信息化觀察網(wǎng)

5G安全內(nèi)生已成行業(yè)共識(shí)：唯有同步規(guī)劃、建設(shè)、運(yùn)行的網(wǎng)絡(luò)安全保障系統(tǒng)，方能有效保障5G網(wǎng)絡(luò)與應(yīng)用安全。

2020年是5G安全起點(diǎn)。5G內(nèi)生安全重點(diǎn)是實(shí)現(xiàn)軟件定義的安全組網(wǎng)與接入、統(tǒng)一的身份管理、邊云協(xié)同的數(shù)據(jù)安全、全生命周期的應(yīng)用安全，并實(shí)現(xiàn)開放的安全能力。

一、5G內(nèi)生安全成為業(yè)界共識(shí)

隨著我國(guó)5G網(wǎng)絡(luò)建設(shè)和商用的全面展開，5G安全問題日益受到廣泛關(guān)注。政府及相關(guān)機(jī)構(gòu)有步驟的推進(jìn)5G安全工作，IMT2020（5G）推進(jìn)組專門成立安全工作組。5G設(shè)備廠商、運(yùn)營(yíng)商及產(chǎn)業(yè)鏈上下游企業(yè)積極開展5G安全技術(shù)的研究和部署。

5G安全帶來全新挑戰(zhàn)：它與傳統(tǒng)的信息系統(tǒng)和網(wǎng)絡(luò)安全有很大不同。5G網(wǎng)絡(luò)泛在物聯(lián)接入、新型組網(wǎng)與接入方式、邊緣數(shù)據(jù)中心及服務(wù)化架構(gòu)的核心網(wǎng)帶來新的安全需求。

傳統(tǒng)“外掛式”的安全模式導(dǎo)致網(wǎng)絡(luò)安全與信息系統(tǒng)、業(yè)務(wù)應(yīng)用是兩套獨(dú)立體系，這種建設(shè)方式難以適應(yīng)5G安全建設(shè)的需要。

如何才能應(yīng)對(duì)5G安全建設(shè)的挑戰(zhàn)呢？

在4月17日召開的數(shù)字基礎(chǔ)設(shè)施建設(shè)推進(jìn)專家研討會(huì)上，工業(yè)和信息化部副部長(zhǎng)陳肇雄強(qiáng)調(diào)，與（5G等）數(shù)字基礎(chǔ)設(shè)施同步規(guī)劃、建設(shè)、運(yùn)行網(wǎng)絡(luò)安全保障系統(tǒng)，加強(qiáng)5G、工業(yè)互聯(lián)網(wǎng)、數(shù)據(jù)中心、云平臺(tái)等設(shè)施的安全保障，確保數(shù)字基礎(chǔ)設(shè)施安全平穩(wěn)可靠運(yùn)行。

中國(guó)工程院院士鄔賀銓此前也在《中國(guó)電子報(bào)》發(fā)文指出：很多安全挑戰(zhàn)是內(nèi)生的，需要增強(qiáng)免疫能力，從基礎(chǔ)設(shè)施技術(shù)開發(fā)與網(wǎng)絡(luò)設(shè)計(jì)開始就要有內(nèi)生的安全理念，網(wǎng)絡(luò)安全能力與基礎(chǔ)設(shè)施是一個(gè)整體，網(wǎng)絡(luò)安全能力需與基礎(chǔ)設(shè)施同步建設(shè)并融入其中。

自2019年8月，奇安信在北京網(wǎng)絡(luò)安全大會(huì)（BCS）上率先提出“內(nèi)生安全”的理念。內(nèi)生安全迅速成為ICT業(yè)界的廣泛共識(shí)。

在5G安全領(lǐng)域，我國(guó)擁有自主的5G技術(shù)、產(chǎn)品和產(chǎn)業(yè)，具備實(shí)踐內(nèi)生安全的充足條件。目前，內(nèi)生安全已經(jīng)得到5G設(shè)備商、運(yùn)營(yíng)商、平臺(tái)商、網(wǎng)絡(luò)安全企業(yè)和行業(yè)應(yīng)用單位等整個(gè)生態(tài)鏈條的廣泛認(rèn)同，正在付諸實(shí)踐。

通過實(shí)現(xiàn)網(wǎng)絡(luò)安全能力與5G系統(tǒng)的聚合、業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的聚合、信息化人員與安全人員的聚合，安全可以更深入、更細(xì)致、更貼合5G安全真正的內(nèi)在需求。

二、5G安全的全新需求

5G內(nèi)生安全需求不僅包括5G信息基礎(chǔ)設(shè)施的安全，還包括數(shù)據(jù)安全、應(yīng)用安全等層面，涵蓋了5G網(wǎng)絡(luò)規(guī)劃、建設(shè)、運(yùn)營(yíng)等各個(gè)階段。

在基礎(chǔ)設(shè)施安全層面，安全的內(nèi)生性主要體現(xiàn)在安全與信息系統(tǒng)的融合。核心需求包括5G新型網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)切片安全和邊緣計(jì)算的安全。

在數(shù)據(jù)安全、應(yīng)用安全方面，安全的內(nèi)生性主要體現(xiàn)在安全與業(yè)務(wù)的融合。著重增強(qiáng)移動(dòng)寬帶（eMBB）、低延時(shí)高可靠（uRLLC）、低功耗大連接（mMTC）三大核心應(yīng)用場(chǎng)景的定制化安全需求以及在不同行業(yè)的組合應(yīng)用。

1、關(guān)鍵信息基礎(chǔ)設(shè)施安全

5G網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)有較大的差異。其泛在物聯(lián)接入、新型組網(wǎng)與接入方式、邊緣數(shù)據(jù)中心及服務(wù)化架構(gòu)的核心網(wǎng)帶來新的安全需求。從網(wǎng)絡(luò)安全廠商的角度，新網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)切片和邊緣計(jì)算，是當(dāng)面5G基礎(chǔ)設(shè)施層面重點(diǎn)關(guān)注的安全問題。

圖1.5G核心網(wǎng)帶來新的安全需求

來源：奇安信集團(tuán),2019

（1）5G新網(wǎng)絡(luò)邊界安全

5G由終端側(cè)、接入網(wǎng)、邊緣側(cè)、承載網(wǎng)、核心網(wǎng)幾部分構(gòu)成，打破了傳統(tǒng)網(wǎng)絡(luò)端邊云的網(wǎng)絡(luò)架構(gòu)，需要重新定義網(wǎng)絡(luò)邊界。

在終端側(cè)，5G終端種類繁多，應(yīng)用復(fù)雜，存在身份仿冒、信號(hào)欺騙、設(shè)備劫持、數(shù)據(jù)篡改、故障注入等一系列安全問題。

在接入網(wǎng)，5G終端的接入以無線接入為主，存在DDOS攻擊、網(wǎng)絡(luò)竊聽、網(wǎng)絡(luò)滲透、無線信號(hào)干擾等問題。

在邊緣側(cè)，由于邊緣結(jié)構(gòu)多樣及邊云協(xié)同的需要，數(shù)據(jù)與業(yè)務(wù)交互頻繁，存在數(shù)據(jù)竊取、橫向滲透、隱私泄露、內(nèi)容仿冒、權(quán)限盜用等問題。

在承載網(wǎng)，傳統(tǒng)網(wǎng)絡(luò)安全問題仍然是主要威脅，包括DDOS攻擊、網(wǎng)絡(luò)竊聽、網(wǎng)絡(luò)滲透和網(wǎng)絡(luò)阻斷等。

在核心網(wǎng)，由于廣泛采用虛擬化和軟件定義的網(wǎng)絡(luò)與計(jì)算環(huán)境，安全問題包括針對(duì)云平臺(tái)的橫向滲透、身份仿冒、權(quán)限盜用、地址欺騙、虛假規(guī)則等，針對(duì)數(shù)據(jù)的隱私泄露、數(shù)據(jù)篡改、數(shù)據(jù)竊取、權(quán)限盜用等，以及針對(duì)應(yīng)用的內(nèi)容仿冒、權(quán)限濫用、非法調(diào)用等。

（2）5G網(wǎng)絡(luò)切片安全

網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)的關(guān)鍵技術(shù)特點(diǎn)，采用SDN和NFV等技術(shù)實(shí)現(xiàn)物理網(wǎng)絡(luò)的靈活劃分，應(yīng)對(duì)不同的應(yīng)用場(chǎng)景。與此同時(shí)，SDN和NFV技術(shù)也面臨新的安全威脅與需求。

SDN的安全

控制平面：集中化的控制平面承載網(wǎng)絡(luò)環(huán)境中的所有控制流，是網(wǎng)絡(luò)服務(wù)的中樞。面臨網(wǎng)絡(luò)監(jiān)聽、IP地址欺騙、DoS/DDoS攻擊和病毒木馬攻擊的威脅。

用戶平面：數(shù)據(jù)處理、轉(zhuǎn)發(fā)和狀態(tài)收集,對(duì)控制器下發(fā)的流規(guī)則信任，面臨惡意/虛假流規(guī)則注入、DoS/DDoS攻擊、非法訪問、身份假冒等問題，還可能面臨由虛假控制器的無序控制指令導(dǎo)致的交換機(jī)流表混亂等威脅。

外部接口：南向接口協(xié)議安全問題，竊聽、控制器假冒等安全威脅。北向接口的開放性和可編程性，面臨非法訪問、數(shù)據(jù)泄露、消息篡改、身份假冒、應(yīng)用程序自身的漏洞等問題。

NFV的安全

NFV將網(wǎng)絡(luò)功能整合到行業(yè)標(biāo)準(zhǔn)的服務(wù)器、交換機(jī)和存儲(chǔ)硬件上，提供優(yōu)化的虛擬化數(shù)據(jù)平面，可通過服務(wù)器上運(yùn)行的軟件讓管理員取代傳統(tǒng)物理網(wǎng)絡(luò)設(shè)備，因此NFV在基礎(chǔ)設(shè)施和虛擬化方面存在安全威脅，包括：

基礎(chǔ)設(shè)施安全：跨域數(shù)據(jù)泄露、虛擬化平臺(tái)安全威脅、密鑰泄露、網(wǎng)絡(luò)配置安全。

虛擬化安全：Hypervisor安全、虛擬機(jī)安全。

虛擬網(wǎng)元（VNF）安全：權(quán)限管理復(fù)雜、遠(yuǎn)程調(diào)試和監(jiān)測(cè)漏洞、數(shù)據(jù)竊取與篡改。

（3）5G邊緣計(jì)算安全

多接入邊緣計(jì)算（MEC）是5G網(wǎng)絡(luò)核心技術(shù)之一。它具備數(shù)據(jù)緩存、數(shù)據(jù)分析的能力，可以提高應(yīng)用的實(shí)時(shí)性、可靠性。但在傳統(tǒng)云端應(yīng)用和功能往邊緣側(cè)遷移的過程中，帶來了邊緣側(cè)新的安全問題，包括架構(gòu)安全、功能安全、信任機(jī)制等方面。

架構(gòu)安全

MEC節(jié)點(diǎn)靠近網(wǎng)絡(luò)的邊緣，外部環(huán)境可信度降低，管理控制能力減弱，使得MEC平臺(tái)和MEC應(yīng)用處于相對(duì)不安全的物理環(huán)境，更容易遭受外部網(wǎng)絡(luò)攻擊，同時(shí)MEC內(nèi)部應(yīng)用種類繁多，權(quán)限復(fù)雜，安全管理難度增大。

功能安全

部分核心網(wǎng)功能跟隨MEC下沉到邊緣數(shù)據(jù)中心，增大了核心網(wǎng)面臨的攻擊面。同時(shí)用戶發(fā)生跨節(jié)點(diǎn)切換將面臨站點(diǎn)間相互信任、網(wǎng)絡(luò)連接上下文如何安全傳遞等安全問題。

信任機(jī)制

MEC是一個(gè)多元化的系統(tǒng)，包括用戶、行業(yè)應(yīng)用及MEC服務(wù)之間的信任，移動(dòng)終端、網(wǎng)絡(luò)切片、MEC平臺(tái)之間的信任，跨區(qū)域、跨平臺(tái)、跨行業(yè)信任。需要為各系統(tǒng)之間構(gòu)建有效的信任機(jī)制。

2、5G業(yè)務(wù)應(yīng)用安全

5G將多樣化的應(yīng)用統(tǒng)一到了一個(gè)網(wǎng)絡(luò)中，憑借網(wǎng)絡(luò)切片和邊緣計(jì)算技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的劃分和對(duì)應(yīng)用的支撐，但是5G安全需求仍然呈現(xiàn)多樣化的特點(diǎn)。這種特點(diǎn)體現(xiàn)在寬帶、物聯(lián)、工業(yè)三大典型應(yīng)用場(chǎng)景安全需求的差異化，和不同行業(yè)對(duì)三大典型應(yīng)用場(chǎng)景的細(xì)分與組合運(yùn)用。

（1）三大典型應(yīng)用場(chǎng)景的安全需求

在企業(yè)安全領(lǐng)域，安全需求以新一代企業(yè)分支組網(wǎng)為核心，綜合了寬帶網(wǎng)絡(luò)、物聯(lián)網(wǎng)、工業(yè)網(wǎng)絡(luò)等多種網(wǎng)絡(luò)和應(yīng)用的接入，并在統(tǒng)一的框架下滿足多樣化的安全需求。

圖2.5G三大典型應(yīng)用場(chǎng)景及安全需求

來源：奇安信集團(tuán),2019

寬帶接入安全

其特點(diǎn)包括前期2C應(yīng)用為主，中后期主要支持2B應(yīng)用：車聯(lián)網(wǎng)、安防、智慧醫(yī)療等。在網(wǎng)絡(luò)安全方面以傳統(tǒng)安全為主，側(cè)重大流量高并發(fā)和空口安全，包括流量清洗、ipv6安全等；在空口安全方面包括頻譜安全、空口協(xié)議等；其典型應(yīng)用為移動(dòng)視頻類應(yīng)用。

工業(yè)網(wǎng)絡(luò)接入安全

其特點(diǎn)為高安全+高可靠+低延時(shí)，安全不能影響業(yè)務(wù)實(shí)時(shí)性，主要靠切片安全實(shí)現(xiàn)。其安全能力內(nèi)置，需要具備實(shí)時(shí)安全以滿足實(shí)時(shí)系統(tǒng)、專用硬件/app的安全需要；切片安全以物理切片為主；典型應(yīng)用為工業(yè)互聯(lián)網(wǎng)應(yīng)用。

物聯(lián)網(wǎng)接入安全

其特點(diǎn)為低功耗大連接。物聯(lián)網(wǎng)終端種類繁多，呈現(xiàn)碎片化，包括各種嵌入式系統(tǒng)的安全需求和低功耗要求。物聯(lián)網(wǎng)接入還存在環(huán)境可信的問題，即設(shè)備數(shù)字身份與物理實(shí)體之間需要綁定，因此需要同步進(jìn)行物理環(huán)境的安全感知和網(wǎng)絡(luò)環(huán)境的安全感知。

（2）重點(diǎn)行業(yè)應(yīng)用的安全需求

以電力行業(yè)為例，5G靈活的網(wǎng)絡(luò)切片和泛在網(wǎng)絡(luò)接入的特點(diǎn)非常符合電網(wǎng)信息化的需要，主要體現(xiàn)在控制類、采集類和移動(dòng)作業(yè)類業(yè)務(wù)方面。

5G控制類應(yīng)用包括智能分布式配網(wǎng)差動(dòng)保護(hù)以及精準(zhǔn)負(fù)荷控制等，這類應(yīng)用對(duì)帶寬需求相對(duì)不高，但對(duì)低時(shí)延和大連接要求較高，同時(shí)需要很高的業(yè)務(wù)安全隔離和可靠性。

采集類終端包括低壓用電信息采集和分布式新能源電源等，對(duì)帶寬要求低而對(duì)實(shí)時(shí)性要求高，有很高的大連接要求，有較高的可靠性要求，但安全隔離要求較低。

移動(dòng)作業(yè)類終端如智能巡檢，對(duì)于低時(shí)延和大連接要求不高，但對(duì)帶寬要求較高，同時(shí)要求較高的可靠性。5G電網(wǎng)應(yīng)用安全需要將這些安全需求綜合起來，在統(tǒng)一框架下分別滿足不同細(xì)分業(yè)務(wù)種類的安全需求。

除了電力行業(yè)，5G網(wǎng)絡(luò)在交通、制造、醫(yī)療等行業(yè)同樣需要將細(xì)分場(chǎng)景下的差異化安全需求組合起來，并融合成統(tǒng)一的安全架構(gòu)。在此不再一一贅述。

三、構(gòu)建5G內(nèi)生安全防線

隨著5G新基建加快推進(jìn)，安全防護(hù)工作必須同步開展，構(gòu)建基于內(nèi)生安全理念的5G安全新防線已經(jīng)迫在眉睫。5G內(nèi)生安全防線應(yīng)打造融合的5G安全體系，重點(diǎn)實(shí)現(xiàn)軟件定義的安全組網(wǎng)與接入、統(tǒng)一的身份管理、邊云協(xié)同的數(shù)據(jù)安全、全生命周期的應(yīng)用安全，并實(shí)現(xiàn)開放的安全能力。

1.打造融合的安全體系

5G關(guān)鍵信息基礎(chǔ)設(shè)施的發(fā)展對(duì)安全提出新的需求，需要打造融合的安全體系。5G安全體系整體呈現(xiàn)虛擬化、組件化、身份化、集成化、智能化的特點(diǎn)。具體見下圖：

虛擬化：基礎(chǔ)設(shè)施的虛擬化導(dǎo)致對(duì)安全虛擬化的需求。使用虛擬化安全技術(shù)保護(hù)邊緣云和核心云，云化網(wǎng)絡(luò)基礎(chǔ)設(shè)施和虛擬網(wǎng)元安全。

組件化：安全需求的多樣化和定制化要求安全能力快速建立和修改，安全部件分布式部署。

身份化：多角色、可擴(kuò)展的身份管理，基于身份的跨區(qū)域認(rèn)證與訪問控制。

集成化：組件在基礎(chǔ)架構(gòu)內(nèi)的自適應(yīng)、與信息系統(tǒng)的聚合，提升協(xié)同能力。

可編排：安全防策略自動(dòng)化配置，實(shí)現(xiàn)智能主動(dòng)防御；

全場(chǎng)景：面向不同垂直行業(yè)的業(yè)務(wù)模式，支持差異化應(yīng)用場(chǎng)景。

圖3.5G安全體系整體特點(diǎn)

來源：奇安信集團(tuán),2019

為適應(yīng)新的安全框架，需要開發(fā)完善新技術(shù)，開展一系列的試點(diǎn)應(yīng)用。

2.實(shí)現(xiàn)軟件定義的安全組網(wǎng)接入

軟件定義是5G網(wǎng)絡(luò)核心技術(shù)，同樣是5G安全的核心技術(shù)。通過軟件定義，實(shí)現(xiàn)安全的企業(yè)虛擬組網(wǎng)，使得企業(yè)可以在5G基礎(chǔ)設(shè)施上靈活方便的建設(shè)和改進(jìn)自己的分支組網(wǎng)架構(gòu)，并實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全域的劃分和隔離防護(hù)。

圖4.軟件定義實(shí)現(xiàn)安全的企業(yè)虛擬組網(wǎng)

來源：奇安信集團(tuán),2019

安全能力是由軟件定義，靈活擴(kuò)展、不與硬件綁定。假設(shè)一種新的安全威脅出現(xiàn)，采用軟件定義的方式，可以在不需要修改硬件的情況下快速部署新的安全能力，敏捷地應(yīng)對(duì)快速變化的安全需求。安全能力的編排也是由軟件定義，通過自動(dòng)化編排，多種安全能力共享一個(gè)統(tǒng)一的上下文，快速高效響應(yīng)安全事件。

安全能力部署在邊緣云，建設(shè)動(dòng)態(tài)調(diào)度、彈性擴(kuò)展的安全資源池SD-WAN虛擬網(wǎng)絡(luò)接入5G切片，實(shí)現(xiàn)細(xì)粒度安全管控。管控平臺(tái)基于5G切片靈活組合安全策略，滿足垂直行業(yè)個(gè)性需求，在邊緣側(cè)構(gòu)建感知、分析、執(zhí)行的閉環(huán)，實(shí)現(xiàn)關(guān)口前移。通過統(tǒng)一的管理和控制，對(duì)多種安全能力實(shí)現(xiàn)統(tǒng)一控制和展現(xiàn)。

3、實(shí)現(xiàn)統(tǒng)一的身份管理

5G網(wǎng)絡(luò)與應(yīng)用是一個(gè)龐大的生態(tài)，涉及包括設(shè)備商、運(yùn)營(yíng)商、平臺(tái)商、安全商、用戶單位及個(gè)人等諸多安全主體。在3GPP標(biāo)準(zhǔn)框架下已經(jīng)實(shí)現(xiàn)了如SUSE、AKA等安全標(biāo)識(shí)與認(rèn)證機(jī)制，但仍需在此基礎(chǔ)上建立統(tǒng)一的身份管理機(jī)制。

圖5.5G需建立統(tǒng)一身份管理機(jī)制

來源：奇安信集團(tuán),2019

根據(jù)內(nèi)生安全理念和關(guān)口前移思想，在5G網(wǎng)絡(luò)邊緣側(cè)建立安全接入平臺(tái)，統(tǒng)一對(duì)接終端側(cè)的身份標(biāo)識(shí)，并建立專用安全訪問通道以適應(yīng)網(wǎng)絡(luò)切片的需求。對(duì)于用戶訪問，建立用戶安全訪問通道，通過可信訪問代理進(jìn)行連接，并加強(qiáng)用戶訪問應(yīng)用的安全防護(hù)和API端口的安全防護(hù)。對(duì)于大流量的數(shù)據(jù)回傳和機(jī)構(gòu)與企業(yè)間數(shù)據(jù)共享，建立數(shù)據(jù)共享通道，通過可信API代理和應(yīng)用前置滿足高帶寬、低延時(shí)的數(shù)據(jù)傳輸需求。對(duì)于海量終端數(shù)據(jù)采集，建立數(shù)據(jù)采集通道，通過邊緣接入代理滿足對(duì)海量終端數(shù)據(jù)匯集和低功耗的安全需求。

在云端或核心網(wǎng)數(shù)據(jù)中心建設(shè)身份安全管理平臺(tái)，實(shí)現(xiàn)統(tǒng)一的身份管理、認(rèn)證管理、權(quán)限管理，以及網(wǎng)絡(luò)行為分析和動(dòng)態(tài)訪問控制。

4、實(shí)現(xiàn)邊云協(xié)同的數(shù)據(jù)安全

邊緣計(jì)算的廣泛使用是5G應(yīng)用的重要特點(diǎn)，也為數(shù)據(jù)安全帶來新的挑戰(zhàn)。一方面邊緣數(shù)據(jù)中心不具備傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)條件，另一方面數(shù)據(jù)在云端和邊緣側(cè)交互，需要邊云協(xié)同的數(shù)據(jù)安全能力。

邊云協(xié)同的數(shù)據(jù)安全從數(shù)據(jù)的可視、可管、可控三個(gè)維度，做到對(duì)敏感數(shù)據(jù)的識(shí)別、發(fā)現(xiàn)和分類分級(jí)，通過加密、脫敏、掩碼和授權(quán)管理等多種技術(shù)確保重要數(shù)據(jù)的有效保護(hù)，通過多因素認(rèn)證、動(dòng)態(tài)持續(xù)認(rèn)證和訪問控制等技術(shù)確保合法用戶對(duì)敏感數(shù)據(jù)具有合理的授權(quán)訪問，通過數(shù)據(jù)邊界管理和控制確保數(shù)據(jù)在邊緣和云端流轉(zhuǎn)時(shí)的數(shù)據(jù)共享安全防泄漏，通過審計(jì)分析確保訪問行為與內(nèi)容的合規(guī)性。

5、實(shí)現(xiàn)全生命周期的應(yīng)用安全

面向5G應(yīng)用的開發(fā)流程，建立應(yīng)用安全管理制度，制定應(yīng)用開發(fā)管理要求、應(yīng)用安全功能要求和安全開發(fā)編碼規(guī)范，實(shí)現(xiàn)從應(yīng)用安全設(shè)計(jì)到安全檢測(cè)到安全運(yùn)行的全生命周期應(yīng)用安全保障能力。

在應(yīng)用開發(fā)設(shè)計(jì)階段，通過安全需求設(shè)計(jì)、安全架構(gòu)設(shè)計(jì)、安全編碼和代碼評(píng)審確保安全能力融入到開發(fā)過程。在應(yīng)用測(cè)試階段，通過安全功能測(cè)試、性能測(cè)試、代碼審計(jì)和滲透測(cè)試等測(cè)試工具確保應(yīng)用上線前的安全檢測(cè)。在應(yīng)用運(yùn)行階段，通過統(tǒng)一訪問控制實(shí)現(xiàn)對(duì)應(yīng)用功能和接口的安全防護(hù)，并針對(duì)WEB攻擊進(jìn)行防護(hù)。同時(shí)加強(qiáng)對(duì)開發(fā)人員的安全管理和培訓(xùn)，從而實(shí)現(xiàn)全生命周期應(yīng)用安全。

6、實(shí)現(xiàn)開放的安全能力

5G開放的安全能力包括安全資源、安全體系和行業(yè)應(yīng)用3個(gè)層面，如下圖所示：

圖6.5G開放安全能力

來源：奇安信集團(tuán),2019

基于5G網(wǎng)絡(luò)的計(jì)算資源和虛擬化能力，建立安全資源池。安全資源池具備統(tǒng)一的架構(gòu)和接口，能夠適應(yīng)通用的5G標(biāo)準(zhǔn)，并與設(shè)備和應(yīng)用解耦。

在安全資源池的技術(shù)上，實(shí)現(xiàn)一系列的安全能力，建立數(shù)字身份體系、可欣認(rèn)證體系、通道加密體系、數(shù)據(jù)保護(hù)體系、網(wǎng)絡(luò)防御體系、運(yùn)維管理體系等。

針對(duì)不同的行業(yè)應(yīng)用，根據(jù)安全需求和資源投入，選取不同的安全資源和安全體系，實(shí)現(xiàn)針對(duì)性、訂制化的安全防護(hù)。

四、結(jié)束語

5G任重道遠(yuǎn)。5G發(fā)展與我國(guó)的產(chǎn)業(yè)升級(jí)戰(zhàn)略密切相關(guān)，5G是新一代基礎(chǔ)設(shè)施，將在推動(dòng)工業(yè)轉(zhuǎn)型升級(jí)、加快新型智慧城市建設(shè)等方面發(fā)揮重要作用，是未來數(shù)字經(jīng)濟(jì)的關(guān)鍵驅(qū)動(dòng)力，其安全保障對(duì)于快速、平穩(wěn)發(fā)展至關(guān)重要。

2019是5G元年，2020年是5G安全的起點(diǎn)，我們需要從零開始，真正理解5G內(nèi)在的安全需求，實(shí)現(xiàn)5G安全與5G建設(shè)的同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)，打通信息化與安全之間的壁壘，實(shí)現(xiàn)安全的內(nèi)生與協(xié)同。