１數(shù)據(jù)安全1.1定義《數(shù)據(jù)安全法》對數(shù)據(jù)安全給出了明確的定義。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。數(shù)據(jù)的生命周期包括采集、傳輸、存儲、處理、交換、銷毀這6個主要階段。數(shù)據(jù)安全不僅要確保貫穿數(shù)據(jù)全生命周期內(nèi)的安全，以及數(shù)據(jù)防護過程的安全，而且對安全合規(guī)監(jiān)管也有更高的要求，包括確保數(shù)據(jù)的機密性、完整性、可用性不受破壞等。1.2數(shù)據(jù)安全威脅及措施1.2.1數(shù)據(jù)采集階段在數(shù)據(jù)采集階段，存在注入惡意數(shù)據(jù)、篡改采集數(shù)據(jù)等風(fēng)險。在數(shù)據(jù)采集階段，需根據(jù)業(yè)務(wù)需求和相關(guān)標(biāo)準(zhǔn)要求做好數(shù)據(jù)的分類分級管理。首先保證數(shù)據(jù)采集平臺的安全可信，同時對敏感數(shù)據(jù)進行信息加密保護，對采集行為進行日志記錄和審計。1.2.2數(shù)據(jù)傳輸階段在數(shù)據(jù)傳輸階段，主要存在數(shù)據(jù)泄露和數(shù)據(jù)篡改威脅。對于重要敏感數(shù)據(jù)，可以通過傳輸加密、數(shù)據(jù)完整性保護等措施保證數(shù)據(jù)傳輸階段的安全。1.2.3數(shù)據(jù)存儲階段隨著數(shù)據(jù)規(guī)模的擴大，很多企業(yè)和用戶將數(shù)據(jù)存儲在第三方的云服務(wù)器上，即便自行存儲也同樣存在數(shù)據(jù)被非法竊取、篡改、損壞等安全問題。因此，需采用數(shù)據(jù)訪問的身份認(rèn)證和訪問控制、數(shù)據(jù)備份和恢復(fù)、敏感數(shù)據(jù)加密存儲等多種手段進行保護，并對存儲數(shù)據(jù)的設(shè)備及基礎(chǔ)設(shè)施做好訪問控制、安全基線和風(fēng)險評估。1.2.4數(shù)據(jù)處理階段目前數(shù)據(jù)處理通常在云計算平臺中進行，由于云平臺中各租戶網(wǎng)絡(luò)、存儲、計算等資源是共享使用的，導(dǎo)致私有數(shù)據(jù)安全邊界模糊，存在數(shù)據(jù)泄露、篡改等安全風(fēng)險。因此需采用安全隔離、訪問控制等多種技術(shù)手段實現(xiàn)云租戶的邊界安全，在數(shù)據(jù)訪問和處理中堅持最小分配原則，合規(guī)使用者僅訪問必要數(shù)據(jù)，除非獲得授權(quán)，否則無權(quán)訪問數(shù)據(jù)。1.2.5數(shù)據(jù)交換階段數(shù)據(jù)進行有序的共享和交換是發(fā)揮數(shù)據(jù)價值的關(guān)鍵一環(huán)，但是數(shù)據(jù)交換階段存在非法截獲數(shù)據(jù)、數(shù)據(jù)污染篡改等安全問題。在數(shù)據(jù)交換階段，可以采用數(shù)據(jù)匿名化、多方安全計算、同態(tài)加密和個人隱私計算等保證數(shù)據(jù)交換過程中的安全。1.2.6數(shù)據(jù)銷毀階段在數(shù)據(jù)銷毀階段，由于待銷毀數(shù)據(jù)量大，可能存在數(shù)據(jù)銷毀不徹底，數(shù)據(jù)被非法還原造成信息泄露等風(fēng)險，特別是對于個人隱私等數(shù)據(jù)需要采用多次擦除等技術(shù)手段保證數(shù)據(jù)的銷毀。1.3數(shù)據(jù)安全保護數(shù)據(jù)安全保護應(yīng)以制度為標(biāo)，技術(shù)為本，在數(shù)據(jù)保護的基礎(chǔ)上安全地利用數(shù)據(jù)，促進數(shù)據(jù)價值發(fā)揮。做好數(shù)據(jù)安全保護，信息系統(tǒng)的管理方和數(shù)據(jù)運營方可以從以下6個方面入手開展工作。（1）識別重要核心數(shù)據(jù)資產(chǎn)，對數(shù)據(jù)進行分類分級的保護。（2）分析重要核心數(shù)據(jù)面臨的安全威脅，分析安全風(fēng)險，確定數(shù)據(jù)安全保護策略。（3）對數(shù)據(jù)所承載的信息系統(tǒng)，按照信息系統(tǒng)的保護需求，按照等級保護、分級保護等相關(guān)標(biāo)準(zhǔn)規(guī)范，為信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施等數(shù)據(jù)的承載支撐平臺建立安全防護體系。（4）構(gòu)建數(shù)據(jù)安全技術(shù)體系，保證數(shù)據(jù)全生命周期的安全。（5）建立完善的數(shù)據(jù)安全機構(gòu)組織、制度流程和培訓(xùn)考核機制，建立健全管理手段。（6）加強數(shù)據(jù)安全運營和實戰(zhàn)演練。２5G數(shù)據(jù)安全5G將大幅度推動物聯(lián)網(wǎng)的發(fā)展，最終實現(xiàn)萬物互聯(lián)的目標(biāo)。作為當(dāng)前大數(shù)據(jù)線下數(shù)據(jù)主要來源的物理設(shè)備，在5G的推動下，能夠采集的數(shù)據(jù)量更大，同時，隨著車聯(lián)網(wǎng)、可穿戴設(shè)備、智慧城市等項目的推進，采集的面會越來越廣，數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長的態(tài)勢。同時，5G網(wǎng)絡(luò)是我國的關(guān)鍵基礎(chǔ)設(shè)施，對于國家安全的重要性不言而喻，因此5G的數(shù)據(jù)安全問題亟須解決。2.15G數(shù)據(jù)安全需求及標(biāo)準(zhǔn)我們可以從多個維度來分析5G的數(shù)據(jù)安全需求。從數(shù)據(jù)生命周期的角度，5G數(shù)據(jù)安全是需要保障數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等全生命周期的安全。從業(yè)務(wù)的角度，需要保障增強移動寬帶（EnhancedMobileBroadband，eMBB）、海量機器類通信（MassiveMachineTypeCommunication，mMTC）和高可靠低時延（UltraReliableLow-LatencyCommunications，uRLLC）3大類5G業(yè)務(wù)的數(shù)據(jù)安全。從系統(tǒng)架構(gòu)的角度，需要保障5G終端設(shè)備、5G接入網(wǎng)絡(luò)、5G核心網(wǎng)、5G邊緣、應(yīng)用系統(tǒng)的數(shù)據(jù)安全。面對復(fù)雜的5G系統(tǒng)、豐富的5G應(yīng)用，5G數(shù)據(jù)安全的標(biāo)準(zhǔn)制定、安全體系設(shè)計尤為重要。我國正積極制定5G數(shù)據(jù)安全專用標(biāo)準(zhǔn)體系，工信部發(fā)布的《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》明確提出建設(shè)5G數(shù)據(jù)安全標(biāo)準(zhǔn)體系。中國通信標(biāo)準(zhǔn)化協(xié)會已發(fā)布和在研的與數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)包括YD/T3813—2020《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》《5G數(shù)據(jù)安全總體技術(shù)要求》《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級指南》《物聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)分類分級方法》《5G數(shù)據(jù)安全評估規(guī)范》等。已發(fā)布的個人信息保護、全生命周期各環(huán)節(jié)等數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)有GB/T35273—2020《信息安全技術(shù)個人信息安全規(guī)范》、GB/T39335—2020《信息安全技術(shù)個人信息安全影響評估指南》、YD/T3628—2019《5G移動通信網(wǎng)安全技術(shù)要求》等。2.25G數(shù)據(jù)安全架構(gòu)中國通信協(xié)會在發(fā)布的《5G數(shù)據(jù)安全防護白皮書》中提出了5G數(shù)據(jù)安全的防護體系。該防護體系主要包括5G通用數(shù)據(jù)安全、5G基礎(chǔ)設(shè)施安全、5G設(shè)備數(shù)據(jù)安全、無線數(shù)據(jù)安全、核心網(wǎng)數(shù)據(jù)安全、5G業(yè)務(wù)數(shù)據(jù)安全6個方面。（1）5G通用數(shù)據(jù)安全主要實現(xiàn)數(shù)據(jù)采集、傳輸、存儲、處理、共享和銷毀的安全。（2）5G基礎(chǔ)設(shè)施安全主要實現(xiàn)物理安全、云平臺安全和網(wǎng)絡(luò)安全，為5G網(wǎng)絡(luò)提供安全的基礎(chǔ)設(shè)施。（3）5G設(shè)備數(shù)據(jù)安全主要實現(xiàn)接入安全、通信安全、數(shù)據(jù)存儲安全和其他數(shù)據(jù)安全。（4）無線數(shù)據(jù)安全實現(xiàn)5G信令完整性保護、信令機密性保護和密鑰保護。（5）核心網(wǎng)數(shù)據(jù)安全包括邊緣計算數(shù)據(jù)安全、網(wǎng)絡(luò)功能虛擬化（NetworkFunctionVirtualization，NFV）/軟件定義網(wǎng)絡(luò)（SoftwareDefineNetwork，SDN）數(shù)據(jù)安全和網(wǎng)絡(luò)切片數(shù)據(jù)安全。（6）5G業(yè)務(wù)數(shù)據(jù)安全實現(xiàn)車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等5G垂直行業(yè)數(shù)據(jù)安全。３5G專網(wǎng)數(shù)據(jù)安全技術(shù)3.1面向行業(yè)用戶的3種5G專網(wǎng)模式面向行業(yè)用戶的5G專網(wǎng)包括3種模式：虛擬專網(wǎng)（公網(wǎng)切片）、混合專網(wǎng)（專網(wǎng)切片）和獨立物理專網(wǎng)。3.1.1虛擬專網(wǎng)虛擬專網(wǎng)是基于5G公網(wǎng)，將公網(wǎng)資源進行按需分配，實現(xiàn)網(wǎng)絡(luò)能力的靈活組合，采用切片等技術(shù)，在5G公網(wǎng)上虛擬出多個具備不同特性的邏輯子網(wǎng)絡(luò)，為用戶提供端到端的虛擬化網(wǎng)絡(luò)資源，為行業(yè)應(yīng)用提供定制化的無線專網(wǎng)能力。5G虛擬專網(wǎng)部署如圖1所示。圖15G虛擬專網(wǎng)部署虛擬專網(wǎng)是一種低成本專網(wǎng)模式。對于電力、政務(wù)等業(yè)務(wù)分散、需實現(xiàn)廣域覆蓋的用戶，虛擬專網(wǎng)是非常好的專網(wǎng)模式，可以利用公網(wǎng)覆蓋實現(xiàn)全域覆蓋和業(yè)務(wù)系統(tǒng)的部署，同時5G虛擬專網(wǎng)能夠?qū)I(yè)務(wù)提供服務(wù)質(zhì)量協(xié)議（Service

LevelAgreement，SLA）保障（速率、可靠性、時延、連接數(shù)等）。3.1.2混合專網(wǎng)混合專網(wǎng)即專網(wǎng)切片，專網(wǎng)在局部區(qū)域共享公網(wǎng)的無線資源，將邊緣計算（MobileEdge

Computing，MEC）/用戶面功能（UserPlane

Function，UPF）下沉到行業(yè)用戶的本地，采用獨立的核心網(wǎng)或共享公網(wǎng)核心網(wǎng)，用戶應(yīng)用部署在用戶本地邊緣平臺上，實現(xiàn)數(shù)據(jù)的本地卸載。5G混合專網(wǎng)部署如圖2所示。圖25G混合專網(wǎng)部署混合專網(wǎng)適用于工廠、園區(qū)、醫(yī)院、港口等垂直行業(yè)用戶，需求為：能夠提供局域連接、對數(shù)據(jù)的安全性要求較高、業(yè)務(wù)數(shù)據(jù)總流量大、對網(wǎng)絡(luò)時延抖動控制要求高。5G混合專網(wǎng)能夠?qū)⒕W(wǎng)絡(luò)能力、計算能力、存儲能力、應(yīng)用等在靠近客戶的位置（即邊緣計算節(jié)點）就近整合，提供高可靠性及低時延的網(wǎng)絡(luò)服務(wù)能力，實現(xiàn)“用戶數(shù)據(jù)不出場”。3.1.3獨立物理專網(wǎng)獨立物理專網(wǎng)采用專有頻段和專有基站、獨立或共享核心網(wǎng)、所有網(wǎng)元均在用戶本地部署，可在本地配置邊緣云等服務(wù)。5G獨立物理專網(wǎng)部署如圖3所示。圖3

5G獨立物理專網(wǎng)部署獨立物理專網(wǎng)適用于應(yīng)急部門、政府部門或大型企業(yè)等，這些用戶對安全要求高，需建立專網(wǎng)基站實現(xiàn)局部區(qū)域覆蓋。3.25G專網(wǎng)數(shù)據(jù)安全防護架構(gòu)從上述3種專網(wǎng)的部署結(jié)構(gòu)可以看出，5G專網(wǎng)的數(shù)據(jù)安全防護架構(gòu)可以參照5G數(shù)據(jù)安全防護架構(gòu)建立。對于5G專網(wǎng)的行業(yè)用戶，5G專網(wǎng)的數(shù)據(jù)安全需要考慮終端、5G網(wǎng)絡(luò)和行業(yè)應(yīng)用的數(shù)據(jù)安全。終端的數(shù)據(jù)安全需要解決專網(wǎng)終端平臺的安全、數(shù)據(jù)采集和數(shù)據(jù)存儲的安全。5G網(wǎng)絡(luò)可以分為兩種情況：第一種是采用運營商的核心網(wǎng)，通過MEC/UPF實現(xiàn)邊緣節(jié)點的專網(wǎng)架構(gòu)；第二種是自建專網(wǎng)核心網(wǎng)的5G專網(wǎng)。對于第一種情況，由于運營商的5G網(wǎng)絡(luò)已經(jīng)根據(jù)第三代合作伙伴計劃（3rdGenerationPartnershipProject，3GPP）的安全要求，實現(xiàn)了終端的接入安全和通信信息保護，解決了5G接入網(wǎng)和核心網(wǎng)的通信安全、傳輸安全，因此5G核心網(wǎng)的網(wǎng)元、MEC/UPF通常部署在云平臺上，并采用較完善的云平臺安全防護措施實現(xiàn)了核心網(wǎng)和MEC/UPF中用戶數(shù)據(jù)的采集、存儲、交換的安全。對于自建5G核心網(wǎng)的情況，應(yīng)按照3GPP的安全要求，采用基礎(chǔ)安全云平臺，實現(xiàn)自建5G核心網(wǎng)的數(shù)據(jù)存儲安全、數(shù)據(jù)傳輸處理安全。行業(yè)應(yīng)用的云端是行業(yè)用戶數(shù)據(jù)存儲、處理、交換的重要區(qū)域，首先需要解決行業(yè)應(yīng)用基礎(chǔ)平臺的安全，可以綜合采用數(shù)據(jù)加密存儲、數(shù)據(jù)隔離防護、數(shù)據(jù)安全交換等多種安全防護手段，重點解決行業(yè)應(yīng)用平臺的數(shù)據(jù)交換安全、數(shù)據(jù)處理安全、數(shù)據(jù)存儲安全。綜上所述，5G專網(wǎng)數(shù)據(jù)安全防護架構(gòu)如圖4所示。圖45G專網(wǎng)數(shù)據(jù)安全防護架構(gòu)3.35G專網(wǎng)數(shù)據(jù)安全防護新技術(shù)數(shù)據(jù)安全需要新技術(shù)進行基礎(chǔ)支撐，以下多項新技術(shù)將會對數(shù)據(jù)安全帶來巨大影響。這些新技術(shù)覆蓋數(shù)據(jù)安全生命周期各個階段，具體如表1所示。表1數(shù)據(jù)安全新技術(shù)3.45G專網(wǎng)安全防護技術(shù)對于5G專網(wǎng)數(shù)據(jù)安全的防護，需要采用成熟技術(shù)和新技術(shù)相結(jié)合，實現(xiàn)終端、網(wǎng)絡(luò)、邊緣、應(yīng)用的整體防護，本文將對以下幾項安全防護技術(shù)進行探討。3.4.1專網(wǎng)終端的可信安全技術(shù)5G

專網(wǎng)終端采用可信安全技術(shù)構(gòu)建專網(wǎng)終端的可信安全架構(gòu)，如圖5所示，保證終端基礎(chǔ)環(huán)境安全，從而確保數(shù)據(jù)采集、存儲安全。終端可信安全架構(gòu)以密碼技術(shù)為基礎(chǔ)，以可信密碼模塊為核心，實現(xiàn)終端的可信基本輸入輸出系統(tǒng)（BasicInputOutputSystem，BIOS）、可信操作系統(tǒng)、可信運行環(huán)境和可信應(yīng)用軟件，由可信安全策略對終端進行策略控制及策略執(zhí)行反饋、審計。圖5專網(wǎng)終端可信安全架構(gòu)3.4.2數(shù)據(jù)匿名技術(shù)在5G專網(wǎng)的數(shù)據(jù)采集和交換環(huán)節(jié)，通常需要對個人敏感信息進行采集，可以對個人敏感信息采用泛化、屏蔽、隨機化等處理措施，實現(xiàn)非授權(quán)人員無法識別出與敏感信息對應(yīng)的個人主體，以達(dá)到“匿名”效果，保護個人隱私。數(shù)據(jù)匿名技術(shù)主要包括K-匿名、L-多樣性、T-近似性以及差分隱私4種。（1）K-匿名：除敏感數(shù)據(jù)外，對可以確定個人主體身份的數(shù)據(jù)項（如身份證號、手機號、地址等）采用屏蔽、泛化等處理措施，保證數(shù)據(jù)表中至少有K(K≥2)條記錄具有相同的取值。（2）L-多樣性：不僅保證處理后的數(shù)據(jù)表中至少包含K個相同記錄，而且通過修改敏感屬性或添加偽記錄來保證處理后所得的任意等價組的敏感屬性至少包含L個不同的值。（3）T-近似性：不僅保證形成的等價組至少包含K個記錄，而且通過修改敏感屬性或添加偽造記錄，保證任意的等價組的敏感屬性的分布與全局的敏感屬性分布之間的距離度量值小于T。（4）差分隱私：在采集和交換數(shù)據(jù)時，在個人用戶側(cè)利用隨機化算法等對采集到的個人敏感數(shù)據(jù)進行相應(yīng)的處理，使得服務(wù)器無法獲得個人用戶的真實敏感信息，但服務(wù)器采集到足夠多的加入噪聲的數(shù)據(jù)后也能起到了解總體數(shù)據(jù)分布的業(yè)務(wù)需求。在交換數(shù)據(jù)前，利用隨機化算法，進行集中批量處理?？梢钥闯?，在隱私保護效果方面，差分隱私>T-近似性>L-多樣性>K-匿名，而從性能和數(shù)據(jù)可用性來考慮則完全相反，因此實際使用過程中要結(jié)合具體場景進行靈活選擇。3.4.35G專網(wǎng)中的同態(tài)加密技術(shù)由于5G終端的處理能力有限，因此專網(wǎng)中的數(shù)據(jù)處理、數(shù)據(jù)存儲通常是由云計算平臺完成的，如果終端直接將數(shù)據(jù)交給云，則無法保證安全性，所以使用同態(tài)加密技術(shù)，讓云來對加密后的數(shù)據(jù)進行處理，然后將處理結(jié)果返回終端。同態(tài)加密可以對加密后的數(shù)據(jù)進行處理，擁有密鑰的用戶對處理過的數(shù)據(jù)進行解密后，得到處理后的結(jié)果與對明文數(shù)據(jù)處理的結(jié)果一致。同態(tài)加密是實現(xiàn)多方安全計算的一種方式，也是比較適用于5G專網(wǎng)數(shù)據(jù)傳輸、存儲、處理的方法，包括加法同態(tài)、乘法同態(tài)和全同態(tài)加密。第一個加法同態(tài)加密方案由Pailer提出，加法同態(tài)的加密函數(shù)滿足Enc(A)+Enc(B)=Enc(A+B)，可執(zhí)行密文數(shù)據(jù)的加減運算。第一個乘法同態(tài)加密方案由Elgamal提出，乘法同態(tài)的加密函數(shù)滿足Enc(A)×Enc(B)=Enc(A×B)，可執(zhí)行密文數(shù)據(jù)的乘除運算。全同態(tài)加密的加密函數(shù)同時滿足加法同態(tài)和乘法同態(tài)，全同態(tài)加密可以完成各種運算，包括加減乘除、多項式、指數(shù)、對數(shù)、三角函數(shù)等。第一個完全同態(tài)加密方案由Gentry于2009年提出，該方案允許任意復(fù)雜的操作并且在量子時代也是安全的。４結(jié)語隨著