引言

在當今數字化程度不斷提升的社會中，信息安全已經成為企業和組織發展的關鍵要素之一。特別是在網絡連接日益廣泛的環境下，對于數據的保護和隱私的維護變得尤為重要。隨著5G技術的飛速發展，5G雙域專網為企業提供了更快速、更可靠的連接，同時具備更高級別的安全保障。它將公共網絡與私有網絡結合，為企業打造了一個安全、高效的通信環境。而零信任模型則從根本上顛覆了傳統的網絡安全理念，不再信任內部網絡，而是將每個用戶和設備都視為潛在的安全威脅，通過嚴格的身份驗證和訪問控制來保護網絡資源。那么當5G雙域專網和零信任碰撞又將擦起怎樣的火花呢？

5G雙域專網是什么

5G雙域專網是一種基于5G技術構建的網絡架構，旨在為企業和組織提供更高級別的安全保障和網絡性能。它融合了公共網絡和私有網絡的優勢，通過物理隔離、加密通信和網絡切片等技術手段，為用戶提供了更加安全可靠的連接。

以下是5G雙域專網的實現原理：

●物理隔離：

5G雙域專網通過物理隔離將企業的私有網絡與公共網絡分開。這可以通過使用專用的網絡設備、虛擬化技術或者邏輯隔離來實現。物理隔離確保了企業數據和通信流量在傳輸過程中不會受到外部網絡的干擾或窺探，從而增強了網絡的安全性。

●網絡切片：

通過網絡切片將網絡資源劃分為多個獨立的邏輯網絡實例。每個實例可以根據不同的業務需求進行定制化配置，稱為網絡切片。在5G雙域專網中，網絡切片用于為不同的企業業務提供定制化的網絡服務，這意味著可以根據不同的業務需求和安全策略，為每個網絡切片分配獨立的資源，并對其進行隔離和管理。

●數據分流：

通過上行分流器（即ULCL UPF）實現根據用戶業務流特征將訪問區域內業務的數據分流到區域內，將訪問互聯網數據分流到公網，從而實現對用戶業務數據的分流控制。ULCL UPF是對上行業務數據分流和對下行數據聚合的一個處理節點。

●通信加密：

5G雙域專網采用強大的加密算法對通信數據進行加密處理。這包括對數據傳輸過程中的每個數據包進行加密，并且僅允許有權用戶或設備解密數據。即使在數據傳輸過程中遭到竊聽或篡改，加密通信也確保了數據內容的機密性和完整性。

典型業務需求

1、隨時隨地接入內網

政企用戶隨時隨地可以高速接入政企內網，并且需要簡化接入操作。

2、不換卡不換號

政企用戶“一機一卡一號” 多用，個人普通終端既可以數據不出公網訪問政企內網資源，也可正常訪問互聯 網業務，互不影響。針對用戶群體不同，又可分為以下三種典型需求：

●局域5G接入：

終端在某個特定區域范圍內或城市范圍內（簽約地），通過接入5G網絡，可同時訪問政企內網和互聯網業務。

● 4G接入：

終端在沒有5G網絡覆蓋的區域，通過接入4G網絡，可以按需訪問政企內網。

●漫游接入：

終端在漫游至外地（非簽約地），可以按需訪問政企內網。

3、數據安全可靠

政企用戶訪問政企內網需要保障用戶接入和業務數據安全性。政企單位可自主管控，進行安全審計，提高信息安全。以校園為例，校園圖書館提供期刊雜志等各類數字資源訪問，包括校園內、校園外訪問。

4、流量獨立計費

政企用戶訪問政企內網業務的流量，可以單獨進行費用結算，不按照互聯網流量費用進行付費。

行業業務場景

教育

以往大家所熟悉的校園網，往往受制于校園物理圍墻，一旦離開校門，學校師生便需要安裝VPN軟件來訪問校園網內的系統和資源。但是，VPN方式的數據流量往往需要繞行互聯網，然后再通過校園內的教育網網關接入校園內網，導致高峰期網絡擁塞嚴重，無法實現隨時隨地的訪問。這對于承載著日益多元化智慧教育應用的校園網來說，是一個挑戰。為了解決這一問題，5G雙域快網成為了助力校園加速數字化轉型的利器。借助5G雙域快網，師生可以在不更換SIM卡、不更換號碼的情況下，輕松地同時訪問互聯網和校園內網。此外，5G雙域快網還支持校內、全市、全省以及全國范圍的廣域接入，滿足了用戶個性化接入需求。這一創新的網絡技術，將為校園網的發展帶來更加便捷、高效、安全的訪問體驗，為智慧教育的推進提供了強大的支持。

政務

當前有線政務網存在末端覆蓋瓶頸，建設周期長、投資維護成本高、靈活性差，且不能實現移動接入且傳統的Wi-Fi和4G網絡已無法滿足智慧政務業務承載的需求。基層政務服務人員為了辦理不同業務，需要通過登錄不同的VPN，訪問省、市、區等多級業務系統，這顯著降低了服務效率。5G雙域快網以其安全、高效的特性，加速了政務服務智慧化發展。公務人員個人終端“不換卡、不換號”，實現了同時訪問互聯網和政務外網，支持遠程辦公、高清視頻會議、移動辦公、公文流轉、政務服務、智慧防疫等功能。

醫療

隨著醫療行業融合更多傳感技術和人工智能，智慧醫院系統已經實現了對病人監測、檢查、診療信息以及行政管理信息的收集、存儲、處理、提取和數據交換，從而使醫療服務朝著真正意義上的智能化發展。在醫院內部，移動護理、移動查房、以及各種5G機器人服務（如巡邏、物流和消毒）等業務場景都對大帶寬、低時延和強大的移動性提出了需求，因此需要實現本地數據的卸載和處理。而對于院外急診救治等業務場景，則要求更高的帶寬、更低的時延、更高的安全性和保障性，以實現院前和院內信息的實時同步，并通過5G大帶寬的4K視頻進行遠程會診和指導。此外，遠程閱片、診斷、操控和示教等院間業務場景也要求廣域接入、低時延和高速率，需要安全地接入醫院內網，以確保數據的快速、安全和穩定傳輸。通過5G雙域快網技術，院內設備、院前急救救護車、流動體檢車以及遠程醫療設備等可以安全地接入醫院內網，實時回傳數據并獲取醫院內網數據。醫護人員個人終端也可以同時訪問互聯網和醫院內網，以便更便捷地處理各項業務工作。

5G雙域專網和零信任的結合

零信任模型是一種基于“不信任，而不是信任”的網絡安全理念。它假設網絡內部和外部都可能存在攻擊者，并將每個用戶和設備都視為潛在的安全威脅。在零信任模型中，訪問請求需要經過嚴格的身份驗證和訪問控制，即使是內部用戶也需要進行持續的驗證和授權，以保證網絡安全。而5G雙域專網是一種基于5G技術構建的企業網絡架構，將5G雙域專網和零信任模型進行融合，不僅可以保證高性能網絡的能力，又能對用戶進行的身份和行為進行持續的校驗，可以帶來更加全面和強大的網絡安全保障。

▍零信任對于身份安全的統一管理

多因素身份驗證 (MFA)：實施多種身份驗證因素，如密碼、生物特征、硬件令牌等，以確保用戶身份的真實性。

單點登錄 (SSO)：允許用戶一次登錄后即可訪問多個相關系統，簡化用戶體驗的同時，確保安全性和訪問控制。

細粒度的訪問控制：基于用戶的身份、角色、位置等因素，對用戶的訪問進行細致的控制，確保用戶只能訪問其合法權限范圍內的資源。

動態訪問策略：根據實時的風險評估和上下文信息，動態調整訪問策略和權限，以應對不斷變化的威脅和環境。

集中式身份管理：集中管理用戶身份信息和憑證，確保一致性和安全性，并提供統一的身份認證和鑒權服務。

強化的認證機制：支持現代化的認證機制，如OAuth、OpenID Connect等，以提供更高級別的安全性和便利性。

智能風險評估：基于機器學習和行為分析技術，實時評估用戶的風險水平，并采取相應的措施，以防止未經授權的訪問。

強化的密碼管理：提供密碼策略管理、密碼復雜度檢查、密碼安全存儲等功能，以確保密碼的安全性和合規性。

▍訪問流程：

通過連入手機熱點的方式將各PC都接入到雙域專網中，零信任客戶端可以識別到熱點流量并開啟零信任認證流程，只有終端環境和身份驗證通過的PC才能夠被引流到相對應的隧道進行業務訪問，當出現安全事件時也能基于不同客戶端進行溯源，精確到每個用戶的相關日志信息。

總結

5G雙域專網與零信任架構的結合為企業安全通信帶來了巨大的突破和保障。在這個數字化時代，網絡安全已成為企業不可或缺的重要環節。通過將高速、低時延的5G網絡與零信任的安全理念相融合，企業可以實現對通信的全方位保護，從而確保敏感數據的安全傳輸，有效應對各種網絡威脅和風險。

注：部分內容參考自《中國電信5G雙域快網業務白皮書》

審核編輯 黃宇