5G数字蜂窝移动通信无线接入网共享安全技术要求

5G数字蜂窝移动通信无线接入网共享安全技术要求1范围本文件规定了50数字蜂窝移动通信无线接入网共享下的安全技术要求，内容主要包括网络安全、网管开放安全、业务安全、数据安全、安全运营管理等方面的安全要求。本文件适用于使用5G多运营商核心网(MOCN)网络共享架构建设的5G网络的安全规划、建设2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本(包括所有的修改单)适用于本YD/T3962-20215G核心网边缘计算总体技术要求IETFRFC6083流控制传输协议(SCTP)的数据报传输层安全(DTLS)(DatgramTransporLayerSecurity(DTLS)forStreamControlTransmissio3术语和定义多个运营商共同投资、建设、维护和使用同一张5G无线接入网，每个运营商负责不同区域的网络投资、建设、维护工作，既是承建方，又是共享方。在无线接入网共享的场景下，投资、建设和维护无线接入网，对基站具有所有权、管理在无线接入网共享的场景下，使用无线接入网，对基站只有使用权，无管理权的一方。4缩略语下列缩略语适用于本文件。5GC:5G核心网(5GCoreNetwork)5G-RAN:5G无线接入网(5GRadioAccessNetwork)AMF:接入和移动性管理功能(AccesandMobilityManagementFunctionN235.2安全框架5G-RAN共享安全框架如图2所示；针对5G-RAN共享的安全要求，需要考虑安全防护的整体性。本文件基于对5GMOCN网络共享架构、典型组网策略、典型业务与运营需求的安全风险分析(参考附录A),主要从网络安全、网管开网络安全部分包括接入、承载、核心等网络域，以及5G-RAN共享安全框架如图2所示；分类分级防护职责安全控制采集传输存储处理..接入安全承载安全核心安全切片安全MEC安全图25G-RAN共享安全框架6网络安全要求6.1无线接入网安全要求在5GMOCN网络共享架构下/gNB组成的5G-RAN连接多个运营商核心网，甚至共享部分回传网络的路由资源。由传统封闭转向开放的回传网络以及gNB网元，面临内部敏感信息泄露和外部跨网攻击等安全风险。为应对上述安全风险，无线接入网应加强回传通信接口安全防护，提升网络可靠性，并对gNB安全加固、安全环境、多运营商PKI认证能力等方面提出如下安全要求6.1.2回传通信安全gNB应支持5GS非服务化接口安全机制，应通过双向认证、安全隔离等指施，做好接口和链路的通信安全防护。a)非服务化接口安全：gNB应支持对N2、N3和Xn等外部传输链路，以及gNB和eNB之间的至5GC入口处部署安全网关，作为IPSceVPN的终结点。除了IPSce之外，N2、Xn-C接口还应支持IETFRFC6083中规定的DTLS,以提供机密性、完整性保护和抗重放保护b)O&M接口通信安全：应对远程或本地的OMC-R网管和gNB之间的通信采用双向认证机制，并提供机密性和完整性保护。其中用于身份认证和建立安全关联的密钥，以及远程通信的会话题题6运营商B词营商A运营商B区域a图4运营商间承载网互联互通安全6.2.2承载网对接点安全策略BGP路由过滤与控制承载网互联互通，应通过EBGP方式对接，并配置白名单策略a)只发布及接受与业务相关的地址网段路由，例如共享gNB、5GC、MEC等。b)不发布及接受与业务无关的地址网段路由，涉及新增路由白名单需求，应通过参与网络共享的各方共同认定的方式发起业务开通申请，审批后开通，建议采用电子化申请与审批方式c)EBGP白名单策略对新路由地址段进行合规性审核，仅允许合规源地址流量的访问。community属性。业务流量控制建议双方在承载网互联互通的接口，配置ACL策略。通过源IP、目的IP、协议、源端口、目的端口等字段进行访问控制，只允许与业务相关的流量通过，其它流量全部拒绝。6.2.3共享gNB接入承载网安全控制在共享gNB接入承载网的位置，例如承载网接入层设备，建议在路由控制层面和转发层面部署相应的安全策略进行控制，防止业务不相关的流量未经授权访问承载网。a)控制平面：在共享gNB业务流量接入承载网的位置，配置ACL策略，通过源IP、目的IP、协议、源端口、目的端口等字段进行访问控制，只允许与业务相关的流量通过，其它流量全部拒绝接入。例如，运营商A承建的共享方gNB在接入运营商A承载网时，尝试未经授权访问运营商A的承载网核心路由设备、边缘MEC、SGC,此类业务不相关流量应被拒绝接入在共享gNB业务流量接入承载网的位置，根据对业务流量模型的预估，设置转发流量的合理峰值限制。6.2.4承载网内安全隔离建议在承载网内提供不同运营商业务流量间的安全隔离，强化路由的访问安全，防止泄露敏感路由如果承载网内未部署安全隔离手段，建议采取以下安全控制措施。路由可采用星型结构进行组网，尽量不采用fullmesh结构，提升路由的访问安全和可扩展性。b)维护界面限制如果存在开放5G承载网网管能力的运营管理需求，建议限制共享方的数据获取范围，不允许共享方查看、导出承载网内的路由信息。6.2.5承载网可靠性在承载网互联互通场景下，应强化路由设备安全加固、实施网络高可靠保护措施，确保网络的可靠性和可用性。路由设备安全加固路由设备的安全域可以划分为管理平面、控制平面、转发平面等三大平面，每个平面应部署相应的安全策略，防范承载网可能受到的攻击。1)应根据最小权限分配原则，结合4A系统对设备管理账号进行权限管理、定期口令更新与2)登录设备应使用SSH,并通过ACL限制HTTPS等安全协议，采集协议应采用SNMPv2c或以上版本。3)关闭设备上不必要的服务，如HTTP,FTP、TFTP、IP源路由，若有使用需求，应在受控的条件下使用，使用结束后回退到关闭状态。b)控制平面安全2)针对EBGP协议，应启用路由协议认证功能，确保与可信方进行路由协议交互，同时启用BGPGTSM功能检查TTL值是否符合预期，或配置MAX-HOP功能。3)使用前缀列表部署路由策略，避免接收或发布不安全的路由信息。4)按需部署最大条目路由限制措施，预防可能遭受的路由冲击。c)转发平面安全1)配置安全访问控制列表，过滤掉己知安全攻击数据包2)应对典型协议报文的攻击进行防护，包括但不限于PingofDeath攻击、SYN攻击、Teardrop攻击、Smurf攻击、Land攻击，配置防护策略，如进行限速、过滤、丢弃。网络高可靠保护a)承载网互联互通的对接点，应采用双节点口字型互联结构。b)当运营商间共享承载网路由时，共享路由段应采用冗余的物理组网结构，例如物理成环、双上c)应对路由光缆资源、网络设备的运行状态和负载进行持续监控与高负荷预警。参与网络共享的各方应共同协商明确高负荷预警阈值，以便主动、及时地实施扩容与负载均衡d)建议部署双向转发检测(BFD)、快速重路由等故障检测与收敛技术。8在核心网入口处，特别是在核心网中与共享5G-RAN对接的网元AMF、UPF,需要防范由于5G-RAN共享引起的未知接入源带来的安全风险，以及承载网互通可能引发的潜在跨网攻击威胁，应部署保护核心网接入安全、可靠性的安全防护策略6.3.2核心网接入安全为了防止由于多运营商网络共享5G-RAN引起的未知接入源带来的安全问题，需要针对核心网中与基站直接通信的网元AMF、UPF,新增部署安全策略。a)路由过滤策略：应在AMF、UPF的N2、N3接口配置路由过滤策略，过滤除规划业务相关IP段以外的IP地址(共享gNB的IP地址一般成段分配),对报文访问的目的地址和目的端口做出限制，防止非规划内的未知接入源尝试接入核心网网元。b)非服务化接口安全按需对N2、N3接口启用非服务化接口安全机制，通过基于IPSeeESP和IKEV2证书的认证，对非服务化的接口的网元间通信提供机密性、完整性和抗重放保护。6.3.3核心网可靠性核心网侧需要具备安全防护手段和控制手段，应对异常突发场景，如共享基站受到攻击向多个核心网接入管理网元AMF恶意灌包。建议在5GC入口处的防火墙上，配置TCP/P攻击防范、ARP攻击防范等功能，并为5GC-CE或DC-GW配置CPCAR防护策略。a)TCP/IP攻击防范；配置TCP/IP防范策略，防止从共享基站、承载网互通节点针对核心网网络设备的攻击。b)ARP攻击防范：配置ARP报文合法性检查，ARP严格学习等安全防范策略，对ARP攻击进行防范、检测和解决，防范针对ARP协议的攻击。c)CPCAR防攻击；通过对不同的报文设置不同的CAR规则，降低报文的相互影响，达到保护CPU的目的。6.4MEO部署安全要求在运营商间共建共享5G-RAN、承载网互联互通的场景下，由于各运营商独立建设核心网，根据共享方的业务场景和建设方式不同，共享方的边缘MECUPF主要有如下的两种部署方式：a)方式一：业务需求触发共享方边缘MECUPF与承建方路由设备对接(图5)。二边缘UPF的安全防护需考虑YD/T1032-2019中6.6、7.2提出的安全需求，除此以外，还应考虑接入应按照6.3.2章节的核心网接入安全要求，针对边缘UPF部署安全措施，包括路由过滤策略、非服务化接口安全机制等。b)与5GC间的流量安全控制应支持对边缘UPF向5GC间的流量进行安全控制，如N4、N9接口，应支持对此类接口的信令流量速率、协议类型、目的地址/端口进行限制1)针对有INTERNET访问需求的场景，应为边缘UPF部署抗DDoS能力。2)对于边缘UPF,应采取安全措施确保设备硬件、物理基础设施的物理安全，如果涉及运营商间责任分工，应协商明确防护职责，并采取统一的物理安全防护要求。6.5切片部署安全要求在运营商间共建共享5G-RAN、承载网互联互通场景下，运营商间的切片运营管理系统(如CSMF、NSMF、NSSMF)通常通过能力开放，或新建电子化平台打通双方切片运营管理系统的方式实现切片需求与策略信息的传递，以及切片运营管理能力共享(图7)。应针对具体的建设和运营方案，在本小节提出的安全要求的基础上进行进一步扩展和细化。图7运营商间切片运营管理系统能力共享6.5.2部署安全要求a)安全域划分与隔离：明晰内网安全域边界，部署防火墙进行隔离，并采取访问控制策略。b)分权分域与访问控制：根据共同协商的分工界面，通过分权分域的方式对切片运营管理系统或新建的电子化平台进行有限授权开放，并部署访问控制策略，拒绝与业务无关的访问请求。c)安全传输：针对承建方和共享方的切片运营管理系统间传输的指令和数据，采取认证、加密、完整性保护、抗重放攻击等安全保护措施。d)日志与安全审计切片运营管理系统，或新建的电子化平台，应具备记录接入登录、配置操作、数据导出等动作的日志能力，并采取安全措施确保日志存储的机密性和完整性，安全审计。e)数据安全管理针对切片运营管理系统间传输、共享的数据，如业务需求数据、切片网络数据、用户数据等等，按照第9章中提出的安全要求进行分类分级和全生命周期安全管理。a)切片安全一致性：应支持(无线侧)切片安全需求与策略信息在承建方和共享方的切片运营管理系统间进行传递，并确保安全策略最终一致地执行b)切片安全状态监控承建方AN-NSSMF应支持对切片关键KPI和切片安全状态信息进行监控并按需向共享方提供共享方无线子切片的监控数据。c)切片安全管理能力开放：建议支持(无线侧)切片安全管理能力开放，按需向共享方提供有限授权操作、安全数据可视、安全日志共享、安全事件通知等安全管理能力7网管开放安全要求为了满足共享方对网络的生产运营需求，承建方一般通过反拉维护络端或开放北向开放无线网管能力。反拉维护终端，即通过部署专线的方式将承建方OMC-R的终端反拉至共享方，实现无线网管能力开放。开放北向接口，即承建方通过新增开放北向接口的方式，按照共享方的北向接口规范的配置、性能、告警等多类数据通过部署的专线传送至共享方。网管能力开放过程中涉及到的网络与信息安全风险主要有敏感信息泄从安全域隔离、访问控制与权限管理、传输安全、反拉维护终端安全、日志与安全审计防护。应加强OMC-R网管的安全管理，做好网管设备、接口、终端的安全域划分，明晰安全域边界，落实各边界接入要求及安全策略。a)网管域外部边界隔离应在网管城外部边界部署防火墙，对安全域边界进行安全隔离，如图8所示。为保障承建方、共享方内网安全的可靠性，建议双方都使用双防火墙的对接一备实现防单点故障和负载均衡。同时在防火墙上配置安全策略，实现对共享wswss题图B网络域外部边界安全隔离组网b)网管系统隔离网管系统可通过统一管理和独立管理两种方式，对共享基站和非共享基站进行管理。统一管理，指的是共享基站与非共享基站纳入同一个网管系统统一管理。独立管理，指的是将共享基站割接至独立的新网管系统，与非共享基站分网管管理。不同的管理方式下，应采取不同的安全控制手段确保共享基站与非共享基站的网管系统隔离。应通过严格的分权分域策略进行管理控制，基于承建方、共享方的角色，分别从设备操作维护、数据配置层面，管理其下属网管账号的访问控制权限，确保共享方仅能访问到共享基站。承建方自有的非共享基站对共享方不可见、不可管理。此外，建议在部署网管数据库时，提供共享基站与非共享基站的数据存储隔离能力，即逻辑隔离。2)独立管理建议采用独立的新网管系统管理共享基站，与承建方其它网管系统实现隔离，便于后续安全策略的实施注1:在独立管理场景中，针对NSA模式下的共享gNB,可按雷将承建方白有的描点eNB同步割接至新网管基于网络监控需求，需要向内外部用户长期提供网管系统账号和访问权限，且参与网络运维优化的人员数量多、角色复杂(包括内部人员、合作方人员、外包人员等),承建方与共享方应统一网管系统的访问控制策略和权限管理原则，并借助电子化管理的手段实现操作流程可追溯、可审计、可管理。7.3.1访问控制IP地址与端口白名单策略：应限制共享方接入的服务可达范围，只能访问共享5G网管，承建方其他网内设备共享方均不可达。在承建方侧安全域边界的防火墙上设置访问控制规则：a)限制共享方侧接入的IP地址的访问权限，仅开放共享50网管的IP,默认其他所有IP地址关b)限制共享方侧接入的端口的访问权限，如只开放网管各项功能应用的对应端口。双向NAT:建议采取双向NAT的方式接入访问承建方网管，双方网络路由不通告对方IP地址段，减少各自内网地址暴露面及地址冲突等安全问题。a)共享方将承建方网管的IP地址一一映射为共享方的DCN规划地址，提供给共享方用户访问。b)应严格禁止两端的一对多NAT(如下挂二级路由器、wif等可以二次NAT的设备),造成有多个IP可以同时访问对端网络的情况。VPN接入：在实际应用过程中，如果网管系统使用NAT方式存在问题，建议采取VPN的接入方式访问对方网管。7.3.2权限管理账号权限控制应基于承建方、共享方的角色，管理其下属网管账号的访问控制权限。例如，承建方网管账号具备网管配置、操作权限，共享方网管账号仅有只读权限。a)账号的访问控制权限包括但不限于查询、配置(操作)、导出等。b)应根据网管访问控制权限的敏感性、高危性，对网管账号进行安全分级，对承建方和共享方的网管账号进行细粒度的授权管理和备案。c)账号权限分配应道循工作相关化和权限最小化“原则，严格与岗位职责匹配，并根据使用人员角色的岗位进行授权。账号安全内控要求：承建方与共享方应共同制定并遵循统一的账号安全内控要求。a)账号应符合统一认证系统要求，按“一自然人一账号“和-分权、分域、分级“进行账号设置，落实账号实名制管理。b)网管系统应开启账号口令相关策略，如口令复杂度检测和定期强制修改口令等。)账号在人员发生岗位调整或离职后应立即实施相应的账号及权限关闭和或注销。d)建议对网管系统的账号申请、注销、权限变更等动作实行电子化审批存档，定期组织开展核查工作，形成管理台账。共享gNB及其5G网管的所有O&M流量都应受到保护，以避免在路径上被篡改或泄露。网管系统与共享方之间专线上传输的O&M流量应采取传输链路隔离、加密、可靠性保障等安全手段，如图9所示。9图9传输链路安全协议保护a)传输链路建议以物理专线方式隔离，物理链路设计采用冗余结构，避免因单链路失效而导致一个接入节点整体失效，起码保证双路由冗余。b)应采用SSH/SFTP、TLS、HTTPS、FTPS和IPSec等安全协议进行通信，为O&M流量提供服务器认证、数据机密性及信息完整性保护。对于TLS协议，应采用TLS1.2及以上的协议版本，c)为满足长远的应用需求，双方网管机房间的物理传输链路带宽建议不低于2*10Gbps,并在实际生产运营过程中按需提前进行扩容。d)当存在大业务量数据采集需求时，建议配置单独链路进行传输。在不具备条件的情况下，应针对业务设置不同的Q0S等级，保证OMC-R上正常的监控、查询操作及告警等数据能实时传7.5维护终端安全为确保共享网管系统的网络与信息安全，应对反拉至承建方与共享方的维护终端提出以下安全要求。a)安全防护1)维护终端的IP地址、物理位置要相对固定。2)维护终端自身要定期更新安全相关的补丁。3)各维护终端管理员应及时更新系统补丁，对于无法更新的系统补丁，应采取关闭相关端口或其他补救措施以规避漏洞所带来的风险。4)维护终端应安装防病毒软件，并实时更新病毒库。5)应根据安全策略设置登录维护终端的操作超时锁定b)接入认证维护终端安全管理应包括接入网络认证的要求，只允许合法授权的用户终端接入网络。g)安全审计2)建议对维护终端的网络接入记录进行审计。3)建议对维护终端网络状态以及网络流量等信息进行监控和审计7.6日志与安全审计应强化网管系统访问控制与权限管理的效果，要求具备相应的安全事件日志记录与安全审计能力，对各类日志信息和安全事件信息进行统一分析审计。7.6.1安全事件日志a)安全事件日志记录网管系统应支持以日志的方式记录安全事件，至少包括以下事件：1)记录用户非正确登录系统的尝试，记录数据包括用户名、接入地址、鉴权结果、时间戳2)记录有系统权限的用户帐号的接入尝试，记录数据包括用户名、接入地址、时间戳3)记录所有帐号的管理行为，包括配置、删除，开启、关闭，记录数据包括管理员用户名、被管理账号、执行行为(配置、删除、开启、关闭)、时间戳。4)记录组员资格或帐号任何变更，记录数据包括管理员用户名、被管理账号、执行行为(加入或退出某组)、时间戳。5)记录网络设备配置的变更，记录数据包括用户名、变更行为、变更前状态、时间戳。6)记录对网络设备的重启或关机操作，或网络设备崩溃事件，记录数据包括用户名(用于特定行为)、操作行为(重启、关机、崩溃等)、时间戳。7)记录网络设备上接口的状态变化(如端口开启或关闭),记录数据包括接口名称和类型、状态、时间截。1)网管系统应支持将安全事件日志记录数据转发到外部系统或上传到集中预设位置2)日志服务器应限制可访问该服务器的IP地址或网段，未经许可禁止日志服务器与其他网段进行任何通信。3)安全日志应配置访问控制策略，只有具备访问权限的用户才能访问日志4)应部署相应的安全措施确保安全日志的完整性、一致性5)安全日志留存时间不得少于3个月，建议不少于6个月。7.6.2安全审计承建方、共享方应定期组织开展对网管系统的安全审计，审计要求包括但不限于：a)访问权限安全审计应对网管系统的用户账号和访问权限开展定期审计，减少未经授权或不适当的对系统或数据进行访问而带来的风险。b)业务操作安全审计1)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。2)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等3)应保护审计记录，避免受到未预期的删除、修改或覆盖等，操作日志保存时间不少于6个4)应遵循统一的时间同步服务器，便于各系统时间保持一致。8业务安全要求在运营商间共建共享5G-RAN的场景下，参与共建共享的运营商各自负责整个共享区域中不同部分区域的网络投资、建设、维护，既是承建方，也是共享方。因此，应对业务安全策略、网络关键策略参数进行统一地规划、分配、管理和冲突检测，避免业务安全性、可靠性与可用性受到影响8.2业务安全策略一政如果同一业务覆盖的地理范国跨越了不同运营商承建的共享区域，应确保在不同共享区域内接入的共享网络，能够给同一业务提供相同等级的安全策略保障，避免出现业务安全性不平衡、安全降级的问题。无线接入侧典型的业务安全策略包括但不限于：a)通过网管配置gNB允许的AS安全算法列表，包括一个完整性算法列表和一个机密性算法列表，共建共享双方应共同协商决定列表中算法的优先顺序排列。b)开启/关闭AS用户面数据流量的机密性和完整性保护c)开启/关闭基于IPSeeVPN的Xn/N2/N3接口数据安全加密和完整性保护此外，应支持在切片资源编排与能力配置的过程中，同时向不同运营商的无线侧子切片管理系统下发一致的业务安全策略，确保共享5G-RAN下业务安全策略的一致性8.3策略与参数冲突检测网络参数、策略发生冲突，有可能导致共享5G-RAN出现信令风暴、资源过载、基站偶发性断链、计费错误等安全问题，影响业务可用性。如果参数、策略支持独立配置，建议选择独立配置。对于不支持或不选择独立配置，并且有可能引发业务冲突的参数、策略，承建方和共享方应进行统一规划，部署相应的冲突检测能力，应将冲突检测动作纳入入网的规划流程、建设流程、日常维护作业计划中进行管理控制。9数据安全要求数据安全要求，主要适用于在运营商间共享5G-RAN的过程中，数据在承建方与共享方之间全量或部分共享的场景。此处，数据指的是共享5G-RAN及其网管系统产生的全量数据，通常在网管能力开放的基础之上实现共享为了确保数据的安全性，承建方与共享方应共同明确数据共享的范围、数据分类分级、数据安全防护职责分工，并共同制定数据全生命周期的安全管理要求。9.2数据分类分级应针对不同类别、不同分级的数据明确不同的安全防护方案和访问权限，从而提高数据的安全性，有效防范敏感数据泄露，为数据共享提供便利9.2.1数据分类数据分类可根据企业的生产经营管理现状和企业自身管理特点进行，典型的分类方法可参考：a)以承建方、共享方各自企业内的数据分类标准为基础，制定符合双方需求的分类方法。b)参考现有的相关行业标准、国家标准，制定新的分类方法，例如YD/T3813-2020。c)根据实际明确共享的数据的特点，制定新的分类方法。除此之外，在明确数据分类方法的过程中，还应参考以下原则：a)数据分类标识应能完全覆盖将要进行共享的所有数据。b)数据分类的结果，应利于数据分级的进行，如果某类别下的数据同时包含敏感性高和敏感性低的数据字段，应尝试进一步进行分类，或重新分类。c)新制定的共享数据分类方法，建议与企业正在实行的数据分类方法具备一定程度的映射关系，便于实际工作的开展在运营商间共享5G-RAN的过程中，可参考表1中举例的数据分类方法，将共享数据分为网络资源类数据、业务信令类数据、网络运行类数据等三类，每个类别下又可以细分为子类表15G-RAN共享网络数据分类(A3-3)天馈系统配置数据(A4-1)系统配置数据(A4-2)基站和小区配置数据(A4-3)接口/协议配置数据(A4-4)天线参数配置数据(A4-5)软件/补丁版本类数据(A4-6)拓扑类数据(B类)业务信(B1-1)小区级跟踪记录(B1-2)用户级跟踪记录(B2-1)事件触发的测量报告样本数据(MRE)(B2-3)测量报告统计数据(B3-1)呼叫的终届特征信息(B3-2)呼叫建立特征信息(B3-3)呼叫过程行为信息(B3-4)呼叫释放相关信息(B3-5)其他对呼叫分析相关的关键信息(C类)网络运(C1-1)硬件故障告警数据(Ci-2)软件故障告警数据(C1-3)服务质量告警数据(C1-4)电源故障告警数据(C1-5)传输系统故障告警数据(C1-6)基站内外部通信告警数据(C1-7)环境系统故障告警数据(C1-8)系统运行异常告警数据(Cl-10)时钟告警数据(Cl-11)设各网管设置的告警屏蔽和过滤规则(C2-2)传输性能统计数据(C3-1)无线质量测试数据(如：路测(DT)数据、呼叫质量拨打测试(CQT)数据)(C3-2)设备单元(主控单元、基带板、射频模块、传输单板)测试数据(C3-3)信令链路测试数据(如：XnNG接口的SCTP、维护接口的OAM链路等)(C4-1)资源报表类数据(C4-2)告警报表类数据(C4-3)性能报表类数据(C4-4)负荷报表类数据(C5-1)设备网管系统日志(C5-2)网元操作日志(C5-3)SON功能执行日志(C5-4)安全日志(C5-5)网元事件日志(C5-6)北向接口日志(06)工单类数据处理工单等)(06-2)网络调整工单数据(06-3)投诉工单数据9.2.2数据分级在数据分类基础上，应根据数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理、用户利益造成的影响和危害程度，对数据资源进行分级。典型的分级方法可参考：a)以承建方、共享方各自企业内的数据安全性分级标准为基础，制定符合双方需求的分级方法。b)参考现有的相关行业标准、国家标准，制定新的分级方法，例如YD/T3813-2020。除此之外，在明确数据分级方法的过程中，还应参考以下原则：a)数据等级应能完全覆盖将要进行共享的所有数据。b)新制定的共享数据分级方法，建议与企业正在实行的数据分级方法具备一定程度的映射关系，便于实际工作的开展。9.3数据安全防护职责分工明确承建方、共享方的数据安全防护职责与分工界面，是数据全生命周期安全管理的重要基础，应参考以下原则：a)数据安全防护职责分工应覆盖数据全生命周期，包括采集、传输、存储、处理、交换、销毁等b)数据安全防护职责分工应针对数据的机密性、完整性、可用性等三个方面9.4数据全生命周期安全管理数据全生命周期包括采集、传输、存储、处理、交换、销毁等阶段，在不同的阶段下，应根据数据的安全分级，选取不同的安全防护措施a)数据采集阶段1)采集缓存数据管理：严格限制采集过程中临时数据缓存区域，并将缓存区域纳入统一安全控制范畴。2)无接收系统数据管理：对无接收系统的采集数据在采集环节及时删除。3)采集数据保护：针对数据采集过程实施数据防泄漏安全技术措施，如采集数据的加密、采集链路加密、专线传输等，确保在采集过程中数据不被泄露。b)数据传输阶段1)数据完整性校验：具备数据完整性校验手段，支持对传输数据完整性的检查，能够检测数据传输过程中的丢失或损坏，并具备相应的恢复措施。2)数据机密性保护：采用加密或其他有效措施实现数据传输保密性，防止数据被泄露c)数据存储阶段1)数据完整性检测：具备数据完整性检测机制，能够发现数据存储阶段造成的数据损坏和丢失，并具备相应的恢复措施。2)数据认证与访问控制：采取鉴权、数字签名等安全措施保障数据存储安全，防止对数据的未授权访问、损害。3)数据机密性保护：采用加密或其他保护措施实现数据存储机密性d)数据处理阶段1)数据操作审批：对数据进行操作应确保操作有审批、有记录。2)数据处理需求：在使用数据前，必须明确数据使用的范围和使用需求，确保数据处理阶段数据的使用不超过原始数据的授权范围和安全使用要求，保证数据不被滥用3)用户数据处理要求：对涉及用户相关信息的数据进行查询、展现、统计等操作时，承建方和共享方应对其进行模糊化或脱敏处理后再展示；承建方若因生产需求需要处理共享方的用户相关数据时，需经过授权、审批流程，未经授权不得进行访问、处理。4)开发测试要求；在开发测试时避免使用此类数据，如确有需要，应先进行脱敏处理，测试完成后全部删除e)数据交换阶段1)数据交换风险评估：应对导出、共享的数据进行凤险评估，数据必须经过审核、审批才能导出、共享2)数据保护要求；数据转移过程中，应具备完善的数据保护机制，如数据加密等0数据销毁阶段1)数据超出保存期限管理；数据超出保存期限时对数据进行及时销毁。2)存储介质销毁：对不再使用的数据存储介质，维护人员应及时通过消磁、粉碎等技术手段3)设备处理承载数据的设备下线时，应采取消磁、粉碎等不可逆技术手段对设备进行处理。10安全运营管理要求为满足参与网络共享的各运营商对5G-RAN等共享网络资源的安全运营管理需求，网络的安全运营管理平台应具备安全事件联合处置能力，并按需开放安全运营能力10.2安全事件联合处置能力共享5G-RAN分别是多个5G网络中的无线网络域，当发现安全事件时，应具备联合处置能力，快速、高效地应对安全事件，防止安全威胁进一步向多个5G网络的其它网络域渗透建议通过部署安全事件电子化交互平台的方式，为承建方和共享方联合处置安全事件提供平台。平台应支持的能力包括但不限于：a)安全事件信息传递共享1)5G-RAN的承建方发现安全漏洞或攻击等安全事件时，能够通过平台向共享方及时通告安全漏洞或攻击的相关信息，便于后续开展联合处置。2)安全事件信息应包括但不限于发生地点、受影响范围、涉及网元、事件定级、详细描述、处理时限要求等关健信息，具体信息模板由承建方和共享方共同协商确定。3)安全事件信息应能够在安全事件电子化交互平台和承建方、共享方自有的安全运营管理平台之间传递、映射。b)安全事件处置任务管理1)当存在联合处置安全事件需求时，如攻击流量封堵、溯源，平台应支持以发起任务的方式请求承建方或共享方联合处置安全事件2)平台应提供安全事件处置任务每个阶段的管理能力，如创建、发起、处理、恢复、结束等3)安全事件处置任务应能够在安全事件电子化交互平台和承建方、共享方自有的安全运营管理平台之间以任务或工单的形式传递、映射。c)安全事件全流程记录平台应支持以电子化记录的方式，记录每个安全事件全流程的关键信息，包括安全事件通告、安全事件分析、安全事件处理、安全事件总结等阶段。为后续的复盘和审计工作提供数据信息。10.3安全运营能力开放为满足安全运营需求，建议承建方将5G-RAN等网络资源纳入自身的安全运营管理体系中，实现如安全资产管理、安全监测、安全态势感知、安全审计等安全运营能力，并按需向共享方进行能力开放。网络的安全运营管理平台，建议支持以下的能力开放方式：a)开放安全管理平台北向接口，向共享方传输满足其格式要求的、共享网络资源相关的安全数据。b)通过反拉维护终端与账号授权的形式，向共享方提供接入安全管理平台的能力，同时需要进行严格的分权分域、访问控制与权限管理。安全运营能力开放过程中，不可避免的将产生安全数据的共享，如安全运营日志分析结果，应满足第9章提出的数据安全要求。50数字蜂窝移动通信无线接入网共享安全风险分析为了高效实现5G网络覆盖，快速形成5G服务能力，我国电信运营商正积极探索和实践运营商间共建共享5G网络。3GPP在R16协议规范TS23.501中明确说明，5G系统仅支持共享无线接入网，仅支持5G多运营商核心网(5GMOCN)网络共享架构。A.2网络架构5GMOCN网络共享架构下，多个运营商的5G核心网连接到同一个5G-RAN(图A.1)。共