基于5G SA+MEC企业园区组网的安全方案.pdf

0引言客户业务需求，比较典型的应用场景包括：AGV搬运、

AR维修等室内大范围移动场景，以及远程驾驶、无人

随着我国工业互联网的快速发展，以及制造、冶机巡检等室外光纤难覆盖场景。同时，MEC还支持异

金、矿山等行业的数字化转型升级驱动，企业对时延、构工业终端的多种网络接入，面向固定或室内小范围

算力、安全的要求正在不断提高。在时延方面，工业自移动场景，兼容企业的已有固网、Wi-Fi接入设备，可以

动化控制中运动控制通常要求时延在1ms级别，过程

降低改造成本和对现有业务的影响。

控制要求时延在10～100ms级别。在算力方面，需

得益于上述优势，目前5GMEC在垂直行业中的应

要系统支持大量工业终端的高并发和对结构化、非结用不断深入，正逐渐融入制造、矿山、电力、交通、警务等

构化数据的本地处理。在安全方面，企业需要降低内关系基础设施和国计民生的重要领域。此类应用对准

部数据的泄露风险，需要应用具备较高的可用性,支持确度、可靠性要求较高，因网络攻击导致的网络拥塞、计

故障时的快速切换和恢复。算资源宕机、应用软件不可用、数据篡改都极易引发严

多接入边缘计算(Multi-AccessEdgeComputing,

重事故。所以，做好安全防护，规避和减少5GSA+MEC

MEC)通过将计算存储能力与业务服务能力向网络边

组网下的安全风险，已经是业界普遍关注的重点问题。

缘迁移，使得应用、服务和内容可以实现本地化、近距

15GSA+MEC企业园区组网的安全分析

离、分布式部署2。而5GMEC同时具备低时延、大带

宽、高算力、数据本地处理等特征，可以准确匹配行业常见的企业园区5GSA+MEC组网如图1所示，

信息通信技术与政策

入；不安全组网导致MEC、UPF甚至5G核心网被攻

由运营商在企业园区内部署下沉的用户面功能(User

PlaneFunction,UPF)网元和MEC平台，当要求严格的击；物理机、网络功能虚拟化基础设施(Network

数据不出园区时，还会下沉部署承载网接入层设备。

运营商侧5G核心网只负责与园区的终端、UPF网元

录；操作系统的漏洞；宿主机/虚机的漏洞、容器/虚机

镜像的篡改、容器逃逸；平台非授权登录、通过应用程

进行5G的控制信令交互。各类终端从5G宏站、室分

接入，经承载网传输至园区下沉UPF网元，本地业务

流量由园区UPF网元以数据网络标识(DataNetwork

Name,DNN)或上行分类器(UplinkClassifier,ULCL)

等模式分流至MEC平台，通过MEC平台提供的高算行东西向攻击；后台删改日志、数据，无备份情况下升

力实现数据在企业园区的就近处理，MEC支持客户级等不规范的运维操作等。

自主管理，可以与企业内网按需打通，实现与内网各业四是数据风险，主要包括客户、应用数据面临的风

务平台的协同。险，例如：数据的损毁、篡改、窃取；对敏感数据的非授

在上述常见的5GSA+MEC组网下，整个业务流权导出、创建、册除等。

程主要面临的安全风险可归纳为如下5类。五是管理风险，网络与信息安全是由技术、人员、

一是接入风险，主要包括终端和接入网面临的安管理三者共同构成的，缺乏规范的管理制度、操作规范

全风险，例如：基站被物理破坏、入侵；伪基站对用户进和安全意识，精心设计的网络安全防御体系也会形同

行欺