5G在核電領域的應用與安全方案

［摘 要］文章從核電領域的網絡安全需求、技術要求原則分析，論證了5G 網絡切片技術在核電領域應用方面的可行性，分析了5G 專網在核電領域的安全策略，總結并提出了核電領域5G 專網網絡安全方案。方案通過“一個中心、三重防護”思想來建立核電領域5G 網絡安全框架，為保障核電廠網絡安全以及后續核電廠建設5G 專網提供了思路和參考。

［關鍵詞］核電；5G ；網絡切片；總體原則；安全方案

［中圖分類號］TM623 ［文獻標志碼］A ［文章編號］2095–6487（2024）01–0077–04

受制于核電廠的特殊場景需求，目前我國已建成的大部分核電廠主要以有線廣播和固定電話為通信方式。第五代移動通信技術（5th Generation MobileCommunication Technology，以下簡稱“5G”）是一種融合大規模天線、非正交多址接入、高頻段信號傳輸、靈活頻譜共享等多種技術的網絡，具有大帶寬、高速率、低時延等特點。相較于傳統網絡，5G 的連接數更多、移動性更快、安全性更高，可承載未來核電廠更廣泛的數據傳輸和業務連接，滿足智能核電的發展需要。同時為積極響應國家戰略部署，選用5G 作為核電廠無線通信系統的主要技術將是核電領域的未來發展趨勢。

近年來，全球核電領域的重大網絡安全事件（如數據非法訪問、數據更改或數據泄漏等）頻發，引起大家的廣泛關注。同時，核電作為我國能源戰略中的重要組成部分，必須對網絡的安全性要求更為嚴格。基于核電領域的高安全性需求及5G 選型，核電廠需要建設5G 專屬網絡方案，實現核電內網數據與外網數據物理隔離、數據不出基地的需求，以此來保證其業務數據及網絡安全。

1 核電專網網絡安全需求

1.1 遵循核電專網的安全防護原則

根據《電力監控系統安全防護規定》（國家發展和改革委〔2014〕第14 號令）及《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全〔2015〕36 號）等相關規定，電力監控系統安全防護的總體原則為“安全分區、網絡專用、橫向隔離、縱向認證”，具體內容見表1。

1.2 滿足等保2.0三級要求

T/CNEA 006.3—2021《核電廠無線通信系統技術與管理規范 第3 部分：網絡安全》指出，核電廠無線通信系統的安全保護等級不應低于第二級（等保2.0第二級）。結合總體安全性及實際應用考慮，核電部分業務系統需要滿足GB/T 22239—2019《信息安全技術網絡安全等級保護基本要求》中第三級安全要求的相關規定。技術層面的要求分為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等方面。其中安全物理環境包括系統管理、審計管理、安全管理、集中管控4 個控制點；安全通信網絡包括網絡架構、通信傳輸、可信驗證3 個控制點；安全區域邊界主要包括邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證6 個控制點；安全計算環境主要包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護11 個控制點；安全管理中心主要包括系統管理、審計管理、安全管理及集中管控4個控制點。管理層面的要求分為安全運維管理、安全建設管理、安全管理人員、安全管理機構、安全管理制度等方面。

2 核電領域5G專網網絡安全隔離技術

橫向隔離作為核電安全防護體系構建的重要橫向防線，網絡安全技術達到“橫向隔離”的技術要求將是鑒定該技術方案可行的必要條件。

2.1 隔離相關定義

《計算機信息系統國際聯網保密管理規定》（國保發〔1999〕10 號）中規定：“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其他公共信息相連接，必須實行物理隔離”。GA 370—2001《端設備隔離部件安全技術要求》將物理隔離定義為公共網絡和專網在網絡物理連線上是完全隔離的，且沒有任何公用的存儲信息。2016 年發布在期刊《信息安全與通信保密》的《網絡安全物理隔離技術分析及展望》中，將網絡物理隔離定義為：通過一定技術方式使得多個不同范疇的網絡系統（含設備、線路、存儲、外設等）均相對獨立地組合。

2.2 核電5G網絡隔離

針對核電領域，根據《電力監控系統安全防護總體方案》（國能安全〔2015〕36 號）要求，生產控制大區和管理信息大區之間的業務需要物理隔離，對于后續生產控制大區部分業務需要5G 來承載，這就要求不同分區業務之間需要進行物理隔離，相同分區之間的不同業務需要進行邏輯隔離，即網絡不僅要實現物理隔離，也要實現邏輯隔離。

核電領域在實際網絡布置過程中，生產控制大區和管理信息大區實施物理隔離，Ⅰ區和Ⅱ區之間實施邏輯隔離，Ⅲ區和Ⅳ區之間實施物理隔離，各分區如圖1 所示。

2.3 5G網絡切片技術的端到端隔離

5G 網絡切片技術的發展給各領域存在差異性的業務通信帶來了新的生機。目前在電力系統領域，5G網絡切片技術極大程度地滿足了各個場景之間的靈活切換，能更好地服務于電力系統各個業務。其可以打造電力專網，為不同場景劃分不同的切片，實現公網專用，達到與“專網”近乎等同的安全性。基于此，5G網絡切片技術在核電領域的適用性、可靠性將是首要研究目標。5G網絡切片技術的端到端隔離可分為RAN（無線接入網）隔離、承載隔離及核心網隔離，5G網絡切片端到端模型如圖2所示。

（1）RAN 隔離。網絡切片在RAN 側的隔離主要面向無線頻譜資源及基站處理資源。

（2）承載隔離。在承載網的隔離可通過軟隔離和硬隔離兩種方案實現。軟隔離方案基于現有網絡機制，通過VLAN（虛擬局域網）標簽與網絡切片標識的映射實現；硬隔離方案則引入FlexE（靈活以太網）技術，基于以太網協議，在L1（PHY）和L2（MAC）層之間創造另一“墊層”，實現FlexE 分片。

（3）核心網隔離。在核心網側的隔離需要采用網絡切片間隔離、網絡功能隔離及網絡切片與用戶隔離等多重隔離機制。

2.4 總結

傳統意義上的物理隔離是網絡物理連線上完全隔離，且沒有任何公用的存儲信息。目前5G 網絡切片在無線接入網、承載網、核心網的隔離主要依托于邏輯隔離形成多個隧道進行不同業務承載，屬于邏輯隔離。若要實現物理隔離，則部署成本會很高，且資源利用效率會很低。綜上，按照傳統意義的物理隔離，5G 網絡切片技術目前并不滿足核電領域網絡安全技術的橫向隔離要求。

3 核電領域5G專網網絡安全策略

3.1 終端安全策略

現階段，終端安全可采用以下措施：打造基于統一認證框架的零信任架構統一數字身份安全認證云服務平臺，利用運營商SIM 移動通信手機卡（USIM）安全生產環境，通用引導架構（GBA）的開放化運營商級鑒權的優勢，以新型標識密碼技術為核心，提供統一高效的數字身份認證和安全管控能力，覆蓋端—管—云—網全鏈的安全能力，實現設備的安全身份認證與零信任管控，保障終端的安全數據傳輸。

3.2 接入網安全策略

現階段，可從5G 無線接入認證框架、5G 無線空口加密與完整性保護及無線接入隱私保護技術3 個方面，進行5G 接入網的安全防護技術策略部署。

3.3 邊緣計算網安全策略

通過在邊緣計算環境部署采集、監測、引流、阻斷、智能分析、自動化編排等設備，對邊緣計算環境各種網絡攻擊行為進行深度感知，通過快速有效的處置技術保護用戶部署在邊緣計算節點的各類應用，降低對邊緣計算環境的威脅。

3.4 核心網安全策略

需從接入安全、網絡安全、管理安全和能力開放安全及數據安全4 方面考慮，采取雙向認證、劃分不同的網絡平面、差異化訪問等策略，部署多重防護機制。

3.5 承載網安全策略

對于5G 承載網，網絡邊界設備可能存在安全風險。可采用VPN（虛擬網絡專線）、支持SDN（軟件定義網絡）、網絡邊界等部署IACL（信息保障控制語音）等策略。

4 核電領域5G專網網絡安全方案

4.1 設計思路

根據《電力監控系統安全防護規定》（國家發展和改革委〔2014〕第14 號令）的原則，以及T/CNEA006.3—2021《核電廠無線通信系統技術與管理規范第3 部分：網絡安全》GB/T 22239—2019《信息安全技術網絡安全等級保護基本要求》第三級安全的有關要求，核電領域5G 網絡安全框架主要按照“一個中心，三重防護”的思想進行設計，如圖3 所示。

“一個中心，三重防護”設計思想要求安全建設包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心部分。其中安全物理環境由機房基建完成，本方案重點關注安全通信網絡、安全區域邊界、安全計算環境、安全管理中心部分。

4.2 方案描述

根據核電業務需求，核電領域5G 網絡主要承載Ⅲ區業務，則5G 和Ⅲ區業務安全邊界采用相關安全設備實現邏輯隔離。具體架構如圖4 所示。

（1）安全通信網絡主要由核心、匯聚、接入設備組成，提供基礎網絡架構，并保障通信傳輸數據的完整性、保密性。

（2）安全區域邊界主要由出口邊界、系統服務器區邊界、5G 網絡接入區邊界構成，主要部署防火墻、入侵防御等設備，實現邊界防護、訪問控制及網絡安全審計等功能。

（3）安全計算環境主要由業務應用系統組成，統一進行身份鑒別、系統訪問控制，并提供信息保護，保障業務系統數據的完整性、保密性。

（4）安全管理中心主要由準入網關、態勢感知、漏洞掃描、防病毒、行為管理等安全設備組成，對網絡鏈路、網絡設備、安全設備等進行集中監測管控，并提供系統管理、審計管理、安全管理。

5 結束語

從5G 時代核電領域網絡安全需求出發，結合我國要求的電力監控系統安全防護總體原則，論證了5G 網絡切片技術在核電領域業務的安全適用性。結合5G 網絡在核電領域的安全策略，從“一個中心，三重防護”的思想出發，提出核電5G 系統應用網絡安全防護方案，滿足了我國現行對于核電領域的標準要求，方案具有可行性。目前，對于網絡切片安全隔離機制以及網絡切片面臨的其他潛在安全問題還需要深入研究和試驗，5G 及5G 網絡切片在核電領域的深度應用仍需進一步研究和探索。

參考文獻

[1] 姜振海，張作良，谷東偉，等. 光伏板表面無水除塵裝置優化設計[J]. 機械工程師，2021（2）：11-14.

[2] 孟佳，鄧曉飛. 魏巍. 核電廠5G 無線通信系統的網絡安全研究[J]. 儀器儀表用戶，2021，28（12）：41-45.

[3] 王永建，楊建華，郭廣濤，等. 網絡安全物理隔離技術分析及展望[J]. 信息安全與通信保密，2016（2）：117-122.

[4] 李挺，趙俠，陳其銘，等.5G 網絡切片在電力行業的應用[J].電信工程技術與標準化，2020，33（1）：15-18.

[5] 毛玉欣，陳林，游世林，等.5G 網絡切片安全隔離機制與應用[J]. 移動通信”網絡安全”專題，2019（10）：33-37.

[6] 馮登國，徐靜，蘭曉.5G 移動通信網絡安全研究[J]. 軟件學報，2018，29（6）：1819-1822.

[7] 陽陳錦劍，余曉光，余瀅鑫，等.5G 無線接入網安全研究[J].信息安全研究，2021，7（5）：459-465.

[8] 孫雷劍，何欣陽.5G 環境的邊緣計算安全[J]. 通信管理與技術，2021，6（3）：51-53.

[9] 馬洪源，吳星培，李晗，等. 淺析5G 核心網網絡安全[J].電信工程技術與標準化，2021，10（34）：86-90.