2021-2022年5G安全知识库分析报告.pdf
2021-2022年5G安全nullnullnullnull知识库分析报告- 1 - 前 言 5G 是新一代科技革命和产业变革的代表性、引领性技术,是实现万物互联的关键信息基础设施、经济社会转型升级的重要驱动力量。 5G商用两年来,在产业界各方共同努力下, 5G发展成效显著,技术产业能力 不断 提升,网络和用户规模全球领先,应用探索日益活跃,涌现了大批优秀案例,实现了从 0到 1的突破 ,我 国 已经迈 入5G 融合 应用规模化发展的关键时期 。 5G 融合应用在造福社会、造福人民的同时,也引发了新的网络安全风险。中国国家主席在第二届世界互联网大会上指出,维护网络安全是国际社会的共同责任。国际社会应该在相互尊重、相互信任的基础上,加强对话合作,共同构建和平、安全、开放、合作的网络空间。 5G 安全是全球面临的共同问题,更需要倡导开放合作的网络安全理念,客观看待和应对 5G 安全风险,深化合作,增进互信,共同提高 5G 安全保障水 平。 随着 5G 技术、产业、应用迈入无经验可借鉴的“无人区” ,5G 与垂直领域深度融合引发的安全风险备受瞩目, IT、 CT、 OT 安全问题相互交织,构建与 5G 应用发展相适应的安全保障体系成为迫切需要。 2021 年 7 月, 工信部联合网信办、发改委等 9 部门印发 5G 应用 “扬帆 ”行动计划( 2021-2023 年) ,提出加强 5G 应用安全风险评估,开展 5G 应用安全示范推广 , 提升 5G 应用安全评测认证能力 , 强化 5G 应用安全供给支撑服务 , 计划到 2023 年底,打造10-20个 5G应用安全创新示范中心,树立 3-5个区域示范标杆。 5G安全 知识库在 5G 应用“扬帆”发展的关键阶段发布,凝聚了电信行业关于 5G 网络安全建设的最佳实践经验,探索提出 5G+行业应用 - 2 - 安全最佳实践方案, 将有力 促进形成全行业共识。 5G 安全知识库 梳理总结了 5G 终端、接入网、核心网、MEC、切片、数据、应用等安全最佳实践经验,制定面向 5G网络基础设施和典型行业应用的最优安全措施集,并提出 面向 运营商、设备商、垂直行业等不同主体 的 5G 安全措施落地部署方式 ,旨在 成为全行业 的 5G 安全最佳实践综合性技术 指导 文件,从 5G 网络和应用两个维度促进全行业 在 5G 安全 需求、 安全 能力和 安全 措施等方面 形成共识,共同保障 5G 网络和应用安全、可靠、高质量发展。 I 目 录 1 引言 . 1 1.1 5G 网络简介 . 1 1.2 5G 网络安全特点 . 2 1.3 5G 应用安全特点 . 4 2 国内外相关情况简介 . 5 2.1 欧盟 5G 安全风险评估及工具箱 . 5 2.2 美国 NIST 5G 安全实践指南 . 6 2.3 GSMA 网络设备安全保障框架 . 6 2.4 国内相关工作 . 8 3 5G 网络安全知识库 . 10 3.1 5G 网络安全范围 . 10 3.2 面向的 5G 资产 . 11 3.3 描述方式 . 12 3.4 描述内容 . 13 4 5G 应用安全知识库 . 14 4.1 5G 融合应用安全特点 . 14 4.1.1 5G 融合应用安全需求 . 14 4.1.2 行业应用安全需求与 5G 安全能力的映射 . 14 4.2 面向行业的 5G 安全原子能力集 . 16 4.2.1 SeCAP-1 端到端网络切片隔离能力 . 16 4.2.2 SeCAP-2 网络边界安全防护能力 . 18 4.2.3 SeCAP-3 增强的终端接入认证能力 . 19 4.2.4 SeCAP-4 开放的网络管理和安全管控能力 . 20 4.2.5 SeCAP-5 边缘 /本地园区的数据安全防护能力 . 22 4.2.6 SeCAP-6 面向行业应用的安全监测能力 . 23 4.2.7 SeCAP-7 基于蜜罐技术的 5G 安全防护能力 . 24 4.2.8 SeCAP-8 服务于多租户的虚拟专网能力 . 25 4.2.9 SeCAP-9 面向行业应用的 5G 安全测评能力 . 26 II 4.3 5G 应用安全最佳实践模板 . 27 4.3.1 ST-IIot 5G+工业互联网安全模板 . 27 4.3.2 ST-grid 5G+电力安全模板 . 29 4.3.3 ST-mine 5G+矿山安全模板 . 30 4.3.4 ST-port 5G+港口安全模板 . 31 4.3.5 ST-city 5G+智慧城市安全模板 . 33 4.3.6 ST-hospital 5G+医疗安全模板 . 34 4.3.7 ST-education 5G+教育安全模板 . 35 5 安全 知识库 使用方法 . 37 5.1 面向运营商、 设备商的 5G 网络安全 知识库使用方法 . 37 5.2 面向运营商、垂直行业的 5G 应用安全知识库使用方法 . 38 6 总结及展望 . 40 7 缩略语 . 42 附录 A: 5G 网络安全知识库措施 . 49 A.1 终端安全( Mobile Terminal, MT) . 49 A.1.1 MT-1 终端与 5G 网络数据和信令保护 . 49 A.1.2 MT-2 用户凭证的安全保护 . 50 A.1.3 MT-3 终 端接入认证 . 51 A.1.4 MT-4 终端访问限制 . 52 A.2 接入网安全( Radio Network, RN) . 53 A.2.1 RN-1 基站用户数据和信令保护 . 53 A.2.2 RN-2 伪基站检测及防护 . 54 A.2.3 RN-3 基站可用性保护 . 55 A.2.4 RN-4 降低无线电干扰风险 . 56 A.2.5 RN-5 基站物理安全保护 . 57 A.3 多接入边缘计算安全 (Multi-access Edge Computing, MEC) . 58 A.3.1 MEC-1 物理环境安全防护 . 58 A.3.2 MEC-2 组网安全防护 . 59 A.3.3 MEC-3 基础 设施安全防护 . 61 III A.3.4 MEC-4 虚拟化安全防护 . 64 A.3.5 MEC-5 边缘计算平台安全防护 . 66 A.3.6 MEC-6 应用安全防护 . 68 A.3.7 MEC-7 能力开放安全防护 . 69 A.3.8 MEC-8 通信安全防护 . 70 A.3.9 MEC-9 管理运维安全 . 71 A.3.10 MEC-10 数据安全防护 . 72 A.4 核心网安全 (Core Network, CN) . 74 A.4.1 CN-1 核心网资源可用性保护 . 74 A.4.2 CN-2 5GC NEF 安全保护 . 75 A.4.3 CN-3 核心网流量保护 . 76 A.4.4 CN-4 核心网内外边界隔离 . 77 A.4.5 CN-5 核心网网元合法身份保障 . 78 A.4.6 CN-6 虚拟化环境保护 . 79 A.4.7 CN-7 用户标识保护 . 80 A.4.8 CN-8 漫游安全 . 80 A.5 网络切片安全 (Network Slice, NS) . 81 A.5.1 NS-1 终端接入切片安全 . 81 A.5.2 NS-2 切片网络隔离 . 82 A.5.3 NS-3 切片数据隔离 . 83 A.5.4 NS-4 切片管理安全 . 84 A.6 安全管理 (Security Management, SM) . 85 A.6.1 SM-1 安全管理和编排 . 85 A.6.2 SM-2 安全可控 . 86 A.6.3 SM-4 人员管理 . 87 A.6.4 SM-4 安全审计 . 88 A.7 运维管理 (Operation and Management, OM) . 88 A.7.1 OM-1 5GC 安全运维 . 88 A.7.2 OM-2 云基础设施主机运维 . 89 IV A.7.3 OM-3 云基础设施虚拟化层运维 . 90 A.7.4 OM-4 云基础设施 PIM 运维 . 91 A.7.5 OM-5 云基础设施 MANO 运维 . 92 A.7.6 OM-6 云基础设施 SDN 运维 . 94 A.7.7 OM-7 安 全应急响应 . 95 A.8 数据安全 (Data, DAT) . 96 A.8.1 DAT-1 数据识别与管理 . 96 A.8.2 DAT-2 数据安全防护 . 97 A.8.3 DAT-3 数据安全监测 . 98 致 谢 . 100 1 1 引言 1.1 5G 网络 简介 2015 年,国际电信联盟( ITU)发布了 IMT 愿景: 5G 架构和总体目标,定义了增强移动宽带( eMBB)、超高可靠低时延( uRLLC)、海量机器类型通信( mMTC)三大应用场景,以及峰值速率、 流量密度 等八大关键性能指标。与 4G 相比, 5G 将提供至少十倍于 4G 的峰值速率、毫秒级的传输时延和每平方公里百万级的连接能力。 5G 网络是一个复杂的组合体,传统移动通信网的结构主要分为接入网、传输网和核心网,核心网之后就是骨干网。 5G 网络由于引入网络功能虚拟化、软件定义网络、多接入边缘计算等新技术,网络形态相比 4G 更加复杂。在网络参与主体上,除传统通信设备厂商、基础电信企业外, 5G 时代由于新技术的引入,云、大数据、互联网数据中心等厂商加入到 5G 网络组成各个环节,多领域垂直行业主体也深度 参与 5G 融合 应用 的发展 。 中国 5G 正式商用近两年以来,在技术标准、网络建设、产业发展等方面 已取得了世界领先的发展成就, 5G 应用也实现了从“ 0”到“ 1”的突破,展现出了庞大的潜在市场空间和助力经济社会创新发展的巨大潜能。随着 中 国进入 5G 应用规模化发展的关键时期,5G技术、产业、应用迈入无经验可借鉴的“无人区”, 5G与垂直领域深度融合引发的安全风险备受瞩目, IT(信息技术)、 CT(通信技术)、 OT(运营技术)安全问题相互交织,构建与 5G 应用发展相适应的安全保障体系 , 制定符合我国 5G 网络建设和应用发展特点的、指引全行业 5G 网络和应用安全最佳实践的技术文件 成为 迫切需要。 2 1.2 5G 网络 安全 特点 第五代通信( 5G)是实现人、机、物互联的新型信息基础设施和经济社会数字化转型的重要驱动力量。 5G 安全是 5G 高质量发展的重要基础和坚实保障,做好 5G 安全工作,需要客观认识 5G 安全特点,积极应对 5G 安全风险挑战。 ( 1)国际标准定义了 增强的 5G 安全标准 5G 网络整体架构延续 2/3/4G 通信网络特征,仍采用接入层、核心网层和应用层三层架构,但在核心网层 引入网络功能虚拟化、网络切片、边缘计算、服务化架构、网络能力开放等新技术,网络架构有了重大变化,比 4G 具有更高的性能指标,支持更多样化的业务场景。与网络演进相适应的, 5G 网络安全也不断演进和增强 。 在继承 4G 网络分层分域的安全架构的基础上, 3GPP R15 版本 定义了 比4G 更强的安全能力:一是新增服务域安全,采用完善的注册、发现、授权安全机制及安全协议来保障 5G 服务化架构安全。二是采用统一认证框架,能够融合不同制式的多种接入认证方式,保障异构网络切换时认证流程的连续性。三是增强数据隐私保护,使用加密方式传送用户 身份标识,支持用户面数据完整性保护,以防范攻击者利用空中接口明文传送用户身份标识来非法追踪用户的位置和信息,以及用户面数据被篡改。四是增强网间漫游安全,提供了网络运营商网间信令的端到端保护,防范外界获取运营商网间的敏感数据。 R16 和 R17 阶段对已有的安全基础架构进行了进一步优化, 一方面是提供增强的安全能力 , 例如 定义了 SBA 架构服务 增强 安全机制 , 包含更细粒度的网元间授权机制 、 更强的运营商间的用户面数据传输保护等,以保障核心网内部信令面及用户面数据传输安全。此外, 3GPP 还 将 5G SA 网络的用户面完整性保护机 制引入到 5G 3 NSA网络以及 4G网络中,以进一步增强空口安全。 另一方面是使能垂直行业安全。 例如支持 IoT 设备小数据传输安全、支持 uRLLC 的冗余会话传输安全、支持切片的认证和授权、支持多种私网形态的灵活认证,以满足不同行业的多样性安全需求,并向第三方开放3GPP 安全能力。 ( 2) 5G 网络发展仍面临一定 的 安全挑战 5G 新技术、新应用的发展,带来了新的安全风险挑战,需要以发展、系统、客观、合作的理念看待,以实现 5G 安全与发展的协同推进。 2020年 2月,中国 IMT-2020(5G)推进组编制发布 5G 安全报告, 对 5G 安全挑战 进行了梳理和分析: 在 5G 关键技术 方面 , 5G 由于引入虚拟化、网络切片、边缘计算等新技术带来诸多安全挑战:网络功能虚拟化和服务化架构技术使得原有网络中基于功能网元进行边界防护的方式不再适用,且其底层实现多使用开源软件,出现安全漏洞的可能性加大;网络切片基于共享硬件资源,在没有采取适当安全隔离机制情况下,低防护能力切片易成为攻击其他切片的跳板 ; 边缘计算在网络边缘、靠近用户的位置上提供信息服务和计算能力,由于其设施通常会暴露在不安全环境中,受性能成本、部署灵活性等多种因素制约,易带来接入认证授权、安全防护等多方面安全风险 ; 网络能力开放采用互联网通用协议,与 之前相对较为封闭的通信网络相比,易将互联网现有的各类网络攻击风险引入 5G 网络。 在 5G 典型场景方面 ,其安全风险与融合应用行业和业务场景紧密结合:增强宽带( eMBB)场景超大流量、超高速率的特性使得现有网络中部署的防火墙、入侵检测系统等安全设备在流量检测、链路覆盖等方面的安全防护能力面临较大挑战;超高可靠低时延 4 ( uRLLC)场景需要提供高可靠低时延的服务质量保障,给业务接入认证、数据传输安全保护等环节安全机制部署带来挑战;海量机器类通信( mMTC)场景下接入终端数量庞大,同时接入给网络带来运行风险,且功耗低、 计算和存储资源有限等情况,使得较强安全策略难以部署。从长远来看,各类 5G 应用将在网络规模部署后逐步涌现,其安全风险与垂直领域自身特点高度相关,需分行业、分场景结合 5G 垂直领域各自特点,细化安全措施。 1.3 5G 应用安全 特点 5G 基于全新的架构, 使传统的人与人通信延伸覆盖到人与物、物与物之间智能互联,应用场景从互联网拓展到工业互联网、车联网、物联网等更多领域。 5G 为垂直行业带来了更大带宽、更低时延、更多接入的通信技术能力,将会深度与垂直行业业务融 合 , 5G 行业应用 面临 以下 安全 需求 : ( 1) 业务开放安全需求 :一是 垂直 行 业终端、业务系统等接入5G 环境,增大了终端、业务系统的暴露风险,使其面临的攻击面更广;二是在 垂直行业 企业 侧部署 MEC, 运营商 MEC 平台 上 承载 多个 垂直行业应用, 企业与运营商间的安全界限变得模糊。 ( 2) 5G 新技术安全需求: 5G 中使用了虚拟化、网络切片、MEC等新技术,大量使用虚拟化等 IT 技术、互联网通用协议,进一步将互联网已有的安全风险引入到 5G 网络,导致业务也面临安全风险。 ( 3) 数据安全需求 : 垂直行业 业务数据通过 公共 5G 网络环境传输 ,行业对自身的业务数据控制能力减弱,可能会带来数据泄露风险。 ( 4) 安全运维 管理 需求 :将 原本 较封闭的企业网络将变得较为 5 开放,且引入了大量新技术和新运维对象,对安全管理、运维 管理都带来新的安全风险和挑战。 5G 网络与垂直行业深度融合的特点,导致 5G 一旦出现安全问题不仅 会 影响人和人之间的通信,还将会影响到各行各业,有些场景甚至可能威胁到人们的生命财产安全乃至国家安全。 全行业 应树立正确的网络安全观,统一 5G 安全认识, 共同 建设满足监管要求的安全可靠 5G 网络,打造 5G 安全管理与运营体系,构建 覆盖端到端的 5G 安全测评能 力,提供安全有保障的能力及服务,全面提升 5G安全水平。 2 国 内外 相关情况简介 2.1 欧盟 5G 安全 风险评估及 工具箱 欧盟委员会于 2019 年 3 月 26 日通过了 5G 网络安全建议,呼吁欧盟成员国根据各国需求和特点,开展 5G 网络基础设施风险评估并审查各国安全措施。 欧盟 网络安全 局 ( ENISA)于 2019 年 10 月发布了欧盟 5G 网络安全风险评估报告详细分析了欧盟成员国可能面临的 5G 安全风险,为成员国制定管理措施、网络部署、运营维护和采购 5G基础设施提供重要指导和参考。紧接着, ENISA于 2019年 11月发布了 5G网络安全图谱,针对网络资产及其风险识别等技术进行详细分析,并作为工具箱的 实施 参考。 2020 年 1 月 29 日,欧盟网络信息安全合作组( NIS CG)发布了欧盟 5G 网络安全风险消减措施工具箱(以下简称工具箱) ,为欧盟和各成员国 实施 5G 网络安全风险消减措施 提供了指导和 依据 。工具箱提出了 8 项战略措施、 11 项技术措施和 10 项支撑行动,明确了各成员国具体实施风险消减措施的流程和方式。 其中 战略措施用于 增加监管机构审查网络采购和部署情况的监管权力的措施,以及 6 应对与非技术漏洞相关的风险的具体措施 ,技术措施用于 提升 5G 网络 和设备安全,具体包括网络安全基线措施、 5G 相关措施、 有关 供应商流程 及 设备 认证 、韧性和可持续性等 ;支撑行动 从审查或制定最佳实践、支持 5G 标准化工作、制定安全措施实施指导意见、加强信息共享机制等方面 , 协助战略与技术措施的执行, 以便 风险消减措施有效落地。 工具箱用于 解决包括与非技术因素风险在内的所有已评估出的风险 , 对 欧盟 整个单一市场和欧盟的技术主权具有战略重要性。 为了 促进工具箱的落实, 基于欧盟电子通信准则 ( EECC) , 欧盟于 2020 年 12 月 发布 了 EECC 安全措施指南和 5G 补充安全措施实施指南,促进成员国 在 5G 网络建设中 立法落实工具箱措施的实施 。 2.2 美国 NIST 5G 安全实践指南 2021 年 2 月, 美国国家标准与技术研究院 ( NIST) 发布 5G 网络安全实践指南初步草案 。 这是 SP 1800-33 系列 三册中的第一册 ,旨在定义底层基础设施、技术架构和组件等安全属性,利用现有网络安全产品、解决方案以及 NIST 其他系列网络安全标准指南,构建整体性的 5G 网络安全保障能力 。 目前 5G 网络安全实践 指南 (草案 )处于设计 和开发解决方案的早期阶段,随着 NIST 相关 项目的进行 ,将对 草案 逐步 更新 ,并 将发布其他 册以 供 行业参考 。 该实践指南旨在帮助使用 5G 网络运营商 、 设备供应商 等参与者提升 安全能力,对电信和公共安全也有较高参考价值。 2.3 GSMA 网络设备安全保障 框架 为促进产业对网络设备的安全性达成共识,满足通信领域利益相关方在 5G 时代对安全评估的诉求,全球移动通信 系统 协会 7 (GSMA)联合第三代合作伙伴计划 (3GPP)共同发布网络设备安全保障计划 (NESAS),旨在制定业界认同的通用安全基线, 推进通信领域全球产业界的安全合作互信,联合各国运营商、设备商等产业链利益相关方共同推进 5G 安全建设。 NESAS 提供了统一、有效的通信行业网络安全评估标准, 为 运营商、设备商、政府监管机构、应用服务提供商等利益相关方 保障 5G 网络安全提供了 有价值的 参考。 表 2.1 GSMA NESAS 标准文档体系 类别 标准 内容 GSMA FS系列 FS.13 NESAS总体概述 FS.14 检测实验室认证需求及流程 FS.15 设备商开发及产品全生命周期审计方法 FS.16 设备商开发及产品全生命周期审计要求 3GPP SCAS系列 TR 33.805 网络产品安全保障方法研究与选择 TR 33.916 网络产品安全保障方法论 TR 33.926 3GPP 网元产品威胁和重要资产 TS 33.511 5G基站 gNB安全保障规范 TS 33.512 AMF网元(接入和移动性管理功能)安全保障规范 TS 33.513 UPF 网元(用户面功能)安全保障规范 TS 33.514 UDM网元(统一数据管理功能)安全保障规范 TS 33.515 SMF 网元(会话管理功能)安全保障规范 TS 33.516 AUSF网元(鉴权服务功能)安全保障规范 TS 33.517 SEPP 网元(安全边缘保护代理功能)安全保障规范 TS 33.518 NRF网元(网络存储功能)安全保障规范 TS 33.519 NEF网元(网络开放功能)安全保障规范 TS 33.520 N3IWF网元(非 3GPP 互通功能)安全保障规范 TS 33.521 NWDAF网元(网络数据分析功能)安全保障规范 TS 33.522 SCP 网元(服务通信代理功能)安全保障规范 TS 33.326 NSSAAF 网元(网络切片特定认证和授权功能)安全保障规范 TR 33.818 虚拟化网络产品安全保障方法和安全保障规范标准 GSMA NESAS 分为 产品 研发流程审计和 SCAS 产品安全功能测试 , 其中 NESAS 研发流程审计包括 4 个标准 (见表 2.1) 。 SCAS 安全保障 规范 是 3GPP 推出的电信产品的安全要求和测试用例 , 分析 8 5G 网元的 资产 组成、 威胁及相对应的保障措施 , 目前已有 4 项研究报告和 14 个技术规范 (见表 2.1) 。 通过 NESAS 框架下的安全审计和检测, 设备厂商可以对产品的安全能力进行证明, 运营商符合 标准 安全 基线 要求的产品进行 5G 网络建设 时, 在一定程度 上 可以 保障5G 网络基础设施 满足安全基线要求 。 2.4 国内相关工作 在国际高度关注 5G 安全问题的同时, 我国 也 积极 推动 5G 网络安全 工作 ,从政策、标准、技术等方面持续完善安全 保障措施,统筹规划 5G 安全相关工作 。 ( 1) 制定 5G 安全政策 促进产业发展 。工业和信息化部于 2020年 3 月印发关于推动 5G 加快发展的通知,在加速推进 5G 新基建、加大 5G 技术研发力度的同时,着力构建 5G 安全保障体系的指示, 指导 IMT-2020(5G)推进组发布 5G 安全报告,出台 5G 网络安全实施指南,全面梳理分析 5G 安全风险和应对措施,为 5G 产业链各环节客观认识和应对 5G安全问题提供技术指引。此外,在 2021年 7 月,工信部联合网信办、发改委等 9 部门印发 5G 应用 “扬帆 ”行动计划( 2021-2023 年),针对 5G 应用安全保障能力提出了目标和要求,明确指出要加快构建与 5G 应用发展相适应的安全保障体系。 ( 2) 建立健全与国际接轨的 5G 安全标准体系框架。 同步 3GPP SA3, GSMA NESAS 等国际标准进展 ,依托 IMT-2020(5G)推进组安全工作组,在 TC260、 TC485、 CCSA 等国内标准化组织中积极布局5G 安全标准,推动制定我国 5G 通信安全、边缘计算( MEC)安全、切片安全、设备安全保障等技术标准,发布 5G 移动通信网安全技术要求等行业标准,建立健全 5G 安全标准体系,引导 5G 安全技 9 术、产品及产业健康发展。 同时,对标 3GPP等国际标准,制定我国5G 移动通信设备安全保障系列规范,构建覆盖 5G 基站及核心网各项安全保障要求的安全测评体系, 奠定 与国际 5G 安全检测认证互认的基础。 ( 3) 构建 5G安全评测能力并开展 5G设备安全测试 。在工业与信息化部的指导下, 中国信息通信研究院成立 “5G 安全测评中心 ”,构建 与国际接轨的 5G 安全测评 体系 , 搭建 5G 网络测试床,建设包括 终端接入安全、基站 /核心网设备安全、通信协议安全、 网络切片安全等检测能力。 牵头组织运营商、设备商共同开展 5G 网络设备安全评测工作, 于 2021 年 5 月 正式完成了对华为、中兴、大唐、爱立信、上海诺基亚贝尔 5 家国内外主流设备厂商的 5G 基站和核心网设备安全测试 , 测试 结果在 IMT-2020( 5G)推进组、 GSMA 官方 网站发布。 ( 4) 推动 5G 行业应用安全 防护体系 落地推广 。 连续举办两届“绽放杯 ”5G应用安全专题赛,聚焦工业、能源、金融、交通等 5G应用热点领域,面向全社会征集 400 多余项 5G 应用安全实践案例,有效促进了 5G 应用安全解决方案、产品和服务供给,并在引导垂直行业 5G 应用安全需求、促进 5G 安全产业生态完善等方面发挥了显著作用。 此外,工业和信息化部还组织开展了 5G 应用安全 创新 示范中心创建工作,引导 基础电信企业、设备企业、安全企业和相关科研机构以 “团体赛 ”模式加强 5G 安全能力建设和示范工作,推动标准化、模块化、可复制、易推广的 5G 应用安全解决方案和最佳实践在重点行业落地普及。 10 3 5G 网络安全 知识库 3.1 5G 网络安全 范围 5G 网络除了要满足 eMBB、 uRLLC 和 mMTC 新形态的业务需求,也需要为各种应用场景提供差异化的安全服务。虚拟化、网络切片、边缘计算和 MIMO 等新技术的引入导致 5G 网络结构发生了很大的变化。 从网络架构来看, 5G 网络整体延续 4G 特点,包括接入网、核心网和上层应用。 通常 5G 安全 的 范围 大致 分为以下几 方面 : ( 1) 基础设施安全: 5G 网络 基础 设施 安全 主要 包括终端、接入 网 、边缘 、 核心网 和支撑管理平台等设施的 安全, 而 端到端 网络切片 安全 是 5G 网络 的特色 。网络切片 通过对 接入网、传输网、核心网 进行 资源 编排 、网络 隔离 以及网元功能划分等方式 组成 , 也可 以认为是 基于 5G 网络基础设施 形成虚拟专网提供网络服务 的 一种方式 。 ( 2) 数据安全: 5G 数据通常包括与用户相关的身份 标识 信息、网络 位置信息、业务数据 ,以及网络设备信息、管理运营等网络资产和管理数据。 数据安全 主要是指 应用数据在 5G 网络基础设施内部采集、处理、存储、共享和销毁等生命周期的安全。 ( 3) 运维 安全 : 通过安全 的 运维 管理 提高 5G 网络的运行质量,实现 设备资产清晰、网络运行稳定 有序 、事件处理 及时合理和安全措施落实到位 ,从而提升网络支撑能力,提高网络管理水平 。运维管理安全需要 确保 5G基站、网元、 NFV基础设施的硬件和软件运行的可靠性、保密性和完整性。 5G安全运维的对象 主要为 NFV基础设施、 SDN、 5G 网元、网络切片、 MEC 的硬件和软件 等 。 ( 4) 安全管理: 5G 安全管理 主要是对 5G 网络设备 、人员、流程等进行安全 管理 , 并按照 “三同步” 要求 满足行业 安全 监管要求,包括安全风险评估、产品生命周期 管理 与检测、 安全定级备案、威 11 胁与漏洞管理、应急响应等。 ( 5) 安全技术: 安全技术通常 用于支持上述 安全内容 的实现 ,包括 网络隔离、密码算法、访问控制、隐私保护、态势感知以及安全检测等技术, 这些安全技术 也是知识库中安全措施的基础 。 图 3-1 5G 安全范围视图 3.2 面向的 5G 资产 5G 网络安全 知识库框架将围绕 5G 端到端网络资产类型,将安全措施划分为 L1、 L2 和 L3 共 3 个层面。其中 L1 层主要面向 5G 网络基础 软 硬 件 设 施 , 包 括 物 理 机 / 虚 拟 机 、 NFV 、Hypervisor/K8s/docker、 SDN、数据库以及安全组件,这些软硬件 是支撑 L2 层 5G 网络功能部署 的基础设施 ,主要由设备商、安全厂商和其他第三方服务商提供; L2 层主要包括 5G 终端、接入网、传输网、 MEC、核心网、切片、安全管理、运维管理、互联互通等,主要资产由通信设备商提供,由运营商进行建设、运营和维护; L3 层主要关注上层 5G 应用安全,包括应用数据、应用 APP 以及应用平台等,相关应用由运营商、互联网服务提供商以及垂直行业提供。5G 网络安全 知识库将重点对 L2 和 L3 层资产的安全防护措施进行描述,针对 L1 层 资产的安全措施将融合在 L2 安全措施中进行描述,例如在 5G 核心网安全措施中会重点阐述 NFV 的安全防护措施。 12 图 3-2 5G 知识库描述范围 3.3 描述方式 5G 网络安全 知识库采用 表 3-1 的方式进行描述,主要包括措施编号、措施名称、安全需求、措施作用( CIA)、措施详细描述、作用资产、实施主体、是否有标准要求以及实施难度 等 方面。 表 3-1 5G 网络安全 知识库 描述方式 措施编号 安全措施的 缩略语 序号 措施名称 安全措施的名称 安全需求 描述该安全措施满足 哪些 5G 安全需求 措施作用( CIA) 描述 安全措施 措施 在 机密性( Confidentiality)、完整性( Integrity)和可用性( Availability) 方面的 安全作用 。 机密性 完整性 可用性 措施详细描述 措施编号 +子序号 : 安全 子 措施 的详细实施情况 。 作用资产 安全 措施作用 于哪些 5G 资产(具体资产参考图 3-2)。 实施主体 运营商 措施编号 +子序号 设备厂商 措施编号 +子序号 服务提供商 措施编号 +子序号 监管部门 措施编号 +子序号 安全厂商 措施编号 +子序号 是否已有标准要求 是 /否 标准名称 国际和国内 发布相关 标准 名称 实施难度 通过 5 级区分 本 措施在相关资产实施的难以程度 。 灰色部分越多, 措施实施 难度越大,实施主体需要更多的CAPEX 和 OPEX 投入。 13 3.4 描述内容 5G 网络安全 知识库 采用表 3-1 的方式, 重点 针对 图 3-2 中的 L2层 资产的安全措施 进行描述 ,包括 8 大安全模块、 45 项安全措施、188 项安全子措施, 整体措施编号和名称如图 3-3 所示,详细安全措施见附录 A。 图 3-3 5G 网络 安全 知识库 措施描述内容 14 4 5G 应用安全知识库 4.1 5G 融合 应用安全特点 4.1.1 5G 融合应用安全需求 为了保障 5G +行业应用 的安全部署、运行和管理, IMT-2020( 5G)推进组 于 2020 年 10 月 发布 面向行业 5G 安全分级白皮书 ,深入分析和识别行业场景下对 5G 承载网络的差异化需求 ,主要包括基本需求 和行业网络高级安全需求。其中基本需求主要是 业务 场景、安全保障目标与传统公众通信网络相同的安全需求,通过继承当前通信网络安全保障技术可满足。 高级安全场景是 为应对新的业务场景、高资产价值带来的安全风险,在基本需求基础之上的安全需求,需提供更高 的 安全 保障 能力才能满足。 安全需求 主要包括 终端身份安全和访问授权、网络安全隔离、数据机密性和完整性、无线接口通信安全、隐私安全、网络韧性、网络设备安全可信、技术自主可控和产品生命周期安全 等九个方面 , 如表 4-1 所示。 4.1.2 行业 应用 安全需求与 5G 安全能力的映射 5G 网络安全 知识库 是为应用提供一张安全的基础网络, 但 5G网络承载的行业应用因业务 场景 特点 、 组网 方式和安全要求 不同,针对 CIA 三要素的安全策略也存在差异化需求,例如 工业互联网场景 要求高可用性、数据不出园区 保护本地网络和数据安全 , 智慧医疗场景 要求高度的用户隐私数据保护,车联网要求匿名认证、防跟踪等 措施保护用户隐私 , 智慧电力场景 要求 严格 的 网络 隔离 确保生产业务安全 。 通常 5G+行业应用 重点 涉及 以下 几个维度 的安全问题 : ( 1) 5G 网络 基础设施安全 。 垂直行业往往 关注 运营商的 5G 网络是否足够安全、可靠的承载 应用业务 , 例如 运营商是否能配置足够安全的网络切片供多垂直行业 用户 使用 、 本地 边缘 平台的数据防 15 护措施是否完善等 。 因此,需要 通过 5G 网络安全 知识库中的 8 项 措施 对 5G 接入网、边缘计算平台、核心网 等 网络基础设施 进行 保护 ,为承载垂直行业应用提供 安全的“底座”和通道。 表 4-1 5G 融合应用安全需求 需求分类 基本需求 行业 网络高级安全需求 终端身份安全和访问授权 终端身份安全存储、和网络进行双向认证 终端身份和设备绑定 网络分域、安全隔离 安全域间技术隔离 数据不出园区 不同安全等级业务数据隔离 数据机密性和完整性保护 通过密码算法保障业务数据传输和敏感数据存储的机密性和完整性 端到端 业务数据传输机密性、完整性保护 无线接口通信保护 无线接口数据的机密性、完整性 抗量子算法保障机密性、完整性 防御非法网络劫持 保障网络免受无线电干扰 检测和识别未经授权的无线设备 检测和防御无线接口( D)DoS 攻击 隐私保护 在隐私数据收集、传输、处理、存储、转移、销毁等过程中保证相关法律法规中隐私保护要求的落实 无线接口隐私保护、防跟踪 网络韧性 网络集中管理,检测攻击后上报安全告警、安全 /操作日志支持审计等 对 APT(高级持续性威胁 )攻击、未知威胁的防御和态势感知;对于有业务连续性要求的关键业务,在攻击发生时需保持核心业务的运行,以及其他业务的快速恢复 网络设备安全可信 物理安全、接口访问控制、软件数字签名和关键文件完整性、机密性保护 具备基于硬件可信根的安全可信链,保障从系统启动到动态运行的系统可信 技术自主可控 满足 3GPP 标准、国家通信标准和设备准入标准 在关系国家安全的网络中,需使用国密算法等自主可控技术保护数据和网络安全 产品生命周期安全 满足 3GPP 标准、国家通信标准和设备准入标准 关键基础设施通信网络产品在产品设计、实现、运行、运维全生命周期构建可信设备能力 16 ( 2) 网络边界安全 防护 。 5G 虚拟专网、共享切片、 资源云化等行业应用的服务模式 导致 出现更多虚拟网络边界 ( 例如 边缘计算云 平台 上的 虚拟资源之间、 APP 之间等 ) ,运营商与垂直行业 之间需要明确在 混合组网 、共享云 平台等场景下的 安全责任边界划分 ,并在 物理边界和虚拟边界 部署入侵检测、安全隔离 等 安全防护措施 。 ( 3) 网络 能力 开放安全 。 3GPP 标准定义了 5G 网络 能力开放功能, 支持通过能力开放平台 的 API 接口 对外部提供调度、流控、监控、安全保障等管控能力 , 但网络能力开放也导致 北向 接口的管理和 传输面临安全风险 ,需要通过认证 鉴权 、安全传输等防护措施对开放接口进行安全保护, 确保合法的垂直行业用户 访问 5G 网络 。 ( 4) 端到端 应用数据安全 。 从信息安全三要素 CIA(机密性、完整性和可用性 )来看, 5G 网络与其他 公共通信网络 一样, 需要保障 垂直行业的数据 在网络中传输、交换和存储的信息的机密性、完整性,不被未经授权的篡改、泄露和破坏,同时,保障系统连续可靠地运行,不中断地 为上层应用 提供通信服务 。 4.2 面向 行业 的 5G 安全 原子能力集 为了满足 5G+行业应用的核心安全需求,需要对 5G 网络的安全能力( Security Capability, SeCAP)进行原子化分解,并通过灵活的管理和编排组成最佳安全能力集合,实现“对症下药”。 5G 应用安全知识库 总结 了 当前 满足行业安全需求的 5G 网络 9 大安全能力,并细分为 53 项安全原子能力 ,为满足 5G+行业应用不同的应用场景的安全需求,提供 细粒度、可定制、原子化、可编排的安全
