《IMT-2020(5G)推進組：5G行業專網安全技術研究報告（18頁）.pdf》由會員分享，可在線閱讀，更多相關《IMT-2020(5G)推進組：5G行業專網安全技術研究報告（18頁）.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、 AQ/R-0001-2022 I 5G行業專網安全技術行業專網安全技術研究研究 IMT-2020(5G)推進組 2022年4月 AQ/R-0001-2022 II 目 次 前 言 . III 1. 范圍 . 1 2. 縮略語 . 1 3. 5G 行業專網概述 . 1 3.1. 5G 行業專網的概念 . 1 3.2. 5G 行業專網的分類與架構 . 2 3.3. 5G 行業專網發展特點 . 3 4. 5G 行業專網面臨的安全風險 . 4 4.1. 公網共用模式下的 5G 行業專網面臨的安全風險 . 4 4.2. 混合共用模式下的 5G 行業專網面臨的安全風險 . 4 4.3. 獨立專用模式下的

2、 5G 行業專網面臨的安全風險 . 5 5. 5G 行業專網安全架構與保障措施 . 6 5.1. 5G 行業專網安全架構 . 6 5.2. 5G 行業專網安全技術保障措施 . 8 5.3. 5G 行業專網全生命周期安全管理保障措施 . 10 6. 展望 . 11 附 錄 A. 12 AQ/R-0001-2022 III 前 言 隨著5G網絡商用化進程加速，各垂直行業對基于5G網絡實現轉型升級的需求逐漸增加，面對差異化網絡需求， 以業務場景為驅動的5G行業專網建設也加快進度， 為行業數字化轉型賦能。 5G行業專網是基于5G網絡向行業用戶提供能滿足其業務要求的高質量專用網絡， 在5G行業專網高速發

3、展的同時， 行業用戶也對其安全性提出了較高要求， 因此迫切需要開展5G行業專網安全研究，同時也為做好5G行業專網安全同步規劃、同步建設、同步運行奠定基礎。 本報告闡述了5G行業專網的概念、分類、架構和發展特點，分析了5G行業專網面臨的安全風險，提出了不同種類5G行業專網的安全需求。面向不同安全需求，本報告研提了5G行業專網的通用安全架構， 以及不同種類專網的安全保障措施， 并針對5G行業專網的發展提出了相關建議。最后，報告介紹了智慧化工、車聯網、智慧電網等三種典型5G行業專網場景下的安全解決方案，為5G行業專網安全架構的落地推廣提供參考。 本報告由IMT-2020(5G)推進組提出并歸口。 本

4、報告起草單位：中國信息通信研究院，中國電信集團有限公司、中國移動通信集團有限公司， 中興通訊股份有限公司， 大唐電信科技產業集團， 鄭州信大捷安信息技術股份有限公司，杭州安恒信息技術股份有限公司 本報告主要起草人：劉婧璇 楊紅梅 焦楊 馮澤冰 沈軍 呼博文 邱勤 于樂 徐思嘉 王國宇 馬禹晟 杜海濤 游世林 徐高峰 滕志猛 徐暉 畢曉宇 劉為華 劉獻倫 康亮 李劍鋒 AQ/R-0001-2022 1 5G 行業專網安全技術研究 1. 范圍 本報告闡述了5G行業專網的概念、分類、架構以及發展特點，分析了5G行業專網面臨的安全風險，提出了不同種類5G行業專網的安全需求。面向不同安全需求，提出了5G

5、行業專網的通用安全架構，以及不同種類專網的安全保障措施，并介紹了智慧化工、車聯網、智慧電網等三種典型5G行業專網場景下的安全解決方案，為5G行業專網安全架構的落地推廣提供參考。 本報告主要適用于專用于特定行業或企業的5G移動通信網絡。 2. 縮略語 下列縮略語適用于本報告。 縮略語 中文 英文 5QI 5G QoS標識符 5G Quality Identifier CN 核心網 Core Network MEC 多接入邊緣計算 Multi-Access Edge Computing MEP MEC平臺 MEC Platform MTN 城域傳送網 Metro Transport Network

6、 NR 新空口 New Radio PNI-NPN 非獨立的非公共網絡 Public Network Integrated Non-Public Network PKI 公鑰基礎設施 Public Key Infrastructure PRB 物理資源塊 Physical Resource Block QoS 服務質量 Quality of Service RB 資源塊 Resource Block RAN 無線接入網 Radio Acess Network SNPN 獨立的非公共網絡 Stand-alone Non-Public Network UPF 用戶面功能 User Plane Fu

7、nction VPN 虛擬專用網絡 Virtual Private Network V2X 車用無線通信技術 Vehicle to Everything 3. 5G 行業專網概述 3.1. 5G 行業專網的概念 5G以其超千兆帶寬、 毫秒級時延和超高密度連接能力， 將通信服務對象擴展至人與物、物與物， 開啟了萬物互聯的新時代。 作為信息通信類基礎設施， 5G將廣泛滲透到工業、 醫療、交通運輸等各個行業，賦能各行業的智慧化轉型，催生新業態、新需求，孕育新模式、新產品、新服務，持續帶動產業升級和行業快速發展。 AQ/R-0001-2022 2 隨著產業數字化進程加快，制造業、醫療、能源、交通等各行

8、各業都在積極探索其數字化轉型道路，當前5G超大帶寬、超低時延、海量連接的特性，高度契合工業、自動駕駛等場景對無線網絡能力的需求， 將有效使能行業數字化建設。 而行業用戶的生產園區及業務場景對網絡覆蓋質量、時延、上行容量、數據保密性、設備移動性、網絡控制權等方面的要求均高于公共大網， “統一接入、 單一效能”的傳統網絡運營模式已經無法滿足5G時代行業用戶對智能網絡連接的需求。5G行業專網的建設與部署，為行業用戶提供定制化、綜合型、靈活便捷的網絡接入方案，滿足行業用戶的差異化需求，為工業互聯網、車聯網等新型基礎設施建設和融合創新應用提供了關鍵支撐和重要機遇。 目前， 全國5G行業專網數量持續增長，

9、 截止到2021年底，我國5G行業虛擬專網建設數量超過2300張。 5G行業專網， 指專用于特定行業或企業的5G移動通信網絡。 5G行業專網具有以下特點：一是高可用性，5G專網可以提供滿足行業用戶需求的網絡服務，二是高可靠性，5G專網可持續且可靠傳輸一定數量業務， 并具有足夠的覆蓋范圍與業務切換能力， 三是高安全性， 5G專網可在5G網絡基礎安全能力的基礎上，為行業用戶提供定制化的高安全能力與保障，確保行業數據安全。 3.2. 5G 行業專網的分類與架構 從應用場景、 地理位置、 服務范圍等角度出發， 5G行業專網為解決地域多分布及業務多樣性承載的痛點，按需保障行業應用的業務連續性、網絡覆蓋能

10、力、確定性時延以及靈活的業務部署等更高的性能要求。3GPP定義了兩種5G專網的部署模式，包括獨立的非公共網絡（Stand-alone Non-Public Network, SNPN）和非獨立的非公共網絡（Public Network Integrated Non-Public Network, PNI-NPN）。結合網絡建設模式，5G行業專網可細分為公網共用模式、混合共用模式和獨立專用模式三類，覆蓋行業用戶的局域和廣域業務需求。 1.公網共用模式 公網共用模式是指基于5G公共網絡資源，如圖1所示，利用Qos（服務質量）、網絡切片、邊緣計算等技術，向行業用戶提供的能滿足其業務及安全需求的高質量

11、專用虛擬網絡。該模式適用于廣域專網業務， 可用于智慧城市、 新媒體、 智能交通等場景， 具有服務范圍廣、高靈活性、成本低、建設周期短的優勢。 圖1 公網共用模式5G行業專網架構圖 2.混合共用模式 混合共用模式是指復用部分公網資源， 并根據行業用戶需求將部分網絡資源由行業客戶獨享的5G專用網絡，如圖2所示。5G混合專網的核心網網元UPF為行業用戶私有，滿足用戶數據不出園、 超低時延等業務需求， 無線基站及其它核心網網元可根據行業用戶需求靈活共用公網資源，適用于政務、工業園區、工廠等有時延要求和數據安全隔離要求的垂直行業領域。 AQ/R-0001-2022 3 圖2 混合共用模式5G行業專網架構

12、圖 3.獨立專用模式 獨立專用模式是指采用行業專用頻率或全部為自有網絡設備， 為行業建立與公網完全隔離的行業專網，如圖3所示。該模式可實現對行業用戶數據的高度保障，適用于高精制造、軍隊、電力等專屬需求大、安全要求高、業務連續性要求高等場景。 圖3 獨立專用模式5G行業專網架構圖 3.3. 5G 行業專網發展特點 1.以網絡切片、邊緣計算為技術支撐，構建行業差異化業務承載服務能力 5G行業專網的最終目標是要實現5G網絡低成本、高價值地下沉到行業企業，網絡切片和邊緣計算作為關鍵支撐技術， 將助力行業構建多業務承載服務能力， 更好地保障行業專網資源和質量。網絡切片是5G行業專網提供特定網絡能力的、端

13、到端邏輯專用網絡的關鍵技術。網絡切片基于統一基礎設施組合無線接入網、傳輸承載網、核心網和運營等各領域資源及能力， 通過將物理網絡切割成多個端到端、 跨地域的5G專網形式， 保障虛擬專網資源和公眾網絡的邏輯隔離甚至物理隔離， 形成最優適配行業用戶不同應用場景需求的部署策略， 實現多類業務同時按需承載。 多接入邊緣計算 （MEC） 通過將5G用戶面功能UPF下沉至園區，靠近用戶處理業務，配合內容、應用與網絡的協同，提供低時延且安全可靠的服務，達成5G行業專網極致的用戶體驗。 目前MEC關鍵技術主要包括計算卸載技術、 無線數據緩存技術、基于SDN的本地分流技術以及基于MEC的網絡能力開放。 邊緣計算

14、可在工廠、 園區等區域內構建一種獨享或部分獨享的虛擬網絡資源，從而為不同類型業務配置相應的網絡服務體系。 2.多種行業專網建設方式并存，按需定制部署方案 根據網絡定制化的程度， 行業專網目前形成公網共用模式、 混合共用模式和獨立專用模式三類建設模式。從應用場景、地理位置、服務范圍等角度出發，5G行業專網為解決地域多分布及業務多樣性承載的痛點，按需保障行業應用的業務連續性、網絡覆蓋能力、確定性時延以及靈活的業務部署等更高的性能要求， 以同時覆蓋行業用戶的局域和廣域業務。 在業務限定于特定地理區域內的應用場景中，行業的核心業務不可出園區，主要包括制造、鋼鐵、 AQ/R-0001-2022 4 石化

15、、港口、教育、醫療等園區/廠區型企業，綜合考慮行業用戶的核心業務保障需求和網絡建設及運維成本， 可不同程度地將核心網網元進行下沉， 保障行業業務的數據流和網絡控制信令不出園區。在基于運營商5G端到端公網資源形成的專網中，通過網絡虛擬或物理切片等方式實現不同行業不同業務的安全承載，具有覆蓋廣、跨域大的特點，主要應用場景包括交通、電力、車聯網以及跨域經營的特大型企業。 3.具備對外開放能力，支撐行業用戶實現運維管理自主化 從行業用戶角度來看，5G網絡需具備一定的自運營和自運維能力，以滿足網絡資源靈活配置、自主網絡運營、業務變更調整等需求。5G行業專網通過提供對外能力開放，構建標準API接口及服務，

16、將5G網絡的配置管理、用戶開戶、網絡監測、網絡能力調用等網絡運營運維能力集中統一提供給行業用戶， 提升行業用戶通過平臺實現對網絡的使用效率、 便捷度和掌控能力。主要包括三方面功能：一是自服務能力，針對行業專網客戶，通過探索運營商IT能力的開放，實現自主開戶和認證、自主管理流量等；二是自運維能力，封裝切片管理能力，探索針對行業客戶在切片范圍內自主運維專網、監測運行狀態和告警、申請專家協查等模式；三是自管理能力，企業根據開放的API，自主管理虛擬專網的配置策略、自主修改一些與本地網絡有關的配置數據，提升企業專網使用便捷度。 4. 5G 行業專網面臨的安全風險 4.1. 公網共用模式下的 5G 行業

17、專網面臨的安全風險 在公網共用模式中，5G行業專網的硬件與軟件資源與公網共用，因此與公網網絡資源的隔離是此模式下需重點關注的問題。 若網絡資源隔離不徹底、 承載和運維業務分權分域不完善，則會將公網面臨的安全風險引入到行業專網中，行業專網也將面臨數據泄露、跳板攻擊等安全風險。 終端接入風險 通常面向不同行業用戶的專網對應的接入終端層是獨立的，若公網共用模式下的5G行業專網的用戶接入認證流程不完善， 將面臨著非法終端的仿冒接入、 其他虛擬專網終端的誤入等風險。 資源隔離風險 不同行業專網邊緣應用運行空間或占用網絡資源的隔離不徹底 （包括邏輯隔離和物理隔離），網絡將面臨異常干擾、跳板攻擊等安全風險。

18、若網絡資源控制措施不到位，某個行業專網可能會占用大量網絡資源，從而影響到其他行業專網的正常運行。 數據泄露風險 行業數據是行業里重要的數字資產，由于5G行業專網同時也可以承載公網業務數據，若隔離不徹底，會導致行業用戶的業務數據泄露，或與其他的公網數據混淆。 因安全漏洞被攻擊可能會導致專網中部分共用的軟件或硬件資源發生功能故障、不同5G行業專網間的邏輯及物理隔離空間失效等問題，從而導致相關的行業業務部分功能失效、錯誤運行等后果。因此公網共用模式下5G行業專網的核心安全需求是做好5G網絡資源的邏輯隔離和物理隔離、承載和運維業務的分域管理和權限分隔等，確保5G網絡的正常運行。 4.2. 混合共用模式

19、下的 5G 行業專網面臨的安全風險 5G混合共用模式的專網會根據行業訴求下沉部分網絡資源給行業客戶獨享。由于下沉網絡資源連接了公網核心網（5GC）和用戶企業網，且下沉網絡資源的產權和運維權限有可能歸屬用戶，如果在下沉網絡資源和用戶企業網之間、下沉網絡資源和公網5GC之間缺乏有效的安全管控措施， 會導致面向專網甚至是公網5GC的安全風險。 5G混合共用模式的專網除了面臨著終端接入風險外，還面臨著以下安全風險： AQ/R-0001-2022 5 網絡權限控制風險 網元攻擊風險在下沉網元與用戶企業網之間， 如果沒有嚴格限制可以互訪的IP地址和協議，企業網用戶可以非授權地訪問到下沉網元。一旦下沉網元存

20、在安全漏洞，有可能會被惡意用戶利用， 用于攻擊甚至是控制下沉網元。 同時下沉網元負責業務數據轉發和控制信令透傳，如果缺乏對數據傳輸、存儲、處理的安全保護，可能被惡意用戶竊取，導致敏感信息的泄露。 網元隔離風險 在下沉網元和公網5GC之間，如果缺乏有效的身份鑒權機制，非授權虛假設備可與公網5GC進行互通。若在轉發層面不做隔離控制，非授權的下沉網元可訪問到公網5GC的所有網元，增加了公網5GC的安全暴露面。如果缺乏有效的路由信息控制措施，可能導致下沉網元能獲取到公網5GC的全部路由信息。在互通接口不做流量限速時，若下沉網元向公網5GC大量發送信令包，可形成對大網的拒絕服務攻擊等。 邊緣物理安全風險

21、 當下沉網元（UPF，SMF等）、MEC業務節點部署在客戶側時，其物理安全訪問控制如果做得不到位，可能存在較高風險，直接影響網元與MEC的可用性、可信性。主要表現在：惡意人員可能拆解設備，惡意替換設備器件，運行惡意軟件包；惡意人員可能通過物理端口非法接入設備和系統，進行非授權操作，竊取敏感數據等；惡意人員可能對設備進行物理破壞，影響網元與MEC可用性等。 MEC隔離風險 由于MEC應用需要與邊緣UPF互通， 如果隔離控制不當， 可能存在MEC應用對UPF的攻擊，進而影響到5G核心網。如果UPF跟MEC應用部署在同一個虛擬化平臺上，UPF甚至可能被MEC應用擠占資源，影響轉發性能。另外，為了滿足

22、客戶的個性化服務，可能需要進行云邊協同， MEC應用可能會調用5G核心網的某些能力， 例如位置信息等， 如果訪問控制不當，可能存在MEC應用對5G核心網的安全威脅。 數據泄露風險 若專用與共用網絡間的多樣化數據安全保護機制的銜接能力不足， 則專網數據將面臨著在傳輸過程中被泄露、被篡改等安全風險。 針對5G混合專網面臨的安全風險，需要在網絡層上做好下沉網元與用戶企業網之間、下沉網元與公網5GC之間的安全控制；在邊緣層保障部署在客戶側的MEC系統的物理安全，同時做好MEC與5G核心網的安全隔離和訪問控制，降低安全威脅被引入5G核心網的風險。 4.3. 獨立專用模式下的 5G 行業專網面臨的安全風險

23、 獨立專用模式下的5G行業專網與公網完全隔離，其安全性不受5G公網影響，因此，5G獨立專用專網安全風險主要考慮網絡本身的穩定性、 可靠性和惡意攻擊給專網帶來的安全風險。5G獨立專用模式下的專網規模雖然小于5G公網，但也通常由統一數據管理（UDM）、5G核心網控制面（5GCCP）、用戶面功能（UPF）、MEC和5G基站（gNB）組成，5G網絡自身面臨的安全風險在5G獨立專網中仍然存在，包括終端接入安全風險、網絡鏈路安全風險、MEC、邊界安全和運維管理等。 終端接入風險 5G獨立專用模式下的5G行業專網對安全性的要求較高，若存在惡意攻擊，且網絡無線頻譜數據抗干擾能力不足以及小站抗破壞能力不足， 則

24、終端接入側將面臨非授權SIM卡接入、惡意終端用合法SIM卡接入、合法終端訪問非授權應用、從互聯網/企業網入侵控制終端、偽基站干擾等安全風險。 非法訪問風險 AQ/R-0001-2022 6 5G網絡基于虛擬化基礎設施構建，若虛擬化基礎設施自身存在安全漏洞，惡意攻擊者則可能通過安全漏洞進一步攻擊核心網， 5G專網將面臨著資源非法訪問、 資源濫用、 用戶面數據泄露與篡改等安全風險。 邊界安全風險 若存在惡意終端攻擊或安裝了不可信的第三方APP，則專網將面臨著私有云被攻擊、APP間惡意攻擊、遠程運維通道攻擊、MEC平臺被攻擊、跳板攻擊等安全風險，終端及MEC APP與企業內網間通信易被竊取、篡改，運

25、營商設備因此也面臨著被惡意攻擊的風險。 運維管理風險 若獨立網元缺乏安全態勢感知能力與可用性保障手段， 網絡安全運維能力不足， 一旦遭受攻擊、非授權訪問或違規運維，將可能導致整個專網無法正常運行。 5G獨立專網與公網完全隔離，因此需要重點關注的是專網本身的安全能力，結合用戶的增強安全需求， 提供定制化高可靠性的安全能力， 如通過開放部分安全數據以支撐態勢感知與邊界防護能力、接入終端的自主管理能力、數據不出園并可控可管可視、MEC上APP的安全合規等。 5. 5G 行業專網安全架構與保障措施 5.1. 5G 行業專網安全架構 為緩解5G行業專網面臨的安全風險，滿足不同部署模式下的行業專網安全需求

26、，結合多種行業應用場景的差異化環境，提出5G行業專網安全架構，如圖4所示。 圖4 5G行業專網安全架構 從網絡架構來看， 5G 網絡包括終端、 接入網、 核心網和上層應用。 對于行業專網來說，邊緣MEC和網絡切片也是重要組成部分。根據5G行業專網整體架構，其安全架構主要包括終端安全、接入網安全、核心網安全和平臺應用安全，以及端到端的數據安全、全生命周期的運維管理安全，具體內容包括： 1. 終端安全 5G終端是信息的發送端和接收端，通過傳感設備、感應設備等智能終端實現信息的采集和展示。 許多行業5G終端的計算和存儲資源有限， 同時對時延要求較高， 因此對安全策略和控制軟件的復雜程度有一定要求。

27、在5G行業專網中， 無論是終端位置、 狀態及分流需求相 AQ/R-0001-2022 7 對固定的場景，還是終端移動性較高的場景，都需要對終端進行接入認證、訪問控制，并確保終端身份的安全。 2. 接入網安全 5G行業終端與基站之間的空中接口，因面臨用戶數據竊聽與篡改、空口DDos攻擊、偽基站攻擊等風險，需要通過對基站設備保護、偽基站檢測系統部署、頻譜干擾檢測系統部署等措施，確保5G行業專網接入網具備物理安全、空口防干擾、接入網可用性等安全能力，給行業終端在接入過程中提供安全保護。 由于工業制造、增強現實/虛擬現實、自主駕駛等延遲敏感業務在垂直行業場景中的廣泛應用，5G MEC得到了大規模部署。

28、為了避免物理攻擊和網絡攻擊的跨網絡滲透和交叉感染，MEC自身的安全能力、MEC和企業網絡與運營商5G網絡的隔離十分重要，5G行業專網應具備物理設備安全防護、云基礎設施安全、MEC平臺安全、邊界防護、接口安全、應用安全等方面的能力。 3. 核心網安全 5G核心網的安全也是5G行業專網安全的重要一環，與5G網絡安全架構一致，5G行業專網也需從云基礎設施安全、網元身份保護、網絡能力開放安全、邊界防護等方面提升安全能力，在確保5G核心網網元本身安全能力的同時，關注到不同行業所用核心網資源間的隔離以及核心網與外部網絡的隔離，降低橫向入侵帶來的安全風險。 網絡切片是公網共用模式下的5G行業專網的重要組網方

29、式。為確保行業用戶所用切片的安全性， 應從切片認證、 切片隔離、 資源可用性保護、 用戶接入安全等方面提供安全能力。通過認證與授權確保只有授權的用戶才能接入網絡切片， 通過權限訪問控制保證網絡切片相關網元的安全，通過切片隔離與密鑰隔離確保網絡切片滿足安全隔離需求。 4. 平臺應用安全 平臺應用層是向行業用戶提供業務應用的平臺與軟件系統， 其安全性直接關系到各項業務的正常開展與運行，如智慧交通、遠程醫療、智慧礦山、智慧工業等。對于行業專網的平臺應用層安全，應注意應用賬戶的身份管理和訪問控制、業務平臺的安全防護、業務與應用軟件的安全加固。 5. 數據安全 5G行業專網數據通常包括與用戶相關的身份標

30、識信息、 網絡位置信息、 行業業務數據，以及網絡設備信息、管理運營等網絡資產和管理數據，其中，行業業務數據是行業用戶的重要核心資產， 數據安全性至關重要。 5G行業專網數據安全是指在5G網絡基礎設施內部采集、處理、存儲、共享和銷毀等全生命周期的安全，涉及到終端加密、傳輸加密、存儲加密、數據共享安全、數據隔離和行業數據脫敏等多方面。 6. 運維管理安全 網絡的安全運行離不開運維安全與安全管理，5G行業專網根據部署模式不同，部分網絡下沉到園區由行業用戶運維，運維安全需實現設備資產清晰、網絡運行穩定有序、事件處理及時合理和安全措施落實到位， 確保5G基站、 網元、 NFV基礎設施的硬件和軟件運行的可

31、靠性、保密性和完整性，從而提升網絡支撐能力。安全管理是對5G網絡設備、人員、流程等進行安全管理，并按照“三同步” 要求滿足行業安全監管要求，包括安全風險評估、產品生命周期管理與檢測、安全定級備案、威脅與漏洞管理、應急響應等。 AQ/R-0001-2022 8 5.2. 5G 行業專網安全技術保障措施 5.2.1. 公網共用模式下的 5G 行業專網安全保障措施 面對公網共用模式下的5G行業專網的核心安全需求，需重點做好終端接入控制、切片隔離、 切片安全管理等安全能力， 實現5G網絡資源的邏輯隔離和物理隔離、 承載和運維業務的分域管理和權限分隔。 終端接入控制 通過5GC/AAA實現終端二次認證、

32、 通過網絡數據分析功能網元 （NWDAF） /態勢感知等實現異常UE識別 。 在主認證階段，5G終端（如5G CPE/5G 攝像頭）與5G網絡進行雙向鑒權認證(5G AKA標準) ；在5GC配置IMSI與園區切片S-NSSAI對應關系，限制只有在園區IMSI清單內的終端才可以接入到切片。 在次認證階段，部署AAA服務器，采用IMSI（必選）、IMEI（必選）、 MSISDN (可選）、ULI (可選）組合檢驗的方式，對接入園區切片的終端進行次認證，企業可自主實現機卡綁定功能、接入位置控制功能。 在終端接入位置控制方面，借助5G網絡能力限制終端可接入園區網絡的位置?；谝苿泳W絡特征， 感知終端位

33、置信息， 將其作為終端接入認證的鑒權要素之一， 可有效增強5GtoB接入安全，可基于不同控制者、位置控制精度的要求進行配置；在次認證過程中，AAA 與智能安全網關聯動，安全網關通過基于角色細粒度訪問控制（RBAC）實現精細化的角色訪問控制能力，降低動態分配IP終端的訪問控制管理難度。 MEC內部APP隔離 通過對不同行業專網邊緣應用運行空間建立有效的隔離機制（包括邏輯隔離和物理隔離），避免異常干擾和跳板攻擊。MEC平臺內部服務于不同行業的應用APP應具備邏輯隔離措施，如虛擬防火墻、邊界訪問控制機制等，同時應對不同業務類型應用之間的隔離和互訪過程做安全監控。對MEC APP之間的網絡做安全隔離，

34、MEC APP之間的訪問應啟用授權機制。對MEC APP訪問MEP的資源情況進行實時監控，并對APP資源消耗做限制，避免資源過載影響使用。 用戶接入 在無線接入側，通過部署切片安全認證措施，保證合法的 UE 接入網絡切片。通過切片簽約校驗、切片選擇、授權和分組數據單元會話機制防止終端對切片的未授權訪問。 切片隔離 針對5G行業專網中的端到端切片，在無線接入、承載、核心等不同網絡域，都應做好隔離。在網絡側，通過部署切片之間、切片專屬部分或切片共享部分間在網絡層面的隔離控制措施，防止運行在統一的基礎設施資源上的切片間相互影響。采用 TLS 等認證機制，實現切片內 NF 與切片外公共 NF 間可信訪

35、問。為終端接入不同切片的通信配置不同的安全策略，為不同安全級別的切片設置不同的共用 NF。在切片內 NF間部署虛擬防火墻或物理防火墻，保護切片內網與外網的安全。通過網絡劃分、資源隔離、啟用 SBA 訪問控制來保證切片間 NF 的訪問隔離。 切片安全管理 切片管理系統使用雙向認證、授權機制，切片管理系統與切片網絡間通信需做完整性、機密性保護以及防重放攻擊。 支持切片租戶的分權分域， 不同租戶對其擁有管理權限的切片的管理操作、信息查看等行為應互相隔離。在切片生命周期管理中，切片模板配置等操作需要具備檢查與校驗機制，避免由于錯誤模板、錯誤人工配置，導致切片的訪問控制失效、數據傳輸與存儲存在安全風險等

36、。 AQ/R-0001-2022 9 資源可用性保護 應保障切片資源的可用性及行業用戶體驗，防止終端、漫游接口、基站和傳輸設備短時間內向網絡節點發送大量異常消息，消耗網絡切片資源，導致切片服務拒絕，甚至影響到其他切片的使用?？稍?gNB 與核心網之間、核心網與互聯網之間部署抗 DDoS 設備。在核心網控制平面部署安全邊緣保護代理（SEPP），過濾來自漫游網絡的攻擊信令報文。在核心網設備、抗 DDoS 設備內提供流量控制和 DDoS 攻擊模式包過濾機制，對攻擊流量進行識別和過濾。 5.2.2. 混合共用模式下的 5G 行業專網安全保障措施 混合共用模式下的5G行業專網中， 會出現以UPF、 UP

37、F與AMF/SMF等形態下沉的情況，做好下沉網元的物理安全保護的同時，需做好下沉網元與公網5GC間的安全控制，避免惡意用戶以下沉網元為跳板攻擊公網5GC， 控制內容至少應包括面向N4接口的轉發層面、 路由層面和業務層面控制，控制點可以考慮在公網的承載網或核心網。 物理安全 下沉到客戶側的MEC設備及相關網元應具備防拆、 防盜、 防惡意斷電、 防篡改等物理安全保護機制，關閉不用的網絡接口，管控本地加載系統路徑，不允許從外掛的存儲設備啟動系統，并對升級補丁和程序的來源和完整性進行檢測。在條件允許時，可使用可信計算保證物理服務器的可信，確保只有經過驗證的代碼才可加載、執行。 承載網安全控制 在轉發層

38、面，可在承載網連接下沉UPF的設備上通過訪問控制列表（ACL）方式進行控制，只允許下沉UPF與指定SMF之間的報文轉發控制協議（PFCP）報文通過，禁止下沉UPF訪問公網5GC的其它網元，防止下沉UPF被惡意控制后攻擊公網5GC網元。還應在承載網入方向對下沉UPF做流量限速，避免下沉UPF大量發送流量形成拒絕服務攻擊。 在路由層面，應向下沉UPF屏蔽除SMF以外的其它網元的路由信息，例如可將下沉UPF和SMF接入專用的VPN，使下沉UPF只能獲取到相關SMF的路由。 在業務層面，應開啟下沉UPF和SMF之間的雙向認證，避免假冒的UPF與SMF通信。同時應構建針對信令流量的檢測與阻斷機制，能還原

39、識別下沉UPF發出的異常包，并可通過發送RST包等方式進行封堵。 核心網安全控制 基于核心網的安全控制， 在核心網入口已有防火墻的情況下， 可通過該防火墻進行轉發層面的訪問控制。 在沒有防火墻時， 可在SMF上通過ACL或IP信息包過濾系統iptables等方式進行訪問控制； 但在同時下沉UPF、 SMF、 AMF等多個網元的情況下， 由于交互的網元增多，就需要在核心網的多種網元上開啟訪問控制， 運維復雜度會大大增加， 且有可能影響相關網元的性能。 核心網安全控制的另一種思路， 是在核心網引入類似SEPP或服務通信代理功能 （SCP） 、具備信令代理和安全控制功能的網元， 下沉網元只與該網元進

40、行直接交互， 并由該網元對下沉網元進行轉發、路由和業務層面的安全控制，降低對公網5GC可能造成的安全影響。 MEC訪問控制 為降低對5G核心網可能引入的安全風險， 需要對MEC節點到5GC的流量進行訪問控制。首先，邊緣UPF應設立訪問控制策略，禁止MEC應用主動向5G核心網發送報文。MEC調用5GC能力，應統一通過MEP的認證授權，由MEP統一提交申請。同時，MEP在接入5G核心網之前須經過全面的安全風險評估，且需對MEP到5G核心網的流量進行必要的訪問控制和安全檢測。 AQ/R-0001-2022 10 5.2.3. 獨立專用模式下的 5G 行業專網安全保障措施 5G獨立專網的安全需求一般較

41、高，需要重點關注的是專網本身的安全能力，結合行業用戶的增強安全需求，提供定制化高可靠性的安全能力。 終端接入控制 通過加入二次身份認證、雙向鑒權、接入控制等機制，保障終端接入安全。在核心網認證的基礎上，通過AAA服務器，對接入終端進行增強的次認證；通過5G AKA為歸屬網絡提供從訪問網絡成功認證UE的證據，防止仿冒終端接入5G網絡；通過封閉接入組（CAG）技術，限制特定物理區域內的合法終端接入專網。 特殊地， 針對安全等級很高的專網用戶， 可通過專用SIM卡、 定制化核心網與認證算法，確保終端接入與數據安全。 邊界防護 在MEC安全防護方面， 通過安全即服務方式防護App、 通過網絡審計/訪問

42、控制等手段實現流量出園及時告警?；竞蚆EC間部署防火墻進行網絡隔離，防外網攻擊，基于UE IP保護， 防惡意報文； 在無線回傳、 基站共享等場景下部署防火墻。 在5GC、 網絡管理系統 （NMS）和MEC間部署防火墻， 啟用IPsec保護，防止外網攻擊， 以及信令或網管指令被非法篡改。 防火墻可啟用智能分析特性， 以判斷MEC節點的業務數據出園情況。 同時， 在MEC上APP邊界防護方面， 結合EC云平臺安全能力虛擬私有云 （VPC） 與虛擬局域網 （VLAN） 隔離技術，部署防火墻，防止不同App之間的橫向攻擊。 在網絡邊界防護方面， 構建隔離區 （DMZ） 提供邊界防護， 并在DMZ設置

43、安全服務區，放置次認證AAA， 日志管理/態勢感知系統等， 在N6出口部署安全網關設備， 結合次認證AAA，實現基于角色的細粒度訪問控制（RBAC)。 安全管理 針對安全運營和服務保障，構建5G網絡的安全運維管理能力，確保企業5G專網的運維安全。通過堡壘機進行運維操作、記錄和審計，對運維管理流量進行加密，對管理面所有運維活動日志進行審計與態勢感知。 配備虛機和容器層面的安全監測機制， 在發現異常時可對虛機/容器進行隔離，并快速拉起新的虛機/容器，確保業務正常運行。 5.3. 5G 行業專網全生命周期安全管理保障措施 在對5G行業專網進行安全能力建設時， 應采取覆蓋行業專網生命周期的安全管理手段

44、。 在事前階段，基于分級安全設計要求，制定 5G 安全能力集的分級原則及策略，為行業專網提供模板化的安全能力集合，以最佳性價比方案滿足行業對網絡的安全需求。同時，構建完善的安全管理與檢查規定，針對機房安全，采用出入口控制系統、入侵報警、視頻監控等措施保證機房物理安全；通過使用雙路供電的措施，實現雙機熱備，確保在斷電或系統故障情況下能通過備份系統繼續對外提供服務， 保障5G行業專網可靠性； 針對安全防護系統、審計系統、設備安全進行定期巡檢，并建立應急響應制度。 在事中階段， 建立完善的 5G 行業專網安全態勢感知與管理體系， 通過涵蓋終端、 MEC、網絡切片、數據、應用等方面的 5G 行業專網安

45、全態勢感知系統，實時了解 5G 行業專網的整體安全態勢，并對安全風險進行識別與預測，確保及時有效地管理整個網絡；通過專網訪問控制監測系統，實現對網絡開放應用、開放對象、開放時間等因素的配置、監測與管理，落實日志記錄工作，確保 5G 行業專網在運行過程中的安全性。 在事后階段， 針對在監測過程中發現的安全風險及安全漏洞， 及時制定相關安全解決方案，并做好漏洞及資產管理，同時逐步完善更新安全評估工作要求、安全事件管理要求、信息安全應急響應計劃規范等相關文件。制定 5G 行業專網安全審計機制，根據既定策略，結 AQ/R-0001-2022 11 合記錄的已發生操作，分析計算并發現網絡安全風險，防范無

46、意的人為錯誤操作，保證專網系統安全運行，保護行業關鍵數據與信息安全。同時，定期對涉及行業專網建設、運維、使用等各個環節的相關人員開展安全培訓。 6. 展望 5G行業專網作為5G to B市場的重要組網方式，將深度賦能各行各業數字化轉型，保障5G行業專網的安全穩健發展，5G行業專網安全保障體系的構建至關重要。 面向5G行業專網的安全技術及管理體系亟需完善。加快5G安全核心技術攻關，完善安全技術及管理標準，推動面向垂直行業的5G應用安全相關標準落實，提升5G行業專網的基礎安全能力。在重點行業內，制定5G行業專網安全技術標準及安全管理要求，構建5G行業專網安全架構與安全防護體系，全面提升面向5G行業

47、的全生命周期安全保障能力。 重點行業專網安全示范與測試驗證亟需開展。 聚合基礎電信企業、 設備供應商與垂直行業力量，加快推進5G行業專網安全解決方案的制定，基于5G應用安全創新示范中心，在工業互聯網、車聯網等重點行業領域開展5G專網安全試點示范，對相關安全保障能力進行測試驗證，確保其安全性符合行業專網安全要求，積極推廣優秀的安全解決方案與最佳實踐，促進5G行業專網快速安全落地。 跨行業安全信息共享機制亟需構建。建立電信主管部門與垂直行業主管部門5G行業專網安全信息共享制度體系，通過多方及時的安全信息交換，實現行業在網絡安全風險識別、風險評估、 風險預防和風險控制環節的技術能力和資源優勢， 增強

48、對整個網絡空間安全防護和安全事件的識別能力。建立5G行業專網安全信息共享的組織機構與分析中心，結合激勵機制， 明確完整的行業專網安全信息共享流程， 提升垂直行業對5G專網安全風險的監測、 預警、控制和應急處置能力。 AQ/R-0001-2022 12 附 錄 A （資料性附錄） 典型 5G 行業專網安全解決方案 A.1 智慧化工 （1） 總體介紹 5G 智慧化工行業專網基于網絡切片、 邊緣計算、 室內高精度定位等 5G 網絡關鍵技術，通過無線物理資源塊（PRB）硬隔離切片方案，結合 MEC 云原生安全方案，實現敏感數據不出化工園區、 超低時延及超高帶寬， 承載了機器視覺質檢、 智慧 AGV、

49、園區高精度定位、IoT 物聯網、園區高清視頻監控等化工業務，打造了化工行業專網業務應用模式。 5G 網絡的引入，打破了原有相對封閉的化工園區網絡環境，化工園區的業務、管理數據與運營商的網絡數據匯聚在 MEC 上，面臨著較大的安全風險；5G 網絡切片為 5G+智慧化工不同業務提供差異化安全服務， 不同的網絡切片承載不同的 5G+智慧化工業務， 因此要實現不同類型業務之間的邏輯隔離，滿足控制業務端到端超低延時和高可靠性要求；MEC將承載重要化工業務數據流量，同時作為邊緣云還會承擔相關的化工業務以及開放網絡能力，例如室內高精度定位業務，所以同樣面臨傳統的各類網絡安全問題；5G+智慧化工數據將從傳統的

50、少量、單一、單向數據逐步發展為大量、多維、雙向數據，5G+智慧化工用戶多樣化、設備多樣化、業務多樣化、平臺多樣化的網絡發展趨勢，使得化工業務數據在用戶、設備、業務、平臺之間持續流動，導致傳統網絡安全邊界模糊，其遭到攻擊影響到數據的安全性的風險增加。 針對 5G 智慧化工行業專網面臨的安全風險，要通過網絡切片安全隔離、MEC 安全防護、端到端數據安全保護來保障 5G+智慧化工專網安全運行?？紤]到性能、成本、部署靈活性要求等多種因素，還需要綜合增強 MEC 的安全防護能力，包括物理環境、網絡、系統及平臺、業務與應用等安全防護。 （2） 安全方案 為滿足上述的安全需求， 通過基于業務優先調度、 多層