1.4 5G安全面臨的挑戰

5G網絡采用了新的服務化架構，并引入了一些新的技術，為了滿足不同行業及用戶的需求，分為三大主要應用場景，不可避免地伴生了新的安全風險。另外，產業鏈支撐層面也對5G安全提出了比較大的挑戰。

1.新架構帶來的安全挑戰

5G 服務化架構在滿足不同垂直行業應用需求的同時，也引發了一些新的安全風險與挑戰，主要表現在安全防護對象發生變化、信任關系由二元變為多元、集中管理帶來了安全風險及新服務交付模式安全。

1）安全防護對象發生變化

5G網絡基礎設施云化和虛擬化，使得資源利用率和資源提供方式的靈活性大大提升，但也打破了原有以物理設備為邊界的資源提供模式。3G、4G 網絡中以物理實體為核心的安全防護技術在5G網絡中不再適用，需要建立起以虛擬資源和虛擬化網絡功能為目標的安全防護體系。

2）信任關系由二元變為多元

3G、4G 網絡的價值鏈中只有終端用戶和網絡運營商兩個角色，并沒有明確而完整地提出信任管理體系。5G網絡與垂直行業應用的結合使得一批新的參與者、新的設備類型加入價值鏈。例如，傳統移動網絡中網絡運營商通常也是基礎設施供應商，而在5G網絡時代，可能會引入虛擬移動網絡運營商的角色。虛擬移動網絡運營商需要從移動網絡運營商/基礎設施提供商中購買網絡切片。與傳統網絡的終端用戶相比，5G網絡用戶除手機用戶外，還有各種物聯網（IoT）設備用戶、交通工具等。因此，5G網絡需要構建新的信任管理體系、研究身份和信任管理機制以解決各個角色之間的多元信任問題。

3）集中管理帶來了安全風險

3G、4G 網絡較少地采用集中管理方式，除少數網元外，其他網元之間的管理更多依賴于自主協商。5G網絡使用不同的網絡切片來滿足不同的行業應用需求，不同的網絡切片需要分配不同的網絡資源。網絡切片管理以及與網絡切片相關的網絡資源管理不可能再基于自主協商方式，因此集中管理將成為主要方式。5G網絡中使用網絡功能虛擬化管理和編排（Management and Orchestration，MANO）、軟件定義網絡（Software Defined Network，SDN）控制器等對網絡進行集中管理和編排。MANO和SDN屬于網絡中樞，一旦被非法控制或遭受攻擊，將對網絡造成嚴重影響，甚至使網絡癱瘓。集中管理網元的安全防護問題迫切需要解決。

4）新服務交付模式安全

5G網絡為了更好地應對各種不同的業務需求，接納了新的參與角色并將其加入網絡價值鏈與生態系統中，由此產生了新的服務交付模式。5G網絡通過將能力開放，同時配合資源動態部署與按需組合機制，為垂直行業提供靈活、可定制的差異化網絡服務。能力開放改變了傳統網絡以能力封閉換取能力提供者自身安全的思路，使得能力使用者通過控制協議對能力提供者發起攻擊成為可能。一旦能力使用者被惡意入侵，利用能力開放接口的可編程性，經由控制接口對5G網絡進行惡意編排，將會造成嚴重后果，因此新服務交付模式需要解決網絡能力開放的安全防護問題。

2.新技術帶來的安全挑戰

5G網絡引入了一些新技術，如網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等，這些新技術也帶來了一些新的安全挑戰。

1）網絡功能虛擬化

網絡功能虛擬化采用虛擬化技術將傳統網絡的專用網元進行軟硬件解耦，構造出基于統一虛擬設施的網絡功能，實現資源的集中控制、動態配置、高效調度和智能部署，有利于網絡運營的業務創新周期控制、動態配置、高效調度和智能部署，縮短網絡運營的業務創新周期。

在虛擬環境下，管理控制功能高度集中，一旦其功能失效或被非法控制，將影響整個系統的安全穩定運行。多個虛擬化網絡功能（Virtualized Network Function，VNF）共享下層基礎資源，若某個虛擬化網絡功能被攻擊將會波及其他功能。此外，由于網絡虛擬化大量采用開源和第三方軟件，引入安全漏洞的可能性加大。對于網絡功能虛擬化安全風險，建議首先進行系統安全加固，對管理控制操作進行安全跟蹤和審計，提升防攻擊能力；其次是需提供端到端、多層次資源的安全隔離措施，對關鍵數據進行加密和備份；此外，需要加強開源第三方軟件安全管理。

2）網絡切片

網絡切片可在一個物理網絡上切分出功能、特性各不相同的多個邏輯網絡，同時支持多種業務場景?；诰W絡切片技術，可以提高網絡資源利用率，隔離不同業務場景所需的網絡資源。

網絡切片基于虛擬化技術，在共享的資源上實現邏輯隔離，如果沒有采取適當的安全隔離機制和措施，當某個低防護能力的網絡切片受到攻擊時，攻擊者可以此為跳板攻擊其他網絡切片，進而影響其正常運行。針對上述安全風險，可使用云化、虛擬化隔離措施，如物理隔離、虛擬機（Virtual Machine，VM）資源隔離、虛擬防火墻等，實現精準、靈活的網絡切片隔離，保證不同網絡切片使用者之間資源的有效隔離，同時要做好網絡切片運維和運營安全的管理，確保相應的技術措施得到落實。

3）邊緣計算

邊緣計算是在網絡邊緣、靠近用戶的位置，提供計算和數據處理能力，以提升網絡數據處理效率和數據處理能力，滿足垂直行業對網絡低時延、大流量以及安全等方面的需求。

邊緣計算節點下沉到5G核心網邊緣，當部署到相對不安全的物理環境時，受到物理攻擊的可能性變大。另外，在邊緣計算平臺上可部署多個應用，共享相關資源，一旦某個應用防護被攻破，將會影響在邊緣計算平臺上其他應用的安全運行。對于上述安全風險，首先應對邊緣計算設施加強物理保護和網絡防護，充分利用已有的安全技術進行平臺加固并增強邊緣設施自身的防盜防破壞措施。其次需要加強應用的安全防護，完善應用層接入邊緣計算節點的安全認證與授權機制，在部署第三方應用時，要根據部署模式明確各方安全責任劃分并協作落實。

4）網絡能力開放

5G網絡可以通過能力開放接口將網絡能力開放給第三方應用，以便第三方按照各自的需求設計定制化的網絡服務。

網絡能力開放將帶來相應的安全風險與挑戰。首先，網絡能力開放將用戶個人信息、網絡數據和業務數據等從網絡運營商內部的封閉平臺中開放出來，網絡運營商對數據的管理控制能力減弱，可能會帶來數據泄露的風險。其次，網絡能力開放接口采用互聯網通用協議，會進一步將互聯網已有的安全風險引入5G網絡。對于上述安全風險挑戰，需要加強5G網絡數據保護，強化安全威脅監測與處置。此外，還需要加強網絡開放接口安全防護能力，防止攻擊者從開放接口滲透進入運營商網絡。

3.新應用帶來的安全挑戰

前面我們了解到，5G的應用場景主要包括eMBB、uRLLC和mMTC三大場景，這三個新的應用場景所面臨的安全挑戰可以總結為三點。

1）eMBB應用安全

eMBB 場景主要應用包括 4K/8K 超高清移動視頻、沉浸式的增強現實（Augmented Reality，AR）/虛擬現實（Virtual Reality，VR）業務。對eMBB應用而言，eMBB場景下的超大流量對現有網絡安全防護手段形成挑戰。由于 5G 數據傳輸速率較4G增長10倍以上，網絡邊緣數據流量將大幅提升，現有網絡中部署的防火墻、入侵檢測系統等安全設備在流量檢測、鏈路覆蓋、數據存儲等方面將難以滿足超大流量下的安全防護需求，面臨較大挑戰。

基于上述 eMBB 業務安全挑戰，應升級現有不良信息安全管控系統的管控能力，滿足超大流量管控需求；5G網絡下的大流量業務成為常態，應升級現有安全設備管控能力，以適應超大流量業務發展。

2）uRLLC應用安全

uRLLC 場景的典型應用包括工業互聯網、車聯網自動駕駛等。uRLLC 能夠提供高可靠、低時延的服務質量保障。對 uRLLC 而言，其主要安全風險在于低時延需求造成復雜安全機制部署受限。安全機制的部署，如接入認證、數據傳輸安全保護、終端移動過程中切換、數據加解密等均會增加時延，過于復雜的安全機制不能滿足低時延業務的要求。

基于上述 uRLLC 業務安全挑戰，針對低時延業務需求造成的復雜的高級別安全機制部署受限問題，應有效評估安全措施對有國家重要基礎設施的垂直行業安全的影響，防止安全措施缺失導致社會、國家安全受影響。

3）mMTC應用安全

mMTC 場景的應用覆蓋領域廣，接入設備多，應用地域和設備供應商標準分散，業務種類多。對 mMTC 而言，泛在連接場景下的海量多樣化終端易被攻擊利用，對網絡運行安全造成威脅。5G 時代將有海量物聯網終端接入，預計到 2025年全球物聯網設備聯網數量將達到 252 億個。其中大量功耗低、計算和存儲資源有限的終端難以部署復雜的安全策略，一旦被攻擊則容易形成僵尸網絡，將會成為攻擊源，進而引發對用戶應用和后臺系統等的網絡攻擊，帶來網絡中斷、系統癱瘓等安全風險。

基于上述 mMTC 業務安全挑戰，針對大量功耗低、計算和存儲資源有限的終端難以部署復雜的安全策略，終端易被控制形成僵尸網絡等問題，應建立對僵尸網絡等的監測手段，及時發現異常終端，防止僵尸網絡對用戶、業務關鍵基礎設施、社會等發起網絡攻擊。

4.產業鏈帶來的安全挑戰

除新架構、新技術及新應用所引入的安全風險外，5G網絡在網絡部署運營、垂直行業應用和產業鏈供應等層面也存在較多的安全挑戰。

1）網絡部署運營

5G網絡的安全管理貫穿于網絡部署運營的整個生命周期，網絡運營商應采取措施管理安全風險，保障這些網絡提供服務的連續性：一是在5G安全設計方面，由于5G網絡的開放性和復雜性，對權限管理、安全域劃分隔離、內部風險評估控制、應急處置等方面提出了更高要求；二是在5G網絡部署方面，網元分布式部署可能面臨系統配置不合理、物理環境防護不足等問題；三是在5G網絡運行維護方面，5G網絡具有運維粒度細和運營角色多的特點，細粒度的運維要求和運維角色的多樣化意味著運維配置錯誤的風險提升，錯誤的安全配置可能導致5G網絡遭受不必要的安全攻擊。此外，5G網絡運營維護要求高，對從業人員操作規范性、業務素養等帶來了挑戰，也會影響5G網絡的安全性。

2）垂直行業應用

5G網絡與垂直行業深度融合，行業應用服務提供商與網絡運營商、設備供應商一起，成為 5G 產業生態安全的重要組成部分。一是5G網絡安全、應用安全、終端安全問題相互交織、互相影響，行業應用服務提供商由于直接面對用戶提供服務，在確保應用安全和終端安全方面承擔主體責任，需要與網絡運營商明確安全責任邊界、強化協同配合，從整體上解決安全問題；二是不同垂直行業應用存在較大差別，安全訴求存在差異，安全能力水平不一，難以采用單一化、通用化的安全解決方案來保障各垂直行業安全應用。

3）產業鏈供應

5G技術門檻高、產業鏈長、應用領域廣泛，產業鏈涵蓋系統設備、芯片、終端、應用軟件、操作系統等，其安全基礎技術及產業支撐能力的持續創新性和全球協同性，對 5G 及其應用產生重大影響。如果不能在基礎性、通用性和前瞻性安全技術方面加強創新，不能在產業鏈各環節同步更新完善5G網絡安全產品和解決方案，不能持續提供更為安全可靠的5G技術產品，則會增加網絡基礎設施的脆弱性，影響5G安全體系的完善。根據5G網絡生態中不同的角色劃分，5G網絡生態的安全應充分考慮各主體不同層次的安全責任和要求，既需要從網絡運營商、設備供應商的角度考慮安全措施與保障，也需要垂直行業如能源、金融、醫療、交通、工業等行業應用服務提供商采取恰當的安全措施。