5G电力虚拟专网网络安全白皮书.docx

《5G电力虚拟专网网络安全白皮书.docx》由会员分享，可在线阅读，更多相关《5G电力虚拟专网网络安全白皮书.docx（17页珍藏版）》请在第一文库网上搜索。

1、AiA-9bDNA5G电力虚拟专网网络安全白皮书2023年3月目录1、弓I言32、5G电力虚拟专网安全需求与风险分析42.1 电力业务安全需求分析2.2 5G电力虚拟专网安全风险分析2.3 5G电力虚拟专网安全需求分析53、5G电力虚拟专网安全参考模型和架构63.1 5G承载电力业务的安全模型73.1.1 高安全业务应用安全模型3.1.2 中安全业务应用安全模型83.1.3 通用安全业务应用安全模型83.2 5G电力虚拟专网总体安全参考架构84、5G电力虚拟专网安全参考方案94.1 端到端切片安全隔离，提供电力虚拟专用网络94.1.1 接入网隔离94.1.2 传输网隔离94.1.3 核心网隔离

2、94.2 多层次认证体系，满足纵向认证要求104.3 云边协同的安全应用，支撑安全防护及监测4.3.1 基于基础设施和APP业务的MEC安全防护4.3.2 全天候全方位的5G网络安全态势感知104.3.3 5G+区块链的安全认证模式4.4 数据加密传输114.5 安全事件响应5、5G电力虚拟专网安全应用125.1 5G电力广域虚拟专网应用案例5.2 5G电力局域虚拟专网应用案例6、总结与展望13附录A:术语及缩略语1414附录B:参考文献刖百5G技术与电力行业深度融合，能够有效1升电力数字化、智能化水平,为构建清洁低碳、安全高效的电力体系提供有力支撑.网络安全是未来5G在电力行业规模化应用的先

3、决条件，是5G赋能电力行业数字化转型的基础保那面，对电力行业安全分区、网络专用、横向隔离、纵向认证的安全防护原则要求，亟需设计兼顾5G传输性能与安全保障的网络安全防护体系.2023年4月，5G应用产业方阵（5GAIA）及5G确定性网络产业联盟（5GDNA）共同立项了5G电力虚拟专网网络安全白皮书，该白皮书由中国南方电网电力调度控制中心牵头，联合电力相关企业和运营商，以及通信设备和终端模组芯片厂家、网络安全产品及服务商，对5G电力虚拟专网网络安全方案进行了充分讨论及完善，并经5GAIA及5GDNA评审后，共同发布.本白皮书也是5GDNA联盟继5G确定性网络电力系列白皮书I:需求、技术与实践（20

4、23年）、5G确定性网络电力系列白皮书II:5G电力虚拟专网建网模式（2023年）后发布的第3本系列化白皮书：5G确定性网络电力系列白皮书I:5G电力虚拟专网网络安全白皮书，旨在将理论与实践相结合，分析5G网络应用于电力业务的安全需求及风睑,从技术视角分析5G网络的安全能力并构建安全参考模型，从安全隔离、多层次认证、安全防护及监测等维度，提出可用、可信的5G电力虚拟专网安全参考方案，给出广域及局域的典型安全应用案例，并展望5G电力虚拟专网安全的发展趋势。本白皮书主要编写单位及人员（以下排名不分先后）：中国南方电网电力调度控制中，的洪丹轲、陶文伟、曹扬、张国翊、朱海龙、林旭斌胡飞飞，南方电网科学

5、研究院有限责任公司的匡晓云、陈立明、索思亮,中国电力科学研究院有限公司的汪洋、丁慧霞、王智慧、马宝娟、孟萨出拉、朱思成，国网福建省电力有限公司的陈斌、陈端云、苏素燕、陈锦山、熨炳森、李源激，中国信息通信研究院的杜加馋、王琦、侯伟彬、周洁，广东电网有限责任公司广州供电局的王莉、孙磊、王维，国网河南省电力公司信息通信公司的王文革、申京、赵豫京、杨莹、闫丽景，国网浙江省电力有限公司信息通信分公司的周鹏、陈逍潇、杨帆，中国移动通信集团有限公司的杨鹏、周茉、崔旭升、吴沛静、宋月、王荣，中国电信集团有限公司的沈军、刘亚天、呼博文、薄明霞、夏旭，中国联合网络通信集团有限公司的陈丹、王常玲、肖羽、蒋d添，范勇

6、杰，祝少波、蔡庆宇、赵元、李先达，华为技术有限公司的余晓光、余潼鑫、杨晓华、郝晶晶、阳陈锦剑，中兴通讯股份有限公司的滕志猛、冯岩、陈永波，广东省电信规划设计院有限公司的王劲、袁引，紫光展锐科技有限公司的张伟强、陈定云、朱勇旭，许继集团有限公司的徐涛，南京南瑞信息通信科技有限公司的胡阳、张即、龚亮亮、李洋.本白皮书参与编写单位及人员（以下排名不分先后）：中国移动通信集团福建有限公司的魏颖强、孙柏宁，中国移动通信集团广东有限公司的崔志顺、刘钢庭、王丹弘、任若冰，北京智芯微电子科技有限公司的贾强，深圳市广和通无线股份有限公司的李许安，国网山东省电力公司电力科学研究院的马雷、刘新、刘冬兰、王睿、张昊，

7、国网山东省电力公司青岛供电公司的徐群、刘明峰、李坤、孟建、侯路，四川中电启明星信息技术有限公司的张立毡、曾山、王瑞祥等.电力行业属于国家基础设施行业，关系国计民生，其包括电网企业和发电企业等，对业务分类、安全管控的总体要求基本一致。随着智能电网多样化应用场景的出现，以网络切片和Mu1ti-accessEdgeComputing(MEC)多接入边缘计算为核心的5G网络在电力的发、输、变、配、用各环节逐渐得到规模应用，形成5G电力廊以专网。5G电力虚拟专网是在电信运营商的5G网络中，基于网络切片、MEC、能力开放等技术，在无线、承载、核心网等环节虚拟出一张面向电力行业的专用网络，并与电力通信专网跨

8、域融合，实现端到端的电力业务承载、高强度安全隔离以及资源管理.5G电力虚拟专网的典型业务承载需求如下表所示:业务类型典型应用场景承题状未来承载需求基础类智能分布式配电自动化、智能配电网微型同步相量测量、用电负荷需求侧响应、高级计量、充电桩、应急通信等已有较蝌承载方案.1连接模式：子站/主站模式，主站集中2、采集频次较低3、控制能力相又摊放1、连接模式：主站下沉，本地就近控制2、采集频次提升(计量分钟级)3、精准控制(亳秒级别，节点级)扩展类巡检机器人、输电线路无人机巡检、基于物联网的状态监测、智能营业厅、仓储管理、智喉居等处于蓬勃发展及不断优化阶段。采集内容以墙出数据、图像为主，单终端带宽为I

9、Ook2Mbps,采集连接数有限1、物联网技术广泛应用，连喙大蝇增长2、高清视频类业务大量应用，带宽需求爆发3、融合采集与工业精准控制应用结合4、结合A1进行深层次应用探索特殊场景类智慧园区、智慧电厂、地下厂房深度覆盖、三维空间定位、可视化运维、智能诊断、网源协调、决策支持等处于起步探索和发展阶段1、特殊环境下深度覆盖、空间定位需求迫切2、海量传感器等物联网应用需求爆发3、基于人工智能、大数据的网元协同，智能诊断和决策期面向上述需求，5G电力虚拟专网能够为电网不同分区业务提供高可靠安全隔离解决方案，基于软件定义网络(SDN,SoftwareDefinedNetwork)和网络功能虚拟化(NFV

10、,NetworkFunctionVirtua1ization).服务化架构(SBA1Service-basedArchitecture)等新技术提供物理资源、用以逻辑资源等不同层次的安全隔离能力。但由于5G电力虚拟专网处于起步阶段，其安全体系方面仍需进一步完善,例如细化网络切片的安全隔惠方案、终端二次认证的场景及龌等；同时随着能源大数据、综合能源服务等新兴业务不断涌现，电力业务环境更加开放、生态更加复杂、数据共享更加频繁，电力业务的承载网络安全架构也随之多样化，电力业务安全、数据安全等面临着安全防护手段与业务系统不匹配的严峻挑战，迫切需要对5G电力虚拟专网的网络安全防护进行探讨，并与电力业务安

11、全防护体系进行融合集成，进一步提升5G电力虚拟专网的安全水平，为智能电网业务承载提供更好的通信安全雌本白皮书旨在从技术视角分析5G电力虚拟专网的安全需求，给出网络安全参考模型及架构，探索形成SG电力虚拟专网安全解决方案，并给出典型的5G电力虚拟专网安全应用案例.5G电力虚拟专网安全需求与风险分析本章对5G电力虚拟专网承载电力业务的安全需求与应用风睑威胁进行分析。2.1 电力业务安全需求分析根据电力监控系统安全防护规定（国家发改委2014年第14号）、国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估的通知（国能安全201536号文）等相关规定要求，电力监控系统安全防护需满足”安

12、全分区、网络专用、横向隔离、纵向认证的原则。本章从电力业务安全需求出发，提出三类业务安全模式：高安全业务、中安全业务、通用安全业务.高安全业务是指与电力调度生产直接相关的生产控制类业务，通常部署在生产控制大区涉及实时控制类及感知采集类业务，如安全自动控制系统、电能量计量系统等。高安全业务安全怫需求高,需通过无线幽以专网和防火墙接入信息内网，再经过安全接入区（含正反向隔离、前置机安全接入网关等）接入业务主站.中安全业务是指管理信息大区的相关业务，其安全等级仅次于高安全区业务，涉及到智能电网生产管理、办公自动化，与生产或管理类的个人桌面计算机相关，如电力调度运行管理系统、资产管理系统等业务。中安全

13、业务分布广泛，人机互动频繁，安全防护需求较高，需通过无线虚拟专网和防火墙接入信息内网，再通过安全接入平台接入业务主站.通用安全业务是指互联网大区业务，其安全等级相对最低.主要面向互联网应用，以移动应用为主，如即时通信软件、培训教育等业务,该类业务安全防护需求不高，通过互联网通道实现接入.2.2 5G电力虚拟专网安全风险分析当前，受限于5G电力行业应用产业链的成熟度，5G电力虚拟专网存在着一定安全风险，尤其是在终端和模组方面，厂家较少、价格较高、形式单一、业务适酉涯较差，无法完全满足电力业务应用需求.应用层面，电力行业应用的业务相关系统中的服务器会生成、处理存储大量用户敏感信息，包括个人身份信息

14、、用户隐私信息等，业务系统如果存在用户标识安全性、数据完整性与机密性等安全问题，遭到黑客攻击，容易造成用户数据泄露，用户隐私将受到威胁，造成较大的社会影响。此外，在复杂的电力场景下，5G网络建设存在遭受电磁干扰的风险.图2.15G电力虚拟专网面临的四类风险威胁点如图2.1分析，5G电力虚拟专网承载电力业务时可能存在物理攻击、网络攻击、信息泄露、电磁干扰四类风险威胁点，具体风险如表2.1:表2.15G电力虚拟专网风险威胁分类及举例风睑威胁未来承载需求I（一）物理攻击-定向网络攻击基础设施信息系统，干扰物理系统运行，造成设备损坏和系统瘫痪，如网络攻击+物理破坏强全国停电。MEUUPF节点被物理破坏

15、：通过破坏物理防护措施或利用管理漏洞对MEC、UPF设备进行破坏、非授权访问，导致设备损坏、通信中断等风险。（二）网络攻击 网络入侵、计算机病毒等网络空间攻击，导致电网的信息系统故障，如蠕虫网络攻击. 身份仿冒，通过截获合法用户身份信息并假冒该合法用户的身份访问网络 篡改，通过非法裁获娄楣包等方式恶意篡改用户数据信息. 非法访问，对切片内的资源可能被其他切片中的网络节点非法访问，导致切片内部的故障和错误，影响可能其他切片的工作。 拒绝服务，利用DDOS攻击目标服务器或网络基础设施，导致业务服务不可用 设备版本破坏风睑，版本文件（包括软件版本文件（.set）以及补丁文件（,pkg）和固件文件，从发布直到现场进行文件的安装升级，整个过程存在文件被篡改以及损坏的（三）信息泄露数据泄露，核心网中数据库存在SQ1注入、默认账户口令、数据库平台漏洞、滥用合法权限、非法提权等风险。在5G环境下，用户陲信息涉及用户标识、移动模式,位置信息、到猊使用模式等内容.攻击者可通过多种手段获取这些用户隐私信息.（四）电磁干扰干扰无线工作频段，通过无线发射器等可干扰无线信道，使通信中断，导致业务终端致盲，脱离管控.2.3 5G电力虚拟专网安全需求