面向垂直行業的5G網絡安全分級技術

（中國信息通信研究院，北京 100191）

0 引言

作為新一輪科技革命的核心技術之一，5G 發展受到國家和相關部委高度重視。2019 年11 月，工信部印發《“5G+工業互聯網”512 工程推進方案》，明確提出到2022 年突破一批面向工業互聯網特定需求的5G 關鍵技術；2020 年3 月，發改委、工信部印發《關于組織實施2020 年新型基礎設施建設工程（寬帶網絡和5G 領域）的通知》，指出將重點支持7 大領域5G 創新應用提升工程；2020 年3 月，工信部印發《工業和信息化部關于推動5G加快發展的通知》，明確全力推進5G 網絡建設、應用推廣、技術發展和安全保障；2020 年5 月，國資委明確提出加快以5G 網絡為首的七大“新基建”政策要求，“加強新型基礎設施建設，發展新一代信息網絡，拓展5G 應用”被寫入2020 年政府工作報告。

自2019 年6 月正式發放5G 商用牌照以來，我國5G商用進程進展迅速。5G 超大帶寬、超低時延、海量連接的特性，為工業互聯網、車聯網等新型基礎設施建設和融合創新應用提供了關鍵支撐和重要機遇，為行業數字化帶來了廣闊的發展空間。不過，垂直行業應用的高業務價值、行業應用多樣化等特征，使得5G 與垂直行業深度融合發展的同時也面臨著新的安全風險與挑戰，需要通過5G 安全分級技術來應對，以便提升行業網絡整體安全能力。

1 5G行業應用安全挑戰及需求

1.1 5G行業應用安全挑戰

垂直行業高業務價值可能會引發更多攻擊風險。在行業領域，數據信息涉及企業商業秘密、個人隱私，被非法獲取、利用后，對社會秩序、公共利益乃至國家安全可能帶來嚴重損害。行業應用需要面對的安全威脅由傳統的個人黑客技術性單點攻擊逐步向商業性、有組織的高級持續攻擊轉變，部分攻擊可能以國家安全數據、商業機密等為目標，以操縱市場、取得戰略優勢，損害關鍵基礎設施為出發點。

同時，5G 新技術應用于行業領域，需要滿足前所未有的海量連接場景需求，也面臨新的安全挑戰，主要包括：云辦公、云游戲、增強現實、3D 視頻等增強移動寬帶場景下，網絡邊緣數據流量大幅提升，邊緣部署增多，導致傳統安全邊界設備面臨較大挑戰，邊緣計算成為新的安全焦點；工業控制、遠程手術、自動駕駛的實時控制、人機交互等場景要求5G 網絡和設備高度可靠；大規模物聯網場景下，存在海量低功耗終端，限制了安全特性的部署，易被攻擊利用。因此，5G 新技術驅動行業變革的同時也迎來新的安全挑戰。

再者，5G 承載的行業應用因需求的多樣化，針對信息安全三要素CIA（機密性、完整性和可用性）的安全策略也存在差異化需求，例如工業制造要求高可用性，數據不出園區；遠程醫療要求高度的用戶隱私數據保護；而車聯網要求匿名認證、防跟蹤等。

1.2 5G行業應用安全需求

5G 行業應用安全需求可以分為兩大類：一類是基本安全需求，主要是指工作場景、安全保障目標與傳統公眾通信網絡相同的安全需求，通過繼承當前通信網絡安全保障技術即可滿足；另一類是高級安全需求，主要是指為應對新的行業應用場景、高資產價值帶來的安全風險，在基本需求基礎之上的安全需求，需提供更高保障的安全能力才能滿足。

3GPP 5G 面向公眾通信網絡的安全目標和4G 是一致的，都是保證網絡和數據的機密性、完整性和可用性，基于這個目標能夠滿足行業通用安全需求。5G 網絡面臨的主要威脅和挑戰也和4G 網絡基本一致，不過還需要額外考慮新業務、新架構、新技術給5G 網絡帶來的新安全挑戰。5G 網絡安全繼承了4G 網絡分層分域的安全架構，并基于4G 網絡存在的安全脆弱點進行了增強，面向5G網絡的3GPP 安全通用技術要求[1]（3GPP TS 33.501）在空口數據傳輸、隱私保護、認證授權等方面定義了更強、更加靈活的安全保障機制。

行業應用對5G 網絡提出了九大安全需求，分別是：終端身份安全和訪問授權、網絡分域、安全隔離、數據機密性和完整性、空口通信安全、隱私保護、網絡韌性和安全態勢感知、網絡設備安全可信、技術自主可控和產品生命周期安全。這九大安全需求均可進一步細分出基本安全需求和高安全需求。

2 面向垂直行業提供5G安全分級能力

2.1 5G安全分級依據及目標

無論是在國家監管層面還是垂直行業自身安全保障層面，相關法律法規和行業標準均對信息網絡和系統定義了分級要求，例如等級保護2.0[2]、電信網和互聯網網絡安全防護分級相關標準等。垂直行業網絡的運營者應當按照相關分級要求，履行法律法規和行業標準中規定的安全保護義務，部署與之匹配的安全能力，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

“電信網和互聯網安全防護體系”系列標準，針對電信網和互聯網網絡安全防護體系中的網絡和系統，結合各類業務系統特點，根據社會影響力、規模和服務范圍、所提供服務的重要性三個相互獨立的定級要素將網絡/系統單元劃分為5 個安全等級，并提出了針對性的安全防護要求。

等級保護2.0 面向網絡基礎設施、重要信息系統、云計算平臺、大數據系統、物聯網系統、工業控制系統、采用移動互聯技術的系統等，對信息網絡、信息系統、網絡上的數據和信息，按照重要性和遭受損壞后的危害性分成五個安全保護等級，從第一級到五級，逐級增高。

國際電工委員會（IEC）的工控系統安全標準（IEC 62443），也定義了分級安全策略，將安全級別分為4 個等級，分別是S1（抵御偶然的攻擊，非主動泄密）、S2（抵御簡單的故意攻擊）、S3（抵御簡單的調用中等規模資源的故意攻擊）和S4（抵御復雜的調用大規模資源的故意攻擊，對應持續的國家層面攻擊），并對每個級別定義了特定的安全要求，例如S2 級要求如果行業網絡部署公鑰基礎設施（PKI），ICT（信息通信技術）設備需要對接行業的PKI 系統，S3、S4 級要求有硬件可信根。5G-ACIA（5G 互聯產業與自動化聯盟）在工業系統安全防護中引用了該系列標準。

需滿足分級要求的垂直行業應用如果使用5G 網絡來承載，則在保證行業自身的信息系統網絡滿足安全要求的基礎上，還需要作為基礎網絡的5G 網絡能夠提供支撐行業滿足相應分級要求的安全能力。

5G 安全分級有助于運營商和行業用戶加強理解、拉通安全需求、在安全語言和安全能力上對齊，有助于用最佳性價比的安全方案滿足行業要求，有助于給行業提供模板化的安全能力集合，促進基礎網絡和業務系統安全地快速集成部署。

向垂直行業提供5G 網絡安全分級能力的目標是：拉通通信網絡、行業應用網絡安全需求，滿足行業網絡的差異化安全需求，使能行業5G 網絡快速部署和推廣應用。

2.2 5G安全分級原則及策略

5G 網絡安全定級的原則是作為基礎設施的5G 網絡之安全要求不低于其承載的行業網絡安全定級。同時，依據《網絡安全法》第三十一條要求，針對國家關鍵信息基礎設施實行重點保護。

5G 安全能力分級策略如圖1 所示，面向行業的5G 網絡安全能力可分為5 個級別的安全能力集，其中依據安全等級三級系統/網絡是否為關鍵信息基礎設施，細分為安全等級3 級—非關鍵信息基礎設施和安全等級3 級—關鍵信息基礎設施。5G 網絡作為垂直行業網絡基礎，需要支持行業滿足安全分級保護要求，提供充分的安全保障能力。

圖1 5G安全能力分級策略

圖1 中，將5G 網絡安全能力分為5 個級別的安全能力集，分別為SL1～5，形成對應的映射關系。其中，一級（SL1）提供基本安全能力，之后每一級都在前一級的基礎上進行安全能力增強。具體如下：SL1 級安全能力集，提供基本安全能力，初步的信息安全認證授權和訪問控制措施，基本的安全入侵檢測能力，采取多種方式保護系統和數據信息安全屬性；SL2 級安全能力集，在SL1 級基礎上，增強安全事件監測和審計，根據監測審計結果進行異常處置的能力，增加敏感數據保護的基本能力；SL3級安全能力集，在SL2 級基礎上，構建較為完善的態勢感知系統，采用包括硬件可信根、高強度密碼算法在內的增強技術措施，增加支持產品生命周期基本安全要求等；SL4 級安全能力集，在SL3 級基礎上，提升空口安全檢測能力，增加支持行業可控的認證管理和訪問權限控制，提升安全風險自動化檢測、響應和恢復處置能力；SL5 級安全能力集，在SL4 級基礎上，強化技術自主可控要求，增加運行期應用動態可信和網絡隔離強度要求，對威脅實現動態關聯感知，主動分析決策和聯動響應。

作為基礎網的5G 網絡提供支撐行業滿足相應分級要求的安全能力，使能行業5G 網絡快速安全部署。例如，對于定級為安全等級三級及以下的網絡，可以通過提供5G SL3 安全能力集承載；定級為安全等級三級同時是關鍵信息基礎設施的網絡，需要提供5G SL4 安全能力集，定級為安全等級四級的行業網絡，需要采用5G 網絡的SL5 安全能力集以滿足其安全要求。

3 5G網絡安全能力分級模型

3.1 5G網絡安全需求模型

在國家相關安全法律法規框架內，基于成熟的通信標準體系，綜合考慮安全分級保護要求和行業特定安全需求，基于網絡運行保障、生命周期保障、核心技術自主可控保障三個維度，將5G 安全需求分為5G 網絡安全、產品開發和生命周期安全、技術自主可控三大類。如圖2 所示：

圖2 5G網絡安全需求模型

圖2 中，5G 網絡安全根據信息系統需要具備的基礎安全能力（CIA）、數據保護能力和面對攻擊的業務保持/業務恢復能力，進一步細分為基礎安全、數據安全和網絡韌性三個方面。

3.2 5G網絡安全能力域

5G 網絡作為使能垂直行業應用的基礎網絡，主要承擔無線通道、支持終端通過空口進入5G 網絡、對接數據網絡（Internet 或者企業內部網絡），最終實現從終端到行業應用的端到端通信連接。因此，5G 網絡安全能力范圍涵蓋終端、5G RAN（無線接入網）、MEC（移動邊緣計算）、承載網絡以及5GC（5G 核心網）組成的基礎通信網絡。

5G 網絡安全能力域劃分如圖3 所示。根據5G 網絡中各域承擔的業務功能和業務特征不同，提供的差異化安全能力，將5G 網絡提供的安全能力分為終端安全、RAN（無線接入網）安全、MEC 安全、承載網絡安全和5GC（5G 核心網）安全五個域進行定義。

圖3 5G網絡安全能力域

3.3 5G網絡分級安全能力集構建

在安全分級框架和策略的指導下，基于5G 網絡安全需求模型，依據分域定義安全的方法要求，構建5G 網絡分級能力集。下面以終端安全為例描述安全能力集構建方法，5G 終端安全能力集（SL1～SL5）如表1 所示。

表1 5G終端安全能力集

表1 中，縱向表示5G 網絡安全需求，包含5G 網絡安全（基礎安全、數據安全、網絡韌性）、產品開發和生命周期安全、技術自主可控，每一類安全需求又細分為多個子需求；橫向表示基于每個安全能力級其對應需求的安全能力強度。

以此類推，依據分域定義安全的方法要求，針對其他4 個安全域（RAN 安全、MEC 安全、承載網絡安全和5GC 安全）分別定義其安全能力集，從而構建出全套5G網絡分級安全能力集。

4 行業應用5G網絡安全分級能力建議

對于安全等級三級以上的行業系統來講，認定為關鍵信息基礎設施和安全等級三級的行業應用系統，根據具體行業場景要求參考5G 安全SL4 級安全能力集。安全等級四級的行業業務系統，建議使用5G 安全SL5 級能力集進行保障。

對于安全等級一級和二級行業系統來講，綜合考慮業務屬性要求和安全能力的平衡，使用運營商5G 網絡承載時，可對其安全能力進行裁剪。

另外，建議考慮與安全認證標準的協同，GSMA（全球移動通信系統協會）提出的網絡設備安全保障計劃（NESAS）規定了通信設備的安全能力基線要求，在面向行業的5G 安全分級體系中，中高級的安全等級（SL3級及以上）設備相關測評可參考和引用NESAS/SCAS（安全保障規范）相關標準。

5 結束語

5G 應用場景正在從移動互聯網拓展到工業互聯網、車聯網、醫療健康等更多領域，其價值在垂直行業的應用中逐步得到體現。3GPP 5G 能夠滿足行業通用安全需求，但面向行業的網絡安全能力還需分級進行差異化提供。基于本文提出的5G 網絡安全能力分級模型，提供分級的5G 安全能力，可以有效地支撐行業網絡遵從安全等級保護、安全防護等相關規范的要求，滿足5G 行業網絡規劃、建設、部署和運行的全生命周期安全需求，從而推動5G+行業應用的落地和安全發展。