引言

在當(dāng)今數(shù)字化程度不斷提升的社會中，信息安全已經(jīng)成為企業(yè)和組織發(fā)展的關(guān)鍵要素之一。特別是在網(wǎng)絡(luò)連接日益廣泛的環(huán)境下，對于數(shù)據(jù)的保護和隱私的維護變得尤為重要。隨著5G技術(shù)的飛速發(fā)展，5G雙域?qū)＞W(wǎng)為企業(yè)提供了更快速、更可靠的連接，同時具備更高級別的安全保障。它將公共網(wǎng)絡(luò)與私有網(wǎng)絡(luò)結(jié)合，為企業(yè)打造了一個安全、高效的通信環(huán)境。而零信任模型則從根本上顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全理念，不再信任內(nèi)部網(wǎng)絡(luò)，而是將每個用戶和設(shè)備都視為潛在的安全威脅，通過嚴(yán)格的身份驗證和訪問控制來保護網(wǎng)絡(luò)資源。那么當(dāng)5G雙域?qū)＞W(wǎng)和零信任碰撞又將擦起怎樣的火花呢？

5G雙域?qū)＞W(wǎng)是什么

5G雙域?qū)＞W(wǎng)是一種基于5G技術(shù)構(gòu)建的網(wǎng)絡(luò)架構(gòu)，旨在為企業(yè)和組織提供更高級別的安全保障和網(wǎng)絡(luò)性能。它融合了公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)的優(yōu)勢，通過物理隔離、加密通信和網(wǎng)絡(luò)切片等技術(shù)手段，為用戶提供了更加安全可靠的連接。

以下是5G雙域?qū)＞W(wǎng)的實現(xiàn)原理：

●物理隔離：

5G雙域?qū)＞W(wǎng)通過物理隔離將企業(yè)的私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)分開。這可以通過使用專用的網(wǎng)絡(luò)設(shè)備、虛擬化技術(shù)或者邏輯隔離來實現(xiàn)。物理隔離確保了企業(yè)數(shù)據(jù)和通信流量在傳輸過程中不會受到外部網(wǎng)絡(luò)的干擾或窺探，從而增強了網(wǎng)絡(luò)的安全性。

●網(wǎng)絡(luò)切片：

通過網(wǎng)絡(luò)切片將網(wǎng)絡(luò)資源劃分為多個獨立的邏輯網(wǎng)絡(luò)實例。每個實例可以根據(jù)不同的業(yè)務(wù)需求進行定制化配置，稱為網(wǎng)絡(luò)切片。在5G雙域?qū)＞W(wǎng)中，網(wǎng)絡(luò)切片用于為不同的企業(yè)業(yè)務(wù)提供定制化的網(wǎng)絡(luò)服務(wù)，這意味著可以根據(jù)不同的業(yè)務(wù)需求和安全策略，為每個網(wǎng)絡(luò)切片分配獨立的資源，并對其進行隔離和管理。

●數(shù)據(jù)分流：

通過上行分流器（即ULCL UPF）實現(xiàn)根據(jù)用戶業(yè)務(wù)流特征將訪問區(qū)域內(nèi)業(yè)務(wù)的數(shù)據(jù)分流到區(qū)域內(nèi)，將訪問互聯(lián)網(wǎng)數(shù)據(jù)分流到公網(wǎng)，從而實現(xiàn)對用戶業(yè)務(wù)數(shù)據(jù)的分流控制。ULCL UPF是對上行業(yè)務(wù)數(shù)據(jù)分流和對下行數(shù)據(jù)聚合的一個處理節(jié)點。

●通信加密：

5G雙域?qū)＞W(wǎng)采用強大的加密算法對通信數(shù)據(jù)進行加密處理。這包括對數(shù)據(jù)傳輸過程中的每個數(shù)據(jù)包進行加密，并且僅允許有權(quán)用戶或設(shè)備解密數(shù)據(jù)。即使在數(shù)據(jù)傳輸過程中遭到竊聽或篡改，加密通信也確保了數(shù)據(jù)內(nèi)容的機密性和完整性。

典型業(yè)務(wù)需求

1、隨時隨地接入內(nèi)網(wǎng)

政企用戶隨時隨地可以高速接入政企內(nèi)網(wǎng)，并且需要簡化接入操作。

2、不換卡不換號

政企用戶“一機一卡一號” 多用，個人普通終端既可以數(shù)據(jù)不出公網(wǎng)訪問政企內(nèi)網(wǎng)資源，也可正常訪問互聯(lián) 網(wǎng)業(yè)務(wù)，互不影響。針對用戶群體不同，又可分為以下三種典型需求：

●局域5G接入：

終端在某個特定區(qū)域范圍內(nèi)或城市范圍內(nèi)（簽約地），通過接入5G網(wǎng)絡(luò)，可同時訪問政企內(nèi)網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)。

● 4G接入：

終端在沒有5G網(wǎng)絡(luò)覆蓋的區(qū)域，通過接入4G網(wǎng)絡(luò)，可以按需訪問政企內(nèi)網(wǎng)。

●漫游接入：

終端在漫游至外地（非簽約地），可以按需訪問政企內(nèi)網(wǎng)。

3、數(shù)據(jù)安全可靠

政企用戶訪問政企內(nèi)網(wǎng)需要保障用戶接入和業(yè)務(wù)數(shù)據(jù)安全性。政企單位可自主管控，進行安全審計，提高信息安全。以校園為例，校園圖書館提供期刊雜志等各類數(shù)字資源訪問，包括校園內(nèi)、校園外訪問。

4、流量獨立計費

政企用戶訪問政企內(nèi)網(wǎng)業(yè)務(wù)的流量，可以單獨進行費用結(jié)算，不按照互聯(lián)網(wǎng)流量費用進行付費。

行業(yè)業(yè)務(wù)場景

教育

以往大家所熟悉的校園網(wǎng)，往往受制于校園物理圍墻，一旦離開校門，學(xué)校師生便需要安裝VPN軟件來訪問校園網(wǎng)內(nèi)的系統(tǒng)和資源。但是，VPN方式的數(shù)據(jù)流量往往需要繞行互聯(lián)網(wǎng)，然后再通過校園內(nèi)的教育網(wǎng)網(wǎng)關(guān)接入校園內(nèi)網(wǎng)，導(dǎo)致高峰期網(wǎng)絡(luò)擁塞嚴(yán)重，無法實現(xiàn)隨時隨地的訪問。這對于承載著日益多元化智慧教育應(yīng)用的校園網(wǎng)來說，是一個挑戰(zhàn)。為了解決這一問題，5G雙域快網(wǎng)成為了助力校園加速數(shù)字化轉(zhuǎn)型的利器。借助5G雙域快網(wǎng)，師生可以在不更換SIM卡、不更換號碼的情況下，輕松地同時訪問互聯(lián)網(wǎng)和校園內(nèi)網(wǎng)。此外，5G雙域快網(wǎng)還支持校內(nèi)、全市、全省以及全國范圍的廣域接入，滿足了用戶個性化接入需求。這一創(chuàng)新的網(wǎng)絡(luò)技術(shù)，將為校園網(wǎng)的發(fā)展帶來更加便捷、高效、安全的訪問體驗，為智慧教育的推進提供了強大的支持。

政務(wù)

當(dāng)前有線政務(wù)網(wǎng)存在末端覆蓋瓶頸，建設(shè)周期長、投資維護成本高、靈活性差，且不能實現(xiàn)移動接入且傳統(tǒng)的Wi-Fi和4G網(wǎng)絡(luò)已無法滿足智慧政務(wù)業(yè)務(wù)承載的需求?；鶎诱?wù)服務(wù)人員為了辦理不同業(yè)務(wù)，需要通過登錄不同的VPN，訪問省、市、區(qū)等多級業(yè)務(wù)系統(tǒng)，這顯著降低了服務(wù)效率。5G雙域快網(wǎng)以其安全、高效的特性，加速了政務(wù)服務(wù)智慧化發(fā)展。公務(wù)人員個人終端“不換卡、不換號”，實現(xiàn)了同時訪問互聯(lián)網(wǎng)和政務(wù)外網(wǎng)，支持遠程辦公、高清視頻會議、移動辦公、公文流轉(zhuǎn)、政務(wù)服務(wù)、智慧防疫等功能。

醫(yī)療

隨著醫(yī)療行業(yè)融合更多傳感技術(shù)和人工智能，智慧醫(yī)院系統(tǒng)已經(jīng)實現(xiàn)了對病人監(jiān)測、檢查、診療信息以及行政管理信息的收集、存儲、處理、提取和數(shù)據(jù)交換，從而使醫(yī)療服務(wù)朝著真正意義上的智能化發(fā)展。在醫(yī)院內(nèi)部，移動護理、移動查房、以及各種5G機器人服務(wù)（如巡邏、物流和消毒）等業(yè)務(wù)場景都對大帶寬、低時延和強大的移動性提出了需求，因此需要實現(xiàn)本地數(shù)據(jù)的卸載和處理。而對于院外急診救治等業(yè)務(wù)場景，則要求更高的帶寬、更低的時延、更高的安全性和保障性，以實現(xiàn)院前和院內(nèi)信息的實時同步，并通過5G大帶寬的4K視頻進行遠程會診和指導(dǎo)。此外，遠程閱片、診斷、操控和示教等院間業(yè)務(wù)場景也要求廣域接入、低時延和高速率，需要安全地接入醫(yī)院內(nèi)網(wǎng)，以確保數(shù)據(jù)的快速、安全和穩(wěn)定傳輸。通過5G雙域快網(wǎng)技術(shù)，院內(nèi)設(shè)備、院前急救救護車、流動體檢車以及遠程醫(yī)療設(shè)備等可以安全地接入醫(yī)院內(nèi)網(wǎng)，實時回傳數(shù)據(jù)并獲取醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)。醫(yī)護人員個人終端也可以同時訪問互聯(lián)網(wǎng)和醫(yī)院內(nèi)網(wǎng)，以便更便捷地處理各項業(yè)務(wù)工作。

5G雙域?qū)＞W(wǎng)和零信任的結(jié)合

零信任模型是一種基于“不信任，而不是信任”的網(wǎng)絡(luò)安全理念。它假設(shè)網(wǎng)絡(luò)內(nèi)部和外部都可能存在攻擊者，并將每個用戶和設(shè)備都視為潛在的安全威脅。在零信任模型中，訪問請求需要經(jīng)過嚴(yán)格的身份驗證和訪問控制，即使是內(nèi)部用戶也需要進行持續(xù)的驗證和授權(quán)，以保證網(wǎng)絡(luò)安全。而5G雙域?qū)＞W(wǎng)是一種基于5G技術(shù)構(gòu)建的企業(yè)網(wǎng)絡(luò)架構(gòu)，將5G雙域?qū)＞W(wǎng)和零信任模型進行融合，不僅可以保證高性能網(wǎng)絡(luò)的能力，又能對用戶進行的身份和行為進行持續(xù)的校驗，可以帶來更加全面和強大的網(wǎng)絡(luò)安全保障。

▍零信任對于身份安全的統(tǒng)一管理

多因素身份驗證 (MFA)：實施多種身份驗證因素，如密碼、生物特征、硬件令牌等，以確保用戶身份的真實性。

單點登錄 (SSO)：允許用戶一次登錄后即可訪問多個相關(guān)系統(tǒng)，簡化用戶體驗的同時，確保安全性和訪問控制。

細粒度的訪問控制：基于用戶的身份、角色、位置等因素，對用戶的訪問進行細致的控制，確保用戶只能訪問其合法權(quán)限范圍內(nèi)的資源。

動態(tài)訪問策略：根據(jù)實時的風(fēng)險評估和上下文信息，動態(tài)調(diào)整訪問策略和權(quán)限，以應(yīng)對不斷變化的威脅和環(huán)境。

集中式身份管理：集中管理用戶身份信息和憑證，確保一致性和安全性，并提供統(tǒng)一的身份認證和鑒權(quán)服務(wù)。

強化的認證機制：支持現(xiàn)代化的認證機制，如OAuth、OpenID Connect等，以提供更高級別的安全性和便利性。

智能風(fēng)險評估：基于機器學(xué)習(xí)和行為分析技術(shù)，實時評估用戶的風(fēng)險水平，并采取相應(yīng)的措施，以防止未經(jīng)授權(quán)的訪問。

強化的密碼管理：提供密碼策略管理、密碼復(fù)雜度檢查、密碼安全存儲等功能，以確保密碼的安全性和合規(guī)性。

▍訪問流程：

通過連入手機熱點的方式將各PC都接入到雙域?qū)＞W(wǎng)中，零信任客戶端可以識別到熱點流量并開啟零信任認證流程，只有終端環(huán)境和身份驗證通過的PC才能夠被引流到相對應(yīng)的隧道進行業(yè)務(wù)訪問，當(dāng)出現(xiàn)安全事件時也能基于不同客戶端進行溯源，精確到每個用戶的相關(guān)日志信息。

總結(jié)

5G雙域?qū)＞W(wǎng)與零信任架構(gòu)的結(jié)合為企業(yè)安全通信帶來了巨大的突破和保障。在這個數(shù)字化時代，網(wǎng)絡(luò)安全已成為企業(yè)不可或缺的重要環(huán)節(jié)。通過將高速、低時延的5G網(wǎng)絡(luò)與零信任的安全理念相融合，企業(yè)可以實現(xiàn)對通信的全方位保護，從而確保敏感數(shù)據(jù)的安全傳輸，有效應(yīng)對各種網(wǎng)絡(luò)威脅和風(fēng)險。

注：部分內(nèi)容參考自《中國電信5G雙域快網(wǎng)業(yè)務(wù)白皮書》

審核編輯 黃宇