1 引言

5G作為新一代移動(dòng)通信技術(shù)，與傳統網(wǎng)絡(luò )相比，具有更高速率、更低功耗、更短時(shí)延和更大連接等特性。此外，5G在大幅提升移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)能力的基礎上，進(jìn)一步拓展到物聯(lián)網(wǎng)領(lǐng)域，服務(wù)對象從人與人通信拓展到人與物、物與物通信，開(kāi)啟萬(wàn)物互聯(lián)的新時(shí)代。5G主要面向的三大業(yè)務(wù)場(chǎng)景包括增強移動(dòng)寬帶（eMBB）、海量機器類(lèi)通信（mMTC）和超可靠低時(shí)延通信（uRLLC）。

5G網(wǎng)絡(luò )的發(fā)展趨勢，尤其是5G新業(yè)務(wù)、新架構、新技術(shù)，對安全和用戶(hù)隱私保護都提出了新的挑戰。本文將基于5G網(wǎng)絡(luò )架構逐層分析5G網(wǎng)絡(luò )存在的安全風(fēng)險進(jìn)行梳理分析，并從加強5G網(wǎng)絡(luò )安全建設、建立安全風(fēng)險分級分類(lèi)保障機制、完善5G安全標準體系三個(gè)方面入手提出對策與建議。

2 風(fēng)險分析

2.1 總體架構

總體來(lái)說(shuō)，5G網(wǎng)絡(luò )技術(shù)變革帶來(lái)的新的風(fēng)險主要體現在終端多樣化、網(wǎng)絡(luò )功能虛擬化、網(wǎng)絡(luò )切片化、業(yè)務(wù)邊緣化、網(wǎng)絡(luò )開(kāi)放化以及應用多樣化。與4G網(wǎng)絡(luò )相比，5G網(wǎng)絡(luò )暴露給攻擊者的信息量大幅增加，面臨著(zhù)更高的安全風(fēng)險。如圖1所示，基于5G網(wǎng)絡(luò )架構，逐層對5G網(wǎng)絡(luò )可能存在的安全風(fēng)險進(jìn)行分析。

2.2 接入層

2.2.1 終端設備安全

總體來(lái)說(shuō)，終端面臨的安全風(fēng)險與網(wǎng)絡(luò )通信和終端自身相關(guān)。一方面，對于網(wǎng)絡(luò )通信，在無(wú)線(xiàn)環(huán)境中，終端面臨著(zhù)身份被盜用、數據被竊取與篡改的安全威脅；另一方面，對于終端的硬件，5G網(wǎng)絡(luò )支持的終端多樣化，終端面臨的安全問(wèn)題主要源于終端芯片設計上存在的漏洞或硬件體系安全防護的不足，導致敏感數據面臨被泄露、篡改等安全風(fēng)險；在終端軟件方面，還存在網(wǎng)絡(luò )攻擊者通過(guò)終端的軟件系統發(fā)起攻擊的安全風(fēng)險。終端面臨與網(wǎng)絡(luò )通信相關(guān)的安全風(fēng)險點(diǎn)具體如下。

（1）終端的真實(shí)性與數據的機密性

終端設備的真實(shí)性，尤其是物聯(lián)網(wǎng)設備的真實(shí)性是防御安全攻擊的關(guān)鍵。5G網(wǎng)絡(luò )的非接入層對設備的識別與認證不再基于SIM卡，尤其是采用靈活認證方式的物聯(lián)網(wǎng)設備，例如eSIM應用，給終端設備的認證帶來(lái)挑戰，終端的真實(shí)性受到影響。

在防御分布式拒絕服務(wù)攻擊（DDoS）的場(chǎng)景下，來(lái)自互聯(lián)網(wǎng)服務(wù)器的DDoS攻擊通常在已通過(guò)身份驗證的設備上生成。這類(lèi)攻擊可以對源IP地址進(jìn)行偽造，使得這種攻擊在發(fā)生的時(shí)候具有較高的隱蔽性。因此，為抵御DDoS攻擊，必須在系統的不同位置采取措施識別并弱化攻擊強度。

此外，真實(shí)性較低的終端設備還會(huì )受到普通文件傳輸協(xié)議（TFTP）中間人攻擊，導致第三方設備對會(huì )話(huà)中的通信進(jìn)行竊聽(tīng)，對數據的機密性構成威脅。

（2）網(wǎng)絡(luò )接入層設備功能的可用性

部分接入層的終端設備，尤其是M2M設備具有顯著(zhù)的低功耗和不同的數據傳輸模式。此外，接入層設備計算資源有限，性能較低，很難提高網(wǎng)絡(luò )功能的可用性。

2.2.2 基站空口安全

基站空口存在的安全風(fēng)險主要包括兩大類(lèi)。

（1）由無(wú)線(xiàn)環(huán)境中的外部不可控因素引發(fā)的安全風(fēng)險：無(wú)線(xiàn)環(huán)境中的偽基站會(huì )干擾無(wú)線(xiàn)信號，導致5G終端降級接入，連接至不安全的2G/3G/4G網(wǎng)絡(luò )中。無(wú)線(xiàn)環(huán)境中廣泛分布的安全性較低的物聯(lián)網(wǎng)設備若遭受攻擊，可能會(huì )對基站或核心網(wǎng)發(fā)起DDoS攻擊，這會(huì )降低網(wǎng)絡(luò )設備功能的可用性。

（2）空口協(xié)議存在的安全風(fēng)險：3GPP協(xié)議自身存在的漏洞可能面臨身份假冒、服務(wù)抵賴(lài)、重放攻擊 等風(fēng)險，這會(huì )對終端真實(shí)性造成影響；終端制造商為提升服務(wù)質(zhì)量、降低時(shí)延，選擇關(guān)閉對用戶(hù)數據的加密或完整性保護選項，導致用戶(hù)數據被惡意篡改，這會(huì )給數據的機密性與完整性帶來(lái)影響。

2.3 網(wǎng)絡(luò )層

2.3.1 網(wǎng)絡(luò )切片

按照業(yè)務(wù)邏輯需求，5G網(wǎng)絡(luò )能夠分成不同的網(wǎng)絡(luò )切片，其中至少分為增強移動(dòng)寬帶、高可靠低時(shí)延、大連接三大類(lèi)。通過(guò)網(wǎng)絡(luò )切片管理為每一個(gè)業(yè)務(wù)組織形成一個(gè)虛擬化的專(zhuān)用網(wǎng)絡(luò )。

目前，網(wǎng)絡(luò )切片在5G生產(chǎn)系統中尚未廣泛應用，其脆弱性需有待全面評估，潛在的安全風(fēng)險點(diǎn)集中體現在：切片中共享的通用網(wǎng)絡(luò )接口、管理接口、切片之間的接口、切片的選擇與管理。這些接口存在被非法調用的風(fēng)險，一旦非法的攻擊者通過(guò)這些接口訪(fǎng)問(wèn)業(yè)務(wù)功能服務(wù)器，濫用網(wǎng)絡(luò )設備，非法獲取包括用戶(hù)標識在內的隱私數據，給用戶(hù)標識安全性、數據機密性與完整性、網(wǎng)絡(luò )功能可用性帶來(lái)影響。

（1）用戶(hù)標識安全性

若直接使用真實(shí)的用戶(hù)標識進(jìn)行用戶(hù)與用戶(hù)或者用戶(hù)與應用平臺之間的通信，一旦系統的網(wǎng)絡(luò )切片或切片之間的接口被非法程序訪(fǎng)問(wèn)，用戶(hù)的標識容易遭到泄露。用戶(hù)真實(shí)身份以及其他關(guān)聯(lián)的隱私信息存在泄露的隱患。用戶(hù)標識被識別后其通信活動(dòng)與內容受到攻擊者的非法竊聽(tīng)或攔截。

（2）數據機密性

在安全隔離方面，網(wǎng)絡(luò )切片技術(shù)使得網(wǎng)絡(luò )邊界模糊，若網(wǎng)絡(luò )切片的管理域與存儲敏感信息域沒(méi)有實(shí)現隔離，一旦網(wǎng)絡(luò )切片遭到攻擊，切片中存儲的敏感信息將會(huì )遭到泄露；在身份認證方面，未經(jīng)過(guò)授權的設備訪(fǎng)問(wèn)網(wǎng)絡(luò )切片會(huì )導致端對應用的非法使用，非法客戶(hù)端也存在被黑客利用的風(fēng)險，造成數據的泄露。

（3）數據完整性與網(wǎng)絡(luò )功能可用性

在業(yè)務(wù)與應用的服務(wù)質(zhì)量方面，實(shí)現5G的每一個(gè)網(wǎng)絡(luò )切片均有一組特定的QoS參數集，這些參數的配置與網(wǎng)絡(luò )服務(wù)質(zhì)量、數據的完整性密切相關(guān)，應在保障安全的前提下保證用戶(hù)的服務(wù)質(zhì)量。在5G主要應用場(chǎng)景中，超可靠超低時(shí)延通信（uRLLC）與海量機器類(lèi)通信（mMTC）均對服務(wù)質(zhì)量具有較高的要求。若大幅降低時(shí)延提升傳輸速率，會(huì )導致數據丟包率上升，數據的完整性難以保證。

在基礎設施共享方面，多個(gè)網(wǎng)絡(luò )切片共享通用的硬件設備，一旦硬件設備遭到破壞，將會(huì )導致使用該設備的多個(gè)切片都會(huì )受到功能性破壞，網(wǎng)絡(luò )功能的可用性受到嚴重影響。

2.3.2 邊緣計算

邊緣計算是將網(wǎng)絡(luò )業(yè)務(wù)和計算能力下沉到更接近用戶(hù)的無(wú)線(xiàn)接入網(wǎng)側，從而降低核心網(wǎng)的負載和開(kāi)銷(xiāo)，并降低了業(yè)務(wù)時(shí)延。邊緣計算給5G網(wǎng)絡(luò )帶來(lái)的安全風(fēng)險點(diǎn)如下。

（1）用戶(hù)標識的安全性：網(wǎng)絡(luò )邊緣設備安全防護能力較弱，可能會(huì )面臨網(wǎng)絡(luò )攻擊，用戶(hù)終端與邊緣設備之間的流量容易受到截斷或者監聽(tīng)，攻擊者可能在流量中捕獲并識別出用戶(hù)標識。

（2）數據機密性與完整性：邊緣計算將采用開(kāi)放的應用程序接口（API）、開(kāi)放的網(wǎng)絡(luò )功能虛擬化（NFV）等技術(shù)，開(kāi)放性接口的引入將邊緣計算暴露給外部攻擊者，攻擊者通過(guò)非法訪(fǎng)問(wèn)開(kāi)放接口，竊取或者被非法篡改數據。

（3）終端的真實(shí)性：由于網(wǎng)絡(luò )邊緣的資源有限，相較于核心網(wǎng)，邊緣節點(diǎn)的計算能力較弱，對于終端的身份驗證能力下降。

（4）網(wǎng)絡(luò )功能的可用性：邊緣計算基礎設施通常部署在無(wú)線(xiàn)基站等網(wǎng)絡(luò )邊緣，更容易被暴露在不安全的環(huán)境中，設備面臨著(zhù)功能性損壞的風(fēng)險。

2.3.3 軟件定義網(wǎng)絡(luò )

5G網(wǎng)絡(luò )最突出的特征為通過(guò)軟件定義網(wǎng)絡(luò )（SDN）實(shí)現了控制面與用戶(hù)面的分離，利用網(wǎng)絡(luò )操作系統集中管理網(wǎng)絡(luò )，基于大數據和人工智能為每一個(gè)業(yè)務(wù)流計算出端到端的路由，而且將路由信息嵌入到原節點(diǎn)的IPv6擴展報頭，并按照原路徑傳遞到各節點(diǎn)，中間節點(diǎn)只需轉發(fā)而無(wú)需選路，保證低時(shí)延轉發(fā)，從而實(shí)現對流量的靈活控制。

SDN技術(shù)的引入給5G網(wǎng)絡(luò )的數據機密性與完整性帶來(lái)安全風(fēng)險。面對不斷變化的網(wǎng)絡(luò )資源，SDN計算出來(lái)的路由可能存在沖突，尤其是在跨地區路由的場(chǎng)景下，需要SDN之間交換業(yè)務(wù)流和網(wǎng)絡(luò )資源數據，這就增加了復雜性，容易出現路由計算失誤、數據包丟失或者將數據傳送至錯誤的目的地址，導致傳輸的數據的完整性受到影響。此外，虛擬化基礎設備的API也會(huì )對數據的機密性與完整性產(chǎn)生影響：一是數據竊取，用戶(hù)的密碼等信息被竊取，登錄賬號發(fā)布敏感信息；二是數據篡改，提交的數據被抓包后進(jìn)行篡改后再提交；三是數據泄露，爬蟲(chóng)將業(yè)務(wù)數據甚至核心數據抓取，直接或間接造成損失。

SDN技術(shù)給5G網(wǎng)絡(luò )的功能可用性帶來(lái)的風(fēng)險可從軟件與硬件兩個(gè)方面分析：一是在軟件方面，與傳統移動(dòng)網(wǎng)絡(luò )相比，5G網(wǎng)絡(luò )對軟件的依賴(lài)性增大，給網(wǎng)絡(luò )運營(yíng)帶來(lái)了新的威脅，因此必須確保這些軟件不會(huì )暴露或者被惡意篡改；二是在硬件方面，SDN控制器等相關(guān)硬件設備同樣存在功能性破壞或者盜用的安全風(fēng)險。此外，在硬件設備發(fā)生故障后，系統恢復應通過(guò)自動(dòng)化的方式恢復NFV、SDN、MANO系統之間的互操作性功能。

2.3.4 網(wǎng)絡(luò )功能虛擬化

與傳統移動(dòng)網(wǎng)絡(luò )相比，虛擬化技術(shù)（NFV）基于通用的硬件，自定義軟件。這種技術(shù)給5G網(wǎng)絡(luò )帶來(lái)許多優(yōu)點(diǎn)的同時(shí)也存在諸多安全風(fēng)險。

（1）在軟件方面，若虛擬化系統存在漏洞，若遭到基于軟件的網(wǎng)絡(luò )攻擊，系統功能性會(huì )遭到破壞；若存儲了敏感或重要信息的功能模塊與受到損壞的功能之間沒(méi)有實(shí)現安全隔離，還會(huì )導致數據的機密性受到影響。

（2）在硬件方面，通用硬件設備存在安全弱點(diǎn)：一是通用硬件設備的安全，部署在機房中的設備受到環(huán)境的影響，設備可能會(huì )受到物理性的損壞；二是在故障恢復方面，設備故障發(fā)生后，要做到快速恢復；三是通用的基礎設施存在設備被非法使用的風(fēng)險。

虛擬化技術(shù)在軟件和硬件方面給5G網(wǎng)絡(luò )的網(wǎng)絡(luò )功能可用性、數據的機密性帶來(lái)較高的安全風(fēng)險。此外。由于5G網(wǎng)絡(luò )采用多層級的上下文認證方式，并配置多屬性的QoS用于上下文感知，包括多種用戶(hù)上下文（如應用程序和使用模式）和設備上下文（如位置和速度）。這些認證方式如果存在漏洞，容易被攻擊者破解，給終端設備和用戶(hù)的認證帶來(lái)影響，使得終端的真實(shí)性降低。

2.3.5 應用運營(yíng)支撐系統

5G應用的運營(yíng)支撐系統，不僅包括類(lèi)似于傳統網(wǎng)絡(luò )的故障管理、配置管理、告警管理、性能管理，還包括虛擬化的網(wǎng)絡(luò )功能的管理,根據用戶(hù)的需求，對網(wǎng)絡(luò )功能進(jìn)行配置、調整。

運營(yíng)支撐系統通常情況下會(huì )分級管理，較低一級的系統通常部署的比較分散，數據存儲分散，安全管理與防御能力較弱，其功能可能被非法使用還會(huì )造成業(yè)務(wù)數據的泄露或者丟失，數據的機密性和完整性面臨著(zhù)挑戰。

再者，如果運營(yíng)支撐系統存在安全漏洞，遭到黑客攻擊，會(huì )導致網(wǎng)絡(luò )功能遭到破壞，網(wǎng)絡(luò )功能的可用性受到影響。

2.4 應用層

5G網(wǎng)絡(luò )面向多種垂直行業(yè)應用，如智慧城市、智慧醫療、智能家居、智能農業(yè)、金融、車(chē)聯(lián)網(wǎng)等，這些應用通過(guò)多種方式進(jìn)行配置以實(shí)現跨網(wǎng)絡(luò )的運行具有潛在的安全風(fēng)險。其中，金融服務(wù)、智慧醫療服務(wù)、車(chē)聯(lián)網(wǎng)具有較高風(fēng)險。

5G多樣化的垂直應用如圖2所示。其中，個(gè)別重點(diǎn)行業(yè)領(lǐng)域具有特殊的安全要求。例如，面向行業(yè)（to B）和面向用戶(hù)（to C）的應用。to B應用包括機器人技術(shù)和自動(dòng)化、自動(dòng)車(chē)聯(lián)網(wǎng)和遠程醫療設備上的應急通信應用系統；to C應用包括增強現實(shí)（AR）、虛擬現實(shí)（VR）等新技術(shù)。相較于傳統網(wǎng)絡(luò )，這些5G應用對網(wǎng)絡(luò )的安全提出了更高、更復雜的要求。

總體上，在5G應用層，用戶(hù)標識安全性、數據的完整性與機密性存在一定的安全風(fēng)險。各類(lèi)垂直行業(yè)應用的業(yè)務(wù)相關(guān)系統中的服務(wù)器會(huì )生成、處理、存儲大量用戶(hù)敏感信息，業(yè)務(wù)系統如果存在安全問(wèn)題，遭到黑客攻擊，容易造成用戶(hù)數據泄露。金融服務(wù)應用相關(guān)系統存儲包括個(gè)人身份信息、銀行賬戶(hù)在內的相關(guān)金融信息，如果遭到泄露容易給用戶(hù)造成較大的經(jīng)濟損失；智慧醫療除了涉及用戶(hù)隱私信息之外，還與個(gè)人健康甚至是生命息息相關(guān)，若智能醫療系統存在漏洞遭到黑客攻擊控制，嚴重的情況會(huì )導致醫療事故，給個(gè)人的生命造成巨大損失；車(chē)聯(lián)網(wǎng)涉及用戶(hù)的行動(dòng)軌跡，若車(chē)聯(lián)網(wǎng)相關(guān)用戶(hù)信息遭到泄露，用戶(hù)隱私受到威脅。此外，車(chē)聯(lián)網(wǎng)管理與控制系統如果遭到黑客非法操縱，易引發(fā)交通事故，造成較大的社會(huì )影響，甚至影響到國家的安全穩定發(fā)展。

2.5 數據傳輸

在數據傳輸方面存在的安全風(fēng)險進(jìn)行分析，5G網(wǎng)絡(luò )從接入層到應用層，數據傳輸的整個(gè)過(guò)程面臨著(zhù)被攔截、竊聽(tīng)、篡改等風(fēng)險，數據的機密性與完整性會(huì )受到影響。

（1）在接入側，可能會(huì )出現針對以無(wú)線(xiàn)信號為載體對信息內容篡改、假冒、中間人轉發(fā)和重放等形式的無(wú)線(xiàn)接入攻擊，數據的機密性與完整性受到嚴重影響。

（2）在網(wǎng)絡(luò )層，核心網(wǎng)絡(luò )設備之間的傳輸線(xiàn)路同樣存在遭到破壞或者非法安裝竊聽(tīng)設備導致數據被竊取的風(fēng)險。

（3）在應用層，不同的應用服務(wù)提供商除了在企業(yè)內部機房自建服務(wù)器，還會(huì )租用第三方CDN機房的服務(wù)器和鏈路，數據在傳輸的過(guò)程中同樣面臨著(zhù)被攔截、竊取的風(fēng)險。

2.6 安全風(fēng)險總結

綜上所述，5G網(wǎng)絡(luò )在接入層、網(wǎng)絡(luò )層以及應用層面臨的安全風(fēng)險點(diǎn)集中體現在4個(gè)方面。

（1）用戶(hù)標識的安全性，應做好用戶(hù)標識符的隱私保護。在移動(dòng)網(wǎng)絡(luò )中，可采用標識匿名的方式防止攻擊者識別出個(gè)人用戶(hù)，以防攻擊者通過(guò)核心網(wǎng)和無(wú)線(xiàn)接入網(wǎng)滲透進(jìn)行的流量監測和流量分析。

（2）數據的機密性與完整性，需對網(wǎng)絡(luò )傳輸、業(yè)務(wù)服務(wù)器處理、數據庫存儲的涉及用戶(hù)隱私的數據進(jìn)行加密，防止敏感信息遭到泄露。

（3）終端的真實(shí)性，為防止攻擊者冒充合法用戶(hù)獲取免費的服務(wù)，移動(dòng)網(wǎng)絡(luò )對每一個(gè)接入網(wǎng)絡(luò )的終端進(jìn)行身份驗證，確保終端用戶(hù)身份真實(shí)可靠。

（4）網(wǎng)絡(luò )功能的可用性，在提升安全能力的同時(shí)需要考慮網(wǎng)絡(luò )功能與設備的性能的要求，確保網(wǎng)絡(luò )功能與設備性能不會(huì )大幅下降,需要在網(wǎng)絡(luò )功能、設備性能與安全需求間保持平衡。

3 對策與建議

3.1 總體建議

基于5G網(wǎng)絡(luò )面臨的四大風(fēng)險點(diǎn)出發(fā)，給出如下建議。

一是從用戶(hù)標識的安全性、數據的機密性與完整性、終端的真實(shí)性以及網(wǎng)絡(luò )功能的可用性4個(gè)方面入手加強網(wǎng)絡(luò )安全建設，基于5G網(wǎng)絡(luò )架構，結合5G網(wǎng)絡(luò )新特性，逐層完善安全防護手段。

二是建立安全風(fēng)險分級分類(lèi)保障機制。將安全風(fēng)險相關(guān)方進(jìn)行分類(lèi)，劃分優(yōu)先級，分級分類(lèi)提出解決方案，優(yōu)先解決損失最大的風(fēng)險所有者。

三是完善5G安全標準體系。不同垂直行業(yè)企業(yè)通過(guò)標準化組織制定統一的標準，對安全解決方案進(jìn)行規范化，提升安全防護能力。

3.2 加強5G網(wǎng)絡(luò )安全建設

從近期來(lái)看，應加大5G 安全相關(guān)建設的投入，從用戶(hù)標識安全性、數據的機密性與完整性、終端真實(shí)性以及網(wǎng)絡(luò )功能的可用性4個(gè)方面入手，在終端設備、網(wǎng)絡(luò )虛擬化、網(wǎng)絡(luò )切片、邊緣計算等方面采用一定的安全技術(shù)保證5G網(wǎng)絡(luò )安全，采取相應措施應對安全風(fēng)險，構建安全穩定的5G網(wǎng)絡(luò )架構，提高5G網(wǎng)絡(luò )整體安全性。具體安全保障措施建議如下。

3.2.1 用戶(hù)標識的安全性

在接入層加強終端標識的認證，在網(wǎng)絡(luò )層對用戶(hù)標識進(jìn)行加密存儲與傳輸，在應用層對用戶(hù)標識進(jìn)行轉化，將轉化后的標識用于端到端以及端與平臺之間的通信。

3.2.2 數據的機密性與完整性

3.2.3 終端的真實(shí)性

構建按統一的標準的身份管理系統，采用多種靈活的認證方式與身份標識，加強終端認證能力，保證接入網(wǎng)絡(luò )的所有設備的合法性，提升終端的真實(shí)性。

3.2.4 網(wǎng)絡(luò )功能的可用性

在接入層中有限的計算資源下控制設備能效與安全之間的平衡，在保證安全的前提下提升設備的性能與功能可用性。

在網(wǎng)絡(luò )層采用多終端提高網(wǎng)絡(luò )功能的可用性：一是建立完備的病毒庫，及時(shí)更新，提升防御攻擊能力；二是采取必要的措施實(shí)現易受攻擊設備與存儲敏感信息設備之間的安全隔離；三是做好虛擬化系統間接口的安全認證，防止系統被非法調用，其功能受到影響。

在應用層制定適用于M2M應用的安全解決方案，為避免留下破壞系統安全的后門(mén)，可將安全算法應用于M2M設備實(shí)現網(wǎng)絡(luò )高能效與高安全保障之間的平衡。

3.3 建立安全風(fēng)險分級分類(lèi)保障機制

當5G網(wǎng)絡(luò )受到安全攻擊，其系統的完整性、可用性和機密性遭到損害。在安全領(lǐng)域，這些組織或個(gè)人被稱(chēng)為“風(fēng)險所有者”。建議將安全風(fēng)險相關(guān)方進(jìn)行分類(lèi)，劃分優(yōu)先級，分級分類(lèi)地提出解決方案，優(yōu)先解決受到損失最大的風(fēng)險所有者。對于風(fēng)險所有者分級分類(lèi)的建議如圖3所示，圖中金字塔高層的用戶(hù)比低層的用戶(hù)具有較高的風(fēng)險。隨著(zhù)受到安全攻擊影響的用戶(hù)數量增加，風(fēng)險度也會(huì )進(jìn)一步增加，即發(fā)生安全事件時(shí)，用戶(hù)數量越多，所受影響越大。

在滿(mǎn)足5G安全要求的同時(shí)，應考慮5G網(wǎng)絡(luò )和業(yè)務(wù)的主要利益相關(guān)者的需求。在通常情況下，不同的策略之間存在潛在的沖突。表1可以根據不同策略提供優(yōu)先級選擇指南。不同的應用場(chǎng)景下，不同的利益相關(guān)者會(huì )將不同的因素作為需求納入優(yōu)先考慮范圍。

3.4 完善5G安全標準體系

從長(cháng)期來(lái)看，建議加快標準制定，不同的垂直行業(yè)企業(yè)可以通過(guò)標準化組織制定統一的安全標準，為5G新技術(shù)新應用提供標準化的解決方案，提升全方位的防護能力。一方面，不同垂直行業(yè)領(lǐng)域的企業(yè)組織應通過(guò)標準化組織機構與工業(yè)論壇相互合作，制定統一規范的安全標準；另一方面，5G產(chǎn)業(yè)鏈內部各方應加強協(xié)同合作，確保各環(huán)節安全，形成綜合的5G安全治理體系，具備全方位的安全防護能力。

建議5G網(wǎng)絡(luò )涉及的所有行業(yè)的標準協(xié)會(huì )組織加強協(xié)同合作，共同制定規范，采用安全的端到端（E2E）跨層方法，提升5G網(wǎng)絡(luò )不同部分（包括移動(dòng)核心網(wǎng)、傳輸、接入、服務(wù)與應用）之間的安全互操作性。同時(shí)，應確保單個(gè)標準協(xié)會(huì )組織提供的安全解決方案在有限的范圍內不具備較高的特殊性，從而在所有5G網(wǎng)絡(luò )系統之間留下安全間隙，實(shí)現網(wǎng)絡(luò )互聯(lián)。

參考文獻

[1] Department for Digital, Culture, Media & Sport, UK.DCMS 5G testbeds and trials programme (5G T&T)[EB/OL]. (2019-08-27)[2020-02-10]. https://www.gov. uk/government/collections/5g-testbeds-andtrials-programme.

[2] Brahima Sanou Director, Telecommunication development bureau, ITU. Setting the scene for 5G: Opportunities & Challenges, ITU report, 2018[EB/OL]. (2018-09-30)[2020-02-10]. https://www.itu.int/en/ITU-D/ Documents/ITU_5G_REPORT-2018. pdf.

[3] 3GPP. Feasibility study on new services and markets technology enablers for enhanced mobile broadband; Stage 1, 3GPP technical specification TS 22. 863 [EB/OL].(2016-09-30)[2020-02-10]. http://www.3gpp.org/ftp// Specs/archive/22_series/22. 863/.

[4] 3GPP. Feasibility study on new services and markets technology enablers for critical communications; Stage 1,3GPP technical specification TS 22. 862[EB/OL].(2016-10-04)[2020-02-10]. http://www.3gpp.org/ftp//Specs/ archive/22_series/22. 862/.

[5] 3GPP. FS_SMARTER-massive Internet of Things, 3GPP technical specification TS 22. 861[EB/OL]. (2016-09-30)[2020-02-10]. http://www.3gpp.org/ftp//Specs /archive/22_series/22.861/ .

來(lái)源：中國信通院