5G 智慧城市安全参考架构概述

来源:安全内参

2020年5月12日,IMT-2020(5G)推进组安全工作组发布了《5G智慧城市安全需求与架构白皮书》,本文节选自该白皮书,主要概述了5G 智慧城市安全参考框架。

该框架是参考GB/T 37971-2019《信息安全技术 智慧城市安全体系框架》,并结合 5G 智慧城市架构而提出的。文章主要内容包括:5G 智慧城市安全角色、5G 智慧城市安全架构和5G 智慧城市安全技术。

01   5G 智慧城市安全角色 

1、智慧城市安全管理者 

智慧城市安全管理者的职责包括但不限于:制定智慧城市安全总体方针、规划、框架,建立智慧城市安全管理组织架构和机制,统筹协调智慧城市安全管理与监督工作,检查、评估智慧城市安全建设与运营工作,定期审核、改进智慧城市安全管理制度和流程,为智慧城市安全的其他角色提供指导和必要支持。 

2、智慧城市安全运营者

智慧城市安全运营者的职责包括但不限于:负责智慧城市安全建设、运行与维护管理,部署有效的智慧城市安全防护措施,检测智慧城市安全风险,分析智慧城市安全态势,发现智慧城市安全事件和脆弱性,防范、阻断网络攻击,并负责智慧城市安全风险与安全事件的应急处置和管理。 

3、智慧城市安全服务提供者 

智慧城市安全服务提供者的职责包括但不限于:设计开发安全产品与应用并提供维护技术服务,为智慧城市安全运行提供信息安全基础服务,部署安全技术措施,协助智慧城市安全运行者进行安全工程建设、运维及应急处置和管理,提供安全产品、服务及技术服务支持。 

4、智慧城市安全服务使用者 

智慧城市安全服务使用者的职责包括但不限于:合理使用智慧城市服务提供者提供的智慧应用和服务并反馈合理的安全需求,负责所拥有信息数据资产和智慧城市业务的安全管理,定期安排对网络、信息系统和设备进行安全评估,根据评估结果进行整改和修复。 

02    5G 智慧城市安全架构

GB/T 37971-2019《信息安全技术 智慧城市安全体系框架》提出了智慧城市安全体系框架。参考该架构,结合 5G 智慧城市架构,提出 5G 智慧城市安全参考框架,如下图所示。 

5G 智慧城市安全体系框架

图中,包括终端安全、边缘计算层安全、网络层安全、行业平台/技术中台层安全、应用层安全,以及跨各层的安全运营管理。 

03    5G 智慧城市安全技术

1、终端层安全 

对于终端来说,主要从底层软硬件和上层应用 APP/数据两个方面保障通信安全。例如,终端内置特殊的安全芯片,作为终端标识、通信加密秘钥和安全可信根的载体,另外通过调试接口物理关闭、物理写保护等措施防范针对终端的底层物理攻击。

同时,通过安全启动、完整性校验等措施确保终端的系统固件和操作系统安全。为了保障终端通信业务的安全,可以对通信数据进行端到端的加密(例如保密通话),防止终端的通信数据被窃听或篡改,避免因为通信数据内容的泄密篡改对智慧城市的业务应用带来破坏或者重大的安全事故。另外,对终端的应用 APP 软件实施漏洞扫描、安全加固等措施,避免因为应用软件的漏洞导致终端被入侵破坏。 

2、边缘计算层安全 

对于 MEC 安全来说,除了站点物理层面的安保设施,例如监控摄像头、门禁密码锁,首先要做好 MEC 软硬件系统的边界防护,在 UPF设备的对外接口处(例如连接 Internet 的 N6 接口)部署防火墙等边界隔离防护措施,避免来自于外部网络对 MEC 的入侵和破坏。

确保 MEC 云基础设施的安全是 MEC 自身安全的重要组成部分,例如通过 VDC、VPC 资源隔离,Hypervisor 安全监控(防虚机逃逸),操作系统数据库漏洞扫描、安全加固等方面的措施,保障 MEC 云基础设施的安全。 

另外,在 MEC 边缘计算云的部署应用中,可能涉及到各种应用 APP,以及业务能力 API 的开放对接。需要通过安全扫描加固等措施保障应用 APP 的安全,避免因为 APP 的安全漏洞隐患给整个 MEC 带来损失破坏。

同时,可以通过 API 通信接口加密(例如 TLS 加密)和接口安全认证等措施保障 API 接口调用的安全,避免通过API 对接的渠道入侵破坏应用 APP 以及整个 MEC。 

对于面向垂直行业客户、部署在企业园区的 MEC 场景来说,可以在 MEC 和企业网络的边界处(尤其是企业网络侧)部署防火墙、入侵检测系统和网络流量探针等安全设施,一方面确保企业内部信息系统和外部网络之间的安全隔离,另外一方面通过隔离和流量监控等手段,确保企业数据不出园区。 

3、网络层安全 

从网络本身的组成来说,智慧城市的网络层安全主要包含 RAN 基站空口安全、承载网安全、5GC 安全以及 5G 切片安全等几个部分:

◆ 基站空口侧安全 

对于 5G UE 终端到基站之间的空口来说,面临的安全威胁主要有三类。第一类是空口的用户数据窃听篡改,为了应对此安全威胁,可以开启 SUCI 加密以及空口 PDCP 层面数据包的加密功能。

第二类是来自于 UE 的空口DDOS 攻击,为了防范这种攻击,可以部署DDOS 检测防御系统,在出现 DDOS 大流量攻击的时候,基站可以做一些限流控制。

第三类是伪基站或者其它攻击源对空口的恶意干扰,例如通过伪基站发送垃圾短信、通过特殊信号源实施频谱干扰。为此可以在全网部署统一的伪基站检测系统和频谱干扰检测系统,做到第一时间发现定位网络中的空口干扰源。 

◆ 承载网安全 

对于承载网的安全,主要从以下几方面来考虑实施。在网络本身的规划设计上,做好HA 高可用设计,避免单点故障,例如承载网双平面保护倒换。

其次,可以考虑部署 IPSEC 安全加密,保障网络数据报文的机密性和完整性,避免业务流量非法监听或者网络重放攻击。 

在承载网的协议控制面上,可以配置 MD5 认证或者 SSL 加密等安全措施,避免可能的路由协议攻击(例如 BGP 路由劫持攻击)。

另外,通过 VLAN、FlexE、VPN 等技术措施实施承载网的逻辑或物理隔离,不同业务或者不同运营商的 5G 流量通过相互间隔离的管道来承载。 

◆ 5GC 核心网安全 

对于 5GC 核心网来说,需要从四个方面考虑核心网业务的安全保障措施,分别是 5GC 电信云数据中心的边界安全、电信云 I 层云化基础设施的安全、5GC 网元自身的安全以及 5GC 电信云数据中心的容灾备份。 

为了避免来自外部的入侵对 5GC 核心网造成破坏,可以在 5GC 电信云数据中心出口边界处,集中部署防火墙、沙箱、WAF、IPS、抗 DDOS 等安全设施,防御从数据中心外部过来的各种可能的安全威胁。 

5G 核心网的一个重要特征是功能网元的虚拟化云化,数据中心云化基础设施的安全是 5GC 安全的重要基础和前提。可以通过 VDC、VPC资源隔离,Hypervisor 安全监控(防虚机逃逸),操作系统数据库漏洞扫描、安全加固等方面的措施,保障 5GC 云基础设施的安全。

5GC 安全的主要目标是确保 5G 核心网网元的安全稳定运行,除了周边及配套系统的安全措施,核心网网元自身也可以部署一些安全功能来保障网元的安全。

例如,在网元系统上安装运行内生的安全组件,监控网元的运行状况,防范可能的病毒木马。同时,还可以通过白名单ACL、网络微分段、关闭不使用的端口等最小化安全手段对核心网网元的通信进行细粒度的隔离防护,减少网元的安全暴露面,规避安全风险。 

另外,对于 5GC 建议规划和部署异地灾备数据中心,确保在遇到火灾、地震或者大规模入侵破坏安全事故的情况下,5G 核心网的业务能在第一时间恢复,保障 5G 网络业务的连续性,减少灾难带来的损失。 

◆ 5G 切片安全 

对 5G 网络切片安全来说,首先要确保切片间的隔离,一个切片出问题不能影响到其它切片。切片隔离可以分为物理隔离和逻辑隔离,对安全等级和资源保障要求高的重点行业应用,可以部署物理隔离,例如在核心网侧不同切片部署在不同物理服务器上。对于安全性要求不是太高的非敏感业务,可以采用切片逻辑隔离,例如核心网的虚机隔离。

另一方面,切片安全需保证切片的安全接入和安全使用,例如只有通过切片使用者(政府机构,工矿企业)以及 5G 网络运营商的双重认证和授权,才能接入到对应的网络切片,确保切片的合法接入以及切片资源的合法使用。另外,还可以通过端到端的数据加密,保障切片业务的机密性和完整性。 

4、行业平台/技术中台层安全 

对于行业平台和技术中台的安全稳定运行来说,主要保障措施体现在数据安全、通信接口安全、云基础设施的安全以及平台系统的容灾备份等方面。

为了避免行业应用平台和 IT 中台的数据被泄露篡改,保障数据的机密性、完整性和可用性,可以部署一些数据安全方面的措施,例如数据加密存储、数据匿名化处理、数据安全删除以及数据的定期备份等。 

行业平台/技术中台层的通信接口安全,主要是平台/中台系统与上下游相关的其它部件系统或者网元之间的各种API 调用、信息采集传递、操作指令传送的安全。

这方面的安全保障措施主要有通信接口加密(例如 TLS 加密)、接口认证等方面,避免攻击者通过机机间的通信接口入侵和窃取敏感数据。 

在云计算技术日益普及的今天,智慧城市的行业平台和技术中台系统一般也是虚拟化部署,构建在以通用服务器为核心的云化基础设施之上。

为此,需要部署相应的一些安全措施,保障云基础设施底座的安全,例如资源隔离、操作系统数据库安全扫描加固、Hypervisor安全监控等。

对于智慧城市的行业平台/技术中台来说,为了避免在遇到突发事故灾害情况下系统中断给智慧城市各行各业带来损失和破坏,建议对关键的行业平台和技术中台规划部署容灾备份系统,一些对国计民生、社会稳定有重要影响的系统甚至可以考虑异地灾备。 

另外,对广大行业客户这样的智慧城市服务使用者来说,能购买、享受的服务除了智能便捷的信息管道和应用系统,还包括与信息系统配套的安全服务,毕竟,安全是业务正常开展的重要前提和保障。

对不同行业领域的各个企事业单位来说,所需要的信息安全功能可能是类似甚至相同的。在智慧城市安全的建设和运营管理中,可以规划建设公共的安全中台。

通过这个安全能力服务平台,使能智慧城市的垂直行业应用,将一些常用的安全能力(例如防火墙隔离保护,数据加密,云基础设施安全)通过 API 的形式开放给上层业务系统和各个垂直行业客户,既满足了智慧城市各领域的安全需求,又实现了资源的集约高效利用。 

5、应用层安全 

对于智慧城市的应用层安全来说,需要关注应用账号的身份和访问控制、数据安全、业务安全以及应用软件的安全加固等方面。通常每个应用系统会配置多个不同类别、不同权限等级的用户账号。

尤其对智慧城市的一些应用来说,同时面向行业与广大社会公众提供服务,为了避免非法访问越权访问,保障应用系统的安全,需要对应用系统实施严格的身份管理和访问控制,清晰地定义每个用户的角色(例如系统管理员,普通外部用户)、认证方式(例如双因素认证,生物特征认证)和访问权限,做到基于角色的访问控制(不同级别账号可用可见的操作命令和功能菜单不一样)。

另外,在用户账号和身份数据的添加、修改、删除上,进行严格规范的管理,同时对账号的访问操作实施例行的监管和审计。

智慧城市的应用软件系统可能涉及行业数据和用户隐私数据的处理,为了确保数据不被泄露篡改,保障行业和用户敏感数据的机密性、完整性和可用性,需要部署一些数据安全方面的措施,例如数据加密存储、数据匿名化处理、数据安全删除以及数据的定期备份等。 

对智慧城市的应用层安全来说,还需要防止业务本身被恶意滥用。这方面可以借鉴电信运营商和公安系统防范治理电信诈骗的一些思路,通过基于 AI、大数据等先进技术的行为分析、流量分析和过滤筛查等手段,监测防范利用智慧城市业务实施的各种诈骗、窃取等不法行为。 

另外,为了避免软件的缺陷漏洞被恶意利用,还需要通过应用软件系统定期的漏洞扫描和安全加固措施,保障智慧城市应用层的业务安全。 

6、安全运营管理 

安全三分靠技术,七分靠管理。对于智慧城市运行的安全保障来说,技术再先进,手段再完备,如果在运营管理层面没有严格的落实执行,也很难起到安全保障应有的效果。

另外一方面,周密完善的安全运营管理和安全监控响应,本身也是安全保障的重要手段。在信息系统安全保障工作中,一般会通过安全运营中心(SOC)的组织管理形式统一落实安全的管理、监控、响应、恢复、审计等措施。 

对 5G 智慧城市的安全保障体系来说,在城市全局层面可以规划建设智能运营中心(IOC)。一方面,IOC 面向业务和社会运转落地实施智慧城市的运营管理,另外一方面,IOC 也面向安全保障承接智慧城市SOC 的职责。

通过 IOC,智慧城市的管理者和运营者能够实时感知整个城市的安全态势状况,对安全事件及时做出全局性的响应和处置。 

除了面向城市全局的 IOC,还可以面向智慧城市的各个行业平台,规划建设平台的SOC。平台 SOC 由行业自身建设运营,例如,城市政府建设运营政务云平台的SOC,交通管理部门建设运营智慧交通平台的 SOC。

通过平台 SOC 的集中监控运营,保障行业平台以及行业内客户应用的安全。另外,5G 网络是 5G 智慧城市重要的信息动脉,为了保障 5G 网络的安全稳定运行,移动运营商也可以规划建设面向整个网络的 SOC。

本文摘自:中国信通院CAICT《5G智慧城市安全需求与架构白皮书》。

未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图谱,为提升企业,行业与城市的智能水平服务。

  如果您对实验室的研究感兴趣,欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/487831.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vue 学习笔记—路由篇

一.关于三种路由 动态路由 就是path:good/:ops 这种 用 $route.params接收  <router-link>是用来跳转 <router-view></router-view>用来盛放内容的容易 在routes 里面进行配置 [{ path:,name:,component:}] path为router-link的路径 component为 …

MEMS传感器的未来在哪?

来源&#xff1a;MEMS技术1 引言陀螺是用于测量载体相对惯性空间旋转运动中运动角速度和角度的传感器&#xff0c;是运动控制、姿态监测、导航制导等领域的核心器件&#xff0c;在工业和国防领域具有广泛且重要的应用。陀螺从原理上可分为基于高速旋转刚体的定轴性与进动性工作…

黑科技:绕过眼睛植入幻觉,科学家成功在盲人脑海中呈现指定图像!

来源 | 学术头条&#xff08;ID:SciTouTiao&#xff09;头图 | CSDN付费下载自视觉中国对于全球 5000 多万盲人来说&#xff0c;重见光明是一个遥不可及的梦想。而为了与盲人朋友进行交互&#xff0c;我们发明了盲文&#xff0c;用各种凸起的字符集合来表达各种意思。但这种通过…

ssrf漏洞 php,DokuWiki fetch.php SSRF漏洞与tok安全验证绕过分析

作者&#xff1a;baolongniu of Tencent Security Platform Department关于DokuWikiDokuWiki是一个开源wiki引擎程序&#xff0c;运行于PHP环境下。DokuWiki程序小巧而功能强大、灵活&#xff0c;适合中小团队和个人网站知识库的管理。漏洞简介DokuWiki最新 2016-06-26a版本存在…

[Codevs] 1014 棋盘染色

1049 棋盘染色 时间限制: 1 s空间限制: 128000 KB题目等级 : 黄金 Gold题目描述 Description有一个55的棋盘&#xff0c;上面有一些格子被染成了黑色&#xff0c;其他的格子都是白色&#xff0c;你的任务的对棋盘一些格子进行染色&#xff0c;使得所有的黑色格子能连成一块&…

专访王田苗:机器人是“刚需”,市场正处于逆周期增长

来源&#xff1a;亿欧【本文三大核心点】一、未来老龄化社会的到来与新生代快节奏生活工作的方式让智能机器人处于长期刚性需求。二、人工智能算法、软体材料、5G互联网开放软件平台、多机与人机协作、云服务租赁共享模式等技术给新一代机器人发展带来了大量的产业机遇。三、中…

php算法入门,a011.PHP实战:加密解密,简单算法入门

原标题&#xff1a;a011.PHP实战&#xff1a;加密解密&#xff0c;简单算法入门在PHP编程中&#xff0c;很多时候我们会遇到传递信息的问题&#xff0c;而传递过程中为了安全&#xff0c;我们肯定是要进行加密和解密的&#xff0c;这里&#xff0c;我们来说一说使用PHP怎么进行…

tomcat的安装及配置

1.首先进tomcat官网下载zip压缩文件&#xff1a;http://tomcat.apache.org/download-90.cgi 2.解压缩到指定文件压&#xff08;后面配置环境变量会用到&#xff09; 3.配置环境变量 4.打开解压后文件中的bin文件夹&#xff0c;运行startup.bat 如上图结果则配置成功 5.打开浏览…

好文|奔向宇宙,揭开太空机器人的神秘面纱

来源&#xff1a;千慧知识产权空间机器人是在太空中执行空间站建造与运营、卫星组装与服务、行星表面探测与实验等任务的一类特种机器人&#xff0c;是世界航天大国竞相发展的热点领域。当前&#xff0c;空间机器人已经在国际空间站、飞船、卫星等飞行器的在轨维护、空间装配、…

关于6G,这些你应该了解

来源&#xff1a;内容来自公众号中国电子报——赛迪智库前 言当前&#xff0c;全球新一轮科技革命和产业变革正在加速演进&#xff0c;人工智能&#xff08;AI&#xff09;、VR/AR、三维&#xff08;3D&#xff09;媒体和物联网等新一代信息通信技术的广泛应用产生了巨大的传输…

php显示动态通告信息方式,Joomla PHP通知,警告和错误指南

网站不可避免地会出现问题。无论您使用的是Joomla还是其他产品&#xff0c;都需要发现并修复问题。Joomla使用PHP&#xff0c;当PHP有问题时&#xff0c;它将向您报告。但是&#xff0c;这些错误通常会出现在您的网站上&#xff0c;并且对访问者可见&#xff1a;在本教程中&…

Facebook爆锤深度度量学习:该领域13年来并无进展!网友:沧海横流,方显英雄本色...

来源&#xff1a;AI科技评论近日&#xff0c;Facebook AI和Cornell Tech的研究人员近期发表研究论文预览文稿&#xff0c;声称近十三年深度度量学习&#xff08;deep metric learning&#xff09; 领域的目前研究进展和十三年前的基线方法(Contrastive, Triplet) 比较并无实质提…

不可不看的干货——机器人自主系统的技术构建:感知、决策和执行

来源&#xff1a;机器人大讲堂近年来&#xff0c;随着工业 4.0 标准的不断推进和人工智能、物联网、大数据等技术的快速发展&#xff0c;机器人产业迎来新一轮浪潮&#xff0c;正逐步向系统化、模块化、智能化的方向发展。除了传统的工业机器人外&#xff0c;在特种机器人和服务…

php伪数组转换为数组,JavaScript伪数组用法实例

在Javascript中什么是伪数组&#xff1f;伪数组(类数组)&#xff1a;无法直接调用数组方法或期望length属性有什么特殊的行为&#xff0c;但仍可以对真正数组遍历方法来遍历它们。本文实例讲述了JavaScript伪数组用法&#xff0c;希望能帮助到大家。1.典型的是函数的 argument参…

前沿科技 | 中科院科学家研究揭示奥陶纪末生命大灭绝新机制

来源&#xff1a;中国科学院火山活动是全球气候变化和海洋化学组成巨变的主要驱动力之一&#xff0c;其中“平流层火山喷发”&#xff08;即火山物质喷发至平流层-大约离地表20公里&#xff09;对全球气候有直接的影响。在过去5.4亿年的地质历史中&#xff0c;发生了数次大规模…

空地通信传输详解——飞机是这样和地面通信的

来源&#xff1a;电子万花筒飞机在空中飞行时是如何与地面联络的呢&#xff1f;飞机在飞行中的数据如何进行空地传输呢&#xff1f;那些部件的数据可以被传输呢&#xff1f;飞机的导航、通信、识别系统主要就是保证飞行的&#xff0c;保障在天上、空对空、空对地、地对空、空对…

​IBM人工智能芯片的新进展

来源&#xff1a;内容由半导体行业观察&#xff08;ID&#xff1a;icbank&#xff09;编译自「Venturebeat」&#xff0c;谢谢。IBM苏黎世实验室的研究人员本周在Nature Communications上发表了一篇论文。在文中他们声称&#xff0c;基于相变存储器的技术&#xff0c;他们已经开…

php程序员写bug,程序员的修炼-我们为什么会编写BUG

在最近的一周,我维护的业务系统出现了很多坏毛病,一周七天crash掉了4次,每次都需要都是因为一点很小的问题,触发了蝴蝶效应,导致整个系统全盘崩溃,于是产生除了叙述本篇的想法,当然这并不是为了掩盖我在Coding上的一些细节处理和职责疏忽&#xff0c;只是为了从根本的细节上去分…

强人工智能和弱人工智能

来源&#xff1a;人机与认知实验室人工智能的一个比较流行的定义&#xff0c;也是该领域较早的定义&#xff0c;是由当时麻省理工学院的约翰麦卡锡在1956年的达特矛斯会议上提出的&#xff08;对此有争议&#xff09;&#xff1a;人工智能就是要让机器的行为看起来就像是人所表…

张亚勤2020寄语哥伦比亚大学毕业生:引领未知时代

(哥伦比亚大学巴特勒图书馆&#xff09;2020年5月18日&#xff0c;人工智能和数字视频的世界级科学家和企业家&#xff0c;美国艺术与科学院院士、百度前总裁、清华大学智能科学讲席教授张亚勤博士&#xff0c;在哥伦比亚大学工程学院的毕业典礼上发表了主题演讲。张亚勤说:“面…