1、5G專網安全技術白皮書5G專網安全技術白皮書中國聯合網絡通信有限公司廣東省分公司2022年12月5G專網安全技術白皮書參與編寫單位：參與編寫單位：中國聯合網絡通信有限公司廣東省分公司中國聯合網絡通信有限公司廣東省分公司中國聯合網絡通信有限公司研究院中國聯合網絡通信有限公司研究院中訊郵電咨詢設計院有限公司中訊郵電咨詢設計院有限公司中興通訊股份有限公司中興通訊股份有限公司深信服科技股份有限公司深信服科技股份有限公司專家顧問：莫俊彬、潘桂新、徐雷、馮銘能、郝振武、張瑜編寫組成員：李文彬、彭健、張曼君、聶勛坦、謝澤鋮、郭新海、賈寶軍、韋秀林、林友建、張哲、徐高峰、張可原、趙馬煜、曾金杯、封華進前言隨著

2、我國5G規模商用，5G專網憑借優秀的通信性能、靈活的組網部署、差異化的能力定制，在工業制造、能源、礦山、交通、物流、醫療、教育、媒體娛樂等領域越來越多的被應用，持續賦能千行百業數字化應用場景創新及信息化業務演進，加速行業數字化智能化轉型。5G專網給行業客戶帶來優質服務、高效生產、智能業務的同時，也帶來了潛在的安全風險。5G專網涉及多個安全域，在滿足行業應用需求、引進新技術、提高生產效率和服務水平的同時，也打破了原本封閉的網絡環境，使得網絡邊界變得越來越模糊，因此，需要針對不同行業應用場景部署滿足行業應用需求的安全能力，為行業客戶提供更全面的安全保障。為了保障5G的安全發展，國家高度重視，在政策

3、上給予了大力支持。工業和信息化部發布了“十四五”信息通信行業發展規劃，要求加快行業虛擬專網落地，全面加強網絡和數據安全保障體系和能力建設，持續提升新型數字基礎設施安全管理水平，打造國際領先的5G安全保障能力，全面構建基礎安全管理體系；并聯合十部門在 5G應用“揚帆”行動計劃（2021-2023 年）中，明確了未來我國5G發展的目標和重點任務。網絡安全是國家安全的重要基石，對5G專網來說，如何滿足我國相關安全政策、行業標準、規范要求，貫徹落實黨中央、國務院決策部署，解決5G專網的安全問題，建立主動安全防御體系，進一步保障行業客戶的利益，已成為5G專網需要解決的核心問題之一。本白皮書將重點梳理5G

4、專網安全訴求，分析各類安全風險產生的原因，提出端到端的安全解決方案建議，為5G專網安全技術實施與行業應用場景落地提供具有建設性意義的參考。5G專網安全技術白皮書目錄一、5G專網發展概述.11.15G專網發展現狀.11.2中國聯通5G行業專網介紹.2二、5G專網安全訴求及風險分析.32.15G相關安全政策與標準.32.25G專網總體安全風險分析.4三、面向5G專網,構建端到端的安全解決方案.63.15G專網安全體系通用架構.63.2終端安全.73.3網絡安全.83.4MEC安全.103.5邊界安全.123.6專網管理安全與運維安全.12四、5G專網安全應用案例探討.144.15G工廠制造基地安全

5、應用案例.144.25G智能駕駛示范區安全應用案例.154.3鋼廠5G+工業互聯網安全應用案例.164.4廣東聯通集約化云安全應用案例.17五、總結與未來展望.18附錄1.19附錄2.20附錄3.225G專網安全技術白皮書101015G專網發展概述1.15G專網發展現狀隨著中國聯通發布5G行業專網產品體系2.0、中國移動發布5G專網技術體系2.0，5G專網已逐步從1.0時代向2.0時代邁進，網絡形式由To B通用網絡向個性化定制的網絡演進。截止2022年，我國三大運營商均已推出了擁有自己特色的5G專網服務產品，并建成了大量的商用行業5G專網，實現在工業制造、電力、醫療、交通、港口、物流、教育等

6、行業廣泛部署，并實現多個技術突破和成功案例。以中國聯通為例，中國聯通推出的5G專網產品體系2.0“5G專網PLUS”,實現網絡跨越、行業跨越、服務跨越三大跨越，提供了更強網絡、更懂行業和更優服務，構建了基于流量和切片模式、基于網絡+平臺+應用模式、網絡+平臺+集成服務模式等3種商業模式，分別滿足5G To B客戶的不同需求，以5G專網帶動行業DICT的收入增長。通過布局5G“7+9+9”行業應用，深耕重點垂直行業，匯聚科技創新能力，集結行業專家，聚合生態力量，面向全國一點支撐，基于5G、“云大物智鏈安”等自主能力，錘煉“專精特新”的“獨門絕技”，推進創新鏈、產業鏈、價值鏈融合發展。在數字政府領

7、域中，中國聯通與廣東政數局合作，打造了全國首個省級5G政務專網，創新性地推進了廣東省5G基層治理、5G智慧防疫、5G智慧應急、智慧城市管理等多個應用場景落地，促進5G技術與政務服務的深入融合，不斷地助力廣東政數局提升政府公共服務、社會治理的數字化、智能化水平。當前我國5G網絡覆蓋廣度、深度持續提升，邊緣計算和智能網絡切片技術不斷進步、融合，5G專網能力不斷增強，5G專網作為數字化轉型的新引擎，將持續賦能千行百業數智化轉型升級、拓展生產效能。5G專網安全技術白皮書21.2中國聯通5G行業專網介紹5G網絡演進的趨勢是向網元虛擬化、架構開放化、編排智能化方向發展，這為5G專網服務能力的靈活化、定制化

8、提供了有力的技術保障，以中國聯通5G專網產品為例，5G專網產品主要包括：5G虛擬專網、5G混合專網以及5G獨立專網。1.2.11.2.1 5G5G 虛擬專網虛擬專網5G虛擬專網產品是中國聯通基于5G 公眾網絡資源，利用端到端 QoS 或切片技術，為客戶提供一張時延和帶寬有保障的、與中國聯通公眾網絡普通用戶數據隔離的虛擬專有網絡，網絡架構如下圖所示：圖1-1 5G虛擬專網網絡架構圖1.2.21.2.2 5G5G獨立專網獨立專網5G 獨立專網產品采用專有無線設備和核心網一體化設備，為行業用戶構建一張物理封閉、低時延、高帶寬的基礎連接網絡，實現用戶數據與中國聯通公眾網絡數據完全隔離，網絡架構如下圖所

9、示：圖1-2 5G獨立專網網絡架構圖1.2.31.2.3 5G5G混合專網混合專網5G 混合專網產品采用核心網控制面共有化部署，行業用戶UPF網元私有化部署，無線基站、核心網控制面網元根據客戶需求靈活部署的模式，為用戶提供部分物理獨享的 5G 專用網絡。滿足行業用戶大帶寬、低時延、數據不出園區的需求。網絡架構如下圖所示：圖1-3 5G混合專網網絡架構圖5G專網安全技術白皮書302025G專網安全訴求及風險分析2.15G相關安全政策與標準5G規模商用以后，國家層面高度重視5G行業的安全發展，陸續出臺了多項政策要求與標準，鼓勵5G行業發展與創新的同時把安全放在全新的高度，護航5G專網賦能各行各業數

10、字化轉型。2.1.12.1.1 安全政策安全政策中華人民共和國網絡安全法第二十一條明確規定：國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行保障網絡免受干擾、破壞或者未經授權的訪問，防止數據泄露或者被竊取、篡改的安全義務。信息安全技術網絡安全等級保護基本要求2.0版本將網絡基礎設施（廣電網、電信網、專用通信網絡等）、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統、采用移動互聯技術的系統等納入了保護對象。中華人民共和國數據安全法明確提出對數據全生命周期各環節的安全保護義務，加強風險監測與身份核驗，結合業務需求，從數據分級分類到風險評估、身份鑒權到訪問控制

11、、行為預測到追蹤溯源、應急響應到事件處置，全面建設有效防護機制，保障數字產業蓬勃健康發展。工信部印發的“十四五”信息通信行業發展規劃中明確要求全面推進 5G 網絡建設，加快 5G獨立組網（SA）規模優化產業園區、港口、廠礦等場景 5G 覆蓋，推廣 5G行業虛擬專網建設。要求運營商全面加強網絡和數據安全保障體系和能力建設，持續提升新型數字基礎設施安全管理水平，打造國際領先的 5G 安全保障能力，全面構建基礎安全管理體系；并嚴格落實數據安全法、個人信息保護法、關鍵信息基礎設施安全保護條例，積極推動電信法等立法工作，加快完善信息通信行業相關規章制度。十 部 門 印 發 的 5G 應 用“揚 帆”行

12、動 計 劃（2021-2023年）中提出開展提升5G應用安全提升行動，強化5G應用安全供給支撐服務；支持5G安全科技創新與核心技術轉化，鼓勵5G安全創新企業入駐國家網絡安全產業園區；加強5G安全服務模式創新，推動5G安全技術合作和能力共享，鼓勵跨行業、跨領域制定融合應用場景安全服務方案；加強5G網絡安全威脅信息發現共享與協同處置。2.1.22.1.2 安全標準安全標準針對5G網絡安全，其中3GPP發布了TS 33.501Securityarchitectureandproceduresfor5Gsystem，對5G安全體系結構概述，對5G網絡接入安全、網絡域安全、用戶域安全、應用域安全等等安全

13、域進行說明，規范了5G核心網絡周邊的安全實體、5G核心網絡中的安全實體，并制定了安全要求和功能的標準規范。中國通信標準化協會發布了YD/T 4056-20225G多接入邊緣計算平臺通用安全防護要求、YD/T3628-20195G移動通信網 安全技術要求，對5G的安全性進行了全方位的描述，涵蓋5G網絡的安全架構、安全需求、安全功能要求以及相關安全流程等方面的標準制定。5G專網安全技術白皮書42.25G專網總體安全風險分析5G專網的安全風險包含終端安全風險、網絡安全風險、MEC安全風險、邊界安全風險、管理安全風險。圖2-1 5G專網總體安全分風險分析2.2.12.2.1 終端安全風險分析終端安全風

14、險分析5G專網終端分為兩大類，分別是5G終端（如5G CPE、5G Dongle和物聯終端內的5G模組）和其它非5G終端（如普通攝像頭、PLC和AGV等可以通過連接5G CPE來接入5G網絡）。終端安全風險點主要包括：終端物理安全、終端接入安全、終端數據傳輸安全及其它安全風險，詳細如下表：表 2-1終端安全風險分析風險點風險點風險分析風險分析終端物理安全終端失聯（如丟失、關機）終端SIM卡非法拔出終端接入安全非授權終端接入(CPE或SIM卡不合法)終端非法惡意接入終端數據傳輸安全終端接入5G網絡訪問安全(網絡層)終端與MEC通信安全(應用層)其它CPE下掛設備攻擊CPE下掛設備失聯惡意設備非法

15、接入自身安全終端/設備自身安全2.2.22.2.2 網絡安全風險分析網絡安全風險分析網絡安全風險點主要包括：基站和無線空口安全、切片安全、傳輸安全及5GC安全，詳細如下表：表 2-2網絡安全風險分析風險點風險點風險分析風險分析基站和無線空口安全1.空口無線干擾、數據竊聽、數據篡改2.衛星GPS信號干擾、信號屏蔽、遮擋3.終端重放攻擊、DOS攻擊4.移動終端標識竊取5.偽基站攻擊切片安全1.用戶的非法接入切片、濫用切片資源、切片間非法訪問、切片間資源爭奪、切片間非法攻擊等2.切片管理員權限濫用、切片敏感信息篡改等傳輸安全1.傳輸鏈路異常2.傳輸擁塞3.傳輸網絡上進行惡意軟件攻擊、數據竊聽5GC安

16、全1.基礎設施層虛擬化安全,如虛擬資源的濫用、云平臺內部的橫向攻擊、虛機及鏡像破壞等2.網元功能層安全，如非法用戶接入網絡、對網元間接口的非法訪問、數據的監聽和篡改3.管理編排、能力開放的安全，如非法用戶訪問、權限濫用攻擊、數據安全等5G專網安全技術白皮書52.2.32.2.3 MECMEC安全風險分析安全風險分析5G MEC平臺從組網架構、業務服務方式、運營模式等方面進行分析，主要涉及的風險包括網絡安全風險、應用安全風險、計算環境安全風險、數據安全風險，詳細如下表：表2-3 MEC安全風險分析風險點風險點風險分析風險分析網絡安全風險1.設備接入風險，邊緣設備通過不安全協議/非法接入網絡2.網

17、絡攻擊威脅,核心網網元、MEC平臺遭受攻擊3.網絡配置缺陷，配置不當引起安全問題應用安全風險1.MEC應用安全隔離，權限界面模糊，業務未相互安全隔離，存在數據丟失、泄露及資源擠占的風險2.惡意應用，由于應用安全檢測及限制，惡意應用入駐引起惡意消耗平臺資源引發DDoS攻擊、竊取數據和用戶信息、擴散非法內容等安全風險3.應用管理編排不當4.安全漏洞，MEC應用存在后門等漏洞隱患計算環境風險1.設備配置缺陷2.管理通道安全設備安全漏洞3.設備級安全防護設備及措施不足，無法及時發現、攔截和響應針對設備的非法訪問、入侵等安全風險。4.硬件、平臺、系統、容器等載體存在安全漏洞所引起的安全風險數據安全風險1

18、.數據損毀風險，遭受攻擊損壞數據，未有相關數據的容災備份、恢復機制2.數據篡改風險，因SQL注入、XSS注入等外部攻擊入侵造成的數據篡改風險3.數據泄露風險，業務應用數據和用戶個人敏感隱私數據的泄露問題2.2.42.2.4 邊界安全風險分析邊界安全風險分析邊界安全風險是指5G網絡之間及5G專網網絡與其他網絡之間等不同網絡之間進行信息交互時所產生的安全風險，包括安全分區分域、網絡訪問控制、遠程管理、網絡邊界安全等風險點，詳細如下表：表 2-4 邊界安全風險分析風險點風險點風險分析風險分析安全分區分域1.未合理分區分域重要網元遭受到網絡攻擊威脅，容易造成網絡癱瘓網絡訪問控制1.由于網絡連接、資源分

19、配、UPF的訪問控制策略配置不當及多MEC平臺間管理編排調度不當而引起的安全風險遠程管理風險1.遠程管理控制軟件與平臺相關功能網元之間的控制傳輸安全風險，包括控制傳輸流量、上報資源狀態和業務信息被監聽、竊取、篡改等安全風險網絡邊界安全風險1.由于網絡級IDS、抗DDoS、防火墻等防攻擊手段落后，或未署網絡告警管理、安全資源管理、安全審計措施等，導致無法及時發現、攔截和響應來自網絡層面的非法訪問、入侵等安全風險2.2.52.2.5 管理安全風險分析管理安全風險分析5G專網管理安全風險主要為5G專網安全態勢及安全管理能力不足而引起的安全隱患；運維規范問題及運維通道安全不可信等引起的安全風險，包括安

20、全態勢、安全設備管理、運維管理、運維通道風險等風險點，詳細如下表：表 2-5 運維管理安全風險分析風險點風險點風險分析風險分析安全態勢風險1.資產信息存在隱藏安全風險，存在漏洞2.缺少對安全整體態勢，缺乏主動探測風險、威脅研判的能力3.遭受攻擊難于及時響應，無法溯源取證安全設備管理風險1.運營難度大，運維與租戶無獨立管理界面，安全業務管理界面模糊2.專網安全涉及設備種類多，安全設備未統一納管，設備管理復雜3.專網及MEC安全事件分散，安全問題難于定位，運維難度大運維管理風險1.運營商MEC及專網設備下沉園區，運維權限劃分界限模糊2.運維操作權限劃分不清晰，操作規范難于約束，違規運維容易造成網絡

21、故障運維通道風險1.遠程運維存在管理終端不可信、越權訪問非法入侵風險，運維通道不可信5G專網安全技術白皮書60303面向5G專網,構建端到端的安全解決方案3.15G專網安全體系通用架構為解決5G專網面臨的潛在安全風險，滿足多種形態的專網安全需求，安全通用架構以5G專網安全能力為基礎，結合行業應用場景的差異化環境，提出5G專網安全體系通用架構。5G專網安全體系通用架構主要針對5G專網安全風險威脅構建全方位、端到端的專網安全管理能力，滿足不同行業客戶業務發展帶來的安全訴求，賦能5G專網全場景，保障5G專網端到端業務安全，為5G專網應用發展保駕護航。其中5G專網安全能力包括終端安全、網絡安全、MEC

22、安全、邊界安全、管理安全五個維度，如圖 3-1 所示:圖3-1 5G專網安全體系通用架構圖5G專網安全技術白皮書73.2終端安全終端包括5G終端及CPE等，因自身計算能力、存儲資源限制，對在終端上配置安全策略與執行安全控制難度較大，因此需從接入認證及終端資產管理方面來保障終端接入安全。3.2.13.2.1 終端多重安全接入機制終端多重安全接入機制通過多重認證機制、多重訪問控制實現專網終端安全接入,實現用戶接入和業務接入時的安全防護，如下圖所示。圖3-2 5G專網多重認證機制終端接入5G網絡時,通過核心網的5G主認證和切片認證實現終端的基本認證及訪問控制，在終端通過5G網絡接入到企業網時，可進一

23、步進行二次認證功能，實現更豐富認證和接入控制能力。（1）二次認證在5G移動網絡的主認證鑒權的基礎上，引入企業二次認證服務器DN-AAA，對會話建立進行再認證，從而增強了企業對用戶身份的鑒別能力以及對會話的管理控制能力，提升終端接入的安全性。圖3-3 5G專網主認證與二次認證（2）位置訪問控制位置訪問控制利用先進的無線移動網絡和電子信息技術，能夠對特定的區域或指定的人員進行精確管控。用戶只能在園區覆蓋的基站下才能訪問，出了園區不能訪問；同時只允許指定接入的訪問才能分流到園區內網。（3）多重認證控制點基于二次認證機制，企業可以自主地采用IMSI、IMEI、位置標識組合檢驗的方式，實現機卡綁定、接入

24、位置控制等功能。終端接入可由5GC與DN-IAM（身份識別與訪問管理）分別實施控制決策。表 3-1多重認證控制點控制控制點點控制內容控制內容安全能力安全能力控制決策點控制決策點1終端可否接入運營商5G網絡5G網絡主認證5GC(由運營商管理和控制)2終端接入時進行二次鑒權和認證VPDN5GC3終端可否接入企業 5G網絡企業網絡企業自主認證DN-AAA(5GC和IAM協同，行業可自管理)4合法SIM卡是否在合法終端上使用機卡綁定控制DN-AAA(5GC和IAM協同，行業可自管理)5終端能在哪些位置接入到企業 5G網絡電子圍欄控制DN-AAA(5GC和IAM協同，行業可自管理)6終端能否接入企業切片

25、切片隔離5GC(IMSI與切片ID的映射，由運營商管理)7終端能接入企業哪個業務區基于SIM卡信息的訪問控制策略IAM、安全網關(行業可自管理，決定終端能夠訪問的業務)3.2.23.2.2 終端資產統一安全管理終端資產統一安全管理針對終端開展5G資產安全管理，對終端信息的采集、統計、查詢及風險評估，根據終端在網絡拓撲中的位置和業務訪問關系對終端的屬性、位置等特征進行檢測，及時發現異常設備接入，如非法終端接入、非授權5G終端使用合法SIM卡接入。在統一的5G 終端資產管理的基礎上，通過流量的采集和建模分析，發現終端的異常行為檢測，進而實現安全事件與資產的關聯分析，呈現資產的威脅信息。5G專網安全

26、技術白皮書83.3網絡安全為應對5G引入后帶來的安全威脅，建設一個安全的5G專網，通過對5G基站空口、5GC下沉、傳輸通道、切片等采取嚴格的安全防護策略，形成網絡安全防護體系。如下圖3-4：3.3.13.3.1 5G5G基站安全基站安全5G專網基站空口安全主要包括：無線空口安全、防空口DoS攻擊、防偽基站攻擊等。（1）無線空口安全機制：分為接入層安全機制和非接入層安全機制。接入層安全機制，用于NR和UE之間的安全，為RRC信令和用戶面數據提供加密和完整性保護；非訪問層安全性機制，用于AMF與UE之間的安全，為NAS信令提供加密和完整性保護；（2）防空口DoS攻擊手段：針對網絡側造成DoS的威脅

27、，在AMF發送認證請求后，適當降低等待回復的時間，加快等待狀態中RRC連接的釋放速率；在網絡運維方面，結合KPI異常監測，以及用戶投訴問題的情況，及時排查報警；（3）防偽基站攻擊手段：雖然5G網絡擁有用戶隱私保護功能（將SUPI隱藏為SUCI）、用戶面數據保護措施等，但是偽基站的問題在5G網絡仍然存在。通過UE輔助測量，可分析出疑似偽基站，使用偽基站快速定位系統定位跟蹤探測出偽基站，從根本上解決偽基站的威脅問題。3.3.23.3.2 5G5G下沉園區數據自治下沉園區數據自治為了滿足5G園區專網的可靠性和數據不出園區的需求，進一步將5GC全部功能或部分功能下沉到邊緣，實現專網專用、物理隔離和確定

28、性SLA。核心網功能下沉的主要功能如下：（1）支持核心網業務全量下沉，數據流動可控，確保關鍵信息不出園區；（2）在園區與公網失聯場景下，支持連接態用戶業務慣性運行，在線業務流可保持24小時；（3）下沉5GC控制面作為備份，支持移動終端通過園區應急控制面重建傳輸通道，實現業務快速恢復；（4）下沉UPF在轉發層面通過訪問控制列表（ACL）方式控制，禁止下沉UPF訪問除指定SMF以外的公網，并5GC通過流量限速防范Dos攻擊；路由層面屏蔽除SMF以外的其他網元信息；業務層面開啟與SMF之間雙向認證，同時建立針對信令流量的監測阻斷機制。3.3.33.3.3 傳輸通道加密傳輸通道加密5G網絡與企業網之間

29、的邊界、網元之間的數據傳輸的安全性。（1）網元之間的安全通信通過IPSec來實現，提供數據源認證、數據完整性和數據機密性等保護措施；（2）網管和網元之間數據傳輸采用各種安全協議，禁用不安全的傳輸協議，如telnet/ftp等；（3）網元和網管傳輸層之間采用TLS 1.2協議。5G專網安全技術白皮書9圖3-4 網絡&傳輸安全架構3.3.43.3.4 端到端切片安全隔離端到端切片安全隔離由于5G專網切片之間的資源共享性和網絡可編程接口的開放性，因此必須保證端到端切片的安全隔離，具體機制如圖3-5所示。（1）切片接入安全：當UE訪問不同切片內的業務時，各網絡切片不能共享PDU會話；（2）公共NF與切

30、片NF的安全：通過白名單機制配置訪問控制列表，嚴格控制公共NF和切片NF之間的互訪關系，同時NSSF保證AMF連接正確NF，在AMF中監測請求頻率；（3）切片間安全：應采用VLAN/VxLAN進行網絡隔離、虛機/容器進行資源隔離,并對不同客戶的管理員進行授權，實現對切片資源的分權分域管理；（4）5GC與DN之間的安全：5G網絡數據面出口（如UPF與垂直行業DN）之間部署邊界防火墻、訪問控制、抗DDoS等設備防止外部攻擊，通過IPSec 或SSL VPN保證安全連接；（5）切片能力開放安全：當運營商切片管理平臺對垂直行業開放時，在對外接口采用鑒權認證機制，并應進行詳細接入策略控制，通過IPSec

31、或SSL VPN保證接入鏈路安全。圖3-5 切片安全隔離方案5G專網安全技術白皮書103.4MEC安全MEC安全技術可分為網絡安全、計算環境安全、應用安全、數據安全及物理安全等5個維度。3.4.1.MEC3.4.1.MEC網絡安全防護網絡安全防護MEC平臺本身承載客戶業務應用系統，面臨著大量的網絡訪問請求，包含業務訪問、業務管理、運維管理訪問等，MEC平臺自身應做好網絡安全防護工作及網絡隔離，建議采用以下安全措施來降低MEC平臺網絡層面安全風險。（1）訪問控制：MEC和5GC之間部署防火墻隔離進行邊界防護，僅允許信令及OM相關的數據流量通過防火墻；在UPF的N6接口部署網絡防火墻進行流量安全控

32、制，設置UPF白名單規則，針對N4、N6、N9接口分別設置專門的VRF；（2）安全隔離：將UPF和MEP與MEC應用之間進行安全隔離，通VLAN等方式將MEC應用之間進行隔離；對UPF和SMF的N4接口流量進行安全訪問控制，并在MEC與核心網之間部署網絡防火墻進行安全流量控制；（3）安全檢測與監測：5G網絡提供對UPF數據面攻擊流量的實時特征進行檢測，識別UPF與外部DN的可疑流量。并且提供5G場景下的用戶行為分析UEBA，通過模式識別、深度學習等手段發現5G網絡用戶和網絡節點的異常行為，實現對未知威脅的發現和監測；（4）入侵防范措施：在邊界部署抗DDoS攻擊、入侵檢測、訪問控制、Web流量檢

33、測等安全能力，實現邊界安全防護。包括最小化安裝軟件原則、關閉不需要要的系統服務/端口、支持漏洞監測和及時修補、部署防惡意代碼軟件/入侵監測系統、對設備進行安全基線配置、支持敏感數據的加密傳輸和存儲、支持軟件包校驗等。3.4.2.MEC3.4.2.MEC計算環境安全防護計算環境安全防護MEC計算環境通過對鏡像與環境進行安全防護，并采用嚴格資源管理機制與安全審計等安全防護措施，防范攻擊者利用Host OS或虛擬化軟件漏洞篡改容器或虛機鏡像，或針對容器或虛機發起容器逃逸、DDoS等攻擊。（1）鏡像安全：開發階段應要求開發者對容器鏡像及中間過程鏡像進行漏洞掃描，同時對第三方甚至自有應用/代碼進行安全檢

34、查；部署階段應由MEC平臺對鏡像倉庫進行安全監管，對上傳的第三方/自有容器鏡像進行漏洞掃描；運行階段應支持容器實例跟宿主機之間的內核隔離。（2）環境安全：使用防火墻隔離手段防止容器之間的非法訪問，對環境內的第三方進程進行監控；在虛擬化平臺層面部署API安全網關來對容器管理平臺的API調用情況進行安全監控，防止非法惡意API調用；對虛擬化編排管理實體進行安全加固，登錄需要進行認證授權，防止管理面被攻擊。（3）資源管理機制：保證虛擬機僅能使用為其分配的計算資源，限制單個用戶或進程對系統資源的最大使用限度，并通過資源預留等方式確保某個虛擬機崩潰后不影響虛擬機監視器及其他虛擬機運行。（4）安全審計：對

35、用戶行為、系統資源的異常使用、系統命令的使用和安全事件進行審計，依據關法律法規要求進行留存，并對審計記錄采取防篡改、竊取保護。5G專網安全技術白皮書113.4.3.3.4.3.應用安全防護應用安全防護MEC中的應用在部署前應完成安全評估保證應用通信安全，通過MEP實現對應用安全隔離、檢測與監測。（1）應用部署安全：當第三方MEC APP部署在運營商的MEC節點時，應進行安全評估，包括身份驗證、安全合規檢查和審核、執行病毒掃描等；MEC APP與MEP或其它MEC APP進行通信時，應對進行身份驗證，并對傳輸的數據進行機密性和完整性保護。（2）MEP安全：MEP采用微服務隔離、VLAN隔離、vF

36、W等機制，實現行業APP間的按需安全隔離，提供MEC內部南北向及東西向流量的安全防護，并提供全面安全檢測與監測能力。3.4.4.3.4.4.數據安全防護數據安全防護MEC采取嚴格數據安全保護措施，對各類數據進行全生命周期的保護，防止數據損毀、數據泄露、數據篡改等安全風險。（1）數據采集：將涉及用戶隱私的數據信息加以標識，在每個 MEC 節點的數據入口通過防火墻進行隔離，按照最小化原則關掉所有不必要的服務及端口，對于增加標識的重要數據進行完整性、機密性及防復制的保護。（2）數據傳輸：采用獨享式 UPF，網絡側配置數據 ULCL 分流策略，本地做分流規則自檢與IP/FQDN 一致性檢查，保證本地分

37、流數據不出企業、數據傳輸過程中的加密。（3）數據存儲：數據應加密存儲，采用加密的安全方式存儲和傳輸用戶口令等身份鑒別信息，防止用戶鑒別認證信息泄露而造成身份冒用，同時邊緣 MEP 應提供對 APP 數據的安全存儲，涉及行業 5G 用戶的位置、標識等信息應在 MEP中加密存儲。（4）數據處理：依據行業相關標準規范對重要、敏感數據進行分類分級處理。對于存儲的數據需要識別重要數據并進行安全備份和恢復，保障業務穩定運行。（5）數據共享：對 MEP 關鍵數據進行監測審計，對 API接口行為監控，支持 MEC 邊緣流量常見攻擊行為的監測，例如漏洞利用、非授權訪問攻擊、拒絕服務攻擊等。（6）數據銷毀：保證鑒

38、別信息所在的存儲空間被釋放或重新分配前得到完全清除，虛機內存、存儲空間在回收時完全清除。3.4.5.MEC3.4.5.MEC物理安全物理安全MEC物理安全滿足YD/T 1754-2008電信和互聯網物理環境安全等級保護要求、GB/T 22239-2019信息安全技術 網絡安全等級保護基本要求的安全要求。5G專網安全技術白皮書123.5邊界安全5G專網邊界安全主要考慮如何從部署、配置和管理上對5G網絡的安全提供防護手段，從而防止5G網絡遭受外部和內部的攻擊，并能夠對已經產生的安全風險進行控制。5G網絡提供運營商資產與垂直行業網絡資產（包括服務器、交換機等物理資產，以及在物理資源上的應用、數據等虛

39、擬資產）之間的安全邊界防護能力，保障網絡邊界安全。3.5.13.5.1 分區分域精準防御分區分域精準防御根據運營需求和網元功能，將網元進行安全等級分類，根據網元安全等級劃分安全域。按照安全域之間的互通原則，在不同等級的安全域之間進行互通時，需要進行邊界防護?？缬虻臄祿鬏敱仨毷馨踩呗钥刂?，例如在域間配置防火墻、VPN、IPS等；安全資源域內的數據傳輸，根據需要配置安全控制，例如VNF之間配置防火墻，VNF之間增加相互認證機制等。3.5.23.5.2 邊界訪問控制隔離邊界訪問控制隔離在5G專網的網絡安全隔離上，應考慮運營商側與垂直行業主體側雙方對安全的訴求。垂直行業主體側明確垂直行業資產與5G

40、網絡的邊界，并在邊界位置部署訪問控制、網絡隔離等安全防護措施，如通過網閘、正反向隔離裝置等對CT與OT域進行通信隔離。同時可考慮在網絡邊界上部署流量監測和防護措施，通過設置黑白名單、異常流量識別等機制對可能來自5G網絡的非法訪問和攻擊流量進行識別和過濾。3.5.33.5.3 入侵防御安全審計入侵防御安全審計5G專網對不同的安全域之間實際的通信業務/流量部署對應的安全設備：例如抗DDoS、IDS/IPS、防火墻、漏洞掃描、網絡安全審計等安全設備，支持過濾鏈路層、網絡層、傳輸層非法報文，以確保對來自外網的流量以及APT攻擊進行檢測與防護。在此基礎之上，構建邊界、內網、網元入侵檢測和處置能力，對邊界

41、攻擊入侵進行監測和發現，并及時調整邊界防護策略，對攻擊者的網絡地址、端口等進行限制。3.6專網管理安全與運維安全3.6.1.5G3.6.1.5G專網運營安全管理專網運營安全管理為保證5G專網運營安全管理，引入安全態勢感知平臺及5G專網安全管理平臺，形成對5G專網整體的安全感知能力及可控能力。（1）搭建態勢感知平臺，構建5G專網整體安全感知能力搭建5G專網安全態勢感知平臺，基于機器學習、關聯分析等能力，以5G專網網絡設備、主機設備、安全設備、系統日志等多源數據為驅動，對5G專網各層次的資產信息進行關聯，進行脆弱性分析，并在安全事件中尋找因果關系，追蹤安全事件的源頭，結合5G專網的網絡運行狀態及設

42、備信息，進行安全態勢評估，為5G專網提供智能的安全風險分析及威脅感知能力。全面提升安全感知能力，將5G專網安全戰略由被動防御轉向主動智能防御。平臺架構如下圖：圖3-6 專網安全態勢感知架構5G專網安全技術白皮書13（2）搭建5G專網安全管理平臺，構建5G專網運營管理能力采用“集中+近源”的安全資源池的部署模式，通過搭建5G專網安全管理平臺對專網各類安全系統或安全能力進行納管，結合網絡編排能力，實現安全能力服務化。結合安全態勢感知平臺，可對信息資產、安全事件、安全風險、訪問行為進行統一分析與監管，協助運維人員在發生安全事件時能夠迅速發現問題，定位問題，處置問題。安全管理平臺支持統一安全服務編排，

43、統一安全業務一鍵發放，構建“可知、可見、可控”的5G專網安全管理體系。圖3-7 5G專網安全管理體系架構1）安全多級協同管理：針對各級MEC存在的安全能力分散、缺乏安全能力統一調度、安全服務按需開通難等問題，專網安全管理平臺采用多級協同架構，實現對安全能力統一納管及策略部署，提供彈性、靈活的安全服務。2）統一安全運營：多租戶自運營及運營商自運營，并支持從不同角色、不同維度向用戶展示專網與MEC的安全能力信息，包括服務狀態統計、服務資源統計、告警事件統計、用戶賬戶信息、服務費用統計、工單統計、安全態勢信息等。3）業務按需編排：對專網租戶的流量進行靈活牽引，將各類安全能力組件進行服務鏈編排，實現5

44、G專網用戶對安全服務按需申請，減少用戶因自身安全能力不足而引起的各類安全風險問題，賦能5G專網業務。3.6.2.3.6.2.運維安全運維安全5G專網在實際的安全運行維護管理中，除了嚴格按規范流程執行之外，可通過有效運用運維管理技術手段，保障運維操作安全及運維通道安全，全方面提升運維管理風險控制能力。（1）運維操作安全通過建設4A平臺及堡壘機實現集中帳號管理、認證管理、授權管理、審計功能等能力，滿足資產安全管控需求及運維日常維護需要。帳號管理：包括主從帳號管理、主從帳號角色維護、密碼定期更新以及密碼策略管理等功能。認證管理：支持雙因子認證，支持對不同用戶設置不同認證方式組合的雙因素認證，保障認證

45、安全。授權管理：將相應的權限（資源）或角色授予用戶或用戶組的一系列維護管理操作。對用戶授權后，用戶即擁有訪問目標資源的權限。審計管理：對專網的運維人員/租戶管理用戶的操作行為以及登錄登出和操作資源的行為進行分析審計，具備記錄完整操作過程、數據流回放技術、傳輸文件備份、日志搜索、展示關聯行業的能力。（2）運維通道安全引入零信任SDP架構，在專網網絡、MEC平臺與企業內網之間部署零信任接入網關及零信任控制器，針對運維人員、租戶管理人員的安全接入管控，構建網絡隱身、身份鑒別、傳輸加密等安全保障能力，實現在不安全的網絡環境對應用和服務進行隔離，保證運維管理人員的運維通道安全及安全接入。5G專網安全技術

46、白皮書1404045G專網安全應用案例探討4.15G工廠制造基地安全應用案例應用總體介紹應用總體介紹5G工廠圍繞智能工廠數字化生產線、自動化測試及實時數據交互需求，突破5G工業互聯網基礎網絡技術研究，聯合建立企業級協同制造工業互聯網iMES平臺，實現不同典型業務場景下的5G工業互聯網創新應用，打造“5G+智能制造”示范工廠。目前已部署的5G行業應用包括：5G云化AGV、巡邏機器人、工業可穿戴、機器臂控制云化PLC、機器視覺質檢等。圖4-1 5G工廠互聯網基地安全需求安全需求該基地通過引入5G行業終端實現工廠智能轉型，但智能化提升生產效率的同時也產生了更多的安全隱患，為應對種類繁多的安全威脅，需

47、建立統一的安全態勢感知與管控平臺，對5G行業終端各環節進行監測，從而形成縱深的防護體系。安全方案安全方案實施方案涉及的三類組件，均使用純軟件方式部署，安全代理安裝在行業終端（包括AGV、CPE、掃地機器人、攝像頭等），物聯網安全態勢感知及安全監測系統都部署在業務邊緣云虛擬環境中。圖4-2工業互聯網終端安全管控系統主要完成以下能力建設：（1）建立面向工業終端的實時安全監控防護能力對終端資產置入安全模塊，進行自身安全加固，對終端設備進行簽名認證，感知周邊安全。（2）建設統一終端安全態勢感知與管控平臺建立終端安全管控平臺，對設備的安全狀態實時監控，運用大數據、動態預警、系統漏洞檢測等多項關鍵技術，對

48、范圍內的網絡設備進行安全漏洞主動發現，及時感知海量設備的漏洞及風險情況，實現終端設備的安全態勢感知和通報預警，達到及時感知網絡風險所在，輔助相關部門進行安全整改。（3）形成周期性的終端安全監測評估機制為終端資產進行安全監測，智能感知終端安全狀態信息，從終端的資產出發，關注終端資產狀態、弱口令、系統漏洞等威脅信息，結合多角度、多維度分析終端的安全事件，為工業終端安全管控構建管理平臺。同時在終端側安裝安全代理，只需要簡單適配開發工作，即可使得工業終端具備安全檢測、數據安全加密功能。5G專網安全技術白皮書154.25G智能駕駛示范區安全應用案例應用總體介紹應用總體介紹智能車聯網引入5G網絡邊緣安全，

49、以車聯網綜合標準化體系建設指南為指導，從網絡切片隔離、實時業務保障、空口安全、端到端數據安全、終端接入認證以及安全運維管理等方面進行設計，實現終端全鏈路的安全，滿足智能駕駛的各類安全需求。圖4-45G智能駕駛安全安全需求安全需求目前5G智能駕駛無法保證端到端的鏈路安全，需要補齊全鏈路的接入安全與網絡威脅全面感知能力，保證安全的同時提高安全事故處置效率。安全方案安全方案通過從邏輯結構上將5G智能駕駛示范區網絡進行安全區劃分，同時考慮到邊緣數據中心內部有不同的應用區，依照功能屬性對其進行安全域劃分為：5G接入區、5G邊緣區、5G核心網區、智能駕駛業務區以及運維管理區。為了保證終端接入的安全，綜合5

50、G網絡的安全準入能力和終端安全管理功能，通過多種終端類型雙向接入認證、訪問控制、機卡綁定、IP地址分配等多種手段，提供了嚴格的端到端網絡安全保護措施。圖4-55G認證和終端安全管理同時建設5G專網態勢感知平臺，通過安全探針對5G專網的網絡流量進行深度包解析和流解析，實現對網絡威脅的全面有效檢測，進一步從多維視角對安全態勢進行描繪，實現了安全綜合態勢、攻擊態勢、資產安全態勢、風險態勢等場多種態勢感知場景，建立了安全威脅檢測與響應體系，及時發現各類來自內部和外部的安全威脅，進行主動進行響應和處置，縮短安全威脅的檢測周期，提升恢復效率。5G專網安全技術白皮書164.3鋼廠5G+工業互聯網安全應用案例

51、應用總體介紹應用總體介紹鋼鐵廠積極推動5G+工業互聯網，通過5G的主認證和二次認證機制、切片隔離機制、MEC技術，保證終端的接入和數據傳輸的安全。但由于鋼廠網絡中有大量的傳統工業終端，這些終端并沒有5G的接入能力，采用WIFI或有線方式先接入到5G CPE，再通過5G CPE接入到網絡中。當終端接入時，5G CPE為接入的終端分配內網地址，并執行NAPT功能，建立終端與位于MEC或園區網中工業互聯網應用之間的數據連接。由于使用NAPT，網絡和業務無法看到終端的網絡接入情況，影響了終端的可信度，因此希望引入零信任安全加強終端的管理，尤其是對傳統終端的管理。安全需求安全需求現有傳統工業終端的網絡接

52、入情況不可知，接入安全不可靠，對非5G工業互聯網終端進行信任管理、管控，增強系統的安全性，最終實現終端接入可管、可控、可信。安全方案安全方案基于工業互聯網零信任參考架構，在現有的物聯網管理平臺的基礎上，引入零信任安全的要素，提高整體的安全性。為了解決非5G終端不可信的問題，在CPE內置了安全代理，加強對非5G接入終端的管理，執行以下功能：（1）加強終端內網地址的管理，增加DHCPServer，CPE安全代理開啟DHCP代理功能，DHCPServer充當網絡接入身份管理服務器，根據終端的MAC地址實現地址的統一分配，并支持靜態地址分配。（2）CPE安全代理啟用和可信網關之間的安全隧道，非5G終端

53、通過安全隧道建立與可信網關的連接，進而訪問業務服務器。由于沒有采用NAPT變換，內層IP地址能夠直接與終端身份管理，因此可信網關可以根據內層IP關聯到終端的身份以及管控策略，進而執行精細化的管控。圖4-3工業終端零信任接入管理系統物聯網管理平臺，增加零信任安全控制特性以及安全持續評估的能力，能夠與安全代理、可信網關進行交互，實現安全信息的收集、信任評估和安全策略的下發。5G專網安全技術白皮書174.4廣東聯通集約化云安全應用案例應用總體介紹應用總體介紹廣東聯通采用業界首創的異構多云統一安全架構，基于“集中+近源”差異化的安全能力基礎資源池，構建統一安全管理平臺，通過安全管理平臺實現集中化安全控

54、制編排、流量調度，對安全原子能力進行產品包裝，形成多樣化安全能力輸出。全面實現云安全“可視”“可控”能力，滿足監管合規、聯通云網安長期穩定需求。安全需求安全需求廣東聯通各云安全能力參差不齊，安全防護能力差距較大，各云都有獨立的安全管理體系，運維效率不高，缺乏整體安全編排、調配能力，急需對云安全能力進行強化升級，拉齊安全能力水平。安全運營需求：根據不同管理人員，劃分不同的權限，提供自身運維管理及租戶管理雙入口。安全方案安全方案建設統一安全管理平臺，實現對全網資產的集中化信息采集、分析和管控，全面提升網絡安全管理能力；構建安全能力資源池（集中+近源），將安全能力池化，針對云環境多租戶虛擬網絡邊界提

55、供彈性、靈活云安全服務。網絡架構如下圖：圖4-6安全能力集約化（1）流量控制策略：集中業務，采用SDN+SRv6技術引流，用戶流量集中在省中心安全能力資源池處置，處置后流量回落到云租戶所在資源池；近源業務，通過云內SDN或策略路由模式，將用戶流量集中到本地近源安全能力資源池處置。（2）安全運營能力：通過集約化云安全能力的建成，對內面向自身運維提供網絡安全、信息安全，形成快速運維、安全應急響應、態勢感知、SDN自動化等安全防護能力；面向自身運營人員提供安全能力定制編排產品化開發和輸出；對外，面向客戶（2B/2C）提供安全增值服務和安全能力，為租戶提供安全自服務門戶，實現安全能力一鍵定制，安全配置

56、一鍵下發，并提供多個等級保護套餐。5G專網安全技術白皮書180 05 5總結與未來展望5G專網具有大帶寬、廣連接、低時延、高安全性等諸多優勢。同時5G專網具備適用部署區域化、網絡需求個性化、行業應用場景化等特點，未來5G專網將會得到更加廣泛的應用。目前5G專網處在發展時期，安全是支撐千行百業數字化發展的核心要素，5G專網安全問題還尚未全部顯露出來，未來要加強對5G專網安全性問題的研究，挖掘潛在安全風險點，分析安全問題原因，并采取具有針對性的安全技術，主動出擊消除安全問題隱患，不斷提高5G專網的安全性，滿足行業應用的實際需求。伴隨我國科學技術的快速發展，5G專網應用將助力我國經濟發展，是推動企業

57、數字化智能化轉型必不可少的力量。5G專網應用不僅與我國人民生活息息相關，同時也與國家經濟增長有密切聯系。因此，在5G專網建設前期，要對5G專網的安全性進行充分考慮，開展5G專網建設階段，需同步進行安全能力的建設，從而保障5G專網的安全可靠運行，并且后續可以基于安全能力開放，為5G行業專用用戶提供更加豐富的差異化安全服務，使5G專網為中國民生與經濟的發展做出更大貢獻。5G專網安全技術白皮書19附錄附錄1 1術語表中文名稱英文名稱定義5G5th generation mobilenetworks5G 是第五代移動通信技術，是繼 4G（LTE-A、WiMax）、3G（UMTS、LTE）和 2G（GS

58、M）系統之后的延伸。5G 的性能目標是高數據速率、減少延遲、節省能源、降低成本、提高系統容量和大規模設備連接。5G 專用網絡Private 5G NetworkPrivate 5G，5G 專網，指采用 3GPP 5G 標準構建的企業或行業無線專網。云計算Cloud Computing云計算通常簡稱為“云”。通過互聯網，“按使用量付費”的方式提供隨需應變的計算資源（從應用到數據中心）。其部署方式包括公有云、私有云和混合云。邊緣計算Edge Computing在靠近物或數據源頭的網絡邊緣側，融合聯接、計算、存儲、應用核心能力的開放平臺，就近提供邊緣智能服務，滿足行業數字化在敏捷聯接、實時業務、數據

59、優化、應用智能、安全與隱私保護等方面的關鍵需求。網絡切片Network Slice網絡切片是一種按需組網的方式，可以讓運營商在統一的基礎設施上分離出多個虛擬的端到端網絡，每個網絡切片從無線接入網承載網再到核心網上進行邏輯隔離，以適配各種各樣類型的應用。網絡安全Cyber Security通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。訪問控制Access Control訪問控制是給出一套方法，將系統中的所有功能標識出來，組織起來，托管起來，將所有的數據組織起來標識出來托管起來，然后提供一個

60、簡單的唯一的接口，這個接口的一端是應用系統一端是權限引擎。權限引擎所回答的只是：誰是否對某資源具有實施 某個動作（運動、計算）的權限。返回的結果只有：有、沒有、權限引擎異常了。零信任Zero Trust零信任既不是技術也不是產品，而是一種安全理念。根據 NIST零信任架構標準中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網絡環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構（ZTA）則是一種企業網絡安全的規劃，它基于零信任理念，圍繞其組件關系、工作流規劃與訪問策略構建而成。主動防御Active Defense是指

61、網絡能夠在主動或者被動觸發條件下執行各種硬件變體及相應的軟件變體的一種防御方式。態勢感知Situation Awareness態勢感知是一種基于環境的、動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。大數據Big Data指無法在一定時間范圍內用常規軟件工具進行捕捉、管理和處理的數據集合，是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產。5G專網安全技術白皮書20附錄附錄2 2縮略語表縮略語英文名稱中文名稱3GPPThird Gen

62、eration Partnership Project第三代合作伙伴計劃5GC5G Core network5G核心網AAAAuthentication、Authorization、Accounting3A認證ACLAccess Control Lists應用在路由器接口的指令列表AGVAutomated Guided Vehicle自動導引運輸車/無人搬運車AMFAccess and Mobility Management Function接入及移動性管理功能APIApplication Programming Interface應用程序編程接口APPApplication program應

63、用程序APTAdvanced Persistent Threat高級持續性威脅CPE5G Customer Premise Equipment客戶前置終端設備CWPPCloud Workload Protection Platform云工作負載安全防護平臺DDoSDistributed Denial of Service分布式拒絕服務DHCPDynamic Host Configuration Protocol動態主機設置協議DICTData、information and communicationstechnologyDT與IT、CT的深度融合DNData Network數據網絡DOSDe

64、nial of service拒絕服務EDREndpoint Detection&Response端點檢測與響應FlexEFlex Ethernet靈活以太網FQDNFully Qualified Domain Name全限定域名ftpFile Transfer Protocol文件傳輸協議GPSGlobal Positioning System全球定位系統Host OSHost Operating System主機操作系統IAMIdentity and Access Management統一身份認證IDSIntrusion Detection Systems入侵檢測系統IMEIInterna

65、tional Mobile Equipment Identity國際移動設備識別碼IMSIInternational Mobile Subscriber Identity國際移動用戶識別碼IPSIntrusion Prevention System入侵防御系統IPSecInternet Protocol Security互聯網安全協議MECMulti-Access Edge computing多接入邊緣計算MEPMulti-Access Edge computing Platform移動邊緣平臺NAPTNetwork Address Port Translation網絡地址端口轉換NEFNet

66、work Exposure Function網絡開放功能5G專網安全技術白皮書21縮略語英文名稱中文名稱NFNetwork Function公共網絡功能NFVNetwork Function Virtualization網絡功能虛擬化NSSFNetwork Slice Selection Function網絡切片選擇功能PDUProtocol Data Unit協議數據單元PLCProgrammable Logic Controller可編程邏輯控制器QoSQuality of Service服務質量RRCRadio Resource Control無線資源控制SDNSoftware Dene

67、d Network軟件定義網絡SIMSubscriber Identity Module用戶身份識別模塊SLAService Level Agreement服務級別協議SMFSession Management Function會話管理功能SQLStructured Query Language結構化查詢語言SSLSecurity Socket Layer基于安全套接字層協議SUCISubscription Concealed Identifier用戶隱藏標識符SUCISubscription Concealed Identifier用戶隱藏標識符SUPISubscription Perman

68、ent Identifier用戶永久標識符TLSTransport Layer Security傳輸層安全性協議UEUser Equipment用戶設備UEBAUser and Entity Behavior Analytics用戶和實體行為分析技術ULCLUplink Classifier上行鏈路分類器UPFUser Plane Function用戶面功能VLANVirtual Local Area Network虛擬局域網VNFVirtual Network Function虛擬網絡功能VPDNVirtual Private Dial Network虛擬專有撥號網絡VPNVirtual P

69、rivate Network虛擬專用網絡VRFVirtual Routing and Forwarding虛擬路由轉發VxLANVirtual eXtensible Local Area Network虛擬擴展局域網WAFWeb Application FirewallWeb應用防火墻XSSCross Site Script Attack跨站腳本攻擊5G專網安全技術白皮書22附錄附錄3 3參考文獻1.中國聯通5G專網產品體系2.0白皮書中國聯合網絡通信集團有限公司 2021年12月2.中國聯通 5G 行業專網白皮書 中國聯合網絡通信集團有限公司 2020年8月3.5G行業專網安全技術研究報告IMT-2020(5G)推進組 2022年4月4.5G安全知識庫 IMT-2020(5G)推進組、中國信息通信研究院 2021年12月5.YD/T 4056-2022 5G多接入邊緣計算平臺通用安全防護要求2022年7月6.YD/T 3628-2019 5G移動通信網 安全技術要求2019年12月5G專網安全技術白皮書版權所有本白皮書版權屬于中國聯通所有，本白皮書所載的內容，包括但不限于文本、圖片、數據、觀點、建議，不構成法律建議，本文檔包含受版權保護的內容，非經中國聯通書面許可，任何單位和個人不得擅自摘抄、復制本文檔內容的部分或全部，并不得以任何形式傳播。