5G安全知识库.pdf

《5G安全知识库.pdf》由会员分享，可在线阅读，更多相关《5G安全知识库.pdf（107页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 5G 安全知识库 IMT-2020(5G)推进组 中国信息通信研究院 2021 年 12 月 -1-前 言 5G 是新一代科技革命和产业变革的代表性、引领性技术，是实现万物互联的关键信息基础设施、经济社会转型升级的重要驱动力量。5G商用两年来，在产业界各方共同努力下，5G发展成效显著，技术产业能力不断提升，网络和用户规模全球领先，应用探索日益活跃，涌现了大批优秀案例，实现了从0到1的突破，我国已经迈入5G 融合应用规模化发展的关键时期。5G 融合应用在造福社会、造福人民的同时，也引发了新的网络安全风险。中国国家主席在第二届世界互联网大会上指出，维护网络安全是国际社会的共同责任。国际社会应该在

2、相互尊重、相互信任的基础上，加强对话合作，共同构建和平、安全、开放、合作的网络空间。5G 安全是全球面临的共同问题，更需要倡导开放合作的网络安全理念，客观看待和应对 5G 安全风险，深化合作，增进互信，共同提高 5G 安全保障水平。随着 5G 技术、产业、应用迈入无经验可借鉴的“无人区”，5G 与垂直领域深度融合引发的安全风险备受瞩目，IT、CT、OT 安全问题相互交织，构建与 5G 应用发展相适应的安全保障体系成为迫切需要。2021 年 7 月，工信部联合网信办、发改委等 9 部门印发5G 应用“扬帆”行动计划（2021-2023 年），提出加强 5G 应用安全风险评估，开展 5G 应用安全

3、示范推广，提升 5G 应用安全评测认证能力，强化 5G 应用安全供给支撑服务，计划到 2023 年底，打造10-20个5G应用安全创新示范中心，树立3-5个区域示范标杆。5G安全知识库在 5G应用“扬帆”发展的关键阶段发布，凝聚了电信行业关于 5G网络安全建设的最佳实践经验，探索提出 5G+行业应用 -2-安全最佳实践方案，将有力促进形成全行业共识。5G 安全知识库梳理总结了 5G 终端、接入网、核心网、MEC、切片、数据、应用等安全最佳实践经验，制定面向5G网络基础设施和典型行业应用的最优安全措施集，并提出面向运营商、设备商、垂直行业等不同主体的 5G安全措施落地部署方式，旨在成为全行业的

4、5G 安全最佳实践综合性技术指导文件，从 5G 网络和应用两个维度促进全行业在 5G安全需求、安全能力和安全措施等方面形成共识，共同保障 5G 网络和应用安全、可靠、高质量发展。I 目 录 1 引言.1 1.1 5G 网络简介.1 1.2 5G 网络安全特点.2 1.3 5G 应用安全特点.4 2 国内外相关情况简介.5 2.1 欧盟 5G 安全风险评估及工具箱.5 2.2 美国 NIST 5G 安全实践指南.6 2.3 GSMA 网络设备安全保障框架.6 2.4 国内相关工作.8 3 5G 网络安全知识库.10 3.1 5G 网络安全范围.10 3.2 面向的 5G 资产.11 3.3 描述

5、方式.12 3.4 描述内容.13 4 5G 应用安全知识库.14 4.1 5G 融合应用安全特点.14 4.1.1 5G 融合应用安全需求.14 4.1.2 行业应用安全需求与 5G 安全能力的映射.14 4.2 面向行业的 5G 安全原子能力集.16 4.2.1 SeCAP-1 端到端网络切片隔离能力.16 4.2.2 SeCAP-2 网络边界安全防护能力.18 4.2.3 SeCAP-3 增强的终端接入认证能力.19 4.2.4 SeCAP-4 开放的网络管理和安全管控能力.20 4.2.5 SeCAP-5 边缘/本地园区的数据安全防护能力.22 4.2.6 SeCAP-6 面向行业应用

6、的安全监测能力.23 4.2.7 SeCAP-7 基于蜜罐技术的 5G 安全防护能力.24 4.2.8 SeCAP-8 服务于多租户的虚拟专网能力.25 4.2.9 SeCAP-9 面向行业应用的 5G 安全测评能力.26 II 4.3 5G 应用安全最佳实践模板.27 4.3.1 ST-IIot 5G+工业互联网安全模板.27 4.3.2 ST-grid 5G+电力安全模板.29 4.3.3 ST-mine 5G+矿山安全模板.30 4.3.4 ST-port 5G+港口安全模板.31 4.3.5 ST-city 5G+智慧城市安全模板.33 4.3.6 ST-hospital 5G+医疗安

7、全模板.34 4.3.7 ST-education 5G+教育安全模板.35 5 安全知识库使用方法.37 5.1 面向运营商、设备商的 5G 网络安全知识库使用方法.37 5.2 面向运营商、垂直行业的 5G 应用安全知识库使用方法.38 6 总结及展望.40 7 缩略语.42 附录 A：5G 网络安全知识库措施.49 A.1 终端安全（Mobile Terminal,MT）.49 A.1.1 MT-1 终端与 5G 网络数据和信令保护.49 A.1.2 MT-2 用户凭证的安全保护.50 A.1.3 MT-3 终端接入认证.51 A.1.4 MT-4 终端访问限制.52 A.2 接入网安全

8、（Radio Network,RN）.53 A.2.1 RN-1 基站用户数据和信令保护.53 A.2.2 RN-2 伪基站检测及防护.54 A.2.3 RN-3 基站可用性保护.55 A.2.4 RN-4 降低无线电干扰风险.56 A.2.5 RN-5 基站物理安全保护.57 A.3 多接入边缘计算安全(Multi-access Edge Computing,MEC).58 A.3.1 MEC-1 物理环境安全防护.58 A.3.2 MEC-2 组网安全防护.59 A.3.3 MEC-3 基础设施安全防护.61 III A.3.4 MEC-4 虚拟化安全防护.64 A.3.5 MEC-5 边

9、缘计算平台安全防护.66 A.3.6 MEC-6 应用安全防护.68 A.3.7 MEC-7 能力开放安全防护.69 A.3.8 MEC-8 通信安全防护.70 A.3.9 MEC-9 管理运维安全.71 A.3.10 MEC-10 数据安全防护.72 A.4 核心网安全(Core Network,CN).74 A.4.1 CN-1 核心网资源可用性保护.74 A.4.2 CN-2 5GC NEF 安全保护.75 A.4.3 CN-3 核心网流量保护.76 A.4.4 CN-4 核心网内外边界隔离.77 A.4.5 CN-5 核心网网元合法身份保障.78 A.4.6 CN-6 虚拟化环境保护.

10、79 A.4.7 CN-7 用户标识保护.80 A.4.8 CN-8 漫游安全.80 A.5 网络切片安全(Network Slice,NS).81 A.5.1 NS-1 终端接入切片安全.81 A.5.2 NS-2 切片网络隔离.82 A.5.3 NS-3 切片数据隔离.83 A.5.4 NS-4 切片管理安全.84 A.6 安全管理(Security Management,SM).85 A.6.1 SM-1 安全管理和编排.85 A.6.2 SM-2 安全可控.86 A.6.3 SM-4 人员管理.87 A.6.4 SM-4 安全审计.88 A.7 运维管理(Operation and M

11、anagement,OM).88 A.7.1 OM-1 5GC 安全运维.88 A.7.2 OM-2 云基础设施主机运维.89 IV A.7.3 OM-3 云基础设施虚拟化层运维.90 A.7.4 OM-4 云基础设施 PIM 运维.91 A.7.5 OM-5 云基础设施 MANO 运维.92 A.7.6 OM-6 云基础设施 SDN 运维.94 A.7.7 OM-7 安全应急响应.95 A.8 数据安全(Data,DAT).96 A.8.1 DAT-1 数据识别与管理.96 A.8.2 DAT-2 数据安全防护.97 A.8.3 DAT-3 数据安全监测.98 致 谢.100 1 1 引言

12、1.1 5G 网络网络简介简介 2015年，国际电信联盟（ITU）发布了IMT 愿景：5G 架构和总体目标，定义了增强移动宽带（eMBB）、超高可靠低时延（uRLLC）、海量机器类型通信（mMTC）三大应用场景，以及峰值速率、流量密度等八大关键性能指标。与 4G 相比，5G 将提供至少十倍于 4G 的峰值速率、毫秒级的传输时延和每平方公里百万级的连接能力。5G 网络是一个复杂的组合体，传统移动通信网的结构主要分为接入网、传输网和核心网，核心网之后就是骨干网。5G 网络由于引入网络功能虚拟化、软件定义网络、多接入边缘计算等新技术，网络形态相比 4G更加复杂。在网络参与主体上，除传统通信设备厂商、

13、基础电信企业外，5G 时代由于新技术的引入，云、大数据、互联网数据中心等厂商加入到 5G网络组成各个环节，多领域垂直行业主体也深度参与 5G融合应用的发展。中国 5G正式商用近两年以来，在技术标准、网络建设、产业发展等方面已取得了世界领先的发展成就，5G 应用也实现了从“0”到“1”的突破，展现出了庞大的潜在市场空间和助力经济社会创新发展的巨大潜能。随着中国进入 5G 应用规模化发展的关键时期，5G技术、产业、应用迈入无经验可借鉴的“无人区”，5G与垂直领域深度融合引发的安全风险备受瞩目，IT（信息技术）、CT（通信技术）、OT（运营技术）安全问题相互交织，构建与 5G 应用发展相适应的安全保

14、障体系，制定符合我国 5G 网络建设和应用发展特点的、指引全行业 5G网络和应用安全最佳实践的技术文件成为迫切需要。2 1.2 5G 网络网络安全安全特点特点 第五代通信（5G）是实现人、机、物互联的新型信息基础设施和经济社会数字化转型的重要驱动力量。5G 安全是 5G 高质量发展的重要基础和坚实保障，做好 5G 安全工作，需要客观认识 5G 安全特点，积极应对 5G安全风险挑战。（1）国际标准定义了增强的 5G 安全标准 5G 网络整体架构延续 2/3/4G 通信网络特征，仍采用接入层、核心网层和应用层三层架构，但在核心网层引入网络功能虚拟化、网络切片、边缘计算、服务化架构、网络能力开放等新

15、技术，网络架构有了重大变化，比 4G 具有更高的性能指标，支持更多样化的业务场景。与网络演进相适应的，5G 网络安全也不断演进和增强。在继承 4G 网络分层分域的安全架构的基础上，3GPP R15 版本定义了比4G 更强的安全能力：一是新增服务域安全，采用完善的注册、发现、授权安全机制及安全协议来保障 5G 服务化架构安全。二是采用统一认证框架，能够融合不同制式的多种接入认证方式，保障异构网络切换时认证流程的连续性。三是增强数据隐私保护，使用加密方式传送用户身份标识，支持用户面数据完整性保护，以防范攻击者利用空中接口明文传送用户身份标识来非法追踪用户的位置和信息，以及用户面数据被篡改。四是增强

16、网间漫游安全，提供了网络运营商网间信令的端到端保护，防范外界获取运营商网间的敏感数据。R16 和 R17 阶段对已有的安全基础架构进行了进一步优化，一方面是提供增强的安全能力，例如定义了 SBA 架构服务增强安全机制，包含更细粒度的网元间授权机制、更强的运营商间的用户面数据传输保护等，以保障核心网内部信令面及用户面数据传输安全。此外，3GPP 还将 5G SA 网络的用户面完整性保护机制引入到 5G 3 NSA网络以及4G网络中，以进一步增强空口安全。另一方面是使能垂直行业安全。例如支持 IoT 设备小数据传输安全、支持 uRLLC 的冗余会话传输安全、支持切片的认证和授权、支持多种私网形态的

17、灵活认证，以满足不同行业的多样性安全需求，并向第三方开放3GPP安全能力。（2）5G网络发展仍面临一定的安全挑战 5G 新技术、新应用的发展，带来了新的安全风险挑战，需要以发展、系统、客观、合作的理念看待，以实现 5G 安全与发展的协同推进。2020年 2月，中国IMT-2020(5G)推进组编制发布5G安全报告，对 5G 安全挑战进行了梳理和分析：在 5G 关键技术方面，5G 由于引入虚拟化、网络切片、边缘计算等新技术带来诸多安全挑战：网络功能虚拟化和服务化架构技术使得原有网络中基于功能网元进行边界防护的方式不再适用，且其底层实现多使用开源软件，出现安全漏洞的可能性加大；网络切片基于共享硬件

18、资源，在没有采取适当安全隔离机制情况下，低防护能力切片易成为攻击其他切片的跳板；边缘计算在网络边缘、靠近用户的位置上提供信息服务和计算能力，由于其设施通常会暴露在不安全环境中，受性能成本、部署灵活性等多种因素制约，易带来接入认证授权、安全防护等多方面安全风险；网络能力开放采用互联网通用协议，与之前相对较为封闭的通信网络相比，易将互联网现有的各类网络攻击风险引入 5G网络。在 5G 典型场景方面，其安全风险与融合应用行业和业务场景紧密结合：增强宽带（eMBB）场景超大流量、超高速率的特性使得现有网络中部署的防火墙、入侵检测系统等安全设备在流量检测、链路覆盖等方面的安全防护能力面临较大挑战；超高可

19、靠低时延 4 （uRLLC）场景需要提供高可靠低时延的服务质量保障，给业务接入认证、数据传输安全保护等环节安全机制部署带来挑战；海量机器类通信（mMTC）场景下接入终端数量庞大，同时接入给网络带来运行风险，且功耗低、计算和存储资源有限等情况，使得较强安全策略难以部署。从长远来看，各类 5G 应用将在网络规模部署后逐步涌现，其安全风险与垂直领域自身特点高度相关，需分行业、分场景结合 5G 垂直领域各自特点，细化安全措施。1.3 5G 应用安全应用安全特点特点 5G 基于全新的架构，使传统的人与人通信延伸覆盖到人与物、物与物之间智能互联，应用场景从互联网拓展到工业互联网、车联网、物联网等更多领域。

20、5G 为垂直行业带来了更大带宽、更低时延、更多接入的通信技术能力，将会深度与垂直行业业务融合，5G 行业应用面临以下安全需求：（1）业务开放安全需求：一是垂直行业终端、业务系统等接入5G 环境，增大了终端、业务系统的暴露风险，使其面临的攻击面更广；二是在垂直行业企业侧部署 MEC，运营商 MEC 平台上承载多个垂直行业应用，企业与运营商间的安全界限变得模糊。（2）5G 新技术安全需求：5G 中使用了虚拟化、网络切片、MEC等新技术，大量使用虚拟化等 IT技术、互联网通用协议，进一步将互联网已有的安全风险引入到 5G网络，导致业务也面临安全风险。（3）数据安全需求：垂直行业业务数据通过公共 5G

21、 网络环境传输，行业对自身的业务数据控制能力减弱，可能会带来数据泄露风险。（4）安全运维管理需求：将原本较封闭的企业网络将变得较为 5 开放，且引入了大量新技术和新运维对象，对安全管理、运维管理都带来新的安全风险和挑战。5G 网络与垂直行业深度融合的特点，导致 5G 一旦出现安全问题不仅会影响人和人之间的通信，还将会影响到各行各业，有些场景甚至可能威胁到人们的生命财产安全乃至国家安全。全行业应树立正确的网络安全观，统一 5G 安全认识，共同建设满足监管要求的安全可靠 5G 网络，打造 5G 安全管理与运营体系，构建覆盖端到端的 5G 安全测评能力，提供安全有保障的能力及服务，全面提升 5G安全

22、水平。2 国内外相关情况简介 2.1 欧盟欧盟 5G 安全安全风险评估及风险评估及工具箱工具箱 欧盟委员会于 2019 年 3 月 26 日通过了5G 网络安全建议，呼吁欧盟成员国根据各国需求和特点，开展 5G 网络基础设施风险评估并审查各国安全措施。欧盟网络安全局（ENISA）于2019年10月发布了欧盟 5G 网络安全风险评估报告详细分析了欧盟成员国可能面临的 5G 安全风险，为成员国制定管理措施、网络部署、运营维护和采购5G基础设施提供重要指导和参考。紧接着，ENISA于2019年11月发布了5G网络安全图谱，针对网络资产及其风险识别等技术进行详细分析，并作为工具箱的实施参考。2020年

23、 1月 29日，欧盟网络信息安全合作组（NIS CG）发布了欧盟 5G 网络安全风险消减措施工具箱（以下简称工具箱），为欧盟和各成员国实施 5G 网络安全风险消减措施提供了指导和依据。工具箱提出了 8 项战略措施、11 项技术措施和 10 项支撑行动，明确了各成员国具体实施风险消减措施的流程和方式。其中战略措施用于增加监管机构审查网络采购和部署情况的监管权力的措施，以及 6 应对与非技术漏洞相关的风险的具体措施，技术措施用于提升 5G 网络和设备安全，具体包括网络安全基线措施、5G 相关措施、有关供应商流程及设备认证、韧性和可持续性等；支撑行动从审查或制定最佳实践、支持 5G标准化工作、制定安

24、全措施实施指导意见、加强信息共享机制等方面，协助战略与技术措施的执行，以便风险消减措施有效落地。工具箱用于解决包括与非技术因素风险在内的所有已评估出的风险，对欧盟整个单一市场和欧盟的技术主权具有战略重要性。为了促进工具箱的落实，基于欧盟电子通信准则（EECC），欧盟于 2020 年 12 月发布了EECC 安全措施指南和5G 补充安全措施实施指南，促进成员国在 5G 网络建设中立法落实工具箱措施的实施。2.2 美国美国 NIST 5G 安全实践指南安全实践指南 2021年 2月，美国国家标准与技术研究院（NIST）发布5G网络安全实践指南初步草案。这是 SP 1800-33 系列三册中的第一册

25、，旨在定义底层基础设施、技术架构和组件等安全属性，利用现有网络安全产品、解决方案以及 NIST其他系列网络安全标准指南，构建整体性的 5G 网络安全保障能力。目前 5G 网络安全实践指南(草案)处于设计和开发解决方案的早期阶段，随着 NIST 相关项目的进行，将对草案逐步更新，并将发布其他册以供行业参考。该实践指南旨在帮助使用 5G网络运营商、设备供应商等参与者提升安全能力，对电信和公共安全也有较高参考价值。2.3 GSMA 网络设备安全保障网络设备安全保障框架框架 为促进产业对网络设备的安全性达成共识，满足通信领域利益相关方在 5G 时代对安全评估的诉求，全球移动通信系统协会 7 (GSMA

26、)联合第三代合作伙伴计划(3GPP)共同发布网络设备安全保障计划(NESAS)，旨在制定业界认同的通用安全基线，推进通信领域全球产业界的安全合作互信，联合各国运营商、设备商等产业链利益相关方共同推进 5G 安全建设。NESAS 提供了统一、有效的通信行业网络安全评估标准，为运营商、设备商、政府监管机构、应用服务提供商等利益相关方保障 5G网络安全提供了有价值的参考。表 2.1 GSMA NESAS 标准文档体系 类别类别 标准标准 内容内容 GSMA FS 系列系列 FS.13 NESAS 总体概述 FS.14 检测实验室认证需求及流程 FS.15 设备商开发及产品全生命周期审计方法 FS.1

27、6 设备商开发及产品全生命周期审计要求 3GPP SCAS 系列系列 TR 33.805 网络产品安全保障方法研究与选择 TR 33.916 网络产品安全保障方法论 TR 33.926 3GPP 网元产品威胁和重要资产 TS 33.511 5G基站 gNB 安全保障规范 TS 33.512 AMF 网元（接入和移动性管理功能）安全保障规范 TS 33.513 UPF 网元（用户面功能）安全保障规范 TS 33.514 UDM 网元（统一数据管理功能）安全保障规范 TS 33.515 SMF 网元（会话管理功能）安全保障规范 TS 33.516 AUSF 网元（鉴权服务功能）安全保障规范 TS

28、33.517 SEPP 网元（安全边缘保护代理功能）安全保障规范 TS 33.518 NRF 网元（网络存储功能）安全保障规范 TS 33.519 NEF 网元（网络开放功能）安全保障规范 TS 33.520 N3IWF 网元（非 3GPP 互通功能）安全保障规范 TS 33.521 NWDAF 网元（网络数据分析功能）安全保障规范 TS 33.522 SCP 网元（服务通信代理功能）安全保障规范 TS 33.326 NSSAAF 网元（网络切片特定认证和授权功能）安全保障规范 TR 33.818 虚拟化网络产品安全保障方法和安全保障规范标准 GSMA NESAS 分为产品研发流程审计和 SC

29、AS 产品安全功能测试，其中 NESAS研发流程审计包括 4个标准（见表 2.1）。SCAS安全保障规范是 3GPP 推出的电信产品的安全要求和测试用例，分析 8 5G 网元的资产组成、威胁及相对应的保障措施，目前已有 4 项研究报告和 14 个技术规范（见表 2.1）。通过 NESAS 框架下的安全审计和检测，设备厂商可以对产品的安全能力进行证明，运营商符合标准安全基线要求的产品进行 5G 网络建设时，在一定程度上可以保障5G 网络基础设施满足安全基线要求。2.4 国内相关工作国内相关工作 在国际高度关注 5G 安全问题的同时，我国也积极推动 5G 网络安全工作，从政策、标准、技术等方面持续

30、完善安全保障措施，统筹规划 5G 安全相关工作。（1）制定 5G 安全政策促进产业发展。工业和信息化部于 2020年 3 月印发关于推动 5G 加快发展的通知，在加速推进 5G 新基建、加大 5G 技术研发力度的同时，着力构建 5G 安全保障体系的指示，指导 IMT-2020(5G)推进组发布5G 安全报告，出台 5G 网络安全实施指南，全面梳理分析 5G 安全风险和应对措施，为 5G 产业链各环节客观认识和应对5G安全问题提供技术指引。此外，在2021年 7 月，工信部联合网信办、发改委等 9 部门印发5G 应用“扬帆”行动计划（2021-2023 年），针对 5G 应用安全保障能力提出了目

31、标和要求，明确指出要加快构建与 5G应用发展相适应的安全保障体系。（2）建立健全与国际接轨的 5G安全标准体系框架。同步 3GPP SA3，GSMA NESAS 等国际标准进展，依托 IMT-2020(5G)推进组安全工作组，在 TC260、TC485、CCSA 等国内标准化组织中积极布局5G 安全标准，推动制定我国 5G 通信安全、边缘计算（MEC）安全、切片安全、设备安全保障等技术标准，发布5G 移动通信网安全技术要求等行业标准，建立健全 5G 安全标准体系，引导 5G 安全技 9 术、产品及产业健康发展。同时，对标3GPP等国际标准，制定我国5G 移动通信设备安全保障系列规范，构建覆盖

32、5G 基站及核心网各项安全保障要求的安全测评体系，奠定与国际 5G 安全检测认证互认的基础。（3）构建5G安全评测能力并开展5G设备安全测试。在工业与信息化部的指导下，中国信息通信研究院成立“5G 安全测评中心”，构建与国际接轨的 5G 安全测评体系，搭建 5G 网络测试床，建设包括终端接入安全、基站/核心网设备安全、通信协议安全、网络切片安全等检测能力。牵头组织运营商、设备商共同开展 5G网络设备安全评测工作，于 2021 年 5 月正式完成了对华为、中兴、大唐、爱立信、上海诺基亚贝尔 5 家国内外主流设备厂商的 5G 基站和核心网设备安全测试，测试结果在 IMT-2020（5G）推进组、G

33、SMA官方网站发布。（4）推动 5G 行业应用安全防护体系落地推广。连续举办两届“绽放杯”5G应用安全专题赛，聚焦工业、能源、金融、交通等5G应用热点领域，面向全社会征集 400 多余项 5G 应用安全实践案例，有效促进了 5G 应用安全解决方案、产品和服务供给，并在引导垂直行业 5G 应用安全需求、促进 5G 安全产业生态完善等方面发挥了显著作用。此外，工业和信息化部还组织开展了 5G 应用安全创新示范中心创建工作，引导基础电信企业、设备企业、安全企业和相关科研机构以“团体赛”模式加强 5G 安全能力建设和示范工作，推动标准化、模块化、可复制、易推广的 5G 应用安全解决方案和最佳实践在重点

34、行业落地普及。10 3 5G 网络安全知识库 3.1 5G 网络安全网络安全范围范围 5G 网络除了要满足 eMBB、uRLLC 和 mMTC 新形态的业务需求，也需要为各种应用场景提供差异化的安全服务。虚拟化、网络切片、边缘计算和 MIMO 等新技术的引入导致 5G 网络结构发生了很大的变化。从网络架构来看，5G 网络整体延续 4G 特点，包括接入网、核心网和上层应用。通常 5G 安全的范围大致分为以下几方面：（1）基础设施安全：5G 网络基础设施安全主要包括终端、接入网、边缘、核心网和支撑管理平台等设施的安全，而端到端网络切片安全是 5G网络的特色。网络切片通过对接入网、传输网、核心网进行

35、资源编排、网络隔离以及网元功能划分等方式组成，也可以认为是基于 5G网络基础设施形成虚拟专网提供网络服务的一种方式。（2）数据安全：5G 数据通常包括与用户相关的身份标识信息、网络位置信息、业务数据，以及网络设备信息、管理运营等网络资产和管理数据。数据安全主要是指应用数据在 5G 网络基础设施内部采集、处理、存储、共享和销毁等生命周期的安全。（3）运维安全：通过安全的运维管理提高 5G 网络的运行质量，实现设备资产清晰、网络运行稳定有序、事件处理及时合理和安全措施落实到位，从而提升网络支撑能力，提高网络管理水平。运维管理安全需要确保5G基站、网元、NFV基础设施的硬件和软件运行的可靠性、保密性

36、和完整性。5G安全运维的对象主要为NFV基础设施、SDN、5G 网元、网络切片、MEC的硬件和软件等。（4）安全管理：5G 安全管理主要是对 5G 网络设备、人员、流程等进行安全管理，并按照“三同步”要求满足行业安全监管要求，包括安全风险评估、产品生命周期管理与检测、安全定级备案、威 11 胁与漏洞管理、应急响应等。（5）安全技术：安全技术通常用于支持上述安全内容的实现，包括网络隔离、密码算法、访问控制、隐私保护、态势感知以及安全检测等技术，这些安全技术也是知识库中安全措施的基础。图 3-1 5G安全范围视图 3.2 面向的面向的 5G 资产资产 5G 网络安全知识库框架将围绕 5G 端到端网

37、络资产类型，将安全措施划分为 L1、L2 和 L3 共 3 个层面。其中 L1 层主要面向 5G 网络 基 础 软 硬 件 设 施，包 括 物 理 机/虚 拟 机、NFV、Hypervisor/K8s/docker、SDN、数据库以及安全组件，这些软硬件是支撑 L2 层 5G 网络功能部署的基础设施，主要由设备商、安全厂商和其他第三方服务商提供；L2 层主要包括 5G 终端、接入网、传输网、MEC、核心网、切片、安全管理、运维管理、互联互通等，主要资产由通信设备商提供，由运营商进行建设、运营和维护；L3 层主要关注上层 5G 应用安全，包括应用数据、应用 APP 以及应用平台等，相关应用由运营

38、商、互联网服务提供商以及垂直行业提供。5G 网络安全知识库将重点对 L2 和 L3 层资产的安全防护措施进行描述，针对 L1 层资产的安全措施将融合在 L2 安全措施中进行描述，例如在 5G 核心网安全措施中会重点阐述 NFV的安全防护措施。12 图 3-2 5G知识库描述范围 3.3 描述方式描述方式 5G 网络安全知识库采用表 3-1 的方式进行描述，主要包括措施编号、措施名称、安全需求、措施作用（CIA）、措施详细描述、作用资产、实施主体、是否有标准要求以及实施难度等方面。表 3-1 5G网络安全知识库描述方式 措施编号 安全措施的缩略语序号 措施名称 安全措施的名称 安全需求 描述该安

39、全措施满足哪些 5G安全需求 措施作用（CIA）描述安全措施措施在机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）方面的安全作用。机密性 完整性 可用性 措施详细描述 措施编号+子序号：安全子措施的详细实施情况。作用资产 安全措施作用于哪些 5G资产（具体资产参考图 3-2）。实施主体 运营商 措施编号+子序号 设备厂商 措施编号+子序号 服务提供商 措施编号+子序号 监管部门 措施编号+子序号 安全厂商 措施编号+子序号 是否已有标准要求 是/否 标准名称 国际和国内发布相关标准名称 实施难度 通过 5 级区分本措施在相关资产实施的难

40、以程度。灰色部分越多，措施实施难度越大，实施主体需要更多的CAPEX和 OPEX投入。13 3.4 描述内容描述内容 5G 网络安全知识库采用表 3-1 的方式，重点针对图 3-2 中的 L2层资产的安全措施进行描述，包括 8 大安全模块、45 项安全措施、188 项安全子措施，整体措施编号和名称如图 3-3 所示，详细安全措施见附录 A。图 3-3 5G网络安全知识库措施描述内容 14 4 5G 应用安全知识库 4.1 5G 融合融合应用安全特点应用安全特点 4.1.1 5G 融合应用安全需求 为了保障 5G+行业应用的安全部署、运行和管理，IMT-2020（5G）推进组于 2020年 10

41、月发布面向行业 5G 安全分级白皮书，深入分析和识别行业场景下对 5G 承载网络的差异化需求，主要包括基本需求和行业网络高级安全需求。其中基本需求主要是业务场景、安全保障目标与传统公众通信网络相同的安全需求，通过继承当前通信网络安全保障技术可满足。高级安全场景是为应对新的业务场景、高资产价值带来的安全风险，在基本需求基础之上的安全需求，需提供更高的安全保障能力才能满足。安全需求主要包括终端身份安全和访问授权、网络安全隔离、数据机密性和完整性、无线接口通信安全、隐私安全、网络韧性、网络设备安全可信、技术自主可控和产品生命周期安全等九个方面，如表 4-1 所示。4.1.2 行业应用安全需求与 5G

42、 安全能力的映射 5G 网络安全知识库是为应用提供一张安全的基础网络，但 5G网络承载的行业应用因业务场景特点、组网方式和安全要求不同，针对 CIA 三要素的安全策略也存在差异化需求，例如工业互联网场景要求高可用性、数据不出园区保护本地网络和数据安全，智慧医疗场景要求高度的用户隐私数据保护，车联网要求匿名认证、防跟踪等措施保护用户隐私，智慧电力场景要求严格的网络隔离确保生产业务安全。通常 5G+行业应用重点涉及以下几个维度的安全问题：（1）5G 网络基础设施安全。垂直行业往往关注运营商的 5G 网络是否足够安全、可靠的承载应用业务，例如运营商是否能配置足够安全的网络切片供多垂直行业用户使用、本

43、地边缘平台的数据防 15 护措施是否完善等。因此，需要通过 5G 网络安全知识库中的 8 项措施对 5G接入网、边缘计算平台、核心网等网络基础设施进行保护，为承载垂直行业应用提供安全的“底座”和通道。表 4-1 5G融合应用安全需求 需求分类需求分类 基本需求基本需求 行业行业网络高级安全需求网络高级安全需求 终端身份安全和访终端身份安全和访问授权问授权 终端身份安全存储、和网络进行双向认证 终端身份和设备绑定 网络分域、安全隔网络分域、安全隔离离 安全域间技术隔离 数据不出园区 不同安全等级业务数据隔离 数据机密性和完整数据机密性和完整性保护性保护 通过密码算法保障业务数据传输和敏感数据存储

44、的机密性和完整性 端到端业务数据传输机密性、完整性保护 无线接口通信保护无线接口通信保护 无线接口数据的机密性、完整性 抗量子算法保障机密性、完整性 防御非法网络劫持 保障网络免受无线电干扰 检测和识别未经授权的无线设备 检测和防御无线接口（D）DoS 攻击 隐私保护隐私保护 在隐私数据收集、传输、处理、存储、转移、销毁等过程中保证相关法律法规中隐私保护要求的落实 无线接口隐私保护、防跟踪 网络韧性网络韧性 网络集中管理，检测攻击后上报安全告警、安全/操作日志支持审计等 对 APT(高级持续性威胁)攻击、未知威胁的防御和态势感知；对于有业务连续性要求的关键业务，在攻击发生时需保持核心业务的运行

45、，以及其他业务的快速恢复 网络设备安全可信网络设备安全可信 物理安全、接口访问控制、软件数字签名和关键文件完整性、机密性保护 具备基于硬件可信根的安全可信链，保障从系统启动到动态运行的系统可信 技术自主可控技术自主可控 满足 3GPP 标准、国家通信标准和设备准入标准 在关系国家安全的网络中，需使用国密算法等自主可控技术保护数据和网络安全 产品生命周期安全产品生命周期安全 满足 3GPP 标准、国家通信标准和设备准入标准 关键基础设施通信网络产品在产品设计、实现、运行、运维全生命周期构建可信设备能力 16 （2）网络边界安全防护。5G 虚拟专网、共享切片、资源云化等行业应用的服务模式导致出现更

46、多虚拟网络边界（例如边缘计算云平台上的虚拟资源之间、APP 之间等），运营商与垂直行业之间需要明确在混合组网、共享云平台等场景下的安全责任边界划分，并在物理边界和虚拟边界部署入侵检测、安全隔离等安全防护措施。（3）网络能力开放安全。3GPP标准定义了 5G网络能力开放功能，支持通过能力开放平台的 API 接口对外部提供调度、流控、监控、安全保障等管控能力，但网络能力开放也导致北向接口的管理和传输面临安全风险，需要通过认证鉴权、安全传输等防护措施对开放接口进行安全保护，确保合法的垂直行业用户访问 5G 网络。（4）端到端应用数据安全。从信息安全三要素 CIA（机密性、完整性和可用性）来看，5G

47、网络与其他公共通信网络一样，需要保障垂直行业的数据在网络中传输、交换和存储的信息的机密性、完整性，不被未经授权的篡改、泄露和破坏，同时，保障系统连续可靠地运行，不中断地为上层应用提供通信服务。4.2 面向面向行业行业的的 5G 安全安全原子能力集原子能力集 为了满足 5G+行业应用的核心安全需求，需要对 5G网络的安全能力（Security Capability,SeCAP）进行原子化分解，并通过灵活的管理和编排组成最佳安全能力集合，实现“对症下药”。5G 应用安全知识库总结了当前满足行业安全需求的 5G 网络 9 大安全能力，并细分为 53 项安全原子能力，为满足 5G+行业应用不同的应用场

48、景的安全需求，提供细粒度、可定制、原子化、可编排的安全能力参考。4.2.1 SeCAP-1 端到端网络切片隔离能力 安全能力编号安全能力编号 SeCAP-1 能力名称能力名称 端到端网络切片隔离能力 17 安全能力目标安全能力目标 5G网络提供匹配垂直行业业务隔离安全需求的 5G网络端到端端切片隔离能力，从空口、传输、核心网等多个层面为行业应用提供安全的传输通道。能力详细描述能力详细描述 SeCAP-1-1：5G RAN 为应用业务流提供无线资源分配机制，包括不限于专用无线资源分配、基于 SLA服务等级的无线资源调度、共享的无线资源调度等方式。SeCAP-1-2：5G 传输网为应用业务数据提供

49、承载隔离机制，包括但不限于Flex-E硬隔离、VPN软隔离等。SeCAP-1-3：5G 核心网为行业用户提供网络功能切片隔离机制，包括不限于完全专用切片（NF 独享）、部分逻辑共享切片（共享部分 NF）、共享切片（共享所有 NF）。对于安全性和隔离性要求较高的切片，可单独部署 vDC 和主机组进行物理隔离，对于安全性和隔离性要求一般的切片，可规划单独的vDC，共用主机组进行逻辑隔离。SeCAP-1-4：5G 网络应能根据行业应用场景的网络和安全需求，通过切片管理平台灵活配置相应的切片隔离机制，根据业务安全优先级不同，切片隔离方式可参考下表。端到端位置端到端位置 基本基本切片隔切片隔离离-低 安

50、 全低 安 全需求场景需求场景 中等切片隔中等切片隔离离-中 安 全中 安 全需求场景需求场景 高级切片隔高级切片隔离离-高 安 全高 安 全需求场景需求场景 RAN QoS优 先级、无线资源共享 高 优 先 级QoS+无 线资源预留 载频独享的专用基站或小区 传输 VPN隔 离+QoS 隔 离调度 FlexE 接 口隔 离+VPN隔离 FlexE 接 口隔离+FlexE交叉 5GC To B 大 网NF共享 SMF/UPF逻辑资源独占专享+其他网元共享 SMF/UPF物理资源独占专享 所需的安全措施所需的安全措施 NS-2,NS-3,NS-4 18 垂直垂直行业主体措施行业主体措施 VER-