[发明专利]5G网络安全防护方法及系统

说明书

本申请实施例提供一种5G网络安全防护方法及系统，该方法在零信任客户端完成5G网络二次认证前，使得切片信息对终端不可见；在终端完成5G网络二次认证，进入切片后，切片信息仍不可见，只有在终端与零信任网关之间建立了安全通道后，终端才能看到其权限内的资源；通过安全基线及安全策略，提供基于用户角色的业务访问控制防护；监测专属切片内的各种行为，基于监测结果，动态修正每个终端、网元对应的安全值，从而基于调整后的安全值对于终端、网元，进行风险发现预防等，解决现有在5G网络尤其是面向行业客户提供的5G网络切片中没有应用网络安全防护产品及方案的问题。

技术领域

本申请实施例涉及网络安全技术领域，尤其涉及一种5G网络安全防护方法及系统。

背景技术

第五代移动通信技术(5th generation mobile networks，5G)时代，万物互联，新技术新应用的发展将给人类生产、生活带来深刻变革，而5G网络将成为构筑万物互联的基础设施，5G网络安全问题将对国家与社会公共安全带来巨大影响。5G的安全体系中，安全威胁可以归为三类：“已知的已知，已知的未知，未知的未知”：已知的已知(A类)：如已知漏洞、病毒、木马、攻击行为等，可以通过目前传统安全技术进行防御，如：病毒查杀、入侵防御、防火墙等；已知的未知(B类)：能预测到可能会发生的，可以一定程度上进行防范的。如已经在其他地方发生，但还没有在本地发生的攻击等。此类威胁可以通过威胁情报、态势感知等手段防御。未知的未知(C类)：无法预测，无从防范的威胁，最可怕的是未知的未知，如0Day攻击、社会工程学攻击。

现有5G安全防护手段从攻防角度分析，都是基于暴露面的风险防护即处置技术，根本上仍属于边界防护，能够应对A类、B类安全威胁的事前预防、事中检测、事后处理，但是对于C类安全威胁的事前预防、事中检测、事后处理缺乏有效手段。

针对C类安全威胁，当前市场上出现的基本都是满足集团客户需求的安全产品及解决方案。随着5G网络的建设及业务发展，如何在5G网络尤其是面向行业客户提供的5G网络切片中应用网络安全防护产品及方案，还没有出现此类方法。其中，5G网络切片是5G网络为了满足不同应用场景的业务需求引入的。其根据服务对象的类型不同分为两类：公共切片和专属切片，分别为公众客户和专属客户提供服务。

发明内容

本申请实施例提供一种5G网络安全防护方法及系统，以克服现有在5G网络尤其是面向行业客户提供的5G网络切片中没有应用网络安全防护产品及方案的问题。

第一方面，本申请实施例提供一种5G网络安全防护方法，包括：

在零信任客户端完成5G网络二次认证，接入专属切片后，零信任管控平台向动态安全监管平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向所述零信任客户端和所述零信任网关下发安全通道参数；

所述动态安全监管平台根据所述安全基线和所述第一安全策略，对所述专属切片内的终端和网元进行监测，并根据监测结果调整所述专属切片内的终端或所述网元的安全值，所述零信任网关根据所述第二安全策略，进行安全事件监测；

所述零信任客户端根据所述安全通道参数，与所述零信任网关建立安全通道。

在一种可能的设计中，上述方法还包括：

在所述专属切片内的终端的安全值超过预设终端阈值时，所述动态安全监管平台通知所述零信任管控平台将所述专属切片内的终端移出所述专属切片；

在所述专属切片内的网元的安全值超过预设网元阈值时，所述动态安全监管平台通知所述零信任网关对所述网元启动风险处置机制，所述风险处置机制包括屏蔽所述专属切片内的网元的出、入两个方向的全部链接。

在一种可能的设计中，上述方法还包括：

所述零信任网关在监测到安全事件发生时，记录所述安全事件的信息，并向所述零信任管控平台上报所述安全事件；