前言
5G作为新一代信息通信技术演进升级的重要方向,是实现万物互联的关键信息基础设施、经济社会数字化转型的重要驱动力量。5G行业应用是促进经济社会数字化、网络化、智能化转型的重要引擎。5G toB如何从“1”走向“N”,实现规模化发展成为业界关注的核心问题。5G toB的规模化发展,是5G toB成功的必由之路,也是5G找到新业态和新模式的必由之路。目前,5G行业应用正从“点状开花”向各行业、全流程、全环节渗透,5G行业应用正处于规模化发展的关键时期,迫切需要构建与5G应用发展相适应的安全保障体系。
首先,5G网络安全需要进行体系规划、全局视角和顶层设计。截至2022年7月底,我国建成开通5G基站196.8万个,5G移动电话用户达到4.75亿户。据中国信息通信研究院测算,预计到2025年,5G网络建设投资累计达到1.2万亿元,形成万亿级5G相关产品和服务市场。然而对于这个万亿级市场,网络安全是不容回避的话题。我国需坚持责任导向,从国家安全、整体安全、大安全视角来谋划5G网络安全,并强化其与国家级网络安全顶层规划的统筹协调;坚持目标导向,驱动牵引构建5G网络安全体系架构的“四梁八柱”;坚持问题导向,创新推动构建条块结合、纵横联通、协同联动的端到端5G关键性、基础性安全能力。在加快5G等新基建进度的同时,5G网络安全首先需要进行体系规划、全局视角和顶层设计。5G网络安全规划需要基于企业业务发展战略,立足5G网络安全的总体形势,着眼于5G网络安全风险和挑战,从而制定适应企业发展的5G网络安全战略、安全目标和总体架构,由此确定5G网络安全保障重点工作任务,并落实推进计划,进而构建一套具备体系化、实战化、常态化的5G网络安全体系,保障企业数字化业务平稳、可靠、有序和高效运行。
其次,5G网络安全体系建设需推动落地见效,形成标准化、模块化、可复制、易推广的安全解决方案。2021年7月,工业和信息化部联合中共中央网络安全和信息化委员会办公室、国家发展和改革委员会等九部门印发《5G应用“扬帆”行动计划(2021—2023年)》,提出加强5G应用安全风险评估,开展5G应用安全示范推广,提升5G应用安全测评认证能力,强化5G应用安全供给支撑服务。安全解决方案应践行“体系化、实战化、常态化”理念,将其贯穿于5G网络安全风险评估、设计、建设、测评、运营等不同阶段;强化整体分层设计和部署实施,构建覆盖“云、网、端、边、数、业”等多层次、多维度、一体化、全方位的5G网络安全体系;精准匹配网络安全服务供给与行业应用安全需求,在5G网络安全落地中极大地缩短5G网络安全项目建设从客户沟通到方案落地的整体时间,减少人力成本,实现“模块化”封装、“标准化”输出和“规模化”应用的“交钥匙”服务。因此,有必要打造标准化、模块化、可复制、易推广的安全解决方案,纵深推进重点行业规模化应用,系统推进5G网络安全体系建设及相关措施落地。
由此可见,随着电信运营商5G网络建设规模化,以及5G网络与垂直行业应用的深度融合,按照“三同步”原则,亟须针对5G网络安全规划和实践等方面的相关经验及成果进行总结和梳理,从而为大规模5G网络安全建设提供参考与借鉴。
华信咨询设计研究院有限公司的移动通信安全技术人员长期跟踪研究国内外5G网络安全标准、规范与技术,深度参与国内5G核心网、5G专网、5G行业应用等安全专题的规划、设计和测评,对5G网络安全技术有较深刻的理解。在编写过程中,本书融入了作者团队在长期从事移动通信网络安全规划设计工作积累的经验和心得,使读者能够较全面地理解5G网络安全规划、实践等内容。
本书分为规划篇和实践篇两大部分,共16章。
第一部分规划篇,共8章。第1章5G安全规划方法,系统地介绍了如何利用系统工程方法论,从业务视角、信息化视角、5G安全整体视角出发来阐述5G安全顶层规划和体系设计的思路和建议。第2章5G网络空间资产测绘规划,主要运用以5G资产测绘为起点,以5G的脆弱性和风险管理为落点,以5G资产安全运营为终点的阶梯式建设方法论,旨在实现对5G网络空间资产安全的“挂图作战”。第3章5G安全防御规划,主要参考网络安全滑动标尺模型和自适应安全架构模型,规划构建动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的5G整体协同防御体系。第4章5G威胁检测规划,从攻击视角,通过5G威胁识别、5G威胁模型,详细梳理了5G威胁检测需求,由此给出了5G威胁检测架构、技术及规划方案。第5章5G安全态势分析规划,主要强调安全态势分析是构建主动网络安全防御体系的重要组成部分,如何规划基于情报、分析、响应和编排构建的5G安全态势分析平台,使其成为5G网络主动安全防御体系的“安全大脑”。第6章5G安全编排和自动化响应能力规划,主要介绍基于SOAR[1]的5G自动化响应系统,以编排为核心,充分地使用自动化技术,将人、技术和流程协同起来,并应用到5G安全防护、检测与响应的每个环节,实现闭环,提高效率,这是未来5G安全运营能力的关键组成部分。第7章5G网络攻防靶场规划,主要强调网络安全离不开攻防演练,实战是检验安全防护能力的最佳手段,5G网络攻防靶场规划的目的是打造5G网络安全专业人才的“练兵场”、检验5G网络安全防护能力的“试金石”、提升5G网络攻防能力的“磨刀石”。第8章5G安全能力开放规划,主要介绍基于服务化的5G网络能力开放架构体系是一种全新的电信网络设计理念,5G网络需要具备模块化、可编排、可灵活调度开放的安全能力,用以满足不同应用场景动态、差异化的安全要求。
第二部分实践篇,共8章。第9章5G核心网安全方案,主要从分析5G核心网架构和部署现状、5G核心网采用的新技术带来的安全风险入手,提出5G核心网安全纵深防御、零信任、自适应的总体设计思路和基于IPDRR[2]的5G核心网安全防护体系框架。第10章5G MEC安全方案,重点提供了对MEC安全总体架构、安全域划分、安全基础能力、MEC各级系统和应用的安全防护和检测,以及安全管理等方面的安全解决方案。第11章5G数据安全方案,通过梳理5G网络下的数据资产分类和流转情况,分析了5G数据安全新挑战、新风险,提出了5G数据安全总体方案设计原则、思路与架构,给出了5G数据安全整体防护方案,并针对未来5G数据安全防护发展趋势给出了建议与展望。第12章5G消息安全方案,全面分析和梳理了5G消息面临的安全风险及安全需求,明确了5G消息业务安全建设总体方案的设计原则、思路和架构,为5G消息业务的安全系统建设提供了有针对性的解决方案。第13章5G垂直行业应用安全方案,以5G行业应用发展的重大安全需求为导向,以5G应用安全供给侧能力提升为主线,针对重点行业5G应用安全痛点,遵循实战化、体系化、常态化的原则,融合可信架构、内生安全、安全中台、云边协同等创新理念,打造“云、网、端、边、数、业”的一体化安全方案,旨在提供与5G应用发展相适应的安全保障体系。第14章5G安全测评方案,主要以共识的5G安全测评标准系列规范为指导依据,从5G行业应用资产安全风险分析入手,对测评对象进行梳理,形成可实际落地实施的5G安全测评体系框架、测评手段和测评方法,形成贴合实际应用的5G安全测评体系,进而为电信运营商5G行业应用安全风险评估和测试提供重要参考。第15章5G攻防靶场部署与实践,主要强调以实战为导向,以攻促防,提升5G网络安全全面防护、智能分析和自动响应的一体化防护效果,全力提高5G场景化应用应对重大安全事件的“韧性”。第16章5G安全技术实践发展趋势,零信任、AI/ML、区块链、量子加密等安全创新技术作为内生安全的关键能力,正逐步融入5G网络安全体系的发展和演进中,这对构建5G网络威胁的自我发现、自我修复、自我平衡的安全免疫能力,形成网络一体化安全服务,有着不可或缺的作用,从而保障5G网络安全向下一代网络安全平滑演进。
本书由章建聪主持编写,主要作者有章建聪、陈斌、景建新、邱云翔、董平、汤雨婷,参加本书编写工作的人员还包括谢晓刚、彭畅、戢茜、钱科能、姚梦成等。华信咨询设计研究院有限公司是国内最早从事移动通信网络规划、设计和咨询的设计院之一,在5G网络安全咨询、规划、设计、测评和攻防等方面具备雄厚的技术实力和丰富的实战经验。本书的编写工作得到了华信咨询设计研究院有限公司多位领导和同事的大力帮助和支持,特别是王鑫荣总经理和朱东照总工程师的关心和鼓励,在此表示感谢!
同时,本书的编写工作还得到了中国电信集团有限公司网信安部、研究院领导及专家们的指导,在此表示感谢。本书关于5G安全技术架构和工作原理的内容主要参考第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)5G系列规范,并参考了大量国内外的5G安全专著、白皮书和技术文献,在此对相关作者致以敬意。
由于5G网络与业务的发展还在不断的演进过程中,5G网络安全技术也随之在不断验证和完善,因此,本书对5G网络安全的介绍还不够全面、深入,加上编者的认知水平有限,书中难免有疏漏与不妥之处,恳请读者批评指正。
编著者
2022年10月于杭州
[1].SOAR(Security Orchestration,Automation and Response,安全编排、自动化和响应)。
[2].IPDRR(Identify, Protect, Detect, Respond and Recover,识别、保护、检测、响应、恢复)。