5G-R安全解决方案，坚守网络安全底线

        国家铁路集团公司于2020年8月发布《国铁集团关于加快推进5G技术在铁路应用发展的实施意见》，同年12月，发布《铁路5G技术应用科技攻关3年行动计划》，提出到2023年完成铁路5G专网关键技术攻关和专用设备研制，开展安全保障、出行服务等急需业务的试验验证和使用考核，完成5G专网技术标准制定，为开展铁路5G专网建设和业务应用奠定基础。5G-R将逐步代替GSM-R系统，而网络安全势必成为5G-R投入建设和应用的桥头堡。

        中兴通讯积极响应国铁集团5G-R发展目标，坚守网络安全底线，构建多层次、内生的5G-R安全解决方案。中兴通讯5G-R产品安全解决方案，针对终端安全、空口安全、传输安全、核心网安全、运维安全及基础设施安全几大模块，提供基础安全能力和增强安全能力，以匹配不同安全级别的需求。同时，产品在安全设计、研发过程控制、交付及服务阶段，通过供应链、安全工具、安全评估、安全产品、事件响应、漏洞管理及安全实验室等安全服务，保障5G-R产品全生命周期的安全（见图1）。

补齐终端安全，建立全面管控体系

        5G-R网络终端种类较多，形态多样，不同终端的计算能力和安全防护能力差异较大，是5G接入安全的薄弱环节。5G-R终端安全方案，提供5G网络级、切片级、业务级的多重认证方式，根据业务安全级别灵活部署；其次，通过机卡绑定、接入位置控制等措施，提供基础的终端接入控制能力；此外，方案引入终端安全管控平台，集资产管理、基线安全、可信管理、安全加固等多种安全功能于一身，建立全面的终端纵深防御体系。

标准为基，强化空口防护

        无线空口提供基于3GPP标准协议的机密性和完整性保护功能，用于保护铁路业务的信令和数据安全性。5G网络在空口上增强了安全能力，补充了用户面完整性保护方案，对关键隐私数据采用SUCI（subscription concealed identifier）保护。

        针对空口侧易于发起的干扰、DDOS、伪基站等攻击风险，我们在解决方案中建立了增强型的防护方案，包括伪基站探测、空口抗DDOS攻击、无线抗干扰及干扰检测等能力，为5G-R覆盖区域内的空口环境保驾护航。

灵活部署，保障传输安全

        无线网络架构中，传输层提供Vlan、IPSec、TLS、HTTPS和SFTP等安全协议，构成了5G-R传输域基础的安全防护能力。这些功能可以根据不同应用场景的安全性需求灵活配置。

        为了适配5G-R不同业务类型的需要，我们在基础的传输安全功能之上，推出传输链路备份方案、物理隔离方案。其中，物理隔离方案可以为不同业务进行精细化的安全隔离保障，通过灵活定制物理隔离通道，确保高安全需求的业务传输通道不受干扰。

提升边界防护，打造安全核心

        作为铁路移动通信系统的关键基础设备，5G-R核心网强化了内生安全防护，基于虚机平台的系列安全防护技术，构建安全可信的软件平台；提供切片隔离技术，保证各业务资源的独立；数据资源管理对标业界标准的安全技术手段，保障数据安全。

        作为5G-R的核心资产，核心网设备具有更高的安全防护需求，还可部署防火墙、堡垒机、云WAF等安全防护设备，进一步增强安全边界的防护。

运维横向联动，拓展安全深度

        运维安全方面，中兴通讯无线网管安全设计以保密性、完整性和可用性安全三要素为核心，保护管理通道及业务数据信息安全。以访问控制、日志审计、版本安全和数据安全为基础安全方案，对5G-R网络系统实现可管可控。针对更全面的安全需求，网管还集成了网元安全基线核查能力，南向安全一目了然，同时网管可以扩展对接北向4A审计系统，通过外部能力联动，对上报的日志进行动态分析，拓展了安全管理的深度。

加固基础设施，全面态势感知

        基础设施层除了加强硬件、操作系统、虚机平台等基础安全外，还需要针对5G-R重要数据和业务增加安全启动、安全存储等功能，形成了对通信系统设施的基础保护方案。

        展望5G-R发展目标，我们还考虑了安全态势感知能力，实现5G-R增强型内生安全方案，方案具有统一纳管、主动防护、灵活部署等特点。

        5G-R安全解决方案，不仅提供各模块的安全技术，还从产品整个设计、研发、交付全链路生命周期考虑，通过安全供应链、安全评估、漏洞管理、安全事件响应等措施，保障网络交付每个环节的安全。

        中兴通讯5G系统产品，对标国内外通信行业安全标准认证，积极拓展网络安全新技术，以交付安全的网络为目标，助力国铁集团加快推进5G-R的部署应用。