5G全连接工厂安全保障体系建设研究

刘晓曼 于青民

1 中国信息通信研究院 北京 100191

2 工业互联网安全技术试验与测评工业和信息化部重点实验室 北京 100191

3 互联网与工业融合创新工业和信息化部重点实验室 北京 100191

引言

伴随5G+工业互联网加速向各行业各领域加速渗透应用，5G全连接工厂已成为“5G+工业互联网”在工业企业内深度融合应用的重要演进方向，安全体系是保障5G全连接工厂有序建设的关键一环。从安全管理、安全技术、安全运行等视角出发，构建全方位的5G全连接工厂安全保障体系已成为大势所趋。

1 亟需构建满足5G全连接工厂建设的安全保障体系

1.1 5G全连接工厂建设的重要意义

5G全连接工厂是“5G+工业互联网”应用由点到线及面的关键载体。一方面，5G全连接工厂将从工业企业的视角出发，以产线、车间、工厂为单位，深化工业互联网在工业企业的落地，加快5G在工业企业的综合部署应用。另一方面，5G全连接工厂建设与工业企业实际生产需求进行紧密结合，形成工厂建设或改造整体方案[1]。

5G全连接工厂建设和发展将为企业数字化转型提供关键支撑，将为企业解决网络互通、资源共享、IT/OT深度融合等相关问题做好技术支撑，促进数字孪生工厂建设，不断满足企业生产的无线化、柔性化、协同化等生产需求，从而提升企业生产工艺，达到提质降本增效效果。与此同时，工业企业、基础电信企业、设备商等产业各方以5G全连接工厂建设为契机，加快网络建设运维模式、商业模式等探索速度。

5G全连接工厂将开辟5G与工业互联网融合发展的新赛道。5G全连接工厂建设是“5G+工业互联网”512工程升级版的重要布局方向之一，促进5G在工业生产中由“局部单点”向“生产全局”、由“外围应用”向“关键工序”的创新发展，进一步加快“5G+工业互联网”新技术、新场景、新模式向工业生产各领域、各环节深度拓展。

1.2 构建5G全连接工厂安全保障体系的重要性

安全是发展的基本前提和重要保障。同步做好工业互联网安全工作，开展战略性、前瞻性、系统性部署，确保安全与发展同步实施，是在当前大融合大变革的历史阶段，落实国家总体安全观、保障“两个强国”建设的关键举措，也是支撑我国当前重大战略实施和未来长远布局、抢占发展制高点的基础保障，还是全面保障5G全连接工厂高质量建设的重要屏障。

加速构建5G全连接工厂安全保障体系是应对日益复杂的网络安全形势、筑牢网络安全防线的必然要求。伴随着全球网络安全形势的深刻变化以及工业互联网等融合形态的快速发展，网络安全内涵外延不断扩展，网络安全威胁风险逐渐向实体经济的各行业领域、各产业链条渗透。5G全连接工厂作为当前及未来发展的重要方向，工厂内5G与工业系统的深度融合发展，势必将大量的ICT系统威胁和挑战带入工业OT网络，其安全挑战更为艰巨，安全保障工作重要性和必要性凸显。

2 5G全连接工厂安全防护分析

2.1 5G全连接工厂安全风险及问题分析

一是在接入安全方面，5G网络增大了大量工业IT软件漏洞被利用风险，5G mMTC场景下巨量泛在智能终端易被利用成为新攻击源，终端应用场景多元但缺乏统一安全标识和认证管理机制，增加网络管理难度。

二是控制安全方面，5G网络打破相对封闭的工控空间，增大了工控协议与IT系统漏洞被利用风险，工业控制协议、控制软件设计之初未考虑完整性、身份校验等安全需求，应用软件持续面临病毒、木马、漏洞等传统安全挑战。

三是网络安全方面，5G网络切片面临非法访问等切片间、切片内以及切面与DN网络安全威胁；5G网络采用 SDN等新技术，带入网络传输链路上的软、硬件安全威胁；MEC节点安全能力不够，易被攻击，且5G核心网UPF下沉造成网络边界模糊[2]。

四是应用安全方面，工业互联网企业开放平台，运营商对数据的控制力减弱，数据泄露的风险增大；5G网络能力开放架构面临网络能力的非授权访问和使用、数据泄露等安全风险；边缘云平台(MEC)上应用程序缺陷，增加非授权访问安全风险。

2.2 5G全连接工厂安全管理和安全防护的关键技术

工厂内以5G作为网络支撑，以切片安全、通信安全等为主的5G网络安全能力建设至关重要，同时还包括安全防护类、检测类、监测类等关键防护技术。

安全监测类技术方面，以工业互联网安全态势感知为主，主要包括工业资产探测技术、蜜罐仿真技术和工业异常行为发现技术。工业资产探测技术指通过主动探测扫描资产，实现对工控设备资产的全面探测。蜜罐仿真技术指利用软件代码来模拟常见的工业控制系统服务或工控专用协议。工业异常行为发现技术指对工业数据包深度解析，结合工业异常行为规则库发现网络中的异常行为。

安全检测类技术方面，主要包括基于模糊测试的工控漏挖和渗透测试技术。基于模糊测试的工控漏挖指通过生成畸形报文查看控制器状态、测试协议的健壮性并发现其中的漏洞。渗透测试技术指形成工控系统漏洞知识库，集成当前主流的商业或开源漏洞扫描器，实现扫描任务的插件化、脚本化。

安全防护类技术方面，主要包括工业防火墙技术、工业主机白名单技术、安全隔离与信息交换技术和轻量级密码算法技术。工业防火墙技术指对工业流量数据包应用层深度解析，实现端口动态跟踪等功能。工业主机白名单技术指对工业主机等允许运行程序、服务等建立白名单。安全隔离与信息交换技术指采用“2+1”结构，通过电子开关或专用数据通道进行数据摆渡。轻量级密码算法技术指在工业设备中，应用基于标识的轻量级密码算法。

5G网络安全能力方面，主要包括切片安全、通信安全、5GC安全和边缘计算安全。切片安全指采用移动网络安全机制+网络切片之间端到端安全隔离机制[3]。通信安全指采用身份鉴权+传输加密+网络隔离策略。5GC安全指采取API接口安全+安全域划分策略。边缘计算安全指从物理、基础设施、系统及平台、业务及数据、管理与运维安全等端到端的安全解决方案[4]。随着关键技术不断发展，主动发现威胁和自动响应的能力也不断提升。一是基于威胁情报智能分析助力态势感知实现“智能化分析”“高度互联及时响应”。二是未知威胁检测将利用图计算等挖掘安全威胁和隐藏的安全问题。三是包括基因检测、沙箱检测等的恶意代码发现将持续应用。四是基于虚实结合的攻防靶场将通过搭建数字孪生体，实现工业现场“实景”攻防。五是基于安全编排的安全自动化响应将持续助力5G全连接工厂安全体系建设[5]。

3 5G全连接工厂安全保障体系构成

结合5G全连接工厂存在的安全风险和安全防护现状，建立了由安全技术体系、安全运行体系和安全管理体系三大体系构成5G全连接工厂安全保障体系。

3.1 安全技术体系

安全技术体系重点包括接入安全、网络安全、控制安全、应用安全和数据安全五部分。通过强化5G全连接工厂安全技术体系建设，保障5G全连接工厂在产线级、车间级、工厂级的生产、运营、管理等方面安全保障能力得到全面提升。接入安全方面应主要从终端设备自身、接入认证和访问控制来保证终端接入的安全，包括终端自身的安全加固、鉴别机制和访问控制策略等措施实现对终端接入的安全防护。网络安全方面应通过采取通信和传输保护、边界隔离(工业防火墙)、接入认证授权等安全策略，确保工厂内网安全、标识解析安全等；通过采取通信和传输保护、边界隔离(防火墙)、网络攻击防护等安全策略，确保工厂外网安全、标识解析安全等。控制安全方面应通过采取控制协议安全机制、控制软件安全加固、指令安全审计、故障保护等安全策略，确保控制软件安全和控制协议安全。应用安全方面应通过采取用户授权和管理、虚拟化安全、代码安全等安全策略，确保平台安全、本地应用安全、云化应用安全等。数据安全方面应通过采取数据防泄漏、数据加密、数据备份恢复等安全策略，确保包括数据收集安全、数据传输安全、数据存储安全、数据处理安全、数据销毁安全、数据备份恢复安全在内的数据全生命周期各环节的安全，重点保障5G全连接工厂数据在远程设备操控、无人智能巡检、生产能效管控等场景的安全可靠。

此外，还应关注切片安全、边缘计算安全等5G通用网络安全技术。切片安全方面包括切片隔离、切片接入认证、安全机制的差异化、切片的通信安全、虚拟化安全等。切片隔离方面，每个切片都应具有独立的安全策略，以稳固的方式相互隔离，并且当个用户通过多个网络切片访问服务时，要提供切片间的安全隔离。切片接入认证方面，为确保能够为用户正确选择和访问切片，应将合适的网络切片分配给适当的签约用户，要保证切片的接入认证安全；当用户接入切片时，对切片进行注册，通过切片访问控制保证用户接入正确切片，通过会话机制防止用户的未授权访问。安全机制的差异化方面，应为每个网络切片定义不同的访问安全机制及会话安全机会。切片的通信安全方面，应根据网络切片功能的敏感级别和网络租户的需求，对网间切片接口和通信进行保护[6]。虚拟化安全方面，当使用虚拟机部署MEC应用和/或MEC平台时，应支持虚拟机使用的vCPU、内存以及I/O等安全隔离，支持镜像签名，防止被非法访问和篡改等；当使用容器部署MEC应用和/或MEC平台时，应支持容器之间资源的安全隔离、镜像仓库安全等。边缘计算安全方面包括物理安全、通信安全、身份认证与鉴权和访问控制、API接口安全等。物理安全方面，边缘计算设施应放置在运营商可控、并满足基本物理安全的机房。通信安全方面，边缘计算应支持安全通信功能，尽量不使用明文通信。身份认证与鉴权和访问控制方面，应对权限和密码进行安全管理，并保障配置正确。API接口安全方面，应在开放的API接口设计和实现过程中充分考虑安全认证，防止出现未授权访问安全漏洞，开发后应实施漏洞扫描和渗透测试。

3.2 安全运行体系

安全运行体系重点包括风险评估、安全监测、应急响应、威胁共享和安全审计等。风险评估方面应通过采用定性或定量的分析方法对安全事件造成的各种影响进行等级判断，通过识别系统面临的风险来制定相应的响应预案，当5G全连接工厂发生安全事件后，及时分析事件的影响范围与程度，评估5G全连接工厂处置恢复方案的适用性与有效性，并依据安全事件处理评估结果进行持续修正优化[7]。安全监测方面应在5G全连接工厂内部部署相应的监测措施，主动发现来自系统内外部的安全风险，具体措施包括数据采集、收集汇聚、特征提取、关联分析、状态感知等，确保厂区智能物流、生产现场监测、机器视觉质检等环节安全有序开展。应急响应方面应定期对应急计划制度和应急预案进行评审和更新，制定应急预案培训计划，并向具有相应角色和职责的5G全连接工厂建设者提供应急培训。各部门之间应协调开展应急演练，依据已建立的重大安全事件跨单位、跨区域联合应急预案，定期进行应急预案的联合演练。威胁共享方面应在一旦发现安全隐患威胁或者发生安全事件，应及时快速在5G全连接工厂范围内进行威胁信息共享，最大程度降低可能带来的安全损失。安全审计方面应根据业务运行情况建立较为完善的安全审计管理制度，对重要设备、平台、系统等启用安全审计功能，对重要的用户行为和重要安全事件进行安全审计。部署安全审计工具，保护审计工具免受未授权访问、修改、删除或覆盖等行为的破坏。建立配置管理制度，记录和保存详细配置信息。

3.3 安全管理体系

安全管理体系重点包括组织保障、制度建设和分类分级三部分。一是夯实组织保障基础，涉及责任部门、人员管理和资金投入。责任部门方面应建立跨部门、跨职能的工业互联网安全联合管理团队，联合产业链上下游，建立工业互联网安全防护联合工作机制，明确工业互联网安全管理责任人，落实工业互联网安全责任制，部署工业互联网安全防护措施。人员管理方面应建立安全岗位分类机制和人员审查制度，尤其对关键岗位的人员进行严格审查，在授权访问系统及相关重要信息前进行人员审查，在人员离职或岗位调整时对其进行审查，保留所有工作人员(包括离职人员)的权限记录，发生重大安全事故时进行监视和审查。资金投入方面应关注5G+工业互联网和工业互联网安全领域的政策文件，按照相关要求，加大在安全方向的资金投入。二是不断完善制度建设，涉及安全规划和安全管理制度建设。安全规划方面应根据实际需求和发展规划，制定详实的5G全连接工厂安全保障规划，明确当前需求和下一步发展要求，明确每个阶段的安全发展目标、安全举措等。安全管理制度建设方面应不断建立健全工业互联网安全管理制度，动态优化完善制度建设，全面提升安全综合保障能力。三是持续优化分类分级管理，涉及自主定级、上报备案和规范落实。自主定级和上报备案方面应结合工业互联网企业网络安全分类分级评定规则，依据实际情况，开展网络安全自主定级和上报备案工作，落实与自身等级相适应的安全防护措施，形成定级报告。在业务规模、服务范围、服务对象等发生重大变化时，自变化之日起三十个工作日内重新定级，在自主定级后十个工作日内将定级结果报地方主管部门。规范落实方面应根据实际工作开展情况和发展规划，严格按照工业互联网安全防护规范要求，全面有序开展安全防护工作，动态优化调整规范落实流程，推动分类分级工作有序开展。

4 5G全连接工厂安全保障体系发展相关思考

当前，我国5G+工业互联网发展处在蓬勃发展的关键时期，5G全连接工厂作为其在工厂的重要应用模式，安全问题应得到高度重视，政产学研用各方均应做好安全保障工作，有如下几点思考。

4.1 强化安全管理，明确5G全连接工厂安全建设要点

2022年8月，工业和信息化部出台了《5G全连接工厂建设指南》，提出加强网络安全防护，提升安全管理水平和升级安全防护能力，初步明确了5G全连接工厂安全建设方向。接下来，需进一步研究制定5G全连接工厂安全保障体系相关工作机制，细化安全建设要点，指导企业有序开展5G全连接工厂安全保障建设工作。

4.2 完善安全标准，加速推进5G全连接工厂安全发展

根据《工业互联网综合标准化体系建设指南》《工业互联网安全标准体系(2021年)》等相关标准文件，持续完善工业互联网安全标准体系，加快推动更多5G+工业互联网和5G全连接工厂安全防护、安全评估评测、安全评价等相关安全标准的研制发布，为5G全连接工厂安全体系建设指明方向，为5G+工业互联网应用的安全高速发展保驾护航。

4.3 加强安全防护，提升5G全连接工厂安全保障能力

以5G自身安全能力为基础，结合工业互联网特征与运营模式，融合切片技术、边缘计算、安全态势感知等技术，提升网络安全技术能力，同时做到安全防护、信息共享、协同处置的安全运行闭环，提升5G+工业互联网安全保障能力，全面构建5G全连接工厂安全保障体系。

4.4 提升安全意识，推动5G全连接工厂安全高效建设

充分认识并把握好安全与发展的关系，5G全连接工厂相关企业应于移动运营商、设备提供商、安全服务商、监管机构等共同协作，建立跨部门、跨行业、跨平台的工作机制，共同推动安全核心技术联合攻关、共享安全技术资源，从而保障5G全连接工厂高效顺畅建设。

5 结语

伴随5G全连接工厂建设进程加快，安全保障体系作为其中关键的一环，其重要性日益凸显，在充分认识5G全连接工厂安全风险和问题基础上，构建包括安全管理体系、安全技术体系、安全运行体系的5G全连接工厂安全保障体系十分必要。为推动5G全连接工厂安全保障体系建设，应不断强化安全管理、完善安全标准、加强安全防护、提升安全意识。