構(gòu)建安全可信的5G網(wǎng)絡(luò)

1 引言

2019年6月6日，工信部向中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通和廣電網(wǎng)絡(luò)發(fā)放了5G牌照，拉開(kāi)了中國(guó)5G正式商用的序幕，標(biāo)志著中國(guó)5G元年的到來(lái)。到2019年年底，3家運(yùn)營(yíng)商在超過(guò)50個(gè)城市提供業(yè)務(wù)，共同發(fā)布了5G的業(yè)務(wù)資費(fèi)，建設(shè)了13萬(wàn)個(gè)5G基站，部分城市5G基站實(shí)現(xiàn)了共建共享。在國(guó)家政策和業(yè)務(wù)需求的推動(dòng)下，5G網(wǎng)絡(luò)正朝著技術(shù)更加完善、業(yè)務(wù)更加多元、成本更趨合理、覆蓋更加全面的方向發(fā)展。

在5G的網(wǎng)絡(luò)發(fā)展中，網(wǎng)絡(luò)安全問(wèn)題一直是業(yè)界關(guān)注的重點(diǎn)，也是一項(xiàng)新技術(shù)在應(yīng)用過(guò)程中必須正視的問(wèn)題。5G網(wǎng)絡(luò)到底有沒(méi)有安全問(wèn)題？安全問(wèn)題可能產(chǎn)生的損失有多大？如何通過(guò)技術(shù)手段、管理手段和網(wǎng)絡(luò)手段有效的控制好風(fēng)險(xiǎn)。本文從5G網(wǎng)絡(luò)的技術(shù)架構(gòu)出發(fā)，分析存在的安全薄弱點(diǎn)，提出應(yīng)對(duì)策略，通過(guò)技術(shù)、網(wǎng)絡(luò)組織和管理手段，加固5G網(wǎng)絡(luò)的安全堤壩，為業(yè)務(wù)提供安全可信的網(wǎng)絡(luò)。

2 5G網(wǎng)絡(luò)安全態(tài)勢(shì)

任何新技術(shù)的應(yīng)用都有安全問(wèn)題，如同任何的藥物都有副作用一樣。新技術(shù)應(yīng)用需要有一定的試用周期，在試用期發(fā)現(xiàn)和解決各種運(yùn)營(yíng)問(wèn)題。5G REL 15版本是2019年9月凍結(jié)，2019年10月中國(guó)正式商用，試用的時(shí)間周期極短，盡管早期的無(wú)線空口測(cè)試開(kāi)始了近一年，但整個(gè)系統(tǒng)的綜合測(cè)試，時(shí)間還是十分短的。因此需要網(wǎng)絡(luò)運(yùn)營(yíng)者系統(tǒng)地、超前地思考5G 網(wǎng)絡(luò)的安全問(wèn)題，未雨綢繆，做好安全防范措施，用最短的時(shí)間建設(shè)和完善5G 的安全體系，減少大規(guī)模商用帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，減少因安全風(fēng)險(xiǎn)造成的損失。

5G的網(wǎng)絡(luò)安全影響到底有多大呢？我們知道，一件事故的損失，由這個(gè)事故所關(guān)聯(lián)的事物功能失效造成的損失決定。5G網(wǎng)絡(luò)具有大連接、高帶寬和低時(shí)延的特點(diǎn)，能提供eMBB（enhanced Mobile BroadBand）、mMTC（Massive Machine Type of Communication）、uRLLC（ultra-Reliable Low Latency Communications）的業(yè)務(wù)，用通俗的話講，5G能提供移動(dòng)寬帶接入業(yè)務(wù)、物聯(lián)網(wǎng)業(yè)務(wù)以及需要低時(shí)延高可靠性的特種業(yè)務(wù)需要。5G可以覆蓋傳統(tǒng)的公眾客戶市場(chǎng)，還能為行業(yè)客戶市場(chǎng)提供專業(yè)的服務(wù)，對(duì)象包括人與人的通信、人與及機(jī)器的通信，機(jī)器與機(jī)器的通信，更加為傳統(tǒng)業(yè)務(wù)無(wú)法提供的諸如自動(dòng)駕駛、VR、遠(yuǎn)程醫(yī)療、AI等未來(lái)業(yè)務(wù)，提供了技術(shù)方案。試想一個(gè)連接了幾億人，幾十億個(gè)物聯(lián)網(wǎng)設(shè)備，關(guān)系到人們基本生活、生產(chǎn)活動(dòng)、商業(yè)運(yùn)營(yíng)、社會(huì)保障的系統(tǒng)出現(xiàn)了安全事故，可能癱瘓、部分癱瘓、欺騙或劫持、誤操作、信息泄露、效率降低等，會(huì)對(duì)社會(huì)產(chǎn)生巨大的影響。2018年英國(guó)運(yùn)營(yíng)商O2斷網(wǎng)事件（4G網(wǎng)絡(luò)），導(dǎo)致全國(guó)3 800萬(wàn)人沒(méi)有無(wú)法上網(wǎng)和打電話，致使與之關(guān)聯(lián)的醫(yī)院、銀行、交通出行等各種服務(wù)無(wú)法進(jìn)行。2019年6月上海移動(dòng)斷網(wǎng)10分鐘，導(dǎo)致手機(jī)數(shù)據(jù)和語(yǔ)音通信全部中斷。5G網(wǎng)絡(luò)安全的影響程度比4G網(wǎng)絡(luò)要大，其大連接和高帶寬的優(yōu)勢(shì)使得連接的用戶數(shù)量和種類多過(guò)4G，2B的業(yè)務(wù)涉及重要和基礎(chǔ)的行業(yè)用戶，電力、銀行、自動(dòng)駕駛、遠(yuǎn)程醫(yī)療、工業(yè)4.0等，將會(huì)對(duì)整個(gè)社會(huì)運(yùn)營(yíng)產(chǎn)生巨大的影響，對(duì)5G 網(wǎng)絡(luò)的安全的重視必須提高到戰(zhàn)略層面。

3 5G網(wǎng)絡(luò)安全的重點(diǎn)領(lǐng)域

“4G改變生活，5G改變社會(huì)”，點(diǎn)出了4G和5G的業(yè)務(wù)應(yīng)用的差異。一個(gè)新的技術(shù)創(chuàng)新，需要有新的需求和業(yè)務(wù)模式驅(qū)動(dòng)。5G與4G的業(yè)務(wù)最大的區(qū)別，在于實(shí)現(xiàn)了萬(wàn)物互聯(lián)，不僅人與人，人與物，而且物與物的互聯(lián)。高帶寬、低時(shí)延和大連接是5G設(shè)計(jì)的技術(shù)要求，借鑒互聯(lián)網(wǎng)生態(tài)的蓬勃發(fā)展的啟發(fā)，促進(jìn)產(chǎn)業(yè)生態(tài)發(fā)展的思考也在5G技術(shù)構(gòu)架中得到充分的考慮。5G技術(shù)主要包括無(wú)線側(cè)NR技術(shù)、承載技術(shù)和核心網(wǎng)技術(shù)。無(wú)線側(cè)的NR技術(shù)中的OFDM（Orthogonal Frequency Division Multiplexing）、Massive MIMO（Massive Mutiinput，Muti-Output）技術(shù)、256QAM技術(shù)都是底層無(wú)線技術(shù)，有些技術(shù)在4G中已經(jīng)應(yīng)用。由于NR技術(shù)涉及的部分在基站，范圍較小，只要系統(tǒng)穩(wěn)定，整體的安全風(fēng)險(xiǎn)與4G相似；5G的承載技術(shù)由光接入技術(shù)、IP承載技術(shù)，光傳輸技術(shù)組成，整體的技術(shù)跟4G差異不大，網(wǎng)絡(luò)組織相近，安全風(fēng)險(xiǎn)跟4G的安全風(fēng)險(xiǎn)相近，傳統(tǒng)維護(hù)4G承載網(wǎng)的安全手段都適用。5G核心網(wǎng)是5G技術(shù)創(chuàng)新點(diǎn)，采用了開(kāi)放的體系架構(gòu)，包括以云（容器）為基礎(chǔ)設(shè)施，控制和轉(zhuǎn)發(fā)分離、服務(wù)化架構(gòu)的控制方式、網(wǎng)絡(luò)切片技術(shù)。這些技術(shù)借鑒了IT領(lǐng)域和互聯(lián)網(wǎng)領(lǐng)域的平臺(tái)技術(shù)，使核心網(wǎng)“開(kāi)放“和”軟化”，能進(jìn)行靈活的組網(wǎng)，個(gè)性化的定制，快速地支持各種業(yè)務(wù)和應(yīng)用場(chǎng)景。由于核心網(wǎng)關(guān)聯(lián)了所有用戶，也關(guān)聯(lián)所有的業(yè)務(wù)應(yīng)用，所以5G 核心網(wǎng)絡(luò)安全是5G網(wǎng)絡(luò)安全的核心。

4 5G核心網(wǎng)與4G核心網(wǎng)的差異

在分析5G核心網(wǎng)安全之前，先對(duì)比4G核心的技術(shù)架構(gòu)。4G核心網(wǎng)自運(yùn)營(yíng)以來(lái)，除了人為操作失誤引起的癱瘓（2019年上海移動(dòng)發(fā)生一起，中斷業(yè)務(wù)10分鐘），沒(méi)有發(fā)生大的系統(tǒng)性的安全事故。5G核心網(wǎng)與4G核心網(wǎng)的有哪些主要區(qū)別？4G與5G核心網(wǎng)的示意圖如圖1所示。

圖1 4G與5G的核心網(wǎng)示意

4.1 核心網(wǎng)的基礎(chǔ)設(shè)備不同

4G核心網(wǎng)的網(wǎng)元構(gòu)建在專用設(shè)備上，如專用服務(wù)器或轉(zhuǎn)發(fā)設(shè)備，而5G核心網(wǎng)構(gòu)建在云化架構(gòu)的虛機(jī)或容器上，云化的基礎(chǔ)設(shè)施是5G網(wǎng)絡(luò)的一個(gè)主要特點(diǎn)。云化基礎(chǔ)設(shè)施具有資源共享、調(diào)度靈活、擴(kuò)縮自如的特點(diǎn)。但云架構(gòu)也是一個(gè)資源受限的系統(tǒng)，多個(gè)VNF和微服務(wù)是在共享云架構(gòu)的計(jì)算資源、存儲(chǔ)資源、總線資源，其可靠性、穩(wěn)定性、資源的有效配置都關(guān)系到上層應(yīng)用的性能和安全。加上目前對(duì)云基礎(chǔ)的安全邊界、基礎(chǔ)設(shè)施性能、維護(hù)管理還在探索中，其可靠性是5G核心網(wǎng)安全的薄弱點(diǎn)。

4.2 核心網(wǎng)設(shè)計(jì)理念的不同

4G核心網(wǎng)是傳統(tǒng)的封閉式架構(gòu)，信令、控制與轉(zhuǎn)發(fā)、網(wǎng)元都是以專用系統(tǒng)和體系為主。比如信令主要用Diameter，網(wǎng)元的連接是逐跳的單點(diǎn)連接，控制與轉(zhuǎn)發(fā)一體（CD/DU合設(shè)）。5G核心網(wǎng)采用開(kāi)放體系，所用網(wǎng)絡(luò)功能承載在云平臺(tái)上，網(wǎng)元運(yùn)行在虛機(jī)或容器上，網(wǎng)絡(luò)功能細(xì)化為多個(gè)獨(dú)立的微服務(wù)，微服務(wù)通過(guò)總線方式相互通信，信令采用互聯(lián)網(wǎng)常用的HTTP協(xié)議（HTTP/2）。服務(wù)化架構(gòu)確保各種新的功能和應(yīng)用能獨(dú)立加載、升級(jí)；控制和轉(zhuǎn)發(fā)分離，用戶面能靈活的組網(wǎng)，降低建網(wǎng)成本，減小網(wǎng)絡(luò)時(shí)延。但服務(wù)化架構(gòu)也帶來(lái)功能暴露面多、漏洞較多，外部攻擊手段多等問(wèn)題，加上服務(wù)化架構(gòu)對(duì)資源的占用管理難度大，容易引起資源占用的瓶頸帶來(lái)的系統(tǒng)癱瘓的風(fēng)險(xiǎn)。例如，在實(shí)驗(yàn)室的系統(tǒng)功能虛擬化測(cè)試中，就曾出現(xiàn)某個(gè)服務(wù)頻繁讀寫磁陣，獨(dú)占資源導(dǎo)致其他服務(wù)無(wú)法讀取磁陣數(shù)據(jù)，系統(tǒng)發(fā)生了重啟的現(xiàn)象。

4.3 業(yè)務(wù)運(yùn)營(yíng)方式不同

4G網(wǎng)絡(luò)主要以公眾客戶為主，由于公眾客戶需求相對(duì)單一，網(wǎng)絡(luò)一旦建成，改動(dòng)較小，主要以維護(hù)為主，每年只有1～2次小版本的升級(jí)。5G網(wǎng)絡(luò)的客戶既有公眾客戶，還有政企行業(yè)用戶，特別是新興的行業(yè)應(yīng)用領(lǐng)域，要求網(wǎng)絡(luò)根據(jù)用戶需求進(jìn)行定制、優(yōu)化或升級(jí)。因此網(wǎng)絡(luò)的靈活定制、快速適配的運(yùn)營(yíng)能力是關(guān)鍵。例如網(wǎng)絡(luò)切片、邊緣計(jì)算(MEC)等。但這種涉及網(wǎng)絡(luò)的配置改變，需要更改的網(wǎng)絡(luò)參數(shù)、資源參數(shù)、管理參數(shù)較多，考慮不周，會(huì)致使網(wǎng)絡(luò)癱瘓、性能受限、業(yè)務(wù)受阻，誤操作的概率增加，甚至比設(shè)備本身的故障產(chǎn)生影響更大。頻繁的操作核心網(wǎng)，對(duì)運(yùn)維人員，是一個(gè)巨大的挑戰(zhàn)。

4.4 內(nèi)外部入侵和攻擊的機(jī)會(huì)不同

4G核心網(wǎng)是一個(gè)封閉的網(wǎng)絡(luò)，核心網(wǎng)的暴露面少，功能實(shí)體間的連接是固定的和受控的，信令和控制是專用協(xié)議，安全界面和故障定位清晰。通常網(wǎng)絡(luò)安全常面臨的漏洞、劫持、拒絕訪問(wèn)攻擊發(fā)生的概率較小，主要防范的安全事故是人為誤操作。

5G核心網(wǎng)是一個(gè)開(kāi)放的體系，云架構(gòu)使得應(yīng)用實(shí)例、虛擬功能的安全界面、安全隔離實(shí)現(xiàn)較難，兩個(gè)互不相干但承載在一朵云上的應(yīng)用，都能因?yàn)閷?duì)資源的占用影響對(duì)方；信令和控制采用HTTP，入侵門檻低，黑客人數(shù)和入侵手段較4G大的多；微服務(wù)架構(gòu)，功能更新升級(jí)的便利，也帶來(lái)軟件后門和病毒的風(fēng)險(xiǎn)；控制和轉(zhuǎn)發(fā)分離，組網(wǎng)靈活，但也帶來(lái)暴露面增多，安全界面不斷調(diào)整引發(fā)的隔離失效；此外，基于總線的控制方式，微服務(wù)的地址更容易被探知，簡(jiǎn)單的DDOS攻擊就能導(dǎo)致關(guān)鍵服務(wù)失效。所以5G在提供技術(shù)先進(jìn)性時(shí)，也對(duì)安全提出了更大的挑戰(zhàn)。

5G核心網(wǎng)架構(gòu)設(shè)計(jì)的特點(diǎn)，也形成了5G核心網(wǎng)的安全風(fēng)險(xiǎn)點(diǎn)，概括起來(lái)如表1所示。

表1 4G/5G的安全風(fēng)險(xiǎn)分析表

5 5G網(wǎng)絡(luò)的安全策略

3GPP針對(duì)5G網(wǎng)絡(luò)的安全問(wèn)題，也制定相應(yīng)的規(guī)范，根據(jù)5G網(wǎng)絡(luò)的特點(diǎn)，把5G網(wǎng)絡(luò)的安全劃分為6個(gè)域，每個(gè)域都有相應(yīng)的規(guī)范。3GPP的安全域示意如圖2所示。

圖2 3GPP 5G安全域示意

但在具體操作過(guò)程中，還需要根據(jù)網(wǎng)絡(luò)的實(shí)際，制定相應(yīng)的安全策略。系統(tǒng)的分析，5G 網(wǎng)絡(luò)的安全策略要考慮以下5個(gè)方面。

5.1 技術(shù)開(kāi)放性的安全策略

針對(duì)5G網(wǎng)絡(luò)的安全，3GPP的SA3工作組專門針對(duì)技術(shù)開(kāi)放性，加強(qiáng)了安全框架的設(shè)計(jì)和關(guān)鍵認(rèn)證技術(shù)的規(guī)范，相對(duì)于4G網(wǎng)絡(luò)相比，5G標(biāo)準(zhǔn)中涉及安全的技術(shù)框架主要增加了SBA域的服務(wù)化架構(gòu)的安全，重點(diǎn)是在核心網(wǎng)虛擬化功能的注冊(cè)、發(fā)現(xiàn)、授權(quán)和用戶隱私的保護(hù)方面，如表2所示。

表2 4G/5G安全認(rèn)證比較

技術(shù)開(kāi)放性的安全策略建議

（1）正確配置5G的安全特性和參數(shù)，保證5G自身的安全功能正常運(yùn)行；

（2）設(shè)置5G核心網(wǎng)不同功能的安全域，做好必要的隔離，做好不同安全邊界的管理；

（3）對(duì)外暴露的網(wǎng)元要配置安全模塊，要做安全測(cè)試，確保安全模塊滿足要求；

（4）網(wǎng)絡(luò)升級(jí)、網(wǎng)絡(luò)切片，要及時(shí)調(diào)整安全邊界，及時(shí)優(yōu)化隔離措施。新加載的應(yīng)用一定做安全評(píng)估。

5.2 云基礎(chǔ)設(shè)施及VNF的安全

云基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)如圖3所示。

圖3 云基礎(chǔ)架構(gòu)與VNF的風(fēng)險(xiǎn)

云基礎(chǔ)設(shè)施的安全策略

（1）5G核心網(wǎng)應(yīng)運(yùn)行在獨(dú)立的云資源池上，禁止跟其他應(yīng)用混合使用云資源池；

（2）云資源池應(yīng)保證有充裕的冗余資源，便于5GC的靈活擴(kuò)縮容，安全備份。云資源池的硬件、端口、存儲(chǔ)，架頂交換機(jī)要做驗(yàn)證測(cè)試，防止后門、漏洞和性能對(duì)云資源池的影響；

（3）不同安全等級(jí)的VM不能部署在同一個(gè)硬件服務(wù)器上；加強(qiáng)對(duì)虛機(jī)逃逸、橫向滲透等云資源攻擊的防護(hù)；

（4）數(shù)據(jù)庫(kù)要進(jìn)行熱備份，UDM、AUSF等主要數(shù)據(jù)庫(kù)要跨DC備份，保證用戶和業(yè)務(wù)數(shù)據(jù)的安全；

（5）云架構(gòu)中的虛擬網(wǎng)絡(luò)根據(jù)不同的網(wǎng)絡(luò)面采用不同的VLAN進(jìn)行隔離；同一網(wǎng)絡(luò)面的虛擬網(wǎng)絡(luò)也要根據(jù)不同的安全級(jí)別劃分VLAN，劃分安全界面，便于故障定位。（控制VLAN，業(yè)務(wù)VLAN，管理VLAN等。

5.3 管理5G網(wǎng)絡(luò)暴露面，減少安全攻擊點(diǎn)

圖4有顯示5G網(wǎng)絡(luò)的內(nèi)外部暴露網(wǎng)元。

圖4 5G核心網(wǎng)功能與內(nèi)外部暴露面

對(duì)外部暴露網(wǎng)元：NEF（網(wǎng)絡(luò)能力開(kāi)放功能）、UPF（用戶面網(wǎng)元，連接核心網(wǎng)外部網(wǎng)元）MEC（移動(dòng)邊緣計(jì)算，跟核心網(wǎng)有交互）、SEPP（跨運(yùn)營(yíng)商業(yè)務(wù)邊緣網(wǎng)元，運(yùn)營(yíng)商隔離）；

對(duì)內(nèi)部安全相關(guān)網(wǎng)元：AUSF（用戶認(rèn)證，拜訪地網(wǎng)絡(luò)校驗(yàn)）、UDM/SIDF/ARPF（用戶安全簽約數(shù)據(jù)、用戶ID隱藏）、AMF/SEAF（接入認(rèn)證，校驗(yàn)歸屬網(wǎng)絡(luò)）、NRF（網(wǎng)絡(luò)功能實(shí)體的注冊(cè)、發(fā)現(xiàn)、授權(quán)，發(fā)放，服務(wù)化安全的核心功能）。

5.3.1 外部暴露網(wǎng)元的安全策略

（1）外部暴露網(wǎng)元，與核心網(wǎng)連接要有安全隔離網(wǎng)關(guān)，如UPFMEC；

（2）外部暴露網(wǎng)元，要有熔斷機(jī)制，當(dāng)發(fā)生DDoS攻擊時(shí)，能阻斷攻擊流量對(duì)核心網(wǎng)的影響；

（3）外部暴露網(wǎng)元，要嚴(yán)格審核應(yīng)用使用資源的情況，嚴(yán)格限制資源過(guò)度占用對(duì)其他應(yīng)用的影響；

（4）外部暴露網(wǎng)元，要定期進(jìn)行安全漏洞的掃描，做安全加固；

（5）運(yùn)營(yíng)商之間互連采用SEPP網(wǎng)元隔離，互通采用HTTPS協(xié)議加密。

5.3.2 內(nèi)部安全相關(guān)網(wǎng)元的安全策略

（1）NRF與NFs之間采用雙向認(rèn)證，確保NFs是可信和授權(quán)的；

（2）NRF的配置、驗(yàn)證和管理要求嚴(yán)格的審核流程，誤操作將給核心網(wǎng)帶來(lái)較大的風(fēng)險(xiǎn)；

（3）關(guān)鍵內(nèi)部網(wǎng)元對(duì)關(guān)鍵資源要有監(jiān)控機(jī)制，特別對(duì)共用、可能成為瓶頸的資源要重點(diǎn)監(jiān)控（例如讀寫磁盤、內(nèi)存占用等）；

（4）AMF要形成資源池化，避免單點(diǎn)故障引發(fā)的接入失敗。

5.4 5G核心網(wǎng)管理節(jié)點(diǎn)的安全策略

5G的管理節(jié)點(diǎn)包含云管平臺(tái)、NFVM、NFVO和切片管理器（NSFM），如圖5所示。

圖5 5G核心網(wǎng)管理節(jié)點(diǎn)示意

5G核心網(wǎng)的管理節(jié)點(diǎn)的安全策略

（1）建立完善的安全管理流程，圍繞信息泄露、劫持、誤操作等，做好定期的檢查，防護(hù)加固；

（2）加強(qiáng)版本管理，大版本必須進(jìn)過(guò)驗(yàn)證，版本升級(jí)是要有預(yù)案，主備系統(tǒng)不能同時(shí)升級(jí)；

（3）切片管理要保證不同切片的有效隔離，資源足夠，管理界面清晰，同時(shí)要做切片加載預(yù)案和測(cè)試；

（4）管理節(jié)點(diǎn)原則上不提供遠(yuǎn)程操作。

5.5 網(wǎng)絡(luò)組織安全

網(wǎng)絡(luò)組織安全涉及網(wǎng)絡(luò)組網(wǎng)、備份等網(wǎng)絡(luò)建設(shè)方案的選擇對(duì)安全的影響。5G網(wǎng)絡(luò)的大連接、高帶寬和低時(shí)延的特性，支持業(yè)務(wù)種類多樣，發(fā)生癱瘓事件影響面很大。因此在組網(wǎng)設(shè)計(jì)的時(shí)候，應(yīng)避免5G核心網(wǎng)覆蓋用戶過(guò)大，造成極端事故對(duì)業(yè)務(wù)和用戶的影響范圍（地震、洪水電力故障、火災(zāi)）。目前建設(shè)方案有大區(qū)制和分省制，大區(qū)制5G核心網(wǎng)覆蓋多個(gè)省的用戶，分省制是5G核心網(wǎng)按省建。

網(wǎng)絡(luò)組織建議：

（1）5G核心網(wǎng)建議采用分省建設(shè)，降低重大災(zāi)害對(duì)業(yè)務(wù)和用戶的影響規(guī)模；

（2）5G核心網(wǎng)要有熱備份，業(yè)務(wù)量大的省，在省內(nèi)不同的DC上進(jìn)行備份；業(yè)務(wù)量小的省，可跨省互為備份 ；

（3）跨省核心網(wǎng)間信令通道原則上要用SEPP網(wǎng)元隔離，減少內(nèi)部暴露面，降低風(fēng)險(xiǎn)；

（4）5GC的服務(wù)化架構(gòu)導(dǎo)致網(wǎng)間信令連接數(shù)量增多，效率降低，必要時(shí)引入SCP網(wǎng)元（Service Communication Proxy、R16版本計(jì)劃的網(wǎng)元）進(jìn)行收斂，提高性能安全性。

除了以上的安全建議外，對(duì)組成云資源的電源、空調(diào)、承載網(wǎng)絡(luò)的可靠性和穩(wěn)定性，也要有相關(guān)的測(cè)試評(píng)估，對(duì)Hyperviser、云OS等基礎(chǔ)軟件也要做安全、性能的測(cè)試，做到心中有數(shù)。安全不是一個(gè)一勞永逸的事情，是一個(gè)不斷優(yōu)化、完善和升級(jí)的過(guò)程，本文所闡述的5G網(wǎng)絡(luò)的風(fēng)險(xiǎn)，是從技術(shù)層面分析的潛在的風(fēng)險(xiǎn)，在實(shí)際運(yùn)營(yíng)中，還會(huì)有意想不到的安全隱患，需要在實(shí)踐中不斷優(yōu)化提升。只要高度重視5G網(wǎng)絡(luò)安全，有一套安全防護(hù)的理論體系，有對(duì)5G 網(wǎng)絡(luò)技術(shù)原理的理解，不斷優(yōu)化安全防護(hù)機(jī)制，5G網(wǎng)絡(luò)就會(huì)更加安全可信，也能更加發(fā)揮它技術(shù)架構(gòu)的特點(diǎn)，為萬(wàn)物互聯(lián)服務(wù)。