◎成都安美勤信息技术股份有限公司◎阎育斌

随着第四代蜂窝移动通信技术的应用和稳定，加之移动终端增长速度越来越快，人们对移动通信技术的要求也越来越高，在这种情况下，第五代蜂窝移动通信技术（以下简称5G技术）开始提出、试用并逐步应用，而5G技术必然要在4G技术的基础上增强信息安全性、数据安全性以及信息监管有效性，因此，本研究着重针对5G环境下的网络安全等级保护举措进行探析，旨在为日后5G技术发展方向提供一定借鉴价值。

科学技术水平的不断发展和进步，使得物联网、互联网行业出现迅猛增长，数据流量的大幅增长对移动通信技术的质量和安全要求也随之不断提高，在4G技术已经全面运营并趋于稳定的现状下，为追求进一步提高，5G技术的提出和使用已经成为必然趋势。5G技术除能够满足万物互联需求外，还应该真正意义上实现网络、数据和用户隐私的安全，提高用户的使用体验。

1. 网络安全概述

《中华人民共和国网络安全法》对网络安全的定义是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。简单来说就是系统软件、硬件以及其中包含的数据信息都受保护，不会受恶意损坏、偶然因素的影响导致信息和数据的丢失和泄露、系统软硬件的不可使用。网络安全建设要根据不同对象网络安全保护等级进行分类防护，5G新技术带来的全新网络服务和运营模式对网络安全带来了新的挑战，如何按照国家网络安全等级保护制度要求做好5G网络下的安全建设是值得思考的问题。

2. 5G场景下的网络安全威胁

随着5G技术的成熟和不断应用，整个世界进入万物互联时代，在带给我们各种便利的同时，产生了更多的应用场景和想象空间，不同应用场景对5G技术的要求侧重点不同，因此面临不同的安全威胁，如果不能很好的防范和解决这些安全威胁，将会带来诸多问题，严重的可能会造成人身、财产损失，甚至对国家安全造成危害。

2.1 海量机器通信（match）场景

此类场景主要应用在智慧城市、智能家居、环境监测、森林防火、共享设备等领域的数据采集，采集终端具有小数据包、海量连接、低功耗等特点，对时延要求不敏感，但分布范围广、数量众多。其面临的安全威胁有DDOS攻击，网络干扰、拥塞，数据篡改、伪造、重放等，一旦被攻击造成网络不可用或其采集数据被篡改，很容易造成监控失效、分析研判不准确、误导辅助决策等问题，严重的可能造成人身、财产损失，甚至危害国家安全。如：地质灾害监测系统依赖前端采集设备采集到的环境数据，传送到数据中心进行分析研判，进行地质灾害预报等。通过5G网络攻击，不法分子对前端采集设备的数据进行篡改，发送大量伪造的数据，会对地质灾害监测造成重大影响，出现可能发生的地质灾害无法准确预报或已经发生的地质灾害被显示为正常等现象，严重时会造成人员伤亡和财产损失，甚至引起社会恐慌。

2.2 超高可靠低时延通信（uRLLC）场景

此类场景主要应用在远程医疗、自动驾驶、工业4.0、机器人控制等领域，多用于工业系统和远程设备控制。因其要实现对设备的精确控制，所以对5G网络带宽要求中等，对可靠性和低时延要求很高。其面临的安全威胁有终端入侵，DDOS攻击，数据隐私泄露，传输、存储漏洞等，一旦被攻击造成网络不可用或数据传输过程中被篡改，会造成设备不受控制或受到恶意控制等情况，轻则影响生产生活，重则产生事故，造成人员伤亡和财产损失，严重时可能危害国家安全。如：自动驾驶系统在车辆运行过程中不断接收和分析收到的数据，并与指挥中心通过5G网络通信，做出分析研判后向车辆下达指令，躲避拥塞，避免事故。通过5G网络攻击，不法分子可能接管车辆的控制权，向车辆下达错误的指令，轻则造成大面积拥堵，重则可造成大量人员伤亡和财产损失，形成群体事件。

2.3 增强移动宽带（eMBB）场景

此类场景主要应用在增强现实和虚拟现实（AR/VR）、增强型室内无线宽带覆盖等领域，因其要传输大量的视频，所以对5G网络的带宽和实时性要求极高。其面临的安全威胁有仿冒平台及用户、数据隐私泄露等，一旦被攻击有可能会使用户在虚拟现实中看到虚假的信息，引导用户行为。如：AR/VR利用程序将想要展示的各类元素（人物、建筑物、环境等）都能清晰的展示在用户眼前，不法分子通过攻击获取平台权限后，可以向用户传递虚假的信息，引导用户做出错误的行为，轻则导致用户不适或信息失真，重则可造成人员伤亡和财产损失。

3. 5G环境下的网络安全等级保护的相关措施

3.1 规范化网络安全等级保护对象

规范化网络安全等级保护对象主要分为两个方向，一是关于切片网络服务的网络安全等级保护对象，这是因为切片网络服务是5G环境下产生的一种新型网络服务，主要包含垂直通信商和网络运营商，与传统的网络通信技术的网络安全等级保护对象有所不同，这是在垂直通信商和网络运营商交叉的基础上实现等级划分和保护，除了简单的物理区域划分外，还可通过空间、多维度等方式进行等级划分和保护。二是关于移动边缘计算（MEC）平台的网络安全等级保护对象，这是因为5G环境下加入了新的等级保护对象MEC节点计算，该种方式顺应了大数据和云计算的要求，从数据库、服务器、终端和程度等多个方面进行等级保护，具备短时间内大数据计算的功能，根据业务需求的变化进行变化，而不是传统上单一固定划分安全等级保护对象。

3.2 重视网络安全等级保护的特殊性

重视网络安全等级保护特殊性必须重视安全防护难度系数问题。新技术下必然带来更高的风险内容，进而增加安全防护的难度系数，在5G环境下开展网络安全等级保护必须做到充分考虑核心网、接入网、切片网、移动边缘计算节点和终端等多个方面满足网络等级保护基本要求。重视网络安全等级保护特殊性必须明确安全责任问题，这是由于在传统网络安全等级保护中对访问控制和安全隔离十分重视。因此，5G环境下必须沿用该原则并在此基础上合理划分边界，明确边界防护问题。重视网络安全等级保护特殊性必须做到根据不同终端类型确定不同网络安全等级保护方式，5G环境下可能存在的危及人体健康和生命安全的事故都应受到重视，终端类型的多样化就要求对等级保护方式的多样化，以适应终端需求，确保安全性。

3.3 充分考虑接入安全

在今后一段时期，一方面来自不同网络系统（5G、4G、3G、Wifi）、不同接入技术、不同类型站点的并行接入模式将成为常态。而原本不同的网络系统各自对接入终端进行认证，客观上无法实现终端设备的互认互信。因此需要考虑对不同网络系统统一进行相关改造，采用统一的认证框架，实现适用于各种应用场景下的灵活且高效的双向认证，并建立统一的密钥体系；另一方面成本的降低和技术发展必将使5G的垂直行业使用大量的物联网设备，这类设备总量大，计算能力低，具有突发性的网络接入特征，现有的面向传统设备的接入认证机制需要终端具有一定的算力，而这些海量低算力设备的算力无法满足基本要求，因此需要专门面向物联网设备研发更高效的接入认证机制。另外5G网络中，黑客如果利用海量物联网设备对网络发起DoS攻击，对网络造成的危害远比传统终端带来的危害大，因此需要在终端接入认证机制研发过程中限制或阻止攻击者对资源的过度请求，减少每次请求对资源的消耗。

3.4 确保基础网络安全

5G网络切片技术的引入，为运营商在同一套物理设备上提供多个端到端的虚拟网络提供了可能。5G网络切片可划分为功能型切片和服务型切片，由一个网络切片管理的敏感数据可能通过一些侧信道攻击，被运行于另一个网络切片中的应用获得；一个切片内部的错误和故障也会对其他切片产生影响。因此需要为不同网络切片间提供持续的安全隔离机制，相同业务类型的网络切片之间也需要隔离，并能为用户或者基础设施运营商提供有效的隔离证明。

5G网络切片的基础技术是网络功能虚拟化（NFV）和软件定义网络（SDN），要实现网络切片安全，首先要实现NFV安全。传统4G网络依赖物理设备“隔离”的方式不再适用，5G须考虑由NFV等新技术带来的虚拟化安全问题。利用NFV的弹性、快捷性，可以快速部署大量的虚拟化安全设备，并且可利用虚拟化隔离业务负载从而强化安全。用户和切片间安全通过接入策略控制来应对访问类风险；切片内网络功能间安全，先进行认证对方NF是可信的，再建立安全隧道保障通讯安全；切片内NF与切片外NF间安全可通过如下方法实现：

1.切片内NF与切片公用NF间的安全（白名单机制）

2.切片内NF与外网设备间的安全（部署防火墙）

3.不同切片间NF的隔离（通过虚拟局域网划分）

其次要实现 SDN安全。由于SDN采用集中式的控制器，一旦控制器被攻破，攻击者就将拥有整个网络的控制权；SDN的核心OpenFlow交换机与控制器之间的频繁通信在遭受DoS攻击时会极大降低网络性能。因此如何保护SDN这个网络中脆弱的部分，需要部署有效的防范措施和抗Dos攻击手段。可以利用SDN的全局视野、集中控制，可快速流量调度等优势，实现防护的快速生效。

3.5 利用密码保障安全

5G万物互联，带来巨大的密码使用需求，但4G中原来使用的大量密码算法计算代价大，对终端和边缘设备性能要求高，与5G绿色节能的要求存在冲突，因此需要考虑设计具有丰富层级架构的一系列轻量级密码算法，改进密码算法的适应性，以提供按需的安全服务，优先发展和使用国产密码算法。

5G将引入公钥基础设施（PKI）来加强用户身份的机密性保护以及网络各节点之间的相互认证。5G与PKI相互影响，PKI的操作复杂性制约着5G现实中的应用，5G的需求促进PKI的发展，因此应优先发展和使用国产化公钥基础设施。

在密钥管理方面，由于5G应用场景丰富，5G的密钥各类呈现多样化的特点，密钥既统一又独立，保证网络切片通信安全的密钥与支持非3GPP接入的密钥。

3.6注重应用场景安全保护

物联网终端资源受限，网络环境复杂，海量连接，容易受到攻击。因此需要有群组认证机制防范信令风暴；需要抗DDOS攻击机制，应对NB-IoT终端被攻击者劫持和利用；需要采用轻量化的安全机制，在安全方面不要增加过多的能量消耗；需要确保信令和数据传输安全性，如隐私保护和完整性保护。

车联网要求空口时延低至1ms，直接的车-车通信需要快速相互认证。而传统的认证和加密流程等协议，未考虑超高可靠低时延的通信场景，因此需要为车联网设计优化认证和加密协议，优先发展和使用国产化认证和加密协议，此外还要防范基于伪基站的无线通信劫持和基于DNS欺骗的中间人攻击。

3.7 保障用户隐私安全

5G加速用户隐私信息在多种网络、服务、应用及网络设备中存储使用，如何保护用户隐私成为巨大挑战。因此应该使用加密技术、匿名化技术为临时身份标识、永久身份标识、设备身份标识、网络切片标识等身份标识提供保护；使用加密等技术提供对海量的用户设备及其应用产生的用户位置相关信息的保护，并防止通过位置信息分析和预测用户轨迹；使用机密性、完整性保护等技术对用户使用服务产生的相关服务信息提供保护。

3.8 加强数据安全保护

MEC使得计算下沉到无线接入网和移动终端一侧，MEC服务器部署在网络汇聚结点之后或基站内，MEC处在对外开放且不受控制的环境，特别容易遭到物理篡改和攻击；低成本物联网终端更容易被攻击，部署在不可信环境中的核心网网元易被物理接触攻击，因此应该采用集中式或分布式的鉴权和认证方法，通过虚拟机隔离提供虚拟化安全并采用入侵检测技术发现恶意攻击；

无线和核心网参数开放给第三方APP做智能优化，MEC具备数据缓存能力，敏感数据易被攻击者获取，会造成敏感数据泄露，因此应该充分利用已有通信安全协议、密码加密和解密体系保护数据。

4. 结语

5G环境下针对网络安全等级保护来说要求更高，必须通过规范化网络安全等级保护对象、重视网络安全等级保护的特殊性、充分考虑接入安全、确保基础网络安全、利用密码保障安全、注重应用场景安全保护、保障用户隐私安全以及加强数据安全保护等方式，不断提高5G环境下的网络安全，为更多的用户带来便利。