近日，在中國移動5G+工業互聯網推進大會上，中國移動聯合中興通訊、中國信通院、北京郵電大學、三一重工、鞍鋼集團等單位共同發布了《5G+工業互聯網安全白皮書》（以下簡稱“白皮書”）。白皮書旨在推進5G+工業互聯網安全的標準化建設，促進5G與工業互聯網深度融合的安全保障水平，加速推動“中國制造”向“中國智造”轉型，助力實體經濟高質量發展。白皮書針對智能制造、電網、礦山、港口等工業垂直行業在引入5G后的普適性安全需求，為5G+工業互聯網應用場景的安全防護提供參考。

5G 賦能工業互聯網帶來新的安全挑戰

5G以其高帶寬、低時延、海量連接等特性將大幅提升工業互聯網的信息化水平，逐步成為支撐工業生產的基礎設施。5G與工業系統的深度融合勢必將大量的ICT系統威脅和挑戰帶入工業OT網絡，使得5G+工業互聯網與傳統的工控系統安全和互聯網安全相比，其安全挑戰更為艱巨。白皮書根據防護對象不同，分別從以下五個層面分析了5G與工業互聯網融合面臨的安全威脅。

在工業網絡方面，5G 采用網絡切片，為不同工業互聯網業務提供差異化的服務，因此對網絡的安全隔離能力提出更高的要求。其面對的安全挑戰包括非法訪問、資源爭奪、非法攻擊等切片間安全威脅，不同安全域間的非法訪問、用戶數據被竊聽、針對公共NF 的拒絕服務攻擊等切片內安全威脅，外部網絡的非法訪問、病毒木馬攻擊等切片與DN 網絡間的安全威脅，非法租戶的非法訪問、管理員權限濫用、切片敏感信息的篡改等切片管理的安全威脅等。

在控制安全方面，工業控制協議、控制平臺、控制軟件在設計之初可能未考慮完整性、身份校驗等安全需求。為此，其授權與訪問控制不嚴格，身份驗證不充分，配置維護不足，憑證管理不嚴。應用軟件也持續面臨病毒、木馬、漏洞等傳統安全挑戰。5G 網絡使得原來不聯網或相對封閉的控制專網連接到互聯網上，無形中增大了工控協議與IT 系統漏洞被利用風險。

在數據安全方面，5G 網絡基于NFV、云計算、虛擬化技術使得安全邊界模糊，流量不可見。MEC 節點位于網絡邊緣，處于運營商控制較弱的開放網絡環境中，數據竊取、泄露的風險相對較高。工業互聯網的多業務場景要求安全與業務需求、接入技術、終端能力等相結合，為此對數據管控有更嚴格的要求，要求企業數據不出園區。這對MEC 中數據存儲、傳輸、處理的安全性提出了較高的要求。

在接入安全方面，5G 網絡增大了大量工業IT 軟件漏洞被利用風險。5G 開啟了萬物互聯時代，5G 與工業互聯網的融合使得海量工業終端接入成為可能，同時也帶來攻擊風險點的增加，終端設備本身，包括所用芯片、嵌入式操作系統、編碼規范、第三方應用軟件以及功能等，均存在漏洞、缺陷、后門等安全問題暴露在相對開放的5G 網絡中，存在被利用的風險。

在應用安全方面，5G 網絡基于網絡能力開放技術，與工業互聯網深度融合，使得工業互聯網可以充分利用其網絡能力靈活開發新業務。攻擊者可以利用5G 網絡能力開放架構提供的應用程序編程接口（API）對網絡進行拒絕服務攻擊。另外，多個應用間也存在互相非法訪問的安全風險。5G 網絡能力開放架構面臨網絡能力的非授權訪問和使用、數據泄露、用戶和網絡敏感信息泄露等安全風險。邊緣云平臺（MEC）及服務也面臨著虛擬化中常見的違規接入、內部入侵等內外部安全挑戰，特別是MEC上應用程序缺陷，增加了非授權訪問風險。

一體化的5G+工業互聯網安全參考架構

5G 與工業互聯網的融合，信息安全涉及到工業互聯網的各個層面，單一的安全解決方案不能滿足工業互聯網信息安全的需要，需要統籌考慮，建立統一的安全防御體系。另外，5G+工業互聯網安全工作需要從制度建設、產業支持等更全局的視野來統籌安排，讓更多企業意識到信息安全的必要性與緊迫性，加強安全管理與風險防范控制。通過構建統一的工業互聯網信息安全保障體系，較為全面覆蓋接入、網絡、控制、數據等安全風險，才能夠有效地保障5G引入后的工業互聯網安全?；诖耍灼o出以下5G+工業互聯網安全參考架構。

圖1：5G+工業互聯網安全參考架構

一體化的5G+工業互聯網安全參考架構以5G 自身安全能力為基礎，以我國的安全政策、相關法律和行業安全規劃為主要指導原則，結合工業互聯網實際應用場景安全需求，通過融合創新，將零信任、內生安全等前沿安全理念融入定制化安全方案中，在滿足相應級別安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心及管理部分要求基礎上，最大程度發揮安全措施的保護能力。

定制的5G+工業互聯網場景化安全能力

5G 網絡為應對新技術新架構帶來的安全挑戰，參照相關5G安全規范，同時遵循《電信網和互聯網管理安全等級保護要求》，提供了無線接入安全、5GC安全、MEC安全、切片安全及管理安全端到端的安全通信能力。但對于垂直行業，特別是對安全要求嚴苛的工業系統，5G 提供的基礎安全能力無法滿足不同業務場景下的安全需求。為此，白皮書指出，5G在使能工業互聯網的過程中，要以5G自身安全能力為基礎，結合工業互聯網特征與運營模式，融合零信任、內生安全等前沿安全技術，構建定制化的5G+工業互聯網安全方案，來滿足工業互聯網自身的等級保護要求。白皮書給出可從以下幾個方面進行定制化方案構建：

差異化切片滿足企業網絡安全隔離需求。根據行業的安全隔離要求和需要保障的關鍵SLA（服務等級協議）選擇不同類型的切片，并進行參數配置，從資源隔離和業務保障的角度，無線網絡可以提供多種切片隔離技術，從而提供差異化的網絡服務。不同業務系統可以根據自身需求選擇不同的網絡隔離方案。

UPF下沉 +FlexE 支持企業低時延業務需求。為了進一步降低端到端通信時延，可以將5G 網絡中UPF（用戶面功能）下沉到MEC, 通過將數據、應用、智能引入基站邊緣側，減少數據傳輸路由節點，以降低端到端通信時延。另外，在5G 網絡中采用FlexE 交叉技術來實現網絡設備之間的信息傳遞，它實現基于物理層的用戶業務流轉發，用戶報文在網絡中間節點無須解析，業務流交叉過程近乎瞬間完成，實現單跳設備轉發時延1~10us，有效解決時間報文的模擬、欺騙。

多重機制提供企業端到端數據安全保障。為降低5G行業應用中數據安全風險，5G 提供了更強壯的數據安全保護方法。白皮書從接入認證、訪問控制、數據傳輸方面給出建議。采用切片二次認證機制，即在用戶接入網絡時所做認證之后為接入特定業務建立數據通道而進行的認證，從而保證企業對安全策略自主可控；遵循最小權限授權原則，為不同用戶分配不同的數據操作權限，避免不可靠來源用戶的接入，提供選擇多種訪問控制方式，另外，對關鍵敏感數據采用SHA256、AES256 等加密算法進行加密存儲；保護數據在網絡間傳輸，可采用5G 新增的安全邊緣保護代理功能，以保護工業互聯網中數據產生、處理、使用等環節的安全。

零信任架構增強海量終端的接入安全。傳統安全采用邊界防護方式，即在網絡邊界驗證終端身份，確定用戶是否被信任。隨著攻擊方式和威脅多樣化，傳統網絡接入安全架構凸顯出很大的局限性，為此，5G+工業互聯網安全架構引入基于零信任安全理念，啟用新型身份驗證管理模式，充分利用身份驗證憑據、設備、網絡、應用等多種資源的組合安全邊界。5G 工業互聯網零信任安全架構下的終端安全接入不再以網絡邊界為限，無論來自企業網絡之外的用戶，還是來自企業網絡內部的用戶，在建立連接前均需進行認證授權。5G 工業互聯網零信任安全架構，使得原來的被動防御向主動防御轉變，從邊界防御方式向內生安全轉變，有力保障5G 網絡環境下海量行業終端的接入安全。

態勢感知保障網絡整體安全能力。5G應用于工業系統以后，原有的被動式防御已不可靠，無法有效防止有組織的規模性攻擊，迫切需要新的安全技術。5G工業互聯網態勢感知技術，可以覆蓋5G 資產，包括5GC網元、切片、虛機、物理機、中間件等，并能將各層級資產進行關聯，根據資產關聯關系定位漏洞、脆弱性與攻擊事件等威脅事件對業務的影響，能夠追蹤攻擊鏈定位威脅發生的源頭，并分析可能的波及范圍，根據資產價值及業務影響來確定處置方式與手段。另外，態勢感知還可以基于對網絡攻擊事件的深度挖掘，結合網絡的基礎設施情況和運行狀態，對網絡安全態勢做出評估，對未來可能遭受的網絡攻擊進行預測。

5G與工控系統的深度融合是工業互聯網提質增效的關鍵，在融合過程中必然會帶來安全問題。而要調和5G 網絡的開放性與工控協議的私密性，特別是解決工控協議安全性較弱的問題，就必須要引入內生安全防御的理念，提升工業互聯網自身在安全設計方面的完備性。另外，5G網絡的開放性，將加速推動工業互聯網跨部門、跨行業、跨平臺信息共享和聯動處置機制建立，任何一個企業都很難進行單獨的防御，為此，基于5G網絡的工業互聯網企業,需要與移動運營商、設備提供商、安全服務商、監管機構等建立協同機制，共同應對來自5G、工業等跨領域、跨行業的安全挑戰。

目前5G工業互聯網安全防護發展尚處起步階段。此次白皮書的發布，為5G賦能工業互聯網提供了安全參考，隨著5G融入工業互聯網的廣度和深度持續增強，有必要引入新的安全理念、安全技術，來不斷完善5G工業互聯網安全防護體系，保障工業數字化轉型升級行穩致遠。