5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全白皮書2025

2022202235G5G5G112、5G電力業(yè)務(wù)安全需求分 5G電力虛擬專網(wǎng)安全風(fēng)險分 3、5G5G電力虛擬專網(wǎng)安全需求分 3、5G5G承載電力業(yè)務(wù)的安全模 高安全業(yè)務(wù)應(yīng)用安全模 中安全業(yè)務(wù)應(yīng)用安全模 通用安全業(yè)務(wù)應(yīng)用安全模 4、5G5G電力虛擬專網(wǎng)總體安全參考架 4、5G端到端切片安全隔離，提供電力虛擬專用網(wǎng) 接入網(wǎng)隔 傳輸網(wǎng)隔 核心網(wǎng)隔 多層次認(rèn)證體系，滿足縱向認(rèn)證要 云邊協(xié)同的安全應(yīng)用，支撐安全防護(hù)及監(jiān) 基于基礎(chǔ)設(shè)施和APP業(yè)務(wù)的MEC安全防 全天候全方位的5G網(wǎng)絡(luò)安全態(tài)勢感 5G+區(qū)塊鏈的安全認(rèn)證模 數(shù)據(jù)加密傳 5、5G安全事件響 5、5G5G電力廣域虛擬專網(wǎng)應(yīng)用案 5G電力局域虛擬專網(wǎng)應(yīng)用案 66附錄A：B：5G5G5G5G電力虛擬專網(wǎng)安全解決方案，并5G電力虛擬專網(wǎng)安全應(yīng)用案例。Multi-accesseg)5G5G5G5GMEC、能力開放等技術(shù)，在無線、承載、核心網(wǎng)等環(huán)節(jié)虛擬出一張面向5G能配電網(wǎng)微型同步相量測1、連接模式：子站主站模式，2312、采集頻次提升（計量分鐘級3、精準(zhǔn)控制（毫秒級別，節(jié)點(diǎn)級單終端帶寬為100k~2Mbps，1234AI智慧園區(qū)、智慧電廠、地下12面向上述需求，5G電力虛擬專網(wǎng)能夠?yàn)殡娋W(wǎng)不同分區(qū)業(yè)務(wù)提供高可靠安全隔離解決方案，基于軟件定義網(wǎng)絡(luò)(SDN,SoftwareDefinedNetwork(NFVNetworkFunctionVirtualization)(SBAService-basedArchitecture5G同時隨著能源大數(shù)據(jù)、綜合能源服務(wù)等新興業(yè)務(wù)不斷涌現(xiàn)，電力業(yè)務(wù)環(huán)境更加開放、生態(tài)更加復(fù)雜、數(shù)據(jù)共享更加頻繁，電力業(yè)務(wù)的承載網(wǎng)絡(luò)安5G5G2.12.15G5G5G電力虛擬專網(wǎng)5G201414[2015]36高安全業(yè)務(wù)是指與電力調(diào)度生產(chǎn)直接相關(guān)的生產(chǎn)控制類業(yè)務(wù)，通常部署在生產(chǎn)控制大區(qū)涉及實(shí)時控制類及感知采集類業(yè)務(wù)，如安全自動控制（安全接入網(wǎng)關(guān)等）接入業(yè)務(wù)主站。中安全業(yè)務(wù)人桌面計算機(jī)相關(guān)，如電力調(diào)度運(yùn)行管理系統(tǒng)、資產(chǎn)管理系統(tǒng)等業(yè)務(wù)。中安全業(yè)務(wù)分布廣泛，人機(jī)互動頻繁，安全防護(hù)需求較高，需通過無線虛擬專網(wǎng)和防火墻接入信息內(nèi)網(wǎng)，再通過安全接入平臺接入業(yè)務(wù)主站。通用安全業(yè)務(wù)類業(yè)務(wù)安全防護(hù)需求不高，通過互聯(lián)網(wǎng)通道實(shí)現(xiàn)接入。5G電力虛擬專網(wǎng)安全風(fēng)險分析5G5G,5G5G2.1，5G2.15G風(fēng)險威脅（一）物理破壞導(dǎo)致全國停電。MEC、PFME、UPF設(shè)備進(jìn)行破壞、非授權(quán)訪問，導(dǎo)致設(shè)備損壞、通信中斷等風(fēng)險。（二）DDOS（三）SQL注入、默認(rèn)賬戶口令、數(shù)據(jù)庫平臺漏洞、濫用合（四）5G電力虛擬專網(wǎng)安全需求分析2-25G的安全監(jiān)測、制定安全管電力設(shè)備的安全監(jiān)物理隔離、電力專用安全裝置、多層次認(rèn)證、增強(qiáng)邏輯隔離、電力專用安全加密算法、專用加密認(rèn)證裝置、多層次認(rèn)證、增強(qiáng)認(rèn)證的5G電力專用安全加密算法、5G網(wǎng)絡(luò)主認(rèn)5G5G5G本章節(jié)重點(diǎn)從隔離、認(rèn)證、安全監(jiān)測與響應(yīng)等應(yīng)用方面，對高安全業(yè)務(wù)、中安全業(yè)務(wù)、通用安全業(yè)務(wù)三種模式的電力業(yè)務(wù)開展需求匹配，5G5G承載電力業(yè)務(wù)的安全模型5G網(wǎng)絡(luò)通信能力，以高安全業(yè)務(wù)、中安全業(yè)務(wù)、通用安全業(yè)務(wù)三種模式電力業(yè)務(wù)為維度，構(gòu)建了包括隔離、加密、認(rèn)證、監(jiān)測、響應(yīng)5G高安全業(yè)務(wù)中安全業(yè)務(wù)通用安全業(yè)響 加監(jiān) 認(rèn)3-15G模型中的隔離指對接入網(wǎng)資源（包括基站處理資源和無線頻譜資源）、承載網(wǎng)資源以及核心網(wǎng)資源，按照不同切片方案進(jìn)行劃分，可包括硬隔離和軟隔離。硬隔離接近于物理隔離強(qiáng)度，也稱為類物理隔離。例如為實(shí)現(xiàn)生產(chǎn)控制類業(yè)務(wù)和生產(chǎn)管理類業(yè)務(wù)的隔離，在無線側(cè)使用獨(dú)立頻譜、RB資源預(yù)留等方式，提供不同無線資源，在傳輸側(cè)使用傳輸設(shè)備承載信令和用戶面數(shù)據(jù)，并支持FlexE硬切片，在核心網(wǎng)側(cè)新建業(yè)務(wù)專用的邊緣軟隔離接近于邏輯隔離強(qiáng)度。例如不同大區(qū)區(qū)域內(nèi)部，根據(jù)業(yè)務(wù)需求進(jìn)行分類，不同分類采用不同的S-NSSAI實(shí)現(xiàn)隔離。在無線側(cè)采用不同業(yè)務(wù)共享RB預(yù)留資源以及5QI優(yōu)先級調(diào)度，在傳輸側(cè)支持基于VPN等技術(shù)，在核心網(wǎng)側(cè)可以根據(jù)業(yè)務(wù)需要，用戶面采用專用的或共享UPF，VPN加密技術(shù)、核心網(wǎng)側(cè)225G高強(qiáng)度安全隔離的網(wǎng)絡(luò)切片技術(shù)和可定制切片管理，為不同安全等級電力業(yè)務(wù)制定不同的切片策略，提供不同3AAA服務(wù)器和4、安全監(jiān)測：通過運(yùn)營商將5G網(wǎng)絡(luò)安全能力共享給電力行業(yè)的應(yīng)用，對終端、切片、MEC、專用UPF、安全防護(hù)設(shè)備等進(jìn)行統(tǒng)一監(jiān)控，實(shí)5G電力虛擬專網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知。高安全業(yè)務(wù)需采用電力專用通信網(wǎng)絡(luò)進(jìn)行加密傳輸和身份認(rèn)證，并與其他安全等級的業(yè)務(wù)在通信網(wǎng)絡(luò)上實(shí)現(xiàn)類物理隔離的安全防護(hù)能力。同一業(yè)務(wù)內(nèi)處于低等級安全防護(hù)能力的設(shè)備和網(wǎng)絡(luò)，應(yīng)當(dāng)通過必要的安全隔離措施實(shí)現(xiàn)與高等級安全防護(hù)能力的設(shè)備和網(wǎng)絡(luò)互聯(lián)。高安全業(yè)務(wù)應(yīng)在滿足其高實(shí)時、密集接入的前提下提供高性能等級的監(jiān)測能力，并能在網(wǎng)絡(luò)故障、受入侵等情況下提供相應(yīng)業(yè)務(wù)能力要求的響應(yīng)恢復(fù)能力。VPN5G電力虛擬專網(wǎng)總體安全參考架構(gòu)5G3-23-25G5G5G5G電力DNN與網(wǎng)絡(luò)切5G5G電力虛擬專網(wǎng)需遵循的“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”基本防護(hù)策略要求，在端側(cè)、管側(cè)、根據(jù)電力業(yè)務(wù)要求，需在不同安全分區(qū)或同一安全分區(qū)不同業(yè)務(wù)之間采用不同強(qiáng)度的隔離手段，例如針對高安全業(yè)務(wù)采用達(dá)到或接近物理5G5G5QI（5GQualityIdentifier，5GQoS）優(yōu)先級和RB（ResourceBlock，資源塊）資源預(yù)留，RB5G4G的重要特性。5QIPRB5GL1：FlexEOTNWDM軟隔離切片是在L2SR、MPLS-TP的隧道VPN、VLAN等的虛擬化技術(shù)。5G2/3/4G在實(shí)際組網(wǎng)中，應(yīng)根據(jù)不同業(yè)務(wù)安全等級和隔離要求來選擇接入網(wǎng)、傳輸網(wǎng)、核心網(wǎng)的隔離方式。例如針對高安全隔離要求的應(yīng)用，無RBFlexEUPFUPFAMFSMF5QINUPF根據(jù)電力業(yè)務(wù)要求，需采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。4G網(wǎng)絡(luò)中，各業(yè)務(wù)僅能通過APN名稱及密碼實(shí)現(xiàn)不同業(yè)務(wù)接入網(wǎng)絡(luò)的認(rèn)證，一旦認(rèn)證信息泄露，則存在電力網(wǎng)絡(luò)被非法接入的風(fēng)險。由此需要5G電力虛擬專網(wǎng)能夠4.1USIMIMSIIMEI3GPPDN-AAA服務(wù)器之間的終端二次鑒權(quán)認(rèn)證，二次認(rèn)證失敗后則不允許終端訪問安全模塊認(rèn)證：終端集成國密型號的安全模塊，與中心側(cè)IPSecVPN安全網(wǎng)關(guān)之間建立VPN數(shù)據(jù)傳輸通道，實(shí)現(xiàn)網(wǎng)絡(luò)層雙向身份認(rèn)證。在5G5G5GMEC區(qū)塊鏈的安全認(rèn)證模式探索。APPMEC電力MEC中包含連接（UPF，運(yùn)營商可信域）與計算（MEP+第三方APP，運(yùn)營商不可信域）兩部分，可采用如下手段提升電力MEC安全性。1、針對MEC平臺能力開放的特性，部署vFW（虛擬防火墻）等虛擬化安全組件對來自邊緣APP的訪問進(jìn)行過濾。APP與MEC平臺之間可按需進(jìn)行訪問控制及數(shù)據(jù)傳輸安全機(jī)制，如機(jī)密性、完整性保護(hù)及防重放攻擊。通過漏洞及端口掃描手段來關(guān)閉MEC平臺不必要的端口和服務(wù)。2APPAPPAPP鏡像和鏡像倉庫進(jìn)行完整性和機(jī)密性、訪APP全天候全方位的5G5G5G5G+5G5GUPF/MEC既是電力客戶用UPF/MEC5G5GMEC5G域信息上鏈，尤其是基于電力企業(yè)、運(yùn)營商企業(yè)的聯(lián)盟鏈，在面向配電網(wǎng)終端可信接入、配電網(wǎng)差動保護(hù)的局域通信群組成員管理、需求側(cè)響應(yīng)、網(wǎng)荷互動、虛擬電廠、電力市場交易等場景，進(jìn)一步提高融合信息的防篡改能力及安全可信度。5G5G-CPEIPSecVPN現(xiàn)電力系統(tǒng)數(shù)據(jù)通信應(yīng)用層協(xié)議及報文的處理。此外，5GUPFUPF的傳輸隧道，且不暴露在公網(wǎng)上，保障了用針對5G電力虛擬專網(wǎng)的信令面數(shù)據(jù)加密傳輸要求，在如N2、N3、N4等信令面非服務(wù)化接口上需啟用內(nèi)置或外置IPSecVPN隧道對信令面5G針對數(shù)據(jù)泄露、勒索攻擊等數(shù)據(jù)安全威脅，可通過數(shù)據(jù)分級分類、敏感數(shù)據(jù)加密、流量監(jiān)測等措施，提供覆蓋數(shù)據(jù)存儲、處理、交換等環(huán)節(jié)的一體化數(shù)據(jù)安全防護(hù)。5G5G5G+展監(jiān)測并給出響應(yīng)措施。5GMEC5GMEC5G終端安全接入的防護(hù)要求。高性能的業(yè)務(wù)應(yīng)用體驗(yàn)。5GQos保障性能。換流站連續(xù)兩年在年度檢修工作中，利用5G大帶寬能力保障現(xiàn)場作業(yè)管控、安全布控球等設(shè)備的實(shí)時傳輸，實(shí)現(xiàn)多個作業(yè)面、大量作業(yè)人員的實(shí)時安全管控，管控效率顯著提升。根據(jù)站內(nèi)測試情況，終端數(shù)據(jù)經(jīng)MEC本地卸載后直接進(jìn)入服務(wù)器的單向平均傳輸達(dá)到了超低時延的通信性能，機(jī)器人、無人5G電力廣域虛擬專網(wǎng)應(yīng)用案例5G5G5GSA6大類、515G智能電網(wǎng)應(yīng)用示范區(qū)。目前示范區(qū)內(nèi)已經(jīng)完成了變電設(shè)備在線監(jiān)測、配電自動化、配網(wǎng)差動保護(hù)、配網(wǎng)PMU等生產(chǎn)控制類業(yè)務(wù)，以及輸電線路狀態(tài)在線監(jiān)測及視5G電力虛擬專網(wǎng)業(yè)5GRBFlexE專用切片、部署電力專用的UPF+MEC設(shè)備，實(shí)現(xiàn)了電力業(yè)務(wù)與其它公眾用戶、行業(yè)用戶業(yè)務(wù)的隔離，確保承載生產(chǎn)控制類業(yè)務(wù)的5G切片具4G網(wǎng)絡(luò)下只具備邏輯隔離條件的掣肘，充分滿足電力業(yè)務(wù)承載的安全性要求。5G的超低時延和精準(zhǔn)授時性能，滿足了配網(wǎng)差動保護(hù)及配網(wǎng)同步相量測量業(yè)務(wù)的承載需求。根據(jù)PMU授時精度顯著提升，充分滿足了業(yè)務(wù)承載需求。電力終端的統(tǒng)一管理，解決電力5G應(yīng)用場景豐富多樣，網(wǎng)絡(luò)組網(wǎng)架構(gòu)復(fù)雜多變的背景下，對網(wǎng)絡(luò)靈活管控的需求、網(wǎng)絡(luò)通道管理的需求、海量5G應(yīng)用安全、高效、可靠運(yùn)行。5G電力局域虛擬專網(wǎng)應(yīng)用案例5G電力局域虛擬專網(wǎng)應(yīng)用層面，已應(yīng)用案例在火電廠、換流站等場景，通過共建共享等方式實(shí)現(xiàn)了5G網(wǎng)絡(luò)全覆蓋，提高智能化運(yùn)維及管火電廠應(yīng)用案例內(nèi)的5G電力虛擬專網(wǎng)全面采用了uRLLC、mMTC、eMBB三種5G網(wǎng)絡(luò)切片，應(yīng)用成果覆蓋5G+大型工業(yè)系統(tǒng)控制、5G+移動視頻監(jiān)視、5G+傳感器接入、5G+人員安全管控、5G+智能巡檢、5G+設(shè)備運(yùn)維診斷、5G5G網(wǎng)絡(luò)融入了火電廠智能發(fā)電平臺ICS、智慧管理平臺IMS的全業(yè)務(wù)領(lǐng)域，采用了如下電廠內(nèi)5G專網(wǎng)安全應(yīng)用模式，有效支撐了各項(xiàng)業(yè)務(wù)應(yīng)155G375G5G0.285G高質(zhì)量無死角全覆蓋。5G網(wǎng)絡(luò)下行速率350Mbps,上行速率160Mbps，網(wǎng)絡(luò)雙向時延小于15ms，支持10的7次方個終端/平方千米的連接10Gbps。35G與火電分散控制系統(tǒng)DCS5G5G電力虛擬專網(wǎng)主要為中安全業(yè)務(wù)和通用安全業(yè)務(wù)，例如：現(xiàn)場作業(yè)管控終端、設(shè)備移動監(jiān)控、單兵作業(yè)終端、智能5G園區(qū)專網(wǎng)安全應(yīng)用模式：靈活的業(yè)務(wù)可靠接入。換流站各種類型業(yè)務(wù)終端的相應(yīng)系統(tǒng)一般部署在站內(nèi)或者省電力公司，MEC靈活的數(shù)據(jù)分流及轉(zhuǎn)發(fā)卸載能力，解終端數(shù)據(jù)經(jīng)MEC分流后通過電力通信網(wǎng)傳輸至省電力公司接入相應(yīng)系統(tǒng)；中安全業(yè)務(wù)系統(tǒng)部署于換流站時，終端數(shù)據(jù)經(jīng)MEC本地卸載后接入MEC分流后的業(yè)務(wù)數(shù)據(jù)進(jìn)入管理信息大區(qū)需經(jīng)過安全接入網(wǎng)關(guān)等安全防護(hù)設(shè)備。065G是全球新一輪科技革命和產(chǎn)業(yè)變革的代表核心技術(shù)之一，“5G+數(shù)字電網(wǎng)”融合發(fā)展是電網(wǎng)數(shù)字化轉(zhuǎn)型和新型電力系統(tǒng)建設(shè)的現(xiàn)實(shí)需求，為深入貫徹習(xí)近平網(wǎng)絡(luò)強(qiáng)國重要思想，服務(wù)新型電力系統(tǒng)建設(shè)和數(shù)字化轉(zhuǎn)型，為電力行業(yè)“5G+絡(luò)安全保障，5G5G5G電力虛擬專網(wǎng)將完善自身的安全管理，實(shí)現(xiàn)自主、安全、可控的目標(biāo)。同時，5G應(yīng)用方面，5G相關(guān)產(chǎn)業(yè)鏈上下游企業(yè)將持續(xù)支撐智能電網(wǎng)的發(fā)展需求，助力電力行業(yè)數(shù)字化發(fā)展，打造一批跨行業(yè)創(chuàng)新應(yīng)用以及5G應(yīng)用安5G5G5G安全國際評測認(rèn)證體系，推5G附錄A：5GCore5G5GDet