引言
在當(dāng)今數(shù)字化程度不斷提升的社會(huì)中,信息安全已經(jīng)成為企業(yè)和組織發(fā)展的關(guān)鍵要素之一。特別是在網(wǎng)絡(luò)連接日益廣泛的環(huán)境下,對(duì)于數(shù)據(jù)的保護(hù)和隱私的維護(hù)變得尤為重要。隨著5G技術(shù)的飛速發(fā)展,5G雙域?qū)>W(wǎng)為企業(yè)提供了更快速、更可靠的連接,同時(shí)具備更高級(jí)別的安全保障。它將公共網(wǎng)絡(luò)與私有網(wǎng)絡(luò)結(jié)合,為企業(yè)打造了一個(gè)安全、高效的通信環(huán)境。而零信任模型則從根本上顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全理念,不再信任內(nèi)部網(wǎng)絡(luò),而是將每個(gè)用戶和設(shè)備都視為潛在的安全威脅,通過(guò)嚴(yán)格的身份驗(yàn)證和訪問(wèn)控制來(lái)保護(hù)網(wǎng)絡(luò)資源。那么當(dāng)5G雙域?qū)>W(wǎng)和零信任碰撞又將擦起怎樣的火花呢?
5G雙域?qū)>W(wǎng)是什么
5G雙域?qū)>W(wǎng)是一種基于5G技術(shù)構(gòu)建的網(wǎng)絡(luò)架構(gòu),旨在為企業(yè)和組織提供更高級(jí)別的安全保障和網(wǎng)絡(luò)性能。它融合了公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)的優(yōu)勢(shì),通過(guò)物理隔離、加密通信和網(wǎng)絡(luò)切片等技術(shù)手段,為用戶提供了更加安全可靠的連接。
以下是5G雙域?qū)>W(wǎng)的實(shí)現(xiàn)原理:
●物理隔離:
5G雙域?qū)>W(wǎng)通過(guò)物理隔離將企業(yè)的私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)分開(kāi)。這可以通過(guò)使用專用的網(wǎng)絡(luò)設(shè)備、虛擬化技術(shù)或者邏輯隔離來(lái)實(shí)現(xiàn)。物理隔離確保了企業(yè)數(shù)據(jù)和通信流量在傳輸過(guò)程中不會(huì)受到外部網(wǎng)絡(luò)的干擾或窺探,從而增強(qiáng)了網(wǎng)絡(luò)的安全性。
●網(wǎng)絡(luò)切片:
通過(guò)網(wǎng)絡(luò)切片將網(wǎng)絡(luò)資源劃分為多個(gè)獨(dú)立的邏輯網(wǎng)絡(luò)實(shí)例。每個(gè)實(shí)例可以根據(jù)不同的業(yè)務(wù)需求進(jìn)行定制化配置,稱為網(wǎng)絡(luò)切片。在5G雙域?qū)>W(wǎng)中,網(wǎng)絡(luò)切片用于為不同的企業(yè)業(yè)務(wù)提供定制化的網(wǎng)絡(luò)服務(wù),這意味著可以根據(jù)不同的業(yè)務(wù)需求和安全策略,為每個(gè)網(wǎng)絡(luò)切片分配獨(dú)立的資源,并對(duì)其進(jìn)行隔離和管理。
●數(shù)據(jù)分流:
通過(guò)上行分流器(即ULCL UPF)實(shí)現(xiàn)根據(jù)用戶業(yè)務(wù)流特征將訪問(wèn)區(qū)域內(nèi)業(yè)務(wù)的數(shù)據(jù)分流到區(qū)域內(nèi),將訪問(wèn)互聯(lián)網(wǎng)數(shù)據(jù)分流到公網(wǎng),從而實(shí)現(xiàn)對(duì)用戶業(yè)務(wù)數(shù)據(jù)的分流控制。ULCL UPF是對(duì)上行業(yè)務(wù)數(shù)據(jù)分流和對(duì)下行數(shù)據(jù)聚合的一個(gè)處理節(jié)點(diǎn)。
●通信加密:
5G雙域?qū)>W(wǎng)采用強(qiáng)大的加密算法對(duì)通信數(shù)據(jù)進(jìn)行加密處理。這包括對(duì)數(shù)據(jù)傳輸過(guò)程中的每個(gè)數(shù)據(jù)包進(jìn)行加密,并且僅允許有權(quán)用戶或設(shè)備解密數(shù)據(jù)。即使在數(shù)據(jù)傳輸過(guò)程中遭到竊聽(tīng)或篡改,加密通信也確保了數(shù)據(jù)內(nèi)容的機(jī)密性和完整性。
典型業(yè)務(wù)需求
1、隨時(shí)隨地接入內(nèi)網(wǎng)
政企用戶隨時(shí)隨地可以高速接入政企內(nèi)網(wǎng),并且需要簡(jiǎn)化接入操作。
2、不換卡不換號(hào)
政企用戶“一機(jī)一卡一號(hào)” 多用,個(gè)人普通終端既可以數(shù)據(jù)不出公網(wǎng)訪問(wèn)政企內(nèi)網(wǎng)資源,也可正常訪問(wèn)互聯(lián) 網(wǎng)業(yè)務(wù),互不影響。針對(duì)用戶群體不同,又可分為以下三種典型需求:
●局域5G接入:
終端在某個(gè)特定區(qū)域范圍內(nèi)或城市范圍內(nèi)(簽約地),通過(guò)接入5G網(wǎng)絡(luò),可同時(shí)訪問(wèn)政企內(nèi)網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)。
● 4G接入:
終端在沒(méi)有5G網(wǎng)絡(luò)覆蓋的區(qū)域,通過(guò)接入4G網(wǎng)絡(luò),可以按需訪問(wèn)政企內(nèi)網(wǎng)。
●漫游接入:
終端在漫游至外地(非簽約地),可以按需訪問(wèn)政企內(nèi)網(wǎng)。
3、數(shù)據(jù)安全可靠
政企用戶訪問(wèn)政企內(nèi)網(wǎng)需要保障用戶接入和業(yè)務(wù)數(shù)據(jù)安全性。政企單位可自主管控,進(jìn)行安全審計(jì),提高信息安全。以校園為例,校園圖書(shū)館提供期刊雜志等各類數(shù)字資源訪問(wèn),包括校園內(nèi)、校園外訪問(wèn)。
4、流量獨(dú)立計(jì)費(fèi)
政企用戶訪問(wèn)政企內(nèi)網(wǎng)業(yè)務(wù)的流量,可以單獨(dú)進(jìn)行費(fèi)用結(jié)算,不按照互聯(lián)網(wǎng)流量費(fèi)用進(jìn)行付費(fèi)。
行業(yè)業(yè)務(wù)場(chǎng)景
教育
以往大家所熟悉的校園網(wǎng),往往受制于校園物理圍墻,一旦離開(kāi)校門(mén),學(xué)校師生便需要安裝VPN軟件來(lái)訪問(wèn)校園網(wǎng)內(nèi)的系統(tǒng)和資源。但是,VPN方式的數(shù)據(jù)流量往往需要繞行互聯(lián)網(wǎng),然后再通過(guò)校園內(nèi)的教育網(wǎng)網(wǎng)關(guān)接入校園內(nèi)網(wǎng),導(dǎo)致高峰期網(wǎng)絡(luò)擁塞嚴(yán)重,無(wú)法實(shí)現(xiàn)隨時(shí)隨地的訪問(wèn)。這對(duì)于承載著日益多元化智慧教育應(yīng)用的校園網(wǎng)來(lái)說(shuō),是一個(gè)挑戰(zhàn)。為了解決這一問(wèn)題,5G雙域快網(wǎng)成為了助力校園加速數(shù)字化轉(zhuǎn)型的利器。借助5G雙域快網(wǎng),師生可以在不更換SIM卡、不更換號(hào)碼的情況下,輕松地同時(shí)訪問(wèn)互聯(lián)網(wǎng)和校園內(nèi)網(wǎng)。此外,5G雙域快網(wǎng)還支持校內(nèi)、全市、全省以及全國(guó)范圍的廣域接入,滿足了用戶個(gè)性化接入需求。這一創(chuàng)新的網(wǎng)絡(luò)技術(shù),將為校園網(wǎng)的發(fā)展帶來(lái)更加便捷、高效、安全的訪問(wèn)體驗(yàn),為智慧教育的推進(jìn)提供了強(qiáng)大的支持。
政務(wù)
當(dāng)前有線政務(wù)網(wǎng)存在末端覆蓋瓶頸,建設(shè)周期長(zhǎng)、投資維護(hù)成本高、靈活性差,且不能實(shí)現(xiàn)移動(dòng)接入且傳統(tǒng)的Wi-Fi和4G網(wǎng)絡(luò)已無(wú)法滿足智慧政務(wù)業(yè)務(wù)承載的需求。基層政務(wù)服務(wù)人員為了辦理不同業(yè)務(wù),需要通過(guò)登錄不同的VPN,訪問(wèn)省、市、區(qū)等多級(jí)業(yè)務(wù)系統(tǒng),這顯著降低了服務(wù)效率。5G雙域快網(wǎng)以其安全、高效的特性,加速了政務(wù)服務(wù)智慧化發(fā)展。公務(wù)人員個(gè)人終端“不換卡、不換號(hào)”,實(shí)現(xiàn)了同時(shí)訪問(wèn)互聯(lián)網(wǎng)和政務(wù)外網(wǎng),支持遠(yuǎn)程辦公、高清視頻會(huì)議、移動(dòng)辦公、公文流轉(zhuǎn)、政務(wù)服務(wù)、智慧防疫等功能。
醫(yī)療
隨著醫(yī)療行業(yè)融合更多傳感技術(shù)和人工智能,智慧醫(yī)院系統(tǒng)已經(jīng)實(shí)現(xiàn)了對(duì)病人監(jiān)測(cè)、檢查、診療信息以及行政管理信息的收集、存儲(chǔ)、處理、提取和數(shù)據(jù)交換,從而使醫(yī)療服務(wù)朝著真正意義上的智能化發(fā)展。在醫(yī)院內(nèi)部,移動(dòng)護(hù)理、移動(dòng)查房、以及各種5G機(jī)器人服務(wù)(如巡邏、物流和消毒)等業(yè)務(wù)場(chǎng)景都對(duì)大帶寬、低時(shí)延和強(qiáng)大的移動(dòng)性提出了需求,因此需要實(shí)現(xiàn)本地?cái)?shù)據(jù)的卸載和處理。而對(duì)于院外急診救治等業(yè)務(wù)場(chǎng)景,則要求更高的帶寬、更低的時(shí)延、更高的安全性和保障性,以實(shí)現(xiàn)院前和院內(nèi)信息的實(shí)時(shí)同步,并通過(guò)5G大帶寬的4K視頻進(jìn)行遠(yuǎn)程會(huì)診和指導(dǎo)。此外,遠(yuǎn)程閱片、診斷、操控和示教等院間業(yè)務(wù)場(chǎng)景也要求廣域接入、低時(shí)延和高速率,需要安全地接入醫(yī)院內(nèi)網(wǎng),以確保數(shù)據(jù)的快速、安全和穩(wěn)定傳輸。通過(guò)5G雙域快網(wǎng)技術(shù),院內(nèi)設(shè)備、院前急救救護(hù)車、流動(dòng)體檢車以及遠(yuǎn)程醫(yī)療設(shè)備等可以安全地接入醫(yī)院內(nèi)網(wǎng),實(shí)時(shí)回傳數(shù)據(jù)并獲取醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)。醫(yī)護(hù)人員個(gè)人終端也可以同時(shí)訪問(wèn)互聯(lián)網(wǎng)和醫(yī)院內(nèi)網(wǎng),以便更便捷地處理各項(xiàng)業(yè)務(wù)工作。
5G雙域?qū)>W(wǎng)和零信任的結(jié)合
零信任模型是一種基于“不信任,而不是信任”的網(wǎng)絡(luò)安全理念。它假設(shè)網(wǎng)絡(luò)內(nèi)部和外部都可能存在攻擊者,并將每個(gè)用戶和設(shè)備都視為潛在的安全威脅。在零信任模型中,訪問(wèn)請(qǐng)求需要經(jīng)過(guò)嚴(yán)格的身份驗(yàn)證和訪問(wèn)控制,即使是內(nèi)部用戶也需要進(jìn)行持續(xù)的驗(yàn)證和授權(quán),以保證網(wǎng)絡(luò)安全。而5G雙域?qū)>W(wǎng)是一種基于5G技術(shù)構(gòu)建的企業(yè)網(wǎng)絡(luò)架構(gòu),將5G雙域?qū)>W(wǎng)和零信任模型進(jìn)行融合,不僅可以保證高性能網(wǎng)絡(luò)的能力,又能對(duì)用戶進(jìn)行的身份和行為進(jìn)行持續(xù)的校驗(yàn),可以帶來(lái)更加全面和強(qiáng)大的網(wǎng)絡(luò)安全保障。
▍零信任對(duì)于身份安全的統(tǒng)一管理
多因素身份驗(yàn)證 (MFA):實(shí)施多種身份驗(yàn)證因素,如密碼、生物特征、硬件令牌等,以確保用戶身份的真實(shí)性。
單點(diǎn)登錄 (SSO):允許用戶一次登錄后即可訪問(wèn)多個(gè)相關(guān)系統(tǒng),簡(jiǎn)化用戶體驗(yàn)的同時(shí),確保安全性和訪問(wèn)控制。
細(xì)粒度的訪問(wèn)控制:基于用戶的身份、角色、位置等因素,對(duì)用戶的訪問(wèn)進(jìn)行細(xì)致的控制,確保用戶只能訪問(wèn)其合法權(quán)限范圍內(nèi)的資源。
動(dòng)態(tài)訪問(wèn)策略:根據(jù)實(shí)時(shí)的風(fēng)險(xiǎn)評(píng)估和上下文信息,動(dòng)態(tài)調(diào)整訪問(wèn)策略和權(quán)限,以應(yīng)對(duì)不斷變化的威脅和環(huán)境。
集中式身份管理:集中管理用戶身份信息和憑證,確保一致性和安全性,并提供統(tǒng)一的身份認(rèn)證和鑒權(quán)服務(wù)。
強(qiáng)化的認(rèn)證機(jī)制:支持現(xiàn)代化的認(rèn)證機(jī)制,如OAuth、OpenID Connect等,以提供更高級(jí)別的安全性和便利性。
智能風(fēng)險(xiǎn)評(píng)估:基于機(jī)器學(xué)習(xí)和行為分析技術(shù),實(shí)時(shí)評(píng)估用戶的風(fēng)險(xiǎn)水平,并采取相應(yīng)的措施,以防止未經(jīng)授權(quán)的訪問(wèn)。
強(qiáng)化的密碼管理:提供密碼策略管理、密碼復(fù)雜度檢查、密碼安全存儲(chǔ)等功能,以確保密碼的安全性和合規(guī)性。
▍訪問(wèn)流程:
通過(guò)連入手機(jī)熱點(diǎn)的方式將各PC都接入到雙域?qū)>W(wǎng)中,零信任客戶端可以識(shí)別到熱點(diǎn)流量并開(kāi)啟零信任認(rèn)證流程,只有終端環(huán)境和身份驗(yàn)證通過(guò)的PC才能夠被引流到相對(duì)應(yīng)的隧道進(jìn)行業(yè)務(wù)訪問(wèn),當(dāng)出現(xiàn)安全事件時(shí)也能基于不同客戶端進(jìn)行溯源,精確到每個(gè)用戶的相關(guān)日志信息。
總結(jié)
5G雙域?qū)>W(wǎng)與零信任架構(gòu)的結(jié)合為企業(yè)安全通信帶來(lái)了巨大的突破和保障。在這個(gè)數(shù)字化時(shí)代,網(wǎng)絡(luò)安全已成為企業(yè)不可或缺的重要環(huán)節(jié)。通過(guò)將高速、低時(shí)延的5G網(wǎng)絡(luò)與零信任的安全理念相融合,企業(yè)可以實(shí)現(xiàn)對(duì)通信的全方位保護(hù),從而確保敏感數(shù)據(jù)的安全傳輸,有效應(yīng)對(duì)各種網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)。
注:部分內(nèi)容參考自《中國(guó)電信5G雙域快網(wǎng)業(yè)務(wù)白皮書(shū)》
審核編輯 黃宇
-
通信
+關(guān)注
關(guān)注
18文章
6026瀏覽量
135951 -
5G
+關(guān)注
關(guān)注
1354文章
48437瀏覽量
563985
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論