5G核心網安全措施探討

莊恒全

（中國電信股份有限公司 浙江分公司，浙江 杭州 310040）

0 引 言

5G核心網引入新的IT技術和架構，行業對象眾多，業務系統復雜，安全邊界模糊化，威脅傳播更快、攻易防難。工業互聯網、車聯網、遠程醫療等安全問題，更可能影響國計民生、社會秩序及人身安全，因此需要采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞、非法使用等意外事故，使網絡處于連續、可靠、正常地運行狀態，并保障網絡數據的完整性、保密性以及可用性[1]。參照等保制度2.0標準第三級防護要求，高標準實施區域邊界、計算環境和通信網絡安全防護，并利用虛擬化資源及網元的容災冗余機制，打造高可靠和高可用的5G核心網[2]。

1 夯實云網基礎，筑牢安全底座

5G核心網底座包括主機、虛擬機、網絡設備、安全設備以及容器等實現業務功能所必需的云網基礎設施。為滿足上級監管和自身安全生產、安全管理的要求，5G核心網建設時需按照網絡安全法、等級保護制度、國家安全標準以及行業安全標準等要求同步規劃、建設、運營網絡安全設施。5G網絡安全概覽如圖1所示。

圖1 5G網絡安全概覽

1.1 物理安全防護

基礎設施應進行物理隔離，具備獨立機房、門禁、機柜鎖以及攝像監控等安全措施，并指定專人定期巡視。部署在用戶機房的邊緣UPF和MEC等設備應參照自有機房設備進行管理，在用戶機房劃定安全區域限制訪問，建設圍欄、安全門禁、機柜鎖等隔離設施。

1.2 網絡區域防護

5G核心網絡依據數據重要性和對外暴露程度綜合劃分為控制、轉發、管理以及存儲等安全域。控制域可以進一步細分為可信數據區、可信業務控制區以及DMZ區。DCGW等數通設備配置應滿足不同平面隔離的安全需求并通過VRF隔離不同類型的業務，由虛擬化技術實現虛擬機之間的邏輯隔離。

1.3 計算環境防護

全面收集網絡資產的基礎信息，動態呈現網絡拓撲，設定包括OpenStack在內的5G核心網安全基線，落實基線配置規范與流程制度。虛擬化平臺需進行安全加固，包括關閉不必要的端口和服務、刪除不必要的賬戶、更新補丁、嚴格限制管理接入以及開啟復雜密碼策略等，在上線前進行安全風險評估并完成整改。常態化組織測評，定期使用基線配置核查工具對云平臺、5G核心網網元、服務器、網絡設備以及安全設備等系統和設備開展基線核查與漏洞掃描，對不能使用工具核查的資產通過人工比對的方式進行核查，及時發現和處置不合規項。

1.4 數據安全防護

重要數據需定期備份并保存在外部存儲介質。設備不能存在暴露敏感數據的系統功能，包括系統指紋和敏感數據路徑等。日志和告警信息不存在密碼等敏感數據，存儲的敏感數據應限制讀取權限，并進行加擾、加密或Hash處理。

1.5 安全運營管理

通過統一的電子化流程進行全網運維賬號和權限管理，定期審計人員變動情況，清理無效賬號。規范設備接入，統一通過4A系統認證登入，采集操作日志和安全事件信息，實現統一審計。系統設定嚴格密碼策略，定期審計用戶行為，及時發現和處置內部運維操作方面的異常行為。加強設備監測與定期巡檢，規范設備升級與軟件管理，落實基礎防護要求。定期組織全網進行安全隱患排查整治，主動進行風險識別、風險分類、風險定級、風險傳遞以及風險清理等系列活動，確保網絡安全。

2 構建防護體系，強化風險防控

適應5G新技術特點，將被動防御向事先化、主動化以及自動化的目標演進，從合規標準體系、安全管理體系、安全技術、安全運營體系4個方面構建縱深防御、全網感知、多維檢測、集中管控、技管并重的新型高質量5G安全防護體系[3]。安全防護體系如圖2所示。

圖2 安全防護體系

2.1 防火墻

需要分別針對5G核心網數據中心南北向、信令面東西向流量進行防護和隔離，采用物理防火墻與虛擬防火墻等技術手段實現。在DC出口分別針對用戶面、信令與管理面部署專用防火墻，設置訪問控制策略，僅允許白名單內的IP地址及對應的端口、協議訪問。用戶面防火墻旁掛部署在5G核心網的CE，負責用戶面流量NAT地址轉換。信令與管理面防火墻旁掛部署在DCGW，負責網管和計費等IT類流量的防護，并預留RAN、5GC/EPC信令面流量按需防護能力。

2.2 入侵防御系統

在DC出口處采用旁路或串接方式部署IPS對信令與管理面進行入侵檢測和防護。系統應具備攻擊快照功能，詳細記錄觸發告警的數據特征，以便開展進一步的事件分析，實現攻擊取證能力。系統應支持高可用部署方式，出現設備宕機和端口失效等故障時，完成主機與備機的即時切換，確保設備在關鍵時期的持續正常運轉，此外應具備對外接口，支持與其他安全運營和分析平臺進行對接。

2.3 病毒防護

應配備5G核心網虛擬化網元防病毒軟件，查殺病毒、蠕蟲、木馬、后門、rootkit以及間諜軟件等惡意程序，支持實時、手動、預設等掃描方式以及清除、刪除、隔離、告警、不予處理等處理措施，并支持對誤殺文件的恢復。此外，軟件應與網元系統兼容，不能過高占用系統資源，影響業務正常運行。

2.4 漏洞掃描系統

漏掃系統為5G核心網提供漏洞掃描和基線核查的能力，應覆蓋所有5G核心網網元、MEC網元、網管系統以及NFVO管理與資源編排系統。網絡漏洞掃描設備負責對5G核心網網元的漏洞掃描，Web脆弱性掃描設備負責對路由可達的5G應用系統和Web應用的漏洞掃描。

通過分光和鏡像等方式采集5G網絡信令面與用戶面信息，并按照要求識別、解析、關聯合成、上報相應的XDR等文件，以支撐上層應用。基于統一DPI采集獲取5G核心網網絡流量，進行惡意程序的檢測、識別、記錄以及捕獲還原，可進行阻斷處置。基于大數據等技術對全流量進行解析、分析與存儲，實現對信令面的全流量分析，及時發現網絡安全事件線索，檢測病毒木馬和網絡攻擊等安全事件情況。通過全流量關聯和取證功能，實現多維度多角度的關聯分析。

在DC出口處采用旁路或串接方式部署，抵御OWASP Top 10等各類Web安全威脅和CC、TCP連接耗盡等應用層拒絕服務攻擊，對信令面進行應用層安全檢測與防護。在5G核心網網絡上連ChinaNet骨干網的出口，通過采集與實時分析5G核心網網絡出口的XFlow數據，及時發現網絡流量的異常，實現對攻擊來源和攻擊目標的準確定位，做出告警并對異常流量的攻擊溯源取證[4]。

此外，在5G核心網網元的不同安全域內部署偽裝代理，代理與蜜罐主控連接，配置相應網段，通過誘使攻擊方對其實施攻擊，從而捕獲和分析攻擊行為[5]。了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓管理人員清晰地了解所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力[6]。

3 提升運營能力，打造高可用網絡

5G核心網各網元共享云底座，云底座故障會導致多網元故障甚至整個DC的網元故障，從傳統的單網元故障轉變為多VNF多節點故障，易于引發信令風暴，故障風險和影響范圍倍增[7]。云化架構部署的核心網設備，應實現DC級備份，以防云基礎設施發生故障后影響單DC內的全部上層應用。應結合實際情況和部署廠商，建立DC容災容量的動態評估機制，實時掌握DC業務量上限，制定場景化容災方案，確保容災可實施、可倒換，定期開展容災演練。

3.1 資源冗余度保護

應具備異局址雙DC組網，資源冗余度滿足DC級容災需求。計算資源采用服務器集群，主機組內負荷分擔。網絡資源采用雙平面、多接口、多鏈路以及多路由等冗余，存儲資源采用RAID技術和雙磁陣[8]。

3.2 設備可用性保護

設備應具備過載保護機制，通過限制CPU、內存以及磁盤等資源占用，在設備過載時保護設備正常運行，保障設備不會宕機、重啟和無法操控。具備意外輸入的健壯性，能屏蔽或丟棄管理平臺錯誤的輸入、畸形報文、分片錯誤報文、重放報文、偽造源頭報文以及偽造廣播任播報文，按需實施網元、資源、管理系統的冗余要求，保障高可用性。

3.3 網絡可用性保護

5G核心網主要網元中，通常AMF和SMF/GW-C采用Pool組網，UPF/GW-U采用Pool組網（N4接口Full Mesh），NRF采用1+1雙活互備組網（HNRF疊加跨大區互備容災），UDM和PCF等融合數據網元的BE節點通常采用1+1主備、FE節點采用N+1負荷分擔或N主1備方式組網。容量冗余度應滿足DC級容災需求[9]。

3.4 應急處置能力

制定包括外部攻擊防御、信令風暴防護、故障處置在內的產品級、網絡級以及業務級應急預案。基于實戰場景定期開展應急演練，確保主流業務倒換可實施，同時強化維護人員安全意識和風險防控常態化管理機制。

3.5 數字化運營能力

以M域、B域、O域數據為驅動，整合資源、采控、編排等核心能力，構建資產數字化、故障預警預測、風險操作管控、運營智能決策以及業務一鍵恢復等應用場景，提升5G運營的自動化和智能化水平，保障云網安全高效運行[10]。

4 結 論

基礎設施云化、IT化已成為移動通信網絡演進的一種趨勢。5G核心網安全機制除了要滿足基本通信安全要求之外，還需要為不同業務場景提供差異化安全服務，并支持提供開放的網絡能力。圍繞垂直行業應用帶來的新風險，轉換安全運維的理念、模式以及手段，加強理念創新、管理創新與技術創新，積極應對網絡云化及5G新技術帶來的風險。