作為數字化發展的新引擎，“新基建”已成為我國的國家級戰略。今年4月，國家發改委明確了“新基建”的范圍，包括信息基礎設施、融合基礎設施、創新基礎設施三個方面。而早在2018年底，5G、工業互聯網、人工智能等就已經歸入“新基建”范疇。其中，5G在“新基建”中是信息基礎設施的根基，可為數據中心、工業互聯網等其它基礎設施提供重要的網絡支撐。

三大運營商及廣電作為國家關鍵基礎通信設施的承建、運營方，緊跟5G時代潮流，積極投身“新基建”，共同推動5G SA組網、5GC云化、MEC節點部署等5G相關基礎設施建設。

5G網絡在為個人移動通信帶來優質體驗的同時，也為各領域提供了重要的基礎通信服務，為傳統行業的發展注入了新活力，促進了信息網絡與垂直行業的深度融合，但也使得網絡安全問題變得更為復雜。
深信服作為專注于企業級安全、云計算和基礎架構的產品和服務供應商，深耕運營商與廣電行業領域多年，基于5G新基建發展方向，配合運營商整體建設腳步與安全需要，提出了5G MEC安全解決方案，為5G時代下各行業信息化發展提供了有力的安全保障。

01 5G架構的新風險

從網絡架構來看，5G 網絡整體延續 4G 特點，包括接入網、承載網、核心網和上層應用。同時，5G網絡又具備eMBB（增強移動帶寬）、URLLC（超高可靠低時延通信）、mMTC（海量機器類通信）等自身特性，因此除傳統接入、認證、傳輸層面安全風險外，5G場景還存在空口安全風險、設備接入過程中的網絡連接安全風險、漫游安全風險、端口監聽安全風險以及5G承載的各類上層應用安全風險。
另外，5G網絡架構在設計之初就從5G網絡業務需求以及網絡架構演進趨勢的角度出發支持邊緣計算。5G邊緣計算的核心功能由5G UPF和邊緣計算平臺系統共同構成，同時需要與包括NFVO、BOSS系統、能力開放、安全管理平臺、網絡支撐和基礎設施在內的技術領域和系統平臺進行協同。
綜上，結合3GPP標準中定義的5G標準化安全功能，深信服認為5G MEC新架構下的安全應從防范5G網絡架構域外風險，以及由5G RAN、EMS、5GC、MEC構成的5G網絡架構域內風險兩個層面綜合考慮。

在域外威脅方面，用戶需考慮空口安全威脅、Internet安全威脅、網絡漫游安全威脅，具體為：

1.空口安全威脅

• 用戶數據竊聽/篡改
• 終端側DDoS攻擊
• 非授權終端接入（部分行業應用場景）
• 偽基站、惡意干擾
• 用戶數據傳輸泄露/篡改

2.Internet安全威脅

• 偽基站、惡意干擾
• 用戶數據傳輸泄露/篡改
• 仿冒網絡應用拒絕特定服務
• Internet側DDoS攻擊
• 能力開放場景下的API非授權訪問等

3.網絡漫游安全威脅

• 用戶敏感信息傳輸泄露/篡改
• 仿冒轉接運營商拒絕服務

在域內威脅方面，用戶需考慮網元間（內）的連接安全威脅、SBA架構安全威脅、O&M安全威脅、MEC安全威脅、云化安全威脅以及網絡切片安全威脅，具體為：

1.網元間（內）的連接安全威脅

• 非法訪問、竊聽/篡改傳輸數據

2.SBA架構安全威脅

• 對NRF進行DoS攻擊，導致服務無法注冊
• 攻擊者假冒NF接入5GC進行非法訪問
• NF間的傳輸數據被竊聽/篡改

3.O&M安全威脅

• 非授權用戶訪問EMS，用戶隱私泄露
• 合法用戶惡意操作，O&M數據泄露/篡改

4.MEC安全威脅

• 惡意第三方應用對MEP、UPF或其他應用進行攻擊
• 應用之間搶占資源
• 越權進行第三方應用的管理運維

5.云化安全威脅

• 云化部署后物理資源共享，邏輯資源間無明顯邊界
• 虛擬化開源軟件容易引入更多漏洞
• 傳統監控無法應對NFV交付場景下，能力分層、多廠商的大量監控信息分析和安全事件溯源
• 靜態安全策略無法滿足業務彈性和擴縮容需求，業務調整后安全策略無法自動隨之調整

6.網絡切片安全威脅

• 訪問未經授權的切片或越權運維
• 海量終端DDoS攻擊、資源過度消耗
• 切片Key泄露，攻擊者獲取其他切片內數據
  
  

02 深信服對5G時代下安全建設的探索

基于前文的分析可以看出，傳統安全方案以終端、網絡、應用等層面提供的較為割裂的安全能力，已經無法匹配5G時代下的安全防護需求。且隨著5G商用，運營商亟需打造多元化、可信的5G生態，承載醫療、能源、金融、交通等不同業務特征的數字資產，并需要積極探索在SDN/NFV、MEC等新技術手段的支撐下，如何為5G時代下廣泛的應用按需提供定制的安全能力。

深信服認為，5G MEC場景下的安全，應由設備廠商、安全廠商共同解決。其中，5G接入網、核心網中的大部分風險，可通過設備廠商解決，安全廠商則保障終端接入安全、切片安全、MEC安全、5G行業應用安全以及實現安全智能運營能力。

終端安全：需實現5G終端接入訪問控制以及傳統終端接入5G CPE訪問控制。

切片安全：需提供切片訪問控制與數據防泄漏功能。

MEC安全：需保障MEC平臺安全，實現在MEC應用場景下運營商與用戶界面的安全權責劃分。

5G行業應用安全：需保障MEC節點承載的智慧園區、智能駕駛、智能家居、遠程醫療、遠程教育等行業應用安全，以及后續承載應用的容器安全。

安全智能運營：5G MEC安全防護存在大量差異化的安全場景，MEC、MEP安全策略、能力交互過程中也需要有效的運營手段提供支撐，因此需要實現MEC安全和5G安全的統一運營管理。

03 深信服5G MEC建設方案與能力

深信服5G場景下MEC安全能力建設方案，基于對運營商站點機房、邊緣云、5G核心網等架構內基礎平臺、虛擬資源兩個維度風險威脅的檢測發現，通過安全事件日志上報、安全策略聯動下發，實現5G MEC平臺自身安全合規、MEC節點內安全（含容器）檢測防護以及5G應用場景安全智能運營。

秉承“立體保護，全局運營”的運營商行業網絡安全建設思路，重點針對運營商各MEC節點，進行物理、網絡、數據、應用、身份立體保護。同時重點建設基于統一運營管理視角的安全管理中心與安全運營中心，通過整合容器安全、云工作負載保護（CWPP）等技術，融合自動化編排響應等安全能力，實現全局運營管理，統一風險監測告警。

方案融合醫療、教育、能源等多行業中安全建設經驗，通過將場景化安全服務能力借助安全資源池、NFV、CWPP、容器等方式以云原生形式交付到MEC節點，形成與5G場景業務深度匹配的敏捷安全能力方案，為運營商在5G MEC場景下提供立體、智能、全面的安全防護。

“新基建”背景下，5G作為支撐數字信息化轉型的基石，使得行業發展新機會與新風險并存。未來，深信服將繼續提升創新能力，緊跟行業發展變化與需求，迎難而上，與運營商行業用戶攜手同行，持續優化5G網絡架構下的安全解決方案，在數字化轉型浪潮中，為各行業用戶構筑安全穩定的互聯網環境。