【中国联通】5G专网安全技术白皮书2023

5G专网安全技术白皮书前言参与编写单位：中国联合网络通信有限公司广东省分公司中国联合网络通信有限公司研究院中讯邮电咨询设计院有限公司中兴通讯股份有限公司深信服科技股份有限公司专家顾问：莫俊彬、潘桂新、徐雷、冯铭能、郝振武、张瑜编写组成员：李文彬、彭健、张曼君、聂勋坦、谢泽铖、郭新海、贾宝军、韦秀林、林友建、张哲、徐高峰、张可原、赵马煜、曾金杯、封华进随着我国5G规模商用，5G专网凭借优秀的通信性能、灵活的组网部署、差异化的能力定制，在工业制造、能源、矿山、交通、物流、医疗、教育、媒体娱乐等领域越来越多的被应用，持续赋能千行百业数字化应用场景创新及信息化业务演进，加速行业数字化智能化转型。5G专网给行业客户带来优质服务、高效生产、智能业务的同时，也带来了潜在的安全风险。5G专网涉及多个安全域，在满足行业应用需求、引进新技术、提高生产效率和服务水平的同时，也打破了原本封闭的网络环境，使得网络边界变得越来越模糊，因此，需要针对不同行业应用场景部署满足行业应用需求的安全能力，为行业客户提供更全面的安全保障。为了保障5G的安全发展，国家高度重视，在政策上给予了大力支持。工业和信息化部发布了《“十四五”信息通信行业发展规划》，要求加快行业虚拟专网落地，全面加强网络和数据安全保障体系和能力建设，持续提升新型数字基础设施安全管理水平，打造国际领先的5G安全保障能力，全面构建基础安全管理体系；并联合十部门在《5G应用“扬帆”行动计划（2021-2023年）》中，明确了未来我国5G发展的目标和重点任务。网络安全是国家安全的重要基石，对5G专网来说，如何满足我国相关安全政策、行业标准、规范要求，贯彻落实党中央、国务院决策部署，解决5G专网的安全问题，建立主动安全防御体系，进一步保障行业客户的利益，已成为5G专网需要解决的核心问题之一。本白皮书将重点梳理5G专网安全诉求，分析各类安全风险产生的原因，提出端到端的安全解决方案建议，为5G专网安全技术实施与行业应用场景落地提供具有建设性意义的参考。 15G专网发展概述随着中国联通发布5G行业专网产品体系2.0、中国移动发布5G专网技术体系2.0，5G专网已逐步从1.0时代向2.0时代迈进，网络形式由ToB通用网络向个性化定制的网络演进。截止2022年，我国三大运营商均已推出了拥有自己特色的5G专网服务产品，并建成了大量的商用行业5G专网，实现在工业制造、电力、医疗、交通、港口、物流、教育等行业广泛部署，并实现多个技术突破和成功案例。以中国联通为例，中国联通推出的5G专网产品体系2.0“5G专网PLUS”,实现网络跨越、行业跨越、服务跨越三大跨越，提供了更强网络、更懂行业和更优服务，构建了基于流量和切片模式、基于网络+平台+应用模式、网络+平台+集成服务模式等3种商业模式，分别满足5GToB客户的不同需求，以5G专网带动行业DICT的收入增长。通过布局5G“7+9+9”行业应用，深耕重点垂直行业，汇聚科技创新能力，集结行业专家，聚合生态力量，面向全国一点支撑，基于5G、“云大物智链安”等自主能力，锤炼“专精特新”的“独门绝技”，推进创新链、产业链、价值链融合发展。在数字政府领域中，中国联通与广东政数局合作，打造了全国首个省级5G政务专网，创新性地推进了广东省5G基层治理、5G智慧防疫、5G智慧应急、智慧城市管理等多个应用场景落地，促进5G技术与政务服务的深入融合，不断地助力广东政数局提升政府公共服务、社会治理的数字化、智能化水平。当前我国5G网络覆盖广度、深度持续提升，边缘计算和智能网络切片技术不断进步、融合，5G专网能力不断增强，5G专网作为数字化转型的新引擎，将持续赋能千行百业数智化转型升级、拓展生产效能。25G网络演进的趋势是向网元虚拟化、架构开放化、编排智能化方向发展，这为5G专网服务能力的灵活化、定制化提供了有力的技术保障，以中国联通5G专网产品为例，5G专网产品主要包括：5G虚拟专网、5G混合专网以及5G独立专网。5G虚拟专网产品是中国联通基于5G公众网络资源，利用端到端QoS或切片技术，为客户提供一张时延和带宽有保障的、与中国联通公众网络普通用户数据隔离的虚拟专有网络，网络架构如下图所示：图1-15G虚拟专网网络架构图5G独立专网产品采用专有无线设备和核心网一体化设备，为行业用户构建一张物理封闭、低时延、高带宽的基础连接网络，实现用户数据与中国联通公众网络数据完全隔离，网络架构如下图所示：图1-25G独立专网网络架构图5G混合专网产品采用核心网控制面共有化部署，行业用户UPF网元私有化部署，无线基站、核心网控制面网元根据客户需求灵活部署的模式，为用户提供部分物理独享的5G专用网络。满足行业用户大带宽、低时延、数据不出园区的需求。网络架构如下图所示：图1-35G混合专网网络架构图35G专网安全诉求及风险分析5G规模商用以后，国家层面高度重视5G行业的安全发展，陆续出台了多项政策要求与标准，鼓励5G行业发展与创新的同时把安全放在全新的高度，护航5G专网赋能各行各业数字化转型。《中华人民共和国网络安全法》第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行保障网络免受干扰、破坏或者未经授权的访问，防止数据泄露或者被窃取、篡改的安全义务。《信息安全技术网络安全等级保护基本要求》2.0版本将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等纳入了保护对象。《中华人民共和国数据安全法》明确提出对数据全生命周期各环节的安全保护义务，加强风险监测与身份核验，结合业务需求，从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置，全面建设有效防护机制，保障数字产业蓬勃健康发展。工信部印发的《“十四五”信息通信行业发展规划》中明确要求全面推进5G网络建设，加快5G独立组网（SA）规模优化产业园区、港口、厂矿等场景5G覆盖，推广5G行业虚拟专网建设。要求运营商全面加强网络和数据安全保障体系和能力建设，持续提升新型数字基础设施安全管理水平，打造国际领先的5G安全保障能力，全面构建基础安全管理体系；并严格落实《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》，积极推动《电信法》等立法工作，加快完善信息通信行业相关规章制度。（2021-2023年）》中提出开展提升5G应用安全提升行动，强化5G应用安全供给支撑服务；支持5G安全科技创新与核心技术转化，鼓励5G安全创新企业入驻国家网络安全产业园区；加强5G安全服务模式创新，推动5G安全技术合作和能力共享，鼓励跨行业、跨领域制定融合应用场景安全服务方案；加强5G网络安全威胁信息发现共享与协同处置。system》，对5G安全体系结构概述，对5G网络接入安全、网络域安全、用户域安全、应用域安全等等安全域进行说明，规范了5G核心网络周边的安全实体、5G核心网络中的安全实体，并制定了安全要求和功能的标准规范。中国通信标准化协会发布了YD/T4056-2022《5G多接入边缘计算平台通用安全防护要求》、YD/T3628-2019《5G移动通信网安全技术要求》，对5G的安全性进行了全方位的描述，涵盖5G网络的安全架构、安全需求、安全功能要求以及相关安全流程等方面的标准制定。45G专网的安全风险包含终端安全风险、网络安全风险、MEC安全风险、边界安全风险、管理安全风险。图2-15G专网总体安全分风险分析2.2.1终端安全风险分析5G专网终端分为两大类，分别是5G终端（如5GCPE、5GDongle和物联终端内的5G模组）和其它非5G终端（如普通摄像头、PLC和AGV等可以通过连接5GCPE来接入5G网络）。终端安全风险点主要包括：终端物理安全、终端接入安全、终端数据传输安全及其它安全风险，详细如下表：表2-1终端安全风险分析网络安全风险点主要包括：基站和无线空口安全、切片安全、传输安全及5GC安全，详细如下表：表2-2网络安全风险分析52.2.3MEC安全风险分析5GMEC平台从组网架构、业务服务方式、运营模式等方面进行分析，主要涉及的风险包括网络安全风险、应用安全风险、计算环境安全风险、数据安全风险，详细如下表：表2-3MEC安全风险分析网络安1.设备接入风险，边缘设备通过不安全协议/非法接入应用安1.MEC应用安全隔离，权限界面模糊，业务未相互安全2.恶意应用，由于应用安全检测及限制，恶意应用入驻引起恶意消耗平台资源引发DDoS攻击、窃取数据和计算环3.设备级安全防护设备及措施不足，无法及时发现、4.硬件、平台、系统、容器等载体存在安全漏洞所引数据安1.数据损毁风险，遭受攻击损坏数据，未有相关数据2.数据篡改风险，因SQL注入、XSS注入等外部攻击入3.数据泄露风险，业务应用数据和用户个人敏感隐私2.2.4边界安全风险分析边界安全风险是指5G网络之间及5G专网网络与其他网络之间等不同网络之间进行信息交互时所产生的安全风险，包括安全分区分域、网络访问控制、远程管理、网络边界安全等风险点，详细如下表：表2-4边界安全风险分析域制策略配置不当及多MEC平台间管理编排调度不险2.2.5管理安全风险分析5G专网管理安全风险主要为5G专网安全态势及安全管理能力不足而引起的安全隐患；运维规范问题及运维通道安全不可信等引起的安全风险，包括安全态势、安全设备管理、运维管理、运维通道风险等风险点，详细如下表：表2-5运维管理安全风险分析险险险6面向5G专网,构建端到端的安全解决方案为解决5G专网面临的潜在安全风险，满足多种形态的专网安全需求，安全通用架构以5G专网安全能力为基础，结合行业应用场景的差异化环境，提出5G专网安全体系通用架构。5G专网安全体系通用架构主要针对5G专网安全风险威胁构建全方位、端到端的专网安全管理能力，满足不同行业客户业务发展带来的安全诉求，赋能5G专网全场景，保障5G专网端到端业务安全，为5G专网应用发展保驾护航。其中5G专网安全能力包括终端安全、网络安全、MEC安全、边界安全、管理安全五个维度，如图3-1所示:图3-15G专网安全体系通用架构图7终端包括5G终端及CPE等，因自身计算能力、存储资源限制，对在终端上配置安全策略与执行安全控制难度较大，因此需从接入认证及终端资产管理方面来保障终端接入安全。3.2.1终端多重安全接入机制通过多重认证机制、多重访问控制实现专网终端安全接入,实现用户接入和业务接入时的安全防护，如下图所示。图3-25G专网多重认证机制终端接入5G网络时,通过核心网的5G主认证和切片认证实现终端的基本认证及访问控制，在终端通过5G网络接入到企业网时，可进一步进行二次认证功能，实现更丰富认证和接入控制能力。（1）二次认证在5G移动网络的主认证鉴权的基础上，引入企业二次认证服务器DN-AAA，对会话建立进行再认证，从而增强了企业对用户身份的鉴别能力以及对会话的管理控制能力，提升终端接入的安全性。图3-35G专网主认证与二次认证（2）位置访问控制位置访问控制利用先进的无线移动网络和电子信息技术，能够对特定的区域或指定的人员进行精确管控。用户只能在园区覆盖的基站下才能访问，出了园区不能访问；同时只允许指定接入的访问才能分流到园区内网。（3）多重认证控制点基于二次认证机制，企业可以自主地采用IMSI、IMEI、位置标识组合检验的方式，实现机卡绑定、接入位置控制等功能。终端接入可由5GC与DN-IAM（身份识别与访问管理）分别实施控制决策。表3-1多重认证控制点点1证234制5制673.2.2终端资产统一安全管理针对终端开展5G资产安全管理，对终端信息的采集、统计、查询及风险评估，根据终端在网络拓扑中的位置和业务访问关系对终端的属性、位置等特征进行检测，及时发现异常设备接入，如非法终端接入、非授权5G终端使用合法SIM卡接入。在统一的5G终端资产管理的基础上，通过流量的采集和建模分析，发现终端的异常行为检测，进而实现安全事件与资产的关联分析，呈现资产的威胁信息。8为应对5G引入后带来的安全威胁，建设一个安全的5G专网，通过对5G基站空口、5GC下沉、传输通道、切片等采取严格的安全防护策略，形成网络安全防护体系。如下图3-4：3.3.15G基站安全5G专网基站空口安全主要包括：无线空口安全、防空口DoS攻击、防伪基站攻击等。（1）无线空口安全机制：分为接入层安全机制和非接入层安全机制。接入层安全机制，用于NR和UE之间的安全，为RRC信令和用户面数据提供加密和完整性保护；非访问层安全性机制，用于AMF与UE之间的安全，为NAS信令提供加密和完整性保护；（2）防空口DoS攻击手段：针对网络侧造成DoS的威胁，在AMF发送认证请求后，适当降低等待回复的时间，加快等待状态中RRC连接的释放速率；在网络运维方面，结合KPI异常监测，以及用户投诉问题的情况，及时排查报警；（3）防伪基站攻击手段：虽然5G网络拥有用户隐私保护功能（将SUPI隐藏为SUCI）、用户面数据保护措施等，但是伪基站的问题在5G网络仍然存在。通过UE辅助测量，可分析出疑似伪基站，使用伪基站快速定位系统定位跟踪探测出伪基站，从根本上解决伪基站的威胁问题。3.3.25G下沉园区数据自治为了满足5G园区专网的可靠性和数据不出园区的需求，进一步将5GC全部功能或部分功能下沉到边缘，实现专网专用、物理隔离和确定性SLA。核心网功能下沉的主要功能如下：（1）支持核心网业务全量下沉，数据流动可控，确保关键信息不出园区；（2）在园区与公网失联场景下，支持连接态用户业务惯性运行，在线业务流可保持24小时；（3）下沉5GC控制面作为备份，支持移动终端通过园区应急控制面重建传输通道，实现业务快速（4）下沉UPF在转发层面通过访问控制列表（ACL）方式控制，禁止下沉UPF访问除指定SMF以外的公网，并5GC通过流量限速防范Dos攻击；路由层面屏蔽除SMF以外的其他网元信息；业务层面开启与SMF之间双向认证，同时建立针对信令流量的监测阻断机制。3.3.3传输通道加密5G网络与企业网之间的边界、网元之间的数据传输的安全性。（1）网元之间的安全通信通过IPSec来实现，提供数据源认证、数据完整性和数据机密性等保护措施；（2）网管和网元之间数据传输采用各种安全协议，禁用不安全的传输协议，如telnet/ftp等；（3）网元和网管传输层之间采用TLS1.2协议。93.3.4端到端切片安全隔离由于5G专网切片之间的资源共享性和网络可编程接口的开放性，因此必须保证端到端切片的安全隔离，具体机制如图3-5所示。（1）切片接入安全：当UE访问不同切片内的业务时，各网络切片不能共享PDU会话；（2）公共NF与切片NF的安全：通过白名单机制配置访问控制列表，严格控制公共NF和切片NF之间的互访关系，同时NSSF保证AMF连接正确NF，在AMF中监测请求频率；（3）切片间安全：应采用VLAN/VxLAN进行网络隔离、虚机/容器进行资源隔离,并对不同客户的管理员进行授权，实现对切片资源的分权分域管理；（4）5GC与DN之间的安全：5G网络数据面出口（如UPF与垂直行业DN）之间部署边界防火墙、访问控制、抗DDoS等设备防止外部攻击，通过IPSec或SSLVPN保证安全连接；（5）切片能力开放安全：当运营商切片管理平台对垂直行业开放时，在对外接口采用鉴权认证机制，并应进行详细接入策略控制，通过IPSec或SSLVPN保证接入链路安全。MEC安全技术可分为网络安全、计算环境安全、应用安全、数据安全及物理安全等5个维度。3.4.1.MEC网络安全防护MEC平台本身承载客户业务应用系统，面临着大量的网络访问请求，包含业务访问、业务管理、运维管理访问等，MEC平台自身应做好网络安全防护工作及网络隔离，建议采用以下安全措施来降低MEC平台网络层面安全风险。（1）访问控制：MEC和5GC之间部署防火墙隔离进行边界防护，仅允许信令及OM相关的数据流量通过防火墙；在UPF的N6接口部署网络防火墙进行流量安全控制，设置UPF白名单规则，针对N4、N6、N9接口分别设置专门的VRF；（2）安全隔离：将UPF和MEP与MEC应用之间进行安全隔离，通VLAN等方式将MEC应用之间进行隔离；对UPF和SMF的N4接口流量进行安全访问控制，并在MEC与核心网之间部署网络防火墙进行安全流量控制；（3）安全检测与监测：5G网络提供对UPF数据面攻击流量的实时特征进行检测，识别UPF与外部DN的可疑流量。并且提供5G场景下的用户行为分析UEBA，通过模式识别、深度学习等手段发现5G网络用户和网络节点的异常行为，实现对未知威胁的发现和监测；（4）入侵防范措施：在边界部署抗DDoS攻击、入侵检测、访问控制、Web流量检测等安全能力，实现边界安全防护。包括最小化安装软件原则、关闭不需要要的系统服务/端口、支持漏洞监测和及时修补、部署防恶意代码软件/入侵监测系统、对设备进行安全基线配置、支持敏感数据的加密传输和存储、支持软件包校验等。3.4.2.MEC计算环境安全防护MEC计算环境通过对镜像与环境进行安全防护，并采用严格资源管理机制与安全审计等安全防护措施，防范攻击者利用HostOS或虚拟化软件漏洞篡改容器或虚机镜像，或针对容器或虚机发起容器逃逸、DDoS等攻击。（1）镜像安全：开发阶段应要求开发者对容器镜像及中间过程镜像进行漏洞扫描，同时对第三方甚至自有应用/代码进行安全检查；部署阶段应由MEC平台对镜像仓库进行安全监管，对上传的第三方/自有容器镜像进行漏洞扫描；运行阶段应支持容器实例跟宿主机之间的内核隔离。（2）环境安全：使用防火墙隔离手段防止容器之间的非法访问，对环境内的第三方进程进行监控；在虚拟化平台层面部署API安全网关来对容器管理平台的API调用情况进行安全监控，防止非法恶意API调用；对虚拟化编排管理实体进行安全加固，登录需要进行认证授权，防止管理面被攻击。（3）资源管理机制：保证虚拟机仅能使用为其分配的计算资源，限制单个用户或进程对系统资源的最大使用限度，并通过资源预留等方式确保某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机运行。（4）安全审计：对用户行为、系统资源的异常使用、系统命令的使用和安全事件进行审计，依据关法律法规要求进行留存，并对审计记录采取防篡改、窃取保护。3.4.3.应用安全防护MEC中的应用在部署前应完成安全评估保证应用通信安全，通过MEP实现对应用安全隔离、检测与监测。（1）应用部署安全：当第三方MECAPP部署在运营商的MEC节点时，应进行安全评估，包括身份验证、安全合规检查和审核、执行病毒扫描等；MECAPP与MEP或其它MECAPP进行通信时，应对进行身份验证，并对传输的数据进行机密性和完整性保护。（2）MEP安全：MEP采用微服务隔离、VLAN隔离、vFW等机制，实现行业APP间的按需安全隔离，提供MEC内部南北向及东西向流量的安全防护，并提供全面安全检测与监测能力。3.4.4.数据安全防护MEC采取严格数据安全保护措施，对各类数据进行全生命周期的保护，防止数据损毁、数据泄露、数据篡改等安全风险。（1）数据采集：将涉及用户隐私的数据信息加以标识，在每个MEC节点的数据入口通过防火墙进行隔离，按照最小化原则关掉所有不必要的服务及端口，对于增加标识的重要数据进行完整性、机密性及防复制的保护。（2）数据传输：采用独享式UPF，网络侧配置数据ULCL分流策略，本地做分流规则自检与IP/FQDN一致性检查，保证本地分流数据不出企业、数据传输过程中的加密。（3）数据存储：数据应加密存储，采用加密的安全方式存储和传输用户口令等身份鉴别信息，防止用户鉴别认证信息泄露而造成身份冒用，同时边缘MEP应提供对APP数据的安全存储，涉及行业5G用户的位置、标识等信息应在MEP中加密存储。（4）数据处理：依据行业相关标准规范对重要、敏感数据进行分类分级处理。对于存储的数据需要识别重要数据并进行安全备份和恢复，保障业务稳定运行。（5）数据共享：对MEP关键数据进行监测审计，对API接口行为监控，支持MEC边缘流量常见攻击行为的监测，例如漏洞利用、非授权访问攻击、拒绝服务攻击等。（6）数据销毁：保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除，虚机内存、存储空间在回收时完全清除。3.4.5.MEC物理安全MEC物理安全满足YD/T1754-2008《电信和互联网物理环境安全等级保护要求》、GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的安全要求。5G专网边界安全主要考虑如何从部署、配置和管理上对5G网络的安全提供防护手段，从而防止5G网络遭受外部和内部的攻击，并能够对已经产生的安全风险进行控制。5G网络提供运营商资产与垂直行业网络资产（包括服务器、交换机等物理资产，以及在物理资源上的应用、数据等虚拟资产）之间的安全边界防护能力，保障网络边界安3.5.1分区分域精准防御根据运营需求和网元功能，将网元进行安全等级分类，根据网元安全等级划分安全域。按照安全域之间的互通原则，在不同等级的安全域之间进行互通时，需要进行边界防护。跨域的数据传输必须受安全策略控制，例如在域间配置防火墙、VPN、IPS等；安全资源域内的数据传输，根据需要配置安全控制，例如VNF之间配置防火墙，VNF之间增加相互认证机制等。3.5.2边界访问控制隔离在5G专网的网络安全隔离上，应考虑运营商侧与垂直行业主体侧双方对安全的诉求。垂直行业主体侧明确垂直行业资产与5G网络的边界，并在边界位置部署访问控制、网络隔离等安全防护措施，如通过网闸、正反向隔离装置等对CT与OT域进行通信隔离。同时可考虑在网络边界上部署流量监测和防护措施，通过设置黑白名单、异常流量识别等机制对可能来自5G网络的非法访问和攻击流量进行识别和过滤。3.5.3入侵防御安全审计5G专网对不同的安全域之间实际的通信业务/流量部署对应的安全设备：例如抗DDoS、IDS/IPS、防火墙、漏洞扫描、网络安全审计等安全设备，支持过滤链路层、网络层、传输层非法报文，以确保对来自外网的流量以及APT攻击进行检测与防护。在此基础之上，构建边界、内网、网元入侵检测和处置能力，对边界攻击入侵进行监测和发现，并及时调整边界防护策略，对攻击者的网络地址、端口等进行限制。G专网运营安全管理为保证5G专网运营安全管理，引入安全态势感知平台及5G专网安全管理平台，形成对5G专网整体的安全感知能力及可控能力。（1）搭建态势感知平台，构建5G专网整体安全感知能力搭建5G专网安全态势感知平台，基于机器学习、关联分析等能力，以5G专网网络设备、主机设备、安全设备、系统日志等多源数据为驱动，对5G专网各层次的资产信息进行关联，进行脆弱性分析，并在安全事件中寻找因果关系，追踪安全事件的源头，结合5G专网的网络运行状态及设备信息，进行安全态势评估，为5G专网提供智能的安全风险分析及威胁感知能力。全面提升安全感知能力，将5G专网安全战略由被动防御转向主动智能防御。平台架构如下图：图3-6专网安全态势感知架构（2）搭建5G专网安全管理平台，构建5G专网运营管理能力采用“集中+近源”的安全资源池的部署模式，通过搭建5G专网安全管理平台对专网各类安全系统或安全能力进行纳管，结合网络编排能力，实现安全能力服务化。结合安全态势感知平台，可对信息资产、安全事件、安全风险、访问行为进行统一分析与监管，协助运维人员在发生安全事件时能够迅速发现问题，定位问题，处置问题。安全管理平台支持统一安全服务编排，统一安全业务一键发放，构建“可知、可见、可控”的5G专网安全管理体系。图3-75G专网安全管理体系架构1）安全多级协同管理：针对各级MEC存在的安全能力分散、缺乏安全能力统一调度、安全服务按需开通难等问题，专网安全管理平台采用多级协同架构，实现对安全能力统一纳管及策略部署，提供弹性、灵活的安全服务。2）统一安全运营：多租户自运营及运营商自运营，并支持从不同角色、不同维度向用户展示专网与MEC的安全能力信息，包括服务状态统计、服务资源统计、告警事件统计、用户账户信息、服务费用统计、工单统计、安全态势信息等。3）业务按需编排：对专网租户的流量进行灵活牵引，将各类安全能力组件进行服务链编排，实现5G专网用户对安全服务按需申请，减少用户因自身安全能力不足而引起的各类安全风险问题，赋能5G专网业务。5G专网在实际的安全运行维护管理中，除了严格按规范流程执行之外，可通过有效运用运维管理技术手段，保障运维操作安全及运维通道安全，全方面提升运维管理风险控制能力。（1）运维操作安全通过建设4A平台及堡垒机实现集中帐号管理、认证管理、授权管理、审计功能等能力，满足资产安全管控需求及运维日常维护需要。帐号管理：包括主从帐号管理、主从帐号角色维护、密码定期更新以及密码策略管理等功能。认证管理：支持双因子认证，支持对不同用户设置不同认证方式组合的双因素认证，保障认证安全。授权管理：将相应的权限（资源）或角色授予用户或用户组的一系列维护管理操作。对用户授权后，用户即拥有访问目标资源的权限。审计管理：对专网的运维人员/租户管理用户的操作行为以及登录登出和操作资源的行为进行分析审计，具备记录完整操作过程、数据流回放技术、传输文件备份、日志搜索、展示关联行业的能力。（2）运维通道安全引入零信任SDP架构，在专网网络、MEC平台与企业内网之间部署零信任接入网关及零信任控制器，针对运维人员、租户管理人员的安全接入管控，构建网络隐身、身份鉴别、传输加密等安全保障能力，实现在不安全的网络环境对应用和服务进行隔离，保证运维管理人员的运维通道安全及安全接入。5G专网安全应用案例探讨①应用总体介绍5G工厂围绕智能工厂数字化生产线、自动化测试及实时数据交互需求，突破5G工业互联网基础网络技术研究，联合建立企业级协同制造工业互联网iMES平台，实现不同典型业务场景下的5G工业互联网创新应用，打造“5G+智能制造”示范工厂。目前已部署的5G行业应用包括：5G云化AGV、巡逻机器人、工业可穿戴、机器臂控制云化PLC、机器视觉质检等。图4-15G工厂互联网基地②安全需求该基地通过引入5G行业终端实现工厂智能转型，但智能化提升生产效率的同时也产生了更多的安全隐患，为应对种类繁多的安全威胁，需建立统一的安全态势感知与管控平台，对5G行业终端各环节进行监测，从而形成纵深的防护体系。③安全方案实施方案涉及的三类组件，均使用纯软件方式部署，安全代理安装在行业终端（包括AGV、CPE、扫地机器人、摄像头等物联网安全态势感知及安全监测系统都部署在业务边缘云虚拟环境中。图4-2工业互联网终端安全管控系统主要完成以下能力建设：（1）建立面向工业终端的实时安全监控防护能力对终端资产置入安全模块，进行自身安全加固，对终端设备进行签名认证，感知周边安全。（2）建设统一终端安全态势感知与管控平台建立终端安全管控平台，对设备的安全状态实时监控，运用大数据、动态预警、系统漏洞检测等多项关键技术，对范围内的网络设备进行安全漏洞主动发现，及时感知海量设备的漏洞及风险情况，实现终端设备的安全态势感知和通报预警，达到及时感知网络风险所在，辅助相关部门进行安全整改。（3）形成周期性的终端安全监测评估机制为终端资产进行安全监测，智能感知终端安全状态信息，从终端的资产出发，关注终端资产状态、弱口令、系统漏洞等威胁信息，结合多角度、多维度分析终端的安全事件，为工业终端安全管控构建管理平台。同时在终端侧安装安全代理，只需要简单适配开发工作，即可使得工业终端具备安全检测、数据安全加密功能。①应用总体介绍智能车联网引入5G网络边缘安全，以车联网综合标准化体系建设指南为指导，从网络切片隔离、实时业务保障、空口安全、端到端数据安全、终端接入认证以及安全运维管理等方面进行设计，实现终端全链路的安全，满足智能驾驶的各类安全需求。图4-45G智能驾驶安全②安全需求目前5G智能驾驶无法保证端到端的链路安全，需要补齐全链路的接入安全与网络威胁全面感知能力，保证安全的同时提高安全事故处置效率。②安全方案通过从逻辑结构上将5G智能驾驶示范区网络进行安全区划分，同时考虑到边缘数据中心内部有不同的应用区，依照功能属性对其进行安全域划分为：5G接入区、5G边缘区、5G核心网区、智能驾驶业务区以及运维管理区。为了保证终端接入的安全，综合5G网络的安全准入能力和终端安全管理功能，通过多种终端类型双向接入认证、访问控制、机卡绑定、IP地址分配等多种手段，提供了严格的端到端网络安全保护措施。图4-55G认证和终端安全管理同时建设5G专网态势感知平台，通过安全探针对5G专网的网络流量进行深度包解析和流解析，实现对网络威胁的全面有效检测，进一步从多维视角对安全态势进行描绘，实现了安全综合态势、攻击态势、资产安全态势、风险态势等场多种态势感知场景，建立了安全威胁检测与响应体系，及时发现各类来自内部和外部的安全威胁，进行主动进行响应和处置，缩短安全威胁的检测周期，提升恢复效率。4.3钢厂5G+工业互联网安全应用案例①应用总体介绍钢铁厂积极推动5G+工业互联网，通过5G的主认证和二次认证机制、切片隔离机制、MEC技术，保证终端的接入和数据传输的安全。但由于钢厂网络中有大量的传统工业终端，这些终端并没有5G的接入能力，采用WIFI或有线方式先接入到5GCPE，再通过5GCPE接入到网络中。当终端接入时，5GCPE为接入的终端分配内网地址，并执行NAPT功能，建立终端与位于MEC或园区网中工业互联网应用之间的数据连接。由于使用NAPT，网络和业务无法看到终端的网络接入情况，影响了终端的可信度，因此希望引入零信任安全加强终端的管理，尤其是对传统终端的管理。②安全需求现有传统工业终端的网络接入情况不可知，接入安全不可靠，对非5G工业互联网终端进行信任管理、管控，增强系统的安全性，最终实现终端接入可管、可控、可信。③安全方案基于工业互联网零信任参考架构，在现有的物联网管理平台的基础上，引入零信任安全的要素，提高整体的安全性。为了解决非5G终端不可信的问题，在CPE内置了安全代理，加强对非5G接入终端的管理，执行以下功能：Server，CPE安全代理开启DHCP代理功能，DHCPServer充当网络接入身份管理服务器，根据终端的MAC地址实现地址的统一分配，并支持静态地址分配。（2）CPE安全代理启用和可信网关之间的安全隧道，非5G终端通过安全隧道建立与可信网关的连接，进而访问业务服务器。由于没有采用NAPT变换，内层IP地址能够直接与终端身份管理，因此可信网关可以根据内层IP关联到终端的身份以及管控策略，进而执行精细化的管控。图4-3工业终端零信任接入管理系统物联网管理平台，增加零信任安全控制特性以及安全持续评估的能力，能够与安全代理、可信网关进行交互，实现安全信息的收集、信任评估和安全策略的下发。①应用总体介绍广东联通采用业界首创的异构多云统一安全架构，基于“集中+近源”差异化的安全能力基础资源池，构建统一安全管理平台，通过安全管理平台实现集中化安全控制编排、流量调度，对安全原子能力进行产品包装，形成多样化安全能力输出。全面实现云安全“可视”“可控”能力，满足监管合规、联通云网安长期稳定需求。②安全需求广东联通各云安全能力参差不齐，安全防护能力差距较大，各云都有独立的安全管理体系，运维效率不高，缺乏整体安全编排、调配能力，急需对云安全能力进行强化升级，拉齐安全能力水平。安全运营需求：根据不同管理人员，划分不同的权限，提供自身运维管理及租户管理双入口。③安全方案建设统一安全管理平台，实现对全网资产的集中化信息采集、分析和管控，全面提升网络安全管理能力；构建安全能力资源池（集中+近源），将安全能力池化，针对云环境多租户虚拟网络边界提供弹性、灵活云安全服务。网络架构如下图：图4-6安全能力集约化（1）流量控制策略：集中业务，采用SDN+SRv