基于5G 技術(shù)組網(wǎng)的水情自動測報系統(tǒng)網(wǎng)絡(luò)安全防護策略研究

孫衛(wèi)軍

（雅礱江流域水電開發(fā)有限公司，四川 成都 610000）

0 引言

水情自動測報系統(tǒng)（以下簡稱“水情系統(tǒng)”）是基于通信、網(wǎng)絡(luò)、計算機及傳感器技術(shù)，實現(xiàn)對水電站或水庫所在流域內(nèi)水文氣象站點的降水量、水位等水文氣象數(shù)據(jù)的實時采集、上報及處理的系統(tǒng)。因水情遙測站點分布廣泛，部分站點位置偏遠，水情系統(tǒng)通常采用無線通信方式組網(wǎng)。隨著5G（5th generation mobile networks）通信技術(shù)的發(fā)展，采用5G 通信組網(wǎng)將成為未來水情系統(tǒng)的發(fā)展方向，基于5G 組網(wǎng)的水情系統(tǒng)相較傳統(tǒng)無線通信組網(wǎng)方式的水情系統(tǒng)有更多優(yōu)勢，如實現(xiàn)超高清視頻傳輸、遙測數(shù)據(jù)實時傳輸及遙測站遠程實時維護等功能，但隨之帶來的網(wǎng)絡(luò)安全防護問題將成為新的挑戰(zhàn)，特別是考慮到2015 年烏克蘭停電事件的影響，應(yīng)用于電力系統(tǒng)的水情系統(tǒng)應(yīng)特別防范網(wǎng)絡(luò)安全風(fēng)險。因此，采取何種策略來解決基于5G 組網(wǎng)的水情系統(tǒng)的網(wǎng)絡(luò)安全防護問題將成為下一步研究重點。

1 水情自動測報系統(tǒng)的網(wǎng)絡(luò)安全防護現(xiàn)狀

水情自動測報系統(tǒng)傳統(tǒng)通信組網(wǎng)方式為超短波(VHF，Very HighFrequency)、GSM、GPRS、衛(wèi)星、光纖等信道組網(wǎng)[1]，部分庫區(qū)站點條件允許也會采用光纖等有線通信方式組網(wǎng)。常見水情通信組網(wǎng)方式可分為三類。

（1）有線通信。有線通信方式常見于PSTN 與光纖組網(wǎng)。PSTN 即公共交換電話網(wǎng)絡(luò)，受限于部署場景限制，早期水情測報系統(tǒng)組網(wǎng)設(shè)計會部分采用。光纖通信常見于有條件的電廠或水庫周邊站點，采用自建光纖信道的站點可靠性及安全性高，但成本投入較大。

（2）無線點對點通信。超短波、GSM、衛(wèi)星通信為代表的點對點通信為水情系統(tǒng)常用通信組網(wǎng)方式，特別是偏遠地區(qū)多采用GSM及北斗衛(wèi)星作為主備信道組網(wǎng)。點對點通信無需接入公網(wǎng)環(huán)境，安全風(fēng)險較低。

（3）GPRS、3G 及 4G 無線通信。GPRS 為目前應(yīng)用廣泛的公網(wǎng)接入水情系統(tǒng)組網(wǎng)方式，GPRS 組網(wǎng)有著實時在線、成本低等優(yōu)點[2]。3G、4G 組網(wǎng)由于受信號覆蓋面積及產(chǎn)品支持所限，應(yīng)用可見于部分學(xué)術(shù)研究[3]以及少部分應(yīng)用場景[4]，并未完全普及。GPRS 等通道因接入公網(wǎng)環(huán)境，有一定的安全風(fēng)險。對于電力系統(tǒng)接入公網(wǎng)的無線通信組網(wǎng)方式，國家有關(guān)部門提出了安全接入?yún)^(qū)的概念并建立了相關(guān)標(biāo)準(zhǔn)[5]，對包括水情系統(tǒng)在內(nèi)的采用無線通信組網(wǎng)方式的系統(tǒng)進行物理隔離。

2 5G 通信環(huán)境下的網(wǎng)絡(luò)安全形勢及應(yīng)對策略

與前幾代移動通信網(wǎng)絡(luò)相比，5G 具備更高的網(wǎng)絡(luò)傳輸帶寬、更高的可靠性、更低的延時以及大規(guī)模物理設(shè)備通信特性[6]，5G 應(yīng)用場景劃分為增強移動寬帶（eMBB）、海量設(shè)備通信（mMTC）、高可靠低時延（uRLLC）三類。由于5G面對不同的業(yè)務(wù)場景，因此每個場景需定制化自身的網(wǎng)絡(luò)安全防護策略[7]，另外由于采用了網(wǎng)絡(luò)切片技術(shù)，每個應(yīng)用場景的安全防護策略將進一步細化，從而體現(xiàn)出垂直行業(yè)的特性。目前5G 三大場景的安全防護挑戰(zhàn)及應(yīng)對策略可見表1。

表1 5G 三大場景的安全防護挑戰(zhàn)及應(yīng)對策略

3 水情系統(tǒng)中應(yīng)用5G 組網(wǎng)的優(yōu)勢分析與網(wǎng)絡(luò)安全風(fēng)險

與傳統(tǒng)無線通信組網(wǎng)方式相比，5G 通信組網(wǎng)的水情系統(tǒng)有著更高的接入帶寬，完全能滿足水情數(shù)據(jù)傳輸需求，同時低時延高可用特性可使得數(shù)據(jù)傳輸無延遲，特別是對測站進行實時數(shù)據(jù)召測及遠程參數(shù)設(shè)置時帶來巨大的維護優(yōu)勢，5G 的網(wǎng)絡(luò)切片功能能使得水情系統(tǒng)具備獨立組網(wǎng)特性，可以說每一種5G 應(yīng)用場景都能使水情系統(tǒng)組網(wǎng)定制化，但每種場景面臨的網(wǎng)絡(luò)安全風(fēng)險也有區(qū)別，具體采用5G 組網(wǎng)的水情系統(tǒng)業(yè)務(wù)場景的優(yōu)勢及網(wǎng)絡(luò)安全風(fēng)險可見表2。

表2 采用5G 組網(wǎng)的水情系統(tǒng)業(yè)務(wù)場景的優(yōu)勢及網(wǎng)絡(luò)安全風(fēng)險分析

對于水情系統(tǒng)不同的業(yè)務(wù)都可以經(jīng)由5G 網(wǎng)絡(luò)切片承載，對于高清視頻監(jiān)控有要求較高的可采用eMBB 切片，對于實時性及可靠性要求較高的可采用uRLLC 切片，既需要高清視頻監(jiān)控又需要實時性要求的可采用eMBB 和uRLLC 切片組合網(wǎng)絡(luò)，或者定制化網(wǎng)絡(luò)。水情系統(tǒng)目前mMTC 場景需求較少，但遙測站的物聯(lián)網(wǎng)應(yīng)用及邊緣計算功能未來可能會有些科研方面的需求。

總之，水情系統(tǒng)功能可以根據(jù)需求對網(wǎng)絡(luò)提出定制化要求，然后結(jié)合自身業(yè)務(wù)需求配置合理的網(wǎng)絡(luò)安全防護策略。

4 基于5G 技術(shù)組網(wǎng)的水情系統(tǒng)網(wǎng)絡(luò)安全防護策略

根據(jù)電力二次系統(tǒng)相關(guān)安全防護規(guī)定要求，應(yīng)用于電網(wǎng)及水電廠業(yè)務(wù)的水情系統(tǒng)建設(shè)應(yīng)符合電力系統(tǒng)相關(guān)安全防護規(guī)范[8]。安全防護技術(shù)可分為本體安全、結(jié)構(gòu)安全、基礎(chǔ)安全、安全免疫等四個方面，對于基于5G 組網(wǎng)的水情系統(tǒng)來說，重點需解決本體安全及結(jié)構(gòu)安全問題，本體安全主要涉及到遙測站硬件，結(jié)構(gòu)安全涉及到網(wǎng)絡(luò)安全隔離等內(nèi)容，下面就基于5G 組網(wǎng)的水情系統(tǒng)的遙測站本體安全防護及網(wǎng)絡(luò)結(jié)構(gòu)防護做進一步闡述。

4.1 基于5G 組網(wǎng)的水情系統(tǒng)遙測站本體安全防護

遙測站是水情系統(tǒng)重要組成部分，其網(wǎng)絡(luò)安全防護主要要求為本體安全，實現(xiàn)目標(biāo)為主板無惡意芯片、芯片無惡意指令以及操作系統(tǒng)無惡意后門。通過采用專用的具備自主知識產(chǎn)權(quán)的芯片，例如國產(chǎn)5G 芯片、RTU 芯片等，配合內(nèi)嵌的專用操作系統(tǒng)，結(jié)合安全可靠的指令集，建立安全的通信總線策略，可以很大程度保障遙測站的本體安全，防止信息泄露及漏洞攻擊?；?G 組網(wǎng)的水情系統(tǒng)遙測站本體安全防護架構(gòu)可見圖1。

圖1 遙測站本體安全防護架構(gòu)圖

4.2 基于5G 組網(wǎng)的水情系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)安全防護

水情系統(tǒng)可以采用租用5G 公網(wǎng)和專用切片方式進行組網(wǎng)。從網(wǎng)絡(luò)安全角度來講，采用專用5G 網(wǎng)絡(luò)切片可以實現(xiàn)網(wǎng)絡(luò)的物理隔離，具有較高的安全性，而且電力切片也通過了相關(guān)的測試[9]。以5G 電力切片組網(wǎng)的水情系統(tǒng)為例，網(wǎng)絡(luò)結(jié)構(gòu)圖及安防配置圖見圖2。

圖2 5G 電力切片組網(wǎng)的水情系統(tǒng)及安全防護配置

由于采用專用的eMBB、uRLLC 等場景電力切片，安全性能得到很好的保障。結(jié)合運營商的網(wǎng)絡(luò)安全防護策略，水情系統(tǒng)在eMBB 場景下需在服務(wù)器層面做好遙測站安全認證，在防火墻層面做好入侵檢測防護，從而防止高清視頻等信息泄露，阻止網(wǎng)絡(luò)入侵；在uRLLC 場景下服務(wù)器應(yīng)采用輕量接入認證方式，以滿足低時延要求，減少系統(tǒng)資源耗費，同時業(yè)務(wù)加密秘鑰也采用低時延秘鑰，做到關(guān)鍵數(shù)據(jù)保護；在mMTC 場景下做好服務(wù)器層面的群組認證，在防火墻層面采用動態(tài)防御策略，用于防止大量遙測站的DDOS 攻擊。另外對于網(wǎng)絡(luò)專用場景切片，每個遙測站都有固定的IP 地址，可以統(tǒng)一在防火墻層面做好IP 地址綁定，做到IP 地址隔離防護。

電力系統(tǒng)的水情數(shù)據(jù)首先接入水情系統(tǒng)安全接入?yún)^(qū)，然后通過反向隔離裝置單向?qū)懭胨橄到y(tǒng)安全生產(chǎn)II 區(qū)數(shù)據(jù)庫。

4.3 水文系統(tǒng)與電力系統(tǒng)通信的網(wǎng)絡(luò)結(jié)構(gòu)安全防護

部分水文局因業(yè)務(wù)需求，有時會與電廠或電網(wǎng)水情系統(tǒng)進行數(shù)據(jù)交互，傳統(tǒng)水文部門與電力部門常采用公網(wǎng)或?qū)＞€方式與電力部門進行組網(wǎng)，未來也可采用5G 通道進行兩個部門間的通道連接，水文系統(tǒng)與電力系統(tǒng)采用5G 組網(wǎng)通信的總體網(wǎng)絡(luò)結(jié)構(gòu)及安防配置圖見圖3。

圖3 水文系統(tǒng)與電力系統(tǒng)采用5G 組網(wǎng)通信及安防配置圖

因電力部門有安全分區(qū)要求，所以基于5G 通道進行信息交換水文系統(tǒng)與電力系統(tǒng)組網(wǎng)應(yīng)接入電力系統(tǒng)安全接入?yún)^(qū)。需特別指出的是5G 組網(wǎng)通信采用的DTU 應(yīng)支持RJ45 接口，即同時支持5G 通信及RJ45 網(wǎng)絡(luò)通信，以便于局域網(wǎng)組網(wǎng)及網(wǎng)絡(luò)安防策略配置。如采用5G 公網(wǎng)接入，為保證網(wǎng)絡(luò)安全應(yīng)配置VPN 設(shè)備，從而建立加密專用信道，5G 專用網(wǎng)絡(luò)切片接入也可按需配置VPN 設(shè)備用于提高網(wǎng)絡(luò)安全性。

5 結(jié)束語

基于5G 技術(shù)組網(wǎng)的水情系統(tǒng)有一定的前瞻性，相較于傳統(tǒng)的組網(wǎng)方式，5G 組網(wǎng)的水情系統(tǒng)將面臨更為嚴峻的網(wǎng)絡(luò)安全形勢，因此有必要對5G 組網(wǎng)的水情系統(tǒng)安全防護策略加以重視。基于 5G 網(wǎng)絡(luò)的 eMBB、mMTC、uRLLC 等 3 個主要應(yīng)用場景，水情系統(tǒng)在規(guī)劃時期可根據(jù)自身需求選擇適合業(yè)務(wù)需求的場景切片，重點從遙測站本體安全、網(wǎng)絡(luò)結(jié)構(gòu)安全等方面做好相應(yīng)的安全防護措施。

未來隨著5G 技術(shù)的應(yīng)用逐步開展，水情系統(tǒng)的業(yè)務(wù)部門可探索與運營商的定制化5G 網(wǎng)絡(luò)切片及網(wǎng)絡(luò)安防策略，一些網(wǎng)絡(luò)安全設(shè)備甚至可以采用虛擬化方式實現(xiàn)，通過定制化方式打造屬于自身的更為安全可控的專用5G 網(wǎng)絡(luò)切片，最大程度保障水情系統(tǒng)的網(wǎng)絡(luò)安全。