當今世界正面臨“百年未有之大變局”，全球新一輪科技革命和產業變革蓬勃興起，隨著以互聯網和通信為代表的信息技術逐漸成為推動人類社會發展的核心動力，網絡空間已成為繼陸、海、空、天之后的“第五空間”。作為新基建重點領域之首，5G超越了移動通信的范疇，成為第四次工業革命的技術基石，正在與大數據、云計算、人工智能等信息技術緊密協同，連接萬物、聚合平臺、賦能產業，將在經濟社會發展中發揮不可估量的重要作用。但是，5G提供的新特征在帶來業務支持靈活性、網絡部署經濟性等諸多效益的同時，也面臨新業務、新架構、新技術帶來的安全問題和挑戰，需要基于創新思維，結合被動防御和主動防御的網絡安全防護理念和措施，打造“5G安全網絡”，為新基建和各行各業的安全發展保駕護航。

　　一、沒有5G安全就沒有產業的安全

　　現階段，我國經濟社會數字化轉型呈現“五縱三橫”的新特征，“五縱”是當前信息技術向經濟社會加速滲透的五個典型場景，包括基礎設施數字化、社會治理數字化、生產方式數字化、工作方式數字化、生活方式數字化；“三橫”是當前經濟社會數字化轉型的三大共性需求，表現為線上化、智能化、云化。5G正在推動移動通信技術從消費側向生產側全面滲透，助力產業實現智能化轉型。

　　2020年4月20日，國家發改委首次明確了新基建的含義與范圍。5G作為“基礎”的信息基礎設施，是賦能新基建發展和各行各業數字化轉型的網絡支撐與重要載體。根據工信部數據，截至2020年12月，全國5G基站建設總量已超過70萬個，5G終端連接數超1.8億，良好的基礎設施促進了眾多基于5G的新應用的產生和成熟。

　　黨的十九屆五中全會提出，要“統籌發展和安全，建設更高水平的平安中國”，要“堅持總體國家安全觀”“統籌傳統安全和非傳統安全，把安全發展貫穿國家發展各領域和全過程”。5G作為新基建之首，重視5G安全，提升防護水平，刻不容緩。可以說，5G作為信息基礎設施，網絡安全已成為其發展的關鍵核心，沒有5G安全，就沒有產業的安全。

　　二、5G安全特性與挑戰

　　5G引入了新的業務和技術特征，使其具備了促進社會變革的能力。從業務層面來說，5G除了延續以大帶寬能力支撐移動互聯網發展之外，還提供了低時延和大連接能力，能夠支撐物聯網和工業互聯網的發展，給千行百業的數字化轉型注入動力。從技術層面來說，5G采用了基于服務的架構（SBA）和網絡功能虛擬化技術，并提供網絡切片能力，實現了云網一體化，能夠靈活地支持具有不同網絡能力需求的差異化業務場景。5G的這些新特征既帶來了新的安全特性，也面臨著新的安全挑戰。

　　（一） 5G安全特性

　　1. 標準層面

　　從標準層面來看，5G非獨立組網網絡和4G網絡具有相同的安全機制，并通過全球統一的高安全標準和實踐不斷提升其安全級別，同時，為了應對未來5G生命周期內可能出現的安全挑戰，5G獨立組網網絡支持更多的內生安全特性，主要體現在以下幾個方面：

　　（1）更好的空口安全：在2/3/4G中用戶和網絡之間用戶數據加密保護的基礎之上，5G標準進一步支持用戶數據的完整性保護機制，防范針對用戶數據的篡改攻擊。

　　（2）增強的用戶隱私保護：在2/3/4G時，用戶的永久身份IMSI在空口是明文發送的，攻擊者可以利用這一缺陷追蹤用戶。在5G中，用戶永久身份SUPI以加密形式發送，可以防范“IMSICatcher”攻擊。

　　（3）更好的漫游安全：通信運營企業之間通常需要通過網絡轉接來建立漫游連接。攻擊者可以通過控制轉接運營商設備的方法，假冒合法的核心網節點，發起信令攻擊。5G的SBA架構定義了SEPP，在傳輸層和應用層對運營商間的信令進行端到端安全保護，使得運營商間的轉接設備無法竊聽核心網之間交互的敏感信息（例如密鑰、用戶身份、短信等）。

　　（4）增強的密碼算法：為了應對量子計算機對密碼算法的影響，5G在未來版本可能需要支持256位算法。

　　2. 網絡架構層面

　　從網絡架構層面來看，5G采用了云網融合、網絡切片和統一的安全架構，為網絡和業務提供新的安全特征：

　　（1）云網融合：云網融合有利于構建端到端的內生安全體系，實現從靜態防御到動態防御、被動防御到主動防御的轉變，基于安全編排自動化與響應（SOAR：Security OrchestrationAutomation and Response）和軟件定義安全（SDSec：Software Defined Security），對安全能力和安全服務鏈進行按需自動編排，建立自適應的安全防護機制。此外，還能夠部署安全資源池，實現安全能力的對外開放和服務輸出。

　　（2）統一安全架構：統一安全架構保證貫穿5G網絡全程全網的安全一致性，保障網絡層面從終端、接入網、核心網到業務網絡的端到端安全。通過安全能力開放，安全一致性可以延伸到業務應用層面，實現業務應用的端到端安全。

　　（3）網絡切片：網絡切片通過按需組網的方式為具有差異化需求的業務建立相應的端到端虛擬網絡，實現不同業務之間的邏輯隔離。網絡切片除了保障業務的SLA要求之外，還能夠根據業務的安全需求制定安全策略，提供相應的安全防護能力。

　　（二） 5G與垂直行業融合面臨的安全挑戰

　　5G“賦能垂直行業，開啟萬物互聯”已成為全社會的共識。垂直行業是5G的主要應用場景，企業出于更高效、更安全等因素選擇5G，但5G與垂直行業融合的過程中，仍然會給垂直行業帶來突出的安全風險：

　　1. 應用軟件存在安全漏洞：不同垂直行業及相關企業的軟件開發能力參差不齊，難以形成標準的安全軟件開發流程規范，部分垂直行業應用在軟件開發過程中未能全面考察安全風險和安全需求，導致發布的應用程序中存在一定安全漏洞，通過5G形成萬物互聯網絡后，給垂直行業的業務運行造成安全隱患。

　　2. 安全能力與業務未同步發展：當前的垂直行業應用開發較多使用開源平臺軟件，以達到應用程序快速開發和發布的目的，而安全防護能力需要適配各種軟件開發和發布的速度，使其安全性得到保障，盡管業界一直在努力開拓創新的思路，但至今仍未達到期望的安全效果。

　　如果上述安全風險得不到有效的管控，必將對業務與網絡融合的5G+垂直行業帶來安全威脅，垂直行業應用系統安全事件的影響可能蔓延到承載其運行的5G網絡，例如發起針對5G核心網的攻擊，造成網絡性能下降甚至癱瘓，又反過來影響5G網絡承載的其它垂直行業應用的正常運行。

　　三、對5G安全工作模式演進的思考

　　從網絡安全實踐來看，當前，網絡安全行業已有很多優秀的理論模型和實踐案例。但總體而言，業界對于5G安全的認識理解與傳統安全觀較為趨同，安全范圍仍然圍繞“主機、系統、局域網段”等被保護對象；安全理念仍然以縱深防御、邊界防護為主；安全手段仍然以病毒防護、防火墻、入侵檢測等“老三樣”為基礎；安全運營仍然以查漏洞、打補丁等為主要工作方式。在5G網絡架構云原生、服務專網化等背景下，這些傳統的固有安全模式在實踐中必然面臨諸多挑戰。

　　因此，5G時代的網絡安全呼喚理論與實踐的雙重突破與創新。通過梳理總結與實踐，我們認為5G時代網絡安全防護體現為“三重境界”和“五種模式”。

　　第一重境界為確保資產“不被控”。當前，安全工作通常圍繞“主機、系統或局域網”的“資產脆弱性”開展，通過針對局部保護對象的“漏洞”打補丁加固，避免或降低“漏洞”被利用的風險，實現網絡資產不被控制的目標。在5G時代，基礎通信運營企業還可通過采用新的虛擬補丁技術，針對漏洞攻擊行為提供基于外部流量監測和防護的措施，降低漏洞被利用的可能性，可達到安全加固的目的。同時，基于零信任的安全理念，精細化權限管理和訪問控制，持續做好信任評估，力爭最小化漏洞被利用導致的危害范圍，并及時發現和消除安全風險。

　　第二重境界為確保資產“不可達”。5G時代的遠程通信具有“全程全網”的特點，以往以“一地一點”為局部保護對象的防護模式無法滿足新安全需求。圍繞“威脅來源”，通過優化底層承載網絡的安全架構設計，由通信運營企業實施整體網絡隔離，主動從源頭屏蔽攻擊，從而使攻擊者即使了解網絡資產信息，也無法獲得攻擊路徑。

　　第三重境界為確保資產“不可知”。基于通信運營企業云網融合的安全架構，充分發揮5G網絡“云原生”的特點，積極推進云化、安全內生化。未來，在網絡承載通道隔離的基礎上，依托云化實現網絡資產“隱身”，業務和數據無固定承載實體，使得攻擊者無法精準定位目標，從而無法發起攻擊。

　　在具體實踐上，上述“三重境界”可通過“五種模式”來遞進式實施：

　　一是“補丁”模式。以往5G行業用戶往往以業務發展為中心，在發現漏洞后采取“創可貼”式的事后補救措施，一般不會因安全而調整總體架構。

　　二是“鎧甲”模式。目前5G行業用戶安全意識已有顯著提升，圍繞主機、系統、局域網等被保護對象，主動開展以漏洞為核心的系統安全加固，但該模式下仍只重視局域資產的安全能力增強，未對廣域承載架構做體系化優化。

　　三是“吊橋”模式。隨著通信運營企業與5G行業用戶日益緊密結合，從廣域網絡的角度看待安全，實現網絡架構原生支持安全機制，能夠圍繞威脅來源在網絡架構承載層面隔斷網絡通達路徑，實現廣域訪問按需可達、用后關閉，同時強化針對性重點防護，實現更高等級的安全。

　　四是“反制”模式。基于通信運營企業特有的全程全網優勢，綜合考慮“接入、訪問、使用”等階段協同對抗攻擊，針對發現的攻擊源，幫助5G行業用戶實施源頭攔截、溯源、反制等措施。

　　五是“黑洞”模式。通信運營企業通過云化、服務發現等技術手段，實現5G行業用戶的資產隱藏、資源動態遷移，無固定承載實體，使得攻擊者愈加難以發起針對性的攻擊。

　　四、基于通信運營企業特色的“5G安全網絡”創新理念與實踐

　　傳統的安全防護理念難以應對5G多樣化應用的安全需求，也難以繼續推動安全防護手段和安全運營水平的迅速提升，需要以創新的理念構建5G網絡安全防護體系，適配其差異化的網絡和業務部署場景，解決其基礎設施安全、應用安全、數據安全、終端安全和身份安全等全方位的安全問題。總而言之，以創新的理念促進安全防護體系的變革，并通過實踐驗證其可行性，是滿足5G網絡安全需求并為新基建提供基礎安全保障的關鍵。

　　（一） “5G安全網絡”創新理念

　　立足通信運營企業“網絡+安全”的特色和優勢，中國移動深入思考了網絡安全的演變過程、技術特點與發展規律，總結形成了以“安全網絡”為核心理念的5G安全體系。簡要來說，“安全網絡”是區別于傳統的“網絡安全”而言的，既是我們開展5G安全工作的指導理念，也是我們的工作目標。“安全網絡”的突出特點是安全與網絡共生、安全貫穿全程全網。

　　首先，安全與網絡共生是由5G的技術特點決定的。一方面，與4G相比，5G支持切片技術，能夠為不同行業應用提供相對隔離的網絡通道，從網絡架構承載層面隔離來自公網或者其他業務的攻擊，力圖實現未授權訪問“不可達”。另一方面，5G具有云原生的特點，以云的方式建設與運維，具有更強的彈性和安全韌性，網絡資產可以在云上實現“隱身”，力圖實現重要資產“不可知”。這兩方面的技術特性決定了5G的安全可以與網絡共生。

　　其次，安全貫穿全程全網是由通信運營企業的屬性決定的。傳統“網絡安全”基本上是從局域網范圍的主機、系統出發，主要以逐個消除漏洞、配置安全策略為目標開展安全防護工作。而“安全網絡”是通信運營企業特有的防護方式，需要緊密依托5G網絡特有的可隔離性和5G時代“云網融合”的發展趨勢，實現全程全網、端到端的安全保障。

　　需要強調的是，“5G安全網絡”的實現需要產業鏈各方深入開展合作，可以做到“三重境界”按需疊加，“五種模式”綜合運用。舉例來說，如表1所示，通過“補丁模式”和“鎧甲模式”實現網絡資產“不被控”；通過“吊橋模式”和“反制模式”實現網絡資產“不可達”；通過“黑洞模式”實現網絡資產“不可知”，進而最終實現“網絡安全”向“安全網絡”的演變升級。

　　（二） 5G安全工作實踐

　　中國移動貫徹落實統籌發展與安全要求，圍繞網絡安全工作堅持做好頂層設計，持續健全覆蓋“點線面體”的網絡安全防御體系，即以“云-管-邊-端”等各類業務為“點”，推動做好業務安全防護；以安全應急響應為“線”，強化一體聯動的閉環管理機制；以全網監測為“面”，推動安全風險與威脅整體可視、可感、可控；以網絡安全工作責任制為“體”，確保各項要求落地做實。

　　在5G安全方面，基于全新的認識與思考，公司加快建立起涵蓋標準、能力、應用的5G安全管理運營體系，各項工作保持行業領先。

　　一是推動建立5G安全統一標準。面向國內，牽頭編制了全國首個《5G安全標準體系建設指南》，建立起5G安全標準體系圖譜，初步劃定了該領域的“四梁八柱”。同時，主導研制了國內首個5G安全通信行業標準。面向全球，中國移動在國際標準化組織（ISO）和TD-LTE全球發展倡議（GTI）等平臺發布了多個5G垂直行業標準和白皮書。

　　二是全面構建5G安全防護能力。靈活疊加“三重境界”，按需組合“五種模式”，積極鍛造風險識別、安全防御、安全檢測、安全響應和安全恢復五大能力，全流程、全周期防范5G安全風險。

　　三是全力護航5G業務安全運行。積極推動“15個行業100個5G示范應用”項目落地推廣，圍繞5G智慧港口、超高清視頻、5G抗疫復工等打造了40個5G安全“樣板房”，入選GSMA、中國網絡安全產業聯盟、工業互聯網產業聯盟等優秀案例集。在工信部“綻放杯”5G應用征集大賽中取得了全國總決賽一等獎、18項安全專題賽獎項的突出成績。

　　五、5G安全發展建議

　　當前，5G 產業鏈已經初具規模，5G產業的發展不僅亟需與之相適應的理論、實踐和生態創新，還呼喚與之相適應的安全理念和安全防護體系創新。中國移動愿與產業合作伙伴攜手，共創5G安全繁榮生態：

　　一是積極推進5G安全理論創新。立足5G技術本質和發展規律，樹立全新的安全防護理念，在頂層設計上為5G持續健康發展提供堅實保障。

　　二是積極推進5G 安全實踐創新。緊密結合5G網絡特點和應用場景，組合運用多種模式，形成安全融合解決方案，在實踐應用中持續完善防護理念與防護手段。

　　三是積極推進5G 安全生態創新。5G安全需要產業各方攜手共進、同向發力，推動合作模式升級，強化合作機制落地，加強合作平臺建設，促進合作利益共享，實現互惠互利、合作共贏。