5G網路安全規劃與實踐

本書詳細介紹了5G 網路安全規劃的具體內容和實踐方案，闡述了5G 網路安全規劃方法論，以架構為驅動，以能力為導向，著眼現在，布局未來，並基於新一代NIST CSF IPDRR模型，對5G安全能力框架進行了詳細的規劃，旨在形成實戰化、體系化、常態化的5G安全能力開放體系。5G網路安全實踐主要聚焦踐行規劃目標及實施路徑，貫穿5G網路安全風險評估、設計、建設、測評、運營等不同階段，覆蓋“雲、網、端、邊、數、業”一體化的5G 網路安全解決方案，旨在系統地推進5G安全體系建設落地見效。

本書適合從事5G網路安全規劃、設計和維護的工程技術人員、安全服務人員和管理人員參考使用，也適合從事5G垂直行業套用安全相關的工程技術人員參考使用，並可作為教材供高等院校移動通信網路安全相關專業的師生使用。

章建聰，碩士研究生，畢業於浙江大學微電子專業，現就職於華信諮詢設計研究院有限公司，任公司副總經理，具有20年通信網路規劃設計經驗，近年來主要負責網路與信息安全技術創新研究工作，已發表論文近10篇，參編多項國家標準、行業標準，擁有發明專利2項。

陳斌，高級工程師，博士畢業於北京郵電大學電磁場與微波技術專業，現就職於華信諮詢設計研究院有限公司，從事網路安全規劃與設計工作20多年，現專注於5G網路安全研究和5G攻防對抗，已發表數篇論文，參編國家標準1項。

景建新，高級工程師，註冊諮詢工程師，現就職於華信諮詢設計研究院有限公司，擁有20多年移動通信核心網規劃設計和行動網路信息安全項目經驗，參編著作2部。

邱雲翔，中國電信集團高級專家，杭州市濱江區青年科技英才，高級工程師，現就職於華信諮詢設計研究院有限公司，主要研究方向為信息安全、數據安全。承擔國家數據安全重大專項，參與安全類國家標準1項、行業標準9項，擁有發明專利2項。

董平，高級工程師，現就職於華信諮詢設計研究院有限公司，主要從事網路安全和信息安全方面的諮詢規劃、評估工作，對相關安全技術有深入研究，參編多項國家標準、行業標準。

湯雨婷，高級工程師，碩士畢業於美國加利福尼亞大學洛杉磯分校電子與計算機工程專業，現就職於華信諮詢設計研究院有限公司，主要研究方向為數據安全，承擔國家數據安全重大專項，參編多項國家標準、行業標準。

目錄

第 一部分規劃篇

第 1章5G安全規劃方法3

1．1 5G安全規劃方法論3

1．2 現狀調研與需求分析5

1．2．1 5G安全戰略分析5

1．2．2 5G安全現狀分析5

1．2．3 5G安全需求分析6

1．3 總體架構與藍圖設計7

1．3．1 5G安全總體架構設計7

1．3．2 5G安全基礎架構設計8

1．3．3 建設目標及藍圖8

1．4 項目規劃與實施設計9

1．4．1 差距分析與改進措施9

1．4．2 重點建設內容10

1．4．3 實施路徑規劃10

1．5 5G安全新需求11

1．6 5G安全規劃思路13

1．7 5G安全能力規劃重點14

1．8 小結16

1．9 參考文獻17

第 2章 5G網路空間資產測繪規劃19

2．1 基礎概念19

2．2 問題與需求20

2．2．1 問題分析20

2．2．2 需求分析21

2．3 5G資產梳理23

2．3．1 5G管理和編排類資產24

2．3．2 5G網路產品類資產24

2．3．3 5G協定類資產24

2．3．4 5G數據類資產24

2．3．5 5G互聯類資產25

2．3．6 5G服務類資產25

2．3．7 5G流程類資產25

2．3．8 5G組織類資產25

2．4 規劃方案26

2．4．1 規劃思路26

2．4．2 技術體系27

2．4．3 平台架構28

2．4．4 關鍵技術30

2．5 小結35

2．6 參考文獻36

第3章 5G安全防禦規劃37

3．1 5G安全防禦體系規劃思路37

3．1．1 網路安全滑動標尺模型37

3．1．2 自適應安全架構模型38

3．2 5G 安全縱深防禦39

3．2．1 5G安全基礎防禦40

3．2．2 5G泛終端安全防護41

3．2．3 5G MEC安全防護42

3．2．4 5G網路安全防護42

3．2．5 5G核心網安全防護43

3．2．6 5G數據安全防護45

3．2．7 5G業務安全防護46

3．3 5G安全主動防禦—基於欺騙防禦技術46

3．3．1 主動防禦框架模型46

3．3．2 欺騙防禦工作原理47

3．3．3 5G網路欺騙防禦規劃方案47

3．4 5G安全動態防禦—基於零信任架構51

3．4．1 零信任安全架構51

3．4．2 零信任設計理念和基本原則52

3．4．3 基於零信任的5G安全微隔離52

3．4．4 基於零信任的5G安全防護體系54

3．5 5G整體協同防禦體系56

3．5．1 規劃思路56

3．5．2 規劃方案56

3．6 小結57

3．7 參考文獻58

第4章 5G威脅檢測規劃59

4．1 5G威脅建模59

4．1．1 5G威脅識別59

4．1．2 5G威脅模型61

4．1．3 5G威脅分解64

4．1．4 5G威脅檢測需求66

4．2 5G威脅檢測67

4．2．1 5G威脅檢測架構67

4．2．2 5G威脅檢測技術70

4．2．3 5G威脅檢測規劃方案71

4．3 小結75

4．4 參考文獻76

第5章 5G安全態勢分析規劃77

5．1 5G安全態勢分析現狀和需求77

5．1．1 現狀分析77

5．1．2 需求分析78

5．2 5G安全態勢分析規劃78

5．2．1 5G安全態勢感知體系模型78

5．2．2 5G安全態勢分析規劃82

5．3 基於AI的5G安全分析規劃86

5．3．1 規劃思路86

5．3．2 規劃方案88

5．4 小結92

5．5 參考文獻93

第6章 5G安全編排和自動化回響能力規劃95

6．1 5G安全運營挑戰和發展趨勢95

6．1．1 問題和挑戰95

6．1．2 發展趨勢96

6．2 5G SOAR規劃97

6．2．1 技術內涵97

6．2．2 規劃思路99

6．2．3 規劃方案100

6．3 小結105

6．4 參考文獻106

第7章 5G網路攻防靶場規劃107

7．1 國內外網路靶場發展簡介107

7．2 需求分析和規劃目標109

7．2．1 需求分析109

7．2．2 願景目標111

7．3 5G網路攻防靶場規劃方案112

7．3．1 規劃思路112

7．3．2 總體方案112

7．3．3 技術架構113

7．3．4 能力視圖114

7．3．5 套用場景115

7．4 5G網路攻防靶場發展趨勢117

7．4．1 分散式5G網路靶場117

7．4．2 5G網路靶場目標仿真118

7．4．3 自動攻防5G網路靶場119

7．5 小結121

7．6 參考文獻121

第8章 5G安全能力開放規劃123

8．1 5G網路能力開放架構體系123

8．1．1 5G網路服務化模型123

8．1．2 5G能力開放框架124

8．1．3 5G網路能力統一開放架構125

8．2 5G安全能力開放需求分析126

8．2．1 政策形勢126

8．2．2 市場發展126

8．2．3 業務驅動127

8．2．4 技術驅動127

8．3 5G安全能力開放規劃方案128

8．3．1 規劃思路128

8．3．2 總體架構129

8．3．3 安全能力分級130

8．3．4 場景規劃132

8．4 小結136

8．5 參考文獻136

第二部分 實踐篇

第9章 5G核心網安全方案139

9．1 概述139

9．2 5G核心網架構和部署現狀139

9．2．1 5G核心網架構139

9．2．2 5G核心網部署142

9．3 5G核心網安全風險和需求分析143

9．4 總體方案設計145

9．4．1 設計原則145

9．4．2 設計思路145

9．4．3 總體架構146

9．5 詳細方案設計147

9．5．1 5G核心網基礎設施及網元安全147

9．5．2 5G核心網安全152

9．5．3 5G核心網安全運營 163

9．6 小結164

9．7 參考文獻164

第 10章 5G MEC安全方案165

10．1 MEC主要安全風險165

10．2 MEC安全總體架構167

10．3 MEC安全域劃分170

10．4 MEC安全基礎能力170

10．4．1 物理基礎設施安全170

10．4．2 虛擬基礎設施安全171

10．4．3 MEC與5GC安全隔離172

10．4．4 MEP安全172

10．4．5 MEC App安全172

10．5 MEC安全防護和檢測173

10．5．1 MEC安全加固173

10．5．2 MEC管理平台側安全防護和檢測173

10．5．3 MEC邊緣節點側安全防護和檢測174

10．6 MEC安全管理175

10．7 小結177

10．8 參考文獻177

第 11章 5G數據安全方案179

11．1 概述179

11．2 5G數據資產梳理180

11．2．1 5G數據分類180

11．2．2 5G數據流轉182

11．3 5G數據安全風險分析184

11．3．1 數據生命周期的數據安全風險184

11．3．2 多層面的數據安全風險185

11．3．3 5G物聯網 車聯網場景融合數據安全風險186

11．3．4 運營商5G共建共享數據安全風險187

11．4 總體方案設計188

11．4．1 設計原則188

11．4．2 設計思路188

11．4．3 體系架構189

11．5 詳細方案設計190

11．5．1 5G通用數據安全190

11．5．2 5G數據安全能力體系191

11．5．3 5G多層面的數據安全解決方案193

11．5．4 5G數據安全關鍵防護能力194

11．5．5 5G物聯網 車聯網解決方案196

11．5．6 5G運營商共享數據安全解決方案197

11．6 發展趨勢與展望197

11．7 小結197

11．8 參考文獻198

第 12章 5G訊息安全方案199

12．1 概述199

12．2 5G訊息系統架構簡介200

12．3 現狀和需求分析201

12．3．1 現狀分析201

12．3．2 需求分析202

12．4 總體方案設計203

12．4．1 設計原則203

12．4．2 設計思路204

12．4．3 總體架構204

12．5 詳細方案設計205

12．5．1 內容安全205

12．5．2 業務安全208

12．5．3 數據安全210

12．5．4 終端安全211

12．5．5 網路系統安全213

12．6 小結215

12．7 參考文獻215

第 13章 5G垂直行業套用安全方案217

13．1 概述217

13．1．1 背景與趨勢217

13．1．2 意義和必要性218

13．2 現狀與需求分析219

13．2．1 現狀分析219

13．2．2 需求分析220

13．3 總體方案設計223

13．3．1 設計原則223

13．3．2 設計思路223

13．3．3 總體架構224

13．4 詳細方案設計225

13．4．1 5G終端安全防護225

13．4．2 5G網路安全防護227

13．4．3 5G行業專網安全防護232

13．4．4 5G行業數據安全防護236

13．4．5 5G行業套用一體化安全運營237

13．4．6 5G套用安全保障239

13．5 下一步工作重點242

13．6 小結243

13．7 參考文獻243

第 14章 5G安全測評方案245

14．1 概述245

14．2 5G行業套用安全風險分析245

14．2．1 5G專網安全風險245

14．2．2 行業套用安全風險247

14．2．3 5G數據安全風險248

14．3 測評對象梳理249

14．3．1 5G專網層面249

14．3．2 行業套用層面249

14．3．3 安全管理層面249

14．3．4 數據安全層面249

14．4 測評體系框架250

14．4．1 安全測評體系250

14．4．2 安全測評內容251

14．4．3 安全測評能力251

14．4．4 安全測評流程252

14．5 測評具體實施方法253

14．5．1 行業套用安全調研253

14．5．2 安全基線測評254

14．5．3 協定參數分析254

14．5．4 滲透測試255

14．5．5 模糊測試255

14．5．6 實戰攻防256

14．6 5G行業套用安全測評用例參考257

14．6．1 測評用例總覽257

14．6．2 AS層信令保護258

14．6．3 NAS層信令加密258

14．6．4 N3接口IPSec配置258

14．6．5 MEP App安全認證259

14．6．6 UE安全能力篡改259

14．7 自動化測評工具開發輔助260

14．8 小結261

14．9 參考文獻261

第 15章 5G攻防靶場部署與實踐263

15．1 引言263

15．2 5G攻防靶場建設需求263

15．3 5G網路攻擊面分析264

15．4 5G實戰攻防框架設計265

15．4．1 5G安全攻擊框架265

15．4．2 5G安全防護框架269

15．5 5G攻防靶場部署271

15．5．1 部署方案271

15．5．2 技術選型273

15．6 5G實戰演練實踐274

15．6．1 實戰演練流程274

15．6．2 實戰演練工具庫276

15．6．3 實戰演練戰法277

15．7 小結280

15．8 參考文獻280

第 16章 5G安全技術實踐發展趨勢281

16．1 5G零信任架構實踐發展281

16．1．1 零信任原則281

16．1．2 5G零信任架構及套用282

16．1．3 未來發展285

16．2 AI ML賦能5G安全實踐發展285

16．2．1 5G網路中的AI ML標準框架285

16．2．2 AI ML在5G安全中的套用288

16．2．3 未來發展289

16．3 區塊鏈與5G融合實踐發展290

16．3．1 背景290

16．3．2 區塊鏈與5G融合架構290

16．3．3 區塊鏈在5G中的套用291

16．3．4 未來發展293

16．4 5G網路量子加密實踐發展294

16．4．1 背景294

16．4．2 標準及架構294

16．4．3 量子加密在5G中的套用295

16．4．4 未來發展299

16．5 5G網路內生安全實踐發展299

16．5．1 背景299

16．5．2 內生安全內涵300

16．5．3 5G內生安全能力體系301

16．5．4 未來發展302

16．6 小結303

16．7 參考文獻303

附錄 縮略語305