运 营 商 专 栏

              图2 5G 安全切片架构示意图




































              图3 5G 安全切片核心组件示意图                                      1）控制平面
                                                                     零信任在多维身份认证的基础上，通过强化授权和信任
                                                                 管理，重构访问控制安全架。其关键功能组件包括信任评估引
                                                                 擎和策略控制引擎，各功能组件通常由各专用设备或子系统组
                                                                 成，通过协同配合，支撑零信任的安全能力。
                                                                     (1）信任评估引擎。信任评估引擎组件同样部署在控制平
                                                                 面，和策略控制引擎联动，基于一定算法，结合网络上下文、
                                                                 基本属性及访问机制等安全要素，对网络实体及访问请求风险
                                                                 进行量化评估，策略控制引擎根据信任评估水平，近一步生成
                                                                 授权决策，确定网络活动的合法性。
                                                                     (2）策略控制引擎。策略控制引擎部署在控制平面，和数
                                                                 据平面的策略执行点进行联，对访问授权请求进行动态授权判
                                                                 定，并将决策结果返回策略控制引擎组件强制执行。
            份认证过程由传统单因子、静态认证方式，演进为支持身份认
                                                                     2） 数据平面
            证策略动态调整的强制认证模式。授权服务过程由传统基于静                              (1）端：信任确权。信任确权在将用户和终端的身份数字
            态规则的权限判定，演进为基于信任等级、安全策略和评估结
                                                                 化之后，零信任安全运营管理平台通过确认用户的身份、用户
            果的动态权限调整服务。信任评估引擎作为控制平面的中枢神                          的访问权限、终端的安全程度、设备的访问权限等来判断用户
            经，是信任评估过程的能力实现点，支持与访问控制引擎动态
                                                                 和终端的信任等级。
            联动，为各类实体提供基于信任评估结果的权限策略判定支                               用户身份确认：方式主要为多因素身份认证，如推送登录
            撑。信任评估引擎通过采集网络空间中各类实体行为日志信息
                                                                 请求、短信、密码、指纹等。
            和外部分析平台结果，综合运用安全大数据分析和智能推理技                              终端身份确认：主要通过设备的识别码、设备的安全性等
            术，实现实体身份持续融合构建、行为日志持续审计分析、信
                                                                 确认。
            任程度持续度量评估， 支撑策略控制过程。                                     在传统网络安全架构中一般是单独对用户、终端或是某个
                3. 安全切片保护措施
                                                                 应用系统进行授权，而且授权的权限范围和时限通常较大。零
                采用控制平面和数据平面的分离部署方式，支持实施、动                        信任是将用户、终端或是应用系统进行组合统一授权，根据请
            态、按需的授权决策，同时有效缩小了网络攻击面，降低了零
                                                                 求权限的实时状态临时授予当下的最小权限。
            信任架构的安全风险。
                                                                     （2）网：路径隐藏。路径隐藏是将对应用系统及数据资

            20                                        网络电信 二零二二年九，十月