1、2019 年工业和信息化部印发“5G+工业互联网”512 工程推进方案,推动“5G+工业互联网”融合创新发展。江苏电信与中兴通讯共同探索 5G 工业应用场景,秉持“5G 制造5G”的理念,携手打造了“中兴通讯全球5G智能制造基地”(中兴滨江基地)。该项目申报的“5G+工业互联网安全实验室”入围 AII 第一批重点实验室,“5G+工业确定性网络实验室”入选 2020 年工业互联网联盟实验室(第二批),树立了 5G+工业互联网的标杆地位。随着滨江基地的持续建设,5G 技术逐步运用至生产调度、智能物流、仓储配送等各个环节。伴随 5G 应用与终端的增多,安全问题随之而来。为“5G 制造 5G”护航,成
2、为 5G+工业互联网健康可持续发展的迫切需求。1 背景据有关机构统计,80%的 5G 网络安全事件与终端有关。曾发生过黑客通过 5G 终端入侵网络,实施数据窃取和破坏的安全事件。在滨江基地的建设过程中,随着多样化 5G 终端的接入,终端引入的风险日益增加。如图 1 所示,目前基地部署了包括云化 AGV、5G 视频监控和巡逻机器人在内的 16 大类60 余种应用,使用终端数超 5000 台,出现较多与终端有关的安全威胁。抓住终端这个主要矛盾,消除终端引入的安全威胁,是建设滨江基地安全防护体系的核心工作,也是 5G+工业互联网安全工作的重要内容。为“5G 制造 5G”护航 中兴滨江 5G+工业互联
3、网安全体系建设实践邢学锋1 许晨敏21.中国电信股份有限公司江苏分公司;2.中兴通讯股份有限公司摘要:5G 定制网呈爆发式增长,新的网络、业务和终端引入了新的安全威胁。本方案以终端安全为切入点,通过开发 5G SIEM 平台,实现了终端、网络、云平台及数据等四种安全能力,建立了完备的网络安全保障体系,进行了 5G+工业互联网安全工作的有益实践。关键词:5G 定制网;5G+工业互联网;SIEM 平台;终端安全;CPE;电子围栏图 1 已部署 60 余种专网应用约 5000 个终端402023.065G天地基于以上背景,江苏电信联合中兴通讯、绿盟科技和东南大学等单位,以 5G 终端安全为主要切入点
4、,建设以终端安全为核心底座,兼顾网络、边缘云及数据等领域安全需求的防护体系,为“5G 制造 5G”护航,提供可复制的 5G 工业互联网安全解决方案,建设全国领先的 5G+工业互联网基地。2 需求分析5G 网络的特点包括:终端多样化、功能虚拟化、网络切片化、业务边缘化及应用多样化。与 4G 网络相比,5G 网络暴露给攻击者的信息量大幅增加,从而面临更高的安全风险。在进行5G网络建设时,需要对5G网络的安全性进行充分考虑。在滨江 5G+工业互联网基地的建设过程中,将 5G 网络和MEC 引入企业网络中,打破了传统企业网络相对封闭可信的环境。在接入层面,多样化的 5G 终端连接基站,各类终端自身的安
5、全漏洞、非法终端接入的安全威胁等问题是本方案的主要需求之一。如图 2 所示,在网络层面,整体分为运营商网络与企业网两大部分。运营商网络为企业提供 5G 的接入与传输通道。5G 核心网 UPF 下沉到园区,同时提供 MEC 服务;MEC 为客户提供基础 5G 网络服务,同时将客户业务部署在 MEC 上。网络边界被打破所引入的安全问题,是本方案考虑的另一重要因素。图 2 滨江 5G+工业互联网组网架构2.1 5G 终端安全风险5G 终端安全包括用户与信令数据的机密性保护、签约凭证的安全存储与处理、用户隐私保护等。在滨江基地中,5G 终端主要分为两大类:一是具备 SIM卡的 5G 终端,例如 5G
6、CPE;二是通过 CPE 接入的业务终端。目前各类 5G 终端约 800 多台,业务终端约 5000 多台。多样化终端的接入,带来了三类问题:首先,终端的大量接入对终端资产管理提出了较高的要求,由于缺乏统一的资产管理,发生安全事件后定位、溯源难,处置周期长,无法进行统一分析和呈现,不能实现跨域攻击的追踪,无法设置统一的安全策略;其次,由多家厂商提供的终端均不可避免地存在各类漏洞,给黑客入侵带来了可能;第三,存在非授权、非法终端接入的风险。上述问题都给 5G 网络造成较大的威胁。针对上述问题,需从强化终端安全管理、提升终端自身安全性及严控终端接入等多个方面开展工作,全方位提升 5G+工业互联网的
7、终端安全性。2.2 网络和边界安全风险网络中侵害行为主要透过网络边界实现,网络边界实际上就是网络安全的第一道防线。随着 5G 专网的引入,电信域和企业域、办公网与生产网、终端与基站等子网之间的隔离难度也在增大。UPF 下沉后 5G 专网进入企业,打破了原有相对封闭的组网格局,带来新的边界。更多的网络边界带来新的防护需求,现阶段可采取的手段包括开展网络隔离、构建安全传输通道等,从而建立可靠的安全防御体系。2.3 边缘云安全风险由于 UPF 下沉,使得 MEC 面临网络边界攻击、非法应用接入、行业应用泄露等问题,MEC 平台自身还存在着虚拟化基础设施风险、ME APP 应用安全风险、MEP 平台开
8、放风险等诸多安全问题。针对上述问题,可通过加强云虚拟设施安全防护、合理设置 APP 的访问权限、开展 APP 生命周期管理、构建 MEC内安全资源池等方式提升安全防护水平。412023.065G天地2.4 数据安全风险用户数据通过 5G 专网进行采集与传输,使得客户担心企业技术、商业机密被窃听和篡改等问题。可以采用数据不出园区的架构设计、多层次的隔离技术及加密传输等技术实现数据安全防护,从而保障 5G 网络中的数据安全。3 方案简介3.1 方案框架滨江 5G+工业互联网基地安全方案遵循等级保护 2.0 标准设计,以 5G 终端为切入点,构建终端安全为核心底座,自研5G SIEM(securit
9、y information and event management,安全信息和事件管理)平台为核心,兼顾网络、边缘云及数据等领域安全需求的防护体系,为“5G 制造 5G”护航。实现网络安全工作协同化、可视化,建立完备的网络安全保障体系,形成科学有效的安全管理架构。滨江 5G+工业互联网安全方案体系框架如图 3 所示。3.2 终端安全解决方案针对终端安全风险与需求,创新提出终端安全解决方案,保证可信终端接入。通过 5G SIEM 系统实现资产与安全事件关联分析,快速发现安全事件,定位问题资产,提高安全事件响应效率,降低安全事件所带来的损失。终端安全解决方案如图 4 所示。本方案从固件层、硬件层
10、、网络层、应用层和管理层五个层级系统性解决终端带来的安全问题。针对滨江基地部署的多种终端,根据不同层级采取不同安全防护手段,保障多种行业应用的正常运行。下面分别从终端安全管理、终端自身安全、终端接入安全三个方面进行阐述。3.2.1 终端安全管理为实现终端安全管理,项目团队自主研发5G SIEM系统,实现资产与安全事件关联分析。终端及 5G 专网资产安全管理组网架构如图 5 所示。5G SIEM 系统支持对接流量探针设备、安全设备以及终端管理平台,利用流量基线、异常访问等检查功能识别攻击行为,通过采集安全日志、流量日志进行关联分析,发现威胁事件,通过对接 NodeEngine、ZTELink、I
11、OT 平台等终端管理平台,采集终端、5G 专网资产和物联网信息,发现木马病毒,防范恶意程序及非法外设。针对终端安全管理问题,5G SIEM 系统开发了资产安全管理等模块,支持安全管理与可视化呈现。5G SIEM 可完成基线核查、漏洞分析、威胁管理等工作,结合流量和资产异图 3 滨江 5G+工业互联网安全方案体系框图图 4 终端安全解决方案图 5 终端及 5G 专网资产安全管理组网架构图422023.065G天地图 6 5G SIEM 系统架构图常检测等分析引擎实现安全威胁预警,针对告警信息实现了自动化响应,基于大数据技术开展资产安全关联分析,并实现可视化呈现。5G SIEM 系统架构如图 6
12、所示。SIEM 系统的核心业务能力包括:(1)终端的 5G 资产安全管理实现对终端信息的采集、统计、查询,在网络拓扑中自动生成终端的位置和业务访问关系,通过对终端的属性、位置的检测,发现异常接入的设备,支持管理终端的资产类型、资产状态和资产风险等级等 10 多种属性。(2)终端资产异常行为检测实现对终端资产的分域管理,设置域间的访问策略,及时发现非法跨域访问行为。基于流量基线、异常访问等检查功能,识别和检测终端的异常访问行为。(3)安全事件与资产的关联分析5G SIEM 系统将安全事件与终端资产关联,实现资产视图和安全态势的可视化呈现。通过大数据分析技术将安全事件与资产关联,产生告警生成处置建
13、议,并协同安全组件实现自动响应。目前,5G SIEM 系统共发现 1 万多条安全事件。3.2.2 终端自身安全目前,滨江 5G 工厂共接入 800 多台 5G 终端,5000 多台业务终端,这些终端由多个厂商提供,经检测发现 300 多种软硬件漏洞。针对终端自身安全问题,本方案实施了以下防护措施:(1)终端安全加固安装终端安全防护软件(安全Agent与安全SDK组件),收集终端的 CPU、内存、进程等相关信息,通过黑/白名单管控、入口拦截、运行拦截、扩散拦截等技术,防范恶意程序运行和非法外设接入。(2)业务终端 MAC/IP 地址绑定根据终端所处的楼栋、工作区域、终端类别等不同情况,规划不同的
14、 IP 地址段来加以区分。将终端的 MAC 和 IP 地址进行绑定,阻止非法终端接入,防止 IP 地址被盗用。经过绑定操作,可以快速检测终端的在线状态、工作范围和健康情况。发生攻击时,可以快速定位被攻击终端所处的楼栋、工作区域和终端类别等信息。3.2.3 终端接入安全在终端接入 5G 网络时,存在幽灵终端接入、非法终端接入、非授权 5G 终端接入等多种接入安全问题。针对终端接入安全问题,本方案实施了以下措施:(1)多重认证机制基于 5G 的基础能力,通过多重认证和多重访问控制实现终端接入、用户接入和业务接入时的安全防护。多重认证机制如图 7 所示。终端在 5G 网络的认证和访问控制由核心网提供
15、的认证、鉴权、授权功能实现。终端接入企业网时,启用二次认证(DN-AAA 认证)实现 DN 服务对终端的认证。在主认证和432023.065G天地二次认证均成功后才允许终端访问 DN,从而提供接入控制能力,实现基于网络标识、用户身份、终端位置的控制能力。(2)电子围栏限制终端的业务使用区域,仅允许特定 TAC 或基站下发起的业务请求接入本地,超出区域后禁止接入,从而提高特定业务或终端的安全性。在滨江 5G 工厂中,5G SIEM 系统通过对接 NodeEngine来获取 5G 终端的位置信息。目前已获取 100 多台 5G 终端的位置信息,并根据位置信息进行终端接入管控,有效防范非法接入。(3
16、)机卡绑定将 USIM 卡与 5G 终端进行绑定,限制该卡只能在该 5G终端使用,其它卡禁止接入网络,防止非授权 5G 终端使用合法 SIM 卡入侵。3.3 网络边界安全解决方案安全域划分与区域边界隔离是网络安全防护最有效的方式之一,可通过防火墙、安全网关等产品实现安全域的边界防护。网络边界安全解决方案架构如图 8 所示。对滨江 5G 工厂而言,在运营商网络内,建立了 3 条IPSec加密隧道,保证UPF/MEC到基站、5GC接入的通信安全;通过 MEC 与互联网接口处设置 2 台防火墙,保证运营商网络的通信与数据安全;在企业网络内,通过在不同网络平面采用 VLAN/VxLAN 隔离、建立 I
17、PSec/SSL VPN 加密隧道等方式,保证数据在企业网内传输的完整性与机密性。3.4 边缘云安全解决方案通过在 MEC 内构建安全资源池的方式,解决边缘云所面临的安全问题,提供 API 安全管控,保障应用 API 外联安全。边缘云安全解决方案如图 9 所示。目前已通过内建安全资源池方式,实现了 5 万多种虚拟化设施的数据加密和完整性保护,支持对 50 多种 ME APP 进图 7 多重认证机制图 8 网络边界安全解决方案442023.065G天地图 9 边缘云安全解决方案图 10 数据安全解决方案行生命周期管理,实现了 MEP 平台的 API 接口防护。同时通过部署等保一体机,实现云平台及
18、应用的安全加固。3.5 数据安全解决方案数据安全解决方案采用数据不出园区的架构设计,使用多层次的隔离及加密传输技术实现数据安全防护。数据安全解决方案如图 10 所示。在滨江 5G 工厂场景中,采用数据访问控制策略,保障MEC 上的企业应用数据不出园服务;采用防火墙、端到端切片和软墙隔离 3 个层次的隔离技术,约束网络、媒体流和应用间的数据访问路径;结合国产密码技术,对于运营商网络提供基于祖冲之(ZUC)算法的无线空口,对于承载网提供基于SM3/SM4 算法的加密传输技术;对于企业网络提供应用层数据加密传输技术,实现端到端的数据安全传输。4 结束语滨江基地的安全体系建设,紧扣 5G+工业互联网安全的核心问题,以终端为切入点,创新自研 5G SIEM 平台,有效实现对 800 多台 5G 终端、5000 多台业务终端的安全管理,检测发现 300 多种漏洞,兼顾网络、边缘云及数据等领域安全需求,累计发现1万多条安全事件,实现了网络安全工作协同化、可视化,网络安全工作效率提升 80%以上。通过滨江基地的项目实践,证明该方案科学有效,在 5G+工业互联网业务场景下具有较好的推广价值。作者简介:邢学锋(1977),男,江苏南京人,高级工程师,硕士;研究方向:网络安全、移动互联网、业务平台。(收稿日期:2023-03-09;责任编辑:赵明亮)
浙ICP备2021020529号-1 | 浙B2-20240490 
