近日，在中國(guó)移動(dòng)5G+工業(yè)互聯(lián)網(wǎng)推進(jìn)大會(huì)上，中國(guó)移動(dòng)聯(lián)合中興通訊、中國(guó)信通院、北京郵電大學(xué)、三一重工、鞍鋼集團(tuán)等單位共同發(fā)布了《5G+工業(yè)互聯(lián)網(wǎng)安全白皮書》（以下簡(jiǎn)稱“白皮書”）。白皮書旨在推進(jìn)5G+工業(yè)互聯(lián)網(wǎng)安全的標(biāo)準(zhǔn)化建設(shè)，促進(jìn)5G與工業(yè)互聯(lián)網(wǎng)深度融合的安全保障水平，加速推動(dòng)“中國(guó)制造”向“中國(guó)智造”轉(zhuǎn)型，助力實(shí)體經(jīng)濟(jì)高質(zhì)量發(fā)展。白皮書針對(duì)智能制造、電網(wǎng)、礦山、港口等工業(yè)垂直行業(yè)在引入5G后的普適性安全需求，為5G+工業(yè)互聯(lián)網(wǎng)應(yīng)用場(chǎng)景的安全防護(hù)提供參考。

5G 賦能工業(yè)互聯(lián)網(wǎng)帶來(lái)新的安全挑戰(zhàn)

5G以其高帶寬、低時(shí)延、海量連接等特性將大幅提升工業(yè)互聯(lián)網(wǎng)的信息化水平，逐步成為支撐工業(yè)生產(chǎn)的基礎(chǔ)設(shè)施。5G與工業(yè)系統(tǒng)的深度融合勢(shì)必將大量的ICT系統(tǒng)威脅和挑戰(zhàn)帶入工業(yè)OT網(wǎng)絡(luò)，使得5G+工業(yè)互聯(lián)網(wǎng)與傳統(tǒng)的工控系統(tǒng)安全和互聯(lián)網(wǎng)安全相比，其安全挑戰(zhàn)更為艱巨。白皮書根據(jù)防護(hù)對(duì)象不同，分別從以下五個(gè)層面分析了5G與工業(yè)互聯(lián)網(wǎng)融合面臨的安全威脅。

在工業(yè)網(wǎng)絡(luò)方面，5G 采用網(wǎng)絡(luò)切片，為不同工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)提供差異化的服務(wù)，因此對(duì)網(wǎng)絡(luò)的安全隔離能力提出更高的要求。其面對(duì)的安全挑戰(zhàn)包括非法訪問(wèn)、資源爭(zhēng)奪、非法攻擊等切片間安全威脅，不同安全域間的非法訪問(wèn)、用戶數(shù)據(jù)被竊聽(tīng)、針對(duì)公共NF 的拒絕服務(wù)攻擊等切片內(nèi)安全威脅，外部網(wǎng)絡(luò)的非法訪問(wèn)、病毒木馬攻擊等切片與DN 網(wǎng)絡(luò)間的安全威脅，非法租戶的非法訪問(wèn)、管理員權(quán)限濫用、切片敏感信息的篡改等切片管理的安全威脅等。

在控制安全方面，工業(yè)控制協(xié)議、控制平臺(tái)、控制軟件在設(shè)計(jì)之初可能未考慮完整性、身份校驗(yàn)等安全需求。為此，其授權(quán)與訪問(wèn)控制不嚴(yán)格，身份驗(yàn)證不充分，配置維護(hù)不足，憑證管理不嚴(yán)。應(yīng)用軟件也持續(xù)面臨病毒、木馬、漏洞等傳統(tǒng)安全挑戰(zhàn)。5G 網(wǎng)絡(luò)使得原來(lái)不聯(lián)網(wǎng)或相對(duì)封閉的控制專網(wǎng)連接到互聯(lián)網(wǎng)上，無(wú)形中增大了工控協(xié)議與IT 系統(tǒng)漏洞被利用風(fēng)險(xiǎn)。

在數(shù)據(jù)安全方面，5G 網(wǎng)絡(luò)基于NFV、云計(jì)算、虛擬化技術(shù)使得安全邊界模糊，流量不可見(jiàn)。MEC 節(jié)點(diǎn)位于網(wǎng)絡(luò)邊緣，處于運(yùn)營(yíng)商控制較弱的開(kāi)放網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)竊取、泄露的風(fēng)險(xiǎn)相對(duì)較高。工業(yè)互聯(lián)網(wǎng)的多業(yè)務(wù)場(chǎng)景要求安全與業(yè)務(wù)需求、接入技術(shù)、終端能力等相結(jié)合，為此對(duì)數(shù)據(jù)管控有更嚴(yán)格的要求，要求企業(yè)數(shù)據(jù)不出園區(qū)。這對(duì)MEC 中數(shù)據(jù)存儲(chǔ)、傳輸、處理的安全性提出了較高的要求。

在接入安全方面，5G 網(wǎng)絡(luò)增大了大量工業(yè)IT 軟件漏洞被利用風(fēng)險(xiǎn)。5G 開(kāi)啟了萬(wàn)物互聯(lián)時(shí)代，5G 與工業(yè)互聯(lián)網(wǎng)的融合使得海量工業(yè)終端接入成為可能，同時(shí)也帶來(lái)攻擊風(fēng)險(xiǎn)點(diǎn)的增加，終端設(shè)備本身，包括所用芯片、嵌入式操作系統(tǒng)、編碼規(guī)范、第三方應(yīng)用軟件以及功能等，均存在漏洞、缺陷、后門等安全問(wèn)題暴露在相對(duì)開(kāi)放的5G 網(wǎng)絡(luò)中，存在被利用的風(fēng)險(xiǎn)。

在應(yīng)用安全方面，5G 網(wǎng)絡(luò)基于網(wǎng)絡(luò)能力開(kāi)放技術(shù)，與工業(yè)互聯(lián)網(wǎng)深度融合，使得工業(yè)互聯(lián)網(wǎng)可以充分利用其網(wǎng)絡(luò)能力靈活開(kāi)發(fā)新業(yè)務(wù)。攻擊者可以利用5G 網(wǎng)絡(luò)能力開(kāi)放架構(gòu)提供的應(yīng)用程序編程接口（API）對(duì)網(wǎng)絡(luò)進(jìn)行拒絕服務(wù)攻擊。另外，多個(gè)應(yīng)用間也存在互相非法訪問(wèn)的安全風(fēng)險(xiǎn)。5G 網(wǎng)絡(luò)能力開(kāi)放架構(gòu)面臨網(wǎng)絡(luò)能力的非授權(quán)訪問(wèn)和使用、數(shù)據(jù)泄露、用戶和網(wǎng)絡(luò)敏感信息泄露等安全風(fēng)險(xiǎn)。邊緣云平臺(tái)（MEC）及服務(wù)也面臨著虛擬化中常見(jiàn)的違規(guī)接入、內(nèi)部入侵等內(nèi)外部安全挑戰(zhàn)，特別是MEC上應(yīng)用程序缺陷，增加了非授權(quán)訪問(wèn)風(fēng)險(xiǎn)。

一體化的5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)

5G 與工業(yè)互聯(lián)網(wǎng)的融合，信息安全涉及到工業(yè)互聯(lián)網(wǎng)的各個(gè)層面，單一的安全解決方案不能滿足工業(yè)互聯(lián)網(wǎng)信息安全的需要，需要統(tǒng)籌考慮，建立統(tǒng)一的安全防御體系。另外，5G+工業(yè)互聯(lián)網(wǎng)安全工作需要從制度建設(shè)、產(chǎn)業(yè)支持等更全局的視野來(lái)統(tǒng)籌安排，讓更多企業(yè)意識(shí)到信息安全的必要性與緊迫性，加強(qiáng)安全管理與風(fēng)險(xiǎn)防范控制。通過(guò)構(gòu)建統(tǒng)一的工業(yè)互聯(lián)網(wǎng)信息安全保障體系，較為全面覆蓋接入、網(wǎng)絡(luò)、控制、數(shù)據(jù)等安全風(fēng)險(xiǎn)，才能夠有效地保障5G引入后的工業(yè)互聯(lián)網(wǎng)安全?；诖耍灼o出以下5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)。

圖1：5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)

一體化的5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)以5G 自身安全能力為基礎(chǔ)，以我國(guó)的安全政策、相關(guān)法律和行業(yè)安全規(guī)劃為主要指導(dǎo)原則，結(jié)合工業(yè)互聯(lián)網(wǎng)實(shí)際應(yīng)用場(chǎng)景安全需求，通過(guò)融合創(chuàng)新，將零信任、內(nèi)生安全等前沿安全理念融入定制化安全方案中，在滿足相應(yīng)級(jí)別安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心及管理部分要求基礎(chǔ)上，最大程度發(fā)揮安全措施的保護(hù)能力。

定制的5G+工業(yè)互聯(lián)網(wǎng)場(chǎng)景化安全能力

5G 網(wǎng)絡(luò)為應(yīng)對(duì)新技術(shù)新架構(gòu)帶來(lái)的安全挑戰(zhàn)，參照相關(guān)5G安全規(guī)范，同時(shí)遵循《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求》，提供了無(wú)線接入安全、5GC安全、MEC安全、切片安全及管理安全端到端的安全通信能力。但對(duì)于垂直行業(yè)，特別是對(duì)安全要求嚴(yán)苛的工業(yè)系統(tǒng)，5G 提供的基礎(chǔ)安全能力無(wú)法滿足不同業(yè)務(wù)場(chǎng)景下的安全需求。為此，白皮書指出，5G在使能工業(yè)互聯(lián)網(wǎng)的過(guò)程中，要以5G自身安全能力為基礎(chǔ)，結(jié)合工業(yè)互聯(lián)網(wǎng)特征與運(yùn)營(yíng)模式，融合零信任、內(nèi)生安全等前沿安全技術(shù)，構(gòu)建定制化的5G+工業(yè)互聯(lián)網(wǎng)安全方案，來(lái)滿足工業(yè)互聯(lián)網(wǎng)自身的等級(jí)保護(hù)要求。白皮書給出可從以下幾個(gè)方面進(jìn)行定制化方案構(gòu)建：

差異化切片滿足企業(yè)網(wǎng)絡(luò)安全隔離需求。根據(jù)行業(yè)的安全隔離要求和需要保障的關(guān)鍵SLA（服務(wù)等級(jí)協(xié)議）選擇不同類型的切片，并進(jìn)行參數(shù)配置，從資源隔離和業(yè)務(wù)保障的角度，無(wú)線網(wǎng)絡(luò)可以提供多種切片隔離技術(shù)，從而提供差異化的網(wǎng)絡(luò)服務(wù)。不同業(yè)務(wù)系統(tǒng)可以根據(jù)自身需求選擇不同的網(wǎng)絡(luò)隔離方案。

UPF下沉 +FlexE 支持企業(yè)低時(shí)延業(yè)務(wù)需求。為了進(jìn)一步降低端到端通信時(shí)延，可以將5G 網(wǎng)絡(luò)中UPF（用戶面功能）下沉到MEC, 通過(guò)將數(shù)據(jù)、應(yīng)用、智能引入基站邊緣側(cè)，減少數(shù)據(jù)傳輸路由節(jié)點(diǎn)，以降低端到端通信時(shí)延。另外，在5G 網(wǎng)絡(luò)中采用FlexE 交叉技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間的信息傳遞，它實(shí)現(xiàn)基于物理層的用戶業(yè)務(wù)流轉(zhuǎn)發(fā)，用戶報(bào)文在網(wǎng)絡(luò)中間節(jié)點(diǎn)無(wú)須解析，業(yè)務(wù)流交叉過(guò)程近乎瞬間完成，實(shí)現(xiàn)單跳設(shè)備轉(zhuǎn)發(fā)時(shí)延1~10us，有效解決時(shí)間報(bào)文的模擬、欺騙。

多重機(jī)制提供企業(yè)端到端數(shù)據(jù)安全保障。為降低5G行業(yè)應(yīng)用中數(shù)據(jù)安全風(fēng)險(xiǎn)，5G 提供了更強(qiáng)壯的數(shù)據(jù)安全保護(hù)方法。白皮書從接入認(rèn)證、訪問(wèn)控制、數(shù)據(jù)傳輸方面給出建議。采用切片二次認(rèn)證機(jī)制，即在用戶接入網(wǎng)絡(luò)時(shí)所做認(rèn)證之后為接入特定業(yè)務(wù)建立數(shù)據(jù)通道而進(jìn)行的認(rèn)證，從而保證企業(yè)對(duì)安全策略自主可控；遵循最小權(quán)限授權(quán)原則，為不同用戶分配不同的數(shù)據(jù)操作權(quán)限，避免不可靠來(lái)源用戶的接入，提供選擇多種訪問(wèn)控制方式，另外，對(duì)關(guān)鍵敏感數(shù)據(jù)采用SHA256、AES256 等加密算法進(jìn)行加密存儲(chǔ)；保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)間傳輸，可采用5G 新增的安全邊緣保護(hù)代理功能，以保護(hù)工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)產(chǎn)生、處理、使用等環(huán)節(jié)的安全。

零信任架構(gòu)增強(qiáng)海量終端的接入安全。傳統(tǒng)安全采用邊界防護(hù)方式，即在網(wǎng)絡(luò)邊界驗(yàn)證終端身份，確定用戶是否被信任。隨著攻擊方式和威脅多樣化，傳統(tǒng)網(wǎng)絡(luò)接入安全架構(gòu)凸顯出很大的局限性，為此，5G+工業(yè)互聯(lián)網(wǎng)安全架構(gòu)引入基于零信任安全理念，啟用新型身份驗(yàn)證管理模式，充分利用身份驗(yàn)證憑據(jù)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用等多種資源的組合安全邊界。5G 工業(yè)互聯(lián)網(wǎng)零信任安全架構(gòu)下的終端安全接入不再以網(wǎng)絡(luò)邊界為限，無(wú)論來(lái)自企業(yè)網(wǎng)絡(luò)之外的用戶，還是來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶，在建立連接前均需進(jìn)行認(rèn)證授權(quán)。5G 工業(yè)互聯(lián)網(wǎng)零信任安全架構(gòu)，使得原來(lái)的被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變，從邊界防御方式向內(nèi)生安全轉(zhuǎn)變，有力保障5G 網(wǎng)絡(luò)環(huán)境下海量行業(yè)終端的接入安全。

態(tài)勢(shì)感知保障網(wǎng)絡(luò)整體安全能力。5G應(yīng)用于工業(yè)系統(tǒng)以后，原有的被動(dòng)式防御已不可靠，無(wú)法有效防止有組織的規(guī)模性攻擊，迫切需要新的安全技術(shù)。5G工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知技術(shù)，可以覆蓋5G 資產(chǎn)，包括5GC網(wǎng)元、切片、虛機(jī)、物理機(jī)、中間件等，并能將各層級(jí)資產(chǎn)進(jìn)行關(guān)聯(lián)，根據(jù)資產(chǎn)關(guān)聯(lián)關(guān)系定位漏洞、脆弱性與攻擊事件等威脅事件對(duì)業(yè)務(wù)的影響，能夠追蹤攻擊鏈定位威脅發(fā)生的源頭，并分析可能的波及范圍，根據(jù)資產(chǎn)價(jià)值及業(yè)務(wù)影響來(lái)確定處置方式與手段。另外，態(tài)勢(shì)感知還可以基于對(duì)網(wǎng)絡(luò)攻擊事件的深度挖掘，結(jié)合網(wǎng)絡(luò)的基礎(chǔ)設(shè)施情況和運(yùn)行狀態(tài)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)做出評(píng)估，對(duì)未來(lái)可能遭受的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)測(cè)。

5G與工控系統(tǒng)的深度融合是工業(yè)互聯(lián)網(wǎng)提質(zhì)增效的關(guān)鍵，在融合過(guò)程中必然會(huì)帶來(lái)安全問(wèn)題。而要調(diào)和5G 網(wǎng)絡(luò)的開(kāi)放性與工控協(xié)議的私密性，特別是解決工控協(xié)議安全性較弱的問(wèn)題，就必須要引入內(nèi)生安全防御的理念，提升工業(yè)互聯(lián)網(wǎng)自身在安全設(shè)計(jì)方面的完備性。另外，5G網(wǎng)絡(luò)的開(kāi)放性，將加速推動(dòng)工業(yè)互聯(lián)網(wǎng)跨部門、跨行業(yè)、跨平臺(tái)信息共享和聯(lián)動(dòng)處置機(jī)制建立，任何一個(gè)企業(yè)都很難進(jìn)行單獨(dú)的防御，為此，基于5G網(wǎng)絡(luò)的工業(yè)互聯(lián)網(wǎng)企業(yè),需要與移動(dòng)運(yùn)營(yíng)商、設(shè)備提供商、安全服務(wù)商、監(jiān)管機(jī)構(gòu)等建立協(xié)同機(jī)制，共同應(yīng)對(duì)來(lái)自5G、工業(yè)等跨領(lǐng)域、跨行業(yè)的安全挑戰(zhàn)。

目前5G工業(yè)互聯(lián)網(wǎng)安全防護(hù)發(fā)展尚處起步階段。此次白皮書的發(fā)布，為5G賦能工業(yè)互聯(lián)網(wǎng)提供了安全參考，隨著5G融入工業(yè)互聯(lián)網(wǎng)的廣度和深度持續(xù)增強(qiáng)，有必要引入新的安全理念、安全技術(shù)，來(lái)不斷完善5G工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系，保障工業(yè)數(shù)字化轉(zhuǎn)型升級(jí)行穩(wěn)致遠(yuǎn)。