苗守野

中国联合网络通信集团有限公司 北京 100033

引言

5G支持更高带宽、更低时延、更大连接的特性将推动通信技术向各行业融合渗透，为社会带来新的变革。5G在开启万物互联新局面的同时，5G新业务、新架构、新技术也带来了新的安全挑战和风险，其安全性不仅关系到个人通信安全，还影响到所连接的工业、能源、交通、医疗等实体经济安全，5G网络风险防范成为各国政府、国际标准组织、电信运营和设备制造企业高度关注的焦点。

1 全球为提升5G网络安全持续努力

1.1 3GPP持续优化完善安全标准，消减5G网络风险

近年来，3GPP SA3工作组持续对5G各场景的安全威胁和风险进行分析，不断优化完善5G安全标准，已演进到R18版本。相比2/3/4G网络，5G网络安全能力进一步增强，例如更好的空口安全、用户隐私保护增强、更好的漫游安全、密码算法增强、核心网增强的SBA安全、用户面提供完整性保护等等。

在5G垂直行业应用安全方面，3GPP标准为各垂直行业提供了丰富且定制化的安全特性，例如支持IoT设备小数据传输安全、支持URLLC的冗余会话传输安全、支持切片的认证和授权、支持多种私网形态的灵活认证，以满足不同行业的多样性安全需求，并向第三方开放3GPP安全能力。

1.2 GSMA联合3GPP提出5G网络安全保障方案(NESAS)

在5G设备安全认证方面，GSMA联合3GPP定义网络设备安全保障方案(NESAS)[1]，对移动网络设备的开发过程及设备验证进行安全评估。其提供了一个全行业的安全保障框架，以促进整个移动行业的安全级别的提高。NESAS定义了安全产品开发和产品全生命周期的安全要求和评估框架，并使用3GPP定义的SCAS(安全保障规范)中的安全测试用例对网络设备进行安全评估。NESAS认证是评估5G设备商安全能力的重要手段[2]，促进了移动通信领域全球产业界运营商、设备商之间安全合作互信。全球主流设备商均通过开展NESAS/SCAS认证，有效提升了5G设备的安全性。

1.3 GSMA提出的5G安全知识库可以指导运营商消减5G网络风险

5G安全知识库是GSMA联合5G产业生态构建的5G网络安全指南，为保障移动通信网络安全提供了参考和依据[3]。5G安全知识库按照“应用安全、网络安全、设备安全”三层模型，针对不同的网络威胁，明确应用提供者、运营商、设备厂商应采取的消减措施，共同保障5G网络安全。它围绕5G端到端网络安全架构，描述网络威胁、安全场景、攻击方法、消减措施、安全标准及最佳实践等，同时在安全治理、运营管理以及网络部署等方面给出相关建议。

2022年，中国联通研究院在GSMA提交了5G安全知识库2.0优化建议，得到GSMA专家的认可。

2 运营商5G网络防护现状与不足

2.1 5G网络安全防护现状

运营商保护网络安全的核心目标是：保证用户数据的安全和网络的可用性，确保网络不瘫痪，在受到网络攻击时，能发现和阻断攻击、快速恢复网络服务。全球运营商已采用多种技术手段，保护5G网络不被入侵，确保用户数据不被窃取。目前采用的安全技术手段主要包括如下几种。

1)业务连续性保障

通过设备冗余、链路冗余等，确保网络韧性和业务连续性，防止网络故障引发的网络中断和瘫痪。

2)网络纵深安全防护体系

通过划分网络安全域，实现分层分域的纵深安全防护。在网络安全域划分的基础上，在各安全域的边界部署安全防护、安全检测、安全监测等网络安全设备。

安全防护设备：通过部署防火墙、堡垒机、4A系统等限制非法的网络访问，通过入侵防护系统(IPS)基于流量分析发现网络攻击行为并进行阻断，通过抗DDoS攻击设备防范各类拒绝服务攻击流量[4]。

安全检测设备：部署网络安全扫描器、WEB应用扫描器、安全配置核查系统等发现网络和系统的各类安全漏洞、设备配置不合规等。

安全监测设备：通过入侵检测、态势感知、安全审计等技术手段动态分析入侵行为、安全事件、违规操作等[5]。

运营商通过建立纵深安全防护体系，及时发现安全漏洞和风险、防范各类入侵和网络攻击、检测安全入侵事件，同时对安全事件及时响应和处置。

3)网络安全运营

在网络级纵深安全防护体系基础上，运营商还建立安全管理平台以支撑网络运营，例如安全运营管理中心SOC、安全事件分析与应急响应平台、资产与漏洞管理平台等等，对网络安全事件进行监控、分析和响应。

运营商建立设备或软件入网验收机制。在设备部署期间对产品进行安全加固，例如安装最新安全补丁、关闭不需要的端口与服务、制定访问策略、修改初始账户密码、关闭远程登录通道等等。在网络运行期间，定期进行安全健康检查，扫描网络漏洞，管理设备版本和补丁的升级和更新，以及设备软硬件生命周期的维护。

2.2 当前5G安全防护体系存在的不足

1)5G安全防护体系性不足

目前，全球运营商在电信网络安全防御体系方面，缺乏可以参考的安全标准，各运营商根据自己的实践经验在部署安全系统，缺乏体系性的安全架构设计。5G网络的管理面、控制面和用户面连接的是三张不同的承载网，面临的安全风险差异极大，因此三个平面的安全防御体系需要单独设计。5G网络面临的最大风险来自管理网，如何消减管理面风险，零信任接入、微隔离、堡垒机、SASE等是现阶段防范管理网被入侵的主要手段；5G网络控制面也面临核心网云化、能力开放、UPF下沉到边缘引入的安全风险，例如UPF暴露在园区网环境，存在通过UPF攻击核心网的风险等。

2)外挂补丁式边界防护存在短板

5G网络包括海量的基站、UPF、边缘云等网络暴露面资产，还有大量的垂直行业应用终端，同时还有位于运营商电信云上的核心网网元等，资产数量多，暴露面风险突出。传统外挂式、边界防护等安全建设思路难以应对新的安全风险[6]。

当前运营商5G核心网部署在电信云资源池上，在核心网边界部署安全防护设备，纵深防御不足，一旦突破边界防御，在核心网内部就可以实现横向攻击。从全球安全案例来看，突破运营商网络防御边界的案例屡见不鲜。例如，2022年初，葡萄牙某运营商的5G核心网云化资源池被入侵，攻击者删除了核心网虚拟机，导致大面积断网。

5G暴露面资产分散，难以集中部署安全防护设备。例如5G基站面临无线空口攻击，在基站上难以部署“外挂式”安全产品，例如无法部署传统防火墙防护海量基站所面临的无线空口DoS攻击和无线频谱干扰；5G用户面网关UPF数量多，暴露在园区网，受攻击的可能性大，部署外挂式安全产品的成本过高。

3)数智化程度不足难以支撑高效安全运营

对5G基础设施设备威胁检测能力不足，一旦出现针对海量5G设备的攻击，通过人工方式难以在初始阶段快速发现和消减5G安全风险。运营商超百万个5G基站、数万个UPF分散部署在全国，仅仅依赖部署在核心网边界的安全设备无法有效感知全网安全风险，运营商现有安全态势感知平台等，在缺乏数智化安全分析、策略编排和响应能力情况下，难以支撑高效安全运营[7]。

3 内生安全助力打造5G坚强网络

针对5G网络当前面临的安全挑战，5G设备内生安全是有效应对之道。5G设备内生安全，是将网络安全能力与5G设备融合内生，使得5G设备具备“自主免疫力”，让5G端到端网络环境具有更强健的“肌体”，从而能增强网络韧性，提高5G网络抗攻击能力。“内生安全”与“外挂式安全”不是非此即彼、相互割裂的关系，而是需要互为补充，有机结合[8]。设备内生安全能力可以增强网络肌体的“免疫”能力，但不能完全代替网络边界外挂安全设备实现网络“穿盔戴甲”。

3.1 5G网络的内生安全目标

5G内生安全要将安全能力内置(Build-in)在网元设备上，而不再是在设备上安装外挂(Add-on)安全组件[9]。这种内生安全能力属于设备网元的原生能力，需要和业务深度融合，网元具备自我安全监控、防护、响应能力，在不影响电信业务的前提下，实现网元内生的检测、防护和处置闭环。

5G网络内生安全是5G网络自身具备的原生安全能力，其目标是：由运营商制定内生安全规范要求，设备商具体实现。网元内生安全要具备安全检测、防护和事件处置能力，从而让5G网络具有自动检测、主动防护、精准防护的能力，将关键资产和资源(数据、接口、账号、组件)的网络安全风险降到运营商可接受的水平，实现5G网络持续、稳定、可靠运行。

设备商要将安全功能内置到设备网元的硬件层、OS层、虚拟化层及业务层，提供软件包防篡改、操作系统防护、重要核心数据防护、网元安全监控防护响应等能力，确保入侵者进不来、拿不走、改不了、跑不掉。

业务无损：不影响5G网络业务性能，实现99.999%可靠性，并要确保部署升级业务零中断、不新增网元暴露面等。

3.2 5G设备内生安全需求

5G设备内生安全能力应包括5G设备网元内生的通用安全能力、特有的安全防护和检测能力、网元间安全隔离防护能力、安全可视化管理及安全风险自动化处置能力。

1)通用的设备内生安全能力。设备硬件层内生可信芯片、密码加速芯片等安全芯片，为设备提供硬件可信根；操作系统层面内生内核保护、进程防护、安全启动、可信度量、主机检测等安全能力；虚拟化层面提供虚机隔离、容器隔离、容器逃逸检测等安全能力；电信业务层内生接入安全控制、协议安全、信令安全、业务异常检测、重要核心数据保护等业务层的内生安全能力。

2)不同5G设备网元内生的特有安全特性。无线基站内生防止空口DDoS攻击[10]、频谱干扰检测，安全弱配置主动检查，基站自身进程、文件和用户操作等异常行为自主及时发现，并且可快速定位止损的能力；核心网元运行在电信云资源上，应具备攻击感知(基于白名单检测并感知攻击事件，防破坏和信息窃取)、入侵检测(检测异常账号、信息窃取、权限提升、异常行为操作、非法文件篡改等安全攻击事件)、病毒检测(检测蠕虫/木马/勒索等恶意软件植入安全事件)、微隔离(基于白名单的细粒度网络访问控制，防止横向访问攻击扩散)等能力。

3)5G网元间安全隔离防护。域内网元间实现微隔离，即基于5G网络内确定性业务访问关系，根据精细化的访问控制策略，实现网元间全域实时安全隔离[11]。

4)5G网元安全可视化管理。5G网元内生安全组件发现的异常事件和行为与威胁情报、漏洞库等关联，在网元管理系统(网元安全管理中心)层面构建安全风险可视及管理能力，基于网元/网络云资产视角以及安全事件视角实现安全风险整体可视。网元安全管理中心以资产维度呈现网元当前的安全状态，风险评分及TOP级攻击事件，保障网络安全运营人员可以快速发现异常并及时采取相关处置措施。

5)5G安全风险自动化处置。网元安全管理中心应具备快速响应和处置能力，通过预定义和自定义脚本构建安全事件响应处置策略，并基于安全策略及应急响应机制，构筑调整—处置—恢复—优化闭环的自适应安全处置体系。

3.3 内生安全的附加特性要求

5G内生安全的具体落地，需要在对5G网络业务深刻理解的基础上，实现业务无损、检测全面精准、快集成和易维护等要求。

1)业务无损。相对于外挂安全软件，内生安全能力需要保障对5G网络业务本身无影响，资源占用消耗率低，可以随业务动态拉起等特点。在保障5G网络自身安全的同时，近似“零存在”地为业务服务，实现5G正常运行和安全保障的平衡。

2)检测全面精准。以电信业务模型库为基础，基于电信领域的确定性知识，构建确定性的白名单和行为基线，降低误报率。通过持续性信任评估、多维深度检测、防护和响应，可应对各种安全风险。

3)快集成。可以和电信业务系统预集成，和电信系统一起安装调试，无需额外集成测试。

4)易维护。通过网元安全管理，使5G业务的运维人员具备网元安全运营管理能力，让网元的安全防护、检测能力等可以和5G业务软件完成同步部署、变更、扩缩容，让网元安全管理融入日常运营管理。

4 内生安全现网实践

4.1 5G内生安全解决方案的整体架构

针对第二章、第三章所述相关威胁和挑战以及目标，提出以下5G网络内生安全架构，如图1所示。

图1 5G网络安全架构图

1)设备安全：制定设备安全规范，要求设备商将内生安全功能融入产品，确保设备的软硬件可信，防止设备被非法入侵、控制，支撑构建网络韧性。

2)网络安全：打造嵌入式网络安全能力，将安全嵌入业务，实现高效的安全管理和网络韧性，使能行业应用安全。包括以下三个层面的安全能力：

网络功能安全：电信级的横向网络韧性，确保设备间网络通讯的机密性、完整性、可用性；

安全管理：感知业务的安全策略编排、感知业务的安全事件检测、提升安全有效性和运维安全效率；

使能行业安全：从安全能力变现的目标出发，基于网+云的安全能力，保护行业客户5G应用安全。

3)应用安全：5G赋能各个垂直行业，行业应用在环境、业务、资产、运营等层面具有不同的特征，在实际应用中，不同行业、不同应用有不同的安全需求。需要充分应用5G基础设施以及围绕5G网络打造嵌入式网络安全能力，使垂直行业的应用安全充分受益。

4.2 5G内生安全解决方案

内生安全理念应成为全行业的统一行动。首先，应推动5G内生安全成为行业标准，并在实践中持续优化演进。设备内生安全的概念、内涵、功能、范围需要明确，设备内生安全与网络安全管理平台之间的接口需要确定。在5G向5.5G、6G网络演进过程中，内生安全也应成为其重要特征与内在要求。

其次，推动5G基础设施内生安全能力在现网落地。围绕5G基础设施设备的“启动—运行—退网”生命周期，确保进入运营商网络的每一个5G设备都是安全可信的；通过内生安全能力，让5G网络具备更强壮的“肌体”，在网络攻击面前具备更强大的免疫能力；内生的安全防护、威胁检测和响应处置能力，要让维护人员实现高效安全运营。

再次，将零信任、动态身份评估、微隔离等纵深防护思路应用到5G场景。结合垂直行业应用终端接入、MEC边缘虚拟化网络、5G网络安全运营等重点场景，建立维护人员、网元设备、5G终端的动态身份信任评估机制，并结合可信接入、微隔离等新技术，实现对人员和5G设备、终端的接入可信、访问可信和操作可信的多重访问控制，防止对5G网络的非法接入、越权访问等。

最后，设备内生安全应与AI、SOAR等新技术、新模式结合，探索建设5G网络安全能力新平面，实现5G网络安全能力向垂直行业外溢[12]。运营商可基于大数据、AI安全、SOAR等新技术，聚合5G设备内生安全、外挂式安全产品、5G终端安全等多种安全数据，构建自动化的安全运营平台，为垂直行业提供态势感知、通报预警和应急响应能力。同时，5G网络内生的安全能力开放，例如基于USIM卡的认证能力、基于核心网的应用认证与密钥管理能力(AKMA)等，可以为行业应用安全性保驾护航。

4.3 5G内生安全现网验证

中国联通已联合设备商，率先在某省公司完成全球首个引入第三方攻防验证的5G核心网内生安全试点验证，取得了良好的效果，为支撑公司打造坚强网络提供了有效保障。如图2所示，实践基于GSMA 5G安全知识库指引，面向提升5G核心网安全运营能力，突破传统的边界防护思路，充分结合核心网超高可靠性运行要求和技术特点，构建5G核心网内生安全创新型高效解决方案。

图2 5G核心网内生安全部署视图

本次创新试点主要验证了在运行安全、运维安全、系统安全和资产风险可视四大核心场景，覆盖快捷轻量部署、高效合规检查、敏捷入侵检测、一键处置响应、全量资产管理和极低性能损耗等六大关键能力。在功能测试过程中，测试用例100%通过，构造了数万次攻击100%检出；在性能测试过程中，完成了全球首个在百万话务量场景下内生安全技术对业务影响、资源占用及可靠性测试，虚拟机CPU使用率和物理内存占用率符合预期，真正做到了业务无损；在攻防测试过程中，全球首次在真实环境引入了第三方攻防测试，攻击涉及10+类场景和数百件安全事件，事件均被检出，通过一键处置响应能力成功阻断攻击，充分验证了5G核心网内生安全优秀的安全防护能力。

5 结语

5G内生安全的理念已在行业主管部门、运营商、设备商之间逐步形成共识。为加强5G网络安全防护，通信行业主管部门在5G安全指南等相关要求中，提出加强5G安全技术和产品研发，推动内生安全、零信任安全、动态隔离等技术研究和实践落地。针对5G核心网、边缘计算平台等5G网络基础设施，推动容器安全、微隔离等虚拟化安全防护产品及5G空口和信令防护检测等安全产品的部署应用，提升5G内生安全能力和5G网络威胁的感知能力。下一步，内生安全理念应成为全行业的统一行动，加快推动5G内生安全成为行业标准并在现网落地，将零信任、动态身份评估、微隔离等纵深防护思路应用到5G场景，充分结合AI、SOAR等新技术、新模式，探索建设5G网络安全能力新平面，实现5G网络安全能力向垂直行业赋能。

内生安全作为一种理念，不仅适用于5G网络，还应推广运用到整个电信网络。内生安全应作为电信网络关键信息基础设施保护能力的重要手段，可以在实现关键信息基础设施“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”过程中发挥重要作用。