基于5G垂直行業(yè)應用的安全能力體系研究

張小強 賴材棟 謝崇斌

【摘要】 ? ?隨著5G新基建工作的持續(xù)深入推進，給工業(yè)互聯(lián)網(wǎng)、智能制造等垂直行業(yè)應用帶來了新的機遇，同時5G網(wǎng)絡架構(gòu)也給垂直行業(yè)應用安全造成網(wǎng)絡攻擊擴大化、攻擊方式泛在化、安全邊界模糊等新的影響和挑戰(zhàn)。5G垂直行業(yè)安全防護是一項涉及終端、網(wǎng)絡、行業(yè)應用等眾多環(huán)節(jié)的復雜系統(tǒng)工程，其中明確的安全需求以及科學的安全技術(shù)體系是實現(xiàn)這項復雜系統(tǒng)工程的基礎(chǔ)。鑒于此，本文參考國內(nèi)外相關(guān)標準從終端側(cè)、網(wǎng)絡側(cè)、應用側(cè)、管理側(cè)四個視角梳理了5G垂直行業(yè)應用的主要安全需求，設計提出5G垂直行業(yè)應用系統(tǒng)安全技術(shù)體系。該技術(shù)體系涵蓋“需求驅(qū)動”，“端、網(wǎng)、應用安全”和“安全管理”3個平面以及32項安全能力，可有效指導5G垂直行業(yè)安全能力建設，并為5G垂直行業(yè)應用安全技術(shù)發(fā)展與標準化提供有益參考。

【關(guān)鍵詞】 ? ?5G ?工業(yè)互聯(lián)網(wǎng) ? ?垂直行業(yè) ? ?安全需求 ? ?安全能力體系

引言

隨著5G通信的大規(guī)模商用推廣，作為新一代通信網(wǎng)絡基礎(chǔ)設施，在垂直行業(yè)應用中的引領(lǐng)地位持續(xù)凸顯，而傳統(tǒng)垂直行業(yè)應用系統(tǒng)往往專用性強，體系架構(gòu)相對固定，但隨著5G網(wǎng)絡與垂直行業(yè)應用的深度融合，將給垂直行業(yè)應用提供靈活、動態(tài)的網(wǎng)絡基礎(chǔ)設施。但是在5G帶來了新價值與機遇的同時，5G垂直行業(yè)解決方案的靈活性與動態(tài)性特性。也給垂直行業(yè)應用帶來攻擊面擴大、攻擊方式泛在化、安全邊界模糊等安全挑戰(zhàn)。因此構(gòu)建安全可信的5G+安全能力體系成為當前的一項重要課題。

為5G垂直行業(yè)安全的保駕護航是一項涉及物聯(lián)網(wǎng)終端、5G網(wǎng)絡、行業(yè)應用等環(huán)節(jié)的復雜系統(tǒng)工程，其中明確的安全需求、科學的安全技術(shù)體系是推動具體安全技術(shù)實現(xiàn)這項復雜系統(tǒng)工程的基礎(chǔ)[2]。因此，本文將聚焦以下兩個問題開展5G垂直行業(yè)應用安全研究。

問題1：探索分析5G與垂直行業(yè)融合的安全需求

問題2：設計構(gòu)建滿足5G垂直行業(yè)安全需求的安全能力體系

一、5G垂直行業(yè)應用系統(tǒng)安全需求分析

針對問題1，本節(jié)針對5G與垂直行業(yè)應用的融合特點，從終端側(cè)、網(wǎng)絡側(cè)、應用側(cè)、管理側(cè)四個視角進行探索分析、梳理5G垂直行業(yè)應用的主要安全需求。

1.1 5G與垂直行業(yè)應用的融合特征

由于5G與垂直行業(yè)應用深度融合中，主要是通過網(wǎng)絡高速率、低時延、大連接的特性，主要是通過云化架構(gòu)、新無線接入、網(wǎng)絡切片、邊緣計算等新技術(shù)的綜合使用，從而將相對固定、封閉的垂直行業(yè)應用的系統(tǒng)架構(gòu)，改變?yōu)槊嫦蚍盏膭討B(tài)編排的新型系統(tǒng)架構(gòu)（如圖1所示），其新特點可概括為[3]：

終端側(cè)：呈現(xiàn)異構(gòu)化、海量化、開放化等特點。具體而言，5G終端形式不再以智能手機為主導，與行業(yè)應用各環(huán)節(jié)深度融合的海量物聯(lián)網(wǎng)（IoT）終端將成為終端主流形式之一。

網(wǎng)絡側(cè)：引入軟件定義網(wǎng)絡（SDN）和網(wǎng)絡功能虛擬化（NFV）等信息技術(shù)，解耦網(wǎng)絡控制面與數(shù)據(jù)面，實現(xiàn)控制和轉(zhuǎn)發(fā)分離;進一步通過網(wǎng)絡切片技術(shù)，使5G網(wǎng)絡能夠為不同垂直行業(yè)應用提供靈活的、差異化的服務需求。

應用側(cè)： 5G應用將涉及醫(yī)療、交通、制造、環(huán)保、建筑等行業(yè)應用的各個環(huán)節(jié)，垂直行業(yè)應用種類和數(shù)量將出現(xiàn)井噴式的增長。

1.2 安全需求分析

針對5G新的安全風險與安全需求。我們主要從終端側(cè)、網(wǎng)絡側(cè)、應用側(cè)、管理側(cè)四個視角進行分析。

1.2.1 終端安全需求分析

5G終端的異構(gòu)化、海量化、開放化等特點將導致5G網(wǎng)絡攻擊向量增大。為了有效抵御5G終端的安全風險，應在終端基礎(chǔ)安全能力的基礎(chǔ)上，從以下兩個方面增強其安全防護與管控能力。

終端可信運行環(huán)境構(gòu)建需求：由于終端的泛在部署和使用，攻擊者更易于針對設備發(fā)起物理接口非授權(quán)訪問、側(cè)信道攻擊等，導致安全威脅向終端硬件層次轉(zhuǎn)移。因此，需要依托硬件信任根構(gòu)建終端設備的信任鏈，保證終端運行環(huán)境可信，以此建立終端與業(yè)務服務之間的信任，實現(xiàn)終端對業(yè)務服務的可信訪問。

終端全方位管控需求：如果海量5G終端被攻擊者控制并發(fā)起規(guī)模化的攻擊，將對關(guān)鍵行業(yè)應用基礎(chǔ)設施的可靠運行造成巨大威脅。因此，需要對終端設備硬件層、內(nèi)核層、系統(tǒng)層、應用層等各層行為進行全方位的監(jiān)測與智能化的分析，從而及時發(fā)現(xiàn)并處置相應安全事件。

1.2.2網(wǎng)絡安全需求分析

SDN、NFV以及網(wǎng)絡切片等新技術(shù)的使用也帶來了新的安全風險，例如虛擬化技術(shù)導致傳統(tǒng)網(wǎng)絡邊界模糊，并引發(fā)了虛擬機及虛擬化軟件安全問題。針對上述安全威脅，需要從基礎(chǔ)設施安全防護、虛擬化安全與切片隔離等方面增強對于5G網(wǎng)絡的安全防護，具體而言：

基礎(chǔ)設施安全保障需求：不同于傳統(tǒng)通信系統(tǒng)，網(wǎng)元設備物理上相互獨立，而5G網(wǎng)絡中虛擬網(wǎng)絡功能將集中運行在云化的基礎(chǔ)設施平臺上，不同的網(wǎng)元可能共享相同的物理基礎(chǔ)設備資源。因此，一旦物理基礎(chǔ)設施本身漏洞被利用，所影響的網(wǎng)絡范圍以及損失都將遠超以往。因此，保障基礎(chǔ)設施安全對5G網(wǎng)絡至關(guān)重要。

虛擬化安全與切片隔離需求：由于NFV、網(wǎng)絡切片等功能都將通過軟件和虛擬化的方式實現(xiàn)，它們的安全與軟件本身設計的安全性息息相關(guān)。為了防止網(wǎng)絡切片間的非法訪問，需要具備網(wǎng)絡切片間的有效隔離。例如，對于遠程醫(yī)療服務所在的切片資源，不應能被任何智能汽車從其所使用的車聯(lián)網(wǎng)切片直接訪問。

1.2.3應用安全需求分析

為了對5G應用系統(tǒng)提供有效的安全保障，需要從業(yè)務訪問控制與應用數(shù)據(jù)安全保護兩個方面進行安全加固。

行業(yè)應用全流程安全防護需求：由于5G網(wǎng)絡在一定程度上延展了由于行業(yè)應用訪問的時空限制，增加了對于行業(yè)應用非授權(quán)訪問的安全威脅。因此，為了確保對特定環(huán)境的合規(guī)用戶提供特定的權(quán)限，需要綜合多因素對用戶狀態(tài)進行可信分析，并根據(jù)當前可信狀態(tài)對用戶的業(yè)務訪問權(quán)限、數(shù)據(jù)訪問權(quán)限進行控制。

全生命數(shù)據(jù)安全保護需求：數(shù)據(jù)安全對于行業(yè)用戶的重要程度是不言而喻的，但是，數(shù)據(jù)在產(chǎn)生、傳輸、存儲以及分析計算等環(huán)節(jié)均存在數(shù)據(jù)泄漏風險，因此，需要對數(shù)據(jù)安全進行全生命周期保護。

1.2.4系統(tǒng)性安全需求分析

考慮到5G垂直行業(yè)應用安全防護的復雜性，在增強終端、網(wǎng)絡、應用各個層次的獨立安全防護能力的同時，需要進一步引入系統(tǒng)性安全防御手段，以控制系統(tǒng)殘余風險，并有效應對APT攻擊等安全威脅。

統(tǒng)一身份管理與鑒權(quán)需求：由于物聯(lián)網(wǎng)設備種類眾多，并且應用場景多元化，需要統(tǒng)一的端到端身份管理與認證機制，提供不同等級的安全訪問服務。

統(tǒng)一安全按需配置需求：由于垂直行業(yè)應用具有“千人千面”的安全與性能保障需求，并且具有差異化的終端能力、網(wǎng)絡接入方式和數(shù)據(jù)類型，而傳統(tǒng)的安全防御措施與機制無法避免降低系統(tǒng)的可靠性、傳輸帶寬，增加時延，難以滿足垂直行業(yè)應用對于大連接、高可靠、低時延、大帶寬等性能的要求，因此，5G垂直行業(yè)應用的安全防護技術(shù)需要按需配置。例如，對于時延敏感應用場景，通過簡化、優(yōu)化認證機制減少網(wǎng)絡交互時延。

統(tǒng)一安全態(tài)勢感知、管理與運維需求：傳統(tǒng)安全防護手段通常是基于先驗知識的靜態(tài)防護，并且與物理設備緊耦合。面對震網(wǎng)、Black Energy等日益多樣化、集團式的攻擊，僅依靠傳統(tǒng)安全防護手段難以真正有效的應對。因此，需要引入統(tǒng)一的安全態(tài)勢感知、智能安全監(jiān)測、管理與運維等技術(shù)，即結(jié)合最新安全態(tài)勢知識，采用人工智能、大數(shù)據(jù)分析等技術(shù)，主動檢測并識別系統(tǒng)的易受攻擊點、安全漏洞、異常行為，并且能夠根據(jù)所下發(fā)的動態(tài)安全防護策略實現(xiàn)動態(tài)預警、實時響應與處置。

二、 基于5G垂直行業(yè)應用的安全能力體系

本節(jié)將以ISO/IEC/IEEE 42010：2011系統(tǒng)與軟件架構(gòu)為指導，在覆蓋本文第二節(jié)所梳理的9大安全需求基礎(chǔ)上，提出了如圖2所示的5G垂直行業(yè)應用安全能力體系，該體系共包含“需求驅(qū)動”，“安全管理”和“端、網(wǎng)、應用安全”3個平面以及32項安全能力。

2.1需求驅(qū)動平面

不同垂直行業(yè)應用對于安全與性能的需求是“端、網(wǎng)、應用安全”和“安全管理”兩個平面設計的基礎(chǔ)。結(jié)合2.2節(jié)分析得到的應用安全需求，以及國際電信聯(lián)盟（ITU）對于5G應用場景分類方法，我們可以給出“需求驅(qū)動平面”的安全與性能關(guān)鍵性能指標（KPI）集R={安全需求1， ……， 安全需求9， 帶寬， 吞吐量， 延遲， 抖動， 連接數(shù)， 可靠性， 移動速度}。集合R各項指標的具體定義可以針對不同的垂直行業(yè)應用具體給出，限于篇幅，這里不再贅述。

2.2端、網(wǎng)、應用安全平面

端、網(wǎng)、應用安全平面包含終端、網(wǎng)絡與應用三個安全子平面。

2.2.1 終端安全子平面

針對構(gòu)建終端可信運行環(huán)境需求，首先終端應具備基于SoC芯片和密碼芯片建立終端硬件信任根的能力;然后，能夠基于硬件度量根及靜動態(tài)度量技術(shù)建立終端完整性保護鏈，從而建立終端在啟動、運行時信任鏈;同時，能夠在基于系統(tǒng)內(nèi)核完整性與動態(tài)度量及時發(fā)現(xiàn)系統(tǒng)受損事件，為信任鏈恢復與重構(gòu)提供支持。另外，終端可信隔離環(huán)境可以為敏感行業(yè)應用提供獨立的安全運行環(huán)境，為了降低主系統(tǒng)對隔離環(huán)境（TEE）的安全威脅，加強對可信執(zhí)行環(huán)境的實時監(jiān)控能力保障其隔離性。

針對終端全方位管控需求，設計了終端行為感知與分析、主/被動終端管控以及管控行為可信證明三方面的能力。其中，終端行為感知與分析是指獲取終端型號、標識、運行狀態(tài)、位置等信息，并綜合使用人工智能、關(guān)聯(lián)分析等實現(xiàn)終端安全態(tài)勢分析;主/被動終端管控則指通過地理圍欄等環(huán)境因素自動觸發(fā)或通過管控服務器指令下發(fā)被動觸發(fā)終端軟硬件安全管控策略（包括外設管控、數(shù)據(jù)訪問管控、應用選通等）執(zhí)行;管控行為可信證明是通過實時對比分析真實終端操作事件序列和安全管控策略語義，及時發(fā)現(xiàn)由內(nèi)核級的劫持、欺騙、繞過等管控對抗手段導致的管控行為異常，支撐管控策略可信實施。

2.2.2 網(wǎng)絡安全子平面

針對基礎(chǔ)設施安全防護需求，設計了完整性證實、虛擬化安全和物理安全三項能力。完整性證實是指采用基于軟/硬結(jié)合的高實時可信計算、設備安全啟動與運行、可信度量等技術(shù)，實現(xiàn)對設備固件、OS、虛擬機操作系統(tǒng)等啟動過程、運行過程的完整性證實，以及數(shù)據(jù)傳輸、存儲與處理的可信驗證。虛擬化安全需要采用hypervisor加固、操作系統(tǒng)隔離、操作系統(tǒng)安全增強、虛擬機監(jiān)控等技術(shù)，實現(xiàn)虛擬化與操作系統(tǒng)的全方位安全防護，應對面向虛擬機逃逸、鏡像篡改等安全風險。物理安全需要對通信機房或網(wǎng)絡云中心提供物理訪問控制、智慧門禁和機房、防盜防破壞、防水防潮、溫度濕度控制、防雷防火防靜電、配電供應、電磁防護和紅黑電源隔離等功能，并結(jié)合具體的領(lǐng)域和安全級別要求實施安全管控。

針對虛擬化安全與切片隔離防護需求，設計了虛擬網(wǎng)絡功能軟件安全、網(wǎng)絡協(xié)議安全、網(wǎng)絡切片隔離三項能力。虛擬網(wǎng)絡功能軟件安全是指通過對虛擬網(wǎng)絡功能軟件進行靜態(tài)、動態(tài)檢測，預先發(fā)現(xiàn)風險點并進行有效加固;網(wǎng)絡協(xié)議安全則指采用協(xié)議安全測試、協(xié)議安全開發(fā)、協(xié)議形式化建模與證明等技術(shù)，減少協(xié)議漏洞;網(wǎng)絡切片隔離采用切片和虛擬網(wǎng)絡功能資源訪問控制機制加強網(wǎng)絡切片間的隔離。

2.2.3 應用安全子平面

針對行業(yè)應用全流程安全防護需求，設計了行業(yè)應用安全檢測與防護以及多因素可信的業(yè)務訪問控制兩項能力。行業(yè)應用安全檢測與防護是面向?qū)Σ煌袠I(yè)應用所使用協(xié)議和功能特點，定制化研發(fā)行業(yè)應用安全防護技術(shù)，檢測異常請求、信息泄露、木馬植入等異常行為，對異常行為及時警告、阻斷;多因素可信的業(yè)務訪問控制是指基于人員、設備、賬號、時間、位置等因素對用戶狀態(tài)進行可信分析，并根據(jù)當前可信狀態(tài)對用戶的業(yè)務訪問權(quán)限、數(shù)據(jù)訪問權(quán)限進行控制。

全生命周期數(shù)據(jù)保護需求應能夠保障數(shù)據(jù)產(chǎn)生、采集、流轉(zhuǎn)、存儲、處理、使用、分享、銷毀全生命周期安全，其包含輕量級數(shù)據(jù)加密、數(shù)據(jù)安全存儲、敏感數(shù)據(jù)處理、敏感數(shù)據(jù)監(jiān)管四項能力。定制化數(shù)據(jù)加密是指針對不同應用場景提供定制化的密碼解決方案;數(shù)據(jù)安全存儲則指采用加密存儲和存儲數(shù)據(jù)訪問控制等技術(shù)應對數(shù)據(jù)非法訪問、濫用、外泄、篡改等風險;對于關(guān)鍵數(shù)據(jù)采用本地數(shù)據(jù)備份應對數(shù)據(jù)意外丟失、污損等風險;對于敏感數(shù)據(jù)處理，則采用邊緣計算同態(tài)加密、安全多方計算、差分隱私等技術(shù)，實現(xiàn)對敏感數(shù)據(jù)處理同時，有效應對敏感數(shù)據(jù)泄露、篡改等安全風險;同時，采用敏感數(shù)據(jù)溯源、數(shù)據(jù)標簽、數(shù)據(jù)水印等技術(shù)，形成對敏感數(shù)據(jù)的追蹤溯源、敏感數(shù)據(jù)的流動審計、敏感數(shù)據(jù)的訪問告警等能力，實現(xiàn)對敏感數(shù)據(jù)的實時監(jiān)測。

2.3安全管理平面

安全管理平面是通過端、網(wǎng)、云協(xié)同、安全態(tài)勢感知、安全編排等技術(shù)手段，提升5G垂直行業(yè)應用系統(tǒng)安全事件發(fā)現(xiàn)、響應與處置能力，其包含統(tǒng)一安全按需配置、統(tǒng)一身份管理與認證、統(tǒng)一安全態(tài)勢感知、統(tǒng)一安全管理與運維四項能力。

針對統(tǒng)一身份管理與認證需求，首先構(gòu)建多維統(tǒng)一身份標識體系，為不同的用戶身份、設備ID、網(wǎng)絡IP、業(yè)務賬號分配統(tǒng)一的網(wǎng)絡標識，支持動態(tài)標識歷史映射關(guān)系檢索，為實現(xiàn)統(tǒng)一認證、威脅發(fā)現(xiàn)與追蹤溯源提供重要基礎(chǔ)。進一步，基于多維統(tǒng)一身份標識體系，為海量不同接入方式的終端提供統(tǒng)一認證，并為物聯(lián)網(wǎng)節(jié)點提供成組認證服務，即一次完成對按照一定原則（如，同屬一個應用、在同一個區(qū)域、有相同的行為特征等）組織在一起的大量物聯(lián)網(wǎng)節(jié)點的認證，同時對時延敏感類的業(yè)務提供快速認證服務等。

針對統(tǒng)一安全按需配置需求，建立安全策略與計算、存儲、通信等各種資源的量化關(guān)系模型，突破固定的安全防護機制，根據(jù)垂直行業(yè)應用對于安全、隱私、延遲、抖動、吞吐量、帶寬等KPI的要求，借助SDN、微分段、NFV等技術(shù)優(yōu)化資源配置與分配，動態(tài)部署所需的安全機制，并動態(tài)配置、升級安全策略，實現(xiàn)系統(tǒng)安全防護體系的動態(tài)重構(gòu)。

針對統(tǒng)一安全態(tài)勢感知、管理與運維需求，首先構(gòu)建細顆粒度的5G垂直行業(yè)應用威脅情報庫，支撐5G垂直行業(yè)應用安全事件分析與識別能力;然后，基于智能計算、安全大數(shù)據(jù)、關(guān)聯(lián)分析、綜合研判等技術(shù)主動識別，分析5G垂直行業(yè)應用安全事件之間的相關(guān)性，預測安全事件的發(fā)展趨勢;進一步，利用社團發(fā)現(xiàn)方法重構(gòu)攻擊場景，發(fā)現(xiàn)不同主體安全事件之間的關(guān)聯(lián)關(guān)系，采用機器學習方法對攻擊圖中的因果關(guān)系和頻繁模式進行挖掘，實現(xiàn)攻擊擴散路徑可視化以及安全事件追蹤溯源;最后，為了有效應對安全事件，建立安全事件應急響應策略庫，針對安全事件下發(fā)相應安全策略進行聯(lián)動處置。

三、5G垂直行業(yè)應用安全技術(shù)體系實施方案探討

本節(jié)將結(jié)合5G+工業(yè)制造應用場景，對5G垂直行業(yè)安全技術(shù)體系從理論到應用的方案進行探討。具體方案如圖3所示?？v向上，該方案體現(xiàn)了系統(tǒng)性安全平面和端、網(wǎng)、應用安全平面的安全能力如何映射到實際部署系統(tǒng);橫向上，該方案體現(xiàn)了5G垂直行業(yè)從終端到應用端到端的安全防護。

由于在5G+工業(yè)制造系統(tǒng)中，海量IoT終端將內(nèi)嵌于機械臂、流水線等工業(yè)制造系統(tǒng)，因此，針對終端安全子平面，我們將2.2.1小節(jié)提出的終端安全能力集中體現(xiàn)在圖3中的“安全可信IoT終端架構(gòu)”中。首先，該架構(gòu)以SoC芯片和密碼芯片等硬件為可信根建立安全啟動機制，構(gòu)建從硬件可信根到hypervisor，再到內(nèi)核、系統(tǒng)的安全信任鏈;其次，在內(nèi)核、系統(tǒng)以及應用層引入了漏洞掃描、權(quán)限控制、動態(tài)度量、APP加固等功能模塊提升終端全棧的安全防護能力;最后，引入可信隔離環(huán)境構(gòu)建及監(jiān)測模塊保證可信執(zhí)行環(huán)境的安全性，并在該環(huán)境引入管控行為可信證明模塊保證終端管控行為的可信實施。

對于網(wǎng)絡安全子平面的落地實施，首先基于5G網(wǎng)絡自身安全能力為需要相互隔離的IoT終端分配不同的網(wǎng)絡切片標識（NSSAI）;當IoT終端附著注冊時，5G網(wǎng)絡根據(jù)請求所攜帶 NSSAI選擇對應的網(wǎng)絡切片。其次，在5G網(wǎng)絡切片中的關(guān)鍵虛擬網(wǎng)絡功能上部署軟件探針，實時采集并上報切片訪問行為及使用情況;同時，引入網(wǎng)絡切片隔離管理系統(tǒng)，基于監(jiān)測信息，結(jié)合協(xié)議還原識別、靜態(tài)特征匹配、動態(tài)行為分析、異常行為挖掘等層次化檢測方法及時發(fā)現(xiàn)切片安全威脅。最后，使用信令防護系統(tǒng)識別并過濾畸形或異常信令。

對于行業(yè)應用安全子平面的落地實施，首先，在企業(yè)云中心部署多因素可信的業(yè)務訪問控制系統(tǒng)，當IoT終端對發(fā)起對企業(yè)資源或行業(yè)應用發(fā)起訪問時，該系統(tǒng)根據(jù)IoT終端的訪問時間、所歸屬生產(chǎn)制造設備、賬號/口令信息等因素對IoT終端的狀態(tài)進行可信評估，并根據(jù)當前可信狀態(tài)控制IoT終端的業(yè)務訪問權(quán)限、數(shù)據(jù)訪問權(quán)限等。其次，為了對工業(yè)制造業(yè)務系統(tǒng)的邊界提供安全防護，部署面向具體生產(chǎn)制造業(yè)務系統(tǒng)的應用安全檢測與防護網(wǎng)關(guān)，對工業(yè)應用流量進行協(xié)議解析，識別并過濾異常訪問、異常流量。部署高安全數(shù)據(jù)庫，通過數(shù)據(jù)訪問控制、數(shù)據(jù)加密等手段保障數(shù)據(jù)的訪問與存儲安全。

對于安全管理平面的落地實施需要端、網(wǎng)、云相互協(xié)同。具體而言，所部屬統(tǒng)一安全按需配置、統(tǒng)一安全態(tài)勢感知以及統(tǒng)一安全管理與運維等系統(tǒng)均可基于PDR主動防護模型（包括保護、檢測、響應）工作運行：首先，周期性的采集端、網(wǎng)、云的安全事件與運行狀態(tài)，結(jié)合最新安全態(tài)勢知識，采用人工智能、關(guān)聯(lián)分析等方法發(fā)現(xiàn)端、網(wǎng)、云無法獨立發(fā)現(xiàn)的安全事件;然后，針對安全事件確定所需的安全防護策略;最后，通過端、網(wǎng)、云聯(lián)動的安全功能編排或安全策略更新實現(xiàn)對安全事件的處置與響應。

四、結(jié)束語

安全是5G賦能垂直行業(yè)應用健康、有序發(fā)展的重要基石。本文針對5G垂直行業(yè)應用的“安全需求”與“安全能力體系”開展了以下三方面工作：首先，從終端側(cè)、網(wǎng)絡側(cè)、應用側(cè)、管理側(cè)四個視角梳理了5G垂直行業(yè)應用的9個主要安全需求;然后，面向安全需求，提出了基于5G垂直行業(yè)應用的安全能力體系（共包含“需求驅(qū)動”，“安全管理”和“端、網(wǎng)、應用安全”3個平面），并給出了該體系所具備的32項安全能力;最后，結(jié)合5G+工業(yè)制造應用場景，探討了安全能力體系的實施方案。本文希望為5G垂直行業(yè)應用安全技術(shù)的發(fā)展與標準化提供有益的參考。

參 ?考 ?文 ?獻

[1] 3GPP 33.501， Security architecture and procedures for 5G system （Release 16） [S]. 2020.6

[2]李宏佳，5G 安全：通信與計算融合演進中的需求分析與架構(gòu)設計 [J]. 信息安全學報，2018.

[3] 3GPP 23.501， System architecture for the 5G System （5GS） （Release 16） [S]. 2020.7

[4] 5G ACIA， 5G for Connected Industries and Automation （2nd Edition）.2019

張小強（1987年—），男，漢族，陜西西安，中國移動通信集團陜西有限公司，通信工程師，互聯(lián)網(wǎng)/CDN運營、邊緣計算、安全防護等

賴材棟（1986—），男，漢族，陜西省鎮(zhèn)安縣，中國移動通信集團陜西有限公司，通信工程師，研究方向：互聯(lián)網(wǎng)電視、CDN等：

謝崇斌（1978年—），男，漢族，陜西西安，中國移動通信集團陜西有限公司，通信工程師，數(shù)通運維、內(nèi)容網(wǎng)絡運維運營