王亞東 陳中倩

中國電信股份有限公司鹽城分公司

0 引言

當(dāng)前，我國高度重視5G與工業(yè)互聯(lián)網(wǎng)的融合發(fā)展，各省市也紛紛制定政策推進(jìn)5G+工業(yè)互聯(lián)網(wǎng)的應(yīng)用示范落地。5G作為工廠外網(wǎng)及內(nèi)網(wǎng)的重要組成部分，將在標(biāo)準(zhǔn)標(biāo)桿網(wǎng)絡(luò)、公共服務(wù)平臺(tái)、測試床等方面獲得國家項(xiàng)目及政策支撐。近年來，隨著5G與工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)與信息安全面臨嚴(yán)峻挑戰(zhàn)。

1 問題描述

1.1 概述

2014年，阿特斯2GW光伏電池項(xiàng)目落戶阜寧，成立鹽城阿特斯協(xié)鑫陽光電力科技有限公司，占地面積350畝，注冊資本1.5億元。作為阿特斯布局在全球的十七家生產(chǎn)制造基地之一，該公司是一家集高效太陽能電池片的研發(fā)和生產(chǎn)為一體的高新技術(shù)企業(yè)。

2021年，鹽城電信與阜寧阿特斯陽光電力科技有限公司合作開展“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用項(xiàng)目，為其在生產(chǎn)高效太陽能電池片和相關(guān)組件領(lǐng)域提供5G技能加持，該項(xiàng)目總金額超過一千萬元。

1.2 網(wǎng)絡(luò)架構(gòu)

阜寧阿特斯“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用項(xiàng)目采用比鄰模式組網(wǎng)，新建入駐式獨(dú)享UPF，企業(yè)內(nèi)網(wǎng)出口路由器通過專線與UPF互聯(lián)。企業(yè)與UPF之間引入安全設(shè)備用于隔離網(wǎng)絡(luò)。終端安裝5G模組，通過5G專網(wǎng)實(shí)現(xiàn)與控制臺(tái)通信。

1.3 網(wǎng)絡(luò)與信息安全需求

用戶在5G定制網(wǎng)方面的安全需求共有四點(diǎn)：

（1）接入安全控制。為了確保5G終端的安全可信接入，本項(xiàng)目引入了基于5G的二次認(rèn)證系統(tǒng)和平臺(tái)，企業(yè)可以基于安全控制需求實(shí)現(xiàn)如身份認(rèn)證、機(jī)卡綁定、接入控制等不同功能，確保接入企業(yè)內(nèi)部5G專網(wǎng)終端做到可信、可控、可管狀態(tài)。

（2）數(shù)據(jù)不出廠區(qū)。本項(xiàng)目采用下沉的獨(dú)享式UPF，實(shí)現(xiàn)數(shù)據(jù)不出廠區(qū)，直接在本地卸載流量，保證本地分流數(shù)據(jù)的安全可靠。

（3）人網(wǎng)與物網(wǎng)隔離。本項(xiàng)目通過劃分不同人網(wǎng)和物網(wǎng)專屬切片，提供人網(wǎng)與物網(wǎng)網(wǎng)絡(luò)通道隔離能力，實(shí)現(xiàn)人網(wǎng)與物網(wǎng)終端從接入側(cè)就相互隔離，確保接入企業(yè)內(nèi)部網(wǎng)絡(luò)的終端設(shè)備獨(dú)立性，保證端到端網(wǎng)絡(luò)資源隔離。

（4）安全防護(hù)及數(shù)據(jù)冗余。本項(xiàng)目引入物理防火墻設(shè)備，確?？缬蛟L問安全，實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)與大網(wǎng)的安全隔離。同時(shí)結(jié)合整套安全加固策略，實(shí)現(xiàn)虛擬化層以及設(shè)備硬件層的安全。部署2套及以上UPF，多鏈路對(duì)接企業(yè)內(nèi)網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)資源冗余能力提高，確保企業(yè)數(shù)據(jù)冗余安全。

2 分析過程

在阜寧阿特斯“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用項(xiàng)目基礎(chǔ)上，鹽城電信圍繞光伏制造行業(yè)5G+工業(yè)互聯(lián)網(wǎng)的出發(fā)點(diǎn)和落腳點(diǎn)，提出光伏制造行業(yè)5G+工業(yè)互聯(lián)網(wǎng)安全解決方案的“六個(gè)安全方向”。

“六個(gè)安全方向”包括基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)接入控制安全、網(wǎng)絡(luò)隔離安全防護(hù)、業(yè)務(wù)安全隔離、傳輸安全和SIM卡安全，如圖1所示。

圖1 5G+工業(yè)互聯(lián)網(wǎng)安全解決方案

3 解決措施

3.1 基礎(chǔ)設(shè)施安全

廠區(qū)UPF部署在阿特斯廠內(nèi)符合機(jī)房建設(shè)要求的獨(dú)立房間內(nèi)，配備獨(dú)立門禁系統(tǒng)，為硬件設(shè)備安裝安全加固防護(hù)罩和安全鎖。下沉UPF節(jié)點(diǎn)機(jī)房遵照等級(jí)保護(hù)標(biāo)準(zhǔn)的要求設(shè)計(jì)物理環(huán)境安全，主要包括：（1）物理位置選擇在具備防震、防風(fēng)、防雨等能力的建筑內(nèi)；（2）物理訪問控制應(yīng)配置電子門禁系統(tǒng)，控制、鑒別、記錄進(jìn)出人員信息；（3）機(jī)房內(nèi)部署完善監(jiān)控體系7×24小時(shí)無死角監(jiān)控硬件設(shè)備及人員操作行為；（4）機(jī)房內(nèi)具備完善的電力供應(yīng)、溫濕度控制、電磁防護(hù)能力。

3.2 網(wǎng)絡(luò)接入控制安全

本項(xiàng)目使用定制DNN及切片，所有終端號(hào)碼簽約定制DNN+切片，UPF僅支持該DNN及切片接入，實(shí)現(xiàn)僅允許授權(quán)用戶接入用戶網(wǎng)絡(luò)功能。在用戶網(wǎng)絡(luò)內(nèi)設(shè)置DMZ域，新建一套二次認(rèn)證AAA，當(dāng)5G終端接入5G制造專網(wǎng)時(shí)，企業(yè)能自主對(duì)網(wǎng)絡(luò)、終端進(jìn)行接入認(rèn)證，防止因號(hào)卡被盜引起的惡意接入，5G網(wǎng)絡(luò)需提供必要認(rèn)證信息。認(rèn)證消息由SMF發(fā)出，通過N4接口由UPF透傳至二次認(rèn)證AAA，有效規(guī)避大網(wǎng)設(shè)備與企業(yè)設(shè)備的直接對(duì)接。5G網(wǎng)路提供接口，當(dāng)企業(yè)發(fā)現(xiàn)設(shè)備風(fēng)險(xiǎn)時(shí)，可進(jìn)行阻斷接入、踢設(shè)備下線等操作。終端接入控制示意如圖2所示。

圖2 終端接入控制示意圖

3.3 網(wǎng)絡(luò)隔離安全防護(hù)

根據(jù)組網(wǎng)架構(gòu)內(nèi)不同網(wǎng)元的功能，將整個(gè)網(wǎng)絡(luò)劃分為UPF域、DMZ域、信任域，域/域邊界部署防火墻，提供邊界隔離，做好安全策略配置。實(shí)現(xiàn)區(qū)域邊界安全審計(jì)、惡意代碼防范等安全功能。

DMZ域內(nèi)部署AAA-Proxy，支持二次認(rèn)證業(yè)務(wù)流代理轉(zhuǎn)發(fā)，避免AAA服務(wù)器直接對(duì)外暴露。FW3后部署MSCG網(wǎng)關(guān)控制設(shè)備，結(jié)合二次認(rèn)證，在終端訪問企業(yè)內(nèi)網(wǎng)前，實(shí)現(xiàn)雙重網(wǎng)絡(luò)訪問控制。

部署MSCG帶來的價(jià)值：終端接入內(nèi)網(wǎng)前的安全合規(guī)檢查與保證，認(rèn)證前域ACL可以訪問的內(nèi)容包含終端接入認(rèn)證、安全檢測、安全修復(fù)等用途；基于角色的細(xì)顆粒度訪問控制，如不同安全等級(jí)業(yè)務(wù)區(qū)域訪問權(quán)限控制，隔離可訪問資源等。

基于MSCG的二次認(rèn)證流程如圖3所示。

圖3 基于MSCG的二次認(rèn)證流程圖

3.4 業(yè)務(wù)安全隔離

為了確保用戶業(yè)務(wù)的服務(wù)質(zhì)量和數(shù)據(jù)隔離，項(xiàng)目啟用端到端切片，無線基站針對(duì)切片配置資源預(yù)留確保空口質(zhì)量，承載網(wǎng)使用硬切片隔離，核心網(wǎng)使用共享/專用切片。

采用下沉的獨(dú)享式UPF，網(wǎng)絡(luò)側(cè)配置數(shù)據(jù)分流策略，本地做分流規(guī)則自檢與IP/FQDN一致性檢查，保證數(shù)據(jù)不出企業(yè)，確保本地分流數(shù)據(jù)的安全可靠。

獨(dú)享式UPF組網(wǎng)如圖4所示。

圖4 獨(dú)享式UPF組網(wǎng)示意圖

3.5 傳輸安全

終端和網(wǎng)絡(luò)之間進(jìn)行雙向認(rèn)證，防范偽基站?？湛诩用芩惴荑€使用256bit密鑰，保障空口的機(jī)密性和完整性，用戶面具備完整性保護(hù)功能，使用IPsec保證傳輸安全。UPF和企業(yè)路由器間通過虛擬專用網(wǎng)打通，通過IPsec對(duì)數(shù)據(jù)進(jìn)行加密。

3.6 SIM卡安全

天翼U盾SIMKEY+基于智能安全芯片，整合與手機(jī)安全有關(guān)的各方安全能力，為移動(dòng)互聯(lián)網(wǎng)行業(yè)應(yīng)用提供卡硬件級(jí)的身份安全服務(wù)。SIMKEY同時(shí)集成了通訊模塊、安全模塊，并內(nèi)置于標(biāo)準(zhǔn)/Nano SIM/UIM卡內(nèi)，在基本通訊功能之上，集成了標(biāo)準(zhǔn)U盾功能。SIMKEY+采用國密安全芯片，除具備金融二代盾的安全能力外，采用的國密芯片獲得芯片EAL4級(jí)認(rèn)證及芯片銀聯(lián)認(rèn)證；支持業(yè)界主流加解密算法DES/3DES/AES/RSA/ECC；支持國密算法SM1/SM2/SM3/SM4；支持標(biāo)準(zhǔn)CA證書管理。SIM卡安全保障如圖5所示。

圖5 SIM卡安全示意圖

4 經(jīng)驗(yàn)總結(jié)

該網(wǎng)絡(luò)安全解決方案具有企業(yè)端到端差異化安全隔離、企業(yè)終端接入安全多重防護(hù)、企業(yè)生產(chǎn)數(shù)據(jù)安全錨定的特點(diǎn)。

4.1 量身定制安全解決方案，為企業(yè)降本增效

充分利用省市兩級(jí)集約化安全防護(hù)能力，并加強(qiáng)5G+工業(yè)互聯(lián)網(wǎng)平臺(tái)針對(duì)性安全防護(hù)措施。相比企業(yè)實(shí)施端到端硬件部署，可節(jié)約成本70%以上。

4.2 落實(shí)企業(yè)端到端差異化安全隔離

劃分不同等級(jí)安全需求，提供邊界防護(hù)能力，包括基于企業(yè)角色實(shí)現(xiàn)細(xì)顆粒度訪問控制，基于不同安全等級(jí)業(yè)務(wù)區(qū)域?qū)崿F(xiàn)訪問權(quán)限控制，基于不同業(yè)務(wù)資源實(shí)現(xiàn)安全隔離，保證了企業(yè)端到端差異化安全隔離。

4.3 確保企業(yè)生產(chǎn)數(shù)據(jù)安全錨定

通過5G雙向鑒權(quán)和AAA二次鑒權(quán)相結(jié)合，企業(yè)網(wǎng)絡(luò)可有效防御無線側(cè)惡意偽裝攻擊和不合法終端竊取企業(yè)網(wǎng)機(jī)密信息，接入安全得到有力保障。UPF和企業(yè)內(nèi)網(wǎng)之間采用防火墻隔離，UPF的N3/N6口均可實(shí)現(xiàn)流量監(jiān)控統(tǒng)計(jì)，可有效識(shí)別異常流量，并自證無外發(fā)流量。

5 結(jié)束語

此項(xiàng)安全解決方案能夠?yàn)槠髽I(yè)降本增效，落實(shí)企業(yè)端到端差異化安全隔離，確保企業(yè)生產(chǎn)數(shù)據(jù)安全錨定，榮獲2021年全國工業(yè)互聯(lián)網(wǎng)安全技術(shù)應(yīng)用及解決方案遴選賽“應(yīng)用方案優(yōu)勝獎(jiǎng)”（排序第一位）。該方案在助力制造業(yè)企業(yè)高效率安全生產(chǎn)、加快制造業(yè)企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)、實(shí)現(xiàn)全行業(yè)應(yīng)用模塊化功能復(fù)制等方面可以發(fā)揮出重要作用，具有十分廣闊的推廣應(yīng)用前景。