智能化水電站5G網絡安全接入技術研究

王 斌，朱 佳，宗 悅，廖偉清

（1.華東桐柏抽水蓄能發電有限責任公司，浙江 天臺 371200；2.中國電建集團華東勘測設計研究院有限公司，浙江 杭州311122；3.三峽大學電氣與新能源學院，湖北 宜昌 443002）

0 引言

水電站是重要的能源生產設施，在經濟建設、能源供應和環境保護上都具有重要意義。隨著國家對科技創新的政策支持，電力企業紛紛提出了建設“智慧電站”的計劃，明確了水電站智能化建設的發展方向[1]。依托各類數字化平臺的支撐，智能化水電站能夠實現各環節協同運行、智能交互，能源流、業務流、數據流多流融合，開放程度不斷提升，參與主體更加多樣化、交互方式更加智能化、融合數據更加豐富化[2]。

1 智能化水電站5G網絡安全需求

5G作為新一代移動通信技術，擁有其它傳統通信技術難以比擬的性能優勢，在全球范圍內得到了快速的發展[3]。5G采用全新的網絡架構，以高速率、低延時和大帶寬等顯著特點，開啟萬物廣泛互聯和人機深度交互的新時代。5G技術與水電站運維深度融合[4]，有效推動了智能化水電站的建設與發展，但也帶來了一些新的網絡安全風險，主要體現在以下幾個方面：

（1）5G網絡功能虛擬化和服務化架構技術使得原有網絡中基于功能網元進行邊界防護的方式不再適用，且其底層實現多使用開源軟件，出現安全漏洞的可能性加大。

（2）網絡切片基于共享硬件資源，在沒有采取適當安全隔離機制情況下，低防護能力切片易成為攻擊其他切片的跳板。

（3）邊緣計算在網絡邊緣、靠近用戶的位置上提供信息服務和計算能力，由于其設施通常會暴露在不安全環境中，受性能成本、部署靈活性等多種因素制約，存在接入認證授權、安全防護等多方面安全風險。

（4）網絡能力開放采用互聯網通用協議，與之前相對較為封閉的通信網絡相比，易將互聯網現有的各類網絡攻擊風險引入5G網絡。

此外，接入5G網絡的智能化水電站是典型的行業網應用[5]，與公眾網應用不同，智能化水電站5G網絡在資源隔離、安全保障、業務質量保障等方面均有較為嚴格的要求，而在智能電網應用層面，涉及到電網控制保護、設備狀態感知、傳感器數據采集等多種業務類型[6]，相應的對網絡的速率、帶寬、延時、丟包率等都有不同的要求。同時，運營商5G網絡對接智能化水電站應用時，水電站數據通過運營商網絡來承載和交互，將會涉及到水電站高度隱私和保密的生產系統以及內部數據，存在數據泄露的風險。

2 常用5G網絡防護策略

2.1 專網隔離

5G專用網絡是指使用5G技術在特定區域內創建的具有統一連接性、能夠優化服務和進行安全通信的網絡，本質上是為用戶提供定制化網絡通信服務的局域網，其結構圖如圖1所示，它與5G公用網絡的主要區別在于應用場景、網絡性質和服務內容等方面。

圖1 5G專用網絡部署結構圖

通過部署5G專用網絡，能夠為用戶提供定制化網絡服務，在實際應用中，通常是將用戶業務分為專網業務和公網業務，專網業務只在專用網絡內進行數據的傳輸和交互，避免公用網絡的干擾，實現專網隔離。

專網隔離的優勢主要有：

（1）專用網絡和公用網絡之間屬于物理隔離，可以有效防止來自互聯網的網絡攻擊，最大程度保障用戶網絡安全。

（2）專用網絡通常由獨立部署的5G網絡設備構建，與網絡運營商的網絡設施分離，即使公用網絡設施出現故障，用戶的5G專用網絡也可以正常工作。

（3）在專用網絡內進行網絡通信，屬于局域網通信，設備和應用程序服務器之間的網絡延遲相對公網通信大幅減小。

（4）從專用網絡設備上產生的數據流量和操作數據等信息，僅在用戶內部系統進行存儲和管理，可以保障用戶內部數據不外泄，實現完整的數據安全防護。

2.2 網絡切片

5G網絡切片是指將一個傳統意義上的物理網絡劃分成多個端到端的邏輯虛擬網絡，每個網絡切片都對應有接入網、傳輸網和核心網，而在各個網絡環節之間都存在邏輯隔離，可以適配各種類型服務的不同特征需求，從而滿足多業務應用。建立穩定、高速、實時的通信系統是建設智能電網的基礎，5G網絡切片能夠為不同行業、不同用戶、不同業務提供數據隔離、功能可定、質量有保障的網絡服務，在實現能源互聯網的基礎上提高電力系統的能源效率，圖2是典型的5G網絡切片示意圖。

圖2 典型的5G網絡切片示意圖

與傳統的物理專網相比，5G網絡切片是基于共享資源構建的虛擬化專用網絡。除了具備傳統移動網絡安全機制外，網絡切片還能提供端到端的安全隔離機制，具體表現為用戶可以接入一個或多個網絡切片，并實現不同切片之間的物理隔離，從而確保一個切片的故障或堵塞不會影響其它切片的正常工作。對于行業用戶而言，網絡切片有助于降低專用網絡建設和運營成本，同時能夠靈活地滿足動態變化的網絡需求。作為5G網絡技術的重要創新，網絡切片技術的應用為5G網絡和行業應用的深度融合奠定了堅實的基礎。

3 智能化水電站5G網絡安全接入方案

智能化水電站5G網絡安全接入的總體要求是根據智能化水電站場景需求實現分區安全接入、網絡隔離專用、數據可控、終端按需管控，同時通過必要的安全手段進行安全加固，在滿足電站業務隔離、防范非法終端接入、保護業務數據安全的同時，提升智能化水電站5G網絡安全防護能力。

結合專網隔離和網絡切片的特點，提出一種智能化水電站5G網絡安全接入方案，結構圖如圖3所示。首先根據水電站內的各種終端設備對5G網絡訪問需求的差異將設備數據分為專網數據和公網數據，并利用FLEXE技術構建兩條5G網絡傳輸通道分別傳輸這兩種數據，接著根據設備類型將專網數據進一步細分，再設置相互獨立的VPN來傳輸不同類別的數據，之后按類別在5G核心網中進行網絡切片，實現智能化水電站5G網絡的安全接入。

圖3 智能化水電站5G網絡安全接入方案結構圖

具體實施流程為：

（1）通過水電站內各終端設備對水電站的生產運行情況進行監測，并將工作數據利用5G基站傳輸至虛擬傳輸通道。

（2）根據終端設備數據是否需要接入互聯網中進行交互將水電站內終端設備數據分為專網數據和公網數據。

（3）利用FLEXE技術構建兩條傳輸通道分別傳輸專網數據和公網數據。

（4）按照水電站內終端設備的類型將不同的終端設備數據進一步細分，相應地設置多個相互獨立的VPN來管理不同類別的終端設備數據。

（5）通過各自VPN下的VLAN將終端設備數據傳輸至5G核心網。

（6）在5G核心網中設置兩個UPF，對專網數據和公網數據進行網絡切片。

（7）將切片處理的各終端設備數據傳輸至對應業務區進行后續的操作和處理。

其中，需要接入互聯網的終端設備數據歸類為公網數據，僅需在站區內進行傳輸交互的終端設備數據則為專網數據。而進一步細分的標準則表現為不同終端設備輸出數據的差異性，例如網絡攝像頭輸出視頻和圖像數據，而巡檢機器人和智能儀表等輸出數據主要是數值和狀態量，傳輸時對于網絡的速率、帶寬、時延、可靠性等有不同的要求，進一步劃分設備數據類型能夠提升數據傳輸的穩定性以及網絡資源利用率。

4 結語

5G技術是推動智能化水電站建設與發展的關鍵因素，本文針對現階段智能化水電站存在的5G網絡安全問題，介紹分析了專網隔離和網絡切片兩種5G應用中常用的網絡安全防護策略，進而提出了一種智能化水電站5G網絡安全接入方案，主要是根據水電站內的各種終端設備對5G網絡訪問需求的差異和終端設備的類型將數據分類，并構建不同的虛擬網絡傳輸通道來傳輸各類數據，接著在5G核心網中進行網絡切片，以此來實現智能化水電站5G網絡的安全接入。