5G電力行業(yè)應(yīng)用安全需求與架構(gòu)白皮書

5G電力行業(yè)應(yīng)用安全需求與架構(gòu)IMT-2020(5G)推進(jìn)組2022年11月2 3 4 4 5 8 11 13 15 15 16 16 17 19 19 19 20 3之路，這無疑給電力上下游企業(yè)取得新一輪增長注入攻擊及侵害，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。我國國家發(fā)展與改革委員會(huì)于2014年發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國家發(fā)展改革委員會(huì)2014年第14號令），規(guī)定中指出[2015]36號），方案確定了電力監(jiān)控系統(tǒng)安全防護(hù)體系的總體框架，細(xì)化了電力監(jiān)廠、變電站、配電等的電力監(jiān)控系統(tǒng)安全防護(hù)電力系統(tǒng)對安全要求高，故障需要實(shí)時(shí)快速響4過5G切片技術(shù)滿足資源保障、安全性、可靠性/可用性等多方面的隔離需求，具體到電力應(yīng)數(shù)據(jù)網(wǎng)絡(luò)，光纖資源已實(shí)現(xiàn)35kV及以上廠站、自有物業(yè)辦公場所/營業(yè)所全覆蓋。在配電通5采集類業(yè)務(wù)中，5G將推動(dòng)收集和提供整個(gè)系統(tǒng)的原始用電信息；在移動(dòng)應(yīng)用類業(yè)務(wù)中，5G合業(yè)務(wù)中，5G技術(shù)將推進(jìn)平臺(tái)型、共享型企6流矢量值（Sv采樣值），DTU終端通過比較兩端或多端同時(shí)刻的電流矢量值，并根據(jù)電流差它終端發(fā)送電流矢量值。配網(wǎng)差動(dòng)保護(hù)通過5G高通信時(shí)延要求不高，適合5G技術(shù)體制下的mM電分析和管理等功能，用電信息采集系統(tǒng)由主站、遠(yuǎn)程及本地通道、集中器和采集器/電表體制下的eMBB應(yīng)用場景，典型的業(yè)務(wù)有移動(dòng)巡檢類業(yè)務(wù)和輸電線路在線78方式結(jié)合，滿足各種電網(wǎng)新型業(yè)務(wù)的個(gè)性化通片技術(shù)劃分電力行業(yè)專用切片用于為配網(wǎng)PMU、配網(wǎng)差動(dòng)保護(hù)和配電自動(dòng)化三遙等電力行業(yè)留，在傳輸網(wǎng)和核心網(wǎng)通過資源物理隔離滿針對電力行業(yè)的配網(wǎng)PMU、配網(wǎng)差動(dòng)保護(hù)和配電自動(dòng)化三遙等電力生產(chǎn)控制大區(qū)業(yè)務(wù)場實(shí)現(xiàn)生產(chǎn)控制類業(yè)務(wù)的網(wǎng)絡(luò)專屬保障，并可進(jìn)一步劃分不同切片分別為配網(wǎng)PMU、配網(wǎng)差動(dòng)巡檢、智能配電房等業(yè)務(wù)提供網(wǎng)絡(luò)切片服務(wù)，滿足業(yè)務(wù)間隔9務(wù)編排中心，攜帶切片業(yè)務(wù)標(biāo)識(S-NSSAI)，切片簽約省份、切片是否跨省、切片類型和切片SLA指標(biāo)等。業(yè)務(wù)編排中心生成網(wǎng)元部署信息和切片初網(wǎng)元部署信息包括無線模板(輸入AMF列表、接入U(xiǎn)PF列表、覆蓋等)、傳輸模板(基站側(cè)VLANID、UPF側(cè)VLANID等)和核心網(wǎng)模板(新建UPF信息、新建UPF數(shù)構(gòu)和帶寬等)、傳輸配置信息(傳輸隔離要求、VPN業(yè)務(wù)參數(shù)和基站側(cè)VLANID等)和核心網(wǎng)局?jǐn)?shù)據(jù)(切片AMF配置信息、切片SMF配置信息、切片UPF配置信息電力行業(yè)用戶簽約，通過物聯(lián)網(wǎng)BOSS發(fā)送用戶的5G針對電力行業(yè)專用切片配置對應(yīng)的QoS參數(shù)，核心網(wǎng)支持根據(jù)用戶簽約和業(yè)務(wù)信息配置各切片QoS保障數(shù)據(jù)，并下發(fā)至終端和無線側(cè)。終端和無線側(cè)支持按照規(guī)則將業(yè)務(wù)流匹配到MFBR等參數(shù)實(shí)現(xiàn)限速；核心網(wǎng)支持根據(jù)UE-AMBR進(jìn)行限速，以及根據(jù)運(yùn)營商要求，逐業(yè)務(wù)進(jìn)終端、無線和核心網(wǎng)應(yīng)支持通過GBR等參數(shù)配置實(shí)現(xiàn)絕對速率的下限保障。其中無線還終端、無線和核心網(wǎng)應(yīng)支持3GPP協(xié)議中定義的標(biāo)準(zhǔn)5QI，針對電力低時(shí)延控制類業(yè)務(wù)、無線應(yīng)支持通過MinBR/PBR實(shí)現(xiàn)最低速率保障，通過調(diào)度級別參數(shù)配置實(shí)現(xiàn)相對調(diào)度優(yōu)先級保障，以及根據(jù)5QI按需開啟專門的時(shí)延保障增強(qiáng)功能和可靠性保障功能。比如，針對特定5QI承載配置更低碼率的MCS策略、支持PDCP重復(fù)、支持mini-slotaggregation/repetition等。5QI映射指標(biāo)表如表2-BudgetMaximumVolumeAveragingWindow1N/A2N/A3N/A4N/A5Non-GBRN/AN/A6N/AN/A7N/AN/A8N/AN/A9N/AN/A的映射關(guān)系。承載應(yīng)支持根據(jù)核心網(wǎng)、無線映射的DSCP等參數(shù)進(jìn)行QoS調(diào)度。傳輸應(yīng)支持根據(jù)核心網(wǎng)、無線映射的VLANPri、DSCP等參數(shù)進(jìn)行智能電網(wǎng)的總體工作。2009年5月21日，美國眾議院能源和商業(yè)委員會(huì)通過《美國清潔能源遠(yuǎn)發(fā)展需求，以改革創(chuàng)新為核心，以“互聯(lián)網(wǎng)+”為手段，以智能化為基礎(chǔ)，緊緊圍繞構(gòu)建源強(qiáng)國轉(zhuǎn)變和經(jīng)濟(jì)提質(zhì)增效升級奠定堅(jiān)實(shí)基礎(chǔ)。2016年11月7日，國家能源局發(fā)布《電力發(fā)上的突破，為智能電網(wǎng)的建設(shè)奠定了基礎(chǔ)。采集類業(yè)務(wù)、移動(dòng)應(yīng)用類業(yè)務(wù)、多站融合為代表的電網(wǎng)新型業(yè)務(wù)。在“十四五”建設(shè)期，順控、變電巡檢機(jī)器人、配電自動(dòng)化三遙、配網(wǎng)PMU等15類業(yè)務(wù)5G連通性測試，維護(hù)5G+智確了對終端自身的安全防護(hù)和接入網(wǎng)絡(luò)時(shí)對終端的保護(hù)及電力行業(yè)切片的網(wǎng)絡(luò)安全包括切國際標(biāo)準(zhǔn)化組織（ISO）和電信標(biāo)準(zhǔn)化顧問組（TSAG）等。2000年5月，IEC發(fā)布了《電氣/程電子部件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)的整體安全生命周安全系統(tǒng)組合的問題。2003年，IEC發(fā)布《流程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》，即2019年6月，國家標(biāo)準(zhǔn)化管理委員會(huì)公布“關(guān)于推廣國家技術(shù)標(biāo)準(zhǔn)創(chuàng)新基地（智能電網(wǎng)）建取得一定的階段性成果：2022年3月，5G應(yīng)用產(chǎn)業(yè)方陣聯(lián)合確定性網(wǎng)絡(luò)產(chǎn)業(yè)聯(lián)盟發(fā)表《5G電電力虛擬專網(wǎng)安全參考方案，分別針對5G電力廣域虛擬和局域虛擬專網(wǎng)進(jìn)行了案例應(yīng)用分析；2020年7月，由中國電信牽頭、聯(lián)合南方電網(wǎng)、國家電網(wǎng)、中國移動(dòng)、中國電信、華為以及VDF等歐洲運(yùn)營商和政府機(jī)構(gòu)等28家單位在3GPPR18成功立項(xiàng)5G智能電網(wǎng)需求框架，首次為5G在電力行業(yè)的應(yīng)用構(gòu)筑了體系化的安全標(biāo)準(zhǔn)平臺(tái)。該標(biāo)準(zhǔn)的立項(xiàng)成功離不開5GDNA聯(lián)盟中南方電網(wǎng)、國家電網(wǎng)等產(chǎn)業(yè)PoC樣板項(xiàng)目的輸入，依托本次立項(xiàng)，5GDNA會(huì)持續(xù)加強(qiáng)與3GPP、IEEE、5G-ACIA、CIGRE等國際標(biāo)準(zhǔn)組的合作，確保5G+智能電網(wǎng)項(xiàng)目在3GPP等國際標(biāo)區(qū))和非控制區(qū)(即安全Ⅱ區(qū))，控制區(qū)和非控制區(qū)至少應(yīng)邏輯隔離，生產(chǎn)控制大區(qū)與b)傳輸網(wǎng)按切片為客戶業(yè)務(wù)提供生產(chǎn)控制大區(qū)業(yè)務(wù)和管理大區(qū)業(yè)務(wù)硬隔離；g)向用戶提供抗DDOS、防火墻、IDS/IPS、WA域，防止越權(quán)運(yùn)維；流程內(nèi)的不同節(jié)點(diǎn)也支持指定相應(yīng)a)生產(chǎn)和管理資源隔離：在5GSA端到端網(wǎng)絡(luò)構(gòu)建生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個(gè)隔離，無線網(wǎng)根據(jù)業(yè)務(wù)特點(diǎn)靈活選擇QoS及RB資源隔離方式，部分變電站、配電房b)生產(chǎn)大區(qū)內(nèi)部的I區(qū)和II區(qū)，應(yīng)至少實(shí)現(xiàn)無線側(cè)、傳輸側(cè)和核心網(wǎng)側(cè)的端到端網(wǎng)絡(luò)c)電力終端和主站業(yè)務(wù)平臺(tái)之間的通信，應(yīng)采取端d)電力業(yè)務(wù)接入的5G終端應(yīng)集成安全模塊或安全芯片，支e)應(yīng)對控制命令和參數(shù)設(shè)置命令使用基于非對稱加密算法的認(rèn)證加密技術(shù)進(jìn)行安全根據(jù)電網(wǎng)安全生產(chǎn)控制大區(qū)業(yè)務(wù)及管理信息大區(qū)業(yè)務(wù)安全隔離需求，在5GSA端到端網(wǎng)圖2包含電網(wǎng)專用切片的一個(gè)三層組網(wǎng)方案，其中（電力Ⅲ/IV區(qū)業(yè)務(wù)）、移動(dòng)應(yīng)用類業(yè)務(wù)形成護(hù)原則之間構(gòu)成相輔相成的關(guān)系，共同組成完分體現(xiàn)，并且要求分層切片架構(gòu)從網(wǎng)絡(luò)技術(shù)上保障智能電網(wǎng)的“安全分區(qū)、網(wǎng)絡(luò)專用、橫（eMBB和mMTC），其中，生產(chǎn)大區(qū)I和II又各自包括切片1和切片5，以及切片2和切片6，不保護(hù)，確保未授權(quán)的站點(diǎn)無法從網(wǎng)絡(luò)中截取數(shù)據(jù)；而對于傳輸網(wǎng)，可使用IPsec保障傳輸數(shù)據(jù)的安全，但基于性能和安全的平衡考慮，可暫不啟用IPsec，而考慮應(yīng)用層加密的方式保a)無線空口按切片為客戶業(yè)務(wù)提供高優(yōu)先級QoS或RB無線空口資源預(yù)留b)傳輸網(wǎng)按切片為客戶業(yè)務(wù)提供FlexE方式，實(shí)現(xiàn)生產(chǎn)控制大區(qū)業(yè)務(wù)和管理大區(qū)業(yè)務(wù)2)電力業(yè)務(wù)終端，采用接入雙向認(rèn)證機(jī)制（通過終端的NSSAI為終端選擇正確的），3)傳輸網(wǎng)為生產(chǎn)控制大區(qū)業(yè)務(wù)提供Fl6)管理面的接口都具備認(rèn)證和鑒權(quán)功能，管理面的傳輸通過TLS加密和完整性保電力業(yè)務(wù)終端接入5G+智能電網(wǎng)滿足國家能b)電網(wǎng)用戶自主部署認(rèn)證鑒權(quán)服務(wù)器(如AA步發(fā)展?；诎灼难芯砍晒ㄗh從以下3個(gè)方面一是出臺(tái)5G電力應(yīng)用安全相關(guān)政策指引性文件。建立主管部門加強(qiáng)協(xié)同聯(lián)動(dòng)和溝通銜標(biāo)準(zhǔn)研究，明確標(biāo)準(zhǔn)化重點(diǎn)方向，加強(qiáng)5G+電力基礎(chǔ)共性標(biāo)準(zhǔn)、融合設(shè)備標(biāo)準(zhǔn)、解決方案標(biāo)用標(biāo)準(zhǔn)的迭代、評估和優(yōu)化，促進(jìn)相關(guān)標(biāo)準(zhǔn)在重點(diǎn)場景的應(yīng)5G作為實(shí)現(xiàn)萬物互聯(lián)的關(guān)鍵信息基礎(chǔ)設(shè)施，是驅(qū)動(dòng)國家經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型的重要力量。我國5G正式商用3年來，在各方共同努力下，我國5G創(chuàng)新發(fā)展取得積極進(jìn)展，網(wǎng)絡(luò)規(guī)模5G+電力行業(yè)應(yīng)用安全相關(guān)政策、標(biāo)準(zhǔn)、產(chǎn)業(yè)將進(jìn)一步健全完善，通信網(wǎng)絡(luò)的安全能力與電3rdGenerationPartners5thGenerationMobileCAuthenticationandKeyAgAMBRAggregatedMaximumBitRDistributedDenial-of-serviceEnhancedMobileBroMulti-accessEdgeCompumassiveMachineTypeofCommunicationNFVONetworkFunctionsVi