5g专网安全技术白皮书5g专网安全技术白皮书中国联合网络通信有限公司广东省分公司2022年12月 5g专网安全技术白皮书参与编写单位:中国联合网络通信有限公司广东省分公司中国联合网络通信有限公司研究院中讯邮电咨询设计院有限公司中兴通讯股份有限公司深信服科技股份有限公司专家顾问:莫俊彬、潘桂新、徐雷、冯铭能、郝振武、张瑜编写组成员:李文彬、彭健、张曼君、聂勋坦、谢泽铖、郭新海、贾宝军、韦秀林、林友建、张哲、徐高峰、张可原、赵马煜、曾金杯、封华进前言随着我国5g规模商用,5g专网凭借优秀的通信性能、灵活的组网部署、差异化的能力定制,在工业制造、能源、矿山、交通、物流、医疗、教育、媒体娱乐等领域越来越多的被应用,持续赋能千行百业数字化应用场景创新及信息化业务演进,加速行业数字化智能化转型。5g专网给行业客户带来优质服务、高效生产、智能业务的同时,也带来了潜在的安全风险。5g专网涉及多个安全域,在满足行业应用需求、引进新技术、提高生产效率和服务水平的同时,也打破了原本封闭的网络环境,使得网络边界变得越来越模糊,因此,需要针对不同行业应用场景部署满足行业应用需求的安全能力,为行业客户提供更全面的安全保障。为了保障5g的安全发展,国家高度重视,在政策上给予了大力支持。工业和信息化部发布了《“十四五”信息通信行业发展规划》,要求加快行业虚拟专网落地,全面加强网络和数据安全保障体系和能力建设,持续提升新型数字基础设施安全管理水平,打造国际领先的5g安全保障能力,全面构建基础安全管理体系;并联合十部门在《5g应用“扬帆”行动计划(2021-2023年)》中,明确了未来我国5g发展的目标和重点任务。网络安全是国家安全的重要基石,对5g专网来说,如何满足我国相关安全政策、行业标准、规范要求,贯彻落实党中央、国务院决策部署,解决5g专网的安全问题,建立主动安全防御体系,进一步保障行业客户的利益,已成为5g专网需要解决的核心问题之一。本白皮书将重点梳理5g专网安全诉求,分析各类安全风险产生的原因,提出端到端的安全j9九游会登录入口首页新版的解决方案建议,为5g专网安全技术实施与行业应用场景落地提供具有建设性意义的参考。 5g专网安全技术白皮书目录一、5g专网发展概述..........................................................11.15g专网发展现状......................................................11.2中国联通5g行业专网介绍..............................................2二、5g专网安全诉求及风险分析................................................32.15g相关安全政策与标准................................................32.25g专网总体安全风险分析..............................................4三、面向5g专网,构建端到端的安全j9九游会登录入口首页新版的解决方案.....................................63.15g专网安全体系通用架构..............................................63.2终端安全............................................................73.3网络安全............................................................83.4mec安全............................................................103.5边界安全...........................................................123.6专网管理安全与运维安全.............................................12四、5g专网安全应用案例探讨.................................................144.15g工厂制造基地安全应用案例.........................................144.25g智能驾驶示范区安全应用案例.......................................154.3钢厂5g 工业互联网安全应用案例......................................164.4广东联通集约化云安全应用案例.......................................17五、总结与未来展望.........................................................18附录1......................................................................19附录2......................................................................20附录3......................................................................22 5g专网安全技术白皮书1015g专网发展概述1.15g专网发展现状随着中国联通发布5g行业专网产品体系2.0、中国移动发布5g专网技术体系2.0,5g专网已逐步从1.0时代向2.0时代迈进,网络形式由tob通用网络向个性化定制的网络演进。截止2022年,我国三大运营商均已推出了拥有自己特色的5g专网服务产品,并建成了大量的商用行业5g专网,实现在工业制造、电力、医疗、交通、港口、物流、教育等行业广泛部署,并实现多个技术突破和成功案例。以中国联通为例,中国联通推出的5g专网产品体系2.0“5g专网plus”,实现网络跨越、行业跨越、服务跨越三大跨越,提供了更强网络、更懂行业和更优服务,构建了基于流量和切片模式、基于网络 平台 应用模式、网络 平台 集成服务模式等3种商业模式,分别满足5gtob客户的不同需求,以5g专网带动行业dict的收入增长。通过布局5g“7 9 9”行业应用,深耕重点垂直行业,汇聚科技创新能力,集结行业专家,聚合生态力量,面向全国一点支撑,基于5g、“云大物智链安”等自主能力,锤炼“专精特新”的“独门绝技”,推进创新链、产业链、价值链融合发展。在数字政府领域中,中国联通与广东政数局合作,打造了全国首个省级5g政务专网,创新性地推进了广东省5g基层治理、5g智慧防疫、5g智慧应急、智慧城市管理等多个应用场景落地,促进5g技术与政务服务的深入融合,不断地助力广东政数局提升政府公共服务、社会治理的数字化、智能化水平。当前我国5g网络覆盖广度、深度持续提升,边缘计算和智能网络切片技术不断进步、融合,5g专网能力不断增强,5g专网作为数字化转型的新引擎,将持续赋能千行百业数智化转型升级、拓展生产效能。 5g专网安全技术白皮书21.2中国联通5g行业专网介绍5g网络演进的趋势是向网元虚拟化、架构开放化、编排智能化方向发展,这为5g专网服务能力的灵活化、定制化提供了有力的技术保障,以中国联通5g专网产品为例,5g专网产品主要包括:5g虚拟专网、5g混合专网以及5g独立专网。1.2.15g虚拟专网5g虚拟专网产品是中国联通基于5g公众网络资源,利用端到端qos或切片技术,为客户提供一张时延和带宽有保障的、与中国联通公众网络普通用户数据隔离的虚拟专有网络,网络架构如下图所示:图1-15g虚拟专网网络架构图1.2.25g独立专网5g独立专网产品采用专有无线设备和核心网一体化设备,为行业用户构建一张物理封闭、低时延、高带宽的基础连接网络,实现用户数据与中国联通公众网络数据完全隔离,网络架构如下图所示:图1-25g独立专网网络架构图1.2.35g混合专网5g混合专网产品采用核心网控制面共有化部署,行业用户upf网元私有化部署,无线基站、核心网控制面网元根据客户需求灵活部署的模式,为用户提供部分物理独享的5g专用网络。满足行业用户大带宽、低时延、数据不出园区的需求。网络架构如下图所示:图1-35g混合专网网络架构图 5g专网安全技术白皮书3025g专网安全诉求及风险分析2.15g相关安全政策与标准5g规模商用以后,国家层面高度重视5g行业的安全发展,陆续出台了多项政策要求与标准,鼓励5g行业发展与创新的同时把安全放在全新的高度,护航5g专网赋能各行各业数字化转型。2.1.1安全政策《中华人民共和国网络安全法》第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行保障网络免受干扰、破坏或者未经授权的访问,防止数据泄露或者被窃取、篡改的安全义务。《信息安全技术网络安全等级保护基本要求》2.0版本将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等纳入了保护对象。《中华人民共和国数据安全法》明确提出对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置,全面建设有效防护机制,保障数字产业蓬勃健康发展。工信部印发的《“十四五”信息通信行业发展规划》中明确要求全面推进5g网络建设,加快5g独立组网(sa)规模优化产业园区、港口、厂矿等场景5g覆盖,推广5g行业虚拟专网建设。要求运营商全面加强网络和数据安全保障体系和能力建设,持续提升新型数字基础设施安全管理水平,打造国际领先的5g安全保障能力,全面构建基础安全管理体系;并严格落实《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》,积极推动《电信法》等立法工作,加快完善信息通信行业相关规章制度。十部门印发的《5g应用“扬帆”行动计划(2021-2023年)》中提出开展提升5g应用安全提升行动,强化5g应用安全供给支撑服务;支持5g安全科技创新与核心技术转化,鼓励5g安全创新企业入驻国家网络安全产业园区;加强5g安全服务模式创新,推动5g安全技术合作和能力共享,鼓励跨行业、跨领域制定融合应用场景安全服务方案;加强5g网络安全威胁信息发现共享与协同处置。2.1.2安全标准针对5g网络安全,其中3gpp发布了ts33.501《securityarchitectureandproceduresfor5gsystem》,对5g安全体系结构概述,对5g网络接入安全、网络域安全、用户域安全、应用域安全等等安全域进行说明,规范了5g核心网络周边的安全实体、5g核心网络中的安全实体,并制定了安全要求和功能的标准规范。中国通信标准化协会发布了yd/t4056-2022《5g多接入边缘计算平台通用安全防护要求》、yd/t3628-2019《5g移动通信网安全技术要求》,对5g的安全性进行了全方位的描述,涵盖5g网络的安全架构、安全需求、安全功能要求以及相关安全流程等方面的标准制定。 5g专网安全技术白皮书42.25g专网总体安全风险分析5g专网的安全风险包含终端安全风险、网络安全风险、mec安全风险、边界安全风险、管理安全风险。图2-15g专网总体安全分风险分析2.2.1终端安全风险分析5g专网终端分为两大类,分别是5g终端(如5gcpe、5gdongle和物联终端内的5g模组)和其它非5g终端(如普通摄像头、plc和agv等可以通过连接5gcpe来接入5g网络)。终端安全风险点主要包括:终端物理安全、终端接入安全、终端数据传输安全及其它安全风险,