5G架构的新风险及对策

作为数字化发展的新引擎，“新基建”已成为我国的国家级战略。今年4月，国家发改委明确了“新基建”的范围，包括信息基础设施、融合基础设施、创新基础设施三个方面。而早在2018年底，5G、工业互联网、人工智能等就已经归入“新基建”范畴。其中，5G在“新基建”中是信息基础设施的根基，可为数据中心、工业互联网等其它基础设施提供重要的网络支撑。

三大运营商及广电作为国家关键基础通信设施的承建、运营方，紧跟5G时代潮流，积极投身“新基建”，共同推动5G SA组网、5GC云化、MEC节点部署等5G相关基础设施建设。

5G网络在为个人移动通信带来优质体验的同时，也为各领域提供了重要的基础通信服务，为传统行业的发展注入了新活力，促进了信息网络与垂直行业的深度融合，但也使得网络安全问题变得更为复杂。

深信服作为专注于企业级安全、云计算和基础架构的产品和服务供应商，深耕运营商与广电行业领域多年，基于5G新基建发展方向，配合运营商整体建设脚步与安全需要，提出了5G MEC安全解决方案，为5G时代下各行业信息化发展提供了有力的安全保障。

5G架构的新风险

从网络架构来看，5G 网络整体延续 4G 特点，包括接入网、承载网、核心网和上层应用。同时，5G网络又具备eMBB（增强移动带宽）、URLLC（超高可靠低时延通信）、mMTC（海量机器类通信）等自身特性，因此除传统接入、认证、传输层面安全风险外，5G场景还存在空口安全风险、设备接入过程中的网络连接安全风险、漫游安全风险、端口监听安全风险以及5G承载的各类上层应用安全风险。

另外，5G网络架构在设计之初就从5G网络业务需求以及网络架构演进趋势的角度出发支持边缘计算。5G边缘计算的核心功能由5G UPF和边缘计算平台系统共同构成，同时需要与包括NFVO、BOSS系统、能力开放、安全管理平台、网络支撑和基础设施在内的技术领域和系统平台进行协同。

综上，结合3GPP标准中定义的5G标准化安全功能，深信服认为5G MEC新架构下的安全应从防范5G网络架构域外风险，以及由5G RAN、EMS、5GC、MEC构成的5G网络架构域内风险两个层面综合考虑。

在域外威胁方面，用户需考虑空口安全威胁、Internet安全威胁、网络漫游安全威胁，具体为：

1．空口安全威胁

·用户数据窃听／篡改

·终端侧DDoS攻击

·非授权终端接入（部分行业应用场景）

·伪基站、恶意干扰

·用户数据传输泄露／篡改

2．Internet安全威胁

·伪基站、恶意干扰

·用户数据传输泄露／篡改

·仿冒网络应用拒绝特定服务

·Internet侧DDoS攻击

·能力开放场景下的API非授权访问等

3．网络漫游安全威胁

·用户敏感信息传输泄露／篡改

·仿冒转接运营商拒绝服务

在域内威胁方面，用户需考虑网元间（内）的连接安全威胁、SBA架构安全威胁、O＆M安全威胁、MEC安全威胁、云化安全威胁以及网络切片安全威胁，具体为：

1．网元间（内）的连接安全威胁

·非法访问、窃听／篡改传输数据

2．SBA架构安全威胁

·对NRF进行DoS攻击，导致服务无法注册

·攻击者假冒NF接入5GC进行非法访问

·NF间的传输数据被窃听／篡改

3．O＆M安全威胁

·非授权用户访问EMS，用户隐私泄露

·合法用户恶意操作，O＆M数据泄露／篡改

4．MEC安全威胁

·恶意第三方应用对MEP、UPF或其他应用进行攻击

·应用之间抢占资源

·越权进行第三方应用的管理运维

5．云化安全威胁

·云化部署后物理资源共享，逻辑资源间无明显边界

·虚拟化开源软件容易引入更多漏洞

·传统监控无法应对NFV交付场景下，能力分层、多厂商的大量监控信息分析和安全事件溯源

·静态安全策略无法满足业务弹性和扩缩容需求，业务调整后安全策略无法自动随之调整

6．网络切片安全威胁

·访问未经授权的切片或越权运维

·海量终端DDoS攻击、资源过度消耗

·切片Key泄露，攻击者获取其他切片内数据

深信服对5G时代下安全建设的探索

基于前文的分析可以看出，传统安全方案以终端、网络、应用等层面提供的较为割裂的安全能力，已经无法匹配5G时代下的安全防护需求。且随着5G商用，运营商亟需打造多元化、可信的5G生态，承载医疗、能源、金融、交通等不同业务特征的数字资产，并需要积极探索在SDN／NFV、MEC等新技术手段的支撑下，如何为5G时代下广泛的应用按需提供定制的安全能力。

深信服认为，5G MEC场景下的安全，应由设备厂商、安全厂商共同解决。其中，5G接入网、核心网中的大部分风险，可通过设备厂商解决，安全厂商则保障终端接入安全、切片安全、MEC安全、5G行业应用安全以及实现安全智能运营能力。

·终端安全：需实现5G终端接入访问控制以及传统终端接入5G CPE访问控制。

·切片安全：需提供切片访问控制与数据防泄漏功能。

·MEC安全：需保障MEC平台安全，实现在MEC应用场景下运营商与用户界面的安全权责划分。

·5G行业应用安全：需保障MEC节点承载的智慧园区、智能驾驶、智能家居、远程医疗、远程教育等行业应用安全，以及后续承载应用的容器安全。

·安全智能运营：5G MEC安全防护存在大量差异化的安全场景，MEC、MEP安全策略、能力交互过程中也需要有效的运营手段提供支撑，因此需要实现MEC安全和5G安全的统一运营管理。

深信服5G MEC建设方案与能力

深信服5G场景下MEC安全能力建设方案，基于对运营商站点机房、边缘云、5G核心网等架构内基础平台、虚拟资源两个维度风险威胁的检测发现，通过安全事件日志上报、安全策略联动下发，实现5G MEC平台自身安全合规、MEC节点内安全（含容器）检测防护以及5G应用场景安全智能运营。

秉承“立体保护，全局运营”的运营商行业网络安全建设思路，重点针对运营商各MEC节点，进行物理、网络、数据、应用、身份立体保护。同时重点建设基于统一运营管理视角的安全管理中心与安全运营中心，通过整合容器安全、云工作负载保护（CWPP）等技术，融合自动化编排响应等安全能力，实现全局运营管理，统一风险监测告警。

方案融合医疗、教育、能源等多行业中安全建设经验，通过将场景化安全服务能力借助安全资源池、NFV、CWPP、容器等方式以云原生形式交付到MEC节点，形成与5G场景业务深度匹配的敏捷安全能力方案，为运营商在5G MEC场景下提供立体、智能、全面的安全防护。

“新基建”背景下，5G作为支撑数字信息化转型的基石，使得行业发展新机会与新风险并存。未来，深信服将继续提升创新能力，紧跟行业发展变化与需求，迎难而上，与运营商行业用户携手同行，持续优化5G网络架构下的安全解决方案，在数字化转型浪潮中，为各行业用户构筑安全稳定的互联网环境。

责任编辑：xj