基于5G 技术组网的水情自动测报系统网络安全防护策略研究

孙卫军

（雅砻江流域水电开发有限公司，四川 成都 610000）

0 引言

水情自动测报系统（以下简称“水情系统”）是基于通信、网络、计算机及传感器技术，实现对水电站或水库所在流域内水文气象站点的降水量、水位等水文气象数据的实时采集、上报及处理的系统。因水情遥测站点分布广泛，部分站点位置偏远，水情系统通常采用无线通信方式组网。随着5G（5th generation mobile networks）通信技术的发展，采用5G 通信组网将成为未来水情系统的发展方向，基于5G 组网的水情系统相较传统无线通信组网方式的水情系统有更多优势，如实现超高清视频传输、遥测数据实时传输及遥测站远程实时维护等功能，但随之带来的网络安全防护问题将成为新的挑战，特别是考虑到2015 年乌克兰停电事件的影响，应用于电力系统的水情系统应特别防范网络安全风险。因此，采取何种策略来解决基于5G 组网的水情系统的网络安全防护问题将成为下一步研究重点。

1 水情自动测报系统的网络安全防护现状

水情自动测报系统传统通信组网方式为超短波(VHF，Very HighFrequency)、GSM、GPRS、卫星、光纤等信道组网[1]，部分库区站点条件允许也会采用光纤等有线通信方式组网。常见水情通信组网方式可分为三类。

（1）有线通信。有线通信方式常见于PSTN 与光纤组网。PSTN 即公共交换电话网络，受限于部署场景限制，早期水情测报系统组网设计会部分采用。光纤通信常见于有条件的电厂或水库周边站点，采用自建光纤信道的站点可靠性及安全性高，但成本投入较大。

（2）无线点对点通信。超短波、GSM、卫星通信为代表的点对点通信为水情系统常用通信组网方式，特别是偏远地区多采用GSM及北斗卫星作为主备信道组网。点对点通信无需接入公网环境，安全风险较低。

（3）GPRS、3G 及 4G 无线通信。GPRS 为目前应用广泛的公网接入水情系统组网方式，GPRS 组网有着实时在线、成本低等优点[2]。3G、4G 组网由于受信号覆盖面积及产品支持所限，应用可见于部分学术研究[3]以及少部分应用场景[4]，并未完全普及。GPRS 等通道因接入公网环境，有一定的安全风险。对于电力系统接入公网的无线通信组网方式，国家有关部门提出了安全接入区的概念并建立了相关标准[5]，对包括水情系统在内的采用无线通信组网方式的系统进行物理隔离。

2 5G 通信环境下的网络安全形势及应对策略

与前几代移动通信网络相比，5G 具备更高的网络传输带宽、更高的可靠性、更低的延时以及大规模物理设备通信特性[6]，5G 应用场景划分为增强移动宽带（eMBB）、海量设备通信（mMTC）、高可靠低时延（uRLLC）三类。由于5G面对不同的业务场景，因此每个场景需定制化自身的网络安全防护策略[7]，另外由于采用了网络切片技术，每个应用场景的安全防护策略将进一步细化，从而体现出垂直行业的特性。目前5G 三大场景的安全防护挑战及应对策略可见表1。

表1 5G 三大场景的安全防护挑战及应对策略

3 水情系统中应用5G 组网的优势分析与网络安全风险

与传统无线通信组网方式相比，5G 通信组网的水情系统有着更高的接入带宽，完全能满足水情数据传输需求，同时低时延高可用特性可使得数据传输无延迟，特别是对测站进行实时数据召测及远程参数设置时带来巨大的维护优势，5G 的网络切片功能能使得水情系统具备独立组网特性，可以说每一种5G 应用场景都能使水情系统组网定制化，但每种场景面临的网络安全风险也有区别，具体采用5G 组网的水情系统业务场景的优势及网络安全风险可见表2。

表2 采用5G 组网的水情系统业务场景的优势及网络安全风险分析

对于水情系统不同的业务都可以经由5G 网络切片承载，对于高清视频监控有要求较高的可采用eMBB 切片，对于实时性及可靠性要求较高的可采用uRLLC 切片，既需要高清视频监控又需要实时性要求的可采用eMBB 和uRLLC 切片组合网络，或者定制化网络。水情系统目前mMTC 场景需求较少，但遥测站的物联网应用及边缘计算功能未来可能会有些科研方面的需求。

总之，水情系统功能可以根据需求对网络提出定制化要求，然后结合自身业务需求配置合理的网络安全防护策略。

4 基于5G 技术组网的水情系统网络安全防护策略

根据电力二次系统相关安全防护规定要求，应用于电网及水电厂业务的水情系统建设应符合电力系统相关安全防护规范[8]。安全防护技术可分为本体安全、结构安全、基础安全、安全免疫等四个方面，对于基于5G 组网的水情系统来说，重点需解决本体安全及结构安全问题，本体安全主要涉及到遥测站硬件，结构安全涉及到网络安全隔离等内容，下面就基于5G 组网的水情系统的遥测站本体安全防护及网络结构防护做进一步阐述。

4.1 基于5G 组网的水情系统遥测站本体安全防护

遥测站是水情系统重要组成部分，其网络安全防护主要要求为本体安全，实现目标为主板无恶意芯片、芯片无恶意指令以及操作系统无恶意后门。通过采用专用的具备自主知识产权的芯片，例如国产5G 芯片、RTU 芯片等，配合内嵌的专用操作系统，结合安全可靠的指令集，建立安全的通信总线策略，可以很大程度保障遥测站的本体安全，防止信息泄露及漏洞攻击。基于5G 组网的水情系统遥测站本体安全防护架构可见图1。

图1 遥测站本体安全防护架构图

4.2 基于5G 组网的水情系统网络结构安全防护

水情系统可以采用租用5G 公网和专用切片方式进行组网。从网络安全角度来讲，采用专用5G 网络切片可以实现网络的物理隔离，具有较高的安全性，而且电力切片也通过了相关的测试[9]。以5G 电力切片组网的水情系统为例，网络结构图及安防配置图见图2。

图2 5G 电力切片组网的水情系统及安全防护配置

由于采用专用的eMBB、uRLLC 等场景电力切片，安全性能得到很好的保障。结合运营商的网络安全防护策略，水情系统在eMBB 场景下需在服务器层面做好遥测站安全认证，在防火墙层面做好入侵检测防护，从而防止高清视频等信息泄露，阻止网络入侵；在uRLLC 场景下服务器应采用轻量接入认证方式，以满足低时延要求，减少系统资源耗费，同时业务加密秘钥也采用低时延秘钥，做到关键数据保护；在mMTC 场景下做好服务器层面的群组认证，在防火墙层面采用动态防御策略，用于防止大量遥测站的DDOS 攻击。另外对于网络专用场景切片，每个遥测站都有固定的IP 地址，可以统一在防火墙层面做好IP 地址绑定，做到IP 地址隔离防护。

电力系统的水情数据首先接入水情系统安全接入区，然后通过反向隔离装置单向写入水情系统安全生产II 区数据库。

4.3 水文系统与电力系统通信的网络结构安全防护

部分水文局因业务需求，有时会与电厂或电网水情系统进行数据交互，传统水文部门与电力部门常采用公网或专线方式与电力部门进行组网，未来也可采用5G 通道进行两个部门间的通道连接，水文系统与电力系统采用5G 组网通信的总体网络结构及安防配置图见图3。

图3 水文系统与电力系统采用5G 组网通信及安防配置图

因电力部门有安全分区要求，所以基于5G 通道进行信息交换水文系统与电力系统组网应接入电力系统安全接入区。需特别指出的是5G 组网通信采用的DTU 应支持RJ45 接口，即同时支持5G 通信及RJ45 网络通信，以便于局域网组网及网络安防策略配置。如采用5G 公网接入，为保证网络安全应配置VPN 设备，从而建立加密专用信道，5G 专用网络切片接入也可按需配置VPN 设备用于提高网络安全性。

5 结束语

基于5G 技术组网的水情系统有一定的前瞻性，相较于传统的组网方式，5G 组网的水情系统将面临更为严峻的网络安全形势，因此有必要对5G 组网的水情系统安全防护策略加以重视。基于 5G 网络的 eMBB、mMTC、uRLLC 等 3 个主要应用场景，水情系统在规划时期可根据自身需求选择适合业务需求的场景切片，重点从遥测站本体安全、网络结构安全等方面做好相应的安全防护措施。

未来随着5G 技术的应用逐步开展，水情系统的业务部门可探索与运营商的定制化5G 网络切片及网络安防策略，一些网络安全设备甚至可以采用虚拟化方式实现，通过定制化方式打造属于自身的更为安全可控的专用5G 网络切片，最大程度保障水情系统的网络安全。