5G独立专网硬核安全能力，推动5G行业应用健康发展

        5G独立专网是基于5G的移动通信技术，主要用于企业和园区内部的移动通信和数据传输，具有大带宽、低时延和高可靠特性。垂直行业应用的高业务价值、行业应用多样化等特征，使得5G独立专网与垂直行业深度融合发展的同时也面临着新的安全风险与挑战。

5G独立专网面临的安全风险

        相比于前几代的移动通信网络，5G网络对安全机制的考虑更充分，但其安全体系设计是面对公众用户，与行业用户的高安全需求存在一定差距。随着5G独立专网逐步拓展到千行百业，尤其是一些关键基础设施领域，5G独立专网的安全性倍加重要。

        面向行业的5G独立专网主要存在以下安全风险（见图1）：

• 物理安全风险

        相比于运营商机房，5G独立专网设备一般部署在相对不安全的物理环境中，更容易受到物理攻击，如非法访问物理设备的I/O接口获取敏感信息、非授权访问设备等。

• 终端设备安全风险
   

        行业终端设备复杂多样，安全能力差异大，终端存在被窃取伪造的风险，终端软硬件漏洞会导致敏感数据泄露、被篡改；终端身份易被盗用，非法终端接入5G独立专网，攻击行业专网业务系统，会造成敏感数据泄露等严重后果。

• 接入安全风险
   

        行业终端通过无线空口接入5G独立专网基站，面临空口中对用户数据的窃取和篡改、空口信令风暴导致DDOS攻击拒绝用户接入、伪基站安全风险以及在行业作业环境下的空口恶意干扰等安全风险。

• 传输安全风险
   

        5G独立专网的传输网相比于运营商的传输网络安全性较弱，数据在传输过程中面临被窃听、篡改的安全风险。5G独立专网与企业内部网络的边界互联带来更多的暴露面风险，其出口边界面临DDOS攻击安全风险。

• 运维管理安全风险
   

        5G独立专网应用场景多样，给安全管理和运维管理带来了新的安全风险。5G专网的运维面向行业开放，给行业客户提供自主运维管理能力，运维管理系统可能会受到入侵、非授权访问或越权访问的风险，并面临非法篡改网络配置、泄露管理信息等安全风险。

5G专网行业应用等级保护安全要求

        我国高度重视5G网络技术的发展和应用，在推动5G发展的同时，5G安全也被提高到国家战略层面。2020年3月，工信部发布《关于推动5G加快发展的通知》，要求加强5G网络基础设施安全保障。2021年7月，工信部等十部门在《5G应用“扬帆”行动计划（2021—2023）》中明确提出，要加强5G应用安全风险评估，开展5G应用安全示范推广，提升5G应用安全测评认证能力，全面提升5G应用安全。

        垂直行业高业务价值引发更多攻击风险，大都以国家安全数据、商业机密等为目标。面对严峻的行业安全趋势，国家加强了对关键信息基础设施的监管。《信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2019）》（以下简称“等保要求”）被广泛应用于各个行业领域，指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。“等保要求”提出了一个中心、三重防护的安全保护体系，实现对新技术、新应用安全保护对象和安全保护领域的全覆盖，注重全方位主动防御、动态防御、整体防控和精准防护。“等保要求”分为通用要求和扩展要求两部分，通用要求是针对比较共性的基础网络要求来进行定义，包括：安全物理环境要求、安全通信网络要求、安全区域边界要求、安全计算环境要求、安全管理中心要求五个层面；安全扩展要求主要针对新技术新业务，如云计算、移动互联网、物联网安全和工业控制等领域的扩展安全要求。

• 安全物理环境：针对环境安全防范与物理环境相关的威胁，保护系统和建筑及相关基础设施。
• 安全通信网络：针对通信网络提出的安全控制要求，包括网络架构、通信传输、可信验证等三个方面。
• 安全区域边界：针对网络边界提出的安全要求，主要涉及边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面。
• 安全计算环境：应用系统是5G应用行业业务开展的重要组件，安全计算环境涉及网络设备、核心应用系统、操作系统及数据库的内部所有对象，包括身份鉴别、访问控制、可信验证、数据机密性和完整性、入侵防范和个人信息保护。
• 安全管理中心：针对整个系统提出的安全管理方面的控制要求，包括系统管理、审计管理、安全管理和集中管控。

5G独立专网安全能力

        5G独立专网安全能力满足《信息网络安全等级保护基本要求》等相关法律法规要求，对标等保2.0三级要求，高标准实施安全区域边界、安全计算环境和安全通信网络要求，以防火墙、IPS、态势感知等传统技术手段，并结合安全资源池化、安全能力原子化等手段，通过安全功能编排和自动化部署，实现安全能力协同管理、按需灵活部署，满足5G独立专网行业的动态、差异化安全需求。

• 物理安全能力
   

        在5G独立专网场景中，网元会以5G基站、算网一体机、专用5GC等形态下沉到行业专网或园区，网元设备具备防拆、防盗、防篡改等物理安全保护机制，同时通过对网元设备的端口防护和安全加固，确保物理I/O的可信接入。

• 终端安全

        对终端的软件系统进行安全加固，内置入侵检测插件，实时感知终端设备的安全状态，支持安全管理中心纳管实现终端管控和审计，采用终端身份认证、访问控制、加密存储等技术，确保终端设备的安全接入和数据安全。

• 接入安全
   

        5G网络自身提供终端的接入认证、二次认证、双向鉴权等纵向认证能力，同时根据不同应用场景提供5G终端的网络准入和访问控制能力，多重接入控制确保5G独立专网终端接入基站的合法性；5G专网终端与基站之间空口启用机密性和完整性保护，同时支持空口DDoS攻击的检测和反制、伪基站的检测和防御，确保接入过程的安全。

• 网络安全
   

        5G独立专网的管理面、业务面、控制面的不同网络平面的流量采用隔离防护，不同的功能接口进行子网进行逻辑隔离，针对用户域、接入网域、管理域和企业业务域的互联要求划分安全子域，域间采用防火墙、ACL实施访问控制、入侵检测、防病毒等方式实现边界安全，实现跨域互联的流量隔离、访问控制和攻击防护。

• 数据安全
   

        基于企业数据不出园区的原则，5G独立专网从组网和设计上保证企业数据的安全性，对5G独立专网中的数据进行数据加密传输和存储等措施，确保数据安全。对于重要数据，可采用国密算法进行E2E加密保护，实现数据的不泄露。

• 运维管理安全
   

        5G独立专网运维管理安全具备资产管理功能，能对5G独立专网相关资产进行识别，实现基础数据的收集、处理和统计分析，针对专网的设备和组件制定安全配置基线要求，定期实施基线核查。定期对5G专网各类安全日志和事件进行统一分析，建立态势感知系统，可视化安全状态和安全威胁数据程序，全面掌握网络安全状态，发现安全威胁及时处置，实现提取预判、预防、安全事件及时预警、评估风险、快速响应，形成闭环处置能力，降低安全事件对网络的影响。

• 安全测评
   

        定期对5G专网进行安全测评，包括设备级安全测评、网络级安全测评、行业应用级安全测评等。通过安全测评，发现网络中存在的安全漏洞和风险，及时采取整改措施。

        中兴通讯的5G专网安全解决方案遵循等级保护2.0标准设计，进行“一个中心，三重防护”设计和安全方案部署，覆盖等级保护2.0通信网络、区域边界、计算环境、安全管理等多维度安全要求。

        5G专网应用场景正在从移动互联网拓展到工业互联网、车联网、医疗健康等广泛的行业应用领域，其价值在垂直行业应用中逐步得到体现。3GPP 5G安全能够满足行业通用安全需求，但面向行业的网络安全能力还需根据不同行业不同场景进行差异化定制。中兴通讯5G专网网络安全能力，遵从安全等级保护、安全防护等相关规范的要求，满足5G行业网络规划、建设、部署和运行的全生命周期安全需求，推动“5G+”行业应用的健康发展。