當今世界正面臨“百年未有之大變局”，全球新一輪科技革命和產業(yè)變革蓬勃興起，隨著以互聯網和通信為代表的信息技術逐漸成為推動人類社會發(fā)展的核心動力，網絡空間已成為繼陸、海、空、天之后的“第五空間”。作為新基建重點領域之首，5G超越了移動通信的范疇，成為第四次工業(yè)革命的技術基石，正在與大數據、云計算、人工智能等信息技術緊密協(xié)同，連接萬物、聚合平臺、賦能產業(yè)，將在經濟社會發(fā)展中發(fā)揮不可估量的重要作用。但是，5G提供的新特征在帶來業(yè)務支持靈活性、網絡部署經濟性等諸多效益的同時，也面臨新業(yè)務、新架構、新技術帶來的安全問題和挑戰(zhàn)，需要基于創(chuàng)新思維，結合被動防御和主動防御的網絡安全防護理念和措施，打造“5G安全網絡”，為新基建和各行各業(yè)的安全發(fā)展保駕護航。

　　一、沒有5G安全就沒有產業(yè)的安全

　　現階段，我國經濟社會數字化轉型呈現“五縱三橫”的新特征，“五縱”是當前信息技術向經濟社會加速滲透的五個典型場景，包括基礎設施數字化、社會治理數字化、生產方式數字化、工作方式數字化、生活方式數字化；“三橫”是當前經濟社會數字化轉型的三大共性需求，表現為線上化、智能化、云化。5G正在推動移動通信技術從消費側向生產側全面滲透，助力產業(yè)實現智能化轉型。

　　2020年4月20日，國家發(fā)改委首次明確了新基建的含義與范圍。5G作為“基礎”的信息基礎設施，是賦能新基建發(fā)展和各行各業(yè)數字化轉型的網絡支撐與重要載體。根據工信部數據，截至2020年12月，全國5G基站建設總量已超過70萬個，5G終端連接數超1.8億，良好的基礎設施促進了眾多基于5G的新應用的產生和成熟。

　　黨的十九屆五中全會提出，要“統(tǒng)籌發(fā)展和安全，建設更高水平的平安中國”，要“堅持總體國家安全觀”“統(tǒng)籌傳統(tǒng)安全和非傳統(tǒng)安全，把安全發(fā)展貫穿國家發(fā)展各領域和全過程”。5G作為新基建之首，重視5G安全，提升防護水平，刻不容緩?？梢哉f，5G作為信息基礎設施，網絡安全已成為其發(fā)展的關鍵核心，沒有5G安全，就沒有產業(yè)的安全。

　　二、5G安全特性與挑戰(zhàn)

　　5G引入了新的業(yè)務和技術特征，使其具備了促進社會變革的能力。從業(yè)務層面來說，5G除了延續(xù)以大帶寬能力支撐移動互聯網發(fā)展之外，還提供了低時延和大連接能力，能夠支撐物聯網和工業(yè)互聯網的發(fā)展，給千行百業(yè)的數字化轉型注入動力。從技術層面來說，5G采用了基于服務的架構（SBA）和網絡功能虛擬化技術，并提供網絡切片能力，實現了云網一體化，能夠靈活地支持具有不同網絡能力需求的差異化業(yè)務場景。5G的這些新特征既帶來了新的安全特性，也面臨著新的安全挑戰(zhàn)。

　?。ㄒ唬?5G安全特性

　　1. 標準層面

　　從標準層面來看，5G非獨立組網網絡和4G網絡具有相同的安全機制，并通過全球統(tǒng)一的高安全標準和實踐不斷提升其安全級別，同時，為了應對未來5G生命周期內可能出現的安全挑戰(zhàn)，5G獨立組網網絡支持更多的內生安全特性，主要體現在以下幾個方面：

　?。?）更好的空口安全：在2/3/4G中用戶和網絡之間用戶數據加密保護的基礎之上，5G標準進一步支持用戶數據的完整性保護機制，防范針對用戶數據的篡改攻擊。

　?。?）增強的用戶隱私保護：在2/3/4G時，用戶的永久身份IMSI在空口是明文發(fā)送的，攻擊者可以利用這一缺陷追蹤用戶。在5G中，用戶永久身份SUPI以加密形式發(fā)送，可以防范“IMSICatcher”攻擊。

　?。?）更好的漫游安全：通信運營企業(yè)之間通常需要通過網絡轉接來建立漫游連接。攻擊者可以通過控制轉接運營商設備的方法，假冒合法的核心網節(jié)點，發(fā)起信令攻擊。5G的SBA架構定義了SEPP，在傳輸層和應用層對運營商間的信令進行端到端安全保護，使得運營商間的轉接設備無法竊聽核心網之間交互的敏感信息（例如密鑰、用戶身份、短信等）。

　　（4）增強的密碼算法：為了應對量子計算機對密碼算法的影響，5G在未來版本可能需要支持256位算法。

　　2. 網絡架構層面

　　從網絡架構層面來看，5G采用了云網融合、網絡切片和統(tǒng)一的安全架構，為網絡和業(yè)務提供新的安全特征：

　?。?）云網融合：云網融合有利于構建端到端的內生安全體系，實現從靜態(tài)防御到動態(tài)防御、被動防御到主動防御的轉變，基于安全編排自動化與響應（SOAR：Security OrchestrationAutomation and Response）和軟件定義安全（SDSec：Software Defined Security），對安全能力和安全服務鏈進行按需自動編排，建立自適應的安全防護機制。此外，還能夠部署安全資源池，實現安全能力的對外開放和服務輸出。

　　（2）統(tǒng)一安全架構：統(tǒng)一安全架構保證貫穿5G網絡全程全網的安全一致性，保障網絡層面從終端、接入網、核心網到業(yè)務網絡的端到端安全。通過安全能力開放，安全一致性可以延伸到業(yè)務應用層面，實現業(yè)務應用的端到端安全。

　　（3）網絡切片：網絡切片通過按需組網的方式為具有差異化需求的業(yè)務建立相應的端到端虛擬網絡，實現不同業(yè)務之間的邏輯隔離。網絡切片除了保障業(yè)務的SLA要求之外，還能夠根據業(yè)務的安全需求制定安全策略，提供相應的安全防護能力。

　?。ǘ?5G與垂直行業(yè)融合面臨的安全挑戰(zhàn)

　　5G“賦能垂直行業(yè)，開啟萬物互聯”已成為全社會的共識。垂直行業(yè)是5G的主要應用場景，企業(yè)出于更高效、更安全等因素選擇5G，但5G與垂直行業(yè)融合的過程中，仍然會給垂直行業(yè)帶來突出的安全風險：

　　1. 應用軟件存在安全漏洞：不同垂直行業(yè)及相關企業(yè)的軟件開發(fā)能力參差不齊，難以形成標準的安全軟件開發(fā)流程規(guī)范，部分垂直行業(yè)應用在軟件開發(fā)過程中未能全面考察安全風險和安全需求，導致發(fā)布的應用程序中存在一定安全漏洞，通過5G形成萬物互聯網絡后，給垂直行業(yè)的業(yè)務運行造成安全隱患。

　　2. 安全能力與業(yè)務未同步發(fā)展：當前的垂直行業(yè)應用開發(fā)較多使用開源平臺軟件，以達到應用程序快速開發(fā)和發(fā)布的目的，而安全防護能力需要適配各種軟件開發(fā)和發(fā)布的速度，使其安全性得到保障，盡管業(yè)界一直在努力開拓創(chuàng)新的思路，但至今仍未達到期望的安全效果。

　　如果上述安全風險得不到有效的管控，必將對業(yè)務與網絡融合的5G+垂直行業(yè)帶來安全威脅，垂直行業(yè)應用系統(tǒng)安全事件的影響可能蔓延到承載其運行的5G網絡，例如發(fā)起針對5G核心網的攻擊，造成網絡性能下降甚至癱瘓，又反過來影響5G網絡承載的其它垂直行業(yè)應用的正常運行。

　　三、對5G安全工作模式演進的思考

　　從網絡安全實踐來看，當前，網絡安全行業(yè)已有很多優(yōu)秀的理論模型和實踐案例。但總體而言，業(yè)界對于5G安全的認識理解與傳統(tǒng)安全觀較為趨同，安全范圍仍然圍繞“主機、系統(tǒng)、局域網段”等被保護對象；安全理念仍然以縱深防御、邊界防護為主；安全手段仍然以病毒防護、防火墻、入侵檢測等“老三樣”為基礎；安全運營仍然以查漏洞、打補丁等為主要工作方式。在5G網絡架構云原生、服務專網化等背景下，這些傳統(tǒng)的固有安全模式在實踐中必然面臨諸多挑戰(zhàn)。

　　因此，5G時代的網絡安全呼喚理論與實踐的雙重突破與創(chuàng)新。通過梳理總結與實踐，我們認為5G時代網絡安全防護體現為“三重境界”和“五種模式”。

　　第一重境界為確保資產“不被控”。當前，安全工作通常圍繞“主機、系統(tǒng)或局域網”的“資產脆弱性”開展，通過針對局部保護對象的“漏洞”打補丁加固，避免或降低“漏洞”被利用的風險，實現網絡資產不被控制的目標。在5G時代，基礎通信運營企業(yè)還可通過采用新的虛擬補丁技術，針對漏洞攻擊行為提供基于外部流量監(jiān)測和防護的措施，降低漏洞被利用的可能性，可達到安全加固的目的。同時，基于零信任的安全理念，精細化權限管理和訪問控制，持續(xù)做好信任評估，力爭最小化漏洞被利用導致的危害范圍，并及時發(fā)現和消除安全風險。

　　第二重境界為確保資產“不可達”。5G時代的遠程通信具有“全程全網”的特點，以往以“一地一點”為局部保護對象的防護模式無法滿足新安全需求。圍繞“威脅來源”，通過優(yōu)化底層承載網絡的安全架構設計，由通信運營企業(yè)實施整體網絡隔離，主動從源頭屏蔽攻擊，從而使攻擊者即使了解網絡資產信息，也無法獲得攻擊路徑。

　　第三重境界為確保資產“不可知”?；谕ㄐ胚\營企業(yè)云網融合的安全架構，充分發(fā)揮5G網絡“云原生”的特點，積極推進云化、安全內生化。未來，在網絡承載通道隔離的基礎上，依托云化實現網絡資產“隱身”，業(yè)務和數據無固定承載實體，使得攻擊者無法精準定位目標，從而無法發(fā)起攻擊。

　　在具體實踐上，上述“三重境界”可通過“五種模式”來遞進式實施：

　　一是“補丁”模式。以往5G行業(yè)用戶往往以業(yè)務發(fā)展為中心，在發(fā)現漏洞后采取“創(chuàng)可貼”式的事后補救措施，一般不會因安全而調整總體架構。

　　二是“鎧甲”模式。目前5G行業(yè)用戶安全意識已有顯著提升，圍繞主機、系統(tǒng)、局域網等被保護對象，主動開展以漏洞為核心的系統(tǒng)安全加固，但該模式下仍只重視局域資產的安全能力增強，未對廣域承載架構做體系化優(yōu)化。

　　三是“吊橋”模式。隨著通信運營企業(yè)與5G行業(yè)用戶日益緊密結合，從廣域網絡的角度看待安全，實現網絡架構原生支持安全機制，能夠圍繞威脅來源在網絡架構承載層面隔斷網絡通達路徑，實現廣域訪問按需可達、用后關閉，同時強化針對性重點防護，實現更高等級的安全。

　　四是“反制”模式?；谕ㄐ胚\營企業(yè)特有的全程全網優(yōu)勢，綜合考慮“接入、訪問、使用”等階段協(xié)同對抗攻擊，針對發(fā)現的攻擊源，幫助5G行業(yè)用戶實施源頭攔截、溯源、反制等措施。

　　五是“黑洞”模式。通信運營企業(yè)通過云化、服務發(fā)現等技術手段，實現5G行業(yè)用戶的資產隱藏、資源動態(tài)遷移，無固定承載實體，使得攻擊者愈加難以發(fā)起針對性的攻擊。

　　四、基于通信運營企業(yè)特色的“5G安全網絡”創(chuàng)新理念與實踐

　　傳統(tǒng)的安全防護理念難以應對5G多樣化應用的安全需求，也難以繼續(xù)推動安全防護手段和安全運營水平的迅速提升，需要以創(chuàng)新的理念構建5G網絡安全防護體系，適配其差異化的網絡和業(yè)務部署場景，解決其基礎設施安全、應用安全、數據安全、終端安全和身份安全等全方位的安全問題?？偠灾詣?chuàng)新的理念促進安全防護體系的變革，并通過實踐驗證其可行性，是滿足5G網絡安全需求并為新基建提供基礎安全保障的關鍵。

　?。ㄒ唬?“5G安全網絡”創(chuàng)新理念

　　立足通信運營企業(yè)“網絡+安全”的特色和優(yōu)勢，中國移動深入思考了網絡安全的演變過程、技術特點與發(fā)展規(guī)律，總結形成了以“安全網絡”為核心理念的5G安全體系。簡要來說，“安全網絡”是區(qū)別于傳統(tǒng)的“網絡安全”而言的，既是我們開展5G安全工作的指導理念，也是我們的工作目標?！鞍踩W絡”的突出特點是安全與網絡共生、安全貫穿全程全網。

　　首先，安全與網絡共生是由5G的技術特點決定的。一方面，與4G相比，5G支持切片技術，能夠為不同行業(yè)應用提供相對隔離的網絡通道，從網絡架構承載層面隔離來自公網或者其他業(yè)務的攻擊，力圖實現未授權訪問“不可達”。另一方面，5G具有云原生的特點，以云的方式建設與運維，具有更強的彈性和安全韌性，網絡資產可以在云上實現“隱身”，力圖實現重要資產“不可知”。這兩方面的技術特性決定了5G的安全可以與網絡共生。

　　其次，安全貫穿全程全網是由通信運營企業(yè)的屬性決定的。傳統(tǒng)“網絡安全”基本上是從局域網范圍的主機、系統(tǒng)出發(fā)，主要以逐個消除漏洞、配置安全策略為目標開展安全防護工作。而“安全網絡”是通信運營企業(yè)特有的防護方式，需要緊密依托5G網絡特有的可隔離性和5G時代“云網融合”的發(fā)展趨勢，實現全程全網、端到端的安全保障。

　　需要強調的是，“5G安全網絡”的實現需要產業(yè)鏈各方深入開展合作，可以做到“三重境界”按需疊加，“五種模式”綜合運用。舉例來說，如表1所示，通過“補丁模式”和“鎧甲模式”實現網絡資產“不被控”；通過“吊橋模式”和“反制模式”實現網絡資產“不可達”；通過“黑洞模式”實現網絡資產“不可知”，進而最終實現“網絡安全”向“安全網絡”的演變升級。

　?。ǘ?5G安全工作實踐

　　中國移動貫徹落實統(tǒng)籌發(fā)展與安全要求，圍繞網絡安全工作堅持做好頂層設計，持續(xù)健全覆蓋“點線面體”的網絡安全防御體系，即以“云-管-邊-端”等各類業(yè)務為“點”，推動做好業(yè)務安全防護；以安全應急響應為“線”，強化一體聯動的閉環(huán)管理機制；以全網監(jiān)測為“面”，推動安全風險與威脅整體可視、可感、可控；以網絡安全工作責任制為“體”，確保各項要求落地做實。

　　在5G安全方面，基于全新的認識與思考，公司加快建立起涵蓋標準、能力、應用的5G安全管理運營體系，各項工作保持行業(yè)領先。

　　一是推動建立5G安全統(tǒng)一標準。面向國內，牽頭編制了全國首個《5G安全標準體系建設指南》，建立起5G安全標準體系圖譜，初步劃定了該領域的“四梁八柱”。同時，主導研制了國內首個5G安全通信行業(yè)標準。面向全球，中國移動在國際標準化組織（ISO）和TD-LTE全球發(fā)展倡議（GTI）等平臺發(fā)布了多個5G垂直行業(yè)標準和白皮書。

　　二是全面構建5G安全防護能力。靈活疊加“三重境界”，按需組合“五種模式”，積極鍛造風險識別、安全防御、安全檢測、安全響應和安全恢復五大能力，全流程、全周期防范5G安全風險。

　　三是全力護航5G業(yè)務安全運行。積極推動“15個行業(yè)100個5G示范應用”項目落地推廣，圍繞5G智慧港口、超高清視頻、5G抗疫復工等打造了40個5G安全“樣板房”，入選GSMA、中國網絡安全產業(yè)聯盟、工業(yè)互聯網產業(yè)聯盟等優(yōu)秀案例集。在工信部“綻放杯”5G應用征集大賽中取得了全國總決賽一等獎、18項安全專題賽獎項的突出成績。

　　五、5G安全發(fā)展建議

　　當前，5G 產業(yè)鏈已經初具規(guī)模，5G產業(yè)的發(fā)展不僅亟需與之相適應的理論、實踐和生態(tài)創(chuàng)新，還呼喚與之相適應的安全理念和安全防護體系創(chuàng)新。中國移動愿與產業(yè)合作伙伴攜手，共創(chuàng)5G安全繁榮生態(tài)：

　　一是積極推進5G安全理論創(chuàng)新。立足5G技術本質和發(fā)展規(guī)律，樹立全新的安全防護理念，在頂層設計上為5G持續(xù)健康發(fā)展提供堅實保障。

　　二是積極推進5G 安全實踐創(chuàng)新。緊密結合5G網絡特點和應用場景，組合運用多種模式，形成安全融合解決方案，在實踐應用中持續(xù)完善防護理念與防護手段。

　　三是積極推進5G 安全生態(tài)創(chuàng)新。5G安全需要產業(yè)各方攜手共進、同向發(fā)力，推動合作模式升級，強化合作機制落地，加強合作平臺建設，促進合作利益共享，實現互惠互利、合作共贏。