近日，在中國移動5G+工業(yè)互聯(lián)網(wǎng)推進大會上，中國移動聯(lián)合中興通訊、中國信通院、北京郵電大學(xué)、三一重工、鞍鋼集團等單位共同發(fā)布了《5G+工業(yè)互聯(lián)網(wǎng)安全白皮書》（以下簡稱“白皮書”）。白皮書旨在推進5G+工業(yè)互聯(lián)網(wǎng)安全的標準化建設(shè)，促進5G與工業(yè)互聯(lián)網(wǎng)深度融合的安全保障水平，加速推動“中國制造”向“中國智造”轉(zhuǎn)型，助力實體經(jīng)濟高質(zhì)量發(fā)展。白皮書針對智能制造、電網(wǎng)、礦山、港口等工業(yè)垂直行業(yè)在引入5G后的普適性安全需求，為5G+工業(yè)互聯(lián)網(wǎng)應(yīng)用場景的安全防護提供參考。

5G 賦能工業(yè)互聯(lián)網(wǎng)帶來新的安全挑戰(zhàn)

5G以其高帶寬、低時延、海量連接等特性將大幅提升工業(yè)互聯(lián)網(wǎng)的信息化水平，逐步成為支撐工業(yè)生產(chǎn)的基礎(chǔ)設(shè)施。5G與工業(yè)系統(tǒng)的深度融合勢必將大量的ICT系統(tǒng)威脅和挑戰(zhàn)帶入工業(yè)OT網(wǎng)絡(luò)，使得5G+工業(yè)互聯(lián)網(wǎng)與傳統(tǒng)的工控系統(tǒng)安全和互聯(lián)網(wǎng)安全相比，其安全挑戰(zhàn)更為艱巨。白皮書根據(jù)防護對象不同，分別從以下五個層面分析了5G與工業(yè)互聯(lián)網(wǎng)融合面臨的安全威脅。

在工業(yè)網(wǎng)絡(luò)方面，5G 采用網(wǎng)絡(luò)切片，為不同工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)提供差異化的服務(wù)，因此對網(wǎng)絡(luò)的安全隔離能力提出更高的要求。其面對的安全挑戰(zhàn)包括非法訪問、資源爭奪、非法攻擊等切片間安全威脅，不同安全域間的非法訪問、用戶數(shù)據(jù)被竊聽、針對公共NF 的拒絕服務(wù)攻擊等切片內(nèi)安全威脅，外部網(wǎng)絡(luò)的非法訪問、病毒木馬攻擊等切片與DN 網(wǎng)絡(luò)間的安全威脅，非法租戶的非法訪問、管理員權(quán)限濫用、切片敏感信息的篡改等切片管理的安全威脅等。

在控制安全方面，工業(yè)控制協(xié)議、控制平臺、控制軟件在設(shè)計之初可能未考慮完整性、身份校驗等安全需求。為此，其授權(quán)與訪問控制不嚴格，身份驗證不充分，配置維護不足，憑證管理不嚴。應(yīng)用軟件也持續(xù)面臨病毒、木馬、漏洞等傳統(tǒng)安全挑戰(zhàn)。5G 網(wǎng)絡(luò)使得原來不聯(lián)網(wǎng)或相對封閉的控制專網(wǎng)連接到互聯(lián)網(wǎng)上，無形中增大了工控協(xié)議與IT 系統(tǒng)漏洞被利用風(fēng)險。

在數(shù)據(jù)安全方面，5G 網(wǎng)絡(luò)基于NFV、云計算、虛擬化技術(shù)使得安全邊界模糊，流量不可見。MEC 節(jié)點位于網(wǎng)絡(luò)邊緣，處于運營商控制較弱的開放網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)竊取、泄露的風(fēng)險相對較高。工業(yè)互聯(lián)網(wǎng)的多業(yè)務(wù)場景要求安全與業(yè)務(wù)需求、接入技術(shù)、終端能力等相結(jié)合，為此對數(shù)據(jù)管控有更嚴格的要求，要求企業(yè)數(shù)據(jù)不出園區(qū)。這對MEC 中數(shù)據(jù)存儲、傳輸、處理的安全性提出了較高的要求。

在接入安全方面，5G 網(wǎng)絡(luò)增大了大量工業(yè)IT 軟件漏洞被利用風(fēng)險。5G 開啟了萬物互聯(lián)時代，5G 與工業(yè)互聯(lián)網(wǎng)的融合使得海量工業(yè)終端接入成為可能，同時也帶來攻擊風(fēng)險點的增加，終端設(shè)備本身，包括所用芯片、嵌入式操作系統(tǒng)、編碼規(guī)范、第三方應(yīng)用軟件以及功能等，均存在漏洞、缺陷、后門等安全問題暴露在相對開放的5G 網(wǎng)絡(luò)中，存在被利用的風(fēng)險。

在應(yīng)用安全方面，5G 網(wǎng)絡(luò)基于網(wǎng)絡(luò)能力開放技術(shù)，與工業(yè)互聯(lián)網(wǎng)深度融合，使得工業(yè)互聯(lián)網(wǎng)可以充分利用其網(wǎng)絡(luò)能力靈活開發(fā)新業(yè)務(wù)。攻擊者可以利用5G 網(wǎng)絡(luò)能力開放架構(gòu)提供的應(yīng)用程序編程接口（API）對網(wǎng)絡(luò)進行拒絕服務(wù)攻擊。另外，多個應(yīng)用間也存在互相非法訪問的安全風(fēng)險。5G 網(wǎng)絡(luò)能力開放架構(gòu)面臨網(wǎng)絡(luò)能力的非授權(quán)訪問和使用、數(shù)據(jù)泄露、用戶和網(wǎng)絡(luò)敏感信息泄露等安全風(fēng)險。邊緣云平臺（MEC）及服務(wù)也面臨著虛擬化中常見的違規(guī)接入、內(nèi)部入侵等內(nèi)外部安全挑戰(zhàn)，特別是MEC上應(yīng)用程序缺陷，增加了非授權(quán)訪問風(fēng)險。

一體化的5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)

5G 與工業(yè)互聯(lián)網(wǎng)的融合，信息安全涉及到工業(yè)互聯(lián)網(wǎng)的各個層面，單一的安全解決方案不能滿足工業(yè)互聯(lián)網(wǎng)信息安全的需要，需要統(tǒng)籌考慮，建立統(tǒng)一的安全防御體系。另外，5G+工業(yè)互聯(lián)網(wǎng)安全工作需要從制度建設(shè)、產(chǎn)業(yè)支持等更全局的視野來統(tǒng)籌安排，讓更多企業(yè)意識到信息安全的必要性與緊迫性，加強安全管理與風(fēng)險防范控制。通過構(gòu)建統(tǒng)一的工業(yè)互聯(lián)網(wǎng)信息安全保障體系，較為全面覆蓋接入、網(wǎng)絡(luò)、控制、數(shù)據(jù)等安全風(fēng)險，才能夠有效地保障5G引入后的工業(yè)互聯(lián)網(wǎng)安全。基于此，白皮書給出以下5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)。

圖1：5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)

一體化的5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)以5G 自身安全能力為基礎(chǔ)，以我國的安全政策、相關(guān)法律和行業(yè)安全規(guī)劃為主要指導(dǎo)原則，結(jié)合工業(yè)互聯(lián)網(wǎng)實際應(yīng)用場景安全需求，通過融合創(chuàng)新，將零信任、內(nèi)生安全等前沿安全理念融入定制化安全方案中，在滿足相應(yīng)級別安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心及管理部分要求基礎(chǔ)上，最大程度發(fā)揮安全措施的保護能力。

定制的5G+工業(yè)互聯(lián)網(wǎng)場景化安全能力

5G 網(wǎng)絡(luò)為應(yīng)對新技術(shù)新架構(gòu)帶來的安全挑戰(zhàn)，參照相關(guān)5G安全規(guī)范，同時遵循《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》，提供了無線接入安全、5GC安全、MEC安全、切片安全及管理安全端到端的安全通信能力。但對于垂直行業(yè)，特別是對安全要求嚴苛的工業(yè)系統(tǒng)，5G 提供的基礎(chǔ)安全能力無法滿足不同業(yè)務(wù)場景下的安全需求。為此，白皮書指出，5G在使能工業(yè)互聯(lián)網(wǎng)的過程中，要以5G自身安全能力為基礎(chǔ)，結(jié)合工業(yè)互聯(lián)網(wǎng)特征與運營模式，融合零信任、內(nèi)生安全等前沿安全技術(shù)，構(gòu)建定制化的5G+工業(yè)互聯(lián)網(wǎng)安全方案，來滿足工業(yè)互聯(lián)網(wǎng)自身的等級保護要求。白皮書給出可從以下幾個方面進行定制化方案構(gòu)建：

差異化切片滿足企業(yè)網(wǎng)絡(luò)安全隔離需求。根據(jù)行業(yè)的安全隔離要求和需要保障的關(guān)鍵SLA（服務(wù)等級協(xié)議）選擇不同類型的切片，并進行參數(shù)配置，從資源隔離和業(yè)務(wù)保障的角度，無線網(wǎng)絡(luò)可以提供多種切片隔離技術(shù)，從而提供差異化的網(wǎng)絡(luò)服務(wù)。不同業(yè)務(wù)系統(tǒng)可以根據(jù)自身需求選擇不同的網(wǎng)絡(luò)隔離方案。

UPF下沉 +FlexE 支持企業(yè)低時延業(yè)務(wù)需求。為了進一步降低端到端通信時延，可以將5G 網(wǎng)絡(luò)中UPF（用戶面功能）下沉到MEC, 通過將數(shù)據(jù)、應(yīng)用、智能引入基站邊緣側(cè)，減少數(shù)據(jù)傳輸路由節(jié)點，以降低端到端通信時延。另外，在5G 網(wǎng)絡(luò)中采用FlexE 交叉技術(shù)來實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的信息傳遞，它實現(xiàn)基于物理層的用戶業(yè)務(wù)流轉(zhuǎn)發(fā)，用戶報文在網(wǎng)絡(luò)中間節(jié)點無須解析，業(yè)務(wù)流交叉過程近乎瞬間完成，實現(xiàn)單跳設(shè)備轉(zhuǎn)發(fā)時延1~10us，有效解決時間報文的模擬、欺騙。

多重機制提供企業(yè)端到端數(shù)據(jù)安全保障。為降低5G行業(yè)應(yīng)用中數(shù)據(jù)安全風(fēng)險，5G 提供了更強壯的數(shù)據(jù)安全保護方法。白皮書從接入認證、訪問控制、數(shù)據(jù)傳輸方面給出建議。采用切片二次認證機制，即在用戶接入網(wǎng)絡(luò)時所做認證之后為接入特定業(yè)務(wù)建立數(shù)據(jù)通道而進行的認證，從而保證企業(yè)對安全策略自主可控；遵循最小權(quán)限授權(quán)原則，為不同用戶分配不同的數(shù)據(jù)操作權(quán)限，避免不可靠來源用戶的接入，提供選擇多種訪問控制方式，另外，對關(guān)鍵敏感數(shù)據(jù)采用SHA256、AES256 等加密算法進行加密存儲；保護數(shù)據(jù)在網(wǎng)絡(luò)間傳輸，可采用5G 新增的安全邊緣保護代理功能，以保護工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)產(chǎn)生、處理、使用等環(huán)節(jié)的安全。

零信任架構(gòu)增強海量終端的接入安全。傳統(tǒng)安全采用邊界防護方式，即在網(wǎng)絡(luò)邊界驗證終端身份，確定用戶是否被信任。隨著攻擊方式和威脅多樣化，傳統(tǒng)網(wǎng)絡(luò)接入安全架構(gòu)凸顯出很大的局限性，為此，5G+工業(yè)互聯(lián)網(wǎng)安全架構(gòu)引入基于零信任安全理念，啟用新型身份驗證管理模式，充分利用身份驗證憑據(jù)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用等多種資源的組合安全邊界。5G 工業(yè)互聯(lián)網(wǎng)零信任安全架構(gòu)下的終端安全接入不再以網(wǎng)絡(luò)邊界為限，無論來自企業(yè)網(wǎng)絡(luò)之外的用戶，還是來自企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶，在建立連接前均需進行認證授權(quán)。5G 工業(yè)互聯(lián)網(wǎng)零信任安全架構(gòu)，使得原來的被動防御向主動防御轉(zhuǎn)變，從邊界防御方式向內(nèi)生安全轉(zhuǎn)變，有力保障5G 網(wǎng)絡(luò)環(huán)境下海量行業(yè)終端的接入安全。

態(tài)勢感知保障網(wǎng)絡(luò)整體安全能力。5G應(yīng)用于工業(yè)系統(tǒng)以后，原有的被動式防御已不可靠，無法有效防止有組織的規(guī)模性攻擊，迫切需要新的安全技術(shù)。5G工業(yè)互聯(lián)網(wǎng)態(tài)勢感知技術(shù)，可以覆蓋5G 資產(chǎn)，包括5GC網(wǎng)元、切片、虛機、物理機、中間件等，并能將各層級資產(chǎn)進行關(guān)聯(lián)，根據(jù)資產(chǎn)關(guān)聯(lián)關(guān)系定位漏洞、脆弱性與攻擊事件等威脅事件對業(yè)務(wù)的影響，能夠追蹤攻擊鏈定位威脅發(fā)生的源頭，并分析可能的波及范圍，根據(jù)資產(chǎn)價值及業(yè)務(wù)影響來確定處置方式與手段。另外，態(tài)勢感知還可以基于對網(wǎng)絡(luò)攻擊事件的深度挖掘，結(jié)合網(wǎng)絡(luò)的基礎(chǔ)設(shè)施情況和運行狀態(tài)，對網(wǎng)絡(luò)安全態(tài)勢做出評估，對未來可能遭受的網(wǎng)絡(luò)攻擊進行預(yù)測。

5G與工控系統(tǒng)的深度融合是工業(yè)互聯(lián)網(wǎng)提質(zhì)增效的關(guān)鍵，在融合過程中必然會帶來安全問題。而要調(diào)和5G 網(wǎng)絡(luò)的開放性與工控協(xié)議的私密性，特別是解決工控協(xié)議安全性較弱的問題，就必須要引入內(nèi)生安全防御的理念，提升工業(yè)互聯(lián)網(wǎng)自身在安全設(shè)計方面的完備性。另外，5G網(wǎng)絡(luò)的開放性，將加速推動工業(yè)互聯(lián)網(wǎng)跨部門、跨行業(yè)、跨平臺信息共享和聯(lián)動處置機制建立，任何一個企業(yè)都很難進行單獨的防御，為此，基于5G網(wǎng)絡(luò)的工業(yè)互聯(lián)網(wǎng)企業(yè),需要與移動運營商、設(shè)備提供商、安全服務(wù)商、監(jiān)管機構(gòu)等建立協(xié)同機制，共同應(yīng)對來自5G、工業(yè)等跨領(lǐng)域、跨行業(yè)的安全挑戰(zhàn)。

目前5G工業(yè)互聯(lián)網(wǎng)安全防護發(fā)展尚處起步階段。此次白皮書的發(fā)布，為5G賦能工業(yè)互聯(lián)網(wǎng)提供了安全參考，隨著5G融入工業(yè)互聯(lián)網(wǎng)的廣度和深度持續(xù)增強，有必要引入新的安全理念、安全技術(shù)，來不斷完善5G工業(yè)互聯(lián)網(wǎng)安全防護體系，保障工業(yè)數(shù)字化轉(zhuǎn)型升級行穩(wěn)致遠。