1、1212023.020 引言当前,5G 融合应用正处于规模化发展的关键期,以 5G为代表的新一代信息通信技术创新活跃,加速与经济社会各领域深度融合,5G 网络安全防护已成为关乎国民经济发展重要的“护航者”。移动互联网技术使得智能生产、远程办公、多方协同成为常态,人、业务、数据走出了“企业边界”,传统防御体系受到了更为严峻的挑战。企业仅能打造内生的边界防御,网络环境中企业自始至终存在安全威胁,5G 环境中企业依靠自身无法覆盖到万物互联的“边”。1 5G 网络安全新背景1.1 技术与政策跟踪近年来,5G、工业互联网、人工智能、区块链等技术在我国不断发展和落地应用。我国数字经济 2020 年即占到了
2、GDP比重的38.6%,新业态新技术在推动经济转型升级的同时,网络攻击、数据泄露、滥用等风险日益凸显,防范网络安全风险、构建安全防护体系成为各方共识1。随着网络攻击技术的更新迭代,从传统的僵木蠕到勒索与虚拟币挖矿(Bitcoin Mining),从漏洞利用套件(Exploit Kit)到供应链攻击,从反检测到无文件攻击,攻击者的工具和手法愈加复杂多变,难以检测。工业企业、政府部门、企事业单位、社会组织机构面临的网络威胁和挑战也愈加严峻,网络安全威胁防护的研发和应用已成为一项安全防护必备技能,受到安全厂商、用户机构和监管部门的广泛认可2。国家及相关主管部门陆续出台了数据安全法和信息安全技术关键信
3、息基础设施安全保护要求,将构建网络安全威胁防护能力视为维护国家网络空间安全的一项重要手段。1.2 现状与困难分析在复杂的网络生态中,企业网络安全防护主要面前以下几点问题:(1)网络安全监管跨部门协同能力弱。缺少统一的策略和规则管理管理,不适应 5G 行业下跨部门监管的新场景;(2)建设零碎化。垂直行业领域众多不同行业建设多呈现零碎化,医疗、金融、电力、石油、交通等行业对 5G 通信系统的需求都不一样,需要的解决方案千差万别,如何根据千变万化的需求做好对应的安全防护是一个巨大挑战。(3)需求模糊化。垂直行业,部分制造企业对 5G 的需求很清晰(如富士康、海尔等),但是还有很多行业企业对5G 能给
4、自身带来多大改善、自己到底需要什么解决方案并不明确,企业需要不断尝试和探索,极易造成现有网络安全防护建设的返工。(4)上下游协同问题。在实际的生产经营中有些问题是不可控的,比如制造业的机械臂,采购范围来自全球不一定5G 场景下面向工业企业网络安全防护方案的研究姚 斌 王方圆恒安嘉新(北京)科技股份公司摘要:在 5G 技术被工业企业广泛运用的当下,工业企业乘着工业互联网的浪潮正快速将各自的生产网络与互联网相连。当前,绝大部分工业企业在追求高速生产,降本增效的过程中并没能够充分意识到万物互联的环境中,处处隐藏着致命的威胁。针对 5G 环境的网络安全防护方案需要充分兼顾先进性、实用性与经济性。本文创
5、新地引入“独立车间”的边界防御理念,通过运营商建设全网 SaaS 化安全服务,面向企业提供安全威胁情报共享,打造移动网+城域网+IDC 网安安全的有效融合,在企业侧实现通过物理+网络空间的逻辑刻画构建新防御体系。助力企业实现“省人、省时、省事”的核心诉求。关键词:工业企业安全;5G 网络安全;网络安全防护1222023.02符合我国的标准和规范,这种情况下 5G 安全如何协同是非常繁琐的问题。(5)标准碎片化问题。标准是产业规模化的基础。垂直行业参与 5G 会议较少,5G 与垂直行业的合作方面,标准也有很多,如国际标准、国家标准、企业标准、行业标准、组织标准甚至没有标准,标准不统一也带来了很多
6、隐患。2 工业企业 5G 防护方案2.1 设计理念梳理在 5G 场景中,工业企业的网络安全防护应优先从企业的命脉“生产”出发,充分发挥 5G 生产助力+安全辅助核心优势,围绕生产制造元素打造了 5G 物联网智管平台,既助力了生产,又严守了安全;要充分考虑工业企业各生产车间设备单一、且分工明晰的情况,引入“独立车间”的边界防御理念,在各车间边界建立了独立的防御策略,可以大幅降低攻击事件的发生,充分践行“越简单,越安全”的防御思想;将资产台账的理念纳入安全防御,打造厂区智能资产“识别围栏”,一旦发现非登记设备、地址、协议或应用立即拦截并触发告警,让任何未知地址、未知设备无所遁形;充分发挥运营商核心
7、网安全防御的优势,转换固有思维,可以主动将相关安全预警信息推送工业企业,在厂区内打造“云端+厂端”安全情报双向融合;此外,还可以结合工业企业通常生产安全与网络安全同属一个部门管理的重要特点,利用 5G 切片,将监管的摄像头、温感、火感等物联网设备纳入统一的安全防御范畴,打造厂区内“物理防御+网络防御”的多域安全融合,切实助力企业实现“省人、省时、省事”的第一诉求。2.2 建设思路剖析首先,通过部署5G UPF下沉到厂区,借助网络切片能力,为不同应用预留独立通道,并充分发挥运营商核心网监管的独有优势,重点监测工业企业设备地址、物联网卡的安全风险,将安全事件以服务的方式积极推动至厂区 IT 中心;
8、其次,除常规的安全防御入侵检测之外,积极构建针对异常(行为、状态、数据)的基线能力,打造(入侵+异常)的双维度威胁感知;再次,在 MEC 环节构建全流量留存能力,形成风险溯源,保留攻击的“子弹时间”;最后,针对 IT、OT、CT 建设情报融合的全域风险防控能力。工业企业 5G 网络安全一体化防御能力离不开运营商的助力,比较有效的做法是在常规防御的基础上,通过运营商建设全网 SaaS 化安全服务,面向企业提供安全威胁情报共享,打造移动网+城域网+IDC 网安安全的有效融合,在企业侧实现通过物理+网络空间的逻辑刻画构建新防御体系。当然考虑企业的现实情况,网络安全防护平台的建设要源于对现有平台能力的
9、复用和改造,还应该进一步从监管视角、企业视角和运营商视角三个维度出发,以追求低成本、高价值、普适性、高可用的服务能力为设计目标3。2.3 主要功能设计工业企业 5G 网络安全防护方案要充分考虑到企业内网、运营商网络、互联网的三网边界属性,建立风险监测、事件溯源、情报联动以及紧急情况下的快速响应处置策略。在不考虑企业内部防护方案之外还应重点设计以下功能:(1)移动网络与宽带网络融合视角下的企业安全态势感知功能;(2)对攻击行为,特别是 5G 的全流量留存与 IP 溯源功能;(3)对 IPv6地址的风险对象 SRv6 智能管理功能;(4)对指定 5G 设备的AF 牵引与特定 UPF 的联动功能;(
10、5)面向大型企业长距离管理的 5G 安全 SaaS 服务功能;(6)面向企业移动网络和宽带网络的风险资产识别和聚类能力。网络安全分析深度以“痛苦金字塔”模型为理论基础,模型各层级由下至上分别为 Hash 值、IP 地址、域名、网络/主机工件、攻击工具、TTPs、攻击团伙、真实身份,其价值依次递增;针对当下 5G 环境中大量运用物联网设备以及 IPv4和 IPv6 共存的双栈场景设计贴合的兼容体系;防护能力遵循“采集-检测-分析-管控-服务”的逻辑关系,要能够有效规避因单点故障问题造成的安全能力“断档”。5G 网络环境下的安全防护功能实现需先对当前的网络安全防护平台进行升级改造,依托 5G 边界
11、安全采集探针实现对5G 全流量的监测能力,结合网络安全的情报与特征从而获得面向工业企业的网安、数安和信安事件的发现能力。然后进一步借助与工业企业注册信息的关联和通过对区域内互联网暴露面安全检测平台、IDC 监测平台的能力融合实现固网+移网的能力整合,打造良好的底座和基础。在大规模流量的环境中还可以联合运营商进一步通过打造全流量留存、SRv6、5G引流等能力,结合企业 MEC 边缘侧安全防护能力,构建起面向工业企业 5G 网络安全检测、防御、溯源、指向、服务于一体的工业 5G 安全赋能平台。3 思维创新与能力引入在工业企业的网络安全防护工作中,往往会受到很多生产要素的制约,这个时候需要根据工业企
12、业的特点因地制宜,特别是在5G网络场景的创新方面,可以引入以下几点防御思维:(1)打造面向移动网+城域网+IDC 网+企业内网的安全情报协同,建立全新的“广义边界”安全防护体系;(2)建设基于“时间分片”的全流量回溯能力,对关键能力采取全流量(下转第136页)1362023.02电源与节能2024 年计划在青海、西藏省、内蒙古自治区、云南省、甘肃省、宁夏回族自治区、新疆省等 7 个区域进行复制推广,促进 7 省通信及其他行业的节能减排工作,加快推进碳达峰碳中和专项工作。5 结束语5G一体化智慧电源柜具有“一升两降”共计三大应用价值。2020 年产品签约额 4000 万元,2021 年签约额达
13、1 亿元,预计未来 5 年全国市场占有率在现有基础上增长 10 倍。该产品为我国的 5G 新基建添砖加瓦,也为国家节能减排贡献了力量。5G 一体化智慧电源柜符合国家双碳战略及节能减排的发展战略和各运营商降本增效的建设思路。设备高度集成化、模块化和智能化能有效保障城市治理,党、政和中心企业相关业务需求,实现设备跨领域、跨平台、跨业务综合发展。同时,也充分推动落实国家网络强国政策,加快了 5G 网络建设,为打造 5G 精品网络提供良好的网络基础。作者简介:吴亚晖(1990),男,江苏南京人,工程师,硕士;研究方向:5G,通信原理算法。(收稿日期:2022-11-20;责任编辑:韩菁菁)回溯,实现安
14、全事件的回溯与 IP 精准溯源;(3)引入 SRv6技术到网络安全防护实战,使得系统具备对 5G 流量以及 IPv6应用的适配管控;(4)建设 AF+UPF 的 5G 引流能力联动,实现在 5G 网络安全紧急情况下基于号码的智能引流;(5)在网络安全中流量为最核心的载体,通过引入开放式 NTA 能力,打造 DPI+DFI+X 的 SaaS 弹性扩展,紧紧围绕生产提供广义边界的“安全+”的能力;(6)5G 环境下工业企业的网络安全防护能力建设,应该以刻画企业立体化安全风险为目标,综合考虑企业生产现场 5G 设备、物流运输的车联网设备、联网管理的工业互联网、物联网设备以及生产办公系统各网络边界的安
15、全风险检测与管理,打造企业级全方位、立体化的智能防控体系。4 结束语通过以上理念和技术实施,在多个系统方案中,遵循工业互联网基因驱动,引入了包括 SRv6、跨域微隔离、智能管控等多种新技术,实现了多产线、多平台的整合并进一步面向车间设计了独立的防御模型和异常行为研判算法,在防御环节实现了“虚-实”全方位实时感知,达成了生产安全一体化防御目的,也助力企业在一定层面上实现了“安全就是竞争力”的目标4。网络攻防技术总是此消彼长,工业企业的 5G 网络安全防护需要阶段性的评估、对照与优化。此外,还需要从更宏观的安全角度考虑工业企业整体的内生安全,自网络引入我国以来,绝大部分网络安全威胁均来自境外,因此
16、,相关生产和防护设备也应该充分考虑关键核心位置国产化设备的应用与体系化的深度适配,力求整体达到了自主可控,这样才能避免外部威胁对我国工业企业造成致命冲击。参考文献:1 肖子玉,吕红卫,赵存.面向垂直行业的 5G 网络规划设计方法论及产品化解决方案 J.电信科学.2021,4(2):7-10.2 赵丽华.大数据时代的计算机网络安全及防范措施 J.网络安全技术与应用.2019,3(4):24-25.3 邬贺铨.工业互联网的网络技术 J.信息通信技术,2020,3(2):35-36.4 王新宇.关于大数据技术在网络安全分析中的应用分析 J.缔客世界.2019,6(5):65-68.作者简介:姚斌(1972),男,江苏省南京市人,工程师,学士;研究方向:通信原理及物联网、工业互联网、网络安全、信息安全等。(收稿日期:2022-11-11;责任编辑:韩菁菁)(上接第122页)
浙ICP备2021020529号-1 | 浙B2-20240490 
