1、 5G 智慧城市安全需求与架构白皮书 2 目录目录 1 引言引言 . 3 2 5G 智慧城市概述智慧城市概述 . 4 2.12.1 智慧城市智慧城市 . 4 2.22.2 5G5G 赋能新型智慧城市赋能新型智慧城市 . 4 2.32.3 5G5G 智慧城市网络架构智慧城市网络架构 . 6 3 5G 智慧城市安全需求智慧城市安全需求 . 7 3.13.1 终端层安全需求终端层安全需求 . 7 3.23.2 边缘计算层安全需求边缘计算层安全�����需求 . 8 3.33.3 网络层安全需求网络层安全需求 . 9 3.43.4 行业平台行业平台/ /技术中台层安全需求技术中台层安全需求 . 10 3.53.
2、5 应用层安全需求应用层安全需求 . 11 4���� 5G 智慧城市安全参考架构智慧城市安全参考架构 . 12 4.14.1 5G5G 智慧城市安全角色智慧城市安全角色 . 12 4.24.2 5G5G 智慧城市安全架构智慧城市安全架构 . 13 4.34.3 5G5G 智慧城市安全技术智慧城市安全技术 . 14 4.3.14.3.1 终端层安全终端层安全 . 14 4.3.����24.3.2 边缘计算层安全边缘计算层安全 . 14 4.3.34.3.3 网络层安全网络层安全 . 15 4.3.44.3.4 行业平台行业平台/ /技术中台层安全技术中台层安全 . 18 4.3.54.3.5 应用层安全应用
3、层安全 . 19 4.3.64.3.6 安全运营管理安全运营管理 . 21 5 5G 智慧城市安全政策和标准智慧城市安全政策和标准 . 22 5.15.1 安全政策安全政策 . 22 5.25.2 安全标准安全标准 . 24 6 5G 智慧城市安全发展建议智慧城市安全发展建议 . 26 6.16.1 加强安全顶层设计和统筹协调加强安全顶层设计和统筹协调 .������ 26 6.26.2������� 加快安全技术攻关和标准研制加快安全技术攻关和标准研制 . 26 6.36.3 加速安全生态共建和协同发展加速安全生态共建和协同发展 . 26 7 未来展望未来展望 . 27 附录:附录:5G 智慧城市安全应用案例智慧城市
4、安全应用案例 . 28 A.1 5GA.1 5G 智慧乌镇智慧乌镇 . 28 A.2 A.2 5G5G 智慧银川智慧银川 . 34 A.3 5GA.3 5G 智能厂区智能厂区 . 38 A.4 5GA.4 5G 智慧社区智慧社区 . 41 致谢致谢 . 45 5G 智慧城市安全需求与架构白皮书 3 1 引言 智慧城市利用信息技术,促进了城市中信息空间、物理空间和社 会空间的融合,并通过丰富的应用系统��������,加速城市经济发展与转型, 提高政府及公共服务的效率,方便市民的工作生活,有效地保护和利 用环境,实现经济、社会、环境的和谐发展。在当前 5G 等新型基础 设施高速发展的背景下,新型智慧城市的建设发
5、展迎来了新的高潮, 在 5G、工业互联网、物联网、车联网、大数�������据中心、人工智能、新 能源等新型基础设施的基础上, 可进一步推动城市新型管理和服务智 慧化,提高城市运行管理和公共服务水平,提升城市居民幸福感和满 意度。 5G 给智慧城市发展注入新动能的同时,也带来新的安全风险。 而在 5G 智慧城市的不同层面,如终端层、网络层、平台层和应用层 等, 城市的管理者和建设者都可以部署相应的安全能力来应对这些风 险。本白皮书主要分析 5G 技术的应用为智慧城市带来的发展机遇, 明确 5G 智慧城市的安全需求,并提出对应的安全参考架构和安全实 施建议。 5G 智慧城市安全需求与架构白皮书 4 2 5G
6、智慧城市概述 2.12.1 智慧城市智慧城市 根据 ISO(国际标准化组织)的定义,智慧城市指在已建环境中 对物理系统、数字系统、人类系统进行有效整������合,从而为市民提供一 个可持续的、繁荣的、包容性的综合环境系统。2012 年以来,智慧 城市成为国际城市化发展的�������热点之一, 全球已启动或在建的智慧城市 有 1000 多个,其中在中国超 500 个。传统意义上的智慧城市更加侧 重技术层面的问题,其主要内容为构建基础信息网络与云计算平台、 配置全方位的感知设备、整合基础信息资源等。新型智慧城市则是在 智慧城市发展到一定阶段后更高的一种城市建设发展的形态, 更强调 新一代信息通信技术与城市现代化的深度融
7、合与迭代演进, 进一步提 升智慧城市的公共服务效能与政府治理能力,更好地为人民服务,提 高城市管理精准化、高效化与透明化。 2.22.2 5G5G 赋能新型智慧城市赋能新型智慧城市 2020 年 3 月,中共中央政治局常务委员会召开会议提出,加快 5G 网络、数据中心等新型基础设施建设进度。在“新基建”的背景 下,新型智慧城市的建设也迎来了新的机遇。新型智慧城市可通过 �����5G、特高压、城际高速铁路、工业互联网、物联网、车联网、大数据 中心、人工智能、新能源等新型基础设施,促进城市中信息空间、物 理空间和社会空间的融合,并通过丰富的应用系统,加速城市经济发 5G 智慧城市安全需求与架构白皮书 5
8、展与转型,提高政府及公共服务的效率,方便市民的工作生活,有效 地保护和利用环境,实现经济、社会、环境的和谐发展。 5G 高可靠、低时延、大带宽等特性,可高效地将城市的系统和 服务打通、集成,提升资源运用的效率,优化城市管理和服务,改善 市民生活质量。加快 5G 信息通信技术与城市发展深度融合,通过信 ����息化手段解决城镇化进程中带来的问题,既是城市可持续发展所需, 也是产业新动能所在。5G 新型智慧城市具有以下特征: 泛在感知。通过全方位的智能感知设备,对城市5G、特高压、城 际高速铁路、工业互联网、物联网、车联网������、大数据中心、人工 智能、新能源等新型基础设施进行数据的实时收集、监控与分析。 高效
9、传输。新型智慧城市运用基于5G的高带宽、低时延、低功耗 移动信息网络与其他城市信息基础设施实现数据的高效传输。 充分融合。智慧城市充分融合5G、特高压、城际高速铁路、工业������ 互联网、物联网、车联网、大数据中心、人工智能、新能源等新 型基础设施中的海量数据,提高数据的综合利用与有效管理。 协同运作。通过新型智慧城市工业、农业、通信、电力、交通、 水利、金融、医疗、公共卫生、社会保障等关键领域运行者与管 理者之间的高效协作,实现整个城市资源的优化配置。 智能决策。根据新型智慧城市中新基建收集的海量信息,为政府 城市治理提供智能化的决策支持,为企业经营和居民的日常生活 提供更智能化的服务。 精准防控。
10、对城市运行中的突发事件能进行及时预测、预警,能 5G 智慧城市安全需求与架构白皮书 6 提供精准的防控,面对突发事件可进行数据、物资、人员的高效 配送和协同,城市治理和风险防控能力大大提升。 2.32.3 5G5G 智慧城市智慧城市网络网络架构架构 To CTo B 终端层 仪器工厂设备传感器手机VR/AR 网络层 行业平台层������ 应用层 智慧政务智慧交通智慧电网智慧工厂 eMBB uRLLC 5GC AMFSMFUDM AMFSMFUDM MEC 承载网 5G RAN BBUAAU AMFSMFUDM 政务云平台智慧交通����平台物联网平台工业互联网平台 技术中台层AI中台数据中台安全中台 MEC 边
11、缘层 mMTC 图 1 5G 智慧城市网络架构 5G 智慧城市参考架构包括终端层、 边缘层、 网络层、 数据平台 (技 术������中台层、行业平台层) 、应用层,如图 1 所示。其中,终端层主要 是面向个人用户的手机终端、VR/AR 终端,以及面向垂直行业的工控 终端、CPE(客户前置设备)和各种传感器等。边缘层是 5G 时代面向 时延敏感应用的边缘计算云,例如为工业制造、自动驾驶、AR/VR 等 应用部署在企业园区或者运营商边缘接入站点的 MEC。网络层是覆盖 整个智慧城市的端到�������端 5G 网络,包括无线基站、承载网、5G 核心网 以及 5G 网络切片。技术中台层是一些公共的 IT 中台系统,例如 A
12、I 中台、大数据中台、安全中台等系统。行业平台层是相关垂直行业为 了资源、技术的共享复用,集中建设的行业应用平台,例如政务云平 5G 智慧城市安全需求与架构白皮书 7 台、智慧交通平台、工业互联网平台。应用������层是让城市变得精细、智 能和便捷的各种智慧应用系统, 包括智慧政务、 智慧交通、 智能制造、 智慧电网等。 3 5G 智慧城市安全需求 3.13.1 终端层终端层安全需求安全需求 在 5G 智慧城市中,主要有两类终端,一类是面向个人用户的终 端,例如 5G 手机;另一类是面向行业或者用于城市公用基础设施的 终端,例如智慧工厂的 5G 工控终端、各种传感器、以及智慧路灯的 5G 终端等。智慧城
13、市的终端数量大、分布面广�������,而且软件相对不可 控,比较容易被黑客入侵攻陷。 对于智慧城市的各种终端来说,安全需求主要包含两方面的内 容。首先,终端自身要在软硬件方面做好安全加固与安全防护,避免 外部入侵对终端造成破坏或者信息�������窃取。而且,各种物联网终端、个 人消费终端数量庞大,不法攻击者可能利用终端的软硬件漏洞,入侵 之后让终端作为肉鸡发起 DDOS 攻击,给网络和智慧城市的业务带来 重大损失。 另一方面,终端作为智慧城市业务的起止端点,对一些重要的敏 感业务,需要从源头上确保业务数据的安全,尤其是业务数据的机密 性和完整性,防止业务信息被窃听篡改。这要求终端具备对业务数据 的加密能力,例如对于政
14、府机构的一些专用终端,需要支持保密通话 的功能。 5G 智慧城市安全需求与架构白皮书 8 3.23.2 边缘计算层边缘计算层安全需求安全需求 5G 时代,由于工业制造、AR/VR、自动驾驶等时延敏感业务的推 广应用,MEC 移动边缘计算云得到大量部署。为了避免物理攻击以及 网络攻击的跨网渗透和交叉感染,需要关注 MEC 自身的安全管控以 及企业网络与运营商 5G 网络之间的隔离。 对 MEC 自身安全来说,首先要关注 MEC 的物理安全。因为 MEC 一 般部署在运营商的接入汇聚站点或者行业客户、 企业园区的 IT 机�������房, 位置相对偏远、分散,在门禁准入、物理设施安全等方面,条件可能 也不太完
15、�������善。为了防范对 MEC 站点机房的物理入侵破坏,需要考虑部 署一些物理安全方面的防护措施,例如监控摄像头、门禁密码锁等。 除了物理安全,MEC 还需要关注自身网络和系统的安全,尤其是 需要防范来自外部网络的入侵给 MEC 站点内的设备系统造成破坏。 例 如修改 MEC 内网络设备的配置,造成网络中断。例如通过边缘计算 APP 的软件漏洞或者 API 接口调用渠道入侵 MEC 内的网络和 IT 系统, 植入木马窃取数据。 另外, 对于面向垂直行业客户、 部署在企业园区的 MEC 场景来说, 客户一般对数据的安全性比较敏感,要求企业数据不能出园区,同时 要求企业自身的网络和应用系统免受来自于外部网
16、络系统的攻击破 坏(包括来自于运营商网络的攻击渗透) 。这方面的安全要求,意味 着对面向行业客户的 MEC 来说, 需要重点考虑行业客户自身网络系统 和运营商网络的安全隔离问题。 5G 智慧城市安全需求与架构白皮书 9 3.33.3 网络层网络层安全需求安全需求 覆盖城市各个角落的 5G 网络, 是新型智慧城市的��������基础信息动脉。 5G 网络本身的安全,是智慧城市安全的重要前提和保障。从网络本 身的组成来说,智慧城市的网络层安全重点要关注 RAN 基站空口、承 载网、5GC 以及 5G 切片等几方面的安全。 对于 5G UE 终端到基站之间的空口来说,面临的安全威胁主要有 三类。第一类是空口的用户
17、数据窃听篡改,第二类是来自于 UE 的空 口 DDOS 攻击,第三类是伪基站或者其它攻击源对空口的恶意干扰。 5G 智慧城市基站空口的安全,需要针对这三方面的威胁部署相应的 安全防护措施。 无线基站到核心网之间的 IP 承载网和光传输网,可以说是整个 5G 网络的基础骨架。承载网如果被入侵破坏,很可能导致 5G 业务大 范围的受损甚至中断。由于 5G������ 智慧城市的所有业务流量都会经过公 共的承载网传输, 承载网首先要做好不同业务流量的安全隔离。 其次, 对一些安全等级高的敏感业务,承载网需要保障业务数据的安全,避 免通信数据流量被窃听篡改。另外,考虑到承载网对智慧城市业务运 行和社会运转的重要意
18、义,承载网需要保障自身的 HA 高可用性,满 足电信级高��������可靠要求。 作为智慧城市 5G 网络的神经中枢,5GC 核心网的安全是整个 5G 网络安全的重中之重。对于 5GC 核心网来说,重点需要关注自身网络 和系统的安全, 尤其是防范来自外部网络的入侵给 5GC 数据中心内的 5G 智慧城市安全需求与架构白皮书 10 设备系统造成破坏,或者给设备网元植入木马窃取敏感的数据信息。 除了防范来自网络外部的直接入侵,5GC 核心网数据中心由于包含多 种功能网元,安全方面还需要防范数据中心内部的横向攻击渗透,避 免一个网元被攻陷导致整个核心网都受到影响。 5GC 核心网数据中心的业务正常运行对 5G 网
19、络甚至整个智慧城 市������的安全稳定有着至关重要的影响。除了要通过各种安全手段保障 5GC 的安全,还需要考虑 5GC 自身的 HA 容灾备份,确保在关键网元 甚至整个 5GC 数据中心都瘫痪 (大规模攻击破坏或者地震火灾等意外 事故)的情况下,5GC 核心网能维持业务的连续性。 和之前的 2G、3G、4G 无线通信相比,5G 时代新引入了网络切片 技术,通过端到端的网络����专用切片承载一些重要的关键业务,例如重 点行业客户的业务。从安全性的角度来说,5G 网络切片需要关注两 方面的安全,第一是切片间的隔离,一个切片出问题不能影响到其它 切片; 其次是切片的安全接入和安全使用, 避免切片资源被越权滥用。
20、 3.43.4 行业行业平台平台/ /技术中台技术中台层层�����安全需求安全需求 为了资源、技术的共享复用,在智慧城市的建设中,可以规划部 署面向各个垂直行业的行业应用平台, 例如政务云平台、 警务云平台、 智慧交通平台和工业互联网平台,以及面向一些重点 IT 技术的技术 中台,例如 AI 中台、�������数据中台以及安全中台。这些应用平台和技术 中台系统涉及到大量数据的加工处理和存储, 其中可能包含一些行业 机密数据或者用户隐私数据。所以在安全方面首先要关注数据的安 5G 智慧城市安全需求与架构白皮书 11 全,确保数据不被泄露篡改,保障数据的机密性、完整性和可用性。 其次,需要关注应用平台和技术中台系统自
21、身的安全�������,防止通过 网络或者 API 接口调用等渠道入侵应用平台和技术中台系统。 另外, 考虑到应用平台和技术中台面向整个智慧城市提供基础的 服务能力,为了避免由于系统中断给智慧城市的业务带来重大影响, 还需要考虑应用平台和技术中台的 HA 高可用问题,确保在系统故障 或者瘫痪情况下能通过备份系统继续对外提供服务。 3.53.5 应用层应用层安全需求安全需求 应用层是智慧城市对行业和社会公众提供各种业务应用的软件 系统,例如智慧政务系统、交通智能调度、远程医疗、工业智造等。 应用层的安全直接关系到智慧城市的各项业务能否正常开展, 关系到 智慧城市的社会面能否顺利运转。 对于智慧城市来说,有些应
22、用系统既面向内部的管理运维人员, 也直接面向企事业单位和社会公众������,例如智慧政务系统。这种受众面 宽泛的应用系统,涉及的用户账号数量庞大,类别复杂。为了避免非 法访问越权访问,保障应用系统的安全,首先需要关注应用账号的身 份管理和访问控制。 智慧城市的应用软件系统涉及到行业应用数据的加工处理和存 储,也涉及一些用户身份相关的个人隐私数据。所以在安全方面还要 关注数据的安全,确保数据不被泄露篡改,保障数据的机密性、完整 性和可用性。 5G 智慧城市安全需求与架构白皮书 12 对智慧城市的各种业务应用来说, 为了避免出现类似于电话短信 诈骗等业务滥用,还需要关注业务层面的安全,监测防范利用应用系 统
23、平台实施诈骗、窃取、破坏等不法行为。 另外,智慧城市的应用系统直接面向广大行业与社会公众,软件 的任何缺陷漏洞都可能被利用, 导致应用系统被入侵破坏或者窃取数 据。所以,做好应用软件的安全加固是智慧城市应用层安全的重要工 作。 4 5G 智慧城市安全参考架构 4.14.1 5G5G 智慧城市智慧城市安全角色安全角色 4.1.14.1.1 智慧城市安全管理者智慧城市安全管理者 智慧城市安全管理者的职责包括但不限于: 制定智慧城市安全总 体方针、规划、框架,建立智慧城市安全管理组织架构和机制,统筹 协调智慧城市安全管理与监督工作,检查、评估智慧城市安全建������设与 运营工作,定期审核、改进智慧城市安全管
24、理制度和流程,为智慧城 市安全的其他角色提供指导和必要支持。 4.1.24.1.2 智慧城市安全运营者智慧城市安全运营者 智慧城市安全运营者的职责包括但不限于: 负责智慧城市安全建 设、运行与维护管理,部署有效的智慧城市安全防护措施,检测智慧 城市安全风险,分析智慧城市安全态势,发现智慧城市安全事件和脆 弱性,防范、阻断网络攻击,并负责智慧城市安全风险与安全事件的 应急处置和管理。 5G 智慧城市安全需求与架构白皮书 13 4.1.34.1.3 智慧城市安全服务提供者智慧城市安������全服务提供者 智慧城市安全服务提供者的职责包括但不限于: 设计开发安全产 品与应用并提供维护技术服务, 为智慧城市安全
25、运行提供信息安全基 础服务,部署安全技术措施,协助智慧城市安全运行者进行安全工程 建设、 运维及应急处置和管理, 提供安全产品、 服务及技术服务支持。 4.1.44.1.4 智慧城市安全服务使用者智慧城市安全服务使用者 智慧城市安全服务使用者的职责包括但不限于: 合理使用智慧������城 市服务提供者提供的智慧应用和服务并反馈合理的安全需求, 负责所 拥有信息数据资产和智慧城市业务的安全管理,定期安排对网络、信 息系统和设备进行安全评估,根据评估结果进行整改和修复。 4.24.2 5G5G 智慧城市智慧城市安全安全架构架构 GB/T 37971-2019信息安全技术 智慧城市安全体系框架提出 了智慧城市
26、安全体系框架。参考该架构,结合 5G 智慧城市架构,提 出 5G 智慧城市安全参考框架,如图 2 所示。 边缘计算层安全 终端安全 网络层安全 RAN承载网 安全运营管理 平台SOC 网络SOC 智慧城市 IOC 行�������业平台/技术中台层安全 应用层安全 �������安全芯片数据加密 抗DDOS 空口防干扰 空口加密 传输加密 网络隔离 HA高可用 边界防护APP安全 5GC 边界防护 云基础设施安全 数据安全 应用加固访问控制 资产管理 漏洞管理 安全检测 策略管理 网络切片切片认证数据加密 网元安全防护 云基础设施安全API接口安全 切片隔离 API接口安全云基础设施安全 数据安全业务安全 固件OS安全
27、安全能力开放 身份管理 APP安全 容灾备份 容灾备份 风险识别 安全审计 态势监测 应急响应 云 管 边 端 图 2 5G 智慧城市安全体系框架 5G 智慧城市安全需求与架构白皮书 14 图中,包括终端安全、边缘计算层安全、网络层安全、行业平台 /技术中台层安全、应用层安全,以及跨各层的安全运营管理。 4.34.3 5G5G 智慧城市智慧城市安全技术安全技术 4.3.14.3.1 终端层安全终端层安全 对于终端来说,主要从底层软硬件和上层应�����用 APP/数据两个方面 保障通信安全。例如,终端内置特殊的安全芯片,作为终端标识、通 信加密秘钥和安全可信根的载体,另外通�������过调试接口物理关闭、物理 写保
28、护等措施防范针对终端的底层物理攻击。同时,通过安全启动、 完整性校验等措施确保终端的系统固件和操作系统安全。 为了保障终端通信业务的安全,可以对通信数据进行端到端的加 密(例如保密通话) ,防止终端的通信数据被窃听或篡改,避免因为 通信数据内容的泄密篡改对智慧城市的业务应用带来破坏或者重大 的安全事故。另外,对终端的应用 APP 软件实施������漏洞扫描、安全加固 等措施,避免因为应用软件的漏洞导致终端被入侵破坏。 4.3.24.3.2 边缘计算层安全边缘计算层安全 对于 MEC 安全来说,除了站点物理层面的安保设施,例如监控摄 像头、门禁密码锁,首先要做好 MEC 软硬件系统的边界防护,在 UPF
29、设备的对外接口处(例如连接 Internet 的 N6 接口)部署防火墙等边 界隔离防护措施,避免来自于外部网络对 MEC 的入侵和破坏。 确保 MEC 云基础设施的安全是 MEC 自身安全的重要组成部分,例 5G 智慧城市安全需求与架构白皮书 15 如通过 VDC、VPC 资源隔离,Hypervisor 安全监控(防虚机逃逸) , 操作系统数据库漏洞扫描、安全加固等方面的措施,保障 MEC 云基础 设施的安全。 另外, 在 MEC 边缘计算云的部署应用中, 可能涉及到各种应用 APP, 以及业务能力 API 的开放对接。 需要通过安全扫描加固等措施保障应 用 APP 的安�����全, 避免因为 AP
30、P 的安全漏洞隐患给整个 MEC 带来损失破 坏。同时,可以通过 API 通信接口加密(例如 TLS 加密)和接口安全 认证等措施保障 API 接口调用的安全, 避免通过 API 对接的渠道入侵 破坏应用 APP 以及整个 MEC。 对于面向垂直行业客户、部署在企业园区的 MEC 场景来说,可以 在 MEC 和企业网络的边界处(尤其是企业网络侧)部署防火墙、入侵 检测系统和网络流量探针等安全设施, 一方面确保企业内部信息系统 和外部网络之间的安全隔离,另外一方面通过隔离和流量监控等手 段,确保企业数据不出园区。 4.3.3��������4.3.3 网络层安全网络层安全 从网络本身的组成来说,智慧城市的网络层
31、安全主要包含 RAN 基 站空口安全、承载网安全、5GC 安全以及 5G 切片安全等几个部分: 基站空口侧安全 对于 5G UE 终端到基站之间的空口来说,面临的安全威胁主要有 三类。第一类是空口的用户数据窃听篡改,为了应对此安全威胁,可 以开启 SUCI 加密以及空口 PDCP 层面数据包的加密功能。 第二类是来 5G 智慧城市安全需求与架构白皮书 16 自于 UE 的空口 DDOS 攻击,为了防范这种攻击,可以部署 DDOS 检测 防御系统,在出现 DDOS 大流量攻击的时候,基站可以做一些限流控 制。第三类是伪基站或者其它攻击源对空口的恶意干扰,例如通过伪 基站发送垃圾短信、通过������特殊信号
32、源实施频谱干扰。为此可以在全网 部署统一的伪基站检测系统和频谱干扰检测系统, 做到第一时间发现 定位网络中的空口干扰源。 承载网安全 对于承载网的安全,主要从以下几方面来考虑实施。在网络本身 的规划设计上,做好 HA 高可用设计,避免单点故障,例如承载网双 平面保护倒换。其次,可以考虑部署 IPSEC 安全加密,保障网络数据 报文的机密性和完整性,避免业务流量非法监听或者网络重放攻击。 在承载网的协议控制面上,可以配置 MD5 认证或者 SSL 加密等安 全措施,避免可能的路由协议攻������击(例如 BGP 路由劫持攻击) 。另外, 通过 VLAN、FlexE、VPN 等技术措施实施承载网的逻辑或物理
33、隔离, 不同业务或者不同运营商的 5G 流量通过相互间隔离的管道来承载。 5GC 核心网安全 对于����� 5GC 核心网来说,需要从四个方面考虑核心网业务的安全保 障措施,分别是 5GC 电信云数据中心的边界安全、电信云 I 层云化基 础设施的安全、5GC 网元自身的安全以及 5GC 电信云数据中心的容灾 备份。 为了避免来自外部的入侵对 5GC������� 核心网造成破坏,可以在 5GC 电 信云数据中心出口边界处,集中部署防火墙、沙箱、WAF、IPS、抗 5G 智慧城市安全需求与架构白皮书 17 DDOS 等安全设施,防御从数据中心外部过来的各种可能的安全威胁。 5G 核心网的一个重要特征是功能网元的虚拟化
34、云化,数据中心云 化基础设施的安全是 5GC 安全的重要基础和前提。 可以通过 VDC、 VPC 资源隔离,Hypervisor 安全监控(防虚机逃逸) ,操作系统数据库漏 洞扫描、安全加固等方面的措施,保障 5GC 云基础设施的安全。 5GC 安全的主要目标是确保 5G 核心网网元的安全稳定运行,除了 周边及配套系统的安全措施, 核心网网元自身也可以部署一些安全功 能来保障网元的安全。 例如, 在网元系统上安装运行内生的安全组件, 监控网元的运行状况,防范可能的病毒木马。同时,还可以通过白名 单 ACL、网络微分段、关闭不使用的端口等最小化安全手段对核心网 网�������元的通信进行细粒度的隔离防�����护,减
35、少网元的安全暴露面,规避安 全风险。 另外,对于 5GC 建议规划和部署异地灾备数据中心,确保在遇到 火灾、地震或者大规模入侵破坏安全事故的情况下,5G 核心网的业 务能在第一时间恢复,保障 5G 网络业务的连续性,减少灾难带来的 损失。 5G 切片安全 对 5G 网络切片安全来说,首先要确保切片间的隔离,一个切片出 问题不能影响到其它切片。切片隔离可以分为物理隔离和逻辑隔离, 对安全等级和资源保障要求高的重点行业应用,可以部署������物理隔离, 例如在核心网侧不同切片部署在不同物理服务器上。 对于安全性要求 不是太高的非敏感业务,可以采用切片逻辑隔离,例如核心网的虚机 5G 智慧城市安全需求与架构白
36、皮书 18 隔离。 另一方面,切片安全需保证切片的安全接入和安全使用,例如只 有通过切片使用者(政府机构,工矿企业)以及 5G 网络运营商的双 重认证和授权,才能接入到对应的网络切片,确保切片的合法接入以 及切片资源的合法使用。另外,还可以通过端到端的数据加密,保障 切片业务的机密性和完整性。 4.3.44.3.4 行业行业平台平台/ /技术中台技术中台层安全层安全 对于行业平台和技术中台的安全稳定运行来说,主要������保障措施体 现在数据安全、通信接口安全、云基础设施的安全以及平台系统的容 灾备份等方面。 为了避免行业应用平台和 IT 中台的数据被泄露篡改, 保障数据的 机密性、完整性和可用性,可以
37、部署一些数据安全方面的措施,例如 ������数据加密存储、数据匿名化处理、数据安全删除以及数据的定期备份 等。 行业平台/技术中台层的通信接口安全,主要是平台/中台系统与 上下游相关的其它部件系统或者网元之间的各种 API 调用、 信息采集 传递、操作指令传送的安全。这方面的安全保障措施主要有通信接口 加密(例如 TLS 加密) 、接口认证等方面,避免攻击者通过机机间的 通信接口入侵和窃取敏感数据。 在云计算技术日益普及的今天,智慧城市的行业平台和技术中台 系统一般也是虚拟化部署, 构建在以通用服务器为核心的云化基础设 5G 智慧城市安全需求与架构白皮书 19 施之上。为此,需要部署相应的一些安全措施,保障云基础设施底座 的安全,例如资源隔离、操作系统数据库安全扫描加固、Hypervisor 安全监控等。 对于智慧城市的行业平台/技术中台来说, 为了避免在遇到突发事 故灾害情况下系统中断给智慧城市各行各业带来损失和破坏, 建议对 关键的行业平台和技术中台规划部�������署容灾备份系统,一些对国计民 生、社会稳定有重要影响的系统甚至可
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
