān)系對終端的屬性、位置等特征進行檢測，及時發(fā)現(xiàn)異常設(shè)備接入，如非法終端接入、非授權(quán)5G終端使用合法SIM卡接入。在統(tǒng)一的5G終端資產(chǎn)管理的基礎(chǔ)上，通過流量的采集和建模分析，發(fā)現(xiàn)終端的異常行為檢測，進而實現(xiàn)安全事件與資產(chǎn)的關(guān)聯(lián)分析，呈現(xiàn)資產(chǎn)的威脅信息。8為應(yīng)對5G引入后帶來的安全威脅，建設(shè)一個安全的5G專網(wǎng)，通過對5G基站空口、5GC下沉、傳輸通道、切片等采取嚴(yán)格的安全防護策略，形成網(wǎng)絡(luò)安全防護體系。如下圖3-4：3.3.15G基站安全5G專網(wǎng)基站空口安全主要包括：無線空口安全、防空口DoS攻擊、防偽基站攻擊等。（1）無線空口安全機制：分為接入層安全機制和非接入層安全機制。接入層安全機制，用于NR和UE之間的安全，為RRC信令和用戶面數(shù)據(jù)提供加密和完整性保護；非訪問層安全性機制，用于AMF與UE之間的安全，為NAS信令提供加密和完整性保護；（2）防空口DoS攻擊手段：針對網(wǎng)絡(luò)側(cè)造成DoS的威脅，在AMF發(fā)送認(rèn)證請求后，適當(dāng)降低等待回復(fù)的時間，加快等待狀態(tài)中RRC連接的釋放速率；在網(wǎng)絡(luò)運維方面，結(jié)合KPI異常監(jiān)測，以及用戶投訴問題的情況，及時排查報警；（3）防偽基站攻擊手段：雖然5G網(wǎng)絡(luò)擁有用戶隱私保護功能（將SUPI隱藏為SUCI）、用戶面數(shù)據(jù)保護措施等，但是偽基站的問題在5G網(wǎng)絡(luò)仍然存在。通過UE輔助測量，可分析出疑似偽基站，使用偽基站快速定位系統(tǒng)定位跟蹤探測出偽基站，從根本上解決偽基站的威脅問題。3.3.25G下沉園區(qū)數(shù)據(jù)自治為了滿足5G園區(qū)專網(wǎng)的可靠性和數(shù)據(jù)不出園區(qū)的需求，進一步將5GC全部功能或部分功能下沉到邊緣，實現(xiàn)專網(wǎng)專用、物理隔離和確定性SLA。核心網(wǎng)功能下沉的主要功能如下：（1）支持核心網(wǎng)業(yè)務(wù)全量下沉，數(shù)據(jù)流動可控，確保關(guān)鍵信息不出園區(qū)；（2）在園區(qū)與公網(wǎng)失聯(lián)場景下，支持連接態(tài)用戶業(yè)務(wù)慣性運行，在線業(yè)務(wù)流可保持24小時；（3）下沉5GC控制面作為備份，支持移動終端通過園區(qū)應(yīng)急控制面重建傳輸通道，實現(xiàn)業(yè)務(wù)快速（4）下沉UPF在轉(zhuǎn)發(fā)層面通過訪問控制列表（ACL）方式控制，禁止下沉UPF訪問除指定SMF以外的公網(wǎng)，并5GC通過流量限速防范Dos攻擊；路由層面屏蔽除SMF以外的其他網(wǎng)元信息；業(yè)務(wù)層面開啟與SMF之間雙向認(rèn)證，同時建立針對信令流量的監(jiān)測阻斷機制。3.3.3傳輸通道加密5G網(wǎng)絡(luò)與企業(yè)網(wǎng)之間的邊界、網(wǎng)元之間的數(shù)據(jù)傳輸?shù)陌踩?。?）網(wǎng)元之間的安全通信通過IPSec來實現(xiàn)，提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和數(shù)據(jù)機密性等保護措施；（2）網(wǎng)管和網(wǎng)元之間數(shù)據(jù)傳輸采用各種安全協(xié)議，禁用不安全的傳輸協(xié)議，如telnet/ftp等；（3）網(wǎng)元和網(wǎng)管傳輸層之間采用TLS1.2協(xié)議。93.3.4端到端切片安全隔離由于5G專網(wǎng)切片之間的資源共享性和網(wǎng)絡(luò)可編程接口的開放性，因此必須保證端到端切片的安全隔離，具體機制如圖3-5所示。（1）切片接入安全：當(dāng)UE訪問不同切片內(nèi)的業(yè)務(wù)時，各網(wǎng)絡(luò)切片不能共享PDU會話；（2）公共NF與切片NF的安全：通過白名單機制配置訪問控制列表，嚴(yán)格控制公共NF和切片NF之間的互訪關(guān)系，同時NSSF保證AMF連接正確NF，在AMF中監(jiān)測請求頻率；（3）切片間安全：應(yīng)采用VLAN/VxLAN進行網(wǎng)絡(luò)隔離、虛機/容器進行資源隔離,并對不同客戶的管理員進行授權(quán)，實現(xiàn)對切片資源的分權(quán)分域管理；（4）5GC與DN之間的安全：5G網(wǎng)絡(luò)數(shù)據(jù)面出口（如UPF與垂直行業(yè)DN）之間部署邊界防火墻、訪問控制、抗DDoS等設(shè)備防止外部攻擊，通過IPSec或SSLVPN保證安全連接；（5）切片能力開放安全：當(dāng)運營商切片管理平臺對垂直行業(yè)開放時，在對外接口采用鑒權(quán)認(rèn)證機制，并應(yīng)進行詳細(xì)接入策略控制，通過IPSec或SSLVPN保證接入鏈路安全。MEC安全技術(shù)可分為網(wǎng)絡(luò)安全、計算環(huán)境安全、應(yīng)用安全、數(shù)據(jù)安全及物理安全等5個維度。3.4.1.MEC網(wǎng)絡(luò)安全防護MEC平臺本身承載客戶業(yè)務(wù)應(yīng)用系統(tǒng)，面臨著大量的網(wǎng)絡(luò)訪問請求，包含業(yè)務(wù)訪問、業(yè)務(wù)管理、運維管理訪問等，MEC平臺自身應(yīng)做好網(wǎng)絡(luò)安全防護工作及網(wǎng)絡(luò)隔離，建議采用以下安全措施來降低MEC平臺網(wǎng)絡(luò)層面安全風(fēng)險。（1）訪問控制：MEC和5GC之間部署防火墻隔離進行邊界防護，僅允許信令及OM相關(guān)的數(shù)據(jù)流量通過防火墻；在UPF的N6接口部署網(wǎng)絡(luò)防火墻進行流量安全控制，設(shè)置UPF白名單規(guī)則，針對N4、N6、N9接口分別設(shè)置專門的VRF；（2）安全隔離：將UPF和MEP與MEC應(yīng)用之間進行安全隔離，通VLAN等方式將MEC應(yīng)用之間進行隔離；對UPF和SMF的N4接口流量進行安全訪問控制，并在MEC與核心網(wǎng)之間部署網(wǎng)絡(luò)防火墻進行安全流量控制；（3）安全檢測與監(jiān)測：5G網(wǎng)絡(luò)提供對UPF數(shù)據(jù)面攻擊流量的實時特征進行檢測，識別UPF與外部DN的可疑流量。并且提供5G場景下的用戶行為分析UEBA，通過模式識別、深度學(xué)習(xí)等手段發(fā)現(xiàn)5G網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)節(jié)點的異常行為，實現(xiàn)對未知威脅的發(fā)現(xiàn)和監(jiān)測；（4）入侵防范措施：在邊界部署抗DDoS攻擊、入侵檢測、訪問控制、Web流量檢測等安全能力，實現(xiàn)邊界安全防護。包括最小化安裝軟件原則、關(guān)閉不需要要的系統(tǒng)服務(wù)/端口、支持漏洞監(jiān)測和及時修補、部署防惡意代碼軟件/入侵監(jiān)測系統(tǒng)、對設(shè)備進行安全基線配置、支持敏感數(shù)據(jù)的加密傳輸和存儲、支持軟件包校驗等。3.4.2.MEC計算環(huán)境安全防護MEC計算環(huán)境通過對鏡像與環(huán)境進行安全防護，并采用嚴(yán)格資源管理機制與安全審計等安全防護措施，防范攻擊者利用HostOS或虛擬化軟件漏洞篡改容器或虛機鏡像，或針對容器或虛機發(fā)起容器逃逸、DDoS等攻擊。（1）鏡像安全：開發(fā)階段應(yīng)要求開發(fā)者對容器鏡像及中間過程鏡像進行漏洞掃描，同時對第三方甚至自有應(yīng)用/代碼進行安全檢查；部署階段應(yīng)由MEC平臺對鏡像倉庫進行安全監(jiān)管，對上傳的第三方/自有容器鏡像進行漏洞掃描；運行階段應(yīng)支持容器實例跟宿主機之間的內(nèi)核隔離。（2）環(huán)境安全：使用防火墻隔離手段防止容器之間的非法訪問，對環(huán)境內(nèi)的第三方進程進行監(jiān)控；在虛擬化平臺層面部署API安全網(wǎng)關(guān)來對容器管理平臺的API調(diào)用情況進行安全監(jiān)控，防止非法惡意API調(diào)用；對虛擬化編排管理實體進行安全加固，登錄需要進行認(rèn)證授權(quán)，防止管理面被攻擊。（3）資源管理機制：保證虛擬機僅能使用為其分配的計算資源，限制單個用戶或進程對系統(tǒng)資源的最大使用限度，并通過資源預(yù)留等方式確保某個虛擬機崩潰后不影響虛擬機監(jiān)視器及其他虛擬機運行。（4）安全審計：對用戶行為、系統(tǒng)資源的異常使用、系統(tǒng)命令的使用和安全事件進行審計，依據(jù)關(guān)法律法規(guī)要求進行留存，并對審計記錄采取防篡改、竊取保護。3.4.3.應(yīng)用安全防護MEC中的應(yīng)用在部署前應(yīng)完成安全評估保證應(yīng)用通信安全，通過MEP實現(xiàn)對應(yīng)用安全隔離、檢測與監(jiān)測。（1）應(yīng)用部署安全：當(dāng)?shù)谌組ECAPP部署在運營商的MEC節(jié)點時，應(yīng)進行安全評估，包括身份驗證、安全合規(guī)檢查和審核、執(zhí)行病毒掃描等；MECAPP與MEP或其它MECAPP進行通信時，應(yīng)對進行身份驗證，并對傳輸?shù)臄?shù)據(jù)進行機密性和完整性保護。（2）MEP安全：MEP采用微服務(wù)隔離、VLAN隔離、vFW等機制，實現(xiàn)行業(yè)APP間的按需安全隔離，提供MEC內(nèi)部南北向及東西向流量的安全防護，并提供全面安全檢測與監(jiān)測能力。3.4.4.數(shù)據(jù)安全防護MEC采取嚴(yán)格數(shù)據(jù)安全保護措施，對各類數(shù)據(jù)進行全生命周期的保護，防止數(shù)據(jù)損毀、數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全風(fēng)險。（1）數(shù)據(jù)采集：將涉及用戶隱私的數(shù)據(jù)信息加以標(biāo)識，在每個MEC節(jié)點的數(shù)據(jù)入口通過防火墻進行隔離，按照最小化原則關(guān)掉所有不必要的服務(wù)及端口，對于增加標(biāo)識的重要數(shù)據(jù)進行完整性、機密性及防復(fù)制的保護。（2）數(shù)據(jù)傳輸：采用獨享式UPF，網(wǎng)絡(luò)側(cè)配置數(shù)據(jù)ULCL分流策略，本地做分流規(guī)則自檢與IP/FQDN一致性檢查，保證本地分流數(shù)據(jù)不出企業(yè)、數(shù)據(jù)傳輸過程中的加密。（3）數(shù)據(jù)存儲：數(shù)據(jù)應(yīng)加密存儲，采用加密的安全方式存儲和傳輸用戶口令等身份鑒別信息，防止用戶鑒別認(rèn)證信息泄露而造成身份冒用，同時邊緣MEP應(yīng)提供對APP數(shù)據(jù)的安全存儲，涉及行業(yè)5G用戶的位置、標(biāo)識等信息應(yīng)在MEP中加密存儲。（4）數(shù)據(jù)處理：依據(jù)行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范對重要、敏感數(shù)據(jù)進行分類分級處理。對于存儲的數(shù)據(jù)需要識別重要數(shù)據(jù)并進行安全備份和恢復(fù)，保障業(yè)務(wù)穩(wěn)定運行。（5）數(shù)據(jù)共享：對MEP關(guān)鍵數(shù)據(jù)進行監(jiān)測審計，對API接口行為監(jiān)控，支持MEC邊緣流量常見攻擊行為的監(jiān)測，例如漏洞利用、非授權(quán)訪問攻擊、拒絕服務(wù)攻擊等。（6）數(shù)據(jù)銷毀：保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除，虛機內(nèi)存、存儲空間在回收時完全清除。3.4.5.MEC物理安全MEC物理安全滿足YD/T1754-2008《電信和互聯(lián)網(wǎng)物理環(huán)境安全等級保護要求》、GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》的安全要求。5G專網(wǎng)邊界安全主要考慮如何從部署、配置和管理上對5G網(wǎng)絡(luò)的安全提供防護手段，從而防止5G網(wǎng)絡(luò)遭受外部和內(nèi)部的攻擊，并能夠?qū)σ呀?jīng)產(chǎn)生的安全風(fēng)險進行控制。5G網(wǎng)絡(luò)提供運營商資產(chǎn)與垂直行業(yè)網(wǎng)絡(luò)資產(chǎn)（包括服務(wù)器、交換機等物理資產(chǎn)，以及在物理資源上的應(yīng)用、數(shù)據(jù)等虛擬資產(chǎn)）之間的安全邊界防護能力，保障網(wǎng)絡(luò)邊界安3.5.1分區(qū)分域精準(zhǔn)防御根據(jù)運營需求和網(wǎng)元功能，將網(wǎng)元進行安全等級分類，根據(jù)網(wǎng)元安全等級劃分安全域。按照安全域之間的互通原則，在不同等級的安全域之間進行互通時，需要進行邊界防護?？缬虻臄?shù)據(jù)傳輸必須受安全策略控制，例如在域間配置防火墻、VPN、IPS等；安全資源域內(nèi)的數(shù)據(jù)傳輸，根據(jù)需要配置安全控制，例如VNF之間配置防火墻，VNF之間增加相互認(rèn)證機制等。3.5.2邊界訪問控制隔離在5G專網(wǎng)的網(wǎng)絡(luò)安全隔離上，應(yīng)考慮運營商側(cè)與垂直行業(yè)主體側(cè)雙方對安全的訴求。垂直行業(yè)主體側(cè)明確垂直行業(yè)資產(chǎn)與5G網(wǎng)絡(luò)的邊界，并在邊界位置部署訪問控制、網(wǎng)絡(luò)隔離等安全防護措施，如通過網(wǎng)閘、正反向隔離裝置等對CT與OT域進行通信隔離。同時可考慮在網(wǎng)絡(luò)邊界上部署流量監(jiān)測和防護措施，通過設(shè)置黑白名單、異常流量識別等機制對可能來自5G網(wǎng)絡(luò)的非法訪問和攻擊流量進行識別和過濾。3.5.3入侵防御安全審計5G專網(wǎng)對不同的安全域之間實際的通信業(yè)務(wù)/流量部署對應(yīng)的安全設(shè)備：例如抗DDoS、IDS/IPS、防火墻、漏洞掃描、網(wǎng)絡(luò)安全審計等安全設(shè)備，支持過濾鏈路層、網(wǎng)絡(luò)層、傳輸層非法報文，以確保對來自外網(wǎng)的流量以及APT攻擊進行檢測與防護。在此基礎(chǔ)之上，構(gòu)建邊界、內(nèi)網(wǎng)、網(wǎng)元入侵檢測和處置能力，對邊界攻擊入侵進行監(jiān)測和發(fā)現(xiàn)，并及時調(diào)整邊界防護策略，對攻擊者的網(wǎng)絡(luò)地址、端口等進行限制。G專網(wǎng)運營安全管理為保證5G專網(wǎng)運營安全管理，引入安全態(tài)勢感知平臺及5G專網(wǎng)安全管理平臺，形成對5G專網(wǎng)整體的安全感知能力及可控能力。（1）搭建態(tài)勢感知平臺，構(gòu)建5G專網(wǎng)整體安全感知能力搭建5G專網(wǎng)安全態(tài)勢感知平臺，基于機器學(xué)習(xí)、關(guān)聯(lián)分析等能力，以5G專網(wǎng)網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安全設(shè)備、系統(tǒng)日志等多源數(shù)據(jù)為驅(qū)動，對5G專網(wǎng)各層次的資產(chǎn)信息進行關(guān)聯(lián)，進行脆弱性分析，并在安全事件中尋找因果關(guān)系，追蹤安全事件的源頭，結(jié)合5G專網(wǎng)的網(wǎng)絡(luò)運行狀態(tài)及設(shè)備信息，進行安全態(tài)勢評估，為5G專網(wǎng)提供智能的安全風(fēng)險分析及威脅感知能力。全面提升安全感知能力，將5G專網(wǎng)安全戰(zhàn)略由被動防御轉(zhuǎn)向主動智能防御。平臺架構(gòu)如下圖：圖3-6專網(wǎng)安全態(tài)勢感知架構(gòu)（2）搭建5G專網(wǎng)安全管理平臺，構(gòu)建5G專網(wǎng)運營管理能力采用“集中+近源”的安全資源池的部署模式，通過搭建5G專網(wǎng)安全管理平臺對專網(wǎng)各類安全系統(tǒng)或安全能力進行納管，結(jié)合網(wǎng)絡(luò)編排能力，實現(xiàn)安全能力服務(wù)化。結(jié)合安全態(tài)勢感知平臺，可對信息資產(chǎn)、安全事件、安全風(fēng)險、訪問行為進行統(tǒng)一分析與監(jiān)管，協(xié)助運維人員在發(fā)生安全事件時能夠迅速發(fā)現(xiàn)問題，定位問題，處置問題。安全管理平臺支持統(tǒng)一安全服務(wù)編排，統(tǒng)一安全業(yè)務(wù)一鍵發(fā)放，構(gòu)建“可知、可見、可控”的5G專網(wǎng)安全管理體系。圖3-75G專網(wǎng)安全管理體系架構(gòu)1）安全多級協(xié)同管理：針對各級MEC存在的安全能力分散、缺乏安全能力統(tǒng)一調(diào)度、安全服務(wù)按需開通難等問題，專網(wǎng)安全管理平臺采用多級協(xié)同架構(gòu)，實現(xiàn)對安全能力統(tǒng)一納管及策略部署，提供彈性、靈活的安全服務(wù)。2）統(tǒng)一安全運營：多租戶自運營及運營商自運營，并支持從不同角色、不同維度向用戶展示專網(wǎng)與MEC的安全能力信息，包括服務(wù)狀態(tài)統(tǒng)計、服務(wù)資源統(tǒng)計、告警事件統(tǒng)計、用戶賬戶信息、服務(wù)費用統(tǒng)計、工單統(tǒng)計、安全態(tài)勢信息等。3）業(yè)務(wù)按需編排：對專網(wǎng)租戶的流量進行靈活牽引，將各類安全能力組件進行服務(wù)鏈編排，實現(xiàn)5G專網(wǎng)用戶對安全服務(wù)按需申請，減少用戶因自身安全能力不足而引起的各類安全風(fēng)險問題，賦能5G專網(wǎng)業(yè)務(wù)。5G專網(wǎng)在實際的安全運行維護管理中，除了嚴(yán)格按規(guī)范流程執(zhí)行之外，可通過有效運用運維管理技術(shù)手段，保障運維操作安全及運維通道安全，全方面提升運維管理風(fēng)險控制能力。（1）運維操作安全通過建設(shè)4A平臺及堡壘機實現(xiàn)集中帳號管理、認(rèn)證管理、授權(quán)管理、審計功能等能力，滿足資產(chǎn)安全管控需求及運維日常維護需要。帳號管理：包括主從帳號管理、主從帳號角色維護、密碼定期更新以及密碼策略管理等功能。認(rèn)證管理：支持雙因子認(rèn)證，支持對不同用戶設(shè)置不同認(rèn)證方式組合的雙因素認(rèn)證，保障認(rèn)證安全。授權(quán)管理：將相應(yīng)的權(quán)限（資源）或角色授予用戶或用戶組的一系列維護管理操作。對用戶授權(quán)后，用戶即擁有訪問目標(biāo)資源的權(quán)限。審計管理：對專網(wǎng)的運維人員/租戶管理用戶的操作行為以及登錄登出和操作資源的行為進行分析審計，具備記錄完整操作過程、數(shù)據(jù)流回放技術(shù)、傳輸文件備份、日志搜索、展示關(guān)聯(lián)行業(yè)的能力。（2）運維通道安全引入零信任SDP架構(gòu)，在專網(wǎng)網(wǎng)絡(luò)、MEC平臺與企業(yè)內(nèi)網(wǎng)之間部署零信任接入網(wǎng)關(guān)及零信任控制器，針對運維人員、租戶管理人員的安全接入管控，構(gòu)建網(wǎng)絡(luò)隱身、身份鑒別、傳輸加密等安全保障能力，實現(xiàn)在不安全的網(wǎng)絡(luò)環(huán)境對應(yīng)用和服務(wù)進行隔離，保證運維管理人員的運維通道安全及安全接入。5G專網(wǎng)安全應(yīng)用案例探討①應(yīng)用總體介紹5G工廠圍繞智能工廠數(shù)字化生產(chǎn)線、自動化測試及實時數(shù)據(jù)交互需求，突破5G工業(yè)互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)技術(shù)研究，聯(lián)合建立企業(yè)級協(xié)同制造工業(yè)互聯(lián)網(wǎng)iMES平臺，實現(xiàn)不同典型業(yè)務(wù)場景下的5G工業(yè)互聯(lián)網(wǎng)創(chuàng)新應(yīng)用，打造“5G+智能制造”示范工廠。目前已部署的5G行業(yè)應(yīng)用包括：5G云化AGV、巡邏機器人、工業(yè)可穿戴、機器臂控制云化PLC、機器視覺質(zhì)檢等。圖4-15G工廠互聯(lián)網(wǎng)基地②安全需求該基地通過引入5G行業(yè)終端實現(xiàn)工廠智能轉(zhuǎn)型，但智能化提升生產(chǎn)效率的同時也產(chǎn)生了更多的安全隱患，為應(yīng)對種類繁多的安全威脅，需建立統(tǒng)一的安全態(tài)勢感知與管控平臺，對5G行業(yè)終端各環(huán)節(jié)進行監(jiān)測，從而形成縱深的防護體系。③安全方案實施方案涉及的三類組件，均使用純軟件方式部署，安全代理安裝在行業(yè)終端（包括AGV、CPE、掃地機器人、攝像頭等物聯(lián)網(wǎng)安全態(tài)勢感知及安全監(jiān)測系統(tǒng)都部署在業(yè)務(wù)邊緣云虛擬環(huán)境中。圖4-2工業(yè)互聯(lián)網(wǎng)終端安全管控系統(tǒng)主要完成以下能力建設(shè)：（1）建立面向工業(yè)終端的實時安全監(jiān)控防護能力對終端資產(chǎn)置入安全模塊，進行自身安全加固，對終端設(shè)備進行簽名認(rèn)證，感知周邊安全。（2）建設(shè)統(tǒng)一終端安全態(tài)勢感知與管控平臺建立終端安全管控平臺，對設(shè)備的安全狀態(tài)實時監(jiān)控，運用大數(shù)據(jù)、動態(tài)預(yù)警、系統(tǒng)漏洞檢測等多項關(guān)鍵技術(shù)，對范圍內(nèi)的網(wǎng)絡(luò)設(shè)備進行安全漏洞主動發(fā)現(xiàn)，及時感知海量設(shè)備的漏洞及風(fēng)險情況，實現(xiàn)終端設(shè)備的安全態(tài)勢感知和通報預(yù)警，達(dá)到及時感知網(wǎng)絡(luò)風(fēng)險所在，輔助相關(guān)部門進行安全整改。（3）形成周期性的終端安全監(jiān)測評估機制為終端資產(chǎn)進行安全監(jiān)測，智能感知終端安全狀態(tài)信息，從終端的資產(chǎn)出發(fā)，關(guān)注終端資產(chǎn)狀態(tài)、弱口令、系統(tǒng)漏洞等威脅信息，結(jié)合多角度、多維度分析終端的安全事件，為工業(yè)終端安全管控構(gòu)建管理平臺。同時在終端側(cè)安裝安全代理，只需要簡單適配開發(fā)工作，即可使得工業(yè)終端具備安全檢測、數(shù)據(jù)安全加密功能。①應(yīng)用總體介紹智能車聯(lián)網(wǎng)引入5G網(wǎng)絡(luò)邊緣安全，以車聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南為指導(dǎo)，從網(wǎng)絡(luò)切片隔離、實時業(yè)務(wù)保障、空口安全、端到端數(shù)據(jù)安全、終端接入認(rèn)證以及安全運維管理等方面進行設(shè)計，實現(xiàn)終端全鏈路的安全，滿足智能駕駛的各類安全需求。圖4-45G智能駕駛安全②安全需求目前5G智能駕駛無法保證端到端的鏈路安全，需要補齊全鏈路的接入安全與網(wǎng)絡(luò)威脅全面感知能力，保證安全的同時提高安全事故處置效率。②安全方案通過從邏輯結(jié)構(gòu)上將5G智能駕駛示范區(qū)網(wǎng)絡(luò)進行安全區(qū)劃分，同時考慮到邊緣數(shù)據(jù)中心內(nèi)部有不同的應(yīng)用區(qū)，依照功能屬性對其進行安全域劃分為：5G接入?yún)^(qū)、5G邊緣區(qū)、5G核心網(wǎng)區(qū)、智能駕駛業(yè)務(wù)區(qū)以及運維管理區(qū)。為了保證終端接入的安全，綜合5G網(wǎng)絡(luò)的安全準(zhǔn)入能力和終端安全管理功能，通過多種終端類型雙向接入認(rèn)證、訪問控制、機卡綁定、IP地址分配等多種手段，提供了嚴(yán)格的端到端網(wǎng)絡(luò)安全保護措施。圖4-55G認(rèn)證和終端安全管理同時建設(shè)5G專網(wǎng)態(tài)勢感知平臺，通過安全探針對5G專網(wǎng)的網(wǎng)絡(luò)流量進行深度包解析和流解析，實現(xiàn)對網(wǎng)絡(luò)威脅的全面有效檢測，進一步從多維視角對安全態(tài)勢進行描繪，實現(xiàn)了安全綜合態(tài)勢、攻擊態(tài)勢、資產(chǎn)安全態(tài)勢、風(fēng)險態(tài)勢等場多種態(tài)勢感知場景，建立了安全威脅檢測與響應(yīng)體系，及時發(fā)現(xiàn)各類來自內(nèi)部和外部的安全威脅，進行主動進行響應(yīng)和處置，縮短安全威脅的檢測周期，提升恢復(fù)效率。4.3鋼廠5G+工業(yè)互聯(lián)網(wǎng)安全應(yīng)用案例①應(yīng)用總體介紹鋼鐵廠積極推動5G+工業(yè)互聯(lián)網(wǎng)，通過5G的主認(rèn)證和二次認(rèn)證機制、切片隔離機制、MEC技術(shù)，保證終端的接入和數(shù)據(jù)傳輸?shù)陌踩?。但由于鋼廠網(wǎng)絡(luò)中有大量的傳統(tǒng)工業(yè)終端，這些終端并沒有5G的接入能力，采用WIFI或有線方式先接入到5GCPE，再通過5GCPE接入到網(wǎng)絡(luò)中。當(dāng)終端接入時，5GCPE為接入的終端分配內(nèi)網(wǎng)地址，并執(zhí)行NAPT功能，建立終端與位于MEC或園區(qū)網(wǎng)中工業(yè)互聯(lián)網(wǎng)應(yīng)用之間的數(shù)據(jù)連接。由于使用NAPT，網(wǎng)絡(luò)和業(yè)務(wù)無法看到終端的網(wǎng)絡(luò)接入情況，影響了終端的可信度，因此希望引入零信任安全加強終端的管理，尤其是對傳統(tǒng)終端的管理。②安全需求現(xiàn)有傳統(tǒng)工業(yè)終端的網(wǎng)絡(luò)接入情況不可知，接入安全不可靠，對非5G工業(yè)互聯(lián)網(wǎng)終端進行信任管理、管控，增強系統(tǒng)的安全性，最終實現(xiàn)終端接入可管、可控、可信。③安全方案基于工業(yè)互聯(lián)網(wǎng)零信任參考架構(gòu)，在現(xiàn)有的物聯(lián)網(wǎng)管理平臺的基礎(chǔ)上，引入零信任安全的要素，提高整體的安全性。為了解決非5G終端不可信的問題，在CPE內(nèi)置了安全代理，加強對非5G接入終端的管理，執(zhí)行以下功能：Server，CPE安全代理開啟DHCP代理功能，DHCPServer充當(dāng)網(wǎng)絡(luò)接入身份管理服務(wù)器，根據(jù)終端的MAC地址實現(xiàn)地址的統(tǒng)一分配，并支持靜態(tài)地址分配。（2）CPE安全代理啟用和可信網(wǎng)關(guān)之間的安全隧道，非5G終端通過安全隧道建立與可信網(wǎng)關(guān)的連接，進而訪問業(yè)務(wù)服務(wù)器。由于沒有采用NAPT變換，內(nèi)層IP地址能夠直接與終端身份管理，因此可信網(wǎng)關(guān)可以根據(jù)內(nèi)層IP關(guān)聯(lián)到終端的身份以及管控策略，進而執(zhí)行精細(xì)化的管控。圖4-3工業(yè)終端零信任接入管理系統(tǒng)物聯(lián)網(wǎng)管理平臺，增加零信任安全控制特性以及安全持續(xù)評估的能力，能夠與安全代理、可信網(wǎng)關(guān)進行交互，實現(xiàn)安全信息的收集、信任評估和安全策略的下發(fā)。①應(yīng)用總體介紹廣東聯(lián)通采用業(yè)界首創(chuàng)的異構(gòu)多云統(tǒng)一安全架構(gòu)，基于“集中+近源”差異化的安全能力基礎(chǔ)資源池，構(gòu)建統(tǒng)一安全管理平臺，通過安全管理平臺實現(xiàn)集中化安全控制編排、流量調(diào)度，對安全原子能力進行產(chǎn)品包裝，形成多樣化安全能力輸出。全面實現(xiàn)云安全“可視”“可控”能力，滿足監(jiān)管合規(guī)、聯(lián)通云網(wǎng)安長期穩(wěn)定需求。②安全需求廣東聯(lián)通各云安全能力參差不齊，安全防護能力差距較大，各云都有獨立的安全管理體系，運維效率不高，缺乏整體安全編排、調(diào)配能力，急需對云安全能力進行強化升級，拉齊安全能力水平。安全運營需求：根據(jù)不同管理人員，劃分不同的權(quán)限，提供自身運維管理及租戶管理雙入口。③安全方案建設(shè)統(tǒng)一安全管理平臺，實現(xiàn)對全網(wǎng)資產(chǎn)的集中化信息采集、分析和管控，全面提升網(wǎng)絡(luò)安全管理能力；構(gòu)建安全能力資源池（集中+近源），將安全能力池化，針對云環(huán)境多租戶虛擬網(wǎng)絡(luò)邊界提供彈性、靈活云安全服務(wù)。網(wǎng)絡(luò)架構(gòu)如下圖：圖4-6安全能力集約化（1）流量控制策略：集中業(yè)務(wù)，采用SDN+SRv