5G核心网内生安全微隔离技术与标准

5G核心网（5GC）采用云化/虚拟化、SBA架构部署，一方面提升了资源利用率、部署灵活性、运维高效性；另一方面也导致网元暴露面增加、网元间互访接口开放，使得网络内部东西向流量的横向移动攻击更易发生，存在“一点突破、全网皆失”的安全风险。中国移动针对5GC内部横向移动攻击，提出了原创内生安全微隔离系统方案，并持续推进微隔离系统的商用落地，同步在GSMA和CCSA完成了多项标准化成果，包括GSMA FS. 61《5G核心网资源池微隔离指南》和YD/T 6021-2024《云化电信网微隔离系统技术要求》。本文介绍了内生安全微隔离相关的技术方案、标准和落地进展。

5GC安全隔离需求分析

中国移动5GC资源池采用了资源池与外部（如互联网）之间边界隔离（大隔离）、资源池内部安全域之间隔离（小隔离）机制。大隔离由部署在资源池边界的防火墙、IPS等安全设备对进出资源池的南北向流量进行防护，小隔离由资源池内SDN网关上的IP通配和ACL对内部安全域之间的访问进行控制。对于安全域内部的网元之间、网元内部虚拟机之间的非授权访问等攻击，无法使用大隔离和小隔离进行监测。即使监测到攻击，也会因为缺乏东西向流量的完整视图，无法快速定位攻击源，从而导致安全处置时间长，甚至影响业务的正常运行。因此，5GC需要更精细化的安全隔离机制，实现网元以及网元虚拟机粒度的安全隔离。

内生安全微隔离技术

基于5GC安全隔离需求，中国移动提出内生微隔离系统方案，构建资源池的第三层隔离机制。内生安全微隔离技术通过对网元之间、网元内部虚拟机之间的访问进行安全监控，并结合网络安全风险智能分析、安全态势感知等，实现安全策略自适应、安全态势可视、安全事件快速处置等，有效解决5GC内部的横向移动攻击问题。

图1 三层隔离（大隔离、小隔离、微隔离）机制示意图

（1）内生安全微隔离系统框架

内生安全微隔离系统包含微隔离管理模块和微隔离插件：

微隔离管理模块：可独立部署或与OMC合设部署。支持从网管获取资产信息，并结合业务模型、微隔离插件上报的流量信息生成安全策略，将安全策略下发至微隔离插件执行；根据微隔离插件上报的流量信息和告警信息完成拓扑展示和异常监控。

微隔离插件：可内建在5G VNF中，具备流量信息采集及上报和安全策略执行等功能。微隔离插件也可内建到虚拟层、管理系统MANO中，实现对虚拟层和MANO中流量的安全隔离。

图2 内生安全微隔离系统框架

（2）内生安全微隔离系统功能

内生安全微隔离系统支持资产管理、安全策略管理、安全监控和拓扑可视等功能。

资产管理：微隔离管理模块从OMC或NFVO订阅资产的基本信息，并依据资产之间的拓扑关系，以业务为标签对资产进行划分和管理。

安全策略管理：安全策略可通过两种方式生成，对流量五元组数据进行学习后生成，或基于CT业务的确定性预置流量白名单。当业务发生变化时，如虚拟化网元的扩容、缩容、迁移等情况，可自适应更新安全策略并下发给相应微隔离插件。

安全监控：微隔离插件依据微隔离管理模块下发的安全策略对收到的流量进行过滤。为了保证业务连续性，微隔离插件可不阻断异常流量，仅开启安全监控功能，向微隔离管理模块上报异常流量信息及生成的告警日志。管理人员根据告警信息进行处置，如将误报流量加入白名单或将恶意资产一键隔离等。

拓扑可视：微隔离管理模块根据资产、流量五元组等信息构建资源池内的网络拓扑，展示资产的详细信息、资产之间的连接关系以及存在异常流量情况下的威胁视图等，辅助管理人员快速完成异常的定位和处置。

标准化及现网落地进展

内生安全微隔离已在GSMA、CCSA等国际国内组织形成标准化成果，实现技术研究和标准推进闭环。在GSMA完成国际标准GSMA FS. 61《5G核心网资源池微隔离指南》，是“内生安全”具体关键技术的首个国际标准项目，涵盖了统一的微隔离架构及原创微隔离方案。在CCSA完成行业标准YD/T 6021-2024《云化电信网微隔离系统技术要求》，详细定义了微隔离系统的通用框架和具体功能要求，为内生安全的落地奠定了坚实基础。

内生安全微隔离系统已通过中国移动的集采测试验证，能以极低的资源占用（CPU和内存占用分别不超过网元虚拟机的3%，300M）、业务“0”影响、99.999%的可靠性保障为5G网络云提供内部东西向流量的安全监控，将在2025年逐步完成全国各省的现网商用部署，服务全网约20万网元虚拟机，有效提升5G核心网整体安全防护水平。

总结与展望

内生安全微隔离方案通过网元、主机内建插件，协同微隔离管理模块，实现对资源池内部东西向流量的细粒度访问控制，在不影响5G业务性能的前提下为5G网络提供自适应、可视化的内生安全防护能力。

随着5G-A/6G的研究以及云原生技术、AI技术的发展，网络云暴露面会进一步增大，运营商内网安全风险也将持续增加。因此，应推进内生安全微隔离技术持续演进，从适用场景多样化、能力协同化、管理智能化等多方面考虑，积极探索内生安全技术并逐步推进落地应用。

【参考文献】

1.YD/T 6021-2024 云化电信网微隔离系统技术要求，CCSA

2.FS. 61 5G核心网资源池微隔离指南，GSMA

3.中国移动通信有限公司研究院.5G-Advanced安全技术演进白皮书[EB/OL].(2022.8.10)[2023.9.5].https://cmri.chinamobile.com/thinktank/origin/file/viewer?id=3789972.

4.杜海涛,何申,杨朋霖.面向5G网络的可信计算方案研究与设计[J].信息安全研究,2022,8(增刊2):116-119.

审稿：粟栗、杜海涛| 安全技术研究所（安全管理部、人工智能安全治理研究中心）

作者：张芳蕾、马洁 | 安全技术研究所（安全管理部、人工智能安全治理研究中心）

声明：本文来自中移智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。