1、5G专网安全技术白皮书5G专网安全技术白皮书中国联合网络通信有限公司广东省分公司2022年12月5G专网安全技术白皮书参与编写单位：参与编写单位：中国联合网络通信有限公司广东省分公司中国联合网络通信有限公司广东省分公司中国联合网络通信有限公司研究院中国联合网络通信有限公司研究院中讯邮电咨询设计院有限公司中讯邮电咨询设计院有限公司中兴通讯股份有限公司中兴通讯股份有限公司深信服科技股份有限公司深信服科技股份有限公司专家顾问：莫俊彬、潘桂新、徐雷、冯铭能、郝振武、张瑜编写组成员：李文彬、彭健、张曼君、聂勋坦、谢泽铖、郭新海、贾宝军、韦秀林、林友建、张哲、徐高峰、张可原、赵马煜、曾金杯、封华进前言随着

2、我国5G规模商用，5G专网凭借优秀的通信性能、灵活的组网部署、差异化的能力定制，在工业制造、能源、矿山、交通、物流、医疗、教育、媒体娱乐等领域越来越多的被应用，持续赋能千行百业数字化应用场景创新及信息化业务演进，加速行业数字化智能化转型。5G专网给行业客户带来优质服务、高效生产、智能业务的同时，也带来了潜在的安全风险。5G专网涉及多个安全域，在满足行业应用需求、引进新技术、提高生产效率和服务水平的同时，也打破了原本封闭的网络环境，使得网络边界变得越来越模糊，因此，需要针对不同行业应用场景部署满足行业应用需求的安全能力，为行业客户提供更全面的安全保障。为了保障5G的安全发展，国家高度重视，在政策

3、上给予了大力支持。工业和信息化部发布了“十四五”信息通信行业发展规划，要求加快行业虚拟专网落地，全面加强网络和数据安全保障体系和能力建设，持续提升新型数字基础设施安全管理水平，打造国际领先的5G安全保障能力，全面构建基础安全管理体系；并联合十部门在 5G应用“扬帆”行动计划（2021-2023 年）中，明确了未来我国5G发展的目标和重点任务。网络安全是国家安全的重要基石，对5G专网来说，如何满足我国相关安全政策、行业标准、规范要求，贯彻落实党中央、国务院决策部署，解决5G专网的安全问题，建立主动安全防御体系，进一步保障行业客户的利益，已成为5G专网需要解决的核心问题之一。本白皮书将重点梳理5G

4、专网安全诉求，分析各类安全风险产生的原因，提出端到端的安全解决方案建议，为5G专网安全技术实施与行业应用场景落地提供具有建设性意义的参考。5G专网安全技术白皮书目录一、5G专网发展概述.11.15G专网发展现状.11.2中国联通5G行业专网介绍.2二、5G专网安全诉求及风险分析.32.15G相关安全政策与标准.32.25G专网总体安全风险分析.4三、面向5G专网,构建端到端的安全解决方案.63.15G专网安全体系通用架构.63.2终端安全.73.3网络安全.83.4MEC安全.103.5边界安全.123.6专网管理安全与运维安全.12四、5G专网安全应用案例探讨.144.15G工厂制造基地安全

5、应用案例.144.25G智能驾驶示范区安全应用案例.154.3钢厂5G+工业互联网安全应用案例.164.4广东联通集约化云安全应用案例.17五、总结与未来展望.18附录1.19附录2.20附录3.225G专网安全技术白皮书101015G专网发展概述1.15G专网发展现状随着中国联通发布5G行业专网产品体系2.0、中国移动发布5G专网技术体系2.0，5G专网已逐步从1.0时代向2.0时代迈进，网络形式由To B通用网络向个性化定制的网络演进。截止2022年，我国三大运营商均已推出了拥有自己特色的5G专网服务产品，并建成了大量的商用行业5G专网，实现在工业制造、电力、医疗、交通、港口、物流、教育等

6、行业广泛部署，并实现多个技术突破和成功案例。以中国联通为例，中国联通推出的5G专网产品体系2.0“5G专网PLUS”,实现网络跨越、行业跨越、服务跨越三大跨越，提供了更强网络、更懂行业和更优服务，构建了基于流量和切片模式、基于网络+平台+应用模式、网络+平台+集成服务模式等3种商业模式，分别满足5G To B客户的不同需求，以5G专网带动行业DICT的收入增长。通过布局5G“7+9+9”行业应用，深耕重点垂直行业，汇聚科技创新能力，集结行业专家，聚合生态力量，面向全国一点支撑，基于5G、“云大物智链安”等自主能力，锤炼“专精特新”的“独门绝技”，推进创新链、产业链、价值链融合发展。在数字政府领

7、域中，中国联通与广东政数局合作，打造了全国首个省级5G政务专网，创新性地推进了广东省5G基层治理、5G智慧防疫、5G智慧应急、智慧城市管理等多个应用场景落地，促进5G技术与政务服务的深入融合，不断地助力广东政数局提升政府公共服务、社会治理的数字化、智能化水平。当前我国5G网络覆盖广度、深度持续提升，边缘计算和智能网络切片技术不断进步、融合，5G专网能力不断增强，5G专网作为数字化转型的新引擎，将持续赋能千行百业数智化转型升级、拓展生产效能。5G专网安全技术白皮书21.2中国联通5G行业专网介绍5G网络演进的趋势是向网元虚拟化、架构开放化、编排智能化方向发展，这为5G专网服务能力的灵活化、定制化

8、提供了有力的技术保障，以中国联通5G专网产品为例，5G专网产品主要包括：5G虚拟专网、5G混合专网以及5G独立专网。1.2.11.2.1 5G5G 虚拟专网虚拟专网5G虚拟专网产品是中国联通基于5G 公众网络资源，利用端到端 QoS 或切片技术，为客户提供一张时延和带宽有保障的、与中国联通公众网络普通用户数据隔离的虚拟专有网络，网络架构如下图所示：图1-1 5G虚拟专网网络架构图1.2.21.2.2 5G5G独立专网独立专网5G 独立专网产品采用专有无线设备和核心网一体化设备，为行业用户构建一张物理封闭、低时延、高带宽的基础连接网络，实现用户数据与中国联通公众网络数据完全隔离，网络架构如下图所

9、示：图1-2 5G独立专网网络架构图1.2.31.2.3 5G5G混合专网混合专网5G 混合专网产品采用核心网控制面共有化部署，行业用户UPF网元私有化部署，无线基站、核心网控制面网元根据客户需求灵活部署的模式，为用户提供部分物理独享的 5G 专用网络。满足行业用户大带宽、低时延、数据不出园区的需求。网络架构如下图所示：图1-3 5G混合专网网络架构图5G专网安全技术白皮书302025G专网安全诉求及风险分析2.15G相关安全政策与标准5G规模商用以后，国家层面高度重视5G行业的安全发展，陆续出台了多项政策要求与标准，鼓励5G行业发展与创新的同时把安全放在全新的高度，护航5G专网赋能各行各业数

10、字化转型。2.1.12.1.1 安全政策安全政策中华人民共和国网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行保障网络免受干扰、破坏或者未经授权的访问，防止数据泄露或者被窃取、篡改的安全义务。信息安全技术网络安全等级保护基本要求2.0版本将网络基础设施（广电网、电信网、专用通信网络等）、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等纳入了保护对象。中华人民共和国数据安全法明确提出对数据全生命周期各环节的安全保护义务，加强风险监测与身份核验，结合业务需求，从数据分级分类到风险评估、身份鉴权到访问控制

11、、行为预测到追踪溯源、应急响应到事件处置，全面建设有效防护机制，保障数字产业蓬勃健康发展。工信部印发的“十四五”信息通信行业发展规划中明确要求全面推进 5G 网络建设，加快 5G独立组网（SA）规模优化产业园区、港口、厂矿等场景 5G 覆盖，推广 5G行业虚拟专网建设。要求运营商全面加强网络和数据安全保障体系和能力建设，持续提升新型数字基础设施安全管理水平，打造国际领先的 5G 安全保障能力，全面构建基础安全管理体系；并严格落实数据安全法、个人信息保护法、关键信息基础设施安全保护条例，积极推动电信法等立法工作，加快完善信息通信行业相关规章制度。十 部 门 印 发 的 5G 应 用“扬 帆”行

12、动 计 划（2021-2023年）中提出开展提升5G应用安全提升行动，强化5G应用安全供给支撑服务；支持5G安全科技创新与核心技术转化，鼓励5G安全创新企业入驻国家网络安全产业园区；加强5G安全服务模式创新，推动5G安全技术合作和能力共享，鼓励跨行业、跨领域制定融合应用场景安全服务方案；加强5G网络安全威胁信息发现共享与协同处置。2.1.22.1.2 安全标准安全标准针对5G网络安全，其中3GPP发布了TS 33.501Securityarchitectureandproceduresfor5Gsystem，对5G安全体系结构概述，对5G网络接入安全、网络域安全、用户域安全、应用域安全等等安全

13、域进行说明，规范了5G核心网络周边的安全实体、5G核心网络中的安全实体，并制定了安全要求和功能的标准规范。中国通信标准化协会发布了YD/T 4056-20225G多接入边缘计算平台通用安全防护要求、YD/T3628-20195G移动通信网 安全技术要求，对5G的安全性进行了全方位的描述，涵盖5G网络的安全架构、安全需求、安全功能要求以及相关安全流程等方面的标准制定。5G专网安全技术白皮书42.25G专网总体安全风险分析5G专网的安全风险包含终端安全风险、网络安全风险、MEC安全风险、边界安全风险、管理安全风险。图2-1 5G专网总体安全分风险分析2.2.12.2.1 终端安全风险分析终端安全风

14、险分析5G专网终端分为两大类，分别是5G终端（如5G CPE、5G Dongle和物联终端内的5G模组）和其它非5G终端（如普通摄像头、PLC和AGV等可以通过连接5G CPE来接入5G网络）。终端安全风险点主要包括：终端物理安全、终端接入安全、终端数据传输安全及其它安全风险，详细如下表：表 2-1终端安全风险分析风险点风险点风险分析风险分析终端物理安全终端失联（如丢失、关机）终端SIM卡非法拔出终端接入安全非授权终端接入(CPE或SIM卡不合法)终端非法恶意接入终端数据传输安全终端接入5G网络访问安全(网络层)终端与MEC通信安全(应用层)其它CPE下挂设备攻击CPE下挂设备失联恶意设备非法

15、接入自身安全终端/设备自身安全2.2.22.2.2 网络安全风险分析网络安全风险分析网络安全风险点主要包括：基站和无线空口安全、切片安全、传输安全及5GC安全，详细如下表：表 2-2网络安全风险分析风险点风险点风险分析风险分析基站和无线空口安全1.空口无线干扰、数据窃听、数据篡改2.卫星GPS信号干扰、信号屏蔽、遮挡3.终端重放攻击、DOS攻击4.移动终端标识窃取5.伪基站攻击切片安全1.用户的非法接入切片、滥用切片资源、切片间非法访问、切片间资源争夺、切片间非法攻击等2.切片管理员权限滥用、切片敏感信息篡改等传输安全1.传输链路异常2.传输拥塞3.传输网络上进行恶意软件攻击、数据窃听5GC安

16、全1.基础设施层虚拟化安全,如虚拟资源的滥用、云平台内部的横向攻击、虚机及镜像破坏等2.网元功能层安全，如非法用户接入网络、对网元间接口的非法访问、数据的监听和篡改3.管理编排、能力开放的安全，如非法用户访问、权限滥用攻击、数据安全等5G专网安全技术白皮书52.2.32.2.3 MECMEC安全风险分析安全风险分析5G MEC平台从组网架构、业务服务方式、运营模式等方面进行分析，主要涉及的风险包括网络安全风险、应用安全风险、计算环境安全风险、数据安全风险，详细如下表：表2-3 MEC安全风险分析风险点风险点风险分析风险分析网络安全风险1.设备接入风险，边缘设备通过不安全协议/非法接入网络2.网

17、络攻击威胁,核心网网元、MEC平台遭受攻击3.网络配置缺陷，配置不当引起安全问题应用安全风险1.MEC应用安全隔离，权限界面模糊，业务未相互安全隔离，存在数据丢失、泄露及资源挤占的风险2.恶意应用，由于应用安全检测及限制，恶意应用入驻引起恶意消耗平台资源引发DDoS攻击、窃取数据和用户信息、扩散非法内容等安全风险3.应用管理编排不当4.安全漏洞，MEC应用存在后门等漏洞隐患计算环境风险1.设备配置缺陷2.管理通道安全设备安全漏洞3.设备级安全防护设备及措施不足，无法及时发现、拦截和响应针对设备的非法访问、入侵等安全风险。4.硬件、平台、系统、容器等载体存在安全漏洞所引起的安全风险数据安全风险1

18、.数据损毁风险，遭受攻击损坏数据，未有相关数据的容灾备份、恢复机制2.数据篡改风险，因SQL注入、XSS注入等外部攻击入侵造成的数据篡改风险3.数据泄露风险，业务应用数据和用户个人敏感隐私数据的泄露问题2.2.42.2.4 边界安全风险分析边界安全风险分析边界安全风险是指5G网络之间及5G专网网络与其他网络之间等不同网络之间进行信息交互时所产生的安全风险，包括安全分区分域、网络访问控制、远程管理、网络边界安全等风险点，详细如下表：表 2-4 边界安全风险分析风险点风险点风险分析风险分析安全分区分域1.未合理分区分域重要网元遭受到网络攻击威胁，容易造成网络瘫痪网络访问控制1.由于网络连接、资源分

19、配、UPF的访问控制策略配置不当及多MEC平台间管理编排调度不当而引起的安全风险远程管理风险1.远程管理控制软件与平台相关功能网元之间的控制传输安全风险，包括控制传输流量、上报资源状态和业务信息被监听、窃取、篡改等安全风险网络边界安全风险1.由于网络级IDS、抗DDoS、防火墙等防攻击手段落后，或未署网络告警管理、安全资源管理、安全审计措施等，导致无法及时发现、拦截和响应来自网络层面的非法访问、入侵等安全风险2.2.52.2.5 管理安全风险分析管理安全风险分析5G专网管理安全风险主要为5G专网安全态势及安全管理能力不足而引起的安全隐患；运维规范问题及运维通道安全不可信等引起的安全风险，包括安

20、全态势、安全设备管理、运维管理、运维通道风险等风险点，详细如下表：表 2-5 运维管理安全风险分析风险点风险点风险分析风险分析安全态势风险1.资产信息存在隐藏安全风险，存在漏洞2.缺少对安全整体态势，缺乏主动探测风险、威胁研判的能力3.遭受攻击难于及时响应，无法溯源取证安全设备管理风险1.运营难度大，运维与租户无独立管理界面，安全业务管理界面模糊2.专网安全涉及设备种类多，安全设备未统一纳管，设备管理复杂3.专网及MEC安全事件分散，安全问题难于定位，运维难度大运维管理风险1.运营商MEC及专网设备下沉园区，运维权限划分界限模糊2.运维操作权限划分不清晰，操作规范难于约束，违规运维容易造成网络

21、故障运维通道风险1.远程运维存在管理终端不可信、越权访问非法入侵风险，运维通道不可信5G专网安全技术白皮书60303面向5G专网,构建端到端的安全解决方案3.15G专网安全体系通用架构为解决5G专网面临的潜在安全风险，满足多种形态的专网安全需求，安全通用架构以5G专网安全能力为基础，结合行业应用场景的差异化环境，提出5G专网安全体系通用架构。5G专网安全体系通用架构主要针对5G专网安全风险威胁构建全方位、端到端的专网安全管理能力，满足不同行业客户业务发展带来的安全诉求，赋能5G专网全场景，保障5G专网端到端业务安全，为5G专网应用发展保驾护航。其中5G专网安全能力包括终端安全、网络安全、MEC

22、安全、边界安全、管理安全五个维度，如图 3-1 所示:图3-1 5G专网安全体系通用架构图5G专网安全技术白皮书73.2终端安全终端包括5G终端及CPE等，因自身计算能力、存储资源限制，对在终端上配置安全策略与执行安全控制难度较大，因此需从接入认证及终端资产管理方面来保障终端接入安全。3.2.13.2.1 终端多重安全接入机制终端多重安全接入机制通过多重认证机制、多重访问控制实现专网终端安全接入,实现用户接入和业务接入时的安全防护，如下图所示。图3-2 5G专网多重认证机制终端接入5G网络时,通过核心网的5G主认证和切片认证实现终端的基本认证及访问控制，在终端通过5G网络接入到企业网时，可进一

23、步进行二次认证功能，实现更丰富认证和接入控制能力。（1）二次认证在5G移动网络的主认证鉴权的基础上，引入企业二次认证服务器DN-AAA，对会话建立进行再认证，从而增强了企业对用户身份的鉴别能力以及对会话的管理控制能力，提升终端接入的安全性。图3-3 5G专网主认证与二次认证（2）位置访问控制位置访问控制利用先进的无线移动网络和电子信息技术，能够对特定的区域或指定的人员进行精确管控。用户只能在园区覆盖的基站下才能访问，出了园区不能访问；同时只允许指定接入的访问才能分流到园区内网。（3）多重认证控制点基于二次认证机制，企业可以自主地采用IMSI、IMEI、位置标识组合检验的方式，实现机卡绑定、接入

24、位置控制等功能。终端接入可由5GC与DN-IAM（身份识别与访问管理）分别实施控制决策。表 3-1多重认证控制点控制控制点点控制内容控制内容安全能力安全能力控制决策点控制决策点1终端可否接入运营商5G网络5G网络主认证5GC(由运营商管理和控制)2终端接入时进行二次鉴权和认证VPDN5GC3终端可否接入企业 5G网络企业网络企业自主认证DN-AAA(5GC和IAM协同，行业可自管理)4合法SIM卡是否在合法终端上使用机卡绑定控制DN-AAA(5GC和IAM协同，行业可自管理)5终端能在哪些位置接入到企业 5G网络电子围栏控制DN-AAA(5GC和IAM协同，行业可自管理)6终端能否接入企业切片

25、切片隔离5GC(IMSI与切片ID的映射，由运营商管理)7终端能接入企业哪个业务区基于SIM卡信息的访问控制策略IAM、安全网关(行业可自管理，决定终端能够访问的业务)3.2.23.2.2 终端资产统一安全管理终端资产统一安全管理针对终端开展5G资产安全管理，对终端信息的采集、统计、查询及风险评估，根据终端在网络拓扑中的位置和业务访问关系对终端的属性、位置等特征进行检测，及时发现异常设备接入，如非法终端接入、非授权5G终端使用合法SIM卡接入。在统一的5G 终端资产管理的基础上，通过流量的采集和建模分析，发现终端的异常行为检测，进而实现安全事件与资产的关联分析，呈现资产的威胁信息。5G专网安全

26、技术白皮书83.3网络安全为应对5G引入后带来的安全威胁，建设一个安全的5G专网，通过对5G基站空口、5GC下沉、传输通道、切片等采取严格的安全防护策略，形成网络安全防护体系。如下图3-4：3.3.13.3.1 5G5G基站安全基站安全5G专网基站空口安全主要包括：无线空口安全、防空口DoS攻击、防伪基站攻击等。（1）无线空口安全机制：分为接入层安全机制和非接入层安全机制。接入层安全机制，用于NR和UE之间的安全，为RRC信令和用户面数据提供加密和完整性保护；非访问层安全性机制，用于AMF与UE之间的安全，为NAS信令提供加密和完整性保护；（2）防空口DoS攻击手段：针对网络侧造成DoS的威胁

27、，在AMF发送认证请求后，适当降低等待回复的时间，加快等待状态中RRC连接的释放速率；在网络运维方面，结合KPI异常监测，以及用户投诉问题的情况，及时排查报警；（3）防伪基站攻击手段：虽然5G网络拥有用户隐私保护功能（将SUPI隐藏为SUCI）、用户面数据保护措施等，但是伪基站的问题在5G网络仍然存在。通过UE辅助测量，可分析出疑似伪基站，使用伪基站快速定位系统定位跟踪探测出伪基站，从根本上解决伪基站的威胁问题。3.3.23.3.2 5G5G下沉园区数据自治下沉园区数据自治为了满足5G园区专网的可靠性和数据不出园区的需求，进一步将5GC全部功能或部分功能下沉到边缘，实现专网专用、物理隔离和确定

28、性SLA。核心网功能下沉的主要功能如下：（1）支持核心网业务全量下沉，数据流动可控，确保关键信息不出园区；（2）在园区与公网失联场景下，支持连接态用户业务惯性运行，在线业务流可保持24小时；（3）下沉5GC控制面作为备份，支持移动终端通过园区应急控制面重建传输通道，实现业务快速恢复；（4）下沉UPF在转发层面通过访问控制列表（ACL）方式控制，禁止下沉UPF访问除指定SMF以外的公网，并5GC通过流量限速防范Dos攻击；路由层面屏蔽除SMF以外的其他网元信息；业务层面开启与SMF之间双向认证，同时建立针对信令流量的监测阻断机制。3.3.33.3.3 传输通道加密传输通道加密5G网络与企业网之间

29、的边界、网元之间的数据传输的安全性。（1）网元之间的安全通信通过IPSec来实现，提供数据源认证、数据完整性和数据机密性等保护措施；（2）网管和网元之间数据传输采用各种安全协议，禁用不安全的传输协议，如telnet/ftp等；（3）网元和网管传输层之间采用TLS 1.2协议。5G专网安全技术白皮书9图3-4 网络&传输安全架构3.3.43.3.4 端到端切片安全隔离端到端切片安全隔离由于5G专网切片之间的资源共享性和网络可编程接口的开放性，因此必须保证端到端切片的安全隔离，具体机制如图3-5所示。（1）切片接入安全：当UE访问不同切片内的业务时，各网络切片不能共享PDU会话；（2）公共NF与切

30、片NF的安全：通过白名单机制配置访问控制列表，严格控制公共NF和切片NF之间的互访关系，同时NSSF保证AMF连接正确NF，在AMF中监测请求频率；（3）切片间安全：应采用VLAN/VxLAN进行网络隔离、虚机/容器进行资源隔离,并对不同客户的管理员进行授权，实现对切片资源的分权分域管理；（4）5GC与DN之间的安全：5G网络数据面出口（如UPF与垂直行业DN）之间部署边界防火墙、访问控制、抗DDoS等设备防止外部攻击，通过IPSec 或SSL VPN保证安全连接；（5）切片能力开放安全：当运营商切片管理平台对垂直行业开放时，在对外接口采用鉴权认证机制，并应进行详细接入策略控制，通过IPSec

31、或SSL VPN保证接入链路安全。图3-5 切片安全隔离方案5G专网安全技术白皮书103.4MEC安全MEC安全技术可分为网络安全、计算环境安全、应用安全、数据安全及物理安全等5个维度。3.4.1.MEC3.4.1.MEC网络安全防护网络安全防护MEC平台本身承载客户业务应用系统，面临着大量的网络访问请求，包含业务访问、业务管理、运维管理访问等，MEC平台自身应做好网络安全防护工作及网络隔离，建议采用以下安全措施来降低MEC平台网络层面安全风险。（1）访问控制：MEC和5GC之间部署防火墙隔离进行边界防护，仅允许信令及OM相关的数据流量通过防火墙；在UPF的N6接口部署网络防火墙进行流量安全控

32、制，设置UPF白名单规则，针对N4、N6、N9接口分别设置专门的VRF；（2）安全隔离：将UPF和MEP与MEC应用之间进行安全隔离，通VLAN等方式将MEC应用之间进行隔离；对UPF和SMF的N4接口流量进行安全访问控制，并在MEC与核心网之间部署网络防火墙进行安全流量控制；（3）安全检测与监测：5G网络提供对UPF数据面攻击流量的实时特征进行检测，识别UPF与外部DN的可疑流量。并且提供5G场景下的用户行为分析UEBA，通过模式识别、深度学习等手段发现5G网络用户和网络节点的异常行为，实现对未知威胁的发现和监测；（4）入侵防范措施：在边界部署抗DDoS攻击、入侵检测、访问控制、Web流量检

33、测等安全能力，实现边界安全防护。包括最小化安装软件原则、关闭不需要要的系统服务/端口、支持漏洞监测和及时修补、部署防恶意代码软件/入侵监测系统、对设备进行安全基线配置、支持敏感数据的加密传输和存储、支持软件包校验等。3.4.2.MEC3.4.2.MEC计算环境安全防护计算环境安全防护MEC计算环境通过对镜像与环境进行安全防护，并采用严格资源管理机制与安全审计等安全防护措施，防范攻击者利用Host OS或虚拟化软件漏洞篡改容器或虚机镜像，或针对容器或虚机发起容器逃逸、DDoS等攻击。（1）镜像安全：开发阶段应要求开发者对容器镜像及中间过程镜像进行漏洞扫描，同时对第三方甚至自有应用/代码进行安全检

34、查；部署阶段应由MEC平台对镜像仓库进行安全监管，对上传的第三方/自有容器镜像进行漏洞扫描；运行阶段应支持容器实例跟宿主机之间的内核隔离。（2）环境安全：使用防火墙隔离手段防止容器之间的非法访问，对环境内的第三方进程进行监控；在虚拟化平台层面部署API安全网关来对容器管理平台的API调用情况进行安全监控，防止非法恶意API调用；对虚拟化编排管理实体进行安全加固，登录需要进行认证授权，防止管理面被攻击。（3）资源管理机制：保证虚拟机仅能使用为其分配的计算资源，限制单个用户或进程对系统资源的最大使用限度，并通过资源预留等方式确保某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机运行。（4）安全审计：对

35、用户行为、系统资源的异常使用、系统命令的使用和安全事件进行审计，依据关法律法规要求进行留存，并对审计记录采取防篡改、窃取保护。5G专网安全技术白皮书113.4.3.3.4.3.应用安全防护应用安全防护MEC中的应用在部署前应完成安全评估保证应用通信安全，通过MEP实现对应用安全隔离、检测与监测。（1）应用部署安全：当第三方MEC APP部署在运营商的MEC节点时，应进行安全评估，包括身份验证、安全合规检查和审核、执行病毒扫描等；MEC APP与MEP或其它MEC APP进行通信时，应对进行身份验证，并对传输的数据进行机密性和完整性保护。（2）MEP安全：MEP采用微服务隔离、VLAN隔离、vF

36、W等机制，实现行业APP间的按需安全隔离，提供MEC内部南北向及东西向流量的安全防护，并提供全面安全检测与监测能力。3.4.4.3.4.4.数据安全防护数据安全防护MEC采取严格数据安全保护措施，对各类数据进行全生命周期的保护，防止数据损毁、数据泄露、数据篡改等安全风险。（1）数据采集：将涉及用户隐私的数据信息加以标识，在每个 MEC 节点的数据入口通过防火墙进行隔离，按照最小化原则关掉所有不必要的服务及端口，对于增加标识的重要数据进行完整性、机密性及防复制的保护。（2）数据传输：采用独享式 UPF，网络侧配置数据 ULCL 分流策略，本地做分流规则自检与IP/FQDN 一致性检查，保证本地分

37、流数据不出企业、数据传输过程中的加密。（3）数据存储：数据应加密存储，采用加密的安全方式存储和传输用户口令等身份鉴别信息，防止用户鉴别认证信息泄露而造成身份冒用，同时边缘 MEP 应提供对 APP 数据的安全存储，涉及行业 5G 用户的位置、标识等信息应在 MEP中加密存储。（4）数据处理：依据行业相关标准规范对重要、敏感数据进行分类分级处理。对于存储的数据需要识别重要数据并进行安全备份和恢复，保障业务稳定运行。（5）数据共享：对 MEP 关键数据进行监测审计，对 API接口行为监控，支持 MEC 边缘流量常见攻击行为的监测，例如漏洞利用、非授权访问攻击、拒绝服务攻击等。（6）数据销毁：保证鉴

38、别信息所在的存储空间被释放或重新分配前得到完全清除，虚机内存、存储空间在回收时完全清除。3.4.5.MEC3.4.5.MEC物理安全物理安全MEC物理安全满足YD/T 1754-2008电信和互联网物理环境安全等级保护要求、GB/T 22239-2019信息安全技术 网络安全等级保护基本要求的安全要求。5G专网安全技术白皮书123.5边界安全5G专网边界安全主要考虑如何从部署、配置和管理上对5G网络的安全提供防护手段，从而防止5G网络遭受外部和内部的攻击，并能够对已经产生的安全风险进行控制。5G网络提供运营商资产与垂直行业网络资产（包括服务器、交换机等物理资产，以及在物理资源上的应用、数据等虚

39、拟资产）之间的安全边界防护能力，保障网络边界安全。3.5.13.5.1 分区分域精准防御分区分域精准防御根据运营需求和网元功能，将网元进行安全等级分类，根据网元安全等级划分安全域。按照安全域之间的互通原则，在不同等级的安全域之间进行互通时，需要进行边界防护。跨域的数据传输必须受安全策略控制，例如在域间配置防火墙、VPN、IPS等；安全资源域内的数据传输，根据需要配置安全控制，例如VNF之间配置防火墙，VNF之间增加相互认证机制等。3.5.23.5.2 边界访问控制隔离边界访问控制隔离在5G专网的网络安全隔离上，应考虑运营商侧与垂直行业主体侧双方对安全的诉求。垂直行业主体侧明确垂直行业资产与5G

40、网络的边界，并在边界位置部署访问控制、网络隔离等安全防护措施，如通过网闸、正反向隔离装置等对CT与OT域进行通信隔离。同时可考虑在网络边界上部署流量监测和防护措施，通过设置黑白名单、异常流量识别等机制对可能来自5G网络的非法访问和攻击流量进行识别和过滤。3.5.33.5.3 入侵防御安全审计入侵防御安全审计5G专网对不同的安全域之间实际的通信业务/流量部署对应的安全设备：例如抗DDoS、IDS/IPS、防火墙、漏洞扫描、网络安全审计等安全设备，支持过滤链路层、网络层、传输层非法报文，以确保对来自外网的流量以及APT攻击进行检测与防护。在此基础之上，构建边界、内网、网元入侵检测和处置能力，对边界

41、攻击入侵进行监测和发现，并及时调整边界防护策略，对攻击者的网络地址、端口等进行限制。3.6专网管理安全与运维安全3.6.1.5G3.6.1.5G专网运营安全管理专网运营安全管理为保证5G专网运营安全管理，引入安全态势感知平台及5G专网安全管理平台，形成对5G专网整体的安全感知能力及可控能力。（1）搭建态势感知平台，构建5G专网整体安全感知能力搭建5G专网安全态势感知平台，基于机器学习、关联分析等能力，以5G专网网络设备、主机设备、安全设备、系统日志等多源数据为驱动，对5G专网各层次的资产信息进行关联，进行脆弱性分析，并在安全事件中寻找因果关系，追踪安全事件的源头，结合5G专网的网络运行状态及设

42、备信息，进行安全态势评估，为5G专网提供智能的安全风险分析及威胁感知能力。全面提升安全感知能力，将5G专网安全战略由被动防御转向主动智能防御。平台架构如下图：图3-6 专网安全态势感知架构5G专网安全技术白皮书13（2）搭建5G专网安全管理平台，构建5G专网运营管理能力采用“集中+近源”的安全资源池的部署模式，通过搭建5G专网安全管理平台对专网各类安全系统或安全能力进行纳管，结合网络编排能力，实现安全能力服务化。结合安全态势感知平台，可对信息资产、安全事件、安全风险、访问行为进行统一分析与监管，协助运维人员在发生安全事件时能够迅速发现问题，定位问题，处置问题。安全管理平台支持统一安全服务编排，

43、统一安全业务一键发放，构建“可知、可见、可控”的5G专网安全管理体系。图3-7 5G专网安全管理体系架构1）安全多级协同管理：针对各级MEC存在的安全能力分散、缺乏安全能力统一调度、安全服务按需开通难等问题，专网安全管理平台采用多级协同架构，实现对安全能力统一纳管及策略部署，提供弹性、灵活的安全服务。2）统一安全运营：多租户自运营及运营商自运营，并支持从不同角色、不同维度向用户展示专网与MEC的安全能力信息，包括服务状态统计、服务资源统计、告警事件统计、用户账户信息、服务费用统计、工单统计、安全态势信息等。3）业务按需编排：对专网租户的流量进行灵活牵引，将各类安全能力组件进行服务链编排，实现5

44、G专网用户对安全服务按需申请，减少用户因自身安全能力不足而引起的各类安全风险问题，赋能5G专网业务。3.6.2.3.6.2.运维安全运维安全5G专网在实际的安全运行维护管理中，除了严格按规范流程执行之外，可通过有效运用运维管理技术手段，保障运维操作安全及运维通道安全，全方面提升运维管理风险控制能力。（1）运维操作安全通过建设4A平台及堡垒机实现集中帐号管理、认证管理、授权管理、审计功能等能力，满足资产安全管控需求及运维日常维护需要。帐号管理：包括主从帐号管理、主从帐号角色维护、密码定期更新以及密码策略管理等功能。认证管理：支持双因子认证，支持对不同用户设置不同认证方式组合的双因素认证，保障认证

45、安全。授权管理：将相应的权限（资源）或角色授予用户或用户组的一系列维护管理操作。对用户授权后，用户即拥有访问目标资源的权限。审计管理：对专网的运维人员/租户管理用户的操作行为以及登录登出和操作资源的行为进行分析审计，具备记录完整操作过程、数据流回放技术、传输文件备份、日志搜索、展示关联行业的能力。（2）运维通道安全引入零信任SDP架构，在专网网络、MEC平台与企业内网之间部署零信任接入网关及零信任控制器，针对运维人员、租户管理人员的安全接入管控，构建网络隐身、身份鉴别、传输加密等安全保障能力，实现在不安全的网络环境对应用和服务进行隔离，保证运维管理人员的运维通道安全及安全接入。5G专网安全技术

46、白皮书1404045G专网安全应用案例探讨4.15G工厂制造基地安全应用案例应用总体介绍应用总体介绍5G工厂围绕智能工厂数字化生产线、自动化测试及实时数据交互需求，突破5G工业互联网基础网络技术研究，联合建立企业级协同制造工业互联网iMES平台，实现不同典型业务场景下的5G工业互联网创新应用，打造“5G+智能制造”示范工厂。目前已部署的5G行业应用包括：5G云化AGV、巡逻机器人、工业可穿戴、机器臂控制云化PLC、机器视觉质检等。图4-1 5G工厂互联网基地安全需求安全需求该基地通过引入5G行业终端实现工厂智能转型，但智能化提升生产效率的同时也产生了更多的安全隐患，为应对种类繁多的安全威胁，需

47、建立统一的安全态势感知与管控平台，对5G行业终端各环节进行监测，从而形成纵深的防护体系。安全方案安全方案实施方案涉及的三类组件，均使用纯软件方式部署，安全代理安装在行业终端（包括AGV、CPE、扫地机器人、摄像头等），物联网安全态势感知及安全监测系统都部署在业务边缘云虚拟环境中。图4-2工业互联网终端安全管控系统主要完成以下能力建设：（1）建立面向工业终端的实时安全监控防护能力对终端资产置入安全模块，进行自身安全加固，对终端设备进行签名认证，感知周边安全。（2）建设统一终端安全态势感知与管控平台建立终端安全管控平台，对设备的安全状态实时监控，运用大数据、动态预警、系统漏洞检测等多项关键技术，对

48、范围内的网络设备进行安全漏洞主动发现，及时感知海量设备的漏洞及风险情况，实现终端设备的安全态势感知和通报预警，达到及时感知网络风险所在，辅助相关部门进行安全整改。（3）形成周期性的终端安全监测评估机制为终端资产进行安全监测，智能感知终端安全状态信息，从终端的资产出发，关注终端资产状态、弱口令、系统漏洞等威胁信息，结合多角度、多维度分析终端的安全事件，为工业终端安全管控构建管理平台。同时在终端侧安装安全代理，只需要简单适配开发工作，即可使得工业终端具备安全检测、数据安全加密功能。5G专网安全技术白皮书154.25G智能驾驶示范区安全应用案例应用总体介绍应用总体介绍智能车联网引入5G网络边缘安全，

49、以车联网综合标准化体系建设指南为指导，从网络切片隔离、实时业务保障、空口安全、端到端数据安全、终端接入认证以及安全运维管理等方面进行设计，实现终端全链路的安全，满足智能驾驶的各类安全需求。图4-45G智能驾驶安全安全需求安全需求目前5G智能驾驶无法保证端到端的链路安全，需要补齐全链路的接入安全与网络威胁全面感知能力，保证安全的同时提高安全事故处置效率。安全方案安全方案通过从逻辑结构上将5G智能驾驶示范区网络进行安全区划分，同时考虑到边缘数据中心内部有不同的应用区，依照功能属性对其进行安全域划分为：5G接入区、5G边缘区、5G核心网区、智能驾驶业务区以及运维管理区。为了保证终端接入的安全，综合5

50、G网络的安全准入能力和终端安全管理功能，通过多种终端类型双向接入认证、访问控制、机卡绑定、IP地址分配等多种手段，提供了严格的端到端网络安全保护措施。图4-55G认证和终端安全管理同时建设5G专网态势感知平台，通过安全探针对5G专网的网络流量进行深度包解析和流解析，实现对网络威胁的全面有效检测，进一步从多维视角对安全态势进行描绘，实现了安全综合态势、攻击态势、资产安全态势、风险态势等场多种态势感知场景，建立了安全威胁检测与响应体系，及时发现各类来自内部和外部的安全威胁，进行主动进行响应和处置，缩短安全威胁的检测周期，提升恢复效率。5G专网安全技术白皮书164.3钢厂5G+工业互联网安全应用案例

51、应用总体介绍应用总体介绍钢铁厂积极推动5G+工业互联网，通过5G的主认证和二次认证机制、切片隔离机制、MEC技术，保证终端的接入和数据传输的安全。但由于钢厂网络中有大量的传统工业终端，这些终端并没有5G的接入能力，采用WIFI或有线方式先接入到5G CPE，再通过5G CPE接入到网络中。当终端接入时，5G CPE为接入的终端分配内网地址，并执行NAPT功能，建立终端与位于MEC或园区网中工业互联网应用之间的数据连接。由于使用NAPT，网络和业务无法看到终端的网络接入情况，影响了终端的可信度，因此希望引入零信任安全加强终端的管理，尤其是对传统终端的管理。安全需求安全需求现有传统工业终端的网络接

52、入情况不可知，接入安全不可靠，对非5G工业互联网终端进行信任管理、管控，增强系统的安全性，最终实现终端接入可管、可控、可信。安全方案安全方案基于工业互联网零信任参考架构，在现有的物联网管理平台的基础上，引入零信任安全的要素，提高整体的安全性。为了解决非5G终端不可信的问题，在CPE内置了安全代理，加强对非5G接入终端的管理，执行以下功能：（1）加强终端内网地址的管理，增加DHCPServer，CPE安全代理开启DHCP代理功能，DHCPServer充当网络接入身份管理服务器，根据终端的MAC地址实现地址的统一分配，并支持静态地址分配。（2）CPE安全代理启用和可信网关之间的安全隧道，非5G终端

53、通过安全隧道建立与可信网关的连接，进而访问业务服务器。由于没有采用NAPT变换，内层IP地址能够直接与终端身份管理，因此可信网关可以根据内层IP关联到终端的身份以及管控策略，进而执行精细化的管控。图4-3工业终端零信任接入管理系统物联网管理平台，增加零信任安全控制特性以及安全持续评估的能力，能够与安全代理、可信网关进行交互，实现安全信息的收集、信任评估和安全策略的下发。5G专网安全技术白皮书174.4广东联通集约化云安全应用案例应用总体介绍应用总体介绍广东联通采用业界首创的异构多云统一安全架构，基于“集中+近源”差异化的安全能力基础资源池，构建统一安全管理平台，通过安全管理平台实现集中化安全控

54、制编排、流量调度，对安全原子能力进行产品包装，形成多样化安全能力输出。全面实现云安全“可视”“可控”能力，满足监管合规、联通云网安长期稳定需求。安全需求安全需求广东联通各云安全能力参差不齐，安全防护能力差距较大，各云都有独立的安全管理体系，运维效率不高，缺乏整体安全编排、调配能力，急需对云安全能力进行强化升级，拉齐安全能力水平。安全运营需求：根据不同管理人员，划分不同的权限，提供自身运维管理及租户管理双入口。安全方案安全方案建设统一安全管理平台，实现对全网资产的集中化信息采集、分析和管控，全面提升网络安全管理能力；构建安全能力资源池（集中+近源），将安全能力池化，针对云环境多租户虚拟网络边界提

55、供弹性、灵活云安全服务。网络架构如下图：图4-6安全能力集约化（1）流量控制策略：集中业务，采用SDN+SRv6技术引流，用户流量集中在省中心安全能力资源池处置，处置后流量回落到云租户所在资源池；近源业务，通过云内SDN或策略路由模式，将用户流量集中到本地近源安全能力资源池处置。（2）安全运营能力：通过集约化云安全能力的建成，对内面向自身运维提供网络安全、信息安全，形成快速运维、安全应急响应、态势感知、SDN自动化等安全防护能力；面向自身运营人员提供安全能力定制编排产品化开发和输出；对外，面向客户（2B/2C）提供安全增值服务和安全能力，为租户提供安全自服务门户，实现安全能力一键定制，安全配置

56、一键下发，并提供多个等级保护套餐。5G专网安全技术白皮书180 05 5总结与未来展望5G专网具有大带宽、广连接、低时延、高安全性等诸多优势。同时5G专网具备适用部署区域化、网络需求个性化、行业应用场景化等特点，未来5G专网将会得到更加广泛的应用。目前5G专网处在发展时期，安全是支撑千行百业数字化发展的核心要素，5G专网安全问题还尚未全部显露出来，未来要加强对5G专网安全性问题的研究，挖掘潜在安全风险点，分析安全问题原因，并采取具有针对性的安全技术，主动出击消除安全问题隐患，不断提高5G专网的安全性，满足行业应用的实际需求。伴随我国科学技术的快速发展，5G专网应用将助力我国经济发展，是推动企业

57、数字化智能化转型必不可少的力量。5G专网应用不仅与我国人民生活息息相关，同时也与国家经济增长有密切联系。因此，在5G专网建设前期，要对5G专网的安全性进行充分考虑，开展5G专网建设阶段，需同步进行安全能力的建设，从而保障5G专网的安全可靠运行，并且后续可以基于安全能力开放，为5G行业专用用户提供更加丰富的差异化安全服务，使5G专网为中国民生与经济的发展做出更大贡献。5G专网安全技术白皮书19附录附录1 1术语表中文名称英文名称定义5G5th generation mobilenetworks5G 是第五代移动通信技术，是继 4G（LTE-A、WiMax）、3G（UMTS、LTE）和 2G（GS

58、M）系统之后的延伸。5G 的性能目标是高数据速率、减少延迟、节省能源、降低成本、提高系统容量和大规模设备连接。5G 专用网络Private 5G NetworkPrivate 5G，5G 专网，指采用 3GPP 5G 标准构建的企业或行业无线专网。云计算Cloud Computing云计算通常简称为“云”。通过互联网，“按使用量付费”的方式提供随需应变的计算资源（从应用到数据中心）。其部署方式包括公有云、私有云和混合云。边缘计算Edge Computing在靠近物或数据源头的网络边缘侧，融合联接、计算、存储、应用核心能力的开放平台，就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据

59、优化、应用智能、安全与隐私保护等方面的关键需求。网络切片Network Slice网络切片是一种按需组网的方式，可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络，每个网络切片从无线接入网承载网再到核心网上进行逻辑隔离，以适配各种各样类型的应用。网络安全Cyber Security通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。访问控制Access Control访问控制是给出一套方法，将系统中的所有功能标识出来，组织起来，托管起来，将所有的数据组织起来标识出来托管起来，然后提供一个

60、简单的唯一的接口，这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是：谁是否对某资源具有实施 某个动作（运动、计算）的权限。返回的结果只有：有、没有、权限引擎异常了。零信任Zero Trust零信任既不是技术也不是产品，而是一种安全理念。根据 NIST零信任架构标准中的定义：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任架构（ZTA）则是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。主动防御Active Defense是指

61、网络能够在主动或者被动触发条件下执行各种硬件变体及相应的软件变体的一种防御方式。态势感知Situation Awareness态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。大数据Big Data指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。5G专网安全技术白皮书20附录附录2 2缩略语表缩略语英文名称中文名称3GPPThird Gen

62、eration Partnership Project第三代合作伙伴计划5GC5G Core network5G核心网AAAAuthentication、Authorization、Accounting3A认证ACLAccess Control Lists应用在路由器接口的指令列表AGVAutomated Guided Vehicle自动导引运输车/无人搬运车AMFAccess and Mobility Management Function接入及移动性管理功能APIApplication Programming Interface应用程序编程接口APPApplication program应

63、用程序APTAdvanced Persistent Threat高级持续性威胁CPE5G Customer Premise Equipment客户前置终端设备CWPPCloud Workload Protection Platform云工作负载安全防护平台DDoSDistributed Denial of Service分布式拒绝服务DHCPDynamic Host Configuration Protocol动态主机设置协议DICTData、information and communicationstechnologyDT与IT、CT的深度融合DNData Network数据网络DOSDe

64、nial of service拒绝服务EDREndpoint Detection&Response端点检测与响应FlexEFlex Ethernet灵活以太网FQDNFully Qualified Domain Name全限定域名ftpFile Transfer Protocol文件传输协议GPSGlobal Positioning System全球定位系统Host OSHost Operating System主机操作系统IAMIdentity and Access Management统一身份认证IDSIntrusion Detection Systems入侵检测系统IMEIInterna

65、tional Mobile Equipment Identity国际移动设备识别码IMSIInternational Mobile Subscriber Identity国际移动用户识别码IPSIntrusion Prevention System入侵防御系统IPSecInternet Protocol Security互联网安全协议MECMulti-Access Edge computing多接入边缘计算MEPMulti-Access Edge computing Platform移动边缘平台NAPTNetwork Address Port Translation网络地址端口转换NEFNet

66、work Exposure Function网络开放功能5G专网安全技术白皮书21缩略语英文名称中文名称NFNetwork Function公共网络功能NFVNetwork Function Virtualization网络功能虚拟化NSSFNetwork Slice Selection Function网络切片选择功能PDUProtocol Data Unit协议数据单元PLCProgrammable Logic Controller可编程逻辑控制器QoSQuality of Service服务质量RRCRadio Resource Control无线资源控制SDNSoftware Dene

67、d Network软件定义网络SIMSubscriber Identity Module用户身份识别模块SLAService Level Agreement服务级别协议SMFSession Management Function会话管理功能SQLStructured Query Language结构化查询语言SSLSecurity Socket Layer基于安全套接字层协议SUCISubscription Concealed Identifier用户隐藏标识符SUCISubscription Concealed Identifier用户隐藏标识符SUPISubscription Perman

68、ent Identifier用户永久标识符TLSTransport Layer Security传输层安全性协议UEUser Equipment用户设备UEBAUser and Entity Behavior Analytics用户和实体行为分析技术ULCLUplink Classifier上行链路分类器UPFUser Plane Function用户面功能VLANVirtual Local Area Network虚拟局域网VNFVirtual Network Function虚拟网络功能VPDNVirtual Private Dial Network虚拟专有拨号网络VPNVirtual P

69、rivate Network虚拟专用网络VRFVirtual Routing and Forwarding虚拟路由转发VxLANVirtual eXtensible Local Area Network虚拟扩展局域网WAFWeb Application FirewallWeb应用防火墙XSSCross Site Script Attack跨站脚本攻击5G专网安全技术白皮书22附录附录3 3参考文献1.中国联通5G专网产品体系2.0白皮书中国联合网络通信集团有限公司 2021年12月2.中国联通 5G 行业专网白皮书 中国联合网络通信集团有限公司 2020年8月3.5G行业专网安全技术研究报告IMT-2020(5G)推进组 2022年4月4.5G安全知识库 IMT-2020(5G)推进组、中国信息通信研究院 2021年12月5.YD/T 4056-2022 5G多接入边缘计算平台通用安全防护要求2022年7月6.YD/T 3628-2019 5G移动通信网 安全技术要求2019年12月5G专网安全技术白皮书版权所有本白皮书版权属于中国联通所有，本白皮书所载的内容，包括但不限于文本、图片、数据、观点、建议，不构成法律建议，本文档包含受版权保护的内容，非经中国联通书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。