端到端的数据安全保护
用户数据在传输过程中存在被窃听、篡改、泄露等安全威胁。为降低 5g 行业应用中数据安全风险，5g 提供了更强壮的数据安全保护方法。
在机密性保护的密码算法方面，5g 延用了 4g 所采用的 aes（高级加密标准 advanced encryption standard）、snow3g（3gpp 流密码算法）、zuc（祖冲之密码算法）等算法，这些算法采用 128 位密钥长度，被业界证明是安全的。同时，为应对将来量子计算可能对对称秘钥体系的影响，考虑采用更长的安全秘钥及更强的安全保护算法。为保护数据在网络间传输，5g 新增了安全边缘保护代理功能（security edge protection proxies：sepp）。sepp 在运营商之间建立 tls 安全传输通道，对需要保护的信息进行机密性和完整性保护，有效防止数据在网间传输时被篡改或窃听。
随着科技的发展，伪基站对移动网络的危害越来越大，攻击者可诱导行业用户接入到伪基站以非法获取用户数据信息。5g将对基站广播或者单播消息进行安全保护，行业用户在验证消息合法后再接入，避免接入到非法的伪基站造成数据泄露。
此外，5g 针对行业应用中的数据产生、处理、使用等环节提供了完整的安全保护。在数据产生和处理过程中，可根据数据的敏感度进行分类，建立不同安全域间的加密传输链路；根据不同的安全级别采用差异化的数据安全技术；对数据使用方进行授权和验证，保证数据使用的目的和范围符合安全策略；并对重要业务数据的使用进行审计，最终为行业用户提供数据的机密性和完整性保护。
先进的数据隐私保护
5g 提供了保证数据机密性、完整性和可用性的相关防护技术并对数据全生命周期实施安全保护。数据隐私保护在此基础上，进一步防止个人隐私信息、重要敏感数据泄露。
在隐私保护技术上除了采用业界广泛使用的数据脱敏技术之外，中兴通讯首次将动态数据脱敏等功能应用到数据隐私保护中，可同时进行动态脱敏和数据过滤，解决了实时处理场景下的隐私保护难题。
图 6 多种技术全面保护数据隐私
中兴通讯提出了一种基于大数据引擎原生代码的数据脱敏架构，可以在不改变用户请求逻辑及数据原始值的前提下，利用数据库引擎自身的分布式处理能力，实现数据脱敏高性能处理。处理过程对用户完全透明，用户不感知数据保护过程，可实现无缝透明地敏感数据保护。
匿名化算法是目前数据安全领域的研究热点之一，中兴通讯提出了全新的基于 spark 引擎的数据匿名化框架，使用spark 分布式并行计算框架，重点考虑算法的并行性，同时支持 k－ 匿名化（k－anonymity），l－ 多样性（l－diversity）、t– 近邻 （t－closeness），支持单表亿条记录匿名化处理，适用于处理各类数据，算法通用性高，保证发布数据的真实性，有效防止链接攻击，实现对各种数据的高效匿名化处理。
面向5g行业的 新型防御技术
除了传统安全防护手段，5g 行业应用还需要研究和引入新型网络防御技术，不断从多个维度增强网络安全能力，为 5g 行业应用的健康和持续发展提供多重保障。
智能化的高级持续性威胁防御
在众多威胁形式中，破坏性较大的要数高级持续性威胁 apt。自 2010 年极光、震网攻击发生以来，针对重要基础设施攻击事件层出不穷，也是 5g 行业应用中面临的最大挑战。在 2019 年 12 月 1 日将正式实施的网络安全等级保护 2．0 标准中，抗 apt 攻击技术被列为确保行业网络安全的必备测评项。
为应对 apt 攻击对 5g 网络乃至其相关行业用户所带来的安全威胁，中兴通讯提出基于态势感知理念的高级威胁防御方案，使 5g 及其行业应用网络具备高级威胁防御能力。apt 攻击旨在干扰基础设施运行及破坏其敏感信息，其攻击链分为侦查探测、渗透利用、命令控制、横向移动、数据泄露破坏等几个过程。中兴通讯的高级威胁防御方案，围绕 apt 攻击过程，基于行为检测原理，从恶意软件和异常流量两个角度出发，提供全面、智能化检测机制，并将人工智能技术运用于威胁检测及事件关联分析，提升威胁检测准确率，预测威胁态势。
精细化的微分段技术
传统网络防御手段遵循边界防御的思路，将防御重点放在网络边界上，以阻止网络攻击进入内网。随着网络攻击技术的发展，网络已经找不到清晰的边界，恶意软件通过各种渠道进入内网，在内网通过主机到主机直接传播，迅速扩散。由于内网流量控制手段有限，即使能发现入侵，到有效控制也需要一个漫长的过程（如封端口、打补丁、升级病毒库等）。
中兴通讯提出的微分段技术，实现了更精细化的流量可视、威胁分析、安全管控及自动响应，保证了主机之间、虚拟机之间甚至进程之间的流量得到严密管控。在 5g 行业应用中，微分段以纯软件方式部署在云计算平台上，作为安全管理系统的组成部分，为流量精细化管控和流量可视化等功能提供支持。安全管理系统根据每个应用层功能的业务特性和管控要求形成精细化的安全策略，下发给底层的安全模块，由安全模块实施这些安全策略。同时，安全模块根据需要采集流量日志，提交给安全管理系统，供安全管理系统进一步进行异常流量分析与诊断等操作。
动态化的主动防御
针对传统网络安全被动防御、易攻难守的局面，学术界提出了动态主动防御的思想，通过技术手段对被保护目标的攻击面实施持续性的动态变换，迷惑攻击者，从而增加攻击者实施攻击的难度和代价，降低其攻击成功的概率，提高系统弹性和安全性。
基于动态主动防御的思想，中兴通讯分别提出了动态网络防御方案和多版本编译方案，前者应用于网络层，动态变换被防护目标的网络参数，后者应用于终端和服务器的软件系统，部署异构主机系统，从而构建从主机到网络的端到端的动态防御体系。
动态网络防御方案
动态网络防御方案将动态主动防御思想应用于 ip 网络，重点保护行业用户的业务服务器。动态网络防御方案通过改变网络的通信参数，使得被防护目标的攻击面不断随机变化，让攻击者难以识别目标节点或服务入口，无法有效侦测网络拓扑信息和主机信息，从而阻止网络攻击行为的发生。
多版本编译方案
多版本编译采用安全的动态编译技术，对同源的软件进行动态编译，改变攻击过程所依赖的系统规律，生成具有随机、多样性特征的版本，使可能的攻击路径呈现出很强的动态性、异构性、随机性等不确定性特点，使攻击者难以观察和作出预测，增大了构建基于漏洞和后门等的攻击链难度与代价，从而在无需增加防御流程的前提下实现系统主动防御功能。
行业应用安全治理与评估
5g 网络与垂直行业的融合，在打破 5g 网络基础设施的天然隔离屏障的同时，也使得行业客户在使用 5g 网络时增加了风险。5g 网络一方面需要面向产业互联网，重构安全治理体系、评估体系和运维体系，为行业用户提供持续、可信、安全的网络服务；另一方面，为了建立多条安全防线，还需要将行业客户引入到 5g 网络的治理工作中来，为客户提供深层次治理能力。
5g 设备供应商是 5g 供应链重要的组成部分，其安全治理水平决定了 5g 网络的安全基础。中兴通讯作为领先的 5g 综合解决方案提供商，深刻理解消费者、客户、政府及相关组织对网络安全方面的关切与重视，构筑了一流的安全治理体系，从多角度保障产品及服务的安全性，实现产品和服务端到端的安全交付，为客户提供端到端产品和服务的安全保障。同时，中兴通讯秉承透明、开放、信任、合作的理念，坚持实行持续的、全面的安全审计，采用了面向产品全生命周期的数据保护方法，并与全球知名第三方安全评测与认证机构合作，对产品与服务的安全性进行独立测试与评估。中兴通讯已在国内及海外多地筹建安全实验室，客户与独立评测机构可对中兴通讯提供的 5g 产品进行更加透明的检视与审查，以进一步提升对中兴通讯 5g 产品与服务安全性的信心。
随着 it 与 ot 的融合，ot 安全成为垂直行业安全的核心。不同于 it 领域，ot 领域有自己的运营模式与行业特征，对于 ot 资产的安全防御，从供应链安全到系统安全设计、安全运营以及事件响应，都需要针对性的治理措施。随着网络安全等级保护进入2．0时代，传统网络安全、移动互联、物联网、工业控制、云计算、大数据等在内所有的新技术都将纳入监管，因此需要运用并发展新的安全模型和安全方法论来支撑构建更加完善的垂直行业安全治理体系。
未来及展望
随着 5g 商业化进程加速，5g 网络和垂直行业深度结合，新型业务场景不断涌现，新技术大规模使用，将对网络与信息安全提出更多新的挑战。中兴通讯将继续以安全、合规为基石，不断完善产品安全治理体系，加强安全技术和方法的研究，强化产品安全竞争力。同时，中兴通讯将持续与行业客户、合作伙伴、政府、运营商、标准组织开展更加紧密的合作，推动端到端的行业安全实践，驱动安全能力不断创新，从容应对未来的安全挑战，持续地提供安全可信的产品和服务，以满足新技术、新应用、新模式的安全保障需求。
缩略语
参考文献
［1］ 3gpp ts 33．501． security architecture and procedures for 5g system［s］， 3gpp． 
［2］ 5g－ensure＿d2．7 security architecture［r］， 5gppp． 
［3］ etsi gs mec－002． mec technical requirements［s］， etsi． 
［4］ imt－2020 5g network security requirement ＆ architecture［r］， imt－2020． 
［5］ gti 5g network security consideration［r］， gti 
［6］ zhao fuchuan， wen jianzhong． slicing packet network infrastructure and keytechnologies for 5g mobile backaul［j］， zte technology，2018．8． 
［7］ recommendation itu－t x．rdmase： requirements and guidelines for dynamicmalware analysis in a sandbox environment［r］， itu－t． 
［8］ 陆平 ， 李建华 ， 赵维铎 ． 5g 在垂直行业中的应用 ［j］． 中兴通讯技术 ， 25（1）：67－74． doi：10．12142／ztetj．20190111 
［9］ 5g 信息安全白皮书 ［r］． 未来移动通信论坛 ， 2017

---