光伏制造业5G+工业互联网安全解决方案

王亚东 陈中倩

中国电信股份有限公司盐城分公司

0 引言

当前，我国高度重视5G与工业互联网的融合发展，各省市也纷纷制定政策推进5G+工业互联网的应用示范落地。5G作为工厂外网及内网的重要组成部分，将在标准标杆网络、公共服务平台、测试床等方面获得国家项目及政策支撑。近年来，随着5G与工业互联网的蓬勃发展，网络与信息安全面临严峻挑战。

1 问题描述

1.1 概述

2014年，阿特斯2GW光伏电池项目落户阜宁，成立盐城阿特斯协鑫阳光电力科技有限公司，占地面积350亩，注册资本1.5亿元。作为阿特斯布局在全球的十七家生产制造基地之一，该公司是一家集高效太阳能电池片的研发和生产为一体的高新技术企业。

2021年，盐城电信与阜宁阿特斯阳光电力科技有限公司合作开展“5G+工业互联网”融合应用项目，为其在生产高效太阳能电池片和相关组件领域提供5G技能加持，该项目总金额超过一千万元。

1.2 网络架构

阜宁阿特斯“5G+工业互联网”融合应用项目采用比邻模式组网，新建入驻式独享UPF，企业内网出口路由器通过专线与UPF互联。企业与UPF之间引入安全设备用于隔离网络。终端安装5G模组，通过5G专网实现与控制台通信。

1.3 网络与信息安全需求

用户在5G定制网方面的安全需求共有四点：

（1）接入安全控制。为了确保5G终端的安全可信接入，本项目引入了基于5G的二次认证系统和平台，企业可以基于安全控制需求实现如身份认证、机卡绑定、接入控制等不同功能，确保接入企业内部5G专网终端做到可信、可控、可管状态。

（2）数据不出厂区。本项目采用下沉的独享式UPF，实现数据不出厂区，直接在本地卸载流量，保证本地分流数据的安全可靠。

（3）人网与物网隔离。本项目通过划分不同人网和物网专属切片，提供人网与物网网络通道隔离能力，实现人网与物网终端从接入侧就相互隔离，确保接入企业内部网络的终端设备独立性，保证端到端网络资源隔离。

（4）安全防护及数据冗余。本项目引入物理防火墙设备，确保跨域访问安全，实现企业内网与大网的安全隔离。同时结合整套安全加固策略，实现虚拟化层以及设备硬件层的安全。部署2套及以上UPF，多链路对接企业内网，实现网络资源冗余能力提高，确保企业数据冗余安全。

2 分析过程

在阜宁阿特斯“5G+工业互联网”融合应用项目基础上，盐城电信围绕光伏制造行业5G+工业互联网的出发点和落脚点，提出光伏制造行业5G+工业互联网安全解决方案的“六个安全方向”。

“六个安全方向”包括基础设施安全、网络接入控制安全、网络隔离安全防护、业务安全隔离、传输安全和SIM卡安全，如图1所示。

图1 5G+工业互联网安全解决方案

3 解决措施

3.1 基础设施安全

厂区UPF部署在阿特斯厂内符合机房建设要求的独立房间内，配备独立门禁系统，为硬件设备安装安全加固防护罩和安全锁。下沉UPF节点机房遵照等级保护标准的要求设计物理环境安全，主要包括：（1）物理位置选择在具备防震、防风、防雨等能力的建筑内；（2）物理访问控制应配置电子门禁系统，控制、鉴别、记录进出人员信息；（3）机房内部署完善监控体系7×24小时无死角监控硬件设备及人员操作行为；（4）机房内具备完善的电力供应、温湿度控制、电磁防护能力。

3.2 网络接入控制安全

本项目使用定制DNN及切片，所有终端号码签约定制DNN+切片，UPF仅支持该DNN及切片接入，实现仅允许授权用户接入用户网络功能。在用户网络内设置DMZ域，新建一套二次认证AAA，当5G终端接入5G制造专网时，企业能自主对网络、终端进行接入认证，防止因号卡被盗引起的恶意接入，5G网络需提供必要认证信息。认证消息由SMF发出，通过N4接口由UPF透传至二次认证AAA，有效规避大网设备与企业设备的直接对接。5G网路提供接口，当企业发现设备风险时，可进行阻断接入、踢设备下线等操作。终端接入控制示意如图2所示。

图2 终端接入控制示意图

3.3 网络隔离安全防护

根据组网架构内不同网元的功能，将整个网络划分为UPF域、DMZ域、信任域，域/域边界部署防火墙，提供边界隔离，做好安全策略配置。实现区域边界安全审计、恶意代码防范等安全功能。

DMZ域内部署AAA-Proxy，支持二次认证业务流代理转发，避免AAA服务器直接对外暴露。FW3后部署MSCG网关控制设备，结合二次认证，在终端访问企业内网前，实现双重网络访问控制。

部署MSCG带来的价值：终端接入内网前的安全合规检查与保证，认证前域ACL可以访问的内容包含终端接入认证、安全检测、安全修复等用途；基于角色的细颗粒度访问控制，如不同安全等级业务区域访问权限控制，隔离可访问资源等。

基于MSCG的二次认证流程如图3所示。

图3 基于MSCG的二次认证流程图

3.4 业务安全隔离

为了确保用户业务的服务质量和数据隔离，项目启用端到端切片，无线基站针对切片配置资源预留确保空口质量，承载网使用硬切片隔离，核心网使用共享/专用切片。

采用下沉的独享式UPF，网络侧配置数据分流策略，本地做分流规则自检与IP/FQDN一致性检查，保证数据不出企业，确保本地分流数据的安全可靠。

独享式UPF组网如图4所示。

图4 独享式UPF组网示意图

3.5 传输安全

终端和网络之间进行双向认证，防范伪基站。空口加密算法密钥使用256bit密钥，保障空口的机密性和完整性，用户面具备完整性保护功能，使用IPsec保证传输安全。UPF和企业路由器间通过虚拟专用网打通，通过IPsec对数据进行加密。

3.6 SIM卡安全

天翼U盾SIMKEY+基于智能安全芯片，整合与手机安全有关的各方安全能力，为移动互联网行业应用提供卡硬件级的身份安全服务。SIMKEY同时集成了通讯模块、安全模块，并内置于标准/Nano SIM/UIM卡内，在基本通讯功能之上，集成了标准U盾功能。SIMKEY+采用国密安全芯片，除具备金融二代盾的安全能力外，采用的国密芯片获得芯片EAL4级认证及芯片银联认证；支持业界主流加解密算法DES/3DES/AES/RSA/ECC；支持国密算法SM1/SM2/SM3/SM4；支持标准CA证书管理。SIM卡安全保障如图5所示。

图5 SIM卡安全示意图

4 经验总结

该网络安全解决方案具有企业端到端差异化安全隔离、企业终端接入安全多重防护、企业生产数据安全锚定的特点。

4.1 量身定制安全解决方案，为企业降本增效

充分利用省市两级集约化安全防护能力，并加强5G+工业互联网平台针对性安全防护措施。相比企业实施端到端硬件部署，可节约成本70%以上。

4.2 落实企业端到端差异化安全隔离

划分不同等级安全需求，提供边界防护能力，包括基于企业角色实现细颗粒度访问控制，基于不同安全等级业务区域实现访问权限控制，基于不同业务资源实现安全隔离，保证了企业端到端差异化安全隔离。

4.3 确保企业生产数据安全锚定

通过5G双向鉴权和AAA二次鉴权相结合，企业网络可有效防御无线侧恶意伪装攻击和不合法终端窃取企业网机密信息，接入安全得到有力保障。UPF和企业内网之间采用防火墙隔离，UPF的N3/N6口均可实现流量监控统计，可有效识别异常流量，并自证无外发流量。

5 结束语

此项安全解决方案能够为企业降本增效，落实企业端到端差异化安全隔离，确保企业生产数据安全锚定，荣获2021年全国工业互联网安全技术应用及解决方案遴选赛“应用方案优胜奖”（排序第一位）。该方案在助力制造业企业高效率安全生产、加快制造业企业数字化转型升级、实现全行业应用模块化功能复制等方面可以发挥出重要作用，具有十分广阔的推广应用前景。