光伏制造業5G+工業互聯網安全解決方案

王亞東 陳中倩

中國電信股份有限公司鹽城分公司

0 引言

當前，我國高度重視5G與工業互聯網的融合發展，各省市也紛紛制定政策推進5G+工業互聯網的應用示范落地。5G作為工廠外網及內網的重要組成部分，將在標準標桿網絡、公共服務平臺、測試床等方面獲得國家項目及政策支撐。近年來，隨著5G與工業互聯網的蓬勃發展，網絡與信息安全面臨嚴峻挑戰。

1 問題描述

1.1 概述

2014年，阿特斯2GW光伏電池項目落戶阜寧，成立鹽城阿特斯協鑫陽光電力科技有限公司，占地面積350畝，注冊資本1.5億元。作為阿特斯布局在全球的十七家生產制造基地之一，該公司是一家集高效太陽能電池片的研發和生產為一體的高新技術企業。

2021年，鹽城電信與阜寧阿特斯陽光電力科技有限公司合作開展“5G+工業互聯網”融合應用項目，為其在生產高效太陽能電池片和相關組件領域提供5G技能加持，該項目總金額超過一千萬元。

1.2 網絡架構

阜寧阿特斯“5G+工業互聯網”融合應用項目采用比鄰模式組網，新建入駐式獨享UPF，企業內網出口路由器通過專線與UPF互聯。企業與UPF之間引入安全設備用于隔離網絡。終端安裝5G模組，通過5G專網實現與控制臺通信。

1.3 網絡與信息安全需求

用戶在5G定制網方面的安全需求共有四點：

（1）接入安全控制。為了確保5G終端的安全可信接入，本項目引入了基于5G的二次認證系統和平臺，企業可以基于安全控制需求實現如身份認證、機卡綁定、接入控制等不同功能，確保接入企業內部5G專網終端做到可信、可控、可管狀態。

（2）數據不出廠區。本項目采用下沉的獨享式UPF，實現數據不出廠區，直接在本地卸載流量，保證本地分流數據的安全可靠。

（3）人網與物網隔離。本項目通過劃分不同人網和物網專屬切片，提供人網與物網網絡通道隔離能力，實現人網與物網終端從接入側就相互隔離，確保接入企業內部網絡的終端設備獨立性，保證端到端網絡資源隔離。

（4）安全防護及數據冗余。本項目引入物理防火墻設備，確保跨域訪問安全，實現企業內網與大網的安全隔離。同時結合整套安全加固策略，實現虛擬化層以及設備硬件層的安全。部署2套及以上UPF，多鏈路對接企業內網，實現網絡資源冗余能力提高，確保企業數據冗余安全。

2 分析過程

在阜寧阿特斯“5G+工業互聯網”融合應用項目基礎上，鹽城電信圍繞光伏制造行業5G+工業互聯網的出發點和落腳點，提出光伏制造行業5G+工業互聯網安全解決方案的“六個安全方向”。

“六個安全方向”包括基礎設施安全、網絡接入控制安全、網絡隔離安全防護、業務安全隔離、傳輸安全和SIM卡安全，如圖1所示。

圖1 5G+工業互聯網安全解決方案

3 解決措施

3.1 基礎設施安全

廠區UPF部署在阿特斯廠內符合機房建設要求的獨立房間內，配備獨立門禁系統，為硬件設備安裝安全加固防護罩和安全鎖。下沉UPF節點機房遵照等級保護標準的要求設計物理環境安全，主要包括：（1）物理位置選擇在具備防震、防風、防雨等能力的建筑內；（2）物理訪問控制應配置電子門禁系統，控制、鑒別、記錄進出人員信息；（3）機房內部署完善監控體系7×24小時無死角監控硬件設備及人員操作行為；（4）機房內具備完善的電力供應、溫濕度控制、電磁防護能力。

3.2 網絡接入控制安全

本項目使用定制DNN及切片，所有終端號碼簽約定制DNN+切片，UPF僅支持該DNN及切片接入，實現僅允許授權用戶接入用戶網絡功能。在用戶網絡內設置DMZ域，新建一套二次認證AAA，當5G終端接入5G制造專網時，企業能自主對網絡、終端進行接入認證，防止因號卡被盜引起的惡意接入，5G網絡需提供必要認證信息。認證消息由SMF發出，通過N4接口由UPF透傳至二次認證AAA，有效規避大網設備與企業設備的直接對接。5G網路提供接口，當企業發現設備風險時，可進行阻斷接入、踢設備下線等操作。終端接入控制示意如圖2所示。

圖2 終端接入控制示意圖

3.3 網絡隔離安全防護

根據組網架構內不同網元的功能，將整個網絡劃分為UPF域、DMZ域、信任域，域/域邊界部署防火墻，提供邊界隔離，做好安全策略配置。實現區域邊界安全審計、惡意代碼防范等安全功能。

DMZ域內部署AAA-Proxy，支持二次認證業務流代理轉發，避免AAA服務器直接對外暴露。FW3后部署MSCG網關控制設備，結合二次認證，在終端訪問企業內網前，實現雙重網絡訪問控制。

部署MSCG帶來的價值：終端接入內網前的安全合規檢查與保證，認證前域ACL可以訪問的內容包含終端接入認證、安全檢測、安全修復等用途；基于角色的細顆粒度訪問控制，如不同安全等級業務區域訪問權限控制，隔離可訪問資源等。

基于MSCG的二次認證流程如圖3所示。

圖3 基于MSCG的二次認證流程圖

3.4 業務安全隔離

為了確保用戶業務的服務質量和數據隔離，項目啟用端到端切片，無線基站針對切片配置資源預留確保空口質量，承載網使用硬切片隔離，核心網使用共享/專用切片。

采用下沉的獨享式UPF，網絡側配置數據分流策略，本地做分流規則自檢與IP/FQDN一致性檢查，保證數據不出企業，確保本地分流數據的安全可靠。

獨享式UPF組網如圖4所示。

圖4 獨享式UPF組網示意圖

3.5 傳輸安全

終端和網絡之間進行雙向認證，防范偽基站。空口加密算法密鑰使用256bit密鑰，保障空口的機密性和完整性，用戶面具備完整性保護功能，使用IPsec保證傳輸安全。UPF和企業路由器間通過虛擬專用網打通，通過IPsec對數據進行加密。

3.6 SIM卡安全

天翼U盾SIMKEY+基于智能安全芯片，整合與手機安全有關的各方安全能力，為移動互聯網行業應用提供卡硬件級的身份安全服務。SIMKEY同時集成了通訊模塊、安全模塊，并內置于標準/Nano SIM/UIM卡內，在基本通訊功能之上，集成了標準U盾功能。SIMKEY+采用國密安全芯片，除具備金融二代盾的安全能力外，采用的國密芯片獲得芯片EAL4級認證及芯片銀聯認證；支持業界主流加解密算法DES/3DES/AES/RSA/ECC；支持國密算法SM1/SM2/SM3/SM4；支持標準CA證書管理。SIM卡安全保障如圖5所示。

圖5 SIM卡安全示意圖

4 經驗總結

該網絡安全解決方案具有企業端到端差異化安全隔離、企業終端接入安全多重防護、企業生產數據安全錨定的特點。

4.1 量身定制安全解決方案，為企業降本增效

充分利用省市兩級集約化安全防護能力，并加強5G+工業互聯網平臺針對性安全防護措施。相比企業實施端到端硬件部署，可節約成本70%以上。

4.2 落實企業端到端差異化安全隔離

劃分不同等級安全需求，提供邊界防護能力，包括基于企業角色實現細顆粒度訪問控制，基于不同安全等級業務區域實現訪問權限控制，基于不同業務資源實現安全隔離，保證了企業端到端差異化安全隔離。

4.3 確保企業生產數據安全錨定

通過5G雙向鑒權和AAA二次鑒權相結合，企業網絡可有效防御無線側惡意偽裝攻擊和不合法終端竊取企業網機密信息，接入安全得到有力保障。UPF和企業內網之間采用防火墻隔離，UPF的N3/N6口均可實現流量監控統計，可有效識別異常流量，并自證無外發流量。

5 結束語

此項安全解決方案能夠為企業降本增效，落實企業端到端差異化安全隔離，確保企業生產數據安全錨定，榮獲2021年全國工業互聯網安全技術應用及解決方案遴選賽“應用方案優勝獎”（排序第一位）。該方案在助力制造業企業高效率安全生產、加快制造業企業數字化轉型升級、實現全行業應用模塊化功能復制等方面可以發揮出重要作用，具有十分廣闊的推廣應用前景。