2024版5G通信安全知識庫

5G通信安全知識庫--PAGE1-前 言5G安全知識庫梳理總結(jié)了5G終端、接入網(wǎng)、核心網(wǎng)、MEC5G礎(chǔ)設(shè)施和典型行業(yè)應(yīng)用的最優(yōu)安全措施集，并提出面向運(yùn)營商、設(shè)5G5G5G5G5GPAGE\*ROMANPAGE\*ROMANIV目錄引言 15G網(wǎng)絡(luò)簡介 15G網(wǎng)絡(luò)安全特點(diǎn) 25G應(yīng)用安全特點(diǎn) 4國內(nèi)外相關(guān)情況簡介 5歐盟5G安全風(fēng)險評估及工具箱 5美國NIST5G安全實(shí)踐指南 6GSMA網(wǎng)絡(luò)設(shè)備安全保障框架 6國內(nèi)相關(guān)工作 85G網(wǎng)絡(luò)安全知識庫 105G網(wǎng)絡(luò)安全范圍 10面向的5G資產(chǎn) 11描述方式 12描述內(nèi)容 135G應(yīng)用安全知識庫 145G融合應(yīng)用安全特點(diǎn) 145G融合應(yīng)用安全需求 14行業(yè)應(yīng)用安全需求與5G安全能力的映射 14面向行業(yè)的5G安全原子能力集 16SeCAP-1端到端網(wǎng)絡(luò)切片隔離能力 16SeCAP-2網(wǎng)絡(luò)邊界安全防護(hù)能力 18SeCAP-3增強(qiáng)的終端接入認(rèn)證能力 19SeCAP-4開放的網(wǎng)絡(luò)管理和安全管控能力 20SeCAP-5邊緣/本地園區(qū)的數(shù)據(jù)安全防護(hù)能力 22SeCAP-6面向行業(yè)應(yīng)用的安全監(jiān)測能力 23SeCAP-7基于蜜罐技術(shù)的5G安全防護(hù)能力 24SeCAP-8服務(wù)于多租戶的虛擬專網(wǎng)能力 25SeCAP-9面向行業(yè)應(yīng)用的5G安全測評能力 265G應(yīng)用安全最佳實(shí)踐模板 27ST-IIot5G+工業(yè)互聯(lián)網(wǎng)安全模板 27ST-grid5G+電力安全模板 29ST-mine5G+礦山安全模板 30ST-port5G+港口安全模板 31ST-city5G+智慧城市安全模板 33ST-hospital5G+醫(yī)療安全模板 34ST-education5G+教育安全模板 35安全知識庫使用方法 37面向運(yùn)營商、設(shè)備商的5G網(wǎng)絡(luò)安全知識庫使用方法 37面向運(yùn)營商、垂直行業(yè)的5G應(yīng)用安全知識庫使用方法 38總結(jié)及展望 40縮略語 42附錄A：5G網(wǎng)絡(luò)安全知識庫措施 49終端安全（MobileTerminal,MT） 49MT-1終端與5G網(wǎng)絡(luò)數(shù)據(jù)和信令保護(hù) 49MT-2用戶憑證的安全保護(hù) 50MT-3終端接入認(rèn)證 51MT-4終端訪問限制 52接入網(wǎng)安全（RadioNetwork,RN） 53RN-1基站用戶數(shù)據(jù)和信令保護(hù) 53RN-2偽基站檢測及防護(hù) 54RN-3基站可用性保護(hù) 55RN-4降低無線電干擾風(fēng)險 56RN-5基站物理安全保護(hù) 57多接入邊緣計算安全(Multi-accessEdgeComputing,MEC) 58MEC-1物理環(huán)境安全防護(hù) 58MEC-2組網(wǎng)安全防護(hù) 59MEC-3基礎(chǔ)設(shè)施安全防護(hù) 61MEC-4虛擬化安全防護(hù) 64MEC-5邊緣計算平臺安全防護(hù) 66MEC-6應(yīng)用安全防護(hù) 68MEC-7能力開放安全防護(hù) 69MEC-8通信安全防護(hù) 70MEC-9管理運(yùn)維安全 71MEC-10數(shù)據(jù)安全防護(hù) 72核心網(wǎng)安全(CoreNetwork,CN) 74CN-1核心網(wǎng)資源可用性保護(hù) 74CN-25GCNEF安全保護(hù) 75CN-3核心網(wǎng)流量保護(hù) 76CN-4核心網(wǎng)內(nèi)外邊界隔離 77CN-5核心網(wǎng)網(wǎng)元合法身份保障 78CN-6虛擬化環(huán)境保護(hù) 79CN-7用戶標(biāo)識保護(hù) 80CN-8漫游安全 80網(wǎng)絡(luò)切片安全(NetworkSlice,NS) 81NS-1終端接入切片安全 81NS-2切片網(wǎng)絡(luò)隔離 82NS-3切片數(shù)據(jù)隔離 83NS-4切片管理安全 84安全管理(SecurityManagement,SM) 85SM-1安全管理和編排 85SM-2安全可控 86SM-4人員管理 87SM-4安全審計 88運(yùn)維管理(OperationandManagement,OM) 88OM-15GC安全運(yùn)維 88OM-2云基礎(chǔ)設(shè)施主機(jī)運(yùn)維 89OM-3云基礎(chǔ)設(shè)施虛擬化層運(yùn)維 90OM-4云基礎(chǔ)設(shè)施PIM運(yùn)維 91OM-5 云基礎(chǔ)設(shè)施MANO運(yùn)維 92OM-6云基礎(chǔ)設(shè)施SDN運(yùn)維 94OM-7安全應(yīng)急響應(yīng) 95數(shù)據(jù)安全(Data,DAT) 96DAT-1數(shù)據(jù)識別與管理 96DAT-2數(shù)據(jù)安全防護(hù) 97DAT-3數(shù)據(jù)安全監(jiān)測 98PAGEPAGE1引言5G網(wǎng)絡(luò)簡介2015年，國際電信聯(lián)盟（ITU）發(fā)布了《IMT愿景：5G架構(gòu)和總體目標(biāo)》，定義了增強(qiáng)移動寬帶（eMBB）、超高可靠低時延（uRLLC）、海量機(jī)器類型通信（mMTC）三大應(yīng)用場景，以及峰4G相比，5G4G5G5G網(wǎng)絡(luò)由于引入網(wǎng)絡(luò)功能虛擬化、軟件定義網(wǎng)絡(luò)、多接入邊緣計算等新技術(shù)，網(wǎng)絡(luò)4G5G5G5G展等方面已取得了世界領(lǐng)先的發(fā)展成就，5G應(yīng)用也實(shí)現(xiàn)了從“0”到“1發(fā)展的巨大潛能。隨著中國進(jìn)入5G應(yīng)用規(guī)?；l(fā)展的關(guān)鍵時期，5G5G域深度融合引發(fā)的安全風(fēng)險備受矚目，IT（信息技術(shù)）、CT（通信技術(shù)）、OT（運(yùn)營技術(shù)）安全問題相互交織，構(gòu)建與5G應(yīng)用發(fā)展5G5GPAGEPAGE175G網(wǎng)絡(luò)安全特點(diǎn)第五代通信（5G）是實(shí)現(xiàn)人、機(jī)、物互聯(lián)的新型信息基礎(chǔ)設(shè)施5G5G5G5G5G（1）國際標(biāo)準(zhǔn)定義了增強(qiáng)的5G安全標(biāo)準(zhǔn)5G2/3/4G心網(wǎng)層和應(yīng)用層三層架構(gòu)，但在核心網(wǎng)層引入網(wǎng)絡(luò)功能虛擬化、網(wǎng)絡(luò)切片、邊緣計算、服務(wù)化架構(gòu)、網(wǎng)絡(luò)能力開放等新技術(shù)，網(wǎng)絡(luò)架4G5G4G3GPPR154G5G證框架，能夠融合不同制式的多種接入認(rèn)證方式，保障異構(gòu)網(wǎng)絡(luò)切換時認(rèn)證流程的連續(xù)性。三是增強(qiáng)數(shù)據(jù)隱私保護(hù)，使用加密方式傳送用戶身份標(biāo)識，支持用戶面數(shù)據(jù)完整性保護(hù)，以防范攻擊者利用空中接口明文傳送用戶身份標(biāo)識來非法追蹤用戶的位置和信息，以及用戶面數(shù)據(jù)被篡改。四是增強(qiáng)網(wǎng)間漫游安全，提供了網(wǎng)絡(luò)運(yùn)營商R16和R17SBA制，包含更細(xì)粒度的網(wǎng)元間授權(quán)機(jī)制、更強(qiáng)的運(yùn)營商間的用戶面數(shù)據(jù)傳輸保護(hù)等，以保障核心網(wǎng)內(nèi)部信令面及用戶面數(shù)據(jù)傳輸安全。此外，3GPP還將5GSA網(wǎng)絡(luò)的用戶面完整性保護(hù)機(jī)制引入到5GNSA網(wǎng)絡(luò)以及4GIoTuRLLC的冗余會話傳輸安全、支持切片的認(rèn)證和授權(quán)、支持多種私網(wǎng)形態(tài)的靈活認(rèn)證，以滿足不同行業(yè)的多樣性安全需求，并向第三方開放3GPP（2）5G網(wǎng)絡(luò)發(fā)展仍面臨一定的安全挑戰(zhàn)5G5G20202月，中國IMT-2020(5G)5G5G在5G關(guān)鍵技術(shù)方面，5G由于引入虛擬化、網(wǎng)絡(luò)切片、邊緣計算等新技術(shù)帶來諸多安全挑戰(zhàn)：網(wǎng)絡(luò)功能虛擬化和服務(wù)化架構(gòu)技術(shù)使得原有網(wǎng)絡(luò)中基于功能網(wǎng)元進(jìn)行邊界防護(hù)的方式不再適用，且其底層實(shí)現(xiàn)多使用開源軟件，出現(xiàn)安全漏洞的可能性加大；網(wǎng)絡(luò)切片基于共享硬件資源，在沒有采取適當(dāng)安全隔離機(jī)制情況下，低防護(hù)能力切片易成為攻擊其他切片的跳板；邊緣計算在網(wǎng)絡(luò)邊緣、靠近用戶的位置上提供信息服務(wù)和計算能力，由于其設(shè)施通常會暴露在不安全環(huán)境中，受性能成本、部署靈活性等多種因素制約，易帶來接入認(rèn)證授權(quán)、安全防護(hù)等多方面安全風(fēng)險；網(wǎng)絡(luò)能力開放采用互聯(lián)網(wǎng)通用協(xié)議，與之前相對較為封閉的通信網(wǎng)絡(luò)相比，易將互聯(lián)網(wǎng)現(xiàn)有的各類網(wǎng)絡(luò)攻擊風(fēng)險引入5G網(wǎng)絡(luò)。5G密結(jié)合：增強(qiáng)寬帶（eMBB）場景超大流量、超高速率的特性使得現(xiàn)有網(wǎng)絡(luò)中部署的防火墻、入侵檢測系統(tǒng)等安全設(shè)備在流量檢測、鏈路覆蓋等方面的安全防護(hù)能力面臨較大挑戰(zhàn)；超高可靠低時延（uRLLC）場景需要提供高可靠低時延的服務(wù)質(zhì)量保障，給業(yè)務(wù)接入認(rèn)證、數(shù)據(jù)傳輸安全保護(hù)等環(huán)節(jié)安全機(jī)制部署帶來挑戰(zhàn)；海量機(jī)器類通信（mMTC）場景下接入終端數(shù)量龐大，同時接入給網(wǎng)絡(luò)帶來運(yùn)行風(fēng)險，且功耗低、計算和存儲資源有限等情況，使得較強(qiáng)安5G步涌現(xiàn)，其安全風(fēng)險與垂直領(lǐng)域自身特點(diǎn)高度相關(guān)，需分行業(yè)、分5G5G應(yīng)用安全特點(diǎn)5G與物之間智能互聯(lián)，應(yīng)用場景從互聯(lián)網(wǎng)拓展到工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等更多領(lǐng)域。5G5G行業(yè)應(yīng)用（1）5GMECMEC（2）5G新技術(shù)安全需求：5G中使用了虛擬化、網(wǎng)絡(luò)切片、MEC等新技術(shù)，大量使用虛擬化等IT5G5G傳輸，行業(yè)對自身的業(yè)務(wù)數(shù)據(jù)控制能力減弱，可能會帶來數(shù)據(jù)泄露風(fēng)險。安全運(yùn)維管理需求：將原本較封閉的企業(yè)網(wǎng)絡(luò)將變得較為開放，且引入了大量新技術(shù)和新運(yùn)維對象，對安全管理、運(yùn)維管理都帶來新的安全風(fēng)險和挑戰(zhàn)。5G5G題不僅會影響人和人之間的通信，還將會影響到各行各業(yè)，有些場景甚至可能威脅到人們的生命財產(chǎn)安全乃至國家安全。全行業(yè)應(yīng)樹5G5G5G5G5G5G安全風(fēng)險評估及工具箱20193265G5G（ENISA）201910月5G5G護(hù)和采購5GENISA于2019年115G2020129（NISCG）發(fā)布了5G（）5G81110了各成員國具體實(shí)施風(fēng)險消減措施的流程和方式。其中戰(zhàn)略措施用于增加監(jiān)管機(jī)構(gòu)審查網(wǎng)絡(luò)采購和部署情況的監(jiān)管權(quán)力的措施，以及5G網(wǎng)5G應(yīng)商流程及設(shè)備認(rèn)證、韌性和可持續(xù)性等；支撐行動從審查或制定5G信息共享機(jī)制等方面，協(xié)助戰(zhàn)略與技術(shù)措施的執(zhí)行，以便風(fēng)險消減措施有效落地。工具箱用于解決包括與非技術(shù)因素風(fēng)險在內(nèi)的所有已評估出的風(fēng)險，對歐盟整個單一市場和歐盟的技術(shù)主權(quán)具有戰(zhàn)略重要性。為了促進(jìn)工具箱的落實(shí)，基于歐盟電子通信準(zhǔn)則（EECC），歐202012EECC5G5G美國NIST5G安全實(shí)踐指南20212（NIST）5G網(wǎng)絡(luò)SP1800-33旨在定義底層基礎(chǔ)設(shè)施、技術(shù)架構(gòu)和組件等安全屬性，利用現(xiàn)有網(wǎng)NIST5G5G于設(shè)計和開發(fā)解決方案的早期階段，隨著NIST對草案逐步更新，并將發(fā)布其他冊以供行業(yè)參考。該實(shí)踐指南旨在5GGSMA網(wǎng)絡(luò)設(shè)備安全保障框架為促進(jìn)產(chǎn)業(yè)對網(wǎng)絡(luò)設(shè)備的安全性達(dá)成共識，滿足通信領(lǐng)域利益相關(guān)方在5G時代對安全評估的訴求，全球移動通信系統(tǒng)協(xié)會(GSMA)聯(lián)合第三代合作伙伴計劃(3GPP)共同發(fā)布網(wǎng)絡(luò)設(shè)備安全保障計劃(NESAS)，旨在制定業(yè)界認(rèn)同的通用安全基線，推進(jìn)通信領(lǐng)域全球產(chǎn)業(yè)界的安全合作互信，聯(lián)合各國運(yùn)營商、設(shè)備商等產(chǎn)業(yè)鏈利益相關(guān)方共同推進(jìn)5G安全建設(shè)。NESAS提供了統(tǒng)一、有效的通信行業(yè)網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)，為運(yùn)營商、設(shè)備商、政府監(jiān)管機(jī)構(gòu)、應(yīng)用服務(wù)提供商等利益相關(guān)方保障5G網(wǎng)絡(luò)安全提供了有價值的參考。表2.1GSMANESAS標(biāo)準(zhǔn)文檔體系類別標(biāo)準(zhǔn)內(nèi)容GSMAFS系列FS.13NESAS總體概述FS.14檢測實(shí)驗室認(rèn)證需求及流程FS.15設(shè)備商開發(fā)及產(chǎn)品全生命周期審計方法FS.16設(shè)備商開發(fā)及產(chǎn)品全生命周期審計要求3GPPSCAS系列TR33.805網(wǎng)絡(luò)產(chǎn)品安全保障方法研究與選擇TR33.916網(wǎng)絡(luò)產(chǎn)品安全保障方法論TR33.9263GPP網(wǎng)元產(chǎn)品威脅和重要資產(chǎn)TS33.5115G基站gNB安全保障規(guī)范TS33.512AMF網(wǎng)元（接入和移動性管理功能）安全保障規(guī)范TS33.513UPF網(wǎng)元（用戶面功能）安全保障規(guī)范TS33.514UDM網(wǎng)元（統(tǒng)一數(shù)據(jù)管理功能）安全保障規(guī)范TS33.515SMF網(wǎng)元（會話管理功能）安全保障規(guī)范TS33.516AUSF網(wǎng)元（鑒權(quán)服務(wù)功能）安全保障規(guī)范TS33.517SEPP網(wǎng)元（安全邊緣保護(hù)代理功能）安全保障規(guī)范TS33.518NRF網(wǎng)元（網(wǎng)絡(luò)存儲功能）安全保障規(guī)范TS33.519NEF網(wǎng)元（網(wǎng)絡(luò)開放功能）安全保障規(guī)范TS33.520N3IWF網(wǎng)元（非3GPP互通功能）安全保障規(guī)范TS33.521NWDAF網(wǎng)元（網(wǎng)絡(luò)數(shù)據(jù)分析功能）安全保障規(guī)范TS33.522SCP網(wǎng)元（服務(wù)通信代理功能）安全保障規(guī)范TS33.326NSSAAF網(wǎng)元（網(wǎng)絡(luò)切片特定認(rèn)證和授權(quán)功能）安全保障規(guī)范TR33.818虛擬化網(wǎng)絡(luò)產(chǎn)品安全保障方法和安全保障規(guī)范標(biāo)準(zhǔn)GSMANESASSCAS試，其中NESAS4個標(biāo)準(zhǔn)2.1）。SCAS安全保障規(guī)范是3GPP推出的電信產(chǎn)品的安全要求和測試用例，分析5G414（2.1）NESAS和檢測，設(shè)備廠商可以對產(chǎn)品的安全能力進(jìn)行證明，運(yùn)營商符合標(biāo)5G5G國內(nèi)相關(guān)工作5G5G安全工作，從政策、標(biāo)準(zhǔn)、技術(shù)等方面持續(xù)完善安全保障措施，統(tǒng)5G5G202035G5G5G5GIMT-2020(5G)5G5G網(wǎng)絡(luò)5G5G鏈各環(huán)節(jié)客觀認(rèn)識和應(yīng)對5G安全問題提供技術(shù)指引。此外，在2021795G應(yīng)用“”（2021-2023年）5G5G5G3GPPSA3，GSMANESAS等國際標(biāo)準(zhǔn)進(jìn)展，依托IMT-2020(5G)推進(jìn)組安全TC260TC485、CCSA5G5G（MEC）安全、切5G5G5G3GPP5G5G5G5G“5G安全測評中心5G5G括終端接入安全、基站/核心網(wǎng)設(shè)備安全、通信協(xié)議安全、網(wǎng)絡(luò)切片5G2021555GIMT-2020（5G）GSMA推動5G“綻放杯”5G5G應(yīng)4005G5G5G5G5G心創(chuàng)建工作，引導(dǎo)基礎(chǔ)電信企業(yè)、設(shè)備企業(yè)、安全企業(yè)和相關(guān)科研機(jī)構(gòu)以“團(tuán)體賽”模式加強(qiáng)5G安全能力建設(shè)和示范工作，推動標(biāo)準(zhǔn)化、模塊化、可復(fù)制、易推廣的5G應(yīng)用安全解決方案和最佳實(shí)踐在重點(diǎn)行業(yè)落地普及。5G5G網(wǎng)絡(luò)安全范圍5GeMBBuRLLCmMTC求，也需要為各種應(yīng)用場景提供差異化的安全服務(wù)。虛擬化、網(wǎng)絡(luò)MIMO5G4G5G基礎(chǔ)設(shè)施安全：5G網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全主要包括終端、接入網(wǎng)、邊緣、核心網(wǎng)和支撐管理平臺等設(shè)施的安全，而端到端網(wǎng)絡(luò)切5G進(jìn)行資源編排、網(wǎng)絡(luò)隔離以及網(wǎng)元功能劃分等方式組成，也可以認(rèn)5G數(shù)據(jù)安全：5G數(shù)據(jù)通常包括與用戶相關(guān)的身份標(biāo)識信息、網(wǎng)絡(luò)位置信息、業(yè)務(wù)數(shù)據(jù)，以及網(wǎng)絡(luò)設(shè)備信息、管理運(yùn)營等網(wǎng)絡(luò)資5G5G實(shí)現(xiàn)設(shè)備資產(chǎn)清晰、網(wǎng)絡(luò)運(yùn)行穩(wěn)定有序、事件處理及時合理和安全措施落實(shí)到位，從而提升網(wǎng)絡(luò)支撐能力，提高網(wǎng)絡(luò)管理水平。運(yùn)維5GNFV5G安全運(yùn)維的對象主要為NFVMEC5G5G等進(jìn)行安全管理，并按照“三同步”要求滿足行業(yè)安全監(jiān)管要求，包括安全風(fēng)險評估、產(chǎn)品生命周期管理與檢測、安全定級備案、威脅與漏洞管理、應(yīng)急響應(yīng)等。包括網(wǎng)絡(luò)隔離、密碼算法、訪問控制、隱私保護(hù)、態(tài)勢感知以及安5G資產(chǎn)

圖3-15G安全范圍視圖5G5GL1L2L33L15G網(wǎng)/NFV、Hypervisor/K8s/docker、SDN、數(shù)據(jù)庫以及安全組件，這些軟硬件是L25GL2層主要包括5G網(wǎng)、MEC、核心網(wǎng)、切片、安全管理、運(yùn)維管理、互聯(lián)互通等，主要資產(chǎn)由通信設(shè)備商提供，由運(yùn)營商進(jìn)行建設(shè)、運(yùn)營和維護(hù)；L35GAPP臺等，相關(guān)應(yīng)用由運(yùn)營商、互聯(lián)網(wǎng)服務(wù)提供商以及垂直行業(yè)提供。5GL2L3L1L25GNFV描述方式

圖3-25G知識庫描述范圍5G網(wǎng)絡(luò)安全知識庫采用表3-1的方式進(jìn)行描述，主要包括措施編號、措施名稱、安全需求、措施作用（CIA）、措施詳細(xì)描述、作用資產(chǎn)、實(shí)施主體、是否有標(biāo)準(zhǔn)要求以及實(shí)施難度等方面。表3-15G網(wǎng)絡(luò)安全知識庫描述方式措施編號安全措施的縮略語—序號措施名稱安全措施的名稱安全需求描述該安全措施滿足哪些5G安全需求措施作用（CIA）描述安全措施措施在機(jī)密性（Confidentiality）、完整性（Integrity）和可用性（Availability）方面的安全作用。機(jī)密性完整性可用性措施詳細(xì)描述措施編號+子序號：安全子措施的詳細(xì)實(shí)施情況。作用資產(chǎn)安全措施作用于哪些5G資產(chǎn)（具體資產(chǎn)參考圖3-2）。實(shí)施主體運(yùn)營商措施編號+子序號設(shè)備廠商措施編號+子序號服務(wù)提供商措施編號+子序號監(jiān)管部門措施編號+子序號安全廠商措施編號+子序號是否已有標(biāo)準(zhǔn)要求是/否標(biāo)準(zhǔn)名稱國際和國內(nèi)發(fā)布相關(guān)標(biāo)準(zhǔn)名稱實(shí)施難度通過5級區(qū)分本措施在相關(guān)資產(chǎn)實(shí)施的難以程度?；疑糠衷蕉啵胧?shí)施難度越大，實(shí)施主體需要更多的CAPEX和OPEX投入。描述內(nèi)容5G3-13-2L28453-3施見附錄A。圖3-35G網(wǎng)絡(luò)安全知識庫措施描述內(nèi)容5G5G融合應(yīng)用安全特點(diǎn)5G為了保障5G+行業(yè)應(yīng)用的安全部署、運(yùn)行和管理，IMT-2020（5G）2020105G5G本需求和行業(yè)網(wǎng)絡(luò)高級安全需求。其中基本需求主要是業(yè)務(wù)場景、安全保障目標(biāo)與傳統(tǒng)公眾通信網(wǎng)絡(luò)相同的安全需求，通過繼承當(dāng)前通信網(wǎng)絡(luò)安全保障技術(shù)可滿足。高級安全場景是為應(yīng)對新的業(yè)務(wù)場景、高資產(chǎn)價值帶來的安全風(fēng)險，在基本需求基礎(chǔ)之上的安全需求，需提供更高的安全保障能力才能滿足。安全需求主要包括終端身份安全和訪問授權(quán)、網(wǎng)絡(luò)安全隔離、數(shù)據(jù)機(jī)密性和完整性、無線接口通信安全、隱私安全、網(wǎng)絡(luò)韌性、網(wǎng)絡(luò)設(shè)備安全可信、技術(shù)自主可4-15G5G網(wǎng)絡(luò)安全知識庫是為應(yīng)用提供一張安全的基礎(chǔ)網(wǎng)絡(luò)，但5G網(wǎng)絡(luò)承載的行業(yè)應(yīng)用因業(yè)務(wù)場景特點(diǎn)、組網(wǎng)方式和安全要求不同，針對CIA要求高可用性、數(shù)據(jù)不出園區(qū)保護(hù)本地網(wǎng)絡(luò)和數(shù)據(jù)安全，智慧醫(yī)療場景要求高度的用戶隱私數(shù)據(jù)保護(hù)，車聯(lián)網(wǎng)要求匿名認(rèn)證、防跟蹤等措施保護(hù)用戶隱私，智慧電力場景要求嚴(yán)格的網(wǎng)絡(luò)隔離確保生產(chǎn)業(yè)務(wù)安全。通常5G+行業(yè)應(yīng)用重點(diǎn)涉及以下幾個維度的安全問題：（1）5G5G網(wǎng)絡(luò)是否足夠安全、可靠的承載應(yīng)用業(yè)務(wù)，例如運(yùn)營商是否能配置足夠安全的網(wǎng)絡(luò)切片供多垂直行業(yè)用戶使用、本地邊緣平臺的數(shù)據(jù)防5G85G表4-15G融合應(yīng)用安全需求需求分類基本需求行業(yè)網(wǎng)絡(luò)高級安全需求終端身份安全和訪問授權(quán)終端身份安全存儲、和網(wǎng)絡(luò)進(jìn)行雙向認(rèn)證終端身份和設(shè)備綁定網(wǎng)絡(luò)分域、安全隔離安全域間技術(shù)隔離數(shù)據(jù)不出園區(qū)不同安全等級業(yè)務(wù)數(shù)據(jù)隔離數(shù)據(jù)機(jī)密性和完整性保護(hù)通過密碼算法保障業(yè)務(wù)數(shù)據(jù)傳輸和敏感數(shù)據(jù)存儲的機(jī)密性和完整性端到端業(yè)務(wù)數(shù)據(jù)傳輸機(jī)密性、完整性保護(hù)無線接口通信保護(hù)無線接口數(shù)據(jù)的機(jī)密性、完整性抗量子算法保障機(jī)密性、完整性防御非法網(wǎng)絡(luò)劫持保障網(wǎng)絡(luò)免受無線電干擾檢測和識別未經(jīng)授權(quán)的無線設(shè)備檢測和防御無線接口（D）DoS攻擊隱私保護(hù)規(guī)中隱私保護(hù)要求的落實(shí)無線接口隱私保護(hù)、防跟蹤網(wǎng)絡(luò)韌性網(wǎng)絡(luò)集中管理，檢測攻擊后上報安全告警、安全/操作日志支持審計等對APT(高級持續(xù)性威脅)攻擊、未知威脅的防御和態(tài)勢感知；對于有業(yè)務(wù)連續(xù)性要求的關(guān)鍵業(yè)務(wù)，在攻擊發(fā)生時需保持核心業(yè)務(wù)的運(yùn)行，以及其他業(yè)務(wù)的快速恢復(fù)網(wǎng)絡(luò)設(shè)備安全可信物理安全、接口訪問控具備基于硬件可信根的安全可信鏈，保障從系統(tǒng)啟動到動態(tài)運(yùn)行的系統(tǒng)可信技術(shù)自主可控3GPP信標(biāo)準(zhǔn)和設(shè)備準(zhǔn)入標(biāo)準(zhǔn)在關(guān)系國家安全的網(wǎng)絡(luò)中，需使用國密算法等自主可控技術(shù)保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全產(chǎn)品生命周期安全3GPP信標(biāo)準(zhǔn)和設(shè)備準(zhǔn)入標(biāo)準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施通信網(wǎng)絡(luò)產(chǎn)品在產(chǎn)品設(shè)計、實(shí)現(xiàn)、運(yùn)行、運(yùn)維全生命周期構(gòu)建可信設(shè)備能力網(wǎng)絡(luò)邊界安全防護(hù)。5G虛擬專網(wǎng)、共享切片、資源云化等行業(yè)應(yīng)用的服務(wù)模式導(dǎo)致出現(xiàn)更多虛擬網(wǎng)絡(luò)邊界（例如邊緣計算云平臺上的虛擬資源之間、APP之間等），運(yùn)營商與垂直行業(yè)之間需要明確在混合組網(wǎng)、共享云平臺等場景下的安全責(zé)任邊界劃分，并在物理邊界和虛擬邊界部署入侵檢測、安全隔離等安全防護(hù)措施。3GPP5GAPI接口對外部提供調(diào)度、流控、監(jiān)控、安全保障等管控能力，但網(wǎng)絡(luò)能力開放也導(dǎo)致北向接口的管理和傳輸面臨安全風(fēng)險，需要通過認(rèn)證鑒權(quán)、安全傳輸?shù)确雷o(hù)措施對5G網(wǎng)絡(luò)。CIA（完整性和可用性來看，5G障垂直行業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸、交換和存儲的信息的機(jī)密性、完整性，不被未經(jīng)授權(quán)的篡改、泄露和破壞，同時，保障系統(tǒng)連續(xù)可5G安全原子能力集5G+5GSeCAP）進(jìn)行原子化分解，并通過靈活的管5G應(yīng)用安全知5G9535G+，提供細(xì)粒度、可定制、原子化、可編排的安全能力參考。SeCAP-1安全能力編號SeCAP-1能力名稱端到端網(wǎng)絡(luò)切片隔離能力安全能力目標(biāo)5G5G多個層面為行業(yè)應(yīng)用提供安全的傳輸通道。能力詳細(xì)描述SeCAP-1-1：5GRAN為應(yīng)用業(yè)務(wù)流提供無線資源分配機(jī)制，包括不限于專用無線資源分配、基于SLA服務(wù)等級的無線資源調(diào)度、共享的無線資源調(diào)度等方式。SeCAP-1-2：5G傳輸網(wǎng)為應(yīng)用業(yè)務(wù)數(shù)據(jù)提供承載隔離機(jī)制，包括但不限于Flex-E硬隔離、VPN軟隔離等。SeCAP-1-3：5G核心網(wǎng)為行業(yè)用戶提供網(wǎng)絡(luò)功能切片隔離機(jī)制，包括不限于完全專用切片（NF獨(dú)享）、部分邏輯共享切片（共享部分NF）、共享切片（共享所有NF）。對于安全性和隔離性要求較高的切片，可單獨(dú)部署vDC和主機(jī)組進(jìn)行物理隔離，對于安全性和隔離性要求一般的切片，可規(guī)劃單獨(dú)的vDC，共用主機(jī)組進(jìn)行邏輯隔離。SeCAP-1-4：5G參考下表。端到端位置基本切片隔離低安全需求場景中等切片隔離中安全需求場景高級切片隔離高安全需求場景RANQoS優(yōu)先級、無線資源共享QoS+資源預(yù)留載頻獨(dú)享的專用基站或小區(qū)傳輸VPN隔離+QoS隔離調(diào)度FlexE接口隔離+VPN隔離FlexE接口隔離+FlexE交叉5GCToB大網(wǎng)NF共享SMF/UPF邏輯資源獨(dú)占專享+其他網(wǎng)元共享SMF/UPF物理資源獨(dú)占專享所需的安全措施NS-2,NS-3,NS-4垂直行業(yè)主體措施VER-SeCAP-1-1：明確5G行業(yè)應(yīng)用場景，以及行業(yè)應(yīng)用場景的網(wǎng)絡(luò)安全隔離要求（如物理/邏輯網(wǎng)絡(luò)隔離、單向隔離等），并分析相應(yīng)業(yè)務(wù)場景的隔離要求與5G切片安全隔離的對應(yīng)關(guān)系，選擇合適的5G端到端切片隔離組合方案。SeCAP-2安全能力編號SeCAP-2能力名稱網(wǎng)絡(luò)邊界安全防護(hù)能力安全能力目標(biāo)5G網(wǎng)絡(luò)提供運(yùn)營商資產(chǎn)與垂直行業(yè)網(wǎng)絡(luò)資產(chǎn)（包括服務(wù)器、交換機(jī)等物理資產(chǎn)，也包括在物理資源商的應(yīng)用、數(shù)據(jù)等虛擬資產(chǎn)）之間應(yīng)安全邊界防護(hù)能力，保障網(wǎng)絡(luò)邊界安全。能力詳細(xì)描述SeCAP-2-1：5G網(wǎng)絡(luò)數(shù)據(jù)面出口（如UPF與垂直行業(yè)DN）之間部署邊界防火墻和訪問控制設(shè)備。SeCAP-2-2：5G網(wǎng)絡(luò)對外開放功能（如NEF）為垂直行業(yè)提供服務(wù)時，其接口應(yīng)采用鑒權(quán)認(rèn)證機(jī)制。SeCAP-2-3：運(yùn)營商切片管理平臺等如果對垂直行業(yè)開放，在對外接口采用鑒權(quán)認(rèn)證機(jī)制。SeCAP-2-4：運(yùn)營商MEC平臺提供對垂直行業(yè)的訪問接口時，采用鑒權(quán)認(rèn)證機(jī)制。SeCAP-2-5UPFMEPMECAPPAPP虛擬防火墻進(jìn)行隔離。SeCAP-2-6：MEC平臺內(nèi)部應(yīng)為服務(wù)于不同行業(yè)應(yīng)用APP（制機(jī)制等）。所需的安全措施CN-2,CN-4,MEC-5,MEC-6,MEC-7,MEC-8垂直行業(yè)主體措施VER-SeCAP-2-15G護(hù)措施，如通過網(wǎng)閘、正反向隔離裝置等對CT與域進(jìn)行通信隔離。VER-SeCAP-2-2：垂直行業(yè)在網(wǎng)絡(luò)邊界上部署流量監(jiān)測和防護(hù)措施，通過設(shè)置黑白名單、異常流量識別等機(jī)制對可能來自5G網(wǎng)絡(luò)的非法訪問和攻擊流量進(jìn)行識別和過濾。SeCAP-3安全能力編號SeCAP-3能力名稱增強(qiáng)的終端接入認(rèn)證能力安全能力目標(biāo)5G網(wǎng)絡(luò)提供滿足行業(yè)需求的認(rèn)證鑒權(quán)能力，保障垂直行業(yè)終端接入5G網(wǎng)絡(luò)的合法性。能力詳細(xì)描述SeCAP-3-1：5G3GPPEPS-AKA’5G-AKA認(rèn)證機(jī)制對終端接入進(jìn)行認(rèn)證。SeCAP-3-2：5G網(wǎng)絡(luò)支持二次認(rèn)證機(jī)制，實(shí)現(xiàn)行業(yè)終AAA包含的用戶身份認(rèn)證信息，可通過MPLSVPN或IPSec專線進(jìn)行保護(hù)。SeCAP-3-3：5G網(wǎng)絡(luò)提供GBA認(rèn)證機(jī)制，智能終端或網(wǎng)關(guān)可通過GBA機(jī)制與外部AAA進(jìn)行認(rèn)證。SeCAP-3-4：5G網(wǎng)絡(luò)提供AKMA認(rèn)證機(jī)制，通過AUSF與外部AAA生成KAF，并使用密鑰進(jìn)行數(shù)據(jù)完整性和機(jī)密性保護(hù)。SeCAP-3-5：5G網(wǎng)絡(luò)提供SECAPIF框架下的5G功能5GAPI進(jìn)行認(rèn)證鑒權(quán)。SeCAP-3-6：5G網(wǎng)絡(luò)提供UDM定制化能力，在專網(wǎng)場景下實(shí)現(xiàn)對行業(yè)特定用戶的認(rèn)證鑒權(quán)過程。SeCAP-3-7：5G網(wǎng)絡(luò)支持定制DNN及切片，終端號碼簽約行業(yè)定制DNN+切片，UPF僅支持該DNN及切片接入，實(shí)現(xiàn)僅允許授權(quán)用戶接入用戶網(wǎng)絡(luò)功能。SeCAP-3-8：終端內(nèi)置專用安全芯片、SIM卡、SDK等，實(shí)現(xiàn)終端與5G應(yīng)用之間的安全認(rèn)證與數(shù)據(jù)傳輸加密。SeCAP-3-9：支持基于電子圍欄的終端安全接入能力，通過對AMF進(jìn)行小區(qū)TA和終端綁定配置，實(shí)現(xiàn)專網(wǎng)只允許合法授權(quán)終端接入。SeCAP-3-10：通過部署零信任安全網(wǎng)關(guān)進(jìn)行終端接入統(tǒng)一的認(rèn)證管理，避免非法設(shè)備接入進(jìn)行攻擊、竊聽，建立基于環(huán)境和行為感知的持續(xù)動態(tài)認(rèn)證和權(quán)限控制。所需的安全措施MT-3,MT-4,RN-3,MEC-5,CN-5,CN-7,CN-8,NS-1垂直行業(yè)主體措施VER-SeCAP-2-1：垂直行業(yè)終端設(shè)備支持二次認(rèn)證、GBA認(rèn)證、AKMA機(jī)制等增強(qiáng)安全接入認(rèn)證能力，并具備符合AKA的二次認(rèn)證機(jī)制的外部AAA服務(wù)器。VER-SeCAP-2-2：垂直行業(yè)根據(jù)其接入認(rèn)證算法、流程、參數(shù)需求，與運(yùn)營商確定增強(qiáng)認(rèn)證機(jī)制的實(shí)現(xiàn)方案，例如5G網(wǎng)絡(luò)是否支持定制化的認(rèn)證算法和流程、電子圍欄位置粒度、安全SIM卡的算法和密鑰長度等。SeCAP-4安全能力編號SeCAP-4能力名稱開放的網(wǎng)絡(luò)配置和安全管控能力安全能力目標(biāo)5G網(wǎng)絡(luò)通過集中化對外管理開放平臺，為垂直行業(yè)提供開放的網(wǎng)絡(luò)管理、配置和管控能力，垂直行業(yè)能對其行業(yè)用戶的業(yè)務(wù)情況進(jìn)行監(jiān)測和流量策略進(jìn)行管理，并能共享運(yùn)營商提供的安全服務(wù)。能力詳細(xì)描述SeCAP-4-1：5G3GPP定義的CAPIF框架，提供對垂直行業(yè)的開放能力。SeCAP-4-2：5G網(wǎng)絡(luò)切片管理系統(tǒng)提供對外的切片管理開放能力，為行業(yè)用戶提供切片編排、資源分配以及切片運(yùn)行狀態(tài)監(jiān)控等能力。SeCAP-4-3：5GQoS服務(wù)質(zhì)量等。SeCAP-4-4：5G控制和流量路由（如路由到本地）。SeCAP-4-5：5GDDoS安全檢測、惡意域名/URL告警（DoS）5G置能力。SeCAP-4-65G基于NWDAF5G垂直行業(yè)開放終端異常行為分析的異常等。SeCAP-4-7：為垂直行業(yè)提供操作系統(tǒng)、數(shù)據(jù)庫和路審計的基線檢查能力，幫助垂直行業(yè)識別安全風(fēng)險。所需的安全措施MEC-7,CN-2,CN-4,NS-4垂直行業(yè)主體措施VER-SeCAP-4-1：與運(yùn)營商溝通開放能力需求，約束各方的能力調(diào)用方法和安全責(zé)任。VER-SeCAP-4-2：參與制定開放能力的技術(shù)標(biāo)準(zhǔn)，明確開放接口的安全要求。SeCAP-5/安全能力編號SeCAP-5能力名稱本地園區(qū)/邊緣平臺的數(shù)據(jù)安全防護(hù)能力安全能力目標(biāo)針對行業(yè)園區(qū)數(shù)據(jù)安全防護(hù)需求，5G網(wǎng)絡(luò)邊緣云平臺提供基礎(chǔ)的安全網(wǎng)絡(luò)環(huán)境，通過差異化的訪問控制和可靠的數(shù)據(jù)安全保護(hù)措施，保護(hù)園區(qū)專網(wǎng)安全，確保業(yè)務(wù)數(shù)據(jù)不出園區(qū)。能力詳細(xì)描述SeCAP-5-1：5G網(wǎng)絡(luò)提供對邊緣平臺的訪問控制、態(tài)勢感知、邊界隔離等安全防護(hù)措施，支持過濾鏈路層、網(wǎng)絡(luò)層、傳輸層非法報文,防止邊緣平臺業(yè)務(wù)被非法訪問。SeCAP-5-2：5G園區(qū)UPF與垂直行業(yè)網(wǎng)絡(luò)連接，例如專線、L2TP/IPSec輸、VxLAN等。SeCAP-5-35GMEP采用微服務(wù)隔離、VLAN隔離、vFW等機(jī)制，MECvFW，實(shí)現(xiàn)行業(yè)APPMEC的安全防護(hù)。SeCAP-5-4：5G邊緣UPF應(yīng)支持面向垂直行業(yè)用戶的獨(dú)立部署，提供不同業(yè)務(wù)類別的流量控制和隔離能力，防止局部業(yè)務(wù)種類受到攻擊影響所有業(yè)務(wù)。SeCAP-5-5：行業(yè)應(yīng)用APP支持與MEP、UPF使用虛擬防火墻實(shí)施隔離。SeCAP-5-6：邊緣MEP應(yīng)提供對APP數(shù)據(jù)的安全存5GMEP中加密存儲。SeCAP-5-7：5GRANUPFIPSec傳輸通道保護(hù)行業(yè)本地數(shù)據(jù)傳輸安全。SeCAP-5-8：支持采用獨(dú)享式UPF，網(wǎng)絡(luò)側(cè)配置數(shù)據(jù)ULCL分流策略，本地做分流規(guī)則自檢與IP/FQDN一致性檢查，保證本地分流數(shù)據(jù)不出企業(yè)。SeCAP-5-92UPF業(yè)數(shù)據(jù)冗余安全。SeCAP-5-10：在園區(qū)與外網(wǎng)之間通過防火墻DPI能力識別流量業(yè)務(wù)類型，監(jiān)控所有出園區(qū)的數(shù)據(jù)流量是否包括業(yè)務(wù)數(shù)據(jù)，若發(fā)現(xiàn)數(shù)據(jù)出園區(qū)則產(chǎn)生告警事件，并能快速隔離阻斷、恢復(fù)。所需的安全措施MEC-2,MEC-3,MEC-4,MEC-5,MEC-6,MEC-7,MEC-8,CN-3,CN-4,NS-2,NS-3,DAT-1,DAT-2,DAT-3垂直行業(yè)主體措施VER-SeCAP-4-1：構(gòu)建園區(qū)行業(yè)內(nèi)網(wǎng)DNN，通過專線、L2TP/IPSec隧道傳輸、VxLAN等與運(yùn)營商UPF進(jìn)行網(wǎng)絡(luò)連接。VER-SeCAP-4-2：依賴運(yùn)營商5G網(wǎng)絡(luò)開放能力，從運(yùn)營商MEC側(cè)獲取網(wǎng)絡(luò)開放數(shù)據(jù)，實(shí)現(xiàn)對垂直行業(yè)數(shù)據(jù)流量和終端情況的安全監(jiān)測。SeCAP-6安全能力編號SeCAP-6能力名稱面向行業(yè)應(yīng)用的安全監(jiān)測能力安全能力目標(biāo)5G網(wǎng)絡(luò)提供對行業(yè)應(yīng)用的安全監(jiān)測和預(yù)警能力，能夠?qū)π袠I(yè)應(yīng)用數(shù)據(jù)的安全、行業(yè)平臺通過開放API訪問5G網(wǎng)絡(luò)等情況進(jìn)行安全監(jiān)測。能力詳細(xì)描述SeCAP-6-1：5G網(wǎng)絡(luò)提供對UPF時特征進(jìn)行檢測，識別UPFDNSeCAP-6-25GAPIAPI行為。SeCAP-6-3MEPAPIMEC擊等。SeCAP-6-45G場景下的用戶行為分析UEBA，5G網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)節(jié)點(diǎn)的異常行為，實(shí)現(xiàn)對未知威脅的發(fā)現(xiàn)和監(jiān)測。SeCAP-6-5：5G網(wǎng)絡(luò)能將安全監(jiān)測的結(jié)果通過自動化的方式開放給垂直行業(yè)。所需的安全措施MEC-9,NS-4,INT-4,OM-7,DAT-3垂直行業(yè)主體措施VER-SeCAP-6-1：構(gòu)建應(yīng)用安全監(jiān)測平臺，通過網(wǎng)絡(luò)能力開放，與運(yùn)營5G商網(wǎng)絡(luò)進(jìn)行互通，對關(guān)鍵資產(chǎn)、數(shù)據(jù)和應(yīng)用情況進(jìn)行安全監(jiān)測。VER-SeCAP-6-2：使用運(yùn)營商安全監(jiān)測平臺能力，監(jiān)控應(yīng)用安全風(fēng)險和事件。SeCAP-75G安全能力編號SeCAP-7能力名稱基于蜜罐技術(shù)的5G安全防護(hù)能力安全能力目標(biāo)5G網(wǎng)絡(luò)提供蜜罐防御技術(shù)，通過對攻擊者的誘騙實(shí)現(xiàn)攻擊行為的精確感知和深度分析，以便及時調(diào)整安全防護(hù)措施，防患攻擊者對5G網(wǎng)絡(luò)的滲透攻擊。能力詳細(xì)描述SeCAP-7-1：在5G核心網(wǎng)、MEC等節(jié)點(diǎn)部署探針，將異常訪問流量重定向至與探針關(guān)聯(lián)的蜜罐服務(wù)中，實(shí)現(xiàn)網(wǎng)絡(luò)層欺騙。SeCAP-7-2：在5G網(wǎng)絡(luò)中部署蜜罐節(jié)點(diǎn)（如核心網(wǎng)網(wǎng)元、MECAPP等），針對捕獲到的網(wǎng)絡(luò)攻擊者的異常流量，結(jié)合大數(shù)據(jù)分析、云計算、AI智能等技術(shù)，從而精確的感知攻擊者行為，通過欺騙技術(shù)發(fā)現(xiàn)攻擊者，收集和捕獲攻擊行為，追溯攻擊來源，方便安全員做出及時的安全響應(yīng)。所需的安全措施RN-3,MEC-9垂直行業(yè)主體措施VER-SeCAP-7-1：與運(yùn)營商合作構(gòu)建蜜罐安全模型，并通過SeCAP-6相關(guān)能力，對面向行業(yè)應(yīng)用的安全攻擊等進(jìn)行識別發(fā)現(xiàn)和處理應(yīng)對。SeCAP-8安全能力編號SeCAP-8能力名稱服務(wù)于多租戶的虛擬專網(wǎng)能力安全能力目標(biāo)針對多行業(yè)客戶的服務(wù)需求，在5G基礎(chǔ)網(wǎng)絡(luò)上搭建5G虛擬專網(wǎng)，為不同客戶提供隔離的安全通道，并通過統(tǒng)一的安全管控能力為不同客戶提供安全管控服務(wù)。能力詳細(xì)描述SeCAP-8-1：5G能對客戶進(jìn)行不同級別的訪問權(quán)限劃分。SeCAP-8-2：通過配置網(wǎng)段、NATIPSecoverVxLAN隧道的建立多客戶網(wǎng)絡(luò)之間可通過建立隧道進(jìn)行數(shù)據(jù)傳輸隔離。SeCAP-8-3：5GDDOS，NDR、IDS、AAA等。SeCAP-8-4：5GDNNAPN接入點(diǎn)接入垂直行業(yè)內(nèi)網(wǎng)，與公網(wǎng)隔離，確保網(wǎng)絡(luò)傳輸通道安全、可靠。SeCAP-8-5：5G5G等服務(wù)能力。所需的安全措施MEC-3,MEC-4,CN-6,SM-1,OM-3,OM-4,OM-5,OM-6垂直行業(yè)主體措施VER-SeCAP-4-1：根據(jù)垂直行業(yè)內(nèi)網(wǎng)隔離與權(quán)限訪問策略，與運(yùn)營商進(jìn)行5G專網(wǎng)安全隔離和邊界防護(hù)規(guī)劃，明確垂直行業(yè)使用SeCAP-8能力的具體方式。VER-SeCAP-4-2：根據(jù)垂直行業(yè)對網(wǎng)絡(luò)安全管理的需求，向運(yùn)營商訂購SeCAP-8中相應(yīng)的安全服務(wù)。SeCAP-95G安全能力編號SeCAP-9能力名稱面向行業(yè)應(yīng)用的5G安全測評能力安全能力目標(biāo)重點(diǎn)對涉及業(yè)務(wù)應(yīng)用安全風(fēng)險、業(yè)務(wù)平臺安全風(fēng)險等風(fēng)險點(diǎn)和安全方案的保障能力進(jìn)行評估，重點(diǎn)發(fā)現(xiàn)存在安全風(fēng)險，對安全方案進(jìn)行完善。能力詳細(xì)描述SeCAP-9-1：依據(jù)國際和國內(nèi)相關(guān)標(biāo)準(zhǔn)（包括ISO/IEC27005、SP-800等）和模型（如805.X、STRIDE等），對5G網(wǎng)絡(luò)和應(yīng)用安全風(fēng)險情況進(jìn)行5G應(yīng)用面臨的安全風(fēng)險。SeCAP-9-2：5G網(wǎng)絡(luò)基于GSMANESAS和3GPPSCAS體系的設(shè)備安全保障測試。SeCAP-9-3：針對5G網(wǎng)絡(luò)和應(yīng)用業(yè)務(wù)特點(diǎn)，制定符DDoS非法接入、信令面/用戶面數(shù)據(jù)安全傳輸、UPF流量安全、切片隔離安全等。SeCAP-9-4：提供針對5G行業(yè)專網(wǎng)的安全滲透和攻防測試，驗證5G網(wǎng)絡(luò)能為行業(yè)終端接入、信令交互、網(wǎng)絡(luò)和切片隔離、應(yīng)用數(shù)據(jù)傳輸?shù)冗^程保證足夠的安全性。所需的安全措施SM-4垂直行業(yè)主體措施VER-SeCAP-9-1：與運(yùn)營商、設(shè)備廠商等合作制定垂直行業(yè)應(yīng)用安全需求的測試評估文檔，對各場景下的5G端到端安全能力進(jìn)行測試驗證。VER-SeCAP-9-25GSeCAP-9-2行安全保障測試。5G應(yīng)用安全最佳實(shí)踐模板5G安全原子能力組合，可以構(gòu)建出符合垂直行業(yè)業(yè)務(wù)需求的安全最佳實(shí)踐模板，這些模板具有可復(fù)制性，可以應(yīng)用于不同行業(yè)的業(yè)務(wù)場景，在邊界防護(hù)、數(shù)據(jù)隱私保護(hù)、訪問控制等方面提供一定的安全保障能力。本章節(jié)參考了“綻放杯”5G5G（SecurityTemplate,ST），為運(yùn)營商、垂直行業(yè)等開展5GST-IIot5G+模板編號ST-IIoT(SecurityTemplateforIndustrialIoT)模板名稱5G+工業(yè)互聯(lián)網(wǎng)安全模板核心安全需求1.工業(yè)接入終端類型多、數(shù)量大，需要防范大量終端仿冒接入引DDoS攻擊、終端被偽基站吸附導(dǎo)致數(shù)據(jù)泄露、終端跨地域/超閾值異常使用等安全問題。工業(yè)生產(chǎn)數(shù)據(jù)（尤其是本地園區(qū)數(shù)據(jù)）的安全防護(hù)。CT、IT、OT網(wǎng)絡(luò)具有相互獨(dú)立的安全體系，三類網(wǎng)絡(luò)融合組網(wǎng)環(huán)境下，需要通過精細(xì)化的網(wǎng)絡(luò)安全隔離對網(wǎng)絡(luò)邊界和數(shù)據(jù)通道進(jìn)行保護(hù)。工業(yè)互聯(lián)網(wǎng)協(xié)議復(fù)雜多樣，需要支持適配多種協(xié)議的安全監(jiān)測能力，實(shí)現(xiàn)對協(xié)議攻擊、網(wǎng)絡(luò)滲透等事件行為的監(jiān)測。模板介紹本模板為5G+工業(yè)互聯(lián)網(wǎng)提供安全能力集合，通過網(wǎng)絡(luò)隔離能力、安全監(jiān)測能力、終端接入能力等保障防止外部入侵攻擊園區(qū)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)，確保業(yè)務(wù)數(shù)據(jù)不出園區(qū)，實(shí)現(xiàn)對工業(yè)互聯(lián)網(wǎng)安全監(jiān)測和入侵防御。最佳安全原子能力集合SeCAP-1-1;SeCAP-1-2;SeCAP-1-3;SeCAP-1-4;SeCAP-2-1;SeCAP-2-5;SeCAP-2-6;SeCAP-3-1;SeCAP-3-2;SeCAP-3-7;SeCAP-3-9;SeCAP-3-10;SeCAP-5-1;SeCAP-5-2;SeCAP-5-3;SeCAP-5-4;SeCAP-5-5;SeCAP-5-7;SeCAP-5-8;SeCAP-5-9;SeCAP-5-10SeCAP-6-1;SeCAP-6-3;SeCAP-6-4;SeCAP-8-1;SeCAP-8-2;SeCAP-8-3;SeCAP-8-4;SeCAP-9-1;SeCAP-9-3;SeCAP-9-4安全模板視圖適用的行業(yè)場景大帶寬業(yè)務(wù)場景：VR/AR檢測大連接業(yè)務(wù)場景：PLC控制、工業(yè)傳感低時延、高可靠業(yè)務(wù)場景：遠(yuǎn)程機(jī)器人控制、CNC數(shù)控機(jī)床控制、AGV控制、自動配送ST-grid5G+模板編號ST-grid（SecurityTemplateforGrid）模板名稱5G+電力安全模板核心安全需求5G隔離、縱向認(rèn)證”的原則。多樣化電力業(yè)務(wù)安全隔離需求不同，需要5G網(wǎng)絡(luò)靈活劃分切片承載，特別是生產(chǎn)類業(yè)務(wù)需要嚴(yán)格的切片隔離措施（如物理隔離）。防范非法終端通過5G專網(wǎng)接入電力系統(tǒng)，竊取或篡改電力系統(tǒng)敏感信息。電力業(yè)務(wù)數(shù)據(jù)端到端的安全機(jī)密性和完整性保護(hù)。5G管理。模板介紹本模板為5G+電力業(yè)務(wù)提供安全能力集合，通過網(wǎng)絡(luò)隔離能力、安全監(jiān)測能力、終端接入能力、管理和安全開放能力、多租戶專網(wǎng)服務(wù)能力等重點(diǎn)解決電力差異化業(yè)務(wù)對5G網(wǎng)絡(luò)切片隔離安全需求，并增強(qiáng)電力終端接入認(rèn)證和邊緣平臺數(shù)據(jù)保護(hù)能力。最佳安全原子能力集合SeCAP-1-1;SeCAP-1-2;SeCAP-1-3;SeCAP-1-4SeCAP-2-1;SeCAP-2-2;SeCAP-2-3;SeCAP-2-4;SeCAP-2-5;SeCAP-2-6SeCAP-3-1;SeCAP-3-2;SeCAP-3-5;SeCAP-3-7;SeCAP-3-9;SeCAP-3-10SeCAP-4-1;SeCAP-4-2;SeCAP-4-3;SeCAP-4-4;SeCAP-4-5SeCAP-5-1;SeCAP-5-2;SeCAP-5-3;SeCAP-5-4;SeCAP-5-5;SeCAP-5-6;SeCAP-5-7;SeCAP-5-8SeCAP-6-1;SeCAP-6-2;SeCAP-6-3;SeCAP-6-4;SeCAP-6-5SeCAP-8-1;SeCAP-8-2;SeCAP-8-3;SeCAP-8-4;SeCAP-8-5SeCAP-9-1;SeCAP-9-2;SeCAP-9-3;SeCAP-9-4安全模板視圖適用的行業(yè)場景生產(chǎn)控制類業(yè)務(wù)：包括調(diào)度自動化（PMU）、繼電保護(hù)（差動保護(hù)）、配電自動化三遙業(yè)務(wù)、智能分布FA等，該類業(yè)務(wù)的安全優(yōu)先級最高。信息管理類業(yè)務(wù)：輸變電狀態(tài)監(jiān)測、配電所綜合監(jiān)測、變電站視頻監(jiān)控、用電信息采集、電能量計量移動應(yīng)用類業(yè)務(wù)：電力現(xiàn)場移動施工作業(yè)、無人機(jī)/機(jī)器人巡檢、人工巡檢、電力應(yīng)急通信互聯(lián)網(wǎng)類業(yè)務(wù)：車聯(lián)網(wǎng)光伏云網(wǎng)、電子商務(wù)平臺、移動辦公ST-mine5G+模板編號ST-mine（SecurityTemplateforMine）模板名稱5G+礦山安全模板核心安全需求礦山業(yè)務(wù)涉及人員生命安全，對5G基礎(chǔ)網(wǎng)絡(luò)設(shè)施的安全性依5G網(wǎng)絡(luò)安全可靠。礦山終端類型多樣，需要防范終端弱加密導(dǎo)致數(shù)據(jù)泄露、被劫持發(fā)起DDoS攻擊和終端非法接入等安全問題。模板介紹本模板為5G+礦山提供安全能力集合，通過網(wǎng)絡(luò)隔離能力、安全監(jiān)測能力、終端接入能力、管理和安全開放能力、蜜罐防護(hù)能力、安全評測能力等，保障5G+礦山基礎(chǔ)網(wǎng)絡(luò)設(shè)施的安全性。最佳安全原子能力集合SeCAP-1-1;SeCAP-1-2;SeCAP-1-3;SeCAP-1-4SeCAP-2-1;SeCAP-2-5;SeCAP-2-6SeCAP-3-1;SeCAP-3-2;SeCAP-3-7;SeCAP-3-8；SeCAP-3-9;SeCAP-3-10SeCAP-4-1;SeCAP-4-5SeCAP-5-1;SeCAP-5-2;SeCAP-5-3;SeCAP-5-4;SeCAP-5-5;SeCAP-5-6;SeCAP-5-7;SeCAP-5-8;SeCAP-5-9;SeCAP-5-10SeCAP-6-1;SeCAP-6-3;SeCAP-6-4;SeCAP-7-1;SeCAP-7-2SeCAP-8-1;SeCAP-8-2;SeCAP-8-3;SeCAP-8-4;SeCAP-8-5SeCAP-9-1;SeCAP-9-3;SeCAP-9-4安全模板視圖適用的行業(yè)場景大連接業(yè)務(wù)場景：傳感器信息采集低時延、高可靠業(yè)務(wù)場景：礦卡遠(yuǎn)程駕駛、電鏟遠(yuǎn)程操控、井下遠(yuǎn)程控制、井下定位大帶寬業(yè)務(wù)場景：井下監(jiān)控、AI智能識別、井下人員視頻通信ST-port5G+模板編號ST-port（SecurityTemplateforPort）模板名稱5G+港口安全模板核心安全需求1.5GMEC承載港口本地大量控制業(yè)務(wù)，需要MEC安全防護(hù)措施MECIT系統(tǒng)，也需要數(shù)據(jù)防護(hù)措施保證港口邊緣平臺敏感信息安全。AVG/5G取或篡改港口業(yè)務(wù)敏感信息。自動駕駛、龍門吊等控制類業(yè)務(wù)安全要求較高，需要通過資源和切片有效隔離防止網(wǎng)絡(luò)資源搶占或非法跨切片攻擊導(dǎo)致業(yè)務(wù)不可用。模板介紹本模板為5G+港口提供安全能力集合，通過端到端網(wǎng)絡(luò)切片隔離、增強(qiáng)的終端接入認(rèn)證、邊緣數(shù)據(jù)防護(hù)、安全監(jiān)測能力等，重點(diǎn)解決港口業(yè)務(wù)的終端安全接入、MEC實(shí)現(xiàn)港口不同SLA業(yè)務(wù)的切片認(rèn)證和切片隔離。最佳安全原子能力集合SeCAP-1-1;SeCAP-1-2;SeCAP-1-3;SeCAP-1-4SeCAP-2-1;SeCAP-2-5;SeCAP-2-6SeCAP-3-1;SeCAP-3-2;SeCAP-3-7;SeCAP-3-9;SeCAP-3-10SeCAP-4-1;SeCAP-4-5SeCAP-5-1;SeCAP-5-2;SeCAP-5-3;SeCAP-5-4;SeCAP-5-5;SeCAP-5-6;SeCAP-5-7;SeCAP-5-8;SeCAP-5-9;SeCAP-5-10SeCAP-6-1;SeCAP-6-3;SeCAP-6-4;SeCAP-8-1;SeCAP-8-2;SeCAP-8-3;SeCAP-8-4;SeCAP-9-1;SeCAP-9-3;SeCAP-9-4安全模板視圖適用的行業(yè)場景大帶寬業(yè)務(wù)場景：視頻監(jiān)控、龍門吊、橋吊等視頻輔助、無人機(jī)/機(jī)器人巡檢低時延、高可靠業(yè)務(wù)場景：港機(jī)實(shí)施操控、集卡無人駕駛、自動理貨ST-city5G+模板編號ST-city（SecurityTemplateforCity）模板名稱5G+智慧城市安全模板核心安全需求海量異構(gòu)終端接入5G網(wǎng)絡(luò)，需要通過增強(qiáng)的接入認(rèn)證措施防范弱終端被劫持，非法接入竊取平臺業(yè)務(wù)數(shù)據(jù)，或大量終端對網(wǎng)DDoS攻擊。5G需要對數(shù)據(jù)進(jìn)行安全保護(hù)。需要建設(shè)統(tǒng)一的安全管理平臺對異構(gòu)設(shè)備安全事件進(jìn)行態(tài)勢監(jiān)控，并能對終端非法接入、異常訪問行為等情況及時監(jiān)測和響應(yīng)。模板介紹本模板為5G+智慧城市提供安全能力集合，通過網(wǎng)絡(luò)隔離能力、安全監(jiān)測能力、終端接入能力、邊緣數(shù)據(jù)防護(hù)能力等增強(qiáng)智慧城市多行業(yè)終端的安全接入，實(shí)現(xiàn)行業(yè)敏感數(shù)據(jù)保護(hù)和安全態(tài)勢監(jiān)測。最佳安全原子能力集合SeCAP-1-1;SeCAP-1-2;SeCAP-1-3;SeCAP-1-4SeCAP-2-1;SeCAP-2-5;SeCAP-2-6SeCAP-3-1;SeCAP-3-2;SeCAP-3-5;SeCAP-3-7;SeCAP-3-8SeCAP-4-5SeCAP-5-1;SeCAP-5-2;SeCAP-5-3;SeCAP-5-4;SeCAP-5-5;SeCAP-5-6;SeCAP-5-7;SeCAP-5-8SeCAP-6-1;SeCAP-6-3;SeCAP-6-4SeCAP-8-1;SeCAP-8-2;SeCAP-8-3;SeCAP-8-4;SeCAP-8-5SeCAP-9-1;SeCAP-9-3安全模板視圖適用的行業(yè)場景電子政務(wù)：政務(wù)服務(wù)智慧安防：巡邏機(jī)器人、VR安防監(jiān)控智慧交通：車輛調(diào)度、智能調(diào)度、客流疏導(dǎo)智慧消防：智慧作戰(zhàn)、智慧管理智慧執(zhí)法、智慧旅游、智慧農(nóng)業(yè)等ST-hospital5G+模板編號ST-hospital（SecurityTemplateforHospital）模板名稱5G+醫(yī)療安全模板核心安全需求醫(yī)療數(shù)據(jù)高度敏感，需要通過數(shù)據(jù)安全防護(hù)措施對流經(jīng)5G基MECMEC行保護(hù)。5G虛擬專網(wǎng)同時連接醫(yī)院內(nèi)網(wǎng)絡(luò)與院外互聯(lián)網(wǎng)，需要通過嚴(yán)格的網(wǎng)絡(luò)隔離措施防止非法數(shù)據(jù)流入院內(nèi)網(wǎng)絡(luò)。模板介紹本模板為5G+醫(yī)療提供安全能力集合，通過端到端網(wǎng)絡(luò)切片隔離、增強(qiáng)的終端接入認(rèn)證、邊緣數(shù)據(jù)防護(hù)等實(shí)現(xiàn)5G+醫(yī)療院內(nèi)院外網(wǎng)絡(luò)隔離，并對醫(yī)療業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。最佳安全原子能力集合SeCAP-1-1;SeCAP-1-3SeCAP-2-1;SeCAP-2-5;SeCAP-2-6SeCAP-3-1;SeCAP-3-2;SeCAP-3-7;SeCAP-3-9SeCAP-5-1; SeCAP-5-2; SeCAP-5-3; SeCAP-5-4 SeCAP-5-6;SeCAP-5-7;SeCAP-8-1;SeCAP-8-2;SeCAP-8-4;SeCAP-9-1;SeCAP-9-3安全模板視圖適用的行業(yè)場景大帶寬業(yè)務(wù)場景：遠(yuǎn)程會診、遠(yuǎn)程示教、移動查房低時延、高可靠業(yè)務(wù)場景：遠(yuǎn)程超聲、遠(yuǎn)程手術(shù)、院前急救（急救車）ST-education5G+模板編號ST-education（SecurityTemplateforEducation）模板名稱5G+教育安全模板核心安全需求通過部署軟硬件隔離措施，保障校園專網(wǎng)與校外網(wǎng)絡(luò)的安全隔離，實(shí)現(xiàn)一張專網(wǎng)對校內(nèi)校外業(yè)務(wù)場景全覆蓋。通過增強(qiáng)的安全認(rèn)證機(jī)制，保障終端接入校園網(wǎng)絡(luò)的安全。模板介紹本模板為5G+教育提供電力模板，通過端到端網(wǎng)絡(luò)切片隔離、增強(qiáng)的終端接入認(rèn)證、邊緣數(shù)據(jù)防護(hù)等實(shí)現(xiàn)校園專網(wǎng)隔離，防范非法終端通過5G網(wǎng)絡(luò)接入對校園網(wǎng)站進(jìn)行攻擊。最佳安全原子能力集合SeCAP-1-1;SeCAP-1-2;SeCAP-1-3;SeCAP-1-4SeCAP-2-1;SeCAP-2-5;SeCAP-2-6SeCAP-3-1;SeCAP-3-2;SeCAP-3-7;SeCAP-3-9SeCAP-5-2;SeCAP-5-3;SeCAP-5-4;SeCAP-5-5;SeCAP-5-7SeCAP-9-1;SeCAP-9-3安全模板視圖適用的行業(yè)場景大帶寬業(yè)務(wù)場景：VR教室、智慧課堂、校園監(jiān)控、5G網(wǎng)課知識庫為運(yùn)營商、設(shè)備商和垂直行業(yè)提供了一套完整的安全措施落地實(shí)施方法，在實(shí)際使用過程中，相關(guān)責(zé)任主體需要明確具體的網(wǎng)絡(luò)和應(yīng)用業(yè)務(wù)場景，通過安全風(fēng)險分析確定特定業(yè)務(wù)場景的安5G5G網(wǎng)絡(luò)安全知識庫使用方法5-15G根據(jù)具體的網(wǎng)絡(luò)場景（例如無線接入場景、邊緣計算場景等）5G（3.1）；CIA+CIAA5G通過效果評價機(jī)制（包括風(fēng)險消除評估、安全能力測試驗證等），對安全措施的效果進(jìn)行效果評價，并根據(jù)評價結(jié)果對安全措圖5-15G網(wǎng)絡(luò)安全知識庫使用方法5G應(yīng)用安全知識庫使用方法5-25G5G4.35G5G4.34.34.2垂直行業(yè)根據(jù)安全最佳實(shí)踐模板+自定義原子能力集合，一4.2A4.2A4.25G運(yùn)營商和垂直行業(yè)對安全原子能力滿足安全需求的情況進(jìn)行效果評估（包括風(fēng)險消除評估、安全能力測試驗證等），并根據(jù)評圖5-25G應(yīng)用安全知識庫使用方法5G應(yīng)用部署，賦能垂直行業(yè)，培植應(yīng)用生態(tài)，已成為業(yè)界各方共同探索的重要方向。5G與各垂直行業(yè)的融合應(yīng)用打破了經(jīng)濟(jì)社會各領(lǐng)域的邊界，網(wǎng)絡(luò)安全與工業(yè)、交通等領(lǐng)域安全問題相互交織，給5G安全工作提出了更高要求。在此新形勢下，《5G5G5G5G此核心利益的前提下，共同合作開展5G安全措施的實(shí)施，形成對5G5G知識庫措施將持續(xù)更新迭代。一方面，5G網(wǎng)絡(luò)正在逐步向更智能、更開放的架構(gòu)演進(jìn)，零信任、內(nèi)生安全、主動防御等網(wǎng)5G5G網(wǎng)5G多方合作才能發(fā)揮最大價值。雖然知識庫列出了各主體在5G5G5G全問題。各參與方應(yīng)加強(qiáng)合作，在各環(huán)節(jié)將安全措施進(jìn)行有機(jī)關(guān)聯(lián)5G精確平衡安全供需是關(guān)鍵。運(yùn)營商和垂直行業(yè)要從具體的5G5G+行業(yè)場景下的安全需求內(nèi)容和供給能力，形成符合雙方彼此共識的安全實(shí)踐措施，在供需平衡中不斷優(yōu)化供需關(guān)系，在實(shí)踐過程在實(shí)踐中不斷檢驗和優(yōu)化。知識庫中的安全措施在實(shí)際執(zhí)行中會有交織，各參與主體要從實(shí)際出發(fā)，在實(shí)踐過程中不斷檢驗措施的適用性、合理性和有效性，逐步完善和優(yōu)化知識庫中各個安全措施的內(nèi)容，促進(jìn)最佳安全實(shí)踐經(jīng)驗在實(shí)踐中不斷迭代完善，持5G縮略語3GPP3rdGenerationPartnershipProject第三代合作伙伴計劃5G-AKA5G-AuthenticationandKeyAgreement5G認(rèn)證與密鑰協(xié)商5GC5GCore5G核心網(wǎng)AAAAuthentication, Authorization andAccounting認(rèn)證、授權(quán)與計費(fèi)ACLAccessControlLists訪問控制列表AESAdvancedEncryptionStandard高級加密標(biāo)準(zhǔn)AFAuthenticationFramework認(rèn)證框架AGVAutomatedGuidedVehicle自動導(dǎo)航車AIArtificialIntelligence人工智能AKAAuthenticationandKeyAgreement認(rèn)證與密鑰協(xié)商AKMAAuthenticationandKeyManagementforApplications應(yīng)用層認(rèn)證和密鑰管理AMFAccessandMobilityManagementFunction接入與移動性管理功能APIApplicationProgrammingInterface應(yīng)用程序接口APPApplication應(yīng)用程序ASAccessStratum接入層AUSFAuthenticationServerFunction鑒權(quán)服務(wù)功能CAPIFCommonAPIFramework通用API開放框架CCSAChina Communications StandardsAssociation中國通信標(biāo)準(zhǔn)化協(xié)會CIAConfidentiality,IntegrityandAvailability機(jī)密性、完整性和可用性CNCoreNetwork核心網(wǎng)CPUCentralProcessingUnit中央處理器CSACybersecurityAct網(wǎng)絡(luò)安全法CSG-IDClosedSubscriberGroupIdentityDocument閉合用戶組身份標(biāo)識CTCommunicationTechnology通信技術(shù)DATData數(shù)據(jù)DDoSDistributedDenialofService分布式拒絕服務(wù)DMZDemilitarizedZone隔離區(qū)DNDataNetwork數(shù)據(jù)網(wǎng)絡(luò)DNNDataNetworkName數(shù)據(jù)網(wǎng)絡(luò)名稱DOSDenialofService拒絕服務(wù)DTLSDatagramTransportLayerSecurity數(shù)據(jù)包傳輸層安全性協(xié)議EASEdgeApplicationService邊緣應(yīng)用服務(wù)eMBBEnhancedMobileBroadband增強(qiáng)移動寬帶ENISAEuropeanUnionAgencyforCybersecurity歐洲網(wǎng)絡(luò)與信息安全局eNodeBEvolvedNodeB4G基站EPSEvolvedPacketSystem演進(jìn)分組系統(tǒng)EPS-AKAEvolvedPacketSystem-AuthenticationandKeyAgreement4G認(rèn)證與密鑰協(xié)商ETSIEuropean Telecommunications StandardsInstitute歐洲電信標(biāo)準(zhǔn)化協(xié)會EUEuropeanUnion歐盟Flex-ETheFlexibleEthernet柔性以太網(wǎng)FQDNFullyQualifiedDomainName全限定域名FTPFileTransferProtocol文件傳輸協(xié)議GBAGeneralBootstrappingArchitecture通用認(rèn)證機(jī)制gNBNRNodeB5G基站gNodeBNRNodeB5G基站GPSGlobalPositioningSystem全球定位系統(tǒng)GPSIGenericPublicSubscriptionIdentifier通用公共用戶標(biāo)識GSMAGlobalSystemforMobileCommunicationsAssembly全球移動通信協(xié)會GTPGPRSTunnelProtocolGPRS隧道協(xié)議GUTIGloballyUniqueTemporaryUEIdentity全球唯一臨時UE標(biāo)識HTTPSHyperTextTransferProtocoloverSecureSocketLayer超文本安全傳輸協(xié)議I/OInputandOutput輸入輸出ICTInformation and CommunicationsTechnology信息與通信技術(shù)IDSIntrusionDetectionSystem入侵檢測系統(tǒng)IECInternationalElectrotechnicalCommission國際電工委員會IMEIInternationalMobileEquipmentIdentity國際移動設(shè)備識別碼IMSIInternational Mobile SubscriberIdentificationNumber國際移動用戶識別碼IMTInternationalMobileTelecommunications國際移動通信INTInter-Network互聯(lián)互通IPInternetProtocol網(wǎng)間互聯(lián)協(xié)議IPSIntrusionPreventionSystem入侵防御系統(tǒng)IPsecInternetProtocolSecurity互聯(lián)網(wǎng)安全協(xié)議IPXInternetworkPacketExchangeprotocol互聯(lián)網(wǎng)分組交換協(xié)議ISOInternational Organization forStandardization國際標(biāo)準(zhǔn)化組織ITInformationTechnology信息技術(shù)ITUInternationalTelecommunicationUnion國際電信聯(lián)盟ITU-TITU Telecommunication Sector國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局K8SKubernetes開源容器集群管理系統(tǒng)KPIKeyPerformanceIndicator關(guān)鍵績效指標(biāo)L2TPLayer2TunnelingProtocol第二層隧道協(xié)議LACLocationAreaCode位置區(qū)域碼LTELongTermEvolution長期演進(jìn)MACMediaAccessControl介質(zhì)訪問控制MANOManagementandOrchestration管理和編排MECMulti-accessEdgeComputing多接入邊緣計算MEPMulti-accessEdgePlatform多接入邊緣平臺mMTCMassiveMachineTypeCommunication大規(guī)模機(jī)器類通信MNOMobileNetworkOperator移動運(yùn)營商MTMobileTerminal移動終端MVNOMobileVirtualNetworkOperator移動虛擬網(wǎng)絡(luò)運(yùn)營商N(yùn)ASNonAccessStratum非接入層NATNetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換NDRNetworkDetectionandResponse網(wǎng)絡(luò)檢測與響應(yīng)NDSNetworkDomainSecurity網(wǎng)絡(luò)域安全NENetElement網(wǎng)元NEANREncryptionAlgorithm5G加密算法NEFNetworkExposureFunction網(wǎng)絡(luò)開放功能NESASNetwork Equipment Security AssuranceScheme網(wǎng)絡(luò)設(shè)備安全保障方案NFNetworkFunction網(wǎng)絡(luò)功能NFVNetworkVirtualizationFunction網(wǎng)絡(luò)功能虛化NFVINetwork Virtualization Infrastructure網(wǎng)絡(luò)功能虛擬化基礎(chǔ)設(shè)施ng-eNBNextGenerationEvolvedNodeB下一代演進(jìn)基站NG-RANNextGenerationRadioAccessNetwork下一代無線接入網(wǎng)NIANRIntegrityProtectionAlgorithm5G完整性保護(hù)算法NISTNational Institute of Standards Technology美國國家標(biāo)準(zhǔn)與技術(shù)研究院NRFNetworkRepositoryFunction網(wǎng)絡(luò)存儲功能NSNetworkSlice網(wǎng)絡(luò)切片NSINetworkSliceInstance網(wǎng)絡(luò)切片實(shí)例NSSAINetwork Slice Selection AssistanceInformation網(wǎng)絡(luò)切片選擇輔助信息OMOperationandManagement運(yùn)維管理OSOperatingSystem操作系統(tǒng)OTOperationalTechnology運(yùn)營技術(shù)OWASPOpenWebApplicationSecurityProject開放Web軟體安全項目PCPersonalComputer個人計算機(jī)PDPPacketDataProtocol分組數(shù)據(jù)包協(xié)議PDUProtocolDataUnit協(xié)議數(shù)據(jù)單元PIMPhysicalInfrastructureManager物理基礎(chǔ)設(shè)施管理器PKIPublickeyinfrastructure公鑰基礎(chǔ)設(shè)施PLMNPublicLandMobileNetwork公共陸地移動網(wǎng)QoSQualityofService服務(wù)質(zhì)量RANRadioAccessNetwork無線接入網(wǎng)RBResourceBlock資源塊RNRadioNetwork無線網(wǎng)絡(luò)RRCRadioResourceControl無線資源控制SAEGW-USAEGateWayUserPlaneSAE用戶面網(wǎng)關(guān)SBAService-basedArchitecture服務(wù)化架構(gòu)SCASSecurityAssuranceSpecification安全保障規(guī)范SDKSoftwareDevelopmentKit軟件開發(fā)工具包SDNSoftwareDefinedNetwork軟件定義網(wǎng)絡(luò)SeCAPSecurityCapability安全能力SEAFSecurityAnchorFunction安全錨定功能SEPPSecurityEdgeProtectionProxy安全邊緣保護(hù)代理SFTPSecureFileTransferProtocol安全文件傳輸協(xié)議SIEMSecurityInformationEventManagement安全信息和事件管理SIMSubscriberIdentityModule用戶身份識別模塊SLAServiceLevelAgreement服務(wù)等級協(xié)議SMSecurityManagement安全管理SMFSessionManagementFunction會話管理功能SMSSafetyManagementSystem安全管理系統(tǒng)SNMPSimpleNetworkManagementProtocol簡單網(wǎng)絡(luò)管理協(xié)議SS7SignalingSystem#77號信令系統(tǒng)SSHSecureShell安全協(xié)議SSLSecureSocketsLayer安全套接字協(xié)議STSecurityTemplate安全模板ST-citySecurityTemplateforCity智慧城市安全模板ST-educationSecurityTemplateforEducation教育安全模板ST-gridSecurityTemplateforGrid電力安全模板ST-hospitalSecurityTemplateforHospital醫(yī)療安全模板ST-IIotSecurityTemplateforIndustrialIot工業(yè)互聯(lián)網(wǎng)安全模板ST-mineSecurityTemplateforMine礦山安全模板ST-portSecurityTemplateforPort港口安全模板SUCISubscriptionConcealedIdentifier隱藏性用戶標(biāo)識符SUPISubscriptionPermanentIdentifier用戶永久標(biāo)識符TATrackingArea跟蹤區(qū)TLSTransportLayerSecurity傳輸層安全協(xié)議UDMUnifiedDataManagement統(tǒng)一數(shù)據(jù)管理UEUserEquipment用戶設(shè)備UEBAUserandEntityBehaviorAnalytics用戶和實(shí)體行為分析UICCUniversalIntegratedCircuitCard通用集成電路卡ULCLUplinkClassifier上行分類器UPFUserPlaneFunction用戶面功能uRLLCUltraReliableLowLatencyCommunication超可靠低時延通信vFWVirtualFirewall虛擬防火墻VIMVirtualInfrastructureManagement虛擬基礎(chǔ)架構(gòu)管理VLANVirtualLocalAreaNetwork虛擬局域網(wǎng)VMVirtualMachine虛擬機(jī)VPCVirtualPrivateCloud私有網(wǎng)絡(luò)VPNVirtualPrivateNetwork虛擬專用網(wǎng)絡(luò)VRVirtualReality虛擬現(xiàn)實(shí)VRFVirtualRoutingForwarding虛擬路由轉(zhuǎn)發(fā)VxLANVirtualExtensibleLocalAreaNetwork虛擬擴(kuò)展局域網(wǎng)附錄A：5G網(wǎng)絡(luò)安全知識庫措施（MobileTerminal,MT）5G措施編號MT-1措施名稱終端與5G網(wǎng)絡(luò)間的數(shù)據(jù)和信令保護(hù)安全需求保護(hù)終端與5G網(wǎng)絡(luò)之間的用戶面數(shù)據(jù)和控制面信令傳輸被非法篡改和竊取。措施作用（CIA）機(jī)密性完整性可用性√√措施詳細(xì)描述MT-1-1gNB/5GC間控制面信令（ASNAS層）進(jìn)行加密。MT-1-2：終端采取完整性保護(hù)措施，對終端和gNB之間用戶面數(shù)據(jù)和控制面信令（AS和NAS層進(jìn)行完整性保護(hù)。MT-1-33GPP整性保護(hù)算法，包括NEA0,128-NEA1,128-NEA2,128-NEA3128-NIA1,128-NIA2128-NIA3。MT-1-4ng-eNB5GC，應(yīng)LTE網(wǎng)絡(luò)的RRCNAS完整性和機(jī)密性算法。MT-1-5：除3GPP規(guī)定的未經(jīng)認(rèn)證的緊急會話等場5GRRCNAS保護(hù)算法不得使用NIA0。適用的資產(chǎn)終端設(shè)施主體設(shè)備廠商（主要是終端廠商）MT-1-1,MT-1-2,MT-1-3,MT-1-4,MT-1-5是否已有標(biāo)準(zhǔn)要求是標(biāo)準(zhǔn)名稱3GPPTS33.501:Securityarchitectureandproceduresfor5GSystemYD/T3628-2019《5G移動通信網(wǎng)安全技術(shù)要求》實(shí)施難度措施編號MT-2措施名稱用戶憑證的安全保護(hù)安全需求保護(hù)終端存儲、處理和傳輸5G網(wǎng)絡(luò)中憑證的安全性，保障終端唯一憑證的合法性。措施作用（CIA）機(jī)密性完整性可用性√√措施詳細(xì)描述MT-2-1：終端使用防篡改的安全硬件組件，對終端內(nèi)的用戶憑證進(jìn)行完整性保護(hù)。MT-2-2：終端內(nèi)用戶憑證的認(rèn)證算法應(yīng)在防篡改安全硬件組件內(nèi)執(zhí)行。MT-2-3：終端內(nèi)用戶憑證的長期密鑰（即K值）使用防篡改安全硬件組件進(jìn)行機(jī)密性保護(hù)，如采用加密存儲、通過HTTPS/SFTP安全協(xié)議傳輸?shù)取T-2-4：終端在與5G網(wǎng)絡(luò)的通信過程中采用5G-GUTISUPI信息進(jìn)行保護(hù)，除未經(jīng)認(rèn)證的NG-RANSUPI明文。MT-2-5SUPIUICCUICC中。MT-2-6：UICC配置和更新歸屬網(wǎng)絡(luò)公鑰、UICC開啟SUPI隱私保護(hù)機(jī)制應(yīng)由歸屬運(yùn)營商網(wǎng)絡(luò)控制。MT-