本申請實施例提供一種5G網絡安全防護方法及系統，該方法在零信任客戶端完成5G網絡二次認證前，使得切片信息對終端不可見；在終端完成5G網絡二次認證，進入切片后，切片信息仍不可見，只有在終端與零信任網關之間建立了安全通道后，終端才能看到其權限內的資源；通過安全基線及安全策略，提供基于用戶角色的業務訪問控制防護；監測專屬切片內的各種行為，基于監測結果，動態修正每個終端、網元對應的安全值，從而基于調整后的安全值對于終端、網元，進行風險發現預防等，解決現有在5G網絡尤其是面向行業客戶提供的5G網絡切片中沒有應用網絡安全防護產品及方案的問題。

技術領域

本申請實施例涉及網絡安全技術領域，尤其涉及一種5G網絡安全防護方法及系統。

背景技術

第五代移動通信技術(5th generation mobile networks，5G)時代，萬物互聯，新技術新應用的發展將給人類生產、生活帶來深刻變革，而5G網絡將成為構筑萬物互聯的基礎設施，5G網絡安全問題將對國家與社會公共安全帶來巨大影響。5G的安全體系中，安全威脅可以歸為三類：“已知的已知，已知的未知，未知的未知”：已知的已知(A類)：如已知漏洞、病毒、木馬、攻擊行為等，可以通過目前傳統安全技術進行防御，如：病毒查殺、入侵防御、防火墻等；已知的未知(B類)：能預測到可能會發生的，可以一定程度上進行防范的。如已經在其他地方發生，但還沒有在本地發生的攻擊等。此類威脅可以通過威脅情報、態勢感知等手段防御。未知的未知(C類)：無法預測，無從防范的威脅，最可怕的是未知的未知，如0Day攻擊、社會工程學攻擊。

現有5G安全防護手段從攻防角度分析，都是基于暴露面的風險防護即處置技術，根本上仍屬于邊界防護，能夠應對A類、B類安全威脅的事前預防、事中檢測、事后處理，但是對于C類安全威脅的事前預防、事中檢測、事后處理缺乏有效手段。

針對C類安全威脅，當前市場上出現的基本都是滿足集團客戶需求的安全產品及解決方案。隨著5G網絡的建設及業務發展，如何在5G網絡尤其是面向行業客戶提供的5G網絡切片中應用網絡安全防護產品及方案，還沒有出現此類方法。其中，5G網絡切片是5G網絡為了滿足不同應用場景的業務需求引入的。其根據服務對象的類型不同分為兩類：公共切片和專屬切片，分別為公眾客戶和專屬客戶提供服務。

發明內容

本申請實施例提供一種5G網絡安全防護方法及系統，以克服現有在5G網絡尤其是面向行業客戶提供的5G網絡切片中沒有應用網絡安全防護產品及方案的問題。

第一方面，本申請實施例提供一種5G網絡安全防護方法，包括：

在零信任客戶端完成5G網絡二次認證，接入專屬切片后，零信任管控平臺向動態安全監管平臺下發安全基線和第一安全策略，向零信任網關下發第二安全策略，并向所述零信任客戶端和所述零信任網關下發安全通道參數；

所述動態安全監管平臺根據所述安全基線和所述第一安全策略，對所述專屬切片內的終端和網元進行監測，并根據監測結果調整所述專屬切片內的終端或所述網元的安全值，所述零信任網關根據所述第二安全策略，進行安全事件監測；

所述零信任客戶端根據所述安全通道參數，與所述零信任網關建立安全通道。

在一種可能的設計中，上述方法還包括：

在所述專屬切片內的終端的安全值超過預設終端閾值時，所述動態安全監管平臺通知所述零信任管控平臺將所述專屬切片內的終端移出所述專屬切片；

在所述專屬切片內的網元的安全值超過預設網元閾值時，所述動態安全監管平臺通知所述零信任網關對所述網元啟動風險處置機制，所述風險處置機制包括屏蔽所述專屬切片內的網元的出、入兩個方向的全部鏈接。

在一種可能的設計中，上述方法還包括：

所述零信任網關在監測到安全事件發生時，記錄所述安全事件的信息，并向所述零信任管控平臺上報所述安全事件；