基于5G 技術組網的水情自動測報系統(tǒng)網絡安全防護策略研究

孫衛(wèi)軍

（雅礱江流域水電開發(fā)有限公司，四川 成都 610000）

0 引言

水情自動測報系統(tǒng)（以下簡稱“水情系統(tǒng)”）是基于通信、網絡、計算機及傳感器技術，實現對水電站或水庫所在流域內水文氣象站點的降水量、水位等水文氣象數據的實時采集、上報及處理的系統(tǒng)。因水情遙測站點分布廣泛，部分站點位置偏遠，水情系統(tǒng)通常采用無線通信方式組網。隨著5G（5th generation mobile networks）通信技術的發(fā)展，采用5G 通信組網將成為未來水情系統(tǒng)的發(fā)展方向，基于5G 組網的水情系統(tǒng)相較傳統(tǒng)無線通信組網方式的水情系統(tǒng)有更多優(yōu)勢，如實現超高清視頻傳輸、遙測數據實時傳輸及遙測站遠程實時維護等功能，但隨之帶來的網絡安全防護問題將成為新的挑戰(zhàn)，特別是考慮到2015 年烏克蘭停電事件的影響，應用于電力系統(tǒng)的水情系統(tǒng)應特別防范網絡安全風險。因此，采取何種策略來解決基于5G 組網的水情系統(tǒng)的網絡安全防護問題將成為下一步研究重點。

1 水情自動測報系統(tǒng)的網絡安全防護現狀

水情自動測報系統(tǒng)傳統(tǒng)通信組網方式為超短波(VHF，Very HighFrequency)、GSM、GPRS、衛(wèi)星、光纖等信道組網[1]，部分庫區(qū)站點條件允許也會采用光纖等有線通信方式組網。常見水情通信組網方式可分為三類。

（1）有線通信。有線通信方式常見于PSTN 與光纖組網。PSTN 即公共交換電話網絡，受限于部署場景限制，早期水情測報系統(tǒng)組網設計會部分采用。光纖通信常見于有條件的電廠或水庫周邊站點，采用自建光纖信道的站點可靠性及安全性高，但成本投入較大。

（2）無線點對點通信。超短波、GSM、衛(wèi)星通信為代表的點對點通信為水情系統(tǒng)常用通信組網方式，特別是偏遠地區(qū)多采用GSM及北斗衛(wèi)星作為主備信道組網。點對點通信無需接入公網環(huán)境，安全風險較低。

（3）GPRS、3G 及 4G 無線通信。GPRS 為目前應用廣泛的公網接入水情系統(tǒng)組網方式，GPRS 組網有著實時在線、成本低等優(yōu)點[2]。3G、4G 組網由于受信號覆蓋面積及產品支持所限，應用可見于部分學術研究[3]以及少部分應用場景[4]，并未完全普及。GPRS 等通道因接入公網環(huán)境，有一定的安全風險。對于電力系統(tǒng)接入公網的無線通信組網方式，國家有關部門提出了安全接入區(qū)的概念并建立了相關標準[5]，對包括水情系統(tǒng)在內的采用無線通信組網方式的系統(tǒng)進行物理隔離。

2 5G 通信環(huán)境下的網絡安全形勢及應對策略

與前幾代移動通信網絡相比，5G 具備更高的網絡傳輸帶寬、更高的可靠性、更低的延時以及大規(guī)模物理設備通信特性[6]，5G 應用場景劃分為增強移動寬帶（eMBB）、海量設備通信（mMTC）、高可靠低時延（uRLLC）三類。由于5G面對不同的業(yè)務場景，因此每個場景需定制化自身的網絡安全防護策略[7]，另外由于采用了網絡切片技術，每個應用場景的安全防護策略將進一步細化，從而體現出垂直行業(yè)的特性。目前5G 三大場景的安全防護挑戰(zhàn)及應對策略可見表1。

表1 5G 三大場景的安全防護挑戰(zhàn)及應對策略

3 水情系統(tǒng)中應用5G 組網的優(yōu)勢分析與網絡安全風險

與傳統(tǒng)無線通信組網方式相比，5G 通信組網的水情系統(tǒng)有著更高的接入帶寬，完全能滿足水情數據傳輸需求，同時低時延高可用特性可使得數據傳輸無延遲，特別是對測站進行實時數據召測及遠程參數設置時帶來巨大的維護優(yōu)勢，5G 的網絡切片功能能使得水情系統(tǒng)具備獨立組網特性，可以說每一種5G 應用場景都能使水情系統(tǒng)組網定制化，但每種場景面臨的網絡安全風險也有區(qū)別，具體采用5G 組網的水情系統(tǒng)業(yè)務場景的優(yōu)勢及網絡安全風險可見表2。

表2 采用5G 組網的水情系統(tǒng)業(yè)務場景的優(yōu)勢及網絡安全風險分析

對于水情系統(tǒng)不同的業(yè)務都可以經由5G 網絡切片承載，對于高清視頻監(jiān)控有要求較高的可采用eMBB 切片，對于實時性及可靠性要求較高的可采用uRLLC 切片，既需要高清視頻監(jiān)控又需要實時性要求的可采用eMBB 和uRLLC 切片組合網絡，或者定制化網絡。水情系統(tǒng)目前mMTC 場景需求較少，但遙測站的物聯網應用及邊緣計算功能未來可能會有些科研方面的需求。

總之，水情系統(tǒng)功能可以根據需求對網絡提出定制化要求，然后結合自身業(yè)務需求配置合理的網絡安全防護策略。

4 基于5G 技術組網的水情系統(tǒng)網絡安全防護策略

根據電力二次系統(tǒng)相關安全防護規(guī)定要求，應用于電網及水電廠業(yè)務的水情系統(tǒng)建設應符合電力系統(tǒng)相關安全防護規(guī)范[8]。安全防護技術可分為本體安全、結構安全、基礎安全、安全免疫等四個方面，對于基于5G 組網的水情系統(tǒng)來說，重點需解決本體安全及結構安全問題，本體安全主要涉及到遙測站硬件，結構安全涉及到網絡安全隔離等內容，下面就基于5G 組網的水情系統(tǒng)的遙測站本體安全防護及網絡結構防護做進一步闡述。

4.1 基于5G 組網的水情系統(tǒng)遙測站本體安全防護

遙測站是水情系統(tǒng)重要組成部分，其網絡安全防護主要要求為本體安全，實現目標為主板無惡意芯片、芯片無惡意指令以及操作系統(tǒng)無惡意后門。通過采用專用的具備自主知識產權的芯片，例如國產5G 芯片、RTU 芯片等，配合內嵌的專用操作系統(tǒng)，結合安全可靠的指令集，建立安全的通信總線策略，可以很大程度保障遙測站的本體安全，防止信息泄露及漏洞攻擊。基于5G 組網的水情系統(tǒng)遙測站本體安全防護架構可見圖1。

圖1 遙測站本體安全防護架構圖

4.2 基于5G 組網的水情系統(tǒng)網絡結構安全防護

水情系統(tǒng)可以采用租用5G 公網和專用切片方式進行組網。從網絡安全角度來講，采用專用5G 網絡切片可以實現網絡的物理隔離，具有較高的安全性，而且電力切片也通過了相關的測試[9]。以5G 電力切片組網的水情系統(tǒng)為例，網絡結構圖及安防配置圖見圖2。

圖2 5G 電力切片組網的水情系統(tǒng)及安全防護配置

由于采用專用的eMBB、uRLLC 等場景電力切片，安全性能得到很好的保障。結合運營商的網絡安全防護策略，水情系統(tǒng)在eMBB 場景下需在服務器層面做好遙測站安全認證，在防火墻層面做好入侵檢測防護，從而防止高清視頻等信息泄露，阻止網絡入侵；在uRLLC 場景下服務器應采用輕量接入認證方式，以滿足低時延要求，減少系統(tǒng)資源耗費，同時業(yè)務加密秘鑰也采用低時延秘鑰，做到關鍵數據保護；在mMTC 場景下做好服務器層面的群組認證，在防火墻層面采用動態(tài)防御策略，用于防止大量遙測站的DDOS 攻擊。另外對于網絡專用場景切片，每個遙測站都有固定的IP 地址，可以統(tǒng)一在防火墻層面做好IP 地址綁定，做到IP 地址隔離防護。

電力系統(tǒng)的水情數據首先接入水情系統(tǒng)安全接入區(qū)，然后通過反向隔離裝置單向寫入水情系統(tǒng)安全生產II 區(qū)數據庫。

4.3 水文系統(tǒng)與電力系統(tǒng)通信的網絡結構安全防護

部分水文局因業(yè)務需求，有時會與電廠或電網水情系統(tǒng)進行數據交互，傳統(tǒng)水文部門與電力部門常采用公網或專線方式與電力部門進行組網，未來也可采用5G 通道進行兩個部門間的通道連接，水文系統(tǒng)與電力系統(tǒng)采用5G 組網通信的總體網絡結構及安防配置圖見圖3。

圖3 水文系統(tǒng)與電力系統(tǒng)采用5G 組網通信及安防配置圖

因電力部門有安全分區(qū)要求，所以基于5G 通道進行信息交換水文系統(tǒng)與電力系統(tǒng)組網應接入電力系統(tǒng)安全接入區(qū)。需特別指出的是5G 組網通信采用的DTU 應支持RJ45 接口，即同時支持5G 通信及RJ45 網絡通信，以便于局域網組網及網絡安防策略配置。如采用5G 公網接入，為保證網絡安全應配置VPN 設備，從而建立加密專用信道，5G 專用網絡切片接入也可按需配置VPN 設備用于提高網絡安全性。

5 結束語

基于5G 技術組網的水情系統(tǒng)有一定的前瞻性，相較于傳統(tǒng)的組網方式，5G 組網的水情系統(tǒng)將面臨更為嚴峻的網絡安全形勢，因此有必要對5G 組網的水情系統(tǒng)安全防護策略加以重視。基于 5G 網絡的 eMBB、mMTC、uRLLC 等 3 個主要應用場景，水情系統(tǒng)在規(guī)劃時期可根據自身需求選擇適合業(yè)務需求的場景切片，重點從遙測站本體安全、網絡結構安全等方面做好相應的安全防護措施。

未來隨著5G 技術的應用逐步開展，水情系統(tǒng)的業(yè)務部門可探索與運營商的定制化5G 網絡切片及網絡安防策略，一些網絡安全設備甚至可以采用虛擬化方式實現，通過定制化方式打造屬于自身的更為安全可控的專用5G 網絡切片，最大程度保障水情系統(tǒng)的網絡安全。