5G全連接工廠安全保障體系建設研究

劉曉曼 于青民

1 中國信息通信研究院 北京 100191

2 工業互聯網安全技術試驗與測評工業和信息化部重點實驗室 北京 100191

3 互聯網與工業融合創新工業和信息化部重點實驗室 北京 100191

引言

伴隨5G+工業互聯網加速向各行業各領域加速滲透應用，5G全連接工廠已成為“5G+工業互聯網”在工業企業內深度融合應用的重要演進方向，安全體系是保障5G全連接工廠有序建設的關鍵一環。從安全管理、安全技術、安全運行等視角出發，構建全方位的5G全連接工廠安全保障體系已成為大勢所趨。

1 亟需構建滿足5G全連接工廠建設的安全保障體系

1.1 5G全連接工廠建設的重要意義

5G全連接工廠是“5G+工業互聯網”應用由點到線及面的關鍵載體。一方面，5G全連接工廠將從工業企業的視角出發，以產線、車間、工廠為單位，深化工業互聯網在工業企業的落地，加快5G在工業企業的綜合部署應用。另一方面，5G全連接工廠建設與工業企業實際生產需求進行緊密結合，形成工廠建設或改造整體方案[1]。

5G全連接工廠建設和發展將為企業數字化轉型提供關鍵支撐，將為企業解決網絡互通、資源共享、IT/OT深度融合等相關問題做好技術支撐，促進數字孿生工廠建設，不斷滿足企業生產的無線化、柔性化、協同化等生產需求，從而提升企業生產工藝，達到提質降本增效效果。與此同時，工業企業、基礎電信企業、設備商等產業各方以5G全連接工廠建設為契機，加快網絡建設運維模式、商業模式等探索速度。

5G全連接工廠將開辟5G與工業互聯網融合發展的新賽道。5G全連接工廠建設是“5G+工業互聯網”512工程升級版的重要布局方向之一，促進5G在工業生產中由“局部單點”向“生產全局”、由“外圍應用”向“關鍵工序”的創新發展，進一步加快“5G+工業互聯網”新技術、新場景、新模式向工業生產各領域、各環節深度拓展。

1.2 構建5G全連接工廠安全保障體系的重要性

安全是發展的基本前提和重要保障。同步做好工業互聯網安全工作，開展戰略性、前瞻性、系統性部署，確保安全與發展同步實施，是在當前大融合大變革的歷史階段，落實國家總體安全觀、保障“兩個強國”建設的關鍵舉措，也是支撐我國當前重大戰略實施和未來長遠布局、搶占發展制高點的基礎保障，還是全面保障5G全連接工廠高質量建設的重要屏障。

加速構建5G全連接工廠安全保障體系是應對日益復雜的網絡安全形勢、筑牢網絡安全防線的必然要求。伴隨著全球網絡安全形勢的深刻變化以及工業互聯網等融合形態的快速發展，網絡安全內涵外延不斷擴展，網絡安全威脅風險逐漸向實體經濟的各行業領域、各產業鏈條滲透。5G全連接工廠作為當前及未來發展的重要方向，工廠內5G與工業系統的深度融合發展，勢必將大量的ICT系統威脅和挑戰帶入工業OT網絡，其安全挑戰更為艱巨，安全保障工作重要性和必要性凸顯。

2 5G全連接工廠安全防護分析

2.1 5G全連接工廠安全風險及問題分析

一是在接入安全方面，5G網絡增大了大量工業IT軟件漏洞被利用風險，5G mMTC場景下巨量泛在智能終端易被利用成為新攻擊源，終端應用場景多元但缺乏統一安全標識和認證管理機制，增加網絡管理難度。

二是控制安全方面，5G網絡打破相對封閉的工控空間，增大了工控協議與IT系統漏洞被利用風險，工業控制協議、控制軟件設計之初未考慮完整性、身份校驗等安全需求，應用軟件持續面臨病毒、木馬、漏洞等傳統安全挑戰。

三是網絡安全方面，5G網絡切片面臨非法訪問等切片間、切片內以及切面與DN網絡安全威脅；5G網絡采用 SDN等新技術，帶入網絡傳輸鏈路上的軟、硬件安全威脅；MEC節點安全能力不夠，易被攻擊，且5G核心網UPF下沉造成網絡邊界模糊[2]。

四是應用安全方面，工業互聯網企業開放平臺，運營商對數據的控制力減弱，數據泄露的風險增大；5G網絡能力開放架構面臨網絡能力的非授權訪問和使用、數據泄露等安全風險；邊緣云平臺(MEC)上應用程序缺陷，增加非授權訪問安全風險。

2.2 5G全連接工廠安全管理和安全防護的關鍵技術

工廠內以5G作為網絡支撐，以切片安全、通信安全等為主的5G網絡安全能力建設至關重要，同時還包括安全防護類、檢測類、監測類等關鍵防護技術。

安全監測類技術方面，以工業互聯網安全態勢感知為主，主要包括工業資產探測技術、蜜罐仿真技術和工業異常行為發現技術。工業資產探測技術指通過主動探測掃描資產，實現對工控設備資產的全面探測。蜜罐仿真技術指利用軟件代碼來模擬常見的工業控制系統服務或工控專用協議。工業異常行為發現技術指對工業數據包深度解析，結合工業異常行為規則庫發現網絡中的異常行為。

安全檢測類技術方面，主要包括基于模糊測試的工控漏挖和滲透測試技術。基于模糊測試的工控漏挖指通過生成畸形報文查看控制器狀態、測試協議的健壯性并發現其中的漏洞。滲透測試技術指形成工控系統漏洞知識庫，集成當前主流的商業或開源漏洞掃描器，實現掃描任務的插件化、腳本化。

安全防護類技術方面，主要包括工業防火墻技術、工業主機白名單技術、安全隔離與信息交換技術和輕量級密碼算法技術。工業防火墻技術指對工業流量數據包應用層深度解析，實現端口動態跟蹤等功能。工業主機白名單技術指對工業主機等允許運行程序、服務等建立白名單。安全隔離與信息交換技術指采用“2+1”結構，通過電子開關或專用數據通道進行數據擺渡。輕量級密碼算法技術指在工業設備中，應用基于標識的輕量級密碼算法。

5G網絡安全能力方面，主要包括切片安全、通信安全、5GC安全和邊緣計算安全。切片安全指采用移動網絡安全機制+網絡切片之間端到端安全隔離機制[3]。通信安全指采用身份鑒權+傳輸加密+網絡隔離策略。5GC安全指采取API接口安全+安全域劃分策略。邊緣計算安全指從物理、基礎設施、系統及平臺、業務及數據、管理與運維安全等端到端的安全解決方案[4]。隨著關鍵技術不斷發展，主動發現威脅和自動響應的能力也不斷提升。一是基于威脅情報智能分析助力態勢感知實現“智能化分析”“高度互聯及時響應”。二是未知威脅檢測將利用圖計算等挖掘安全威脅和隱藏的安全問題。三是包括基因檢測、沙箱檢測等的惡意代碼發現將持續應用。四是基于虛實結合的攻防靶場將通過搭建數字孿生體，實現工業現場“實景”攻防。五是基于安全編排的安全自動化響應將持續助力5G全連接工廠安全體系建設[5]。

3 5G全連接工廠安全保障體系構成

結合5G全連接工廠存在的安全風險和安全防護現狀，建立了由安全技術體系、安全運行體系和安全管理體系三大體系構成5G全連接工廠安全保障體系。

3.1 安全技術體系

安全技術體系重點包括接入安全、網絡安全、控制安全、應用安全和數據安全五部分。通過強化5G全連接工廠安全技術體系建設，保障5G全連接工廠在產線級、車間級、工廠級的生產、運營、管理等方面安全保障能力得到全面提升。接入安全方面應主要從終端設備自身、接入認證和訪問控制來保證終端接入的安全，包括終端自身的安全加固、鑒別機制和訪問控制策略等措施實現對終端接入的安全防護。網絡安全方面應通過采取通信和傳輸保護、邊界隔離(工業防火墻)、接入認證授權等安全策略，確保工廠內網安全、標識解析安全等；通過采取通信和傳輸保護、邊界隔離(防火墻)、網絡攻擊防護等安全策略，確保工廠外網安全、標識解析安全等。控制安全方面應通過采取控制協議安全機制、控制軟件安全加固、指令安全審計、故障保護等安全策略，確保控制軟件安全和控制協議安全。應用安全方面應通過采取用戶授權和管理、虛擬化安全、代碼安全等安全策略，確保平臺安全、本地應用安全、云化應用安全等。數據安全方面應通過采取數據防泄漏、數據加密、數據備份恢復等安全策略，確保包括數據收集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據銷毀安全、數據備份恢復安全在內的數據全生命周期各環節的安全，重點保障5G全連接工廠數據在遠程設備操控、無人智能巡檢、生產能效管控等場景的安全可靠。

此外，還應關注切片安全、邊緣計算安全等5G通用網絡安全技術。切片安全方面包括切片隔離、切片接入認證、安全機制的差異化、切片的通信安全、虛擬化安全等。切片隔離方面，每個切片都應具有獨立的安全策略，以穩固的方式相互隔離，并且當個用戶通過多個網絡切片訪問服務時，要提供切片間的安全隔離。切片接入認證方面，為確保能夠為用戶正確選擇和訪問切片，應將合適的網絡切片分配給適當的簽約用戶，要保證切片的接入認證安全；當用戶接入切片時，對切片進行注冊，通過切片訪問控制保證用戶接入正確切片，通過會話機制防止用戶的未授權訪問。安全機制的差異化方面，應為每個網絡切片定義不同的訪問安全機制及會話安全機會。切片的通信安全方面，應根據網絡切片功能的敏感級別和網絡租戶的需求，對網間切片接口和通信進行保護[6]。虛擬化安全方面，當使用虛擬機部署MEC應用和/或MEC平臺時，應支持虛擬機使用的vCPU、內存以及I/O等安全隔離，支持鏡像簽名，防止被非法訪問和篡改等；當使用容器部署MEC應用和/或MEC平臺時，應支持容器之間資源的安全隔離、鏡像倉庫安全等。邊緣計算安全方面包括物理安全、通信安全、身份認證與鑒權和訪問控制、API接口安全等。物理安全方面，邊緣計算設施應放置在運營商可控、并滿足基本物理安全的機房。通信安全方面，邊緣計算應支持安全通信功能，盡量不使用明文通信。身份認證與鑒權和訪問控制方面，應對權限和密碼進行安全管理，并保障配置正確。API接口安全方面，應在開放的API接口設計和實現過程中充分考慮安全認證，防止出現未授權訪問安全漏洞，開發后應實施漏洞掃描和滲透測試。

3.2 安全運行體系

安全運行體系重點包括風險評估、安全監測、應急響應、威脅共享和安全審計等。風險評估方面應通過采用定性或定量的分析方法對安全事件造成的各種影響進行等級判斷，通過識別系統面臨的風險來制定相應的響應預案，當5G全連接工廠發生安全事件后，及時分析事件的影響范圍與程度，評估5G全連接工廠處置恢復方案的適用性與有效性，并依據安全事件處理評估結果進行持續修正優化[7]。安全監測方面應在5G全連接工廠內部部署相應的監測措施，主動發現來自系統內外部的安全風險，具體措施包括數據采集、收集匯聚、特征提取、關聯分析、狀態感知等，確保廠區智能物流、生產現場監測、機器視覺質檢等環節安全有序開展。應急響應方面應定期對應急計劃制度和應急預案進行評審和更新，制定應急預案培訓計劃，并向具有相應角色和職責的5G全連接工廠建設者提供應急培訓。各部門之間應協調開展應急演練，依據已建立的重大安全事件跨單位、跨區域聯合應急預案，定期進行應急預案的聯合演練。威脅共享方面應在一旦發現安全隱患威脅或者發生安全事件，應及時快速在5G全連接工廠范圍內進行威脅信息共享，最大程度降低可能帶來的安全損失。安全審計方面應根據業務運行情況建立較為完善的安全審計管理制度，對重要設備、平臺、系統等啟用安全審計功能，對重要的用戶行為和重要安全事件進行安全審計。部署安全審計工具，保護審計工具免受未授權訪問、修改、刪除或覆蓋等行為的破壞。建立配置管理制度，記錄和保存詳細配置信息。

3.3 安全管理體系

安全管理體系重點包括組織保障、制度建設和分類分級三部分。一是夯實組織保障基礎，涉及責任部門、人員管理和資金投入。責任部門方面應建立跨部門、跨職能的工業互聯網安全聯合管理團隊，聯合產業鏈上下游，建立工業互聯網安全防護聯合工作機制，明確工業互聯網安全管理責任人，落實工業互聯網安全責任制，部署工業互聯網安全防護措施。人員管理方面應建立安全崗位分類機制和人員審查制度，尤其對關鍵崗位的人員進行嚴格審查，在授權訪問系統及相關重要信息前進行人員審查，在人員離職或崗位調整時對其進行審查，保留所有工作人員(包括離職人員)的權限記錄，發生重大安全事故時進行監視和審查。資金投入方面應關注5G+工業互聯網和工業互聯網安全領域的政策文件，按照相關要求，加大在安全方向的資金投入。二是不斷完善制度建設，涉及安全規劃和安全管理制度建設。安全規劃方面應根據實際需求和發展規劃，制定詳實的5G全連接工廠安全保障規劃，明確當前需求和下一步發展要求，明確每個階段的安全發展目標、安全舉措等。安全管理制度建設方面應不斷建立健全工業互聯網安全管理制度，動態優化完善制度建設，全面提升安全綜合保障能力。三是持續優化分類分級管理，涉及自主定級、上報備案和規范落實。自主定級和上報備案方面應結合工業互聯網企業網絡安全分類分級評定規則，依據實際情況，開展網絡安全自主定級和上報備案工作，落實與自身等級相適應的安全防護措施，形成定級報告。在業務規模、服務范圍、服務對象等發生重大變化時，自變化之日起三十個工作日內重新定級，在自主定級后十個工作日內將定級結果報地方主管部門。規范落實方面應根據實際工作開展情況和發展規劃，嚴格按照工業互聯網安全防護規范要求，全面有序開展安全防護工作，動態優化調整規范落實流程，推動分類分級工作有序開展。

4 5G全連接工廠安全保障體系發展相關思考

當前，我國5G+工業互聯網發展處在蓬勃發展的關鍵時期，5G全連接工廠作為其在工廠的重要應用模式，安全問題應得到高度重視，政產學研用各方均應做好安全保障工作，有如下幾點思考。

4.1 強化安全管理，明確5G全連接工廠安全建設要點

2022年8月，工業和信息化部出臺了《5G全連接工廠建設指南》，提出加強網絡安全防護，提升安全管理水平和升級安全防護能力，初步明確了5G全連接工廠安全建設方向。接下來，需進一步研究制定5G全連接工廠安全保障體系相關工作機制，細化安全建設要點，指導企業有序開展5G全連接工廠安全保障建設工作。

4.2 完善安全標準，加速推進5G全連接工廠安全發展

根據《工業互聯網綜合標準化體系建設指南》《工業互聯網安全標準體系(2021年)》等相關標準文件，持續完善工業互聯網安全標準體系，加快推動更多5G+工業互聯網和5G全連接工廠安全防護、安全評估評測、安全評價等相關安全標準的研制發布，為5G全連接工廠安全體系建設指明方向，為5G+工業互聯網應用的安全高速發展保駕護航。

4.3 加強安全防護，提升5G全連接工廠安全保障能力

以5G自身安全能力為基礎，結合工業互聯網特征與運營模式，融合切片技術、邊緣計算、安全態勢感知等技術，提升網絡安全技術能力，同時做到安全防護、信息共享、協同處置的安全運行閉環，提升5G+工業互聯網安全保障能力，全面構建5G全連接工廠安全保障體系。

4.4 提升安全意識，推動5G全連接工廠安全高效建設

充分認識并把握好安全與發展的關系，5G全連接工廠相關企業應于移動運營商、設備提供商、安全服務商、監管機構等共同協作，建立跨部門、跨行業、跨平臺的工作機制，共同推動安全核心技術聯合攻關、共享安全技術資源，從而保障5G全連接工廠高效順暢建設。

5 結語

伴隨5G全連接工廠建設進程加快，安全保障體系作為其中關鍵的一環，其重要性日益凸顯，在充分認識5G全連接工廠安全風險和問題基礎上，構建包括安全管理體系、安全技術體系、安全運行體系的5G全連接工廠安全保障體系十分必要。為推動5G全連接工廠安全保障體系建設，應不斷強化安全管理、完善安全標準、加強安全防護、提升安全意識。