5G专网安全技术白皮书2023.docx

《5G专网安全技术白皮书2023.docx》由会员分享，可在线阅读，更多相关《5G专网安全技术白皮书2023.docx（21页珍藏版）》请在优知文库上搜索。

1、目录一、5G专网发展概述11.1 5G专网发展现状11.2 中国联通5G行业专网介绍2二、5G专网安全诉求及风险分析32.1 5G相关安全政策与标准32.2 5G专网总体安全风险分析4三、面向5G专网,构建端到端的安全解决方案63.15G专网安全体系通用架构63.2 终端安全73.3 网络安全83.4MEC安全103. 5边界安全123.6专网管理安全与运维安全12四、5G专网安全应用案例探讨144. 15G工厂制造基地安全应用案例144.2 5G智能驾驶示范区安全应用案例154.3 钢厂5G+工业互联网安全应用案例164.4 广东联通集约化云安全应用案例17五、总结与未来展望18附录119附

2、录220附录322Ol5G专网发展概述1.1 5G专网发展现状随着中国联通发布5G行业专网产品体系2.0、中国移动发布5G专网技术体系2.0,5G专网已逐步从1.O时代向2.0时代迈进，网络形式由TOB通用网络向个性化定制的网络演进。截止2022年，我国三大运营商均已推出了拥有自己特色的5G专网服务产品，并建成了大量的商用行业5G专网，实现在工业制造、电力、医疗、交通、港口、物流、教育等行业广泛部署，并实现多个技术突破和成功案例。以中国联通为例，中国联通推出的5G专网产品体系2.0tt5G专网P1.US”,实现网络跨越、行业跨越、服务跨越三大跨越，提供了更强网络、更懂行业和更优服务，构建了基于

3、流量和切片模式、基于网络+平台+应用模式、网络+平台+集成服务模式等3种商业模式，分别满足5GT。B客户的不同需求，以5G专网带动行业DICT的收入增长。通过汇聚科技创新能力，集结行业专家，聚合生态力量，面向全国一点支撑，基于5G、“云大物智链安”等自主能力，锤炼“专精特新”的“独门绝技”，推进创新链、产业链、价值链融合发展。在数字政府领域中，中国联通与广东政数局合作，打造了全国首个省级5G政务专网，创新性地推进了广东省5G基层治理、5G智慧防疫、5G智慧应急、智慧城市管理等多个应用场景落地，促进5G技术与政务服务的深入融合，不断地助力广东政数局提升政府公共服务、社会治理的数字化、智能化水平。

4、当前我国5G网络覆盖广度、深度持续提升，边缘计算和智能网络切片技术不断进步、融合，5G专网能力不断增强，5G专网作为数字化转型的新引擎，将持续赋能干行百业数智化转型升级、拓展生产效能。布局5G7+9+9行业应用，深耕重点垂直行业,1.2 中国联通5G行业专网介绍5G网络演进的趋势是向网元虚拟化、架构开放化、编排智能化方向发展，这为5G专网服务能力的灵活化、定制化提供了有力的技术保障，以中国联通5G专网产品为例，5G专网产品主要包括：5G虚拟专网、5G混合专网以及5G独立专网。1.2.1 5（；虚拟专网5G虚拟专网产品是中国联通基于5G公众网络资源，利用端到端QoS或切片技术，为客户提供一张时延

5、和带宽有保障的、与中国联通公众网络普通用户数据隔离的虚拟专有网络，网络架构如下图所示：W50站忸公网用fl口专网用尸|见灌Wa一；图1-15G虚拟专网网络架构图1.2.2 5G专网5G独立专网产品采用专有无线设备和核心网一体化设备，为行业用户构建一张物理封闭、低时延、高带宽的基础连接网络，实现用户数据与中国联通公众网络数据完全隔离，网络架构如下图所示：图1-25G独立专网网络架构图1.235G混合专网5G混合专网产品采用核心网控制面共有化部署，行业用户UPF网元私有化部署，无线基站、核心网控制面网元根据客户需求灵活部署的模式，为用户提供部分物理独享的5G专用网络。满足行业用户大带宽、低时延、数

6、据不出园区的需求。网络架构如下图所示：图1.35G混合专网网络架构图025G专网安全诉求及风险分析2.1 5G相关安全政策与标准5G规模商用以后，国家层面高度重视5G行业的安全发展，陆续出台了多项政策要求与标准，鼓励5G行业发展与创新的同时把安全放在全新的高度,护航5G专网赋能各行各业数字化转型。2.1.1 安全政策中华人民共和国网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行保障网络免受干扰、破坏或者未经授权的访问，防止数据泄露或者被窃取、篡改的安全义务。信息安全技术网络安全等级保护基本要求2.0版本将网络基础设施(广电网、电信网

7、、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等纳入了保护对象。中华人民共和国数据安全法明确提出对数据全生命周期各环节的安全保护义务，加强风险监测与身份核验，结合业务需求，从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置，全面建设有效防护机制，保障数字产业蓬勃健康发展。工信部印发的“十四五”信息通信行业发展规戈砂中明确要求全面推进5G网络建设，加快5G独立组网(SA)规模优化产业园区、港口、厂矿等场景5G覆盖，推广5G行业虚拟专网建设。要求运营商全面加强网络和数据安全保障体系和能力建设，持续提升新型数字基

8、础设施安全管理水平，打造国际领先的5G安全保障能力，全面构建基础安全管理体系：并严格落实数据安全法、个人信息保护法、关键信息基础设施安全保护条例，积极推动电信法等立法工作，加快完善信息通信行业相关规章制度。十部门印发的5G应用“扬帆”行动计划(2021-2023年)中提出开展提升5G应用安全提升行动，强化5G应用安全供给支撑服务：支持5G安全科技创新与核心技术转化，鼓励5G安全创新企业入驻国家网络安全产业园区；加强5G安全服务模式创新，推动5G安全技术合作和能力共享,鼓励跨行业、跨领域制定融合应用场景安全服务方案；加强5G网络安全威胁信息发现共享与协同处置。2.12安全标准针对5G网络安全，其

9、中3GPP发布了TS33.501SeCUrityarchitectureandproceduresfor5Gsystem，对5G安全体系结构概述，对5G网络接入安全、网络域安全、用户域安全、应用域安全等等安全域进行说明，规范了5G核心网络周边的安全实体、5G核心网络中的安全实体，并制定了安全要求和功能的标准规范。中国通信标准化协会发布了YD/T4056-20225G多接入边缘计算平台通用安全防护要求、YD/T3628-20195G移动通信网安全技术要求,对5G的安全性进行了全方位的描述，涵盖5G网络的安全架构、安全需求、安全功能要求以及相关安全流程等方面的标准制定。2.25G专网总体安全风险分

10、析5G专网的安全风险包含终端安全风险、网络安全风险、MEC安全风险、边界安全风险、管理安全风险。WCPEOongieQ数解安全Q网络中间人攻击MEC平台资现的物安全0O-从0&M入侵安全态势不明t及不可学Internet。所部狒收住益稠&攻出私有云企业内叫私有点MECg边界Q管理中心&运维图2-15G专网总体安全分风险分析2.2.1 终端安全风险分析5G专网终端分为两大类，分别是5G终端（如5GCPE、5GDonglC和物联终端内的5G模组）和其它非5G终端（如普通摄像头、P1.e和AGV等可以通过连接5GCPE来接入5G网络）。终端安全风险点主要包括：终端物理安全、终端接入安全、终端数据传输

11、安全及其它安全风险，详细如下表：表2-1终端安全风险分析风险点风险分析终端物理安全终端失联（如丢失、关机）终端SIM卡非法拔出终端接入安全非授权终端接入（CPEi必IM卡不合法）终端非法恶意接入终端数据传输安全终端接入5G网络访问安全（网络层）终端与MEC通信安全（应用层）其它CPE下挂设备攻击CPE下挂设备失联恶意设备非法接入自身安全终端/设备自身安全2.2.2 网络安全风险分析网络安全风险点主要包括：基站和无线空口安全、切片安全、传输安全及5GC安全，详细如下表：表2-2网络安全风险分析风险点风险分析基站和无线空口安全1 .空口无线干扰、数据窃听、数据篡改2 .卫星GPS信号干扰、信号屏蔽

12、、遮挡3 .终端重放攻击、DOS攻击4 .移动终端标识窃取5 .伪基站攻击切片安全I.用户的非法接入切片、滥用切片资源、切片间非法访问、切片间资源争夺、切片间非法攻击等2.切片管理员权限滥用、切片敏感信息篡改等传输安全1.传输链路异常2 .传输拥塞3 .传输网络上进行恶意软件攻击、数据窃听5GC安全I.基础设施层虚拟化安全,如虚拟资源的滥用、云平台内部的横向攻击、虚机及镜像破坏等2 .网元功能层安全，如非法用户接入网络、对网元间接口的非法访问、数据的监听和墓改3 .管理编排、能力开放的安全，如非法用户访问、权限滥用攻击、数据安全等2.2.3 MEc安全风险分析5GMEC平台从组网架构、业务服务

13、方式、运营模式等方面进行分析，主要涉及的风险包括网络安全风险、应用安全风险、计算环境安全风险、数据安全风险，详细如下表：表2-3MEC安全风险分析风险点风险分析网络安全风险1 .设备接入风险，边缘设备通过不安全协议/非法接入网络2 .网络攻击威胁,核心网网元、MEC平台遭受攻击3.网络配置缺陷，配置不当引起安全问题应用安全风险1.MEC应用安全隔离，权限界面模糊，业务未相互安全隔离，存在数据丢失、泄密及资源挤占的风险2.恶意应用，由于应用安全检测及限制，恶意应用入驻引起恶意消耗平台资源引发DDOS攻击、窃取数据和用户信息、扩散非法内容等安全风险3 .应用管理编排不当4 .安全漏洞，MEC应用存

14、在后门等漏洞隐患计算环境风险1.设备配置缺陷2 .管理通道安全设备安全漏洞3 .设备级安全防护设备及措施不足，无法及时发现、拦截和响应针对设备的非法访问、入侵等安全风险。4 .硬件、平台、系统、容器等载体存在安全漏洞所引起的安全风险数据安全风险1 .数据损毁风险，遭受攻击损坏数据，未有相关数据的容灾备份、恢复机制2 .数据篡改风险，因SQ1.注入、XSS注入等外部攻击入侵造成的数据篡改风险3 .数据泄露风险，业务应用数据和用户个人敏感隐私数据的泄露问题224边界安全风险分析边界安全风险是指5G网络之间及5G专网网络与其他网络之间等不同网络之间进行信息交互时所产生的安全风险，包括安全分区分域、网

15、络访问控制、远程管理、网络边界安全等风险点，详细如下表：表2-4边界安全风险分析风险点风险分析安全分区分域1.未合理分区分域重要网元遭受到网络攻击威胁，容易造成网络瘫痪网络访问控制1.由于网络连接、资源分配、UPF的访问控制策略配置不当及多MEC平台间管理编排调度不当而引起的安全风险远程管理风险1.远程管理控制软件与平台相关功能网元之间的控制传输安全风险，包括控制传输流量、上报资源状态和业务信息被监听、窃取、柒改等安全风险网络边界安全风险1.由于网络级IDS、抗DDOS、防火墙等防攻击手段落后，或未署网络告警管理、安全资源管理、安全审计措施等，导致无法及时发现、拦截和响应来自网络层面的非法访问、入侵等安全风险2.2.5 管理安全风险分析5G专网管理安全风险主要为5G专