關于5G網絡內生安全的思考

苗守野

中國聯合網絡通信集團有限公司 北京 100033

引言

5G支持更高帶寬、更低時延、更大連接的特性將推動通信技術向各行業融合滲透，為社會帶來新的變革。5G在開啟萬物互聯新局面的同時，5G新業務、新架構、新技術也帶來了新的安全挑戰和風險，其安全性不僅關系到個人通信安全，還影響到所連接的工業、能源、交通、醫療等實體經濟安全，5G網絡風險防范成為各國政府、國際標準組織、電信運營和設備制造企業高度關注的焦點。

1 全球為提升5G網絡安全持續努力

1.1 3GPP持續優化完善安全標準，消減5G網絡風險

近年來，3GPP SA3工作組持續對5G各場景的安全威脅和風險進行分析，不斷優化完善5G安全標準，已演進到R18版本。相比2/3/4G網絡，5G網絡安全能力進一步增強，例如更好的空口安全、用戶隱私保護增強、更好的漫游安全、密碼算法增強、核心網增強的SBA安全、用戶面提供完整性保護等等。

在5G垂直行業應用安全方面，3GPP標準為各垂直行業提供了豐富且定制化的安全特性，例如支持IoT設備小數據傳輸安全、支持URLLC的冗余會話傳輸安全、支持切片的認證和授權、支持多種私網形態的靈活認證，以滿足不同行業的多樣性安全需求，并向第三方開放3GPP安全能力。

1.2 GSMA聯合3GPP提出5G網絡安全保障方案(NESAS)

在5G設備安全認證方面，GSMA聯合3GPP定義網絡設備安全保障方案(NESAS)[1]，對移動網絡設備的開發過程及設備驗證進行安全評估。其提供了一個全行業的安全保障框架，以促進整個移動行業的安全級別的提高。NESAS定義了安全產品開發和產品全生命周期的安全要求和評估框架，并使用3GPP定義的SCAS(安全保障規范)中的安全測試用例對網絡設備進行安全評估。NESAS認證是評估5G設備商安全能力的重要手段[2]，促進了移動通信領域全球產業界運營商、設備商之間安全合作互信。全球主流設備商均通過開展NESAS/SCAS認證，有效提升了5G設備的安全性。

1.3 GSMA提出的5G安全知識庫可以指導運營商消減5G網絡風險

5G安全知識庫是GSMA聯合5G產業生態構建的5G網絡安全指南，為保障移動通信網絡安全提供了參考和依據[3]。5G安全知識庫按照“應用安全、網絡安全、設備安全”三層模型，針對不同的網絡威脅，明確應用提供者、運營商、設備廠商應采取的消減措施，共同保障5G網絡安全。它圍繞5G端到端網絡安全架構，描述網絡威脅、安全場景、攻擊方法、消減措施、安全標準及最佳實踐等，同時在安全治理、運營管理以及網絡部署等方面給出相關建議。

2022年，中國聯通研究院在GSMA提交了5G安全知識庫2.0優化建議，得到GSMA專家的認可。

2 運營商5G網絡防護現狀與不足

2.1 5G網絡安全防護現狀

運營商保護網絡安全的核心目標是：保證用戶數據的安全和網絡的可用性，確保網絡不癱瘓，在受到網絡攻擊時，能發現和阻斷攻擊、快速恢復網絡服務。全球運營商已采用多種技術手段，保護5G網絡不被入侵，確保用戶數據不被竊取。目前采用的安全技術手段主要包括如下幾種。

1)業務連續性保障

通過設備冗余、鏈路冗余等，確保網絡韌性和業務連續性，防止網絡故障引發的網絡中斷和癱瘓。

2)網絡縱深安全防護體系

通過劃分網絡安全域，實現分層分域的縱深安全防護。在網絡安全域劃分的基礎上，在各安全域的邊界部署安全防護、安全檢測、安全監測等網絡安全設備。

安全防護設備：通過部署防火墻、堡壘機、4A系統等限制非法的網絡訪問，通過入侵防護系統(IPS)基于流量分析發現網絡攻擊行為并進行阻斷，通過抗DDoS攻擊設備防范各類拒絕服務攻擊流量[4]。

安全檢測設備：部署網絡安全掃描器、WEB應用掃描器、安全配置核查系統等發現網絡和系統的各類安全漏洞、設備配置不合規等。

安全監測設備：通過入侵檢測、態勢感知、安全審計等技術手段動態分析入侵行為、安全事件、違規操作等[5]。

運營商通過建立縱深安全防護體系，及時發現安全漏洞和風險、防范各類入侵和網絡攻擊、檢測安全入侵事件，同時對安全事件及時響應和處置。

3)網絡安全運營

在網絡級縱深安全防護體系基礎上，運營商還建立安全管理平臺以支撐網絡運營，例如安全運營管理中心SOC、安全事件分析與應急響應平臺、資產與漏洞管理平臺等等，對網絡安全事件進行監控、分析和響應。

運營商建立設備或軟件入網驗收機制。在設備部署期間對產品進行安全加固，例如安裝最新安全補丁、關閉不需要的端口與服務、制定訪問策略、修改初始賬戶密碼、關閉遠程登錄通道等等。在網絡運行期間，定期進行安全健康檢查，掃描網絡漏洞，管理設備版本和補丁的升級和更新，以及設備軟硬件生命周期的維護。

2.2 當前5G安全防護體系存在的不足

1)5G安全防護體系性不足

目前，全球運營商在電信網絡安全防御體系方面，缺乏可以參考的安全標準，各運營商根據自己的實踐經驗在部署安全系統，缺乏體系性的安全架構設計。5G網絡的管理面、控制面和用戶面連接的是三張不同的承載網，面臨的安全風險差異極大，因此三個平面的安全防御體系需要單獨設計。5G網絡面臨的最大風險來自管理網，如何消減管理面風險，零信任接入、微隔離、堡壘機、SASE等是現階段防范管理網被入侵的主要手段；5G網絡控制面也面臨核心網云化、能力開放、UPF下沉到邊緣引入的安全風險，例如UPF暴露在園區網環境，存在通過UPF攻擊核心網的風險等。

2)外掛補丁式邊界防護存在短板

5G網絡包括海量的基站、UPF、邊緣云等網絡暴露面資產，還有大量的垂直行業應用終端，同時還有位于運營商電信云上的核心網網元等，資產數量多，暴露面風險突出。傳統外掛式、邊界防護等安全建設思路難以應對新的安全風險[6]。

當前運營商5G核心網部署在電信云資源池上，在核心網邊界部署安全防護設備，縱深防御不足，一旦突破邊界防御，在核心網內部就可以實現橫向攻擊。從全球安全案例來看，突破運營商網絡防御邊界的案例屢見不鮮。例如，2022年初，葡萄牙某運營商的5G核心網云化資源池被入侵，攻擊者刪除了核心網虛擬機，導致大面積斷網。

5G暴露面資產分散，難以集中部署安全防護設備。例如5G基站面臨無線空口攻擊，在基站上難以部署“外掛式”安全產品，例如無法部署傳統防火墻防護海量基站所面臨的無線空口DoS攻擊和無線頻譜干擾；5G用戶面網關UPF數量多，暴露在園區網，受攻擊的可能性大，部署外掛式安全產品的成本過高。

3)數智化程度不足難以支撐高效安全運營

對5G基礎設施設備威脅檢測能力不足，一旦出現針對海量5G設備的攻擊，通過人工方式難以在初始階段快速發現和消減5G安全風險。運營商超百萬個5G基站、數萬個UPF分散部署在全國，僅僅依賴部署在核心網邊界的安全設備無法有效感知全網安全風險，運營商現有安全態勢感知平臺等，在缺乏數智化安全分析、策略編排和響應能力情況下，難以支撐高效安全運營[7]。

3 內生安全助力打造5G堅強網絡

針對5G網絡當前面臨的安全挑戰，5G設備內生安全是有效應對之道。5G設備內生安全，是將網絡安全能力與5G設備融合內生，使得5G設備具備“自主免疫力”，讓5G端到端網絡環境具有更強健的“肌體”，從而能增強網絡韌性，提高5G網絡抗攻擊能力?！皟壬踩迸c“外掛式安全”不是非此即彼、相互割裂的關系，而是需要互為補充，有機結合[8]。設備內生安全能力可以增強網絡肌體的“免疫”能力，但不能完全代替網絡邊界外掛安全設備實現網絡“穿盔戴甲”。

3.1 5G網絡的內生安全目標

5G內生安全要將安全能力內置(Build-in)在網元設備上，而不再是在設備上安裝外掛(Add-on)安全組件[9]。這種內生安全能力屬于設備網元的原生能力，需要和業務深度融合，網元具備自我安全監控、防護、響應能力，在不影響電信業務的前提下，實現網元內生的檢測、防護和處置閉環。

5G網絡內生安全是5G網絡自身具備的原生安全能力，其目標是：由運營商制定內生安全規范要求，設備商具體實現。網元內生安全要具備安全檢測、防護和事件處置能力，從而讓5G網絡具有自動檢測、主動防護、精準防護的能力，將關鍵資產和資源(數據、接口、賬號、組件)的網絡安全風險降到運營商可接受的水平，實現5G網絡持續、穩定、可靠運行。

設備商要將安全功能內置到設備網元的硬件層、OS層、虛擬化層及業務層，提供軟件包防篡改、操作系統防護、重要核心數據防護、網元安全監控防護響應等能力，確保入侵者進不來、拿不走、改不了、跑不掉。

業務無損：不影響5G網絡業務性能，實現99.999%可靠性，并要確保部署升級業務零中斷、不新增網元暴露面等。

3.2 5G設備內生安全需求

5G設備內生安全能力應包括5G設備網元內生的通用安全能力、特有的安全防護和檢測能力、網元間安全隔離防護能力、安全可視化管理及安全風險自動化處置能力。

1)通用的設備內生安全能力。設備硬件層內生可信芯片、密碼加速芯片等安全芯片，為設備提供硬件可信根；操作系統層面內生內核保護、進程防護、安全啟動、可信度量、主機檢測等安全能力；虛擬化層面提供虛機隔離、容器隔離、容器逃逸檢測等安全能力；電信業務層內生接入安全控制、協議安全、信令安全、業務異常檢測、重要核心數據保護等業務層的內生安全能力。

2)不同5G設備網元內生的特有安全特性。無線基站內生防止空口DDoS攻擊[10]、頻譜干擾檢測，安全弱配置主動檢查，基站自身進程、文件和用戶操作等異常行為自主及時發現，并且可快速定位止損的能力；核心網元運行在電信云資源上，應具備攻擊感知(基于白名單檢測并感知攻擊事件，防破壞和信息竊取)、入侵檢測(檢測異常賬號、信息竊取、權限提升、異常行為操作、非法文件篡改等安全攻擊事件)、病毒檢測(檢測蠕蟲/木馬/勒索等惡意軟件植入安全事件)、微隔離(基于白名單的細粒度網絡訪問控制，防止橫向訪問攻擊擴散)等能力。

3)5G網元間安全隔離防護。域內網元間實現微隔離，即基于5G網絡內確定性業務訪問關系，根據精細化的訪問控制策略，實現網元間全域實時安全隔離[11]。

4)5G網元安全可視化管理。5G網元內生安全組件發現的異常事件和行為與威脅情報、漏洞庫等關聯，在網元管理系統(網元安全管理中心)層面構建安全風險可視及管理能力，基于網元/網絡云資產視角以及安全事件視角實現安全風險整體可視。網元安全管理中心以資產維度呈現網元當前的安全狀態，風險評分及TOP級攻擊事件，保障網絡安全運營人員可以快速發現異常并及時采取相關處置措施。

5)5G安全風險自動化處置。網元安全管理中心應具備快速響應和處置能力，通過預定義和自定義腳本構建安全事件響應處置策略，并基于安全策略及應急響應機制，構筑調整—處置—恢復—優化閉環的自適應安全處置體系。

3.3 內生安全的附加特性要求

5G內生安全的具體落地，需要在對5G網絡業務深刻理解的基礎上，實現業務無損、檢測全面精準、快集成和易維護等要求。

1)業務無損。相對于外掛安全軟件，內生安全能力需要保障對5G網絡業務本身無影響，資源占用消耗率低，可以隨業務動態拉起等特點。在保障5G網絡自身安全的同時，近似“零存在”地為業務服務，實現5G正常運行和安全保障的平衡。

2)檢測全面精準。以電信業務模型庫為基礎，基于電信領域的確定性知識，構建確定性的白名單和行為基線，降低誤報率。通過持續性信任評估、多維深度檢測、防護和響應，可應對各種安全風險。

3)快集成?？梢院碗娦艠I務系統預集成，和電信系統一起安裝調試，無需額外集成測試。

4)易維護。通過網元安全管理，使5G業務的運維人員具備網元安全運營管理能力，讓網元的安全防護、檢測能力等可以和5G業務軟件完成同步部署、變更、擴縮容，讓網元安全管理融入日常運營管理。

4 內生安全現網實踐

4.1 5G內生安全解決方案的整體架構

針對第二章、第三章所述相關威脅和挑戰以及目標，提出以下5G網絡內生安全架構，如圖1所示。

圖1 5G網絡安全架構圖

1)設備安全：制定設備安全規范，要求設備商將內生安全功能融入產品，確保設備的軟硬件可信，防止設備被非法入侵、控制，支撐構建網絡韌性。

2)網絡安全：打造嵌入式網絡安全能力，將安全嵌入業務，實現高效的安全管理和網絡韌性，使能行業應用安全。包括以下三個層面的安全能力：

網絡功能安全：電信級的橫向網絡韌性，確保設備間網絡通訊的機密性、完整性、可用性；

安全管理：感知業務的安全策略編排、感知業務的安全事件檢測、提升安全有效性和運維安全效率；

使能行業安全：從安全能力變現的目標出發，基于網+云的安全能力，保護行業客戶5G應用安全。

3)應用安全：5G賦能各個垂直行業，行業應用在環境、業務、資產、運營等層面具有不同的特征，在實際應用中，不同行業、不同應用有不同的安全需求。需要充分應用5G基礎設施以及圍繞5G網絡打造嵌入式網絡安全能力，使垂直行業的應用安全充分受益。

4.2 5G內生安全解決方案

內生安全理念應成為全行業的統一行動。首先，應推動5G內生安全成為行業標準，并在實踐中持續優化演進。設備內生安全的概念、內涵、功能、范圍需要明確，設備內生安全與網絡安全管理平臺之間的接口需要確定。在5G向5.5G、6G網絡演進過程中，內生安全也應成為其重要特征與內在要求。

其次，推動5G基礎設施內生安全能力在現網落地。圍繞5G基礎設施設備的“啟動—運行—退網”生命周期，確保進入運營商網絡的每一個5G設備都是安全可信的；通過內生安全能力，讓5G網絡具備更強壯的“肌體”，在網絡攻擊面前具備更強大的免疫能力；內生的安全防護、威脅檢測和響應處置能力，要讓維護人員實現高效安全運營。

再次，將零信任、動態身份評估、微隔離等縱深防護思路應用到5G場景。結合垂直行業應用終端接入、MEC邊緣虛擬化網絡、5G網絡安全運營等重點場景，建立維護人員、網元設備、5G終端的動態身份信任評估機制，并結合可信接入、微隔離等新技術，實現對人員和5G設備、終端的接入可信、訪問可信和操作可信的多重訪問控制，防止對5G網絡的非法接入、越權訪問等。

最后，設備內生安全應與AI、SOAR等新技術、新模式結合，探索建設5G網絡安全能力新平面，實現5G網絡安全能力向垂直行業外溢[12]。運營商可基于大數據、AI安全、SOAR等新技術，聚合5G設備內生安全、外掛式安全產品、5G終端安全等多種安全數據，構建自動化的安全運營平臺，為垂直行業提供態勢感知、通報預警和應急響應能力。同時，5G網絡內生的安全能力開放，例如基于USIM卡的認證能力、基于核心網的應用認證與密鑰管理能力(AKMA)等，可以為行業應用安全性保駕護航。

4.3 5G內生安全現網驗證

中國聯通已聯合設備商，率先在某省公司完成全球首個引入第三方攻防驗證的5G核心網內生安全試點驗證，取得了良好的效果，為支撐公司打造堅強網絡提供了有效保障。如圖2所示，實踐基于GSMA 5G安全知識庫指引，面向提升5G核心網安全運營能力，突破傳統的邊界防護思路，充分結合核心網超高可靠性運行要求和技術特點，構建5G核心網內生安全創新型高效解決方案。

圖2 5G核心網內生安全部署視圖

本次創新試點主要驗證了在運行安全、運維安全、系統安全和資產風險可視四大核心場景，覆蓋快捷輕量部署、高效合規檢查、敏捷入侵檢測、一鍵處置響應、全量資產管理和極低性能損耗等六大關鍵能力。在功能測試過程中，測試用例100%通過，構造了數萬次攻擊100%檢出；在性能測試過程中，完成了全球首個在百萬話務量場景下內生安全技術對業務影響、資源占用及可靠性測試，虛擬機CPU使用率和物理內存占用率符合預期，真正做到了業務無損；在攻防測試過程中，全球首次在真實環境引入了第三方攻防測試，攻擊涉及10+類場景和數百件安全事件，事件均被檢出，通過一鍵處置響應能力成功阻斷攻擊，充分驗證了5G核心網內生安全優秀的安全防護能力。

5 結語

5G內生安全的理念已在行業主管部門、運營商、設備商之間逐步形成共識。為加強5G網絡安全防護，通信行業主管部門在5G安全指南等相關要求中，提出加強5G安全技術和產品研發，推動內生安全、零信任安全、動態隔離等技術研究和實踐落地。針對5G核心網、邊緣計算平臺等5G網絡基礎設施，推動容器安全、微隔離等虛擬化安全防護產品及5G空口和信令防護檢測等安全產品的部署應用，提升5G內生安全能力和5G網絡威脅的感知能力。下一步，內生安全理念應成為全行業的統一行動，加快推動5G內生安全成為行業標準并在現網落地，將零信任、動態身份評估、微隔離等縱深防護思路應用到5G場景，充分結合AI、SOAR等新技術、新模式，探索建設5G網絡安全能力新平面，實現5G網絡安全能力向垂直行業賦能。

內生安全作為一種理念，不僅適用于5G網絡，還應推廣運用到整個電信網絡。內生安全應作為電信網絡關鍵信息基礎設施保護能力的重要手段，可以在實現關鍵信息基礎設施“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”過程中發揮重要作用。