• 本文准备用几分钟的时间和大家讨论一下5G在无线网路中的应用的安全。所以说是探讨不仅仅是因为和大家交流的关系，主要是因为5G仍然处于推广应用的阶段，很多公司的态度仍然处于规划、设计阶段，一些技术路线和应用模式还没有定论，还在发展的过程中。

• 如何讨论呢，因为我之前也没有做过网络建设，所以在面对5G网络这样一个全新的对象时，从我的一贯研究方法而言，我是把他拆成两部分，把看着熟悉的能够理解的东西，拉到已经有的经验和认知里，分析他；对于5G网络特有的我不知道的、跟别的网络安全不一样的东西，从零开始认识它，再做研究。



• 我们已知的东西包括边界防护、入侵检测等等，这些只要是从事信息安全工作的朋友肯定都知道。对于未知的部分，需要从5G的基本概念、特点、技术、建设模式进行讨论并发现问题。



• 接下来从5G的概念及特点，5G应用场景及应用模式，安全风险分析及应对这样三个部分，逐级递进的进行叙述，先认识这是什么，怎么用，最后再谈它的安全，所谓安全是为业务服务的，就是这个意思，绝对不能抛弃业务场景谈安全，5G尤其是这样。



一、5G的概念及特点：

1. 5G（第五代移动通信）是4G之后演进出的最新一代蜂窝移动通信技术。根据国际电信联盟(ITU)的定义，5G的法定名称是“IMT-2020”。

根据国际通信组织(3GPP)的定义，5G具备高性能、大连接和低时延三大特性。事实上，这也是所有无线通信技术所追求的特点。不能一提这三个特点就自动归纳为5G。wifi6也有这些特点啊。这不是区分5G和其他无线通信技术的关键。



1. 实际部署时，考虑到较高的频率，所以5G基站会变得很小，需要每隔200到300米安装一个5G基站，还因此出现了天线阵列形式的基站。此外，同一基站下的两个5G用户相互通信，通信数据包将不再通过基站转发，实现D2D（device to device）。值得关注的一个点，功耗增加到了2.5倍-3.5倍，运营商与企业成本增加了很多，有人打趣说5G全面推广最受益的对象是电网，不是没有道理的。



1. 5G网络区别于之前网络的技术特点，最主要的就是这张图中说到的边缘云、网络切片、控制与转发分离这三个。搞清楚这三个概念，将成为安全设计与控制的关键。边缘云出现的主要是为了满足低时延、高性能这个要求，把一些高清资源放到近端的地方，有点像CDN，但是又比CDN多，因为边缘云这里还可以放控制、管理的功能；切片的出现主要是为了提高网络利用率，实现一张网同时支持三大场景的业务，主要通过隔离技术实现，有物理隔离、逻辑隔离、硬隔离、软隔离之分；控制与转发分离主要是为了把控制权单独拿出来，可以交给行业、企业自己去管，那边缘云上面放什么资源、切片怎么切，就有可能从运营商手里交给企业自己去搞，运营商提供开放能力，开放不同的权限给企业，企业自己根据业务的需要自己去选，非常自由。

这三大技术特点对于后面安全模式的设计非常重要，一旦你选了什么样子的技术路线，就要对路线所对应的安全模式进行考虑。比如你选了自建边缘云，那所有边缘云的安全都要自己考虑，你要是租用运营商的，就不用考虑那么多，从运营商提供的服务中自己去选。



1. 基于5G网络总体架构中控制功能、转发功能分离的设计，5G网络能力开放平台实现了对集中部署的控制面功能的统一调用，可供第三方直接使用、配置。开放能力主要包括（1）计费、拥塞控制等基础网络功能；（2）网络规划、网络部署、更新及扩缩容等网络编排能力；（3）依托MEC实现的业务拆分、负载、路由、动态控制的能力；（4）数据统计、分析的能力；（5）供行业调用的组织/设备/用户身份认证、通道加密、事件分析溯源等安全能力。



二、5G应用场景及应用模式

1. 5G更适合在室外环境、位置变动频繁的场景中使用，如外业、车辆跟踪、移动高清视频等，与主打“主内”的wifi6相比，5G总体上呈现出 “主外”的特点，但也有例外，如TSN 5G（工控4.0中的概念，时间敏感型5G ）。所以最终还是要分析具体业务场景。



1. 建设模式的选择，一方面是为了满足业务需求，另一方面，也是安全设计与分析的基础。从运营商视角，主要有流量模式、切片模式、平台/服务模式。从企业建设的视角，主要有租赁模式、混合模式、自建模式。这些都是一些通信研究院或者分析师做的一些分析，并不代表未来确定会采用的具体名称，也方便我们分类讨论，方便我们理解。



1. 5G运用带来的挑战：

（1）商业模式挑战：除了基于流量的模式，其他均属于全新的商业模式创新，仍在探索阶段，这是对运营商的挑战，目前有流量套餐，后面有切片套餐、平台服务套餐也说不定。

（2）技术路线挑战：切片（隔离技术）的选择、边缘云的管理方式、开放能力的组合选择，这是对运营商和企业的双重挑战；

（3）业务分析的挑战，需要对企业业务进行全方位、深入的了解，比如什么放到边缘云、怎么管理切片、采用哪种建设模式，这是对企业的挑战。

高清监控场景跟适合租赁一张切片，内容敏感的话企业可以采用独立切片、管理员权限来运营这个切片所以还是要根据具体场景需求来看，平衡业务需求和建设成本。

下面这张图是业务分析的一张简图，只要是从业务类型、场景、各要素的需求开展的分析。不同类型、不同安全等级的业务应依据规则选择建设模式。



1. 我们再回到建设模式那张图，企业业务需求与建设成本、管控能力之间基本上保持这样一种关系，即从上至下运营商的管控能力渐弱，能力越来越开放，下面这些就可以可以收取服务费了，对于企业而言，自上而下建设成本递增，企业的控制能力也由弱变强。



三、5G安全风险分析及应对

1. 通过对5G的概念、特点、应用场景的分析，我们把未知变成了已知，这个时候再做一些安全分析的工作，看一些安全设计的知识，就不再会感觉纸上谈兵了。参考《中国移动5G安全基准评估规范》，5G安全涉及这么多领域，这个时候我们就可以区分，作为企业，再根据企业业务场景选择了建设模式之后，哪些安全需要有企业自己做，哪些安全由运营商提供就可以了。

大家注意下图里面的组网安全、网络切片安全、边缘计算安全，这些都是5G环境下特有的安全问题，就是前面提到的网络切片、边缘计算这些新技术带来的新问题。



1. 对于企业而言，（1）采用5G自建模式：不与外网通信的情况下可能会少一些风险，但企业需要考虑所有方面的问题。（2）采用混合建设模式：企业要考虑所有方面的问题，但可以通过购买服务的方式转移自行建设的成本，企业自行选择，由运营商实现，需要企业对业务、边缘计算的各个模式、组网的各种选择、网络防御与访问控制的各种技术、数据安全的管理流程、安全运维的内容、不同类型设备网络接入认证的类型等都有较深入的理解，有一些工作如网元设备的安全基线，如果网元设备由运营商负责，那这一块的内容就不用管了。（3）采用租赁模式：高清监控场景、互联网服务场景，租赁一张切片完全可以，场景中存在敏感内容的，也可以进一步使用独立切片、拥有这个切片的管理员权限进行管理。