5G专网安全技术白皮书2023

5G专网安全技术白皮书 5G专网安全技术白皮书 中国联合网络通信有限公司广东省分公司2022年12月 参与编写单位： 中国联合网络通信有限公司广东省分公司中国联合网络通信有限公司研究院 中讯邮电咨询设计院有限公司中兴通讯股份有限公司 深信服科技股份有限公司 专家顾问： 莫俊彬、潘桂新、徐雷、冯铭能、郝振武、张瑜 编写组成员： 李文彬、彭健、张曼君、聂勋坦、谢泽铖、郭新海、贾宝军、韦秀林、林友建、张哲、徐高峰、张可原、赵马煜、曾金杯、封华进 前言 随着我国5G规模商用，5G专网凭借优秀的通信性能、灵活的组网部署、差异化的能力定制，在工业制造、能源、矿山、交通、物流、医疗、教育、媒体娱乐等领域越来越多的被应用，持续赋能千行百业数字化应用场景创新及信息化业务演进，加速行业数字化智能化转型。 5G专网给行业客户带来优质服务、高效生产、智能业务的同时，也带来了潜在的安全风险。5G专网涉及多个安全域，在满足行业应用需求、引进新技术、提高生产效率和服务水平的同时，也打破了原�封闭的网络环境，使得网络边界变得越来越模糊，因此，需要针对不同行业应用场景部署满足行业应用需求的安全能力，为行业客户提供更全面的安全保障。 为了保障5G的安全发展，国家高度重视，在政策上给予了大力支持。工业和信息化部发布了《“十四五”信息通信行业发展规划》，要求加快行业虚拟专网落地，全面加强网络和数据安全保障体系和能力建设，持续提升新型数字基础设施安全管理水平，打造国际领先的5G安全保障能力，全面构建基础安全管理体系；并联合十部门在《5G应用“扬帆”行动计划（2021-2023年）》中，明确了未来我国5G发展的目标和重点任务。 网络安全是国家安全的重要基石，对5G专网来说，如何满足我国相关安全政策、行业标准、规范要求，贯彻落实党中央、国务院决策部署，解决5G专网的安全问题，建立主动安全防御体系，进一步保障行业客户的利益，已成为5G专网需要解决的核心问题之一。 �白皮书将重点梳理5G专网安全诉求，分析各类安全风险产生的原因，提出端到端的安全解决方案建议，为5G专网安全技术实施与行业应用场景落地提供具有建设性意义的参考。 目录 一、5G专网发展概述1 1.15G专网发展现状1 1.2中国联通5G行业专网介绍2 二、5G专网安全诉求及风险分析3 2.15G相关安全政策与标准3 2.25G专网总体安全风险分析4 三、面向5G专网,构建端到端的安全解决方案6 3.15G专网安全体系通用架构6 3.2终端安全7 3.3网络安全8 3.4MEC安全10 3.5边界安全12 3.6专网管理安全与运维安全12 四、5G专网安全应用案例探讨14 4.15G工厂制造基地安全应用案例14 4.25G智能驾驶示范区安全应用案例15 4.3钢厂5G+工业互联网安全应用案例16 4.4广东联通集约化云安全应用案例17 五、总结与未来展望18 附录119 附录220 附录322 01 5G专网发展概述 1.15G专网发展现状 随着中国联通发布5G行业专网产品体系2.0、中国移动发布5G专网技术体系2.0，5G专网已逐步从1.0时代向2.0时代迈进，网络形式由ToB通用网络向个性化定制的网络演进。 截止2022年，我国三大运营商均已推出了拥有自己特色的5G专网服务产品，并建成了大量的商用行业5G专网，实现在工业制造、电力、医疗、交通、港口、物流、教育等行业广泛部署，并实现多个技术突破和成功案例。 以中国联通为例，中国联通推出的5G专网产品体系2.0“5G专网PLUS”,实现网络跨越、行业跨越、服务跨越三大跨越，提供了更强网络、更懂行业和更优服务，构建了基于流量和切片模式、基于网络+平台+应用模式、网络+平台+集成服务模式等3种商业模式，分别满足5GToB客户的不同需求，以5G专网带动行业DICT的收入增长。通过布局5G“7+9+9”行业应用，深耕重点垂直行业， 汇聚科技创新能力，集结行业专家，聚合生态力量，面向全国一点支撑，基于5G、“云大物智链安”等自主能力，锤炼“专精特新”的“独门绝技”，推进创新链、产业链、价值链融合发展。 在数字政府领域中，中国联通与广东政数局合作，打造了全国首个省级5G政务专网，创新性地推进了广东省5G基层治理、5G智慧防疫、5G智慧应急、智慧城市管理等多个应用场景落地，促进5G技术与政务服务的深入融合，不断地助力广东政数局提升政府公共服务、社会治理的数字化、智能化水平。 当前我国5G网络覆盖广度、深度持续提升，边缘计算和智能网络切片技术不断进步、融合，5G专网能力不断增强，5G专网作为数字化转型的新引擎，将持续赋能千行百业数智化转型升级、拓展生产效能。 1.2中国联通5G行业专网介绍 5G网络演进的趋势是向网元虚拟化、架构开放化、编排智能化方向发展，这为5G专网服务能力的灵活化、定制化提供了有力的技术保障，以中国联通5G专网产品为例，5G专网产品主要包括：5G虚拟专网、5G混合专网以及5G独立专网。 1.2.15G虚拟专网 5G虚拟专网产品是中国联通基于5G公众网络资源，利用端到端QoS或切片技术，为客户提供一张时延和带宽有保障的、与中国联通公众网络普通用户数据隔离的虚拟专有网络，网络架构如下图所示： 图1-15G虚拟专网网络架构图 1.2.25G独立专网 5G独立专网产品采用专有无线设备和核心网一体化设备，为行业用户构建一张物理封闭、低时延、高带宽的基础连接网络，实现用户数据与中国联通公众网络数据完全隔离，网络架构如下图所示： 图1-25G独立专网网络架构图 1.2.35G混合专网 5G混合专网产品采用核心网控制面共有化部署，行业用户UPF网元私有化部署，无线基站、核心网控制面网元根据客户需求灵活部署的模式，为用户提供部分物理独享的5G专用网络。满足行业用户大带宽、低时延、数据不出园区的需求。网络架构如下图所示： 图1-35G混合专网网络架构图 02 5G专网安全诉求 及风险分析 2.15G相关安全政策与标准 5G规模商用以后，国家层面高度重视5G行业的安全发展，陆续出台了多项政策要求与标准，鼓励5G行业发展与创新的同时把安全放在全新的高度，护航5G专网赋能各行各业数字化转型。 2.1.1安全政策 《中华人民共和国网络安全法》第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行保障网络免受干扰、破坏或者未经授权的访问，防止数据泄露或者被窃取、篡改的安全义务。 《信息安全技术网络安全等级保护基�要求》2.0版�将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等纳入了保护对象。 《中华人民共和国数据安全法》明确提出对数据全生命周期各环节的安全保护义务，加强风险监测与身份核验，结合业务需求，从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置，全面建设有效防护机制，保障数字产业蓬勃健康发展。 工信部印发的《“十四五”信息通信行业发展规划》中明确要求全面推进5G网络建设，加快5G独立组网（SA）规模优化产业园区、港口、厂矿等场景5G覆盖，推广5G行业虚拟专网建设。要求运营商全面加强网络和数据安全保障体系和能力建设，持续提升新型数字基础设施安全管理水平，打造国际领先的5G安全保障能力，全面构 建基础安全管理体系；并严格落实《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》，积极推动《电信法》等立法工作，加快完善信息通信行业相关规章制度。十部门印发的《5G应用“扬帆”行动计划 （2021-2023年）》中提出开展提升5G应用安全提升行动，强化5G应用安全供给支撑服务；支持5G安全科技创新与核心技术转化，鼓励5G安全创新企业入驻国家网络安全产业园区；加强5G安全服务模式创新，推动5G安全技术合作和能力共享，鼓励跨行业、跨领域制定融合应用场景安全服务方案；加强5G网络安全威胁信息发现共享与协同处置。 2.1.2安全标准 针对5G网络安全，其中3GPP发布了TS33.501 《Securityarchitectureandproceduresfor5Gsystem》，对5G安全体系结构概述，对5G网络接入安全、网络域安全、用户域安全、应用域安全等等安全域进行说明，规范了5G核心网络周边的安全实体、5G核心网络中的安全实体，并制定了安全要求和功能的标准规范。 中国通信标准化协会发布了YD/T4056-2022《5G多接入边缘计算平台通用安全防护要求》、YD/T3628-2019《5G移动通信网安全技术要求》，对 5G的安全性进行了全方位的描述，涵盖5G网络的安全架构、安全需求、安全功能要求以及相关安全流程等方面的标准制定。 2.25G专网总体安全风险分析 5G专网的安全风险包含终端安全风险、网络安全风险、MEC安全风险、边界安全风险、管理安全风险。 图2-15G专网总体安全分风险分析 2.2.1终端安全风险分析 5G专网终端分为两大类，分别是5G终端（如5GCPE、 5GDongle和物联终端内的5G模组）和其它非5G终端 （如普通摄像头、PLC和AGV等可以通过连接5GCPE来接入5G网络）。终端安全风险点主要包括：终端物理安全、终端接入安全、终端数据传输安全及其它安全风险，详细如下表： 表2-1终端安全风险分析 2.2.2网络安全风险分析 网络安全风险点主要包括：基站和无线空口安全、切片安全、传输安全及5GC安全，详细如下表： 风险点 风险分析 基站和无线空口安全 1.空口无线干扰、数据窃听、数据篡改2.卫星GPS信号干扰、信号屏蔽、遮挡3.终端重放攻击、DOS攻击4.移动终端标识窃取5.伪基站攻击 切片安全 1.用户的非法接入切片、滥用切片资源、切片间非法访问、切片间资源争夺、切片间非法攻击等 2.切片管理员权限滥用、切片敏感信息篡改等 传输安全 1.传输链路异常2.传输拥塞3.传输网络上进行恶意软件攻击、数据窃听 5GC安全 1.基础设施层虚拟化安全,如虚拟资源的滥用、云平台内部的横向攻击、虚机及镜像破坏等2.网元功能层安全，如非法用户接入网络、对网元间接口的非法访问、数据的监听和篡改 3.管理编排、能力开放的安全，如非法用户访问、权限滥 用攻击、数据安全等 表2-2网络安全风险分析 风险点 风险分析 终端物理安全 终端失联（如丢失、关机） 终端SIM卡非法拔出 终端接入安全 非授权终端接入(CPE或SIM卡不合法) 终端非法恶意接入 终端数据传输安全 终端接入5G网络访问安全(网络层) 终端与MEC通信安全(应用层) 其它 CPE下挂设备攻击 CPE下挂设备失联 恶意设备非法接入 自身安全 终端/设备自身安全 2.2.3MEC安全风险分析 5GMEC平台从组网架构、业务服务方式、运营模式等方面进行分析，主要涉及的风险包括网络安全风险、应用安全风险、计算环境安全风险、数据安全风险，详细如下表： 表2-4边界安全风险分析 表2-3MEC安全风险分析 风险点 风险分析 网络安 1.设备接入风险，边缘设备通过不安全协议/非法接入网络 全风险 2.网络攻击威胁,核心网网元、MEC平台遭受攻击3.网络配置缺陷，配置不当引起安全问题 应用安全风险 1.MEC应用安全隔离，权限界面模糊，业务未相互安全隔离，存在数据丢失、泄露及资源挤占的风险2.恶意应用，由于应用安全检测及限制，恶意应用入驻引起恶意消耗平台资源引发DDoS攻击、窃取数据和用户信息、扩散非法内容等安全风险 3.应用管理编排不当4.安全漏洞，MEC应用存在后门等漏洞隐患 计算环境风险 1.设备配置缺陷2.管理通道安全设备安全漏洞 3.设备级安全防护设备及措施不足，无法及时发现、拦截和响应针对设备的非法访问、入侵等安全风险。4.硬件、平台、系统、容器等载体存在安全漏洞所引起的安全风险 数据安全风险 1.数据损毁风险，遭受攻击损坏数据，未有相关