5G智慧城市安全需求与架构白皮书.pdf

5G 智慧城市 安全需求与架构 白皮书 2 目录 1 引言 . 3 2 5G 智慧城市概述 . 4 2.1 智慧城市 . 4 2.2 5G 赋能新型智慧城市 . 4 2.3 5G 智慧城市网络架构 . 6 3 5G 智慧城市安全需求 . 7 3.1 终端层安全需求 . 7 3.2 边缘计算层安全需求 . 8 3.3 网络层安全需求 . 9 3.4 行业平台 /技术中台层安全需求 . 10 3.5 应用层安全需求 . 11 4 5G 智慧城市安全参考架构 . 12 4.1 5G 智慧城市安全角色 . 12 4.2 5G 智慧城市安全架构 . 13 4.3 5G 智慧城市安全技术 . 14 4.3.1 终端层安全 . 14 4.3.2 边缘计算层安全 . 14 4.3.3 网络层安全 . 15 4.3.4 行业平台 /技术中台层安全 . 18 4.3.5 应用层安全 . 19 4.3.6 安全运营管理 . 21 5 5G 智慧城市安全政策和标准 . 22 5.1 安全政策 . 22 5.2 安全标准 . 24 6 5G 智慧城市安全发展建议 . 26 6.1 加强安全顶层设计和统筹协调 . 26 6.2 加快安全技术攻关和标准研制 . 26 6.3 加速安全生态共建和协同发展 . 26 7 未来展望 . 27 附录： 5G 智慧城市安全应用案例 . 28 A.1 5G 智慧乌镇 . 28 A.2 5G 智慧银川 . 34 A.3 5G 智能厂区 . 38 A.4 5G 智慧社区 . 41 致谢 . 45 5G 智慧城市 安全需求与架构 白皮书 3 1 引 言 智慧城市 利用信息技术，促进 了 城市中信息空间、物理空间和社会空间的融合 ,并通过丰富的应用系统，加速城市经济发展与转型 ，提高政府及公共服务的效率 ， 方便市民的工作生活 ， 有效地保护和利用环境，实现经济、社会、环境的和谐发展。 在当前 5G 等新型基础设施高速发展的背景下， 新型 智慧城市 的建设发展迎来了新的高潮，在 5G、工业互联网、 物联网、 车联网、 大数据 中心 、 人工智能、新能源 等 新型基础设施 的基础上，可进一步推动城市新型管理和服务智慧化，提 高 城市运行管理和公共服务水平，提升城市居民幸福感和满意度 。 5G 给智慧城市发展注入新动能的同时，也带来新的安全风险 。而在 5G 智慧城市 的 不同层面，如 终端层、网络层、平台层和应用层等 ，城市的管理者和建设者都可以 部署 相应的安全能力来应对这些 风险 。 本白皮书主要 分析 5G 技术的应用为智慧城市带来的 发展机遇 ，明确 5G 智慧城市的 安全需求， 并提出 对应的安全参考架构和 安全 实施建议 。 5G 智慧城市 安全需求与架构 白皮书 4 2 5G 智慧城市 概述 2.1 智慧城市 根据 ISO（国际标准化组织）的定义，智慧城市指在已建环境中对物理系统、数字系统、人类系统进行有效整合，从而为市民提供一个可持续的、繁荣的、包容性的综合环境 系统 。 2012 年以来，智慧城市成为国际城市化发展的热点之一， 全球已启动或在建的智慧城市有 1000 多个， 其中 在 中国 超 500 个 。 传统意义上的智慧城市更加侧重技术层面的问题，其主要内容为构建基础信息网络与云计算平台、配置全方位的感知设备、整合基础信息资源等。新型智慧城市则 是 在智慧城市发展到一定阶段后更高的 一种城市建设发展的形态 ， 更强调新一代信息 通信 技术与城市现代化的深度融合与迭代演进，进一步提升智慧城市的公共服务效能与政府治理能力，更好地为人民服务，提高城市管理精准化、高效化与透明化。 2.2 5G 赋能新型智慧城市 2020 年 3 月，中共中央政治局常务委员会召开会议提出，加快5G 网络、数据中心等新型基础设施建设进度。 在“新基建”的背景下，新型智慧城市的建设也迎来了新的 机遇 。新型智慧城市可 通过5G、特高压、 城际高速铁路、 工业互联网、 物联网、 车联网、 大数据中心 、 人工智能、新能源 等 新型基础设施 ，促进城市中信息空间、物理空间和社会空间的融合 ， 并通过丰富的应用系统，加速城市经济发5G 智慧城市 安全需求与架构 白皮书 5 展与转型 ， 提高政府及公共服务的效率 ， 方便市民的工作生活 ， 有效地保护和利用环境，实现经济、社会、环境的和谐发展。 5G 高可靠、低时延、大带宽等特性，可高 效地将城市的系统和服务打通、集成，提升资源运用的效率，优化城市管理和服务，改善市民生活质量。加快 5G 信息通信技术与城市发展深度融合，通过信息化手段解决城镇化进程中带来的问题，既是城市可持续发展所需，也是产业新动能所在。 5G 新型 智慧城市 具有以下 特征 ： 泛在感知。通过全方位的智能感知设备，对城市 5G、特高压、 城际高速铁路、 工业互联网、 物联网、 车联网、 大数据 中心 、 人工智能、新能源 等 新型基础设施 进行数据的实时收集、监控与分析。 高效传输。 新型 智慧城市运用 基于 5G的 高带宽 、 低时延 、低功耗移动信息 网络 与其他城市信息 基础 设施实现数据的高效传输。 充分融合。智慧城市充分融合 5G、特高压、 城际高速铁路、 工业互联网、 物联网、 车联网、 大数据 中心 、 人工智能、新能源 等 新型基础设施 中 的海量数据，提高数据的综合利用与有效管理。 协同运作。通过 新型 智慧城市 工业、农业、通信、电力、交通、水利、金融、医疗、公共卫生、社会保障等关键 领域运行者与管理者之间的高效协作，实现整个城市资源的优化配置。 智能决策。根据新型智慧城市中新基建收集的海量信息，为政府城市治理 提供 智能化的决策 支持 ，为 企业 经营 和居民的 日常生活提供更智能化的服务 。 精准防控。对城市运 行中的突发事件能进行及时预测、预警，能5G 智慧城市 安全需求与架构 白皮书 6 提供精准的防控，面对突发事件可进行数据、物资、人员的高效配送和协同，城市治理和风险防控能力大大提升。 2.3 5G 智慧城市 网络 架构 T o C T o B终端层仪器 工厂设备 传感器 手机 V R / A R 网络层行业平台层应用层智慧政务 智慧交通 智慧电网 智慧工厂eMBBuRLLC5 G CA M F S M F U D MA M F S M F U D MM E C承载网5 G R A NBBUAAUA M F S M F U D M政务云平台 智慧交通平台 物联网平台 工业互联网平台技术中台层 AI 中 台 数据中台 安全中台M E C边缘层mMTC图 1 5G 智慧城市 网络 架构 5G 智慧城 市 参考架构 包括终端层、边缘层、网络层、 数据平台（技术中台层、行业平台层） 、应用层， 如图 1 所示。 其中， 终端层主要是面向个人用户的手机终端、 VR/AR 终端，以及面向垂直行业的工控终端、 CPE（ 客户前置设备 ） 和各种传感器等 。 边缘层是 5G 时代面向时延敏感应用的边缘计算云 ， 例如为工业制造、自动驾驶、 AR/VR 等应用部 署在企业园区或者运营商边缘接入站点的 MEC。 网络层是覆盖整个智慧城市的端到端 5G 网络，包括无线基站 、 承载网 、 5G 核心网以及 5G 网络切片。 技术中 台层是一些公共的 IT 中台 系统，例如 AI中台 、 大数据中 台 、 安全中台等系统。 行业平台层 是相关垂直行业 为了资源、技术的共享复用，集中建设 的行业应用平台，例如政务云平5G 智慧城市 安全需求与架构 白皮书 7 台 、 智慧交通平台 、 工业互联网平台。 应用层是让城市变得精细、智能和 便捷的各种智慧应用系统， 包括 智慧政务 、 智慧交通 、 智能制造、智慧电网等 。 3 5G 智慧城市 安全 需求 3.1 终端层 安全需求 在 5G 智慧城市中 ，主要 有两类终端，一类是 面向个人用户的终端 ， 例如 5G 手机 ；另 一类是 面向行业 或者用于城市公用基础设施的终端，例如智慧工厂的 5G 工控终端 、 各种传感器 、 以及智慧路灯的5G 终端等 。智慧城市的终端数量大、分布面广，而且软件相对不可控，比较容易被黑客入侵攻陷。 对于 智慧城市的各种 终端来说 ， 安全需求主要包含两方面的内容。首先，终端自身要在软硬件方面做好安全加固 与 安全防护， 避免外部 入侵对终端造成破坏或者信息窃取。而且，各种物联网终端、个人消费终端数量庞大，不法攻击者可能利用终端的软硬件漏洞 ，入侵之后让终端作为肉鸡发起 DDOS 攻击 ， 给网络和智慧城市的业务带来重大损失 。 另一方面 ， 终端作为 智慧城市业务的起止端点 ， 对一些重要的敏感业务，需要从源头上确保业务数据的安全，尤其是业务数据的机密性和完整性，防止 业务信息被窃听篡改。 这要求终端具备对业务数据的加密能力，例如对于政府机构的一些专用终端，需要支持保密通话的功能 。 5G 智慧城市 安全需求与架构 白皮书 8 3.2 边缘计算层 安全需求 5G 时代，由于工业制造、 AR/VR、 自动驾驶等时延敏感 业务 的推广应用 ， MEC 移动边缘计算云得到大量部署。为了避免物理攻击以及网络攻击的跨网渗透和交叉感染，需要关注 MEC 自身的 安全管控以及企业网络与运营商 5G 网络之间的隔离。 对 MEC 自身安全来说，首先要关注 MEC 的物理安全 。 因为 MEC 一般部署在运营商的接入汇聚站点或者行业客户 、 企业园区的 IT 机房 ，位置相对偏远 、 分散 ， 在门禁准入、物理设施安全等方面，条件可能也不太完善。 为了防范对 MEC 站点机房的物理入侵破坏 ， 需要考虑部署一些物理安全方面的防护措施 ， 例如监控摄像头 、 门禁密码锁等 。 除了物理安全 ， MEC 还需要关注自身网络和系统的安全 ，尤其是需要防范来自外部网络的入侵给 MEC 站点内 的 设备系统造成破坏 。 例如 修改 MEC 内 网络设备 的 配置 ， 造成网络中断 。 例如通过边缘计算APP 的软件漏洞或者 API 接口调用渠道 入侵 MEC 内的网络和 IT 系统 ，植入木马窃取数据 。 另外， 对于面向垂直行业客户、部署在企业园区的 MEC 场景来说 ，客户一般对数据的安全性比较敏感，要求企业数据不能出园区，同时要求企业自身的网络和应用系统免受来自于外部网络系统的攻击破坏（包括来自于运营商网络的攻击渗透）。这方面的安全要求，意味着对面向行业客户的 MEC 来说 ， 需要重点考虑 行业客户自身网络系统和运营商网络的安全隔离问题。 5G 智慧城市 安全需求与架构 白皮书 9 3.3 网络层 安全需求 覆盖城市各个角落的 5G 网络 ，是 新型智慧城市 的基础信息动脉 。5G 网络本身的安全 ， 是智慧城市安全的重要前提和保障 。从网络本身的组成来说，智慧城市的网络层安全重点要关注 RAN 基站空口 、 承载网 、 5GC 以及 5G 切片等几方面的安全 。 对于 5G UE 终端到基站之间的空口来说 ， 面临的安全威胁主要有三类。第一类是空口的用户数据窃听篡改，第二类是来自于 UE 的 空口 DDOS 攻击， 第三类是伪基站或者其它攻击源对空口的恶意干扰 。 5G 智慧城市基站空口的安全，需要 针对 这三方面的威胁 部署相应的安全防护措施。 无线基站到核心网之间的 IP 承载网和光传输网 ，可以说是整个5G 网络的基础骨 架 。 承载网如果被入侵破坏 ， 很可能导致 5G 业务大范围的受损甚至中断 。由于 5G 智慧城市的所有业务 流量都会经过 公共的 承载网 传输， 承载网首先要做好不同业务流量的安全隔离 。其次，对一些安全等级高的敏感业务，承载网需要保障业务数据的安全，避免通信数据流量被窃听篡改。 另外，考虑到承载网对智慧城市业务运行和社会运转的重要意义，承载网需要保障自身的 HA 高可用性 ， 满足电信级高可靠 要求 。 作为智慧城市 5G 网络的神经中枢 ， 5GC 核心网的安全是整个 5G网络安全的重中之重。对于 5GC 核心网来说， 重点 需要关注自身网络和系统的安全 ，尤其是 防范来自外部网络的入侵给 5GC 数据中心内的5G 智慧城市 安全需求与架构 白皮书 10 设备系统造成破坏 ， 或者给设备网元植入木马窃取 敏感 的数据信息 。除了防范来自网络外部的 直接 入侵， 5GC 核心网数据中心由于包含多种 功能网元 ， 安全方面还需要防范数据中心内部的横向攻击渗透 ，避免一个网元被 攻陷 导致整个核心网都受到影响 。 5GC 核心网数据中心的业务正常运行对 5G 网络甚至整个智慧城市的安全稳定有着至关重要的影响。除了要通过各种安全手段保障5GC 的安全，还需要考虑 5GC 自身的 HA 容灾备份 ，确保在关键网元甚至整个 5GC 数据中心都瘫痪 （大规模攻击破坏或者地震火灾等意外事 故） 的情况下 ， 5GC 核心网能维持 业务 的 连续性。 和之前的 2G、 3G、 4G 无线通信相比 ， 5G 时代新引入了网络切片技术，通过端到端的网络专用切片承载一些重要的关键业务，例如重点行业客户的业务。从安全性的角度来说， 5G 网络切片需要 关注两方面的安全 ， 第一 是切片间的隔离 ， 一个切片出问题不能影响到其它切片 ； 其次 是切片的安全接入和安全使用 ， 避免切片资源被越权滥用 。 3.4 行业 平台 /技术中台 层 安全需求 为了资源 、 技术的共享复用 ，在智慧城市的建设中，可以规划部署面向各个垂直行业的行业应用平台，例如政务云平台 、 警务云平台 、智慧交 通平台和工业互联网平台，以及面向一些重点 IT 技术的技术中台 ， 例如 AI 中台 、 数据中台以及安全中台。 这些应用平台和技术中台系统涉及到大量数据的加工处理和存储，其中可能包含一些行业机密数据或者用户隐私数据。所以在安全方面首先要关注数据的安