5G烽火台专网安全产品介绍 (集成) 20201127.pptxVIP

5G烽火台专网安全产品介绍联通智慧安全科技有限公司PART 01PART 025G烽火台产品介绍5G专网及安全威胁PART 015G专网及安全威胁5G专网概述利用5G组网、切片和边缘计算等技术，为客户提供专属覆盖、网络定制、数据隔离、质量保证的基础连接网络，实现大带宽、低时延、安全可靠的数据传输，满足客户在生产、办公、管理等应用的通信服务需求。业务数据本地卸载无线资源专享联通公众网大网5GCInternet园区5G核心网5G专网5G专用核心网网络按需定制网络能力自调用5G 基站企业应用公网数据流专网用户公众用户超低时延数据高安全专网数据流5G专网安全威胁随着“新基建”的推进，5G网络将与包括工业互联网、物联网、大数据等在内的多种技术深度融合，从消费渗透到生产、监管等各个领域。但在创新发展的同时，也不可避免的催生出新的安全问题，如入网设备身份核验、敏感数据泄露、关键基础设施被破坏等。网络边界(MEC)网络/平台传输终端5G时代的终端连接数量大、分布面广，且软件相对不可控，比较容易被黑客入侵攻陷。数据传输过程中的真实性、完整性保护中间人攻击、恶意篡改等安全事件物理攻击以及网络攻击的跨网渗透和交叉感染需要关注 MEC 自身的安全管控以及网络之间的隔离。DDOS攻击数据泄露系统漏洞被利用等工业互联网及物联网对5G专网带来的安全威胁两大安全问题Internet联通公众网大网5GC园区5G核心网5G专用核心网5G 基站企业应用公网数据流专网用户公众用户专网数据流传统防护手段与5G专网传统网络安全防御手段5G专网特点5G自身开放性，引入新的安全威胁，安全问题更易从内部产生；5G专网的应用场景主要在物联网/工业互联网方向，据预测其80%的应用机会在工业互联网领域，5G专网将成为工业互联网落地的联接底座。侧重边界防护：边界防火墙入侵检测/防御设备：IPS/IDS、防毒墙等默认认为专网内相对安全，主要在边界处防范来自专网外的安全威胁意味着5G专网不仅要重视来自外部的威胁，还要重视专网内的安全威胁5G专网安全防护——白名单机制面向5G+工业互联网应用，打造应用白环境工业互联网应用场景具有终端身份明确、操作行为固定、网络访问及数据流向相对可控等特点，其相关业务动作的执行顺序、数据交互规则清晰明确，因而在5G专网+工业互联网应用中，能够基于白名单策略建立起安全的白环境，较为有效地达到网络安全防护目的。PART 025G烽火台产品介绍平台防护思路平台主要针对5G面向工业互联网/物联网中业务规则清晰明确的场景，提供基于白名单的安全防护机制。入网认证异常监测平台安全传输安全异常处置业务识别5G专网+工业互联网安全防护示意图安全接入网关数据安全防护5G专网 企业内网数据中心5G公网安全岛链互联网专用AMF/SMF公用AMF/SMF威胁情报5G烽火台：业务识别安全接入加密传输异常监测网站安全监测WEB应用防护专用UPF公用UPF异常处置：基于5G专网管理能力专网基站公网基站安全接入终端安全服务配置接入/行为认证公网用户专网用户公网数据流专网数据流安全检测（固件/app等）业务识别业务行为识别：形成终端身份白名单、行为白名单安全评估：终端上线前的固件、APP评估入网认证认证技术（GBA/数字证书/标识认证）网络侧接入认证策略：白名单入网认证（5G专网的能力）传输安全—— 安全接入产品利用4G/5G通信网络、WiFi及有线等网络连接方式，安全接入产品能够提供的能力数据传输的安全保护终端设备的安全认证利用基于国际、国密算法（SM1-SM4、AES、RSA2048、ECC、SHA256）的数据加密保护机制，解决前端接入设备数据在传输过程中的“裸奔”问题，保障数据在传输过程的真实性、完整性，避免中间人攻击、数据劫持、恶意篡改等安全事件的出现；采用身份鉴权、认证识别技术验证接入设备的合法性，解决接入设备被替换和非法私接问题，确保经过认证许可的接入设备才被允许接入网络；传输安全—— 安全接入产品应用场景典型应用场景：通过在移动链路上增加安全接入终端和安全接入网关类设备来提供设备认证和数据加密功能，在5G烽火台白名单策略管理基础上实现安全接入能力。安全接入终端部署在远程接入侧（客户端）；安全接入网关部署在数据中心侧（服务端）；接入终端和网关之间可以通过证书及白名单形式完成对前端设备的接入控制、身份验证，同时在二者间实现数据加密功能。异常监测——物联网设备安全监测平台异常包括了物联网卡的异常、设备的异常、业务的异常、DDoS攻击检测等；异常管理包括告警规则的管理，异常的监测、攻击的检测等故障告警及预警；实现告警信息、故障信息、故障查询、故障管理等可视化界面统计、分析和管理。DDoS攻击检测设备异常业务异常物联网卡异常机卡分离监测手机终端使用监测跨地区使用监测超阈值使用监测超白名单