張 卿，王冰冰，王計峰

（山東宏陽煤礦有限公司，山東 濟寧272400）

隨著信息技術的發(fā)展，礦山的強化在智能礦山管理中的應用正成為國家礦山發(fā)展的新趨勢。除了采礦以外，礦山5G +礦山模型還有助于對許多領域（例如鐵礦石和有色金屬）中使用的現(xiàn)有礦山進行更改和升級。

1 礦山5G 網絡的安全接入的重要性

為了提高業(yè)務管理效率，我們?yōu)榧瘓F公司開放了專用的VPN，為公司提供各種應用程序服務，包括挖掘，協(xié)作和OA 設備銷售。對公司生產和運營的影響可能會通過該部引發(fā)攻擊，這對團隊的整個信息網絡構成了嚴重威脅。因此，本地管理人員必須樹立適當的網絡信息安全概念，并充分了解信息網絡的安全性。加速創(chuàng)建用于保護基礎信息架構的關鍵系統(tǒng)，并提高公司保護信息安全的能力。

2 礦山5G 網絡設備的接入安全威脅

2.1 基礎設施的安全威脅

基站設備包括擴展的硬件設備和基站數據文件的內部軟件版本。在安裝設備的環(huán)境中，有關負責人員要提高安全保護措施，以防止損壞設備。周圍的環(huán)境，例如溫度，可以避免其損壞。對基站應用程序的安全威脅可以降低到最小。

2.2 空口的安全威脅

空口是指在用戶終端和基站之間顯示無線電信號。無線接口的安全威脅廣泛應用于三個方面。信息泄漏；基站信號范圍內未經身份驗證的用戶可以使用諸如阻塞，嗅探，黑客攻擊等方法接收信號并從基站接收數據傳輸。輸入流信息量；例如，它還會偽造一個基站，發(fā)送無線電信號并欺騙合法用戶，以竊取用戶數據。攻擊設備發(fā)出較強的干擾信號，干擾最終用戶與基站之間的無線連接，從而干擾了基站的整體運行。

2.3 核心網接口的安全威脅

核心網接口包含基站與核心網的飛行數據，以及基站與基站之間的數據盜竊接口，并通過網絡傳輸。它還通過可用網絡（DOS），緩沖區(qū)溢出等無效數據傳輸來響應不安全的傳輸協(xié)議和數據包攻擊等安全威脅。提供頻繁的維護，處理傳輸數據，從而破壞數據的完整性。

3 礦山5G 網絡的安全接入措施

3.1 礦山5G 網絡基礎設施的安全方案

要想保障基站基礎設施安全，首先，需要確保站設備和外圍網絡設備的安全，例如訪問控制和管理，蒸汽，溫度傳感器等。如果有問題，管理員必須在時區(qū)中做出第一反應。與此同時，還需要設置防火墻?；灸K通過核心網絡，網絡管理服務器系統(tǒng)協(xié)議連接到其他網絡設備，并且容易受到IP 網絡（數據包）的攻擊和DoS 廣播的攻擊。定義文件過濾策略時，僅提供開放端口/協(xié)議的列表，默認情況下會拒絕未使用的端口。還可以自定義入侵檢測系統(tǒng)（IDS）以檢測網絡瞬時攻擊并執(zhí)行預警措施。

3.2 空口的安全方案

3.2.1 支持數據機密性

數據加密意味著不能使用加密算法將信息從文本轉換為數字文本還不能可靠地進行過濾數據。站點礦山5G 根據CMS 發(fā)送的安全策略提供加密的用戶數據，并支持諸如NEA0、128-NEA1、128-NEA2、128-NEA3 之類的加密算法。加密算法通過5G UE 和安全信令模式（PRC）發(fā)送到站點。加密算法分別由UE 和5G 蜂窩基站生成。

3.2.2 支持數據完整性

確認碼認證（MAC-I）使用傳輸機密性算法對消息進行計數并維護數據完整性，而接收者計算（X-MAC）l Mac-1 和X-Mac 完整性和匹配算法，以防止數據更改，礦山5G 基站根據SME 通過的安全策略增強了對用戶數據完整性的保護。通用安全算法由來自PRC 信令中礦山5G 站的UE 表示。 礦山5G 基站支持完整性算法， 例如NEA0、128-NEA1、128-NEA2、128-NEA3，并使用基于發(fā)送方交互的內置安全算法。安全密鑰分別由UE 和礦山5G 基站生成。

3.3 核心網接口的安全方案

3.3.1 物理層安全

物理層通過打包的電纜傳輸信號，以防止外部監(jiān)視和干擾。備份多個物理連接和多個物理備份端口，以確保系統(tǒng)的可用性。

3.3.2 鏈路層安全

不同的鏈路層要使用VLAN 隔離來防止DoS攻擊和監(jiān)視數據，并為用戶提供安全的數據傳輸以及傳入的MAC 加密數據和數據幀。它支持MACSec加密以確保其一致性。驗證和驗證數據源的可靠性，并支持802.1x 訪問控制和身份驗證協(xié)議。沒有正確的身份驗證，基站將無法訪問運營商的網絡，并且基站上打開的物理網絡端口可以限制對授權用戶/設備的訪問。

3.4 網管接口的安全方案

3.4.1 賬戶管理

基站系統(tǒng)支持集中式本地帳戶管理。中央帳戶是由網絡管理員創(chuàng)建和管理的帳戶，并包含在網絡管理中以進行驗證。本地帳戶是由網絡管理員創(chuàng)建的帳戶，但是在基站上是本地授權的。用戶帳戶管理支持常見的用戶名和密碼輸入，以及基于PKI 的數字證明。用戶身份驗證方法使系統(tǒng)可以輕松修復密碼破解問題，同時保持所需的系統(tǒng)高速密碼設置（8 個或更多密碼）。還需要至少3 位大寫，小寫和特殊字符。它還確定系統(tǒng)密碼的安全性。如果用戶不遵守密碼規(guī)則，則用戶必須在登錄時更改密碼。系統(tǒng)可以根據用戶的個人需求為帳戶設置相同的驗證周期，并且該帳戶在到期后可能變得不可用。為了加強用戶密碼，我們限制了輸入系統(tǒng)密碼嘗試次數。如果超過嘗試次數，則會阻止用戶再輸密碼。

3.4.2 權限管理

還要使用用戶身份驗證系統(tǒng)來防止未經授權的用戶訪問系統(tǒng)。用戶訪問系統(tǒng)時，還需要進行授權檢查。這將檢查讀取是否可以讀取或修改，以及是否在系統(tǒng)文件的運行/執(zhí)行權限之內。不同級別的用戶組具有不同的權限。登錄當向用戶發(fā)送登錄確認時，可以控制Station 礦山5G。基站必須根據用戶組批準并控制用戶的操作。系統(tǒng)會根據次要特權的分離原則為具有不同功能的用戶創(chuàng)建具有不同特權的角色。對信息權的類別也有獨占控制權。只有已收到更改授權帳戶的安全管理員才能設置帳戶身份驗證，以防止惡意更改帳戶的情況發(fā)生。

3.4.3 傳輸安全

系統(tǒng)使用安全鏈接（SSH）/安全文件傳輸協(xié)議（SFTP）/ 簡單網絡管理協(xié)議（SNMPv3）通過網絡傳輸數據。增加加密通道，將很難偷竊信息。通過采用SSH / SFTP 協(xié)議，可以有效地防止攻擊者在上層和下層網絡的控制系統(tǒng)之間遠程控制信息流和數據傳輸。 SSH / SFTP 功能包括所有傳輸數據的域名解析（DNS）IP 加密，壓縮的數據傳輸速率以及提供安全的FTP 通道。包括Telnet 修改。它使用SNMPV3協(xié)議來驗證數據完整性，并確保數據在傳輸過程中沒有被更改或損壞，或者傳輸順序沒有更改?？梢宰R別數據源以確保傳輸對和數據源的可靠傳輸。數據加密意味著無法在傳輸過程中竊取或過濾數據。消息中的序列號表示在指定時間序列之外生成的數據將不被接受。搜索消息時生成的消息可能超過指定的時間段。 SNMPv3 查找服務用于識別消息，傳遞設備標識的消息是否已在傳遞過程中發(fā)送，修改或傳輸，或者是否更改了傳遞方向。使用SNMPV3加密服務對電子郵件設備進行加密，以便無法直接讀取數據。

3.4.4 敏感信息保護

根據保護機密的原則，必須對客戶的個人信息保密。換句話說，人們無法在未經許可的情況下查看它，也沒有傳輸它的權限。如果在傳輸過程中移動數據，則該數據必須是匿名的。個人信息可能會或可能不會直接或間接鏈接到客戶的個人信息。如果用戶名可以獲取已知的用戶名，則該用戶名就是用戶的機密信息。這種聯(lián)系相對簡單，被稱為直接個人信息。應該將更多圈子與用戶信息聯(lián)系起來的某些信息稱為間接個人信息。所謂的匿名性是指當數據包含與隱私有關的信息時，無論是否導出文件，都將對其進行加密處理以保護數據的安全性。根據通用數據保護條例（GDPR），個人信息包括國際移動用戶身份（IMSI） 和國際移動電話身份（IMEI），UEIP 互聯(lián)網電話號碼和地址電子郵件。我們采取的策略是內部安全和外部取消資格。系統(tǒng)之間的數據以其他方式受到保護，以確保數據加密，加強數據鏈路管理系統(tǒng)并確保個人數據安全，還必須要使用感應技術將數據禁用。

3.4.5 日志審計

基站在操作系統(tǒng)中記錄并存儲關鍵信息。如果發(fā)生安全違規(guī)事件，必須在日志中附上說明，以確定其起因，并提供有效的憑證來來防止人員不承認其執(zhí)行過程。

4 結 語

綜上所述，隨著現(xiàn)代信息網絡技術的發(fā)展，網絡安全是所有礦山企業(yè)領導者面臨的問題，以上措施值得我們參考借鑒。