网络安全标准化白皮书版全国信息安全标准化技术委员会通信安全标准工作组年月网络安全标准化白皮书编写单位中国移动通信集团有限公司中国电子技术标准化研究院中国信息通信研究院国家计算机网络应急技术处理协调中心中国信息安全测评中心华为技术有限公司阿里云计算有限公司中兴通讯股份有限公司中国信息通信科技集团有限公司大唐移动通信设备有限公司亚信科技成都有限公司高通无线通信技术中国有限公司北京时代新威信息技术有限公司北京百度网讯科技有限公司杭州安恒信息技术股份有限公司编写人员李慧镝张滨杨建军赵刚袁捷上官晓丽于生多张峰邱勤孙彦王秉政赵蓓李祥军粟栗刘贤刚徐思嘉姚相振江为强于乐刘畅齐旻鹏王国宇刘胜兰林美玉舒敏杨红梅贵重何鹏张弘扬王光涛韩晓露武冰梅王军张大江陈星杜雪涛张晨刘婧璇王文磊陈悦王姣吴荣林兆骥游世林毕晓宇薛辉杜志敏任若冰柳扬樊洞阳贾强彭伟营王新杰王连强王海棠唐佳伟版权声明如需转载或引用请注明出处网络安全标准化白皮书摘要本白皮书介绍了的概念关键技术和产业发展情况梳理了国内外政策法规标准现状分析了在终端安全化网络设施安全通信网络安全行业应用安全数据安全网络运维安全等方面存在的安全风险和网络安全标准化需求提出了网络安全标准框架和重点标准研制建议旨在为技术安全应用与产业融合安全有序发展提供标准化技术支撑全文结构如下第章介绍了本白皮书编写的背景第章介绍了概念与应用场景关键技术与安全特性第章介绍了国内外的网络安全法规与政策网络安全标准化现状第章介绍了网络安全风险包括终端安全风险化网络设施安全风险通信网络安全风险行业应用安全风险数据安全风险和网络运维安全风险第章基于网络安全标准化需求给出了网络安全标准框架第章给出了网络安全标准化工作推进建议第章给出了本白皮书所引用的参考文献附录介绍了国内外已发布及在研的相关标准附录介绍了网络安全标准应用实践案例附录给出了相关术语定义受编制时间水平所限疏漏在所难免针对此版白皮书如有任何意见或建议敬请联系目录引言技术概述概念与应用场景关键技术与安全特性化网络设施服务化网络架构边缘化计算资源增强的安全能力网络安全政策与标准现状网络安全法规和政策美国欧盟国内现状网络安全标准化现状国外标准化情况国内标准化情况网络安全风险终端安全风险化网络设施安全风险通信网络安全风险行业应用安全风险数据安全风险网络运维安全风险网络安全标准框架总体原则网络安全标准化需求基础共性类需求终端安全类需求化网络设施安全类需求通信网络安全类需求业务与应用安全类标准数据应用安全类需求网络安全运营类需求网络安全标准框架基础共性类标准终端安全类标准化网络设施安全类标准通信网络安全类标准应用与服务安全类标准数据安全类标准安全运营管理类标准网络安全重点标准研制建议网络安全标准化工作推进建议加快推进网络安全标准体系建设与重点标准研制提前布局融合应用安全风险与保障研究大力开展网络安全标准验证与实施深度参与网络安全国际标准化工作参考文献附录国内外已发布及在研相关标准附件网络安全标准应用实践案例附录术语定义网络安全标准化白皮书引言当前以第五代移动通信技术以下称为代表的新一轮科技和产业变革正在快速兴起成为世界各国经济发展的重要技术支撑和全球产业竞争的战略高地年起全球各大运营商竞相加快网络部署各大机构积极探索与重点行业的融合创新截至年底全球个国家的家运营商采取各种方式投资个国家和区域的个运营商已推动商用全球共建成超万个基站其中我国累计建成基站万个占比超全球总量的形成全球最大规模的网络实现所有地级以上城市网络全覆盖凭借全新的架构引入网络功能虚拟化服务化网络架构边缘计算等新型关键技术大幅提升了移动网络业务能力通过超高清视频智能电网工业互联网智慧交通智慧城市等应用开启了万物广泛互联人机深度交互的新时代为产业数字化生活智慧化数字化治理提供有力支撑在全球范围内广泛商用规模快速扩大的背景下网络安全问题也成为各方关注焦点网络安全包括终端安全化网络设施安全通信网络安全行业应用安全数据安全网络运维安全等多个方面虽然较拥有更为完善的安全特性但随着融合应用的不断深入又将面临的新网络安全威胁与风险为促进与相关产业的健康安全发展切实发挥标准在网络安全工作中的基础性规范性引领性作用有效指导和体系化推进相关重点标准研究制定工作本白皮书在充分调研国内外网络安全发展情况的基础上针对典型应用场景和关键环节研究提出网络安全标准框架给出标准化工作推进建议网络安全标准化白皮书技术概述概念与应用场景即第五代移动通信技术是继和系统之后的延伸其设计目标是高数据速率低传输延迟提升传输质量节省能源降低成本提高系统容量和大规模设备连接不仅用于人与人之间的通信还适用于人与物物与物之间的通信被视为促进各行业智能化升级推动数字经济发展的关键技术之一年发布的建议书提出了的关键技术特征及指标建议包括峰值数据速率用户体验数据速率频谱效率移动性延迟连接密度网络能效区域业务容量等基于全面提升的网络性能指标建议书进一步定义了的三大应用场景增强移动宽带海量机器类通信和超可靠低时延通信如图所示结合其三大应用场景与智慧家庭智慧城市等社会生活领域结合与超高清视频和等多媒体应用车联网和工业互联网等行业融合渗透到生产和生活的各领域为经济与社会发展注入强劲动力图定义的关键指标和应用场景增强移动宽带是以人为中心的应用场景集中表现为超高的传输数据速率广覆盖下的移动性保证以常用的视频业务为例网络的平均用户体验速度下行为上行为能够满足一路高清视频的在线播放需求无法满足高清直播多路视频会议的需求而网络网络安全标准白皮书的平均用户体验速度下行为上行为用户体验会有明显的提升海量机器类通信以大规模物联网为应用场景支持密集环境下的海量机器类通信使得人与机器机器与机器的大规模通信成为可能的海量体现在两个方面首先网络可连接的物联网设备量远大于每平方公里可支持万个连接其次联网设备和业务的种类也大大丰富了支持多种使用不同通信模式的终端比如仅作为主叫不作为被叫被寻址的终端仅在固定时间间隔激活和通信的终端大部分物联网终端具有资源受限的特点和低功耗工作要求在架构和协议设计上做了优化简化了连接建立和管理模型可最大限度降低物联网终端的功耗超可靠超低时延通信以无人驾驶远程医疗智能制造等关键通信为应用场景必须严格满足业务需求的时延和可靠性网络时延最小只能达到左右但是系统本身可将端到端时延降低到且在高速移动情况下保持高可靠性连接同时系统架构支持边缘计算可进一步降低业务时延确保时延敏感场景下高速通信及时执行命令和发送反馈关键技术与安全特性化网络设施传统移动通信网络基于网元设备实现网络功能在网络基础设施层面引入了包括网络功能虚拟化软件定义网络等技术并支持通过网络切片将网络划分为虚拟专网从而能够低成本灵活快速地满足行业应用对网络的高安全性和可定制化需求网络功能虚拟化技术实现了计算和存储资源的虚拟化实现了软件与硬件的解耦使网络功能不再依赖于专有通信硬件平台专用操作系统实现了网络基础设施的云化支持资源的集中控制动态配置高效调度和智能部署缩短网络运营的业务创新周期软件定义网络技术实现了通信连接的软件定义将数据通信设备拆分为控制面和数据面控制面集中控制并提供可编程接口实现了根据组网和业务需要灵活定义网络传输通道可灵活调度流量并编排安全能力网络安全标准化白皮书网络切片网络切片是为满足垂直行业对网络能力可定制化通信及信息安全可控化的需求而出现的它可将一个物理网络切分成功能特性各不相同的多个逻辑网络同时支持多种业务场景基于网络切片技术可以隔离不同业务场景所需的网络资源提高网络资源利用率服务化网络架构传统移动通信网络架构基于固定网元固定连接网络功能的可扩展性受限为了满足时代灵活部署的需要采用了服务化架构将原有的网元按照微服务的理念拆分为松耦合细粒度的网络功能通过服务调用服务组合的方式实现核心网的基本功能核心网内的应用功能指应用层的各种服务它既可以是运营商内部应用也可以是第三方应用其他网元可通过的服务化接口对其进行访问将核心网定义为一个可分解的网络体系结构引入了控制面和用户面分离其中核心网用户面采用传统架构和接口用户面功能负责数据包的路由转发与外部数据网络的数据交互等核心网控制面网元采用服务化架构设计彼此之间通信采用服务化接口从而提供多个网络功能服务服务化架构中将网络功能以服务的方式对外提供不同的网络功能服务之间通过标准接口进行互通支持按需调用功能重构从而提高核心网的灵活性和开放性如图所示核心网将控制面拆分为多个网络功能接入和移动性管理功能主要负责终端接入和移动性管理对应的服务化接口为会话管理功能负责会话管理对应的服务化接口为策略控制功能负责策略管理对应的服务化接口为网络切片选择功能负责判断应该为提供何种网络切片服务对应的服务化接口为网络开放功能负责开放网络能力给对应的服务化接口为网络存储功能负责以及上提供的服务的统一管理包括注册发现授权等功能对应的服务化接口为网络安全标准白皮书统一数据管理负责用户数据管理等对应的服务化接口为独立组网架构中化的核心网控制面及用户面对外交互时所涉及的业务接口包括控制面与用户终端之间的接口控制面与无线接入网之间的接口用户面和无线接入网之间的接口控制面和用户面之间的接口用户面和数据网络之间的接口用户面的漫游接口图独立组网架构边缘化计算资源时代网络服务普遍采用云端协同的方式即远端的云计算或者云数据中心和终端相互配合完成网络服务的提供和访问时代大量高可靠低时延业务出现对网络传输和服务计算的时延效率提出更高需求边缘计算的应用需求更为广泛网络本身也支持更加灵活的边缘计算服务网络安全标准化白皮书边缘计算作为网络新型网络架构的主要特征之一部署在无线基站接入机房等网络边缘通过将计算能力和服务环境下沉就近向用户提供服务从而构建一个具备高性能低时延与高带宽的电信级服务环境边缘计算平台在网络边缘靠近用户的位置上提供服务和云计算的能力降低核心网的负载开销和用户业务时延为用户提供本地视频位置定位视频质量优化流量分析等低时延和高带宽业务边缘计算采用开放应用编程接口网络功能虚拟化等技术通过边缘节点上应用程序对外提供服务增强的安全能力基于前几代移动通信演进过程中发现的安全问题和积累的运维经验网络对安全机制考虑更加充分具有以下特点更全面的数据安全保护在数据安全保护方面相对于之前的通信网络对用户数据的完整性保护要求更严格不仅只是对网络信令进行完整性保护还增强了对用户数据的完整性保护从到系统的设计要求主要是保证系统空口的吞吐效率最大化和时延最小化通信系统对网络信令进行完整性保护避免被恶意篡改对用户数据并未进行完整性保护在通信中数据应用越来越广泛对用户数据的完整性保护要求更严格需要进行更全面的数据安全保护除信令外通信中对用户数据也可进行完整性保护确保用户数据在空中接口传输时不会被恶意篡改更丰富的认证机制支持在认证机制支持方面相对于之前的通信网络具有更丰富的认证机制支持不仅增强了归属网络对认证的控制还具有更加灵活的可扩展框架在至网络中所使用的认证与