近日，在中國移動5G+工業(yè)互聯(lián)網(wǎng)推進大會上,，中國移動聯(lián)合中興通訊,、中國信通院、北京郵電大學(xué),、三一重工,、鞍鋼集團等單位共同發(fā)布了《5G+工業(yè)互聯(lián)網(wǎng)安全白皮書》（以下簡稱“白皮書”）。白皮書旨在推進5G+工業(yè)互聯(lián)網(wǎng)安全的標(biāo)準(zhǔn)化建設(shè),，促進5G與工業(yè)互聯(lián)網(wǎng)深度融合的安全保障水平,，加速推動“中國制造”向“中國智造”轉(zhuǎn)型，助力實體經(jīng)濟高質(zhì)量發(fā)展,。白皮書針對智能制造,、電網(wǎng)、礦山,、港口等工業(yè)垂直行業(yè)在引入5G后的普適性安全需求,，為5G+工業(yè)互聯(lián)網(wǎng)應(yīng)用場景的安全防護提供參考。

5G 賦能工業(yè)互聯(lián)網(wǎng)帶來新的安全挑戰(zhàn)

5G以其高帶寬,、低時延,、海量連接等特性將大幅提升工業(yè)互聯(lián)網(wǎng)的信息化水平,，逐步成為支撐工業(yè)生產(chǎn)的基礎(chǔ)設(shè)施。5G與工業(yè)系統(tǒng)的深度融合勢必將大量的ICT系統(tǒng)威脅和挑戰(zhàn)帶入工業(yè)OT網(wǎng)絡(luò),，使得5G+工業(yè)互聯(lián)網(wǎng)與傳統(tǒng)的工控系統(tǒng)安全和互聯(lián)網(wǎng)安全相比,，其安全挑戰(zhàn)更為艱巨。白皮書根據(jù)防護對象不同,，分別從以下五個層面分析了5G與工業(yè)互聯(lián)網(wǎng)融合面臨的安全威脅,。

在工業(yè)網(wǎng)絡(luò)方面，5G 采用網(wǎng)絡(luò)切片,，為不同工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)提供差異化的服務(wù),，因此對網(wǎng)絡(luò)的安全隔離能力提出更高的要求。其面對的安全挑戰(zhàn)包括非法訪問,、資源爭奪,、非法攻擊等切片間安全威脅，不同安全域間的非法訪問,、用戶數(shù)據(jù)被竊聽,、針對公共NF 的拒絕服務(wù)攻擊等切片內(nèi)安全威脅，外部網(wǎng)絡(luò)的非法訪問,、病毒木馬攻擊等切片與DN 網(wǎng)絡(luò)間的安全威脅,，非法租戶的非法訪問、管理員權(quán)限濫用,、切片敏感信息的篡改等切片管理的安全威脅等,。

在控制安全方面，工業(yè)控制協(xié)議,、控制平臺,、控制軟件在設(shè)計之初可能未考慮完整性、身份校驗等安全需求,。為此,，其授權(quán)與訪問控制不嚴(yán)格，身份驗證不充分,，配置維護不足,，憑證管理不嚴(yán)。應(yīng)用軟件也持續(xù)面臨病毒,、木馬,、漏洞等傳統(tǒng)安全挑戰(zhàn)。5G 網(wǎng)絡(luò)使得原來不聯(lián)網(wǎng)或相對封閉的控制專網(wǎng)連接到互聯(lián)網(wǎng)上,，無形中增大了工控協(xié)議與IT 系統(tǒng)漏洞被利用風(fēng)險,。

在數(shù)據(jù)安全方面，5G 網(wǎng)絡(luò)基于NFV,、云計算,、虛擬化技術(shù)使得安全邊界模糊,，流量不可見。MEC 節(jié)點位于網(wǎng)絡(luò)邊緣,，處于運營商控制較弱的開放網(wǎng)絡(luò)環(huán)境中,，數(shù)據(jù)竊取、泄露的風(fēng)險相對較高,。工業(yè)互聯(lián)網(wǎng)的多業(yè)務(wù)場景要求安全與業(yè)務(wù)需求,、接入技術(shù)、終端能力等相結(jié)合,，為此對數(shù)據(jù)管控有更嚴(yán)格的要求,，要求企業(yè)數(shù)據(jù)不出園區(qū)。這對MEC 中數(shù)據(jù)存儲,、傳輸,、處理的安全性提出了較高的要求。

在接入安全方面,，5G 網(wǎng)絡(luò)增大了大量工業(yè)IT 軟件漏洞被利用風(fēng)險,。5G 開啟了萬物互聯(lián)時代，5G 與工業(yè)互聯(lián)網(wǎng)的融合使得海量工業(yè)終端接入成為可能,，同時也帶來攻擊風(fēng)險點的增加,，終端設(shè)備本身，包括所用芯片,、嵌入式操作系統(tǒng)、編碼規(guī)范,、第三方應(yīng)用軟件以及功能等,，均存在漏洞、缺陷,、后門等安全問題暴露在相對開放的5G 網(wǎng)絡(luò)中,，存在被利用的風(fēng)險。

在應(yīng)用安全方面,，5G 網(wǎng)絡(luò)基于網(wǎng)絡(luò)能力開放技術(shù),，與工業(yè)互聯(lián)網(wǎng)深度融合，使得工業(yè)互聯(lián)網(wǎng)可以充分利用其網(wǎng)絡(luò)能力靈活開發(fā)新業(yè)務(wù),。攻擊者可以利用5G 網(wǎng)絡(luò)能力開放架構(gòu)提供的應(yīng)用程序編程接口（API）對網(wǎng)絡(luò)進行拒絕服務(wù)攻擊,。另外，多個應(yīng)用間也存在互相非法訪問的安全風(fēng)險,。5G 網(wǎng)絡(luò)能力開放架構(gòu)面臨網(wǎng)絡(luò)能力的非授權(quán)訪問和使用,、數(shù)據(jù)泄露、用戶和網(wǎng)絡(luò)敏感信息泄露等安全風(fēng)險,。邊緣云平臺（MEC）及服務(wù)也面臨著虛擬化中常見的違規(guī)接入,、內(nèi)部入侵等內(nèi)外部安全挑戰(zhàn),，特別是MEC上應(yīng)用程序缺陷，增加了非授權(quán)訪問風(fēng)險,。

一體化的5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)

5G 與工業(yè)互聯(lián)網(wǎng)的融合,，信息安全涉及到工業(yè)互聯(lián)網(wǎng)的各個層面，單一的安全解決方案不能滿足工業(yè)互聯(lián)網(wǎng)信息安全的需要,，需要統(tǒng)籌考慮,，建立統(tǒng)一的安全防御體系。另外,，5G+工業(yè)互聯(lián)網(wǎng)安全工作需要從制度建設(shè),、產(chǎn)業(yè)支持等更全局的視野來統(tǒng)籌安排，讓更多企業(yè)意識到信息安全的必要性與緊迫性,，加強安全管理與風(fēng)險防范控制,。通過構(gòu)建統(tǒng)一的工業(yè)互聯(lián)網(wǎng)信息安全保障體系，較為全面覆蓋接入,、網(wǎng)絡(luò),、控制、數(shù)據(jù)等安全風(fēng)險,，才能夠有效地保障5G引入后的工業(yè)互聯(lián)網(wǎng)安全,。基于此,，白皮書給出以下5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu),。

圖1：5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)

一體化的5G+工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)以5G 自身安全能力為基礎(chǔ)，以我國的安全政策,、相關(guān)法律和行業(yè)安全規(guī)劃為主要指導(dǎo)原則,，結(jié)合工業(yè)互聯(lián)網(wǎng)實際應(yīng)用場景安全需求，通過融合創(chuàng)新,，將零信任,、內(nèi)生安全等前沿安全理念融入定制化安全方案中，在滿足相應(yīng)級別安全物理環(huán)境,、安全通信網(wǎng)絡(luò),、安全區(qū)域邊界、安全計算環(huán)境,、安全管理中心及管理部分要求基礎(chǔ)上,，最大程度發(fā)揮安全措施的保護能力。

定制的5G+工業(yè)互聯(lián)網(wǎng)場景化安全能力

5G 網(wǎng)絡(luò)為應(yīng)對新技術(shù)新架構(gòu)帶來的安全挑戰(zhàn),，參照相關(guān)5G安全規(guī)范,，同時遵循《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》，提供了無線接入安全,、5GC安全,、MEC安全,、切片安全及管理安全端到端的安全通信能力。但對于垂直行業(yè),，特別是對安全要求嚴(yán)苛的工業(yè)系統(tǒng),，5G 提供的基礎(chǔ)安全能力無法滿足不同業(yè)務(wù)場景下的安全需求。為此,，白皮書指出,，5G在使能工業(yè)互聯(lián)網(wǎng)的過程中，要以5G自身安全能力為基礎(chǔ),，結(jié)合工業(yè)互聯(lián)網(wǎng)特征與運營模式,，融合零信任、內(nèi)生安全等前沿安全技術(shù),，構(gòu)建定制化的5G+工業(yè)互聯(lián)網(wǎng)安全方案,，來滿足工業(yè)互聯(lián)網(wǎng)自身的等級保護要求。白皮書給出可從以下幾個方面進行定制化方案構(gòu)建：

差異化切片滿足企業(yè)網(wǎng)絡(luò)安全隔離需求,。根據(jù)行業(yè)的安全隔離要求和需要保障的關(guān)鍵SLA（服務(wù)等級協(xié)議）選擇不同類型的切片,，并進行參數(shù)配置，從資源隔離和業(yè)務(wù)保障的角度,，無線網(wǎng)絡(luò)可以提供多種切片隔離技術(shù),，從而提供差異化的網(wǎng)絡(luò)服務(wù)。不同業(yè)務(wù)系統(tǒng)可以根據(jù)自身需求選擇不同的網(wǎng)絡(luò)隔離方案,。

UPF下沉 +FlexE 支持企業(yè)低時延業(yè)務(wù)需求,。為了進一步降低端到端通信時延，可以將5G 網(wǎng)絡(luò)中UPF（用戶面功能）下沉到MEC, 通過將數(shù)據(jù),、應(yīng)用,、智能引入基站邊緣側(cè)，減少數(shù)據(jù)傳輸路由節(jié)點,，以降低端到端通信時延。另外,，在5G 網(wǎng)絡(luò)中采用FlexE 交叉技術(shù)來實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的信息傳遞,，它實現(xiàn)基于物理層的用戶業(yè)務(wù)流轉(zhuǎn)發(fā)，用戶報文在網(wǎng)絡(luò)中間節(jié)點無須解析,，業(yè)務(wù)流交叉過程近乎瞬間完成,，實現(xiàn)單跳設(shè)備轉(zhuǎn)發(fā)時延1~10us，有效解決時間報文的模擬,、欺騙,。

多重機制提供企業(yè)端到端數(shù)據(jù)安全保障。為降低5G行業(yè)應(yīng)用中數(shù)據(jù)安全風(fēng)險,，5G 提供了更強壯的數(shù)據(jù)安全保護方法,。白皮書從接入認(rèn)證,、訪問控制、數(shù)據(jù)傳輸方面給出建議,。采用切片二次認(rèn)證機制,，即在用戶接入網(wǎng)絡(luò)時所做認(rèn)證之后為接入特定業(yè)務(wù)建立數(shù)據(jù)通道而進行的認(rèn)證，從而保證企業(yè)對安全策略自主可控,；遵循最小權(quán)限授權(quán)原則,，為不同用戶分配不同的數(shù)據(jù)操作權(quán)限，避免不可靠來源用戶的接入,，提供選擇多種訪問控制方式,，另外，對關(guān)鍵敏感數(shù)據(jù)采用SHA256,、AES256 等加密算法進行加密存儲,；保護數(shù)據(jù)在網(wǎng)絡(luò)間傳輸，可采用5G 新增的安全邊緣保護代理功能,，以保護工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)產(chǎn)生,、處理、使用等環(huán)節(jié)的安全,。

零信任架構(gòu)增強海量終端的接入安全,。傳統(tǒng)安全采用邊界防護方式，即在網(wǎng)絡(luò)邊界驗證終端身份,，確定用戶是否被信任,。隨著攻擊方式和威脅多樣化，傳統(tǒng)網(wǎng)絡(luò)接入安全架構(gòu)凸顯出很大的局限性,，為此,，5G+工業(yè)互聯(lián)網(wǎng)安全架構(gòu)引入基于零信任安全理念，啟用新型身份驗證管理模式,，充分利用身份驗證憑據(jù),、設(shè)備、網(wǎng)絡(luò),、應(yīng)用等多種資源的組合安全邊界,。5G 工業(yè)互聯(lián)網(wǎng)零信任安全架構(gòu)下的終端安全接入不再以網(wǎng)絡(luò)邊界為限，無論來自企業(yè)網(wǎng)絡(luò)之外的用戶,，還是來自企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶,，在建立連接前均需進行認(rèn)證授權(quán)。5G 工業(yè)互聯(lián)網(wǎng)零信任安全架構(gòu),，使得原來的被動防御向主動防御轉(zhuǎn)變,，從邊界防御方式向內(nèi)生安全轉(zhuǎn)變，有力保障5G 網(wǎng)絡(luò)環(huán)境下海量行業(yè)終端的接入安全。

態(tài)勢感知保障網(wǎng)絡(luò)整體安全能力,。5G應(yīng)用于工業(yè)系統(tǒng)以后,，原有的被動式防御已不可靠，無法有效防止有組織的規(guī)模性攻擊,，迫切需要新的安全技術(shù),。5G工業(yè)互聯(lián)網(wǎng)態(tài)勢感知技術(shù)，可以覆蓋5G 資產(chǎn),，包括5GC網(wǎng)元,、切片、虛機,、物理機,、中間件等，并能將各層級資產(chǎn)進行關(guān)聯(lián),，根據(jù)資產(chǎn)關(guān)聯(lián)關(guān)系定位漏洞,、脆弱性與攻擊事件等威脅事件對業(yè)務(wù)的影響，能夠追蹤攻擊鏈定位威脅發(fā)生的源頭,，并分析可能的波及范圍,，根據(jù)資產(chǎn)價值及業(yè)務(wù)影響來確定處置方式與手段。另外,，態(tài)勢感知還可以基于對網(wǎng)絡(luò)攻擊事件的深度挖掘,，結(jié)合網(wǎng)絡(luò)的基礎(chǔ)設(shè)施情況和運行狀態(tài)，對網(wǎng)絡(luò)安全態(tài)勢做出評估,，對未來可能遭受的網(wǎng)絡(luò)攻擊進行預(yù)測,。

5G與工控系統(tǒng)的深度融合是工業(yè)互聯(lián)網(wǎng)提質(zhì)增效的關(guān)鍵，在融合過程中必然會帶來安全問題,。而要調(diào)和5G 網(wǎng)絡(luò)的開放性與工控協(xié)議的私密性,，特別是解決工控協(xié)議安全性較弱的問題，就必須要引入內(nèi)生安全防御的理念,，提升工業(yè)互聯(lián)網(wǎng)自身在安全設(shè)計方面的完備性,。另外，5G網(wǎng)絡(luò)的開放性,，將加速推動工業(yè)互聯(lián)網(wǎng)跨部門,、跨行業(yè)、跨平臺信息共享和聯(lián)動處置機制建立,，任何一個企業(yè)都很難進行單獨的防御，為此,，基于5G網(wǎng)絡(luò)的工業(yè)互聯(lián)網(wǎng)企業(yè),需要與移動運營商,、設(shè)備提供商、安全服務(wù)商、監(jiān)管機構(gòu)等建立協(xié)同機制,，共同應(yīng)對來自5G,、工業(yè)等跨領(lǐng)域、跨行業(yè)的安全挑戰(zhàn),。

目前5G工業(yè)互聯(lián)網(wǎng)安全防護發(fā)展尚處起步階段,。此次白皮書的發(fā)布，為5G賦能工業(yè)互聯(lián)網(wǎng)提供了安全參考,，隨著5G融入工業(yè)互聯(lián)網(wǎng)的廣度和深度持續(xù)增強,，有必要引入新的安全理念、安全技術(shù),，來不斷完善5G工業(yè)互聯(lián)網(wǎng)安全防護體系,，保障工業(yè)數(shù)字化轉(zhuǎn)型升級行穩(wěn)致遠。