[[417951]]

在新一代科技革命和產業變革的浪潮下，全球領先國家無不將工業互聯網作為強化本國未來產業競爭力的戰略方向。工業互聯網的基礎在于建設一張能夠滿足工業生產運營的高可靠、高性能、高靈活性的網絡。5G網絡在無線新空口能力基礎上利用網絡切片、邊緣計算等新技術，具備了大帶寬、低時延、廣連接和可定制等特性，與工業互聯網的需求相吻合。

“5G+工業互聯網”就是利用第五代移動通信技術(5G)滿足工業智能化發展對網絡的需求。5G與工業互聯網的融合創新發展，將推動數字中國、智慧社會建設，加速中國新型工業化進程，為中國經濟發展注入新動能。但5G與工業互聯網的深度融合在加速產業數字化轉型的同時，也打破了傳統工業封閉的生產環境，帶來了更加嚴峻的安全挑戰。工業互聯網安全防護方式需要從被動防護轉向主動防御，在此過程中，運營商應充分發揮5G網絡優勢，以5G網絡安全能力場景化賦能工業互聯網安全。

工業互聯網行業安全需求

終端管控安全需求

5G與工業互聯網的融合使得海量工業終端接入工業互聯網成為可能。大量工業終端具有功耗低、計算和存儲資源有限的特點，難以部署復雜安全策略。終端設備的漏洞、后門等暴露在相對開放的5G網絡中，容易被利用作為分布式拒絕服務(DDoS)攻擊源，形成規模化的僵尸網絡，對工業應用和后臺系統等進行攻擊，帶來網絡中斷、系統癱瘓等安全風險。工業互聯網企業越來越重視終端管控安全，需要自主可控對終端的接入進行認證管理。

數據保護安全需求

工業互聯網企業內部生產管理數據、生產操作數據、工況狀態數據、外部協同數據等信息一旦泄露，被不法分子濫用、篡改，可引發系統設備故障，導致生產安全事故，影響生產經營安全，甚至威脅公眾安全和國家安全。隨著工業互聯網數據安全重要性的凸顯，工業互聯網數據已成為重點攻擊目標，面臨的安全風險日益嚴峻。工業互聯網數據安全是保障工業互聯網企業生產經營正常開展、經濟社會健康發展和國家安全切實保障的重要前提，工業互聯網企業對提升工業數據的安全防護水平存在迫切需求。

網絡隔離安全需求

隨著工業互聯網企業數字化轉型進程加速，傳統專網技術難以滿足工業互聯網企業日新月異的信息化業務需求。“5G+工業互聯網”在滿足工業互聯網企業數字化轉型需求的同時，也將企業網絡從工廠內網延伸到外部5G移動通信網。傳統工業封閉生產環境被打破，工業互聯網企業迫切需要外部5G網絡提供專屬網絡通道，與其他公眾網絡業務和行業應用業務進行安全隔離，保障企業的業務安全。5G網絡運營商需要結合工業互聯網行業用戶的業務需求，為其提供量身定制的網絡服務。

邊緣計算安全需求

為了滿足工業互聯網低時延業務的需求，引入5G邊緣計算技術，將計算能力和IT服務環境下沉到移動通信網絡邊緣，就近向用戶提供服務。當5G核心網網元UPF下沉部署在工業互聯網園區，網絡邊界模糊，傳統物理邊界防護難以應用。邊緣計算節點承載著工業互聯網行業各種應用服務，成為黑客的首選攻擊目標，需要完善安全能力，抵抗多種類、高強度的網絡攻擊，為MEC應用提供安全的部署環境。工業互聯網企業需要根據運營以及攻擊行為的變化，集中管理編排安全防護策略，并按需靈活動態地為邊緣計算應用提供安全服務。

網絡運營商“5G+工業互聯網”安全能力

如圖1所示，5G網絡作為工業互聯網的重要基礎設施，可以提供終端接入安全、用戶數據安全、網絡隔離安全、邊緣計算安全等能力。

圖1 “5G+工業互聯網”典型組網及安全能力

終端接入安全包括終端的接入認證和訪問控制等。可以定義多重接入認證方式，從網絡級認證、切片認證到數據網認證，根據不同的業務靈活配置認證策略，滿足不同行業的接入認證安全需求。也可以根據業務及位置信息，按照工業互聯網行業個性化需求，設置不同的訪問控制策略。

用戶數據安全包括數據傳輸安全和用戶標識安全等。可以根據工業互聯網企業需求，定義數據加密方式，提供用戶面數據保護及用戶標識隱私保護。

網絡隔離安全包括RAN隔離、承載隔離和核心網隔離。5G網絡可以利用專網技術和切片技術等實現端到端的網絡安全隔離，為工業互聯網企業提供可定制的安全網絡。

邊緣計算安全能力包括邊緣數據安全(用戶數據不出園區)、APP安全防護等。部署邊緣計算安全能力可以滿足工業互聯網企業數據不出園區需求，并防止惡意APP 對 MEP攻擊、APP間非法互訪等安全問題。

“5G+工業互聯網”安全能力場景化解決方案

終端接入安全

• 切片認證

5G網絡可以通過切片認證，限制特定終端接入工業互聯網企業專屬切片。網絡切片是一組帶有特定無線配置和傳輸配置的網絡功能的集合，可在同一套物理設備上提供多個端到端的虛擬網絡，這些功能可以靈活部署在網絡的任何節點(接入、邊緣、核心)。工業互聯網企業使用切片技術，可對不同切片間的數據進行隔離，只有授權的終端才能訪問切片內的數據，由此保證終端接入安全。

可以通過配置IMSI(International Mobile Subscriber Identity，國際移動用戶識別碼)與園區切片S-NSSAI(Single Network Slice Selection Assistance Information)對應關系，由AMF(Access and Mobility Management Function，接入和移動性管理功能)對5G工業互聯網終端發起切片接入認證流程，限制僅在工業互聯網企業認可的IMSI清單內的終端才可以接入到企業專屬切片，確保接入切片終端合法。

• 二次認證

面向對終端有多重接入控制需求的工業互聯網企業，5G網絡可以為其提供底層認證通道，由企業自己選擇或定制具體的認證算法和協議，實現自主可控的二次認證。

5G工業互聯網終端在接入工業互聯網企業DN(Data network，數據網絡)前，首先需要完成與5G核心網UDM(Unified Data Manager，統一數據管理平臺)網元及AUSF(Authentication Server Function，認證服務器功能)網元之間的主認證鑒權流程。主認證通過后，SMF(Session Management Function，會話管理功能)網元在建立用戶面數據通道前，會根據簽約信息發起二次身份認證流程。SMF 網元向AAA(Authentication、Authorization、Accounting，認證、授權、計費) 服務器發出認證開始的消息，并建立起5G工業互聯網終端與AAA服務器之間的認證通道，由AAA服務器對5G工業互聯網終端進行二次認證。二次認證通過之后，5G 核心網才會為5G工業互聯網終端建立到數據網絡的連接。

AAA 服務器可以由工業互聯網企業自部署，通過UPF(User Plane Function，用戶平面功能)網元與SMF網元連接，也可以由5G網絡運營商直接部署在通信機房中與SMF網元連接，5G網絡運營商提供云上AAA服務，工業互聯網企業用戶以租戶形式實現對入網終端的二次身份認證。

• 業務訪問控制

5G網絡運營商可以將終端標識信息開放給工業互聯網企業用戶，將終端標識信息通過SMF轉發給該企業業務訪問控制系統，企業可以根據終端標識信息自主實現業務控制。對于有業務訪問控制需求，但無法自部署業務訪問控制系統的工業互聯網企業，5G網絡運營商可以提供云上業務訪問控制服務，企業以租戶形式實現對入網終端的業務訪問控制。

• 終端接入位置控制

5GC維護IMSI與工業互聯網園區切片S-NSSAI對應關系和TAI與園區切片S-NSSAI對應關系兩類清單。當規劃園區TAI list屬于5G網絡運營商大網TAI list的子集時，可實現終端進入園區以后允許使用園區業務和大網業務，離開園區以后僅允許訪問大網業務。當園區TAI list獨立規劃，不與5G網絡運營商大網TAI list有重合時，可實現終端僅允許使用園區業務，離開園區以后不允許訪問園區業務，也不允許訪問大網業務。對于有更高終端位置精度需求的工業互聯網企業，5G網絡運營商也可以結合5G蜂窩網絡定位能力，提供終端位置服務。

用戶數據安全

• 數據傳輸安全

對于工業互聯網敏感業務數據，5G網絡可以保障用戶面空口數據傳輸安全。5G基站gNodeB根據5G核心網網元SMF發送的安全策略，可以激活開啟UE(User Equipment,用戶設備)和gNodeB之間的用戶面數據的機密性保護、完整性保護和防重放保護，保護空口用戶面數據傳輸安全。

• 用戶標識安全

針對用戶標識在網絡上明文傳輸，讓黑客有機會在空口竊取用戶標識，威脅用戶隱私安全的問題，5G網絡運營商可以提供用戶標識隱私保護服務。工業互聯網終端使用內置5G網絡公鑰的5G SIM卡，將SUPI(SUbscription Permanent Identifie，用戶永久標識符)加密為SUCI(SUbscription Concealed Identifie，用戶隱藏標識)傳輸，加密后的SUCI只能通過在5G核心網中的私鑰解密，可有效杜絕在網絡傳輸過程中暴露用戶標識。

網絡安全隔離

• 無線接入網隔離

無線接入網的隔離主要面向無線頻譜資源和基站處理資源，利用專網技術或者切片技術實現，主要實現方式為獨立基站、頻譜獨享、PRB(Physical Resource Block，物理資源塊)獨享等。

面向最高安全等級(比如工業控制類)應用或者僅僅服務工業互聯網應用的局部區域，比如礦山、無人工廠等，可以采用獨立基站的形式實現RAN隔離。面向較高資源隔離和業務質量保障需求的工業互聯網應用，可以采用資源頻譜獨享的方式，在運營商頻譜資源中劃分出一部分，單獨分配給工業互聯網應用服務。面向有一定資源隔離和業務質量保障需求的工業互聯網應用，可以采用PRB獨享的方式，配置一定比例的PRB給工業互聯網應用切片專用，PRB 的正交性保證了切片的隔離性。

• 承載網隔離

承載網隔離主要實現方式有FlexE 隔離和VLAN 隔離。FlexE隔離基于時隙調度將一個物理以太網端口劃分為多個以太網彈性管道(邏輯端口)，使得承載網絡具備類似于時分復用的獨占時隙、隔離性好的特性。VLAN 隔離通過VLAN 標簽與網絡切片標識的映射實現，根據切片標識為不同的切片數據映射封裝不同的VLAN 標簽，通過VLAN 隔離實現切片的承載隔離。

• 核心網隔離

5G核心網由很多種不同網絡功能的虛擬化網元構建，可以針對工業互聯網企業不同的安全需求，采用多重隔離機制。主要實現方式有以下4種。

一是CPF和UPF獨享，主要面向電網等安全需求最高的場景。在該方式下核心網的所有控制面網元(包括AMF、AUSF、 UDM、UDR、PCF、SMF)、用戶面網元UPF均為工業互聯網行業用戶專用獨享。

二是CPF部分獨享、UPF獨享，主要面向工業控制等有較高網絡安全隔離需求的工業互聯網企業。在該方式下核心網的控制面網元部分獨享，用戶面網元UPF為工業互聯網行業用戶專用獨享。UPF可根據容量、時延等要求，選擇在核心機房或者邊緣機房建設。

三是CPF全部共享、UPF獨享，主要面向工廠、園區等有一定數據安全隔離要求，且對UPF部署位置有嚴格要求的工業互聯網企業。在該方式下核心網的控制面網元全部共享，用戶面網元UPF 新建，為工業互聯網行業用戶專用獨享，可部署在工業互聯網企業園區。

四是CPF和UPF全部共享，切片虛擬資源隔離，主要面向有一定數據安全隔離需求，對UPF部署位置無要求的工業互聯網行業用戶。在該方式下核心網的控制面網元、用戶面網元UPF全部共享為工業互聯網行業用戶服務，通過切片進行虛擬資源隔離。

邊緣計算安全能力

• 數據不出園

企業數據對工業互聯網企業至關重要，工業互聯網企業對用戶面數據不出園區具有強烈需求。對此，運營商可以通過數據不出園的網絡架構設計及出園數據的識別阻斷，為工業互聯網企業提供數據不出園服務。5G網絡運營商可以將5G用戶面網元UPF部署在工業互聯網園區，通過工業互聯網終端簽約約束，實現用戶面數據不出園。在UPF的信令管理面部署流量探針，智能分析并識別，僅信令及OM相關數據可以流出，確保沒有業務數據流出工業互聯網園區。

• APP安全防護

在邊緣計算平臺開放架構下，工業互聯網企業非常關注對第三方APP的安全防護。APP安全防護包括APP網絡安全隔離、APP訪問控制和應用清單安全管理等。對于共享物理鏈路的不同APP，在網絡層應進行邏輯區隔，實現MEP與APP、APP與APP的安全隔離，并部署不同的vFW(Virtual Fire Wall，虛擬防火墻)等進行防護。可以應用存儲加密、鏡像加密及完整性校驗等手段，防止因APP之間訪問無防護導致的容器級攻擊、資源層橫向移動攻擊、應用層攻擊和業務流量攻擊。可以采集MEC資產清單，對租戶的文件和APP開展安全分析，進行應用黑白名單管理。

5G為工業互聯網企業提供了網絡連接和計算處理平臺等方面的支撐。安全是確保工業互聯網在各生產領域能夠落地實施的前提，更是產業安全和國家安全的重要基礎和保障。我們必須高度重視工業互聯網安全，以5G自身安全能力為基礎，結合工業互聯網業務特征與運營模式，提供具有針對性的安全防護方案，增強工業互聯網安全防護能力。