基于5G的工業物聯網網絡安全威脅識別及消減建議

摘 要：隨著5G引入工業物聯網，網絡安全問題也隨之而來。文中提出基于5G的工業物聯網架構，從架構級開展STRIDE威脅分析，識別5G工業物聯網架構級剩余風險，從安全威脅消減的角度，提供5G專網、5G垂直行業特性的安全選擇建議，通過DMZ實現5G通信網與企業內網邊界防護，以及通過零信任實現物聯網海量設備身份認證。最后，提出了企業系統安全級別保持的應對策略，以期企業安全生產，穩定運行。

關鍵詞：工業物聯網；網絡安全；STRIDE；身份認證；5G專網；DMZ

中圖分類號：TP393；TN872 文獻標識碼：A 文章編號：2095-1302（2025）08-00-04

0 引 言

委內瑞拉電網大規模斷電、烏克蘭氯氣站被網絡攻擊以及震驚全球工業界的“震網病毒”，都在不斷警醒工業界網絡安全的重要性。

物理隔離是傳統工業系統普遍采用的安全策略，以保證敏感工業系統的網絡安全。2022年工信部正式發布《5G全連接工廠建設指南》，主要面向原材料、裝備、消費品、電子等制造行業，以及采礦、港口、電力等重點行業領域，推動企業開展5G全連接工廠建設，推動5G融合應用縱深發展，期望實現生產企業IT、OT融合，實現網絡架構扁平化。引入5G后，傳統工業物聯網架構發生變化，急需結合變更的網絡架構，正向分析潛在的網絡安全威脅，結合行業的重要性，實施相應的消減措施，有效保證工業物聯網的安全穩定。

1 基于5G工業物聯網架構及網絡安全威脅研究

參考分析工業物聯網架構[1-3]，輸出基于5G的工業物聯網架構如圖1所示。

相比傳統的工業物聯網，基于5G的工業物聯網架構主要引入了如下部分：

（1）感知層：主要引入兩大類設備。

①集成5G通信能力的工業設備，如5G攝像頭、5G無人礦卡、5G工業機器人[4]；

②具備5G通信能力的工業網關，為工業現場其他設備如儀器儀表、PLC等提供接入接口，實現工業數據的5G轉發。

（2）5G空口接入邊界：一般5G基站按照客戶覆蓋要求進行安裝部署，可能在公共開放區域（典型如石油石化、電力領域及礦山等），也可能在廠房內（典型如加工工廠）。

（3）網絡層：根據工業客戶網絡定制化程度的不同，分為虛擬5G專網、混合5G專網、獨立5G專網三種[4-6]，為工業客戶提供特定區域覆蓋、數據可靠傳輸、業務安全隔離、設備可管可控的基礎連接網絡，滿足工業客戶在組織、指揮、管理、生產、調度等環節的通信服務需求[5-6]。

（4） 5G網絡amp;企業內網邊界：通過專線等物理接入方式，實現感知層借助5G網絡與“企業內網”完成業務層面通信。

（5）企業內網：組網架構引入新的設備類型及通信方式，為內網的業務及組網帶來較大變化。

①業務變化：感知層新增支持5G的設備，需要優化物聯網設備管理，支持設備的統一管理；

②組網變化：傳統工業網絡業務數據從現場逐級向上匯集。基于5G新型工業網絡，業務數據匯集扁平化，直接通過專線進入企業信息中心。

采用微軟STRIDE威脅建模方法，結合“基于5G工業物聯網架構”的特點，在架構級抽象“5G網絡”“5G感知設備”“企業內網”三個關鍵邏輯元素。針對從業特點分析，三個關鍵邏輯元素在數據流圖中承擔“處理過程”和“外部實體”雙重角色，但作為抽象元素，每個元素可作多級展開，本文更關注架構級交互通信，將元素作為“外部實體”進行數據流圖分析。基于5G工業物聯網架構級數據流圖如圖2所示。

根據STRIDE威脅建模方法分析，“外部實體”需要分析“仿冒（S）”“抵賴（R）”兩種潛在威脅。“數據流”需要分析“篡改（T）”“信息泄露（I）”“拒絕服務（D）”三種潛在威脅。梳理5G工業物聯網架構潛在安全威脅分析見表1。

2 針對5G工業物聯網網絡安全威脅消減建議

本節針對表1分析識別的高風險威脅，提出相應的消減建議。

2.1 身份識別機制消減感知設備仿冒風險

企業內網識別5G傳感設備應涉及兩個層級：通信級和業務級。

針對“通信級”身份識別，建議采用IPv6通信[7]。基于IPv6地址的唯一性，可以準確識別“5G傳感設備”，從而解決IPv4網絡中因網絡地址轉換（NAT）導致的設備無法唯一識別的問題。

針對“業務級”身份識別：對于圖1中“直接接入（如5G攝像頭）”企業內網的設備，建議企業部署適用于工業物聯網的零信任[8]接入架構，以應對海量物聯網設備的安全接入；對于圖1中“間接接入（如PLC）”企業內網的設備，建議在其5G上位機中添加白名單化管理機制（如MAC白名單等），以便僅允許現場設備接入。

2.2 基于無證書的TLS機制消減感知設備和企業內網篡改及信息泄露風險

傳統的基于PKI/CA證書體系的TLS通信需要使用X.509證書格式，并要求設備具備證書更新機制，這對設備的計算能力要求較高，且通信機制較為復雜。然而，物聯感知設備通常對成本和功耗敏感，且接入設備數量龐大，因此不適合采用這種傳統的管理機制。建議采用基于CL無證書技術的TLS通信[9]，在滿足安全性需求的同時，也更符合行業的實際業務需求。

2.3 利用5G專網特性消減企業內網信息泄露風險

工業應用作為典型垂直行業，基于其業務特性，對網絡覆蓋、業務速率、業務實時性、數據安全隔離等要求特殊。5G專網通過資源和能力的定制，可以提供具備差異化的服務能力和服務質量保障。

2.3.1 5G專網選擇建議

應用于工業的5G專網，有三種部署方式：5G虛擬專網、5G混合專網和5G獨立專網。相應的安全特點及適用企業見表2。企業可結合自身網絡安全級別要求，選擇合適的5G專網部署。

2.3.2 5G網絡切片選擇建議

5G網絡切片將公共物理基礎設施資源切割成多個獨立的虛擬網絡，為不同行業提供獨立運行、相互隔離的定制化服務，以滿足垂直行業用戶的5G智能化要求。

從網絡安全的角度，不同切片類型有不同的安全級別，建議企業結合自身網絡安全級別要求，選擇合適的切片（參考表3）。

對于兼顧業務需求和建網成本并采用“邏輯隔離”方案的企業，如果其數據安全性要求較高，建議在端到端業務層面部署“縱向加密”機制，以有效降低網絡安全風險。

2.3.3 5G LAN建議

傳統的工業控制網絡，生產控制區、管理信息區在不同的VLAN域，以實現業務橫向隔離。5G網絡通過5G LAN機制實現二層協議傳輸，需要結合企業現有的VLAN域規劃，開展5G VN組規劃[10-11]，以保證二層VLAN域安全等級。

2.4 通信邊界防護消減企業內網DoS及信息泄露風險

5G通信需要實現運營商網絡與企業內網的互聯互通，這導致企業內網在安全威脅分析中面臨更大的攻擊面。為降低安全風險，建議在5G網絡與企業內網之間部署“DMZ區”（如圖3所示）。通過在DMZ區部署入侵檢測、入侵防御系統，可監視網絡流量，識別異常（如DoS攻擊）并實施必要的網絡安全保護措施。DMZ邊界入口部署防火墻或網閘，根據預定義的規則和策略，可保證經過授權的信息流入、流出企業內網，以防止信息泄露。

3 結 語

5G引入工業物聯網帶來了智能化升級的機會，但隨之而來的是安全相關問題。對于采用基于5G工業物聯網的企業，除了建網初期需要考慮網絡安全，在生產運行過程中，更要持續開展網絡安全基線自動檢查及預警、安全態勢感知、員工安全意識培訓等工作，必要時請第三方機構進行網絡安全保護等級評估及認證，以確保工業物聯網安全穩定運行，為工業生產提供穩定可靠的支持。

注：本文通訊作者為王運付。

參考文獻

[1]宋坤，劉吉寧. 5G賦能工業互聯網的應用研究與實踐[J].電信工程技術與標準化，2024，37（3）：75-82.

[2]楊炆坪. 5G網絡下的物聯網安全架構研究[J].信息記錄材料，2023，24（12）：56-58.

[3]黃廣山. 5G專網背景下的工業物聯網架構研究[J].網絡安全技術與應用，2021（5）：6-7.

[4]雒艷. 5G行業專網建設模式探索[J].價值工程，2023，42（24）：94-98.

[5]邢馨心，左青雅，劉建偉.基于5G的智慧機場網絡安全方案設計與安全性分析[J].網絡與信息安全學報，2023，9（5）：116-126.

[6]袁駿. 5G獨立專網在軍工行業智能化制造中的應用分析[J].通信與信息技術，2023（z1）：53-56.

[7]蔣馳，李國風，馬帥.典型工業企業IPv6安全自組織網絡解決方案[J].工業信息安全，2024（1）：41-51.

[8]王首媛，孫寧寧，曹盛.基于零信任架構實現的物聯網終端接入安全研究[J].郵電設計技術，2021（7）：13-18.

[9]張曉輝，王首媛，慕江林.基于CLA和TLS結合實現的物聯網通信安全研究[J].郵電設計技術，2021（7）：24-26.

[10]劉霞，陳禮波，王運付，等.工業物聯網終端5G LAN組網方案研究[J].郵電設計技術，2024（1）：83-87.

[11]王斌，朱佳，宗悅，等.智能化水電站5G網絡安全接入技術研究[J].水電站機電技術，2024，47（1）：26-28.