［王海燚 林燕飞］

1 引言

随着新一轮科技革命与产业迭代，围绕5G 技术展开的国际竞争空前激烈。作为5G 网络架构的一个重要特征，具有逻辑隔离、资源共享、按需定制、弹性伸缩等特点的网络切片，能够助力运营商根据业务场景构建相互隔离的逻辑网络，结合切片租赁、能力开放、切片托管等多种运营模式，可以灵活满足垂直行业的多元化需求。对于5G商用化的发展，在寄予网络切片深厚期望的同时，也需关注切片技术引入带来的安全挑战。因此，构建一个满足运营商切片运营和安全运维需求的网络切片安全策略框架，进而指导切片安全防护体系建设已成为当务之急。

2 网络切片面临的安全威胁

网络切片由一组能支持特定场景通信业务需求的网络功能实例和运行这些网络功能实例的计算、存储、网络资源组成。网络切片面临切片内部和切片外部多方面的安全风险，切片内部的安全风险主要来自切片管理安全、切片自身安全防护、数据安全方面；切片外部的安全风险主要来自与终端的交互。

（1）切片管理安全威胁

攻击者可能利用认证鉴权防护的不足或配置不当带来的漏洞，通过恶意代码注入等手段非法获取切片的管理权限，针对切片实例执行非法创建、修改、删除等操作，或者针对管理公开接口实施拒绝服务攻击，影响切片服务的可用性。

（2）切片自身安全威胁

在切片自身安全防护措施不到位的情况下，如切片隔离不足、安全监测机制缺失，可能导致切片间资源挤占，被攻击的切片或出现故障的切片影响到其他切片，以及切片间的接口被非法操纵等安全问题。

（3）数据安全威胁

在信息传输和存储过程中，切片模板、密钥、切片标识等相关数据如果未进行有效的加密、完整性保护，将面临信息泄露、信息篡改等数据安全风险。在切片运行时，攻击者可以通过多种途径窃取用户凭证、切片实例ID 等敏感数据；或在切片下线后，利用尚未清除干净的配置信息和部分数据，提取敏感信息。

（4）与终端的交互风险

终端设备安全防护薄弱，攻击者能够利用认证授权流程上的漏洞，未授权接入切片，进一步地，若此时终端同时接入多个切片，攻击者有可能进行横向移动，破坏其他切片数据的机密性和完整性。

3 切片安全研究进展

近年来，业界标准化组织、产业联盟等纷纷开展了对切片安全的研究，制定并发布的一系列相关标准和解决方案，涵盖了一部分切片安全保护对象和切片安全性目标。

ITU-T 标准针对网络切片架构和切片安全功能方面提出了高层次的需求。ITU-T Y.3110[1]明确网络切片实例管理需支持异常信息收集和分析、支持异常隔离的能力，应具备相关消除异常的控制措施。ITU-T Y.3111[2]从网络切片的视角提出了5G 网络框架，并从身份验证和授权、检测和避免攻击两方面对各组件提出切片相关的安全要求。

3GPP 标准为5G 网络切片的研究奠定了基础，在Rel-15 阶段，TS 33.501[3]中针对网络切片管理规定了双向认证和授权机制，以及采用TLS 方式提供接口之间的安全等。同期开展制定的TR 33.811[4]中，针对5G 网络切片管理特性方面的威胁、潜在安全需求等进行了较为详细的阐述，并给出了对应的解决方案和建议。Rel-16 阶段，包括访问特定切片的身份认证、敏感信息防护等前阶段遗留的开放性问题在TR 33.813[5]中进行了研究。

NGMN 针对5G 网络切片使用过程中可能出现的安全威胁或缺陷进行了识别，并提出了身份认证、基线配置、隔离机制等安全方面的原则性建议[6]。ETSI 关于切片安全方面的考虑，则引用了NGMN 的安全指导方针，并从基础资源租用和租户的视角在租户数据的保护和隐私、租户资源隔离、仿冒攻击防护等方面提出安全要求。

ONF 关于SDN 各层面安全要求的研究，如SDN 特有的安全挑战及安全原则、SDN 架构面临的安全威胁分析等，也可以为网络切片底层技术的安全体系设计提供参考。

综上可以看出，业界对于切片安全的研究尚未形成体系，关于切片安全策略的研究较为欠缺。随着5G 网络切片的商业化落地，赋能垂直行业的步伐进一步加快，切片安全的薄弱链条面临严峻挑战。

4 网络切片运营和安全运维需求

随着5G 新基建的持续推进，电信运营商应当以满足客户定制化需求为出发点，创新网络切片的商业模式。网络切片既有云时代业务定制化的特点，又有传统资源型产品专有属性的特征。运营商可根据不同的客户需求选择如下三种商业模式：一是标准切片模式，运营商统一建设5G 网络，提供端到端网络切片业务，向企业提供切片租赁和增值服务[7]；二是能力开放模式，网络切片具备逻辑隔离和独立的生命周期管理，运营商向企业提供开放的接口，企业按照自身的特殊要求开发特定的运维功能；三是切片托管模式，企业自建专网，托管给运营商进行运维管理[8]。结合切片商业模式，从产品运营层面来看，一方面运营商需要对网络切片管理平台进行标准化建设，以此满足快速部署、节约成本的需求；另一方面，运营商需要对切片运营进行智能化升级，通过定制化切片模板、智能编排调度、切片部署优化等手段实现高质量供给市场的长远目标。

端到端切片的安全保障还对运营商的安全维护工作提出如下需求：一是对切片资产进行全面纳管。需要通过资产管理平台或其他技术手段对切片相关软硬件资源进行统一纳管，形成网络切片信息资产清单，并能从多维度掌握切片资产安全基础信息的情况。二是常态化安全作业。需要制定漏洞扫描、基线合规、动态风险评估、人工渗透等作业计划，定期识别网络切片的脆弱性信息并及时整改，以提高全网切片安全管理能力。三是安全威胁监测与处置。切片安全威胁监测范围包括但不限于5G 承载网、5GC、接入设备、切片管理平台等，需要对上述监测对象的日志、告警信息进行收集和分析，并按照企业安全事件处置要求及时处理，消除影响和隐患，确保切片系统和业务的正常运行。四是切片安全审计。需要对切片相关账号进行全生命周期的管理和审计，并能够对安全生产数据进行集中统计和呈现，以保障切片网络和数据免受来自内部用户的不合规操作造成的严重影响。

5 网络切片安全策略框架

网络切片安全策略框架需要考虑到整体架构以及各个模块的安全性，还要考虑新技术发展所带来的威胁。因此，建立满足运营商切片运营和安全维护需求的网络切片安全策略框架，其整体的构建思路是将保护对象与企业经营目标相结合，以传统的信息安全防护体系为基础，一方面要关注到切片安全与传统网络安全的共通之处，诸如终端安全、网络设备安全、操作系统安全、信息泄露安全等，另外一方面要关注整个网络切片生命周期所存在的特殊风险。基于网络切片面临的安全风险，本文参考NIST 发布的“Framework for Improving Critical Infrastructure Cybersecurity”[9]、ISO/IEC 27001:2013 等业内标准和最佳实践，结合IPDRR 安全模型，提出一种面向网络切片的安全策略框架，继承以“识别、保护、检测、响应、恢复”为核心的安全理念，提供了与网络切片安全相关的策略以及实现该策略所需要进行的活动。该框架能够较为全面地反映出网络安全保障体系的各个层面，结合参与安全运营的三个要素“人、技术、操作”，形成切片安全风险管理的闭环体系。

该框架结构包括四个核心元素：安全能力、安全策略、具体要求和具体措施，如表1 所示。针对每一个安全能力制定对应的安全策略，提供管理人员应对安全风险的准则，具体要求和具体措施则向操作人员提供更为详细的行动指南。该框架提供了可以帮助识别管理网络切片安全风险的关键网络安全活动。运营商能够参照这些指导范例，对各个层面的网络切片安全风险进行审视，针对所应承担的风险责任，综合管理业务目标、资产、技术以及人员。

表1 网络切片安全策略框架结构

安全策略框架的核心元素说明如下：

（1）安全能力

安全能力处于策略框架的最高层级，涵盖识别、保护、检测、响应和恢复五个核心环节，提供了网络切片安全风险管理的高层次战略视图。

（2）安全策略

将抽象凝练的安全能力划分为具象的安全策略，并与具体要求、具体措施一一映射。这些安全策略涵盖了前、中、后期应对切片安全风险的一系列对策，提供安全管控活动的指导方向。

（3）具体要求

基于安全策略，进一步细分在合规、管理、技术等层面的具体要求，这些要求可被视为开展切片安全工作的一系列规范性原则，能够降低在工作过程中的各类风险系数。

（4）具体措施

针对安全策略与具体要求制定具有可操作性、可量化的措施。这些措施虽然并非面面俱到，但其典型性和有效性能够帮助企业实现切片安全最终目标。

识别、保护、检测、响应和恢复五个核心安全能力是并发和连续的关系，并需要持续履行，形成闭环机制以应对动态的网络切片安全风险。

（1）识别

围绕网络切片涉及的系统、资产、数据和人员进行资源识别，了解相关合规性要求，进行风险评估，是开展保护、检测、响应和恢复环节的基础性工作。例如，清点网络切片相关的软硬件资源，根据资源的分类、重要性以及业务价值划分优先级。

（2）保护

采用适当的手段保证切片相关系统的机密性、完整性、可用性、可控性及不可否认性，通过保护活动阻止潜在的网络切片安全事件发生或减少影响，以确保切片业务的正常运行。例如，在切片管理域、切片运维域、切片与企业园区之间、切片与MEC 之间应设置防火墙，配置访问控制策略。

（3）检测

制定并实施适当的活动及时发现网络切片安全事件的发生。例如，通过基线核查、主机漏扫对镜像仓库、容器、虚拟机等切片基础设施定期进行漏洞扫描，及时修复不合规的配置和漏洞。

（4）响应

对危害网络切片安全的事件、行为、过程及时响应，采取有效措施避免危害和损失进一步蔓延。例如，根据网络切片安全事件管理指南进行事件处理，记录事件处理过程。

（5）恢复

一旦系统遭受破坏，尽早地恢复因网络切片安全事件而受损的任何功能或服务。例如，对于安全性要求较高的切片，应提供异地实时备份功能。

该框架提供了一套梳理切片业务流程和评估切片相关风险的系统方法，运营商和企业可以利用该框架进行切片安全工作计划的创建或演进，与切片产业链条的利益相关者对齐安全目标，并遵循法律法规要求开展合规化建设。下面以认证授权漏洞导致敏感数据泄露风险为例，运用网络切片安全策略框架实现风险管理，并给出具体要求及对应的措施，具体如表2 所示。需要注意的是，在实际运用中，安全能力对应的安全策略和要求可以根据企业自身防护需求而变化。

表2 网络切片安全策略框架应用示例

随着网络端到端切片技术逐步成熟，构建运营商特征的网络切片安全策略框架成为现实需要。从国家层面来看，建立网络切片安全策略框架能够降低由于关键信息基础设施日益复杂化和连接多样化所带来的风险，使得公共利益得到保障。从电信运营商层面来看，该策略框架提供一套行业共通语言，助力运营商建立网络切片安全机制和流程，对切片安全风险进行全方位、全过程管控。

6 结束语

网络切片技术的发展给电信运营商提供了更为广阔的业务想象空间，但新技术的出现也给网络空间安全带来诸多挑战。本文通过研究网络切片的安全威胁，对业界关于切片安全的研究进展进行概述，基于电信运营商切片运营和安全运维需求，提出了一种面向网络切片的安全策略框架。随着切片安全技术进一步成熟，切片商业模式更加清晰，运营商应统筹兼顾内外需求，根据应用反馈持续演进网络切片安全策略框架，以更好的适应动态环境中安全威胁的变化。