5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書

5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書目錄2、5G電力虛擬專網(wǎng)安全需求與風險分析2、5G電力虛擬專網(wǎng)安全需求與風險分析42.1電力業(yè)務(wù)安全需求分析42.25G電力虛擬專網(wǎng)安全風險分析42.35G電力虛擬專網(wǎng)安全需求分析53、5G電力虛擬專網(wǎng)安全參考模型和架構(gòu)3、5G電力虛擬專網(wǎng)安全參考模型和架構(gòu)63.15G承載電力業(yè)務(wù)的安全模型73.1.1高安全業(yè)務(wù)應用安全模型83.1.2中安全業(yè)務(wù)應用安全模型83.1.3通用安全業(yè)務(wù)應用安全模型83.25G電力虛擬專網(wǎng)總體安全參考架構(gòu)84、5G電力虛擬專網(wǎng)安全參考方案4、5G電力虛擬專網(wǎng)安全參考方案94.1端到端切片安全隔離，提供電力虛擬專用網(wǎng)絡(luò)94.1.1接入網(wǎng)隔離94.1.2傳輸網(wǎng)隔離94.1.3核心網(wǎng)隔離94.2多層次認證體系，滿足縱向認證要求104.3云邊協(xié)同的安全應用，支撐安全防護及監(jiān)測104.3.1基于基礎(chǔ)設(shè)施和APP業(yè)務(wù)的MEC安全防護104.3.2全天候全方位的5G網(wǎng)絡(luò)安全態(tài)勢感知104.3.35G+區(qū)塊鏈的安全認證模式114.4數(shù)據(jù)加密傳輸114.5安全事件響應115、5G電力虛擬專網(wǎng)安全應用5、5G電力虛擬專網(wǎng)安全應用125.15G電力廣域虛擬專網(wǎng)應用案例125.25G電力局域虛擬專網(wǎng)應用案例126、總結(jié)與展望6、總結(jié)與展望13附錄A：術(shù)語及縮略語附錄A：術(shù)語及縮略語附錄B：參考文獻附錄B：參考文獻5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書前言5G技術(shù)與電力行業(yè)深度融合，能夠有效提升電力數(shù)字化、智能化水平，為構(gòu)建清潔低碳、安全高效的電力體系提供有力支撐。網(wǎng)絡(luò)安全是未 的安全防護原則要求，亟需設(shè)計兼顧5G傳輸性能與安2021年4月，5G應用產(chǎn)業(yè)方陣（5GAIA）及5G確定性網(wǎng)絡(luò)產(chǎn)業(yè)聯(lián)盟（5GDNA）共同立項了《5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書》，該白皮書由中國南方電網(wǎng)電力調(diào)度控制中心牽頭，聯(lián)合電力相關(guān)企業(yè)和運營商，以及通信設(shè)備和終端模組芯片廠家、網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)商，對5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全方案進行了充分討論及完善，并經(jīng)5GAIA及5GDNA評審后，共本白皮書也是5GDNA聯(lián)盟繼《5G確定性網(wǎng)絡(luò)@電力系列白皮書I：需求、技術(shù)與實踐》（2020年）、《5G確皮書II：5G電力虛擬專網(wǎng)建網(wǎng)模式》（2020年）后發(fā)絡(luò)安全白皮書》，旨在將理論與實踐相結(jié)合，分析5G網(wǎng)絡(luò)應用于電力業(yè)務(wù)的安全需求及風險，從技術(shù)視角分析5G網(wǎng)絡(luò)的安全能力并構(gòu)建安全參考模型，從安全隔離、多層次認證、安全防護及監(jiān)測等維度，提出可用、可信的5G電力虛擬專網(wǎng)安全參考方案，給出廣域及局域的典型安全應用案例，并展望5G電力虛擬專網(wǎng)安全的發(fā)展趨朱思成，國網(wǎng)福建省電力有限公司的陳斌、陳端云、蘇素燕、陳錦山、夏炳森、李源灝，中國信息通信研究院的杜加懂、王琦、侯偉彬、周潔，廣東電網(wǎng)有限責任公司廣州供電局的王莉、孫磊、王維，國網(wǎng)河南省電力公司信息通信公司的王文革、申京、趙豫京、楊瑩、閆麗景，國網(wǎng)浙江省電力有限公司信息通信分公司的周鵬、陳逍瀟、楊帆，中國移動通信集團有限公司的楊鵬、周茉、崔旭升、吳沛喆、宋月、王榮，中國電信集趙元、李先達，華為技術(shù)有限公司的余曉光、余瀅鑫、楊曉華、郝晶晶、陽陳錦劍，中興通訊股份有限公司的滕志猛、馮巖、陳永波，廣東省電信規(guī)劃設(shè)計院有限公司的王勁、袁引，紫光展銳科技有限公司的張偉強、陳定云、朱勇旭，許繼集團有限公司的徐濤，南京南瑞信息通信科技有本白皮書參與編寫單位及人員（以下排名不分先后）：中國移動通信集團福建有限公司的魏穎強、孫柏寧，中國移動通信集團廣東有限公司的崔志順、劉鋼庭、王丹弘、任若冰，北京智芯微電子科技有限公司的賈強，深圳市廣和通無線股份有限公司的李許安，國網(wǎng)山東省電力公司電力科學研究院的馬雷、劉新、劉冬蘭、王睿、張昊，國網(wǎng)山東省電力公司青島供電公司的徐群、劉明峰、李坤、孟建、侯路，四川中電啟明星信25G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書2引言電力行業(yè)屬于國家基礎(chǔ)設(shè)施行業(yè)，關(guān)系國計民生，其包括電網(wǎng)企業(yè)和發(fā)電企業(yè)等，對業(yè)務(wù)分類、安全管控的總體要求基本一致。隨著智能電網(wǎng)多樣化應用場景的出現(xiàn)，以網(wǎng)絡(luò)切片和Multi-accessEdgeComputing(MEC)多接入邊緣計算為核心的5G網(wǎng)絡(luò)在電力的發(fā)、輸、變、配、5G電力虛擬專網(wǎng)是“在電信運營商的5G網(wǎng)絡(luò)中，基于網(wǎng)絡(luò)切片、MEC、能力開放等技術(shù)，在無線、承載、核心網(wǎng)等環(huán)節(jié)虛擬出一張面向電力行業(yè)的專用網(wǎng)絡(luò)，并與電力通信專網(wǎng)跨域融合，實現(xiàn)端到端的電力業(yè)務(wù)承載、高強度安全隔離以及資源管理。”智能分布式配電自動化、智能配電網(wǎng)微型同步相量測量、用電負荷需求側(cè)響應、2、采集頻次提升（計量分鐘級）3、精準控制（毫秒級別，節(jié)點級）巡檢機器人、輸電線路無人機巡檢、基于物聯(lián)網(wǎng)的狀態(tài)監(jiān)測、智能營業(yè)廳、倉儲管智慧園區(qū)、智慧電廠、地下廠房深度覆蓋、三維空間定3、基于人工智能、大數(shù)據(jù)的網(wǎng)元協(xié)同，智能面向上述需求，5G電力虛擬專網(wǎng)能夠為電網(wǎng)不同分區(qū)業(yè)務(wù)提供高可靠安全隔離解決方案，基于軟件定義網(wǎng)絡(luò)(SDN,SoftwareDefinedNetwork)和網(wǎng)絡(luò)功能虛擬化(NFV,NetworkFunctionVirtualization)、服務(wù)化架構(gòu)(SBA,Service-basedArchitecture)等新技術(shù)提供物理資同時隨著能源大數(shù)據(jù)、綜合能源服務(wù)等新興業(yè)務(wù)不斷涌現(xiàn)，電力業(yè)務(wù)環(huán)境更加開放、生態(tài)更加復雜、數(shù)據(jù)共享更加頻繁，電力業(yè)務(wù)的承載網(wǎng)絡(luò)安全架構(gòu)也隨之多樣化，電力業(yè)務(wù)安全、數(shù)據(jù)安全等面臨著安全防護手段與業(yè)務(wù)系統(tǒng)不匹配的嚴峻挑戰(zhàn)，迫切需要對5G電力虛擬專網(wǎng)的網(wǎng)絡(luò)安全防護進行探討，并與電力業(yè)務(wù)安全防護體系進行融合集成，進一步提升5G電力虛擬專網(wǎng)的安全水平，為智能電網(wǎng)業(yè)務(wù)承載提供更好的通信安全本白皮書旨在從技術(shù)視角分析5G電力虛擬專網(wǎng)的安全需求，給出網(wǎng)絡(luò)安全參考模型及架構(gòu)，探索形成5G電力虛擬專網(wǎng)安全解決方案，并35G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書3025G電力虛擬專網(wǎng)本章對5G電力虛擬專網(wǎng)承載電力業(yè)務(wù)的安全2.1電力業(yè)務(wù)安全需求分析根據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)改委2014年第14號)、國家能源局《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方 的原則。本章從電力業(yè)務(wù)安全需求出發(fā)，提出三類業(yè)務(wù)安全模式：高高安全業(yè)務(wù)是指與電力調(diào)度生產(chǎn)直接相關(guān)的生產(chǎn)控制類業(yè)務(wù)，通常部署在生產(chǎn)控制大區(qū)涉及實時控制類及感知采集類業(yè)務(wù)，如安全自動控制中安全業(yè)務(wù)是指管理信息大區(qū)的相關(guān)業(yè)務(wù)，其安全等級僅次于高安全區(qū)業(yè)務(wù)，涉及到智能電網(wǎng)生產(chǎn)管理、辦公自動化，與生產(chǎn)或管理類的個人桌面計算機相關(guān)，如電力調(diào)度運行管理系統(tǒng)、資產(chǎn)管理系統(tǒng)等業(yè)務(wù)。中安全業(yè)務(wù)分布廣泛，人機互動頻繁，安全防護需求較高，需通過無線虛通用安全業(yè)務(wù)是指互聯(lián)網(wǎng)大區(qū)業(yè)務(wù)，其安全等級相對最低。主要面向互聯(lián)網(wǎng)應用，以移動應用為主，如即時通信軟件、培訓教育等業(yè)務(wù)。該2.25G電力虛擬專網(wǎng)安全風險分析當前，受限于5G電力行業(yè)應用產(chǎn)業(yè)鏈的成熟度，5G電力虛擬專網(wǎng)存在著一定安全風險，尤其是在終端和模組方面，廠家較少、價形式單一、業(yè)務(wù)適配度較差，無法完全滿足電力業(yè)務(wù)應用需求。應用層面，電力行業(yè)應用的業(yè)務(wù)相關(guān)系統(tǒng)中的服務(wù)器會生成、處理存儲大量用戶敏感信息，包括個人身份信息、用戶隱私信息等,業(yè)務(wù)系統(tǒng)如果存在用戶標識安全性、數(shù)據(jù)完整性與機密性等安全問題，遭到黑用戶數(shù)據(jù)泄露，用戶隱私將受到威脅，造成較大的社會影響。此外，在復雜的電力場景下，5G網(wǎng)絡(luò)建設(shè)存在遭受電磁干擾圖2.15G電力虛擬專網(wǎng)面臨的四類風險威脅點圖2.15G電力虛擬專網(wǎng)面臨的四類風險威脅點45G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書4如圖2.1分析，5G電力虛擬專網(wǎng)承載電力業(yè)務(wù)時可能存在物理攻擊、網(wǎng)絡(luò)攻擊、信息泄露、電磁干擾四類風險威脅點，具體風險如表2.1：表2.15G電力虛擬專網(wǎng)風險威脅分類及舉例風險威脅（一）物理攻擊定向網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施信息系統(tǒng)，干擾物理系統(tǒng)運行，造成設(shè)備損壞和系統(tǒng)癱瘓，如網(wǎng)MEC、UPF節(jié)點被物理破壞：通過破壞物理防護措施或利用管理漏洞對MEC、UPF（二）網(wǎng)絡(luò)攻擊身份仿冒，通過截獲合法用戶身份信息并假冒該合法用戶非法訪問，對切片內(nèi)的資源可能被其他切片中的網(wǎng)絡(luò)節(jié)點非法訪問，導致切片內(nèi)部的故拒絕服務(wù)，利用DDOS攻擊目標服務(wù)器或網(wǎng)絡(luò)基礎(chǔ)設(shè)施，導致業(yè)務(wù)服務(wù)不可用設(shè)備版本破壞風險，版本文件（包括軟件版本文件（.set）以及補丁文件（.pkg和固件文件，從發(fā)布直到現(xiàn)場進行文件的安裝升級，整個過程存在文件被篡改以及損壞的（三）信息泄露數(shù)據(jù)泄露，核心網(wǎng)中數(shù)據(jù)庫存在SQL注入、默認賬戶口令、數(shù)據(jù)庫平臺漏洞、濫用合（四）電磁干擾干擾無線工作頻段，通過無線發(fā)射器等可干擾無線信道，使通信中斷，導致業(yè)務(wù)終端2.35G電力虛擬專網(wǎng)安全需求分析表2-25G電力虛擬專網(wǎng)承載電力業(yè)務(wù)安全需求高中1端到端設(shè)備全天候全方位的安全監(jiān)測、制定安全管電力設(shè)備的安全監(jiān)2物理隔離、電力專用安全加密算法及專用加密認證裝置、多層次認證、增強邏輯隔離、電力專用安全加密算法、3電力專用安全加密算法及專用加密認證裝置、多層次認證、增強認證的5G電力專用安全加密算法、5G網(wǎng)絡(luò)主認455G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書5035G電力虛擬專網(wǎng)本章節(jié)重點從隔離、認證、安全監(jiān)測與響應等應用方面，對高安全業(yè)務(wù)、中安全業(yè)務(wù)、通用安全業(yè)務(wù)三種模式的電力業(yè)務(wù)開展需求匹配，3.15G承載電力業(yè)務(wù)的安全模型基于5G網(wǎng)絡(luò)通信能力，以高安全業(yè)務(wù)、中安全業(yè)務(wù)、通用安全業(yè)務(wù)三種模式電力業(yè)務(wù)為維度，構(gòu)建了包括隔離、加密、認證、監(jiān)測、響應5G電力虛擬專網(wǎng)安全模型高安全業(yè)務(wù)中安全業(yè)務(wù)通用安全業(yè)務(wù)202050圖3-15G電力虛擬專網(wǎng)安全模型模型中的隔離指對接入網(wǎng)資源（包括基站處理資源和無線頻譜資源）、承載網(wǎng)資源以及核心網(wǎng)資源，按照不同切片方案進行劃分，可包括a.硬隔離硬隔離接近于物理隔離強度，也稱為類物理隔離。例如為實現(xiàn)生產(chǎn)控制類業(yè)務(wù)和生產(chǎn)管理類業(yè)務(wù)的隔離，在無線側(cè)使用獨立頻譜、RB資源預留等方式，提供不同無線資源，在傳輸側(cè)使用傳輸設(shè)備承載信令和用戶面數(shù)據(jù)，并支持FlexE硬切片，在核心網(wǎng)側(cè)新建業(yè)務(wù)專用的邊緣UPF，控制面建設(shè)獨立的專用功能單元，通過安全接入?yún)^(qū)接入站內(nèi)的自有業(yè)務(wù)平臺。軟隔離接近于邏輯隔離強度。例如不同大區(qū)區(qū)域內(nèi)部，軟隔離接近于邏輯隔離強度。例如不同大區(qū)區(qū)域內(nèi)部，根據(jù)業(yè)務(wù)需求進行分類，不同分類采用不同的S-NSSAI實現(xiàn)隔離。在無線側(cè)采用不同業(yè)務(wù)共享RB預留資源以及5QI優(yōu)先級調(diào)度，在傳輸側(cè)支持基于VPN等技術(shù)，在核心網(wǎng)側(cè)可以根據(jù)業(yè)務(wù)需要，用戶面采用專用的或共享UPF，控制面采用部分網(wǎng)元專用或全部網(wǎng)元共享方式，滿足不同電力業(yè)務(wù)對于安全隔離的需求。根據(jù)傳輸側(cè)是否采用VPN加密技術(shù)、核心網(wǎng)側(cè)是否采用專用網(wǎng)元情況，將軟隔離方式分為模型中的數(shù)據(jù)隱私保護主要包括終端數(shù)據(jù)加模型中的網(wǎng)絡(luò)安全感知和監(jiān)測是通過對5G整體網(wǎng)絡(luò)進行65G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書63.1.1高安全業(yè)務(wù)應用安全模型高安全業(yè)務(wù)需采用電力專用通信網(wǎng)絡(luò)進行加密傳輸和身份認證，并與其他安全等級的業(yè)務(wù)在通信網(wǎng)絡(luò)上實現(xiàn)類物理隔離的安業(yè)務(wù)內(nèi)處于低等級安全防護能力的設(shè)備和網(wǎng)絡(luò)，應當通過必要的安全隔離措施實現(xiàn)與高等級安全防護能力的設(shè)備和網(wǎng)絡(luò)互聯(lián)。高安全業(yè)務(wù)應在滿足其高實時、密集接入的前提下提供高性能等級的監(jiān)測能力，并能在網(wǎng)絡(luò)故障、受入侵等情況下3.1.2中安全業(yè)務(wù)應用安全模型保證業(yè)務(wù)系統(tǒng)柜接入的可信性。中安全業(yè)務(wù)應特別強調(diào)3.1.3通用安全業(yè)務(wù)應用安全模型通用安全業(yè)務(wù)可采用因特網(wǎng)通信或VPN網(wǎng)絡(luò)進行傳輸和身份認證，應能監(jiān)測來自互聯(lián)網(wǎng)的攻擊行為，提供與業(yè)務(wù)相適應的3.25G電力虛擬專網(wǎng)總體安全參考架構(gòu)的基本原則，其安全架構(gòu)包括“云、管、端”三大層級，涉及終端安全、管道安全和平臺安全和安全管理四個方面，如圖3-2所示。圖3-25G電力虛擬專網(wǎng)總體安全參考架構(gòu)上圖中的5G電力虛擬專網(wǎng)總體安全參考架構(gòu)，其核心在于針對5G安全風險威脅構(gòu)建終端、管道、平臺等層面的安全防護能力以及5G電力對重要終端，可采用雙向認證、數(shù)據(jù)加密和零信任等接入訪問控制技術(shù)。此外，對于特定的重要業(yè)務(wù)，還可以采用機卡綁定、終端DNN與網(wǎng)絡(luò)切2、管道安全：重點是利用5G高強度安全隔離的網(wǎng)絡(luò)切片技術(shù)和可定制切片管理，為不同安全等級電力業(yè)務(wù)制定不同的切片策略，提供不同3、平臺安全：針對不同的電力業(yè)務(wù)設(shè)置不同安全服務(wù)區(qū)，服務(wù)區(qū)之間部署防火墻等防護措施防止跨應用攻擊；部署二次認證AAA服務(wù)器和4、安全監(jiān)測：通過運營商將5G網(wǎng)絡(luò)安全能力共享給電力行業(yè)的應用，對終端、切片、MEC、專用UPF、安全防護設(shè)備等進行統(tǒng)一監(jiān)控，75G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書7045G電力虛擬專網(wǎng)本章針對業(yè)務(wù)需求，根據(jù)5G電力虛擬專網(wǎng)需遵循的“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”基本防護策略要求，在端側(cè)、管側(cè)、4.1端到端切片安全隔離，提供電力虛擬專用網(wǎng)絡(luò)根據(jù)電力業(yè)務(wù)要求，需在不同安全分區(qū)或同一安全分區(qū)不同業(yè)務(wù)之間采用不同強度的隔離手段，例如針對高安全業(yè)務(wù)采用達到或接近物理隔離的隔離強度，針對中安全業(yè)務(wù)采用接近物理隔離或強邏輯隔離的隔離強度，針對通用安全業(yè)務(wù)采用普通邏輯隔離的隔離強度等。由此需要在5G電力虛擬專網(wǎng)的接入網(wǎng)、傳輸網(wǎng)、核心網(wǎng)等環(huán)節(jié)采用不同的隔離4.1.1接入網(wǎng)隔離其中RB資源預留是5G區(qū)別于4G的重要特性。（1）完全共享模式，無線資源完全共享。每個切片不直接參與資源的調(diào)度，由一個公共的調(diào)度來負（2）部分獨占模式，無線資源主要由5QI根據(jù)優(yōu)先級進行調(diào)度，并基于PRB資源預留技術(shù)承載獨占切片業(yè)務(wù)。（3）完全獨占模式，無線接入網(wǎng)使用獨立的硬件資源和頻譜資源，具備最高的安全性，但是建網(wǎng)成本會4.1.2傳輸網(wǎng)隔離5G無線接入網(wǎng)和核心網(wǎng)之間的傳輸網(wǎng)絡(luò)可通過網(wǎng)絡(luò)切片進行業(yè)務(wù)隔離。不同切片網(wǎng)絡(luò)的轉(zhuǎn)發(fā)面彼此隔離，而隔離性取決于采用不同的轉(zhuǎn)硬隔離切片是在L1或光層，基于物理剛性管道的切片技術(shù)，如：FlexE技術(shù)、OTN技術(shù)、WDM技術(shù)。在實際應用中，也可以采用混合硬隔離切片、軟隔離切片的方案，硬隔離切片方式保證業(yè)務(wù)的隔離安全、低時延等需求，軟隔離切片方式4.1.3核心網(wǎng)隔離5G核心網(wǎng)隔離方案有完全共享、部分獨占和（1）完全共享模式，與2/3/4G網(wǎng)絡(luò)的（2）部分獨占模式，少量網(wǎng)元功能獨占與大部分網(wǎng)元功能共享相結(jié)合，平衡了安全性與成本，主要適用于高、中兩大類安（3）完全獨占模式，等同于建設(shè)一張完整的電力行業(yè)專用核心網(wǎng)，具有最高的安全性，建設(shè)和運營成本也最高，適用于需要超高安全隔離在實際組網(wǎng)中，應根據(jù)不同業(yè)務(wù)安全等級和隔離要求來選擇接入網(wǎng)、傳輸網(wǎng)、核心網(wǎng)的隔離方式。例如針對高安全隔離要求的應用，無線側(cè)應采用線側(cè)應采用RB資源預留，承載傳輸網(wǎng)側(cè)應采用FlexE硬管道隔離，核心網(wǎng)采用部分獨占模式、獨占用戶面網(wǎng)元UPF模式或?qū)⒂脩裘婢W(wǎng)元UPF、信令面網(wǎng)元AMF/SMF均獨占的進行組網(wǎng)。針對低安全隔離要求的應用，無線側(cè)可采用完全共享模式或5QI高優(yōu)先級調(diào)度技術(shù)、承載網(wǎng)側(cè)可采用VPN管道進行軟隔離、核心網(wǎng)可采用完全共享模式，共用運營商邊緣UPF進行組網(wǎng)。85G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書84.2多層次認證體系，滿足縱向認證要求根據(jù)電力業(yè)務(wù)要求，需采用認證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。4G網(wǎng)絡(luò)中，各業(yè)務(wù)僅能通過APN名稱及密碼實現(xiàn)不同業(yè)務(wù)接入網(wǎng)絡(luò)的認證，一旦認證信息泄露，則存在電力網(wǎng)絡(luò)被非法接入的風險。由此需要5G電力虛擬專網(wǎng)能夠提供終端接入認證、二次認證等縱向認證措機卡綁定：核心網(wǎng)側(cè)將終端USIM卡的IMS二次認證：基于3GPP二次認證架構(gòu)及標準協(xié)議完成終端到DN-AAA服務(wù)器之間的終端二次鑒權(quán)認證，二次認證失敗后則不允許終端訪問安全模塊認證：終端集成國密型號的安全模塊，與中心側(cè)IPSecVPN安全網(wǎng)關(guān)之間建立VPN數(shù)據(jù)傳輸通道，實現(xiàn)網(wǎng)絡(luò)層雙向身份認證。在實際應用中，應根據(jù)不同業(yè)務(wù)安全等級和縱向認證要求來選擇合適的隔離方式。尤其是在5G引入多層次鑒權(quán)認證體系的前提下，可視業(yè)務(wù)數(shù)據(jù)加密和身份認證需求，靈活使用相應的鑒權(quán)認證模式，簡化傳統(tǒng)基于硬件安全模4.3云邊協(xié)同的安全應用，支撐安全防護及監(jiān)測4.3.1基于基礎(chǔ)設(shè)施和APP業(yè)務(wù)的MEC安全防護1、針對MEC平臺能力開放的特性，部署vFW（虛擬防火墻）等虛擬化安全組件對來自邊緣APP的訪問進行過濾。APP與MEC平臺之間2、提供APP全生命周期安全防護，保障業(yè)務(wù)及應用安全。對APP使用的資源進行隔離，對APP鏡像和鏡像倉庫進行完整性和機密性、訪問控制保護。另外，對APP提供包括身份安全、鏡像安全、入侵檢測等的安全防護。4.3.2全天候全方位的5G網(wǎng)絡(luò)安全態(tài)勢感知電力企業(yè)通過部署網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，集成用戶側(cè)安全設(shè)備內(nèi)置的安全探針、運營商安全能力開放平臺開放的網(wǎng)絡(luò)安全能力，下發(fā)安全策95G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書94.3.35G+區(qū)塊鏈的安全認證模式5G電力虛擬專網(wǎng)的融合性，以及5G邊緣計算的分布性特征與區(qū)塊鏈應用具有一定的匹配性。一方面，電力專用UPF/MEC既是電力客戶用戶面的專用網(wǎng)元，也同時受到運營商控制面的管理，是未來電力企業(yè)與運營商企業(yè)構(gòu)建聯(lián)盟鏈區(qū)塊鏈的關(guān)鍵節(jié)點；另一方面，電力專用UPF/MEC因此，在5G系統(tǒng)自身的認證及數(shù)據(jù)加密的基礎(chǔ)上，可通過5G能力開放、MEC邊緣計算等技術(shù)，疊加區(qū)塊鏈技術(shù)，使5G電力虛擬專網(wǎng)跨域信息上鏈，尤其是基于電力企業(yè)、運營商企業(yè)的聯(lián)盟鏈，在面向配電網(wǎng)終端可信接入、配電網(wǎng)差動保護的局域通信群組成員管理、需求側(cè)響應、網(wǎng)荷互動、虛擬電廠、電力市場交易等場景，進一步提高4.4數(shù)據(jù)加密傳輸針對5G電力虛擬專網(wǎng)的數(shù)據(jù)加密傳輸需求，可將5G-CPE終端與國密型號的安全模組一起實現(xiàn)IPSecVPN隧道，支撐終端安全接入認證及通信加密。對于重點防護的調(diào)度中心、發(fā)電廠、變電站，由于其數(shù)據(jù)的高度敏感性，應當設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或加密認證網(wǎng)關(guān)及相關(guān)設(shè)施，實現(xiàn)端到端的雙向身份認證、數(shù)據(jù)加密和訪問控制。加密認證網(wǎng)關(guān)除具有加密認證裝置的全部功能外，還應實此外，5G通信機制要求用戶數(shù)據(jù)必須先經(jīng)過UPF再進行轉(zhuǎn)發(fā)，從而實現(xiàn)了從終端至基站至UPF的傳輸隧道，且不暴露在公網(wǎng)上，保障了用針對5G電力虛擬專網(wǎng)的信令面數(shù)據(jù)加密傳輸要求，在如N2、N3、N4等信令面非服務(wù)化接口上需啟用內(nèi)置或外置IPSecVPN隧道對信令面數(shù)據(jù)傳輸過程中提供加密性保護和完整性保護，同時提供接口間的認證機制，防止攻擊者仿冒網(wǎng)元對5G電力針對數(shù)據(jù)泄露、勒索攻擊等數(shù)據(jù)安全威脅，可通過數(shù)據(jù)分級分類、敏感數(shù)據(jù)加密、流量監(jiān)測等措施，提供覆蓋數(shù)據(jù)存儲、處理、交換等環(huán)節(jié)的4.5安全事件響應智能電網(wǎng)業(yè)務(wù)及應用系統(tǒng)眾多，對機密性、完整性、可用性、可靠性等方面要求高，而5G新技術(shù)多，參與方多，體系復雜，要保證電力業(yè)務(wù)安全可靠運行，預防各種網(wǎng)絡(luò)安全事件的發(fā)生，需要5G電力虛擬專網(wǎng)提供高效的安全事件響應能力，有效實現(xiàn)各方協(xié)同聯(lián)動，共同應對5G+智能電網(wǎng)安全挑戰(zhàn)。因此，電力企業(yè)可與運營商、供應商、行業(yè)協(xié)會、標準組織等業(yè)界伙伴合作構(gòu)建生態(tài)合作體系，充分利用外部技術(shù)力量做好安全事件的預防、監(jiān)控與處理。例如，建立安全事件響應流程與機制；掃描和接收來自企業(yè)內(nèi)部、外部的網(wǎng)絡(luò)安全事件或漏洞報告；確認事件或漏洞是否存在，確定嚴重級別、影響范圍；分析其根本原因以及抑制、消除影響的方案；監(jiān)控事件或漏洞方案實施進展情況；針對電磁干擾及物理破壞等開5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書055G電力5.15G電力廣域虛擬專網(wǎng)應用案例目前示范區(qū)內(nèi)已經(jīng)完成了變電設(shè)備在線監(jiān)測、配電自動化、配網(wǎng)差動保護、配網(wǎng)PMU等生產(chǎn)控制類業(yè)務(wù)，以及輸電線路狀態(tài)在線監(jiān)測及視頻監(jiān)控、巡檢機器人、智能配電房等管理信息大區(qū)業(yè)務(wù)的試點運行。目前各業(yè)務(wù)試點整體運行情況良好，打造了廣域環(huán)境下5G電力虛擬專網(wǎng)業(yè)1.可靠的安全隔離性能。基于5G電力虛擬專網(wǎng)頂層架構(gòu)，通過在無線側(cè)空口RB資源預留、傳輸側(cè)配置FlexE硬管道、核心網(wǎng)側(cè)開通電力專用切片、部署電力專用的UPF+MEC設(shè)備，實現(xiàn)了電力業(yè)務(wù)與其它公眾用戶、行業(yè)用戶業(yè)務(wù)的隔離，確保承載生產(chǎn)控制類業(yè)務(wù)的5G切片具備端到端隔離性能，改善了4G網(wǎng)絡(luò)下只具備邏輯隔離條件的掣肘，充分滿足電力2.穩(wěn)定的超低時延和精準授時性能?；?G的超低時延和精準授時性能，滿足了配網(wǎng)差動保護及配網(wǎng)同步相量測量業(yè)務(wù)的承載需求。根據(jù)電力終端的統(tǒng)一管理，解決電力5G應用場景豐富多樣，網(wǎng)絡(luò)組網(wǎng)架構(gòu)復雜多變的背景下，對網(wǎng)絡(luò)靈活管控的需求、網(wǎng)絡(luò)通道管理的需求、海量終端監(jiān)控的需求，降低網(wǎng)絡(luò)運維復雜度，保障電力5G5.25G電力局域虛擬專網(wǎng)應用案例5G電力局域虛擬專網(wǎng)應用層面，已應用案例在火電廠、換流站等場景，通過共建共享等方式實現(xiàn)了5G網(wǎng)絡(luò)全覆蓋，提高智能化運維及管火電廠應用案例內(nèi)的5G電力虛擬專網(wǎng)全面采用了uRLLC、mMTC、eMBB三種5G網(wǎng)絡(luò)切片，應用成果覆蓋5G+大型工業(yè)系統(tǒng)控制、5G+移動視頻監(jiān)視、5G+傳感器接入、5G+人員安全管控、5G+智能巡檢、5G+設(shè)備運維診斷、5G+安全應急等典型火電廠業(yè)務(wù)場景。運用5G網(wǎng)絡(luò)融入了火電廠智能發(fā)電平臺ICS、智慧管理平臺IMS的全業(yè)務(wù)領(lǐng)域，采用了如下電廠內(nèi)5G專網(wǎng)安全應用模式，有效支撐了各項業(yè)務(wù)應1、高質(zhì)量覆蓋。通過5個室內(nèi)外5G宏基站、37個5G微基站，構(gòu)建了廠級5G自組織網(wǎng)絡(luò)，實現(xiàn)了火電廠區(qū)0.28平方公里5G信號的高質(zhì)量無死角全覆蓋。5G網(wǎng)絡(luò)下行速率350Mbps,上行速率160M換流站應用案例內(nèi)的5G電力虛擬專網(wǎng)主要為中安全業(yè)務(wù)和通用安全業(yè)務(wù)，例如：現(xiàn)場作業(yè)管控終端、設(shè)備移動監(jiān)控、單兵作業(yè)終端、智能巡檢機器人、滅火機器人、電力無人機等，為滿足各類業(yè)務(wù)的安全接巡檢機器人、滅火機器人、電力無人機等，為滿足各類業(yè)務(wù)的安全接1.靈活的業(yè)務(wù)可靠接入。換流站各種類型業(yè)務(wù)終端的相應系統(tǒng)一般部署在站內(nèi)或者省電力公司，MEC靈活的數(shù)據(jù)分流及轉(zhuǎn)發(fā)卸載能力，解終端數(shù)據(jù)經(jīng)MEC分流后通過電力通信網(wǎng)傳輸至省電力公司接入相應系統(tǒng)；中安全業(yè)務(wù)系統(tǒng)部署于換流站時，終端數(shù)據(jù)經(jīng)MEC本地卸載后接入站內(nèi)服務(wù)器，經(jīng)MEC分流后的業(yè)務(wù)數(shù)據(jù)進入管理信息大區(qū)需經(jīng)過安全接入網(wǎng)關(guān)等安全防護設(shè)備。2.安全的數(shù)據(jù)隔離保障。換流站部署的5G基站與MEC均為電力專用，通過搭建5G局域虛擬專網(wǎng)，保證電力業(yè)務(wù)數(shù)據(jù)不出園區(qū)，達到了較高的安全隔離效果。同時業(yè)務(wù)數(shù)據(jù)傳輸過程采取機卡綁定、二次認證、安全模塊認證等技術(shù)，實現(xiàn)終端和業(yè)務(wù)之間的安全傳輸，滿足各類作業(yè)3.高性能的業(yè)務(wù)應用體驗。5G園區(qū)專網(wǎng)可靈活進行無線側(cè)幀結(jié)構(gòu)配置，保證上下行速率配比，提升網(wǎng)絡(luò)Qos保障性能。換流站連續(xù)兩年在年度檢修工作中，利用5G大帶寬能力保障現(xiàn)場作業(yè)管控、安全布控球等設(shè)備的實時傳輸，實現(xiàn)多個作業(yè)面、大量作業(yè)人員的實時安全管控，管控效率顯著提升。根據(jù)站內(nèi)測試情況，終端數(shù)據(jù)經(jīng)MEC本地卸載后直接進入服務(wù)器的單向平均傳輸達到了超低時延的通信性能，機器人、無人5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書06總結(jié)與展望5G是全球新一輪科技革命和產(chǎn)業(yè)變革的代表核心技術(shù)之一，“5G+數(shù)字電網(wǎng)”融合發(fā)展為深入貫徹習近平網(wǎng)絡(luò)強國重要思想，服務(wù)新型電力系統(tǒng)建設(shè)和數(shù)字化轉(zhuǎn)型，為電力行業(yè)“5G+數(shù)字電網(wǎng)”建設(shè)及規(guī)?；瘧锰峁┛煽康木W(wǎng)絡(luò)安全保障，5G電力虛擬專網(wǎng)也需隨著行業(yè)需求的發(fā)展不斷提升切片技術(shù)方面，