中兴通讯 5G行业应用安全白皮书 2019年8月01前言 “4G改变生活， 5G改变社会！”除了进一步更好地服务于传统的消费移动互联网， 5G还将赋能整 个社会的其他垂直行业。这意味着 5G在承载更多的社会资产、服务和责任的同时，必然会遭受更多 的恶意攻击，也对垂直行业的网络和信息安全提出了更多新的挑战。在新的环境下，如何保障网络 正常运作及数据核心资产安全，是行业用户首要关心的问题。 行业应用在环境、业务、资产、运营等层面具有不同的特征，这些特征之间关联交织，使得安全性问 题显得隐蔽而复杂。在实际应用中，不同行业、不同应用也会有不同的安全需求。网络化协同、个性化的安全定制等不仅要求网络提供安全服务的保障，也对网络的安全隔离能力提出更高的要求。 在 OT（操作技术 Operation Technology ）与 IT（信息技术 Information Technology ）的融合时代， 数据的开放、流动和共享使得企业数据面临着前所未有的挑战，数据的保护难度也在增大。同时个 性化定制、服务化转型涉及到大量的用户信息，使得用户隐私泄露风险也在不断增加。随着多接入 边缘计算（ Multi-access Edge Computing ：MEC）大量部署，数据安全和隐私保护将被摆在更显 眼的位置。 随着信息技术的发展，云计算、虚拟化、边缘计算等新技术的广泛应用也导致行业安全风险不断叠加。 云计算、虚拟化技术使得安全边界模糊，流量不可见；边缘计算使得行业数据安全传输与存储的风险大大增加；行业的多业务场景要求安全与业务需求、接入技术、终端能力等相结合。如何充分利 用大数据、人工智能（ Arti/f_icial Intelligence ：AI）等技术为行业应用提供智能化的安全服务，也是 当前行业面临的重要课题之一。 在本白皮书中，中兴通讯基于对安全领域长期以来的技术积累以及对 5G网络的深刻洞察，分享了对 于5G垂直行业应用安全的一些观点。中兴通讯认为， 5G为垂直行业提供了更安全的智能网络服务， 从多个维度提升了安全特性；同时，通过 5G基础设施与垂直行业的典型业务特征相结合，以网络与 设备为中心，以可视性与可控性为基本框架，充分利用切片定制、能力开放、边缘计算、 APT（高级 持续性威胁 Advanced Persistent Threat ）防御、可信技术、动态防御等创新平台与技术，打造与 垂直行业紧密融合的网络安全长城，完成对 5G行业应用网络的深层次加固。02 目录 5G行业应用安全挑战 安全的 5G网络能力 可定制化安全 端到端网络安全 边缘定义安全 灵活的 5G安全架构 多层次的隔离能力 丰富的安全开放能力 多元化的边缘计算安全 端到端的数据安全保护 先进的数据隐私保护 面向 5G行业的新型防御技术 智能化的高级持续性威胁防御 精细化的微分段技术 动态化的主动防御 行业应用安全治理与评估 未来及展望 缩略语03 04 05 0608 10 111213 14 15 16 171818 19 202103 5G行业应用安全挑战 5G网络的高带宽、低时延、海量连接等特性大幅提升了全社会各产业的信息化水 平。同时， 5G网络提供的灵活定制、弹性部署、多层次隔离等智能网络能力，推 动了互联网创新从量变到质变的转型。未来 5G将深入垂直行业，促进产业创新与 经济增长，影响我们的生活方式，提升全社会的福祉。 自2015年以来，全球每年有超过 300起大型工业网络安全事件发生，企业与公 众开始越来越多地关注此类事件，并从安全、财产、经济、声誉等方面评估可能 产生的影响。随着 5G的规模商用以及在垂直行业中的普及，行业应用将会吸引更 多的恶意攻击。诸如工业制造、能源、交通、金融等关键领域的高价值资产将成为首要的攻击目标，并可能给国家、社会和企业带来严重的风险。 在 5G时代，传统互联网的方法论、设计范式、软件技术仍会继续在垂直行业使 用，用于攻击的漏洞、工具与手段都能够直接对行业资产产生威胁。 5G引入切片、 NFV（网络功能虚拟化 Network Function Virtualization ）、 MEC等新技术以支 持智能网络服务的定制，也使得网络的形态、生态、商业模式、信任与风险关系 呈现出更加动态与复杂的态势。集中编排与软件定义能力的运用，在为网络带来 新的中心化特征的同时，也对安全性带来了新的挑战。 5G时代的行业应用网络，必须能够提供不低于传统专网的安全性与可靠性，才能 够胜任高价值资产的承载，同时，需要充分灵活地应用 5G基础设施以及围绕 5G 网络的创新所带来的新技术与新能力，使垂直行业的安全充分受益。04 安全的 5G网络能力 05 图 1 5G网络安全定制框架5G网络进一步满足了人们对超高带宽的增强移动互联需求（例如 AR、VR、8K视频通讯等），同时实现了由消费类网 络向行业应用网络的转型（例如远程医疗、无人驾驶、智能制造等）。行业应用对网络时延、传输速率、连接数等存 在差异化的要求，而传统移动网络受限于网络架构、交付方式、运维模式等因素，已经难以满足不同行业的应用需求。因此， 5G基于 SDN（软件定义网络 Software De/f_ined Network ）/NFV等新技术，重构了全新的网络架构，以更好地 支撑多样化的行业应用场景。 作为网络必要组成部分的安全体系，传统移动网络采用了固化的安全防御架构，难以满足行业应用对于安全的差异化 和可扩展性需求，安全能力只能依靠打补丁方式进行扩展加固，导致移动网络无法及时使用新的安全技术、防御新型安全威胁。不同的行业应用存在共性的安全需求，同时各行业应用又存在特殊安全防护要求， 5G基于网络切片技术提 供了智能网络服务，并基于安全能力开放机制提供了灵活的安全架构，既可实现共性安全的统一考虑，又能兼顾具体行业应用所需安全机制的灵活定制。 相对于传统企业专网，基于切片的可定制化 5G网络能够为垂直行业提供更安全的、端到端保障的网络服务与能力。 5G网络应用于垂直行业，不仅仅提供基础的安全网络接入能力，还会开放边缘 DC（数据中心 Data Center ）、核心 DC中的各种基础设施能力，其安全架构不但需要考虑差异化的业务需求，还需要考虑网络与业务融合特殊场景的业务 需求，以进行安全架构的定制和加固。可定制 5G网络安全架构如下图所示。可定制化安全 安全可控性 更安全的接入 多层次安全隔离安全可视性 更强的安全审计能力 高安全标准 高水准供应链 端到端全网安全治理（等保 2.0）专业化运维切片定制与行业加固 SLA交付与能力开放 3GPP/ETSI/IETF 基于 eSIM/USIM GDPR合规Top制造商合作 产品安全治理 第三方权威认证长期运维经验 基于 AI等新技术 专属服务团队 高速响应能力平滑演进 面向 6G演进 新安全能力引入 威胁情报共享06 更高的网络安全接入标准 移动通信网作为商业化的电信网络， 在标准设计之初， 就充分考虑了网络接入的移动性、 可靠性和安全性， 通过 SIM（用户识别卡 Subscriber Identity Module ）/USIM（全球用户识别卡 Universal Subscriber Identity Module ） 等身份标识、 认证授权、 访问控制、 信道与承载加密等方式， 提供了良好的安全通信能力。 5G网络继承了 4G的安全特性，同时对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进 行了优化或增强。相对 WiFi、企业专网等非 3GPP接入机制， 5G提供了更大范围的移动性，也为用户 提供了更健壮的业务安全、更严密的数据保护及更强的用户隐私保护。 5G提供了基于统一认证框架的双向认证能力，使终端和网络都能够确认对方身份的合法性。这样不仅能 避免非法用户接入，也能避免利用伪基站、伪热点进行诈骗或者窃取用户信息。 更强的安全审计能力 任何通过不同接入方式接入到 5G网络的终端，都需要进行统一的认证与管理，并对设备使用网络的情 况进行记录。同时，还可以通过设备管理平台建立并维护各行业资产，及业务、部门、组织等实体之间的权属与管理关系，当发生异常行为时，可以快速追溯终端使用者的身份和行为轨迹，强化了所有者的管理责任，增加了攻击者的法律风险，有效降低攻击的概率。多层次的安全隔离 传统局域网与互联网的设计初衷是开放性，这也是导致网络安全问题频发的一个根源。未来的产业互联网将会连接工业、金融、能源、交通等重要领域的高价值资产， 5G网络切片不但能够为不同 SLA（服务 等级协议 Service Level Agreement ）的业务提供网络架构的定制，还能够提供多种安全级别的网络隔 离能力，为终端提供端到端的安全通道。这样，即使某一终端被攻破，恶意程序也很难在 5G网络中横 向传播，使得攻击的扩散势头以及导致的损失得到有效的遏制。 高水准的供应链 5G网络各种软件、硬件以及服务的供应商与合作伙伴，优先选择具备强大实力的提供商，其内部安全治 理水平处于业界领先水准，可以从源头保障 5G网络的长期安全，并可简化、加快行业客户从设备认证、 选型、采购到部署的全过程。 端到端网络安全07 专业化的运维 很多安全事件的根本原因都是因为不专业的管理与运维导致。 相对于企业专网中各种中间设备的多样性、 暴露性以及管理的分散性等隐患， 5G提供了一站式的弹性网络安全能力，并在运行期间能够提供长期专 业化的网络智能维护体系与应急响应体系，最大程度地减少由于企业自建专网等带来的安全运维风险。 端到端的全网安全