中國聯通&安恒信息：2023年5G工廠網絡安全白皮書（62頁）.pdf

《中國聯通&安恒信息：2023年5G工廠網絡安全白皮書（62頁）.pdf》由會員分享，可在線閱讀，更多相關《中國聯通&安恒信息：2023年5G工廠網絡安全白皮書（62頁）.pdf（62頁珍藏版）》請在三個皮匠報告上搜索。

1、 中國聯通研究院 2023 年 5 月 5G5G 工廠網絡安全白皮書工廠網絡安全白皮書 5G 工廠網絡安全白皮書 版權聲明版權聲明 本報告版權屬于中國聯合網絡通信有限公司研究院，并受法律保護。轉載、摘編或利用其他方式使用本報告文字或者觀點的，應注明“來源：中國聯通研究院”。違反上述聲明者，本院將追究其相關法律責任。5G 工廠網絡安全白皮書 目目 錄錄 前 言.-1-一、概述.-4-（一）背景.-4-（二）事件及趨勢.-5-二、工業領域安全政策與標準.-6-（一）安全政策.-6-（二）安全標準.-9-三、工業領域安全挑戰.-11-（一）工廠終端.-11-（二）AI 終端.-12-（三）工廠網絡.

2、-13-（四）工業數據.-14-（五）安全設備.-16-（六）管理方式.-17-四、5G 工廠安全參考框架.-19-五、5G 工廠安全關鍵技術.-22-（一）終端安全.-22-（二）AI 終端安全.-22-（三）網絡安全.-32-（四）數據安全.-39-（五）應用安全.-45-（六）管理安全.-49-六、產業發展及展望.-54-附錄 1 縮略語表.-56-附錄 2 參考文獻.-58-5G 工廠網絡安全白皮書 -1-前 言 數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有，正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。二十大報告提出建設數字中國，加快發展數字經濟

3、，促進數字經濟和實體經濟深度融合，打造具有國際競爭力的數字產業集群。5G 應用的力度從“助力產業轉型”演進成“推進新型工業化”。5G 應用“揚帆”是推進 5G 賦能千行百業的著力點，在工業領域打造了 IT、CT、OT 深度融合新生態，實現重點領域 5G 應用深度和廣度雙突破?！?G+工業互聯網”是 5G 應用“揚帆”的重要組成部分，5G 推動制造業從單點、局部信息技術應用向數字化、網絡化、智能化轉變。5G 工廠是推進“5G+工業互聯網”高質量發展的關鍵抓手，加快“5G+工業互聯網”新技術、新場景、新模式向工業生產各領域、各環節深度拓展，推進傳統產業提質、降本、增效、綠色和安全發展。隨著 5G

4、工廠建設加速，工業網絡邊界也在不斷的延伸。工業領域安全既面臨來自互聯網的外部威脅，又與工業生產的內部安全問題相互交織，安全風險更加嚴峻，體現在攻擊路徑增多、安全意識薄弱、數據安全等多個方面。傳統的安全解決方案不能滿足新的需求，必須建立 5G 工廠網絡安全架構，助力新時期新形勢下的工業信息安全能力提升，切實為制造強國和網絡強國戰5G 工廠網絡安全白皮書 -2-略的有效實施保駕護航。本白皮書在深入研究 5G 網絡、工控領域網絡及工業企業數字轉型遇到的安全問題，通過總結工業領域在新型工業化進程中的安全挑戰，提出 5G 工廠網絡安全參考架構，并對 5G 工廠安全所涉及的多種關鍵技術給出了詳細介紹，為各

5、行業、各企業開展5G 工廠安全建設提供參考。5G 工廠網絡安全白皮書 -3-總策劃：總策劃：李紅五 葉曉煜 李浩宇 梁 鵬 張建榮 范濟安 張明山 主主 編：編：周曉龍 副主編：副主編：柳 興 馮冬芹 井 柯 編委會成員：編委會成員：王 哲 王新宇 贠曉雪 蔣美景 楊邦主 荊 雷 成 潔王維治 胡文慧 蔣小燕 周 凱 潘松柏 萬 剛 陳鳳衍 張守華 謝武生 艾艷可 何 凱 聶智峰 孫振州 曾水祥李 捷 范勇杰 賴羿明 柯 瑋 林明峰 李劍鋒 黃繼燁 許毅鵬 莊 天 劉巖松 崔馬劍 趙 磊 胡向亮 王曉翔劉 峰 指導單位：指導單位：中國聯合網絡通信有限公司政企客戶事業群 中國聯合網絡通信有限公司

6、網絡與信息安全部 支持單位：支持單位：浙江大學 杭州安恒信息技術股份有限公司 聯通數字科技有限公司 浙江騰瓏網安科技有限公司 中國聯通(天津)工業互聯網研究院 中國聯通(江西)工業互聯網研究院 中國聯通(福建)工業互聯網研究院 5G 工廠網絡安全白皮書 -4-一、一、概述概述 （一）背景（一）背景 工業制造是實體經濟的基礎，是國家經濟的命脈所系，同時也是大國競爭中構筑未來發展戰略優勢的重要支撐，制造強國戰略也成為中國實現偉大復興的重要戰略。工業互聯網是新一代信息通信技術與工業經濟深度融合的全新工業生態、關鍵基礎設施和新型應用模式。5G 是實現人、機、物全面互聯的新一代移動通信基礎設施，是信息通

7、信技術演進升級的重要方向?！?G+工業互聯網”有利于推動工業化與信息化在更廣范圍、更深程度、更高水平實現融合發展，是經濟社會高質量發展的有力抓手?！笆奈濉睍r期，通過實現金字塔式的“百千萬”建設目標，推動全國 10000 家企業開展 5G 工廠建設，建成 1000個特色鮮明 5G 工廠，遴選出 100 個 5G 工廠標桿。進一步加快“5G+工業互聯網”新技術、新場景、新模式向工業生產各領域、各環節深度拓展，打造“5G+工業互聯網”中國方案和 5G 工廠中國品牌。5G 工廠為企業數字化轉型提供了契機，數字化轉型是企業利用數字技術徹底改變企業的運營效率、經營業績，是企業提升競爭力的必由之路。5G

8、工廠是新一代信息技術與工業技術全方位深度融合所形成的產業和應用體系，是工業數字化和智能化發展的關鍵綜合信息基礎設施。其本質是以網絡互聯為基礎，通過對工業數據的全面深度感知，實現智能控制、運營優化和生產組織方式變革，為企業數字化演進提供了技術保障和實踐基礎。5G 工廠的發展能夠幫助企業快速實現數字化轉型。5G 工廠網絡安全白皮書 -5-當前，我國“5G+工業互聯網”創新發展進入快車道，5G 工廠在工業領域應用的重點將從生產外圍輔助環節逐漸向生產中心控制環節邁進。作為數字經濟的重要基礎設施，新一代信息技術對制造業進行全方位、全角度、全鏈條的持續改造和優化，加速引爆工業格局的變革。5G 工廠作為新一

9、代信息技術與制造業轉型發展歷史性融合創新期的新生事物，正在加速推進新型工業化進程。5G 工廠具有廣闊的前景和無限的潛力，對于推動我國工業經濟發展加快向更智能、更優質、更可持續的方向轉型具有重要的價值和意義。（二）（二）事件及趨勢事件及趨勢 近幾年，工控安全事件呈現高頻率、高隱蔽、多樣化特性。網絡安全風險隱患向工業研發、生產、運行、管理、服務等產業鏈供應鏈各環節滲透，各類網絡攻擊事件層出不窮，有組織的、有針對性、國家級的網絡攻擊增多，后果影響日益嚴重。網絡攻擊帶來的巨大利益和政治訴求讓工業領域面臨嚴峻的安全威脅，網絡安全問題已經成為了一個全球性的問題，企業必須重視工業領域的安全，采取必要的措施來

10、保護網絡安全。隨著工業互聯網應用范圍的不斷擴大，工控領域面臨的安全風險不斷增加。工業領域的安全事件頻發，尤其在電力、石油、鐵路運輸、燃氣、化工、制造業、能源、核應用等相關領域的關鍵網絡一直都是全球攻擊者的首選目標。據國家工信安全中心統計，2022 年公開披露的工業信息安全事件共 312 起；工業領域勒索事件共 89 起，較 2021年增長 78%；工業領域數據泄漏事件共 338 起，比去年增長 25.2%。5G 工廠網絡安全白皮書 -6-這些攻擊給個人、企業、國家帶來了不同程度的損失。工業領域的網絡安全存在以下趨勢：一是，第四次工業革命驅動工業數字化、網絡化、智能化，使數據成為核心生產要素，因

11、此工廠需要收集 IT、OT 等各領域數據，進而形成工廠 IT/OT 網絡融合的趨勢，使得工控安全與互聯網安全交織在一起，安全問題變得更復雜；二是，合法指令的違規操作將成為常態，防火墻、數據網閘等傳統 IT網絡安全措施難以有效形成防護，例如“震網病毒”可無視工業網絡邊界防護達成攻擊目的；三是，工業數據交互、共享愈加頻繁，數據共享和數據安全存在一定的沖突，使得工業數據存在較大的泄露、竊取、篡改等風險，單獨的系統數據安全措施，難以形成有效的防護，需要通過對數據分類分級確權與授權，并輔以隱私計算、數據脫敏、數據清洗等技術手段予以保障；四是，勒索攻擊等惡性事件顯著增加，俄烏沖突更將網絡戰上升為實戰，工業

12、領域已成為網絡攻防“新戰場”，國家級戰略打擊“新命門”，保障新型工業融合領域網絡安全成為新任務和新使命。因此，5G 工廠需立足于工業企業數字化轉型實際，在發展中兼顧安全，建立健全工業企業網絡安全保障體系，實現差異化、精準化的安全防護，為工廠建設筑牢網絡和數據安全堤壩，力爭做到工業企業高質量發展和高水平安全的動態平衡，為實現數字中國建設保駕護航。二、工業領域二、工業領域安全政策與標準安全政策與標準 （一）（一）安全政策安全政策 網絡安全作為我國經濟社會數字化轉型的關鍵驅動力，我國政府5G 工廠網絡安全白皮書 -7-從 2017 年至 2023 年，發布多個相關網絡安全法律政策。中華人民共和國網絡

13、安全法自 2017 年 6 月 1 日正式施行，是我國第一部全面規范網絡空間安全管理方面的基礎性法律，對我國的網絡空間法治建設具有重要的里程碑意義。工業企業網絡安全關系到國家經濟社會可持續發展，是事關國家長治久安的重大戰略問題。為促使工業企業全面落實國家政策法規，持續打造基于自身核心競爭力的工業網絡安全保障體系，筑牢企業安全基座，2021 年 9 月 1 日中華人民共和國數據安全法正式實施，2021 年 11 月 1 日中華人民共和國個人信息保護法正式實施。這兩部法律分別聚焦數據安全與個人信息保護領域的突出問題，確立了數據分類分級管理、數據安全風險評估、數據安全審查、個人信息處理規則、個人信息

14、處理者義務等制度。至此，中國網絡安全與數據保護“三駕馬車”法律體系正式形成，我國網絡空間基本法律逐步成型。在法律的指引下，國家部委針對工業領域網絡安全發布系列政策文件。2017 年 11 月，國務院發布了關于深化“互聯網+先進制造業”發展工業互聯網的指導意見，成為推動工業互聯網發展的綱領性文件，圍繞制造強國和網絡強國建設的安全保障需求，以“強化安全保障”和“安全可靠”為建設思路，以提升“安全保障能力”為發展目標。2019 年 7 月，工信部等十部門聯合印發加強工業互聯網安全工作的指導意見，成為推動工業互聯網安全綱領性文件，指出了工業企業、監管部門和專業機構的能力建設方向，指出了明確責任和完善安

15、全管理體系，指出了加快安全人才培養。2022 年 9 月，工信部5G 工廠網絡安全白皮書 -8-印發 5G 全連接工廠建設指南 中指出推進企業全面落實工業互聯網企業網絡安全分類分級管理相關政策與標準，提升設備、控制、網絡、平臺和數據等安全防護能力。為更好地推動網絡安全政策落地實施，工業和信息化部先后推動開展工業互聯網安全深度行活動，深入宣貫工業互聯網安全相關政策規范，推動在全國范圍內深入實施工業互聯網企業網絡安全分類分級管理。開展工業互聯網安全深度行活動典型案例和成效突出地區遴選工作，主要征集遴選一批安全防護舉措有效、具備可復制可推廣價值的分類分級管理典型案例，以及遴選一批做法創新有效、活動成

16、效突出的先進地區。開展工業數據分類分級應用試點和工業領域數據安全管理試點等工作，在 5 個省市、9 個行業的 200 余家企業開展工業數據分類分級應用試點，同時在 15 個省市開展工業領域數據安全管理試點工作，促進工業數據分類分級在產業界應用落地。無論是從工業數據分類分級試點情況來看，還是從企業自身網絡安全分類分級工作來看，實施分類分級工作后，企業在網絡安全和數據安全等方面都取得了明顯的成效，提升了企業的硬實力，走在了行業的前列。企業通過分類分級提升數據匯聚能力、數據開放能力、數據治理能力，以安全策略為指導，構建起了全面、完整、高效的信息安全體系，為業務的創新發展提供了堅實的信息安全保障。隨著

17、國家頂層設計完善、底層落地得到大力支持、企業數據意識和安全意識等的不斷提高、相關技術的不斷進步，工業企業會更加認可 5G 在工廠中的安全應用，更多的企業開展 5G 工廠建設，幫助工業企業提質、5G 工廠網絡安全白皮書 -9-降本、增效、綠色、安全建設，從而提高整個行業的安全水平。（二）（二）安全標準安全標準 標準化工作是實現工業領域信息和網絡安全的重要技術基礎。各國政府高度重視工業領域的網絡安全標準體系建設，以美國、歐盟為首的國家和組織紛紛出臺政策，在原有的網絡安全標準基礎上，積極推動工業領域網絡安全標準體系建設。美國國家標準與技術研究所（NIST）發布的信息安全指南（NIST SP800）是

18、國際網絡安全界廣泛認可的工控標準綱領性文件，NIST SP800 定義了工業控制系統網絡建設體系結構，目前已經發布近 90 項與信息網絡安全相關的正式文件，形成了工控信息安全管理體系。國際標準組織 IEC 推出了工業過程測量、控制和自動化網絡與系統信息安全（IEC 62443）為代表的工業控制系統信息安全系列標準，形成了包含電力、能源、機械、核工業等重工業領域的完整工控網絡安全標準體系。針對 5G網絡安全，3GPP 發布了 TS33.5015G 系統的安全架構和流程，TR 33.813網絡切片增強的安全性研究、TS 22.104垂直領域中的網絡物理控制應用的服務要求 等在 5G 網絡安全和 5

19、G 與工業互聯網融合發展問題上提供了標準依據。我國在工業領域網絡安全標準體系建設相較于國外發達國家起步較晚，但發展迅速，至今已出臺多部工業網絡安全標準，涉及 5G 安全、工業互聯網安全、工控安全等多個細分領域。據不完全統計，國內標準組織 CCSA、TC260 發布了 30 余項工業網絡安全相關的國家標準，主要圍繞工業自動化和控制系統、工業控制網絡與信息兩方面開5G 工廠網絡安全白皮書 -10-展研究，TC260 發布了信息安全技術 工業互聯網數據安全防護指南、信息安全技術 關鍵信息基礎設施安全保護要求、信息安全技術 關鍵信息基礎設施安全保護要求、信息安全技術 網絡安全等級保護基本要求、信息安全

20、技術 工業互聯網平臺安全要求及評估規范等一系列標準。CCSA 發布了工業互聯網網絡安全總體要求、工業互聯網平臺安全防護要求、工業互聯網數據安全保護要求、工業互聯網安全態勢感知系統技術要求、工業互聯網數據安全分類分級指南等安全標準。此外，在 5G 與工業互聯網融合方面 CCSA 發布了5G 移動通信網 安全技術要求、工業通信網絡 網絡和系統安全 系統安全要求和安全等級等安全標準。隨著 5G 技術的成熟和推廣，在加強工業互聯網安全工作的指導意見等政策文件的助推下，工業互聯網產業聯盟、工業信息安全產業發展聯盟、工業和信息化部商用密碼應用推進標準工作組共同發布了工業互聯網安全標準體系（2021 年），

21、提出要在各行業應用“5G+工業互聯網應用安全技術”，使得 5G 技術逐漸納入到工業領域網絡安全標準體系的構建中。未來，隨著 5G 工廠的逐步發展，工業網絡安全標準體系與 5G 等新興技術的聯系越來越緊密。國家將重點布局工業 5G 網絡安全標準，重點關注網絡信息防護、工業 5G 網絡設備的安全可靠性建設。5G 工廠網絡安全白皮書 -11-三、工業領域三、工業領域安全挑戰安全挑戰 工業企業在數字化轉型過程中，原本相互分割的 OT 和 IT 網絡將逐漸交匯融合。OT 和 IT 網絡的融合并非兩張網絡簡單相連，而是以5G、人工智能、物聯網、云計算、大數據等為代表的新一代信息技術在工業領域中的應用，這將

22、給工廠網絡、數據、管理制度等帶來諸多變化。與之而來的工廠信息安全變得復雜，安全風險呈現多元化特征，安全隱患發現門檻變得更高，安全形勢進一步加劇。（一）工廠終端（一）工廠終端 當前，我國大多數企業的工業現場設備存在種類繁多、新老設備參差不齊、系統漏洞升級更新慢、不同設備工業協議不同、聯網難度大等特點。在傳統工業生產中，現場設備是獨立的個體，數字化、信息化、網絡化程度較低，且網絡安全防護建設落后于數字化信息化建設。雖然工業現場設備暴露于互聯網上，極易被遠程控制或者引發DDoS 攻擊，僵尸網絡等問題，但是由于現場設備聯網難度大使得設備相對獨立，網絡安全風險始終能得到有效控制。工業企業完成數字化轉型后

23、，工業控制設備（PLC、RTU 等）、IT終端設備（工作手機、工業 PAD 等）、智能終端設備（質檢機器人、AGV 等）等設備將實現互聯互通。當前現場設備自身的安全運行要求和規則尚不健全，終端設備彼此建立通信，設備的各種系統安全缺陷與漏洞也同樣會引入到工業網絡中，導致工業網絡安全問題變得復雜。受工業特征的影響，現場終端設備的軟件系統更新速度要遠慢于工業企業完成數字化轉型速度。大量含有漏洞的設備暴露于互聯網上，一5G 工廠網絡安全白皮書 -12-旦這些終端被入侵者利用，容易形成規?；脑O備僵尸網絡，將成為新型高容量分布式拒絕服務（DDoS）攻擊源，對工業應用、后臺系統等構成巨大的安全威脅。5G

24、工廠同樣會面臨含有漏洞的設備暴露于互聯網上的問題，甚至會讓傳統不同域之間的終端設備彼此通信變得更加便捷，因此，需要設計有效的防護方式，減少終端設備的攻擊面和攻擊路徑，將安全風險控制在可控范圍內。（二）（二）AIAI 終端終端 5G 整合人工智能、數字孿生、云計算、AR、VR、邊緣計算等各類新一代信息通信技術，在云、邊、端統一架構平臺上實現推理訓練，支持快速的新模型迭代更新，有力的促進了 AI 技術在工業領域中的應用。近幾年，AI 眼鏡、AI 質檢儀、AI 輔助決策儀、智慧分揀、智能 AGV 小車、智能環境監控儀等一批新 AI 終端和應用場景涌現，并不斷向研發、生產等核心環節滲透賦能，在更大范圍

25、內發揮更核心的作用。AI 技術在工業領域成功大規模的應用，極大的提升了工業生產效率和企業管理效益，推動工業企業快速數字化轉型。人工智能會帶來雙刃劍效應，在賦能工業企業的同時，也給工業互聯網帶來了安全方面挑戰。一是人工智能可被武器化，助力網絡攻擊。人工智能自我學習能力和自組織能力可用于尋找漏洞、破解密碼等，提高網絡攻擊效率。二是人工智能可被濫用，威脅個人隱私。人工智能應用會增強信息采集和數據挖掘能力，加大了隱私泄露風險，甚至可能導致數據匿名化、數據脫敏等安全保護措施無效。三是人工5G 工廠網絡安全白皮書 -13-智能可決策失誤，威脅人身安全。人工智能系統一旦出現感知、認知偏差或者受到網絡攻擊，系

26、統就可能判斷失誤，并采取錯誤行動，甚至危及現場生產安全。在工業領域大力發展人工智能的同時，必須高度重視 AI 技術可能帶來的安全風險。5G 工廠作為工業企業數字化轉型的信息基礎設施，在促進人工智能技術在工業領域應用的同時，也應為人工智能應用提供防護，加強前瞻預防與約束引導，最大限度降低風險，確保人工智能技術在工業領域提供安全、可靠、可控的服務。（三）工廠網絡（三）工廠網絡 傳統工廠的網絡架構以“兩層三級”為主，包括了工業外網、工業 IT 網和工業 OT 網。IT 網絡主要指基于互聯網的網絡應用，由管理業務數據、支撐管理流程的技術、系統和應用程序組成，常見的應用有 ERP、CRM、MES、OA

27、等。OT 網絡是指傳統工業控制網絡，是由管理生產資產、保持順暢運營的技術、系統和應用程序組成，常見的應用有 PLC、PCD、SCADA、SIS 等。傳統工業網絡中，IT 網絡與 OT 網絡相對獨立，大部分工廠的 IT 與 OT 網絡都物理隔離的，即便是需要連接都會采取網閘、防火墻等嚴格的安全隔離措施。工業互聯網以人、機、物全面互聯為目標，實現工業設備及系統之間的數據流動，促使工廠圍繞生產經營形成一個系統化的智能體系。工業互聯網也會促進 OT 與 IT 網絡融合，模糊并泛化了 OT 與 IT 網絡的安全邊界，讓互聯網領域的安全網絡風險向工廠 OT 網絡延伸。工業行業本身存在的網絡工業協議設計缺陷

28、、工業控制系統漏洞、網絡5G 工廠網絡安全白皮書 -14-安全防護缺失等問題，工業企業雖然對傳統工業網絡采取了一定的安全防護措施，但其工業控制系統網絡中存在的居多安全漏洞和風險隱患并未消除。融合帶來的互聯網安全風險，會與傳統工業網絡安全風險相互作用相互影響，形成了更為復雜嚴峻的工業網絡安全挑戰。工業互聯網面臨著攻擊面廣泛、攻擊無處不在、平臺網絡風險日益嚴峻、物理安全威脅劇增等問題。5G 工廠不僅會促進 IT 和 OT 網絡走向融通，而且會扁平化傳統工廠網絡結構，使得工廠內的車間級和現場級網絡的層級減少。5G 技術的開放特征將打破工業網絡眾多制式間的技術壁壘，實現網絡各層協議間的解耦合，讓工業網

29、絡重構成為可能。5G 工廠在重構工業網絡同時，還會整合人工智能、物聯網、云計算、大數據等為代表的新一代信息技術重構工業網絡防護體系，為 IT 與 OT 網絡融合帶來的安全問題提供全新的防護方法論和策略。（四）工業數據（四）工業數據 工業數據貫穿于工業設計、工藝、生產、管理、服務等各個環節，是提升制造業生產力、競爭力、創新力的關鍵要素。傳統工廠中的各個環節系統沒有統一管理的體系，數據壁壘嚴重，跨系統和業務獲取數據難，導致工廠的數據資料存在滯后性、分散性和復雜性的特點。由于傳統工廠數據的滯后性大，缺少數據的聯動和共享渠道，設備的運行狀態沒有實時的反饋，產線捕捉重要數據并沒有形成系統化的監測，使得管

30、理人員沒辦法通過零碎和復雜的數據來提升生產效益。工業企業數字化轉型是驅動工業數據融合的重要引擎。工廠在數5G 工廠網絡安全白皮書 -15-字化、網絡化和智能化的發展進程中，會推動工業領域的數據加速融合。工業數據包含大量敏感信息，包括研發設計、開發測試、系統設備資產信息、控制信息、工況狀態、工藝參數、系統日志、物流、產品售后服務等產品全生命周期各環節所生產的各類數據，這些數據往往屬于工業企業的機密。隨著工業企業數字化加速轉型，傳統工業控制閉環中沉沒與消失的數據將被開放出來，生產全流程的數據將以標準化的形式供上層應用使用。數據被大規模收集和共享后，工業企業的數據安全風險也不斷增加，數據泄露造成的安

31、全問題也將變得更加嚴重。從工業數據的特點來看，5G 工廠應解決以下三方面的數據安全問題。一是數據保密與低時延要求難以同時得到滿足的問題。5G 工廠的很多工業應用場景，如 PLC 現場驗證、SIS 工業應急、工業設備電源冗余切換等，對數據傳輸時延要求高，工業終端設備的計算能力相對較弱，很難使用傳統高強度、低實時性的加密驗證算法，數據保密性得不到保證。二是數據泄露、竊取以及被污染的風險增加問題。5G工廠使得工業數據會跨部門、跨系統傳輸變得越來越頻繁，當前數據有用即所得的現狀未能得到有效控制，導致數據被污染、泄露或竊取后難以追蹤溯源，數據安全性難以保障。三是當前大多數工業企業的數據安全能力無法滿足新

32、形勢下的安全需求問題。大多數工業企業對工業數據的存儲、使用和銷毀的管理模式依然較為落后，未建立完善的數據安全管理制度，未落實授權訪問機制和防篡改、防竊取、防誤刪等技術手段，沒有規范完備的數據使用管理和銷毀機制。5G 工廠網絡安全白皮書 -16-（五）安全設備（五）安全設備 工業領域安全設備也可以分為三類，第一類是針對工業控制網絡（OT）提供安全網關、網絡行為與日志審計、入侵檢測、主機加固、安全運維審計（堡壘機）、脆弱性檢測、集中安全管理等；第二類是針對工廠和企業管理區網絡（IT）提供傳統信息安全等保要求的安全設備。第三類是融合自身自動化產品安全屬性的安全設備。當前工業領域安全設備整體處于初級階

33、段，普遍存在兩方面的問題。一是網絡割裂，僅負責管轄范圍的安全，無法實現跨域感知防護；二是功能單一，僅實現設置安全功能，不能與其他設備形成智能聯防聯控。5G 工廠安全是工業生產安全和網絡空間安全相融合的領域，涵蓋工業領域中各個要素和各個環節的安全，需要專門的安全產品、技術和服務。當前，我國工業企業多采用傳統的網絡信息安全防護技術，以工控系統的“外建”安全防護產品和解決方案為主，尚沒有工業 OT方面的安全專用防護設備，整體安全解決方案還不成熟。隨著新型工業化進程加速推進，現有安全設備將無法滿足未來 5G 工廠的“數字化、網絡化、智能化”應用要求。安全設備正從產品及設備的基礎應用，逐步向以系統化的安

34、全設計、監測、防控一體化和智能化、信息化、平臺化的綜合工業安全能力方向轉型。5G 工廠的發展促使定制化安全設備加速出現，滿足客戶不同產品形態、性能的需求。同時，國家高度關注信息安全設備的自主可控，將信息安全設備的國產化上升到國家安全的高度，依靠自主創新，積極發展具有自主知識產權的信息安全設備。近年來，在信息5G 工廠網絡安全白皮書 -17-安全產品國產化政策的推動下，信息安全設備的國產化替代趨勢趨于顯現。（六）管理方式（六）管理方式 傳統工廠的信息系統可分為 IT 系統和 OT 系統兩類，通常歸屬兩個不同的部門管理。IT 部門是成本中心，他們的需求是安全，通過 IT系統簡化管理降成本。OT 部

35、門是生產中心，其訴求是安全生產，提高生產效率，提高產品質量，降低浪費。他們對系統的考慮，是安全可靠，容易替換，操作簡單，不改變原有習慣。IT 人員習慣從總體需求出發，采用自頂而下的方法，將系統劃分為若干的子部件，且針對子部件提出和開發解決方案。OT 人員習慣于自下而上的思路，從個別的部件出發構建復雜的系統。在傳統工廠，OT 和 IT 在邏輯上彼此獨立，在物理上保持隔離或分割。因此，形成了兩套無法復用的運營管理制度和體系。工業企業數字化轉型將使得 OT 和 IT 交匯融合，會促進 IT 與 OT系統之間的數據交互、共享等，然而 IT 與 OT 系統的管理制度存在一定的差異。主要表現在兩個方面，一

36、是系統要素管理優先級問題，IT與 OT 系統對保密性、完整性和可用性（CIA）的優先順序不同，IT 系統將數據的保密性置于完整性和可用性之上，而 OT 系統將可用性置于完整性和保密性之上；二是管理團隊的協調問題，隨著智能技術在IT 和 OT 系統中的深度應用，打破了 IT 與 OT 系統相對獨立的工作環境，一些重要系統管理可能需要多個部門參與，每個部門都需要從不同視角相互監督、相互協作來履行各自的責任和義務，共同完成管理。5G 工廠網絡安全白皮書 -18-OT 和 IT 融合是一個長期的過程，在 5G 工廠下也不例外，因此需設計伴隨者 IT 與 OT 網絡融合的不斷完善、不斷更新的工廠安全管理

37、制度。執行制度靠人才，工廠 IT 網絡與 OT 網絡深度融合后，需要配備IT/OT 復合型人才保障工廠安全運營。IT 與 OT 系統的信息安全屬于兩個不同學科，OT 系統信息安全人員主要關注 OT 系統的可用性，對IT 系統知之甚少；OT 系統又存在很高的技術壁壘，使得 IT 系統信息安全人員無法深入了解 OT 系統。傳統工廠中，IT 與 OT 網絡長期的物理隔離，使得工廠缺乏培養 IT/OT 復合型的信息安全人才的需求和動力，造成該領域的復合型人才很少。隨著 5G 工廠的大規模部署，為更好的執行工廠安全管理制度，因大規模培養 IT/OT/CT 復合型的信息安全人才。5G 工廠網絡安全白皮書

38、-19-四、四、5G5G 工廠安全參考框架工廠安全參考框架 為了應對工業領域的終端、網絡、數據和管理方式發生變化引起的安全挑戰，針對當前存在的工業信息安全管理機制不健全、關鍵核心技術能力不足、產業發展基礎薄弱、工業企業安全意識不強等問題和短板，綜合安全與發展，提出 5G 工廠安全參考框架，助力新時期新形勢下的工業信息安全能力提升，切實為制造強國和網絡強國戰略的有效實施保駕護航。5G 工廠安全總體框架可以分為終端安全層、網絡完全層、數據安全層、應用安全層和管理安全層。安全框架設計遵循融合、開放、靈活、前瞻的思想，提供終端、網絡、數據、應用、管理等全方位的安全服務能力，基于網絡安全和工控安全政策、

39、法規及標準體系，構建工控安全和網絡安全保障體系，充分發揮 5G 協同 AI、云計算、邊緣計算、隱私計算等新一代信息技術，滿足工業多場景的安全防護需求。參考架構如下圖：圖 4-1 5G 工廠網絡安全總體框架圖 5G 工廠網絡安全白皮書 -20-終端安全：5G工廠終端類型眾多，保障終端安全，可從資產安全、訪問控制和 AI 終端安全三個方面入手，確保工廠內的終端安全。資產安全通過采取終端標識信息、工藝監控、協議解析、安全阻斷等資產安全措施；訪問控制主要涉及接入認證、零信任、操作權限管理和主機安全，確保只有合法的終端接入工業網絡中。AI 終端安全主要應對后門攻擊、對抗攻擊、數據投毒和模型竊取攻擊等安全

40、威脅，及時發現安全風險和處置安全問題，保障終端安全運行。網絡安全：5G 工廠網絡是以 5G 為核心的融合安全網絡。針對 5G網絡承載不同業務的安全需求和安全風險，用“三同步原則”加強網絡安全，在建設階段，規劃、設計和建設 5G 網絡及信息安全保障機制，確保網絡服務的安全性。在運營階段，構建具有統一管理、智能防御和靈活部署的 5G 網絡安全防護系統，提高對網絡安全的響應能力。數據安全：5G 工廠數據安全主要包含數據識別、數據保護和隱私計算等方面的技術。保障工業互聯網數據安全，需要綜合考慮工業數據的產生、傳輸、存儲、處理、使用及銷毀等全生命周期的安全問題，采取相應的安全防護技術手段，防止數據被泄露

41、和篡改，主要技術手段包括數據分類分級、數據加密、可信計算等。應用安全：5G 工廠應用安全層防護主要包含安全預警、安全分析、指令識別三個方面。保障工業應用安全，主要涉及漏洞修復、攻擊識別、安全審計異?？刂频确矫?，通過提升工業應用安全能力，能夠大幅降低工廠遭受攻擊的風險。5G 工廠網絡安全白皮書 -21-管理安全：5G 工廠通過人員管理、制度管理、供應鏈管理等方面保障工廠安全。以安全生產政策與法規為基礎，構建工業企業綜合安全管理能力，從而實現工業企業安全合規、生產安全、資產安全和業務安全的安全目標。5G 工廠網絡安全白皮書 -22-五、五、5G5G 工廠安全關鍵技術工廠安全關鍵技術 未來，以 IT

42、 安全為主的傳統產品和服務已不能滿足實際市場需求，應充分結合 OT 安全進行縱深發展。因此，5G 工廠安全技術應統籌考慮 IT 安全和 OT 安全需求，其中保障生產的連續性和可靠性是5G 工廠網絡安全的首要任務。本文主要介紹從終端、網絡、數據、應用、管理等方面介紹 5G 工廠安全技術。（一）終端安全（一）終端安全 5G 工廠會促使現場終端設備由機械化向高度智能化轉變，大量的智能設備容易暴露在互聯網上，面臨攻擊范圍大、擴散速度快等問題，如何保證終端設備安全是 5G 工廠網絡安全的重要一環。1.1.資產安全資產安全 5G 工廠終端安全必須建立在“摸清家底”的基礎之上，對網絡中的所有業務資產進行信息

43、收集及分析，預防攻擊事件帶來的危害。收集的方法及注意事項包括如下幾項。（1）無憂采集：主要是對工業系統終端進行信息采集，得到工業系統特征。值得注意的是，在采集過程中，要區分不必要的頁面元素以進行過濾、減少不必要的請求。同時，增加采集節點，在進行大規模數據采集時，可以分散訪問壓力，提高采集效率。（2）工藝監控：通過 5G 結合機器視覺、模式化識別等技術，進行在線檢測監測，加強識別分析、遠程診斷、智能預判，支持機器視覺質檢、設備預測維護、無人智能巡檢等應用場景，在保證生產質量5G 工廠網絡安全白皮書 -23-與安全的前提下，獲取生產設備的多個工藝數據。將獲取的工藝數據與擬合曲線進行對比，判斷正常工

44、藝數據或異常工藝數據。通過監控異常工藝數據，可提升異常工藝產品攔截效率。（3）協議解析：面向 5G 工廠應用及其特征，針對各類終端進行全流量協議解析。通過對 5G 核心網信令面和用戶面的監測與解析，對 COAP、MQTT、Modbus、OPC 等工控和物聯網協議的深度解析，提升5G 工廠終端應用的綜合解析能力。（4）安全阻斷：主要是針對組態變更、操控指令變更、PLC 下裝、負載變更等關鍵工藝行為進行監控，對特定過程狀態參數、控制信號設定檢測閾值，進行過程參數閾值監控。通過內置探針實時感知安全風險，自定義業務策略配置，對違規訪問行為進行精準控制和阻斷，實現精準安全防護。通過云網聯動及時阻斷終端非

45、法接入、非法操作指令執行和工藝變更等違規行為。2.2.訪問控制訪問控制 在 5G 工廠中，以設備身份為中心進行細粒度的自適應訪問控制，并定義設備接入規則，通過認證和密鑰雙重機制完成設備的接入鑒權，防止仿冒終端接入，提高終端接入過程的安全性。（1）接入認證：工廠終端接入認證是工廠內部終端設備能夠有效、穩定地連接到工廠網絡的安全保障，實現數據共享和信息傳遞的重要安全措施之一。接入認證主要是對終端身份進行驗證，如設備是否合法、接入權限等。5G 工廠終端設備可采用使用用戶名和密碼、數5G 工廠網絡安全白皮書 -24-字證書、生物識別等方式進行身份驗證。身份驗證的目的是為了確保工廠網絡的安全性，防止未經

46、授權的設備和人員接入網絡，避免數據泄露和網絡攻擊等安全問題。（2）零信任：對于 5G 工廠網絡中所有的業務流量默認都是危險、不可信任的，讓其信任的方式是不斷的認證?！傲阈湃巍本褪遣恍湃稳魏稳说牟呗?，除非能明確知道接入者的身份?！傲阈湃巍笨蓭椭?5G工廠完成終端設備的多因素身份驗證、持續監測、訪問記錄及跟蹤，對終端每個環節產生的日志進行匯總、分析，實現終端接入可視化管理。（3）權限管理：5G 工廠設備權限管理分訪問控制和操作控制兩種。訪問控制可以控制設備能夠訪問的資源和數據，確保只有授權的設備才能夠訪問相關資源和數據；操作控制則可以控制設備能夠進行的操作，從而防止設備進行非法的操作或者誤操作，從

47、而導致工廠設備的損壞或者安全漏洞。企業需要根據 5G 工廠實際需求制定權限管理辦法，通過設定最小權限原則、實施角色權限管理、實施角色權限管理、強化審批機制、定期評估權限管理效果，實現 5G 工廠終端設備權限閉環管理。（4）主機安全：5G 工廠設備主機安全策略包括防火墻、權限管理、數據備份、加密技術、漏洞掃描、安全日志、病毒防護等，企業可根據工業應用場景擇取一種或多種安全策略，提升 5G 工廠設備主機的安全性。5G 工廠網絡安全白皮書 -25-3.3.終端安全防護終端安全防護 5G 工廠的終端安全防護需從終端管理、行為審計、業務流程管理等角度開展安全防護。（1）終端管理：終端管理主要從惡意代碼防

48、護、桌面標準化、終端外聯、介質使用、系統加固等層面進行能力建設，確保終端安全合法合規。（2）行為審計：行為審計是對 5G 工廠終端系統、應用程序等進行監控和記錄，對用戶操作和系統行為進行追蹤和分析，提高信息系統的安全性和可靠性。通過對終端操作時間點、操作頻率、操作對象、操作合法性進行統計分析，判斷操作是否合規、是否存在風險。終端行為審計不僅能夠追蹤用戶行為、防止信息泄露和數據損壞，而且還能幫助企業和機構合規化管理，保護企業和機構的商業機密和重要信息。（3）業務流程管理：業務流程管理包括業務流程設計、終端執行情況和工業生產業務流程管理。其中，業務流程設計管理需要充分考慮業務的特點、業務流程的復雜

49、度、業務規則等，確保業務流程的合理性、有效性和可操作性；終端執行情況管理包括終端操作的正確性、操作的時效性、操作的異常情況等，通過監控終端的執行情況，可及時發現和處理業務流程中的問題和異常情況，提高業務流程的執行效率和準確性；工業生產業務流程管理考慮流程設計的合理性、終端執行情況以及終端在業務流程中操作數據的匹配，通過對業務流程5G 工廠網絡安全白皮書 -26-設計的審查和優化，確保流程的高效性和可行性。（二）（二）AIAI 終端安全終端安全 AI 終端及應用系統在業務場景中部署時，需要從架構安全、模型安全和攻防安全三個層面來開展防御。其中，架構安全是在 AI 終端及應用系統部署的業務中設計不

50、同的安全機制，來保證架構安全；模型安全是通過模型驗證等手段提升模型健壯性；攻防安全是對已知AI攻擊設計有針對性的防御策略。1.1.AIAI 安全架構安全架構 在工業領域中使用 AI 終端及應用，需要結合具體業務自身特點和架構，分析判斷 AI 模型使用風險，綜合利用隔離、檢測、熔斷和冗余等安全機制設計 AI 安全架構與部署方案，以增強工業 AI 應用場景的健壯性。為了保護用戶利益，我們需要按照 AI 應用場景需求，在系統中合理運用如下安全機制確保 AI 終端及應用安全，如圖 5-2所示：圖 5-1 AI 引入業務決策的安全架構 5G 工廠網絡安全白皮書 -27-（1）隔離：在滿足工業應用場景的業

51、務穩定運行的條件約束下，AI 終端及應用會分析識別最佳方案，然后發送至控制系統進行驗證并實施。通常根據工業應用場景對各個功能模塊進行隔離，并對模塊之間設置訪問控制機制。對 AI 終端及應用的隔離可以一定程度上減少針對 AI 推理的攻擊面，而對綜合決策系統的隔離可以有效減少針對決策系統的攻擊。（2）檢測：在工業應用場景的主業務系統中部署持續監控和攻擊檢測模型，綜合分析工業網絡系統安全狀態，并給出 AI 終端及應用威脅風險級別。當威脅風險較大時，綜合決策可以不采納智能系統的建議，并將最終控制權交回人員控制，保證在遭受攻擊情況下的安全性。（3）熔斷：AI 終端及應用在進行關鍵操作時，如 AI 質檢、

52、智慧分揀等，通常要設置多級安全架構確保整體系統安全性。需要對 AI終端及應用給出的分析結果進行確定性分析，并在確定性低于閾值時，將判斷交回人工處理。（4）冗余：大多數 AI 終端及應用決策、數據之間具有關聯性，可以搭建業務“多模型架構”，通過對關鍵業務部署多個 AI 模型，避免單個模型出現錯誤時影響到業務最終決策，提升整個系統的強壯性。2.2.AIAI 模型安全模型安全 針對未知攻擊，需根據具體工業應用場景來增強 AI 模型本身的5G 工廠網絡安全白皮書 -28-安全性，避免可能遭受的攻擊危害。圖 5-3 給出了 AI 模型安全工作流程，可從模型可檢測性、可驗證性和可解釋性開展研究。圖 5-2

53、 模型安全工作流程（1）模型可檢測性：AI 終端及應用部署運營前，需要對 DNN 模型做大量的安全測試，如前饋檢測、后饋檢測等，才能提升 AI 終端及應用的魯棒性。其中，前饋檢測是數據輸入訓練模型前所做的監測模型過濾惡意樣本，后饋檢測是模型輸出評測結果后通過監測模塊減少誤判。（2）模型可驗證性：以 DNN 模型為例，DNN 模型具有高識別率、更低誤報率等特性，廣泛用于工業領域各種圖像識別場景，如 AI 眼鏡、AI 質檢儀、智慧分揀等。通過 DNN 模型約束輸入空間與輸出空間的對應關系，驗證輸出在一定的范圍內，來說明 DNN 模型在一定程度上具有安全性。（3）模型可解釋性：工業領域有些 AI 終

54、端及應用是為了讓操作員與工程設備之間有更好的互動，AI 系統具有不可解釋性，給出最佳答案時，不會帶來疑問，會給操作員帶來困惑或操作風險。針對具體工業應用場景，通常要求數據可解釋、模型可解釋，以增強 AI 終端5G 工廠網絡安全白皮書 -29-及應用的可解釋性，幫助我們分析 AI 終端及應用的邏輯漏洞或者數據死角，從而提升 AI 終端及應用的安全性。當 AI 模型實現可檢測性、可驗證性和可解釋性后，AI 終端及應用便具備了可解釋性，輸入/中間數據之間的邏輯關系會相對清晰。通過判斷數據之間的自洽性可識別非法/攻擊數據，甚至能清除惡意的攻擊樣本，提高 AI 終端及應用的健壯性。3.3.AIAI 安全

55、攻防安全攻防 當前，很多 AI 應用已出現惡意機器學習、閃避攻擊、藥餌攻擊以及各種后門漏洞攻擊。業界已有很多針對已知攻擊手段的對抗方法，表 5-1 列出 AI 應用在數據收集、模型訓練及模型使用階段的常見防御技術。表 5-1 AI 安全防御技術 數據收集階段 模型訓練階段 模型使用階段 閃避攻擊 對抗樣本生成 1、網絡蒸餾 2、對抗訓練 1、對抗樣本檢測 2、輸入重構 藥餌攻擊 1、訓練數據過濾 2、回歸分析 集成分析 后門攻擊 模型剪枝 輸入預處理 竊取攻擊 差分隱私 隱私聚合教師模型 （1）閃避攻擊防御技術：5G 工廠網絡安全白皮書 -30-網絡蒸餾：在多個 DNN 進行串聯場景中，一種前

56、一個 DNN 生成結果被用于訓練后一個 DNN 的模型訓練技術。網絡蒸餾是未來智能制造生產線上常見的安全模型訓練方法，該方法通過轉移知識可以一定程度上降低模型對微小擾動的敏感度，提高 AI 終端及應用的魯棒性。對抗訓練：一種利用已知攻擊方法生成抵抗攻擊擾動的訓練技術，該訓練技術能利用已知的各種攻擊方法生成對抗樣本，再將對抗樣本加入模型的訓練集中，然后對模型進行單次或多次重訓練，生成可以抵抗攻擊擾動的新模型。未來 5G 工廠，可綜合全系統、全產業鏈的多類對抗樣本，訓練集數據豐富，不但可以增強新生成 AI 終端及應用模型的魯棒性，還可以增強 AI 終端及應用模型的準確率和規范性。對抗樣本檢測：對抗

57、樣本檢測是模型使用階段的一種監測技術，通過增加外部檢測模型或原模型的檢測組件來判斷監測對象是否為對抗樣本。不同的檢測模型可能依據不同標準來判斷輸入是否為對抗樣本。AI 終端可通過 5G 協同邊緣計算、云計算上的外部檢測模型，讓輸入樣本和正常數據間確定性的差異、對抗樣本的分布特征、輸入樣本的歷史數據等作為對抗樣本的判別依據成為可能。輸入重構：模型使用階段的一種防御技術，通過將輸入樣本進行變形轉化來對抗閃避攻擊，變形轉化后的輸入不會影響模型的正常分類功能。在 5G 工廠中，AI 終端可在邊緣計算、云計算的協助下，通過給輸入樣本加噪、去噪、自動編碼器改變輸入樣本等方式，將輸入樣本進行變形來對抗閃避攻

58、擊，變形后的輸入樣本的正常功能不會受到影響。5G 工廠網絡安全白皮書 -31-以上防御技術都有適合的工業應用場景，并不能完全防御所有的對抗樣本。（2）藥餌攻擊防御技術：訓練數據過濾：通過對訓練數據集的控制，利用檢測和凈化的方法防止藥餌攻擊影響模型。數據標簽過濾和模型對比過濾常用的兩種訓練數據過濾方法。其中，數據標簽過濾是利用數據的標簽特性查找可能被藥餌攻擊的數據點，在重訓練時過濾這些攻擊點；模型對比過濾是減少可能被藥餌攻擊的采樣數據，并借助數據標簽過濾來對抗藥餌攻擊。在 5G 工廠中，可利用云計算的海量存儲能力和超強計算能力幫助 AI 終端完成數據標簽過濾和模型對比過濾，提升藥餌攻擊防御能力。

59、回歸分析：一種基于統計學的檢測數據集中的噪聲和異常值的方法。常見的方法有對不同的損失函數來檢查異常值、使用數據的分布特性來進行檢測等。集成分析：一種通過綜合多個子模型的能力提升機器學習系統抗藥餌攻擊能力的方法。利用多個獨立的模型共同構成 AI 終端及應用，通過 5G 網絡將多個 AI 終端模型采用的不同訓練數據集就行綜合，實現降低整個系統被藥餌攻擊的概率。（3）后門攻擊防御技術：輸入預處理：一種模型使用階段的防御技術，通過過濾觸發后門的輸入，降低輸入觸發后門的風險。模型剪枝：一種模型訓練階段的防御技術，通過適當剪除原模型5G 工廠網絡安全白皮書 -32-的神經元，在保證正常功能一致的情況下，減

60、少后門神經元的影響力。（4）模型/數據防竊取技術：隱私聚合教師模型：一種模型訓練階段的防竊取技術，該技術將訓練數據分成多個集合用于訓練一個個獨立的 DNN 模型，然后基于這些獨立 DNN 模型訓練出學生模型。這種技術適合數據分散的工業應用場景，根據分散系統數據情況就地訓練 DNN 模型，然后利用 5G 網絡匯聚后訓練出學生模型，這種方式可確保訓練數據不會泄露，提高訓練數據的隱私性。差分隱私：一種數據收集階段的防竊取技術，通過利用一些差分隱私的方法對數據或模型訓練進行加噪，提高模型或數據的保護能力。在工廠 AI 質檢、智慧分揀、智能環境監控儀等場景中，AI 終端可通過差分隱私獲取其他 AI 終端

61、的數據或模型的能力，但不會導致數據或模型被竊取。（三）網絡安全（三）網絡安全 5G 工廠會促進 IT 和 OT 融合，工廠網絡結構也會出現不同程度的變化，但是傳統 OT 網絡仍會是 5G 工廠的核心網絡。5G 技術作為打通 IT 和 OT 網絡的重要工具，將普遍存在于工廠的各領域、各系統中。此外，IPv6 帶來的新技術將 5G 工廠得到大規模應用。1.OT1.OT 網絡防護網絡防護 OT 網絡防護技術可以相當程度上阻止 IT 側網絡對工控系統的威脅，避免互聯網攻擊對工控系統造成破壞。其技術主要包括如下幾項。5G 工廠網絡安全白皮書 -33-（1）網絡安全檢測 入侵檢測：針對 OT 網絡的入侵行

62、為存在大量隱藏攻擊，即攻擊命令雖然符合協議規范，但違背了系統的生產邏輯，使系統處于危險狀態，例如未授權的啟動與停止指令、未授權的組態變更等。對于隱藏攻擊的檢測可以通過收集 PLC、RTU 等內部寄存器值、數字量及模擬量的輸入和輸出，為檢測特征增加語義描述，最終通過關鍵狀態發現檢測隱蔽攻擊。漏洞掃描：OT 網絡漏洞掃描是針對工業控制系統網絡環境中存在的設備進行漏洞檢測，進而對設備狀態、漏洞信息進行分析，能夠讓工業控制系統管理者全面掌握當前系統中的設備使用情況、漏洞分布情況、漏洞風險趨勢等內容，從而實現對系統內的核心組件進行有針對性的重點整治。蜜罐技術：“蜜罐”是一種網絡誘導技術，通過故意暴露網絡

63、漏洞誘騙網絡攻擊者發起攻擊。在 OT 網絡中，可以利用閑置的服務端口來充當蜜罐，采用增加蜜罐數量，增加蜜罐暴露幾率的策略，起到“擋槍”的效果，達到保護目的。（2）網絡防護 網絡隔離：作為工廠內部的傳統網絡安全手段，工控系統隔離技術通過在工控網絡和企業網絡之間部署防火墻等網絡隔離設備，或者在工廠內網前方設置 DMZ 區域，控制外網與工控網絡之間的數據交換，可以在很大程度上屏蔽外網帶來的病毒感染風險，以及工業內部數據信息的泄露。5G 工廠網絡安全白皮書 -34-白名單技術：白名單技術有不同維度的分類。應用程序白名單，是用來防止未認證應用程序運行的一種措施，即只有允許的應用程序能被運行。資產白名單，

64、是指對 OT 網絡內的資產進行統計，區分權限后放入不同的白名單之中，如果有惡意設備接入，則基于資產白名單可以快速發現該威脅源。行為白名單，即將應用程序的合法行為進行定義，從而將合法訪問與非法訪問進行區別。（3）擬態技術 網絡空間擬態防御將會成為 5G 工廠的一種新型防御技術，該技術可以通過 5G 聚合 AI 終端、邊緣技術、云計算等能力，提升工廠網絡設備安全保障。擬態路由器：在網絡架構中引入多個異構冗余的路由執行體，對執行體維護的路由表進行共識裁決生成擬態路由器的路由表，行成擬態裁決機制?？蓪崿F不同執行體的防護能力互補，有效阻斷惡意攻擊，極大地提高路由器應對網絡攻擊的能力。擬態 Web 虛擬機

65、：利用云化部署優勢，構建功能等價、多樣化、動態化的異構虛擬 Web 服務器池，采用動態執行體調度、數據庫指令異構化、多余度(共識)表決等技術，建立多維動態變換的運行空間，阻斷攻擊鏈，大幅增加傳統 Web 服務和虛擬環境中的漏洞及后門利用難度，在不影響 Web 服務性能的前提下，保證服務的安全可信。擬態算力服務：通過構建功能等價的云邊擬態算力池的方法，采用動態執行體調度、異常發現、線上線下清洗等技術，可及時阻斷工業軟硬件漏洞后門攻擊。5G 工廠網絡安全白皮書 -35-擬態防火墻：運用擬態防御技術，采用動態異構冗余架構設計，對傳統防火墻架構進行改造，提升防火墻 Web 管理層面、數據流處理層面的防

66、護能力，切實可信的準入控制保障。2.5G LAN2.5G LAN 安全安全 （1）5G 多層次隔離 5G 網絡可以基于無線接入網、傳輸網與核心網等基礎設施以及網絡虛擬化技術構建面向不同業務特征的邏輯網絡，能夠根據 5G 工廠的安全需求支持各種差異化的業務場景，在不同安全分區或同一安全分區不同業務之間實現不同強度的隔離手段。無線接入網隔離：面向無線頻譜資源和基站處理資源的隔離方式。最高安全等級的工業控制類場景，通過獨立基站或頻譜實現安全隔離；安全等級低一些的應用場景，可通過物理資源塊分配、數據資源承載參數配置、5G 服務質量特性優先級調度等多種方式實現。傳輸網隔離：傳輸網隔離技術有硬隔離和軟隔離

67、兩種方案。硬隔離通常采用 FlexE 技術，安全性能高，可更好的適應 5G 工廠網絡中海量數據的安全區隔傳輸要求；軟隔離最常見的策略是 VLAN 隔離，該方式是將切片標識作為 VLAN 標簽，完成切片數據映射封裝，實現切片的承載隔離。核心網隔離：在核心網層面，可通過對 CPF 共享方式就行設計，實現安全隔離策略。目前有獨享、部分共享、完全共享三種 CPF 共享方式，滿足不同級別的安全隔離策略需求。5G 工廠網絡安全白皮書 -36-（2）5G 接入認證 當多種、海量終端接入 5G 工廠網絡時，需要靈活的認證方式，在滿足網絡服務質量的同時，識別可信任終端，保證網絡安全。常見的 5G 認證方式有切片

68、認證和二次認證兩種。切片認證：5G 網絡的切片技術，能考慮工廠的個性化需求，可以為 5G 工廠提供靈活的接入身份認證方法。例如加入限制，僅允許工廠認可的 IMSI 清單內的設備終端才能夠接入到該業務的專屬切片，保證網絡切片分配給正確的用戶，實現身份接入安全可靠。二次認證：實現 5G 工廠對設備多重接入控制的需求，通過 5G 網絡提供底層認證通道，由工廠自主制定認證算法和認證協議，實現靈活自主的二次認證。當 5G 主認證完成之后，在用戶建立 PDU 會話時，由 SMF 發起二次認證，并由 DN-AAA 服務器對用戶進行認證授權。在驗證過程中，DN-AAA 服務器的部署有兩種方案，一種是由工廠自主

69、部署，通過 UPF 網元和 SMF 網元連接；另一種工廠以租戶形式實現對入網終端的二次身份認證，由運營商直接部署在通信機房，與 SMF 網元連接，這時由運營商提供云上 AAA 服務。（3）加密技術 在 5G 工廠中，對網絡延時要求很高，PKI 等常規加密算法需要復雜計算，不適合工業應用場景。這種場景需要采用高速、低耗的加密技術。輕量級加密技術：對稱密碼是一種運算速度較快的加密技術，可兼顧安全性和性能，能滿足 5G 工廠超低時延和海量終端的加密需求。5G 工廠網絡安全白皮書 -37-能夠更好地適用工業應用環境，尤其在芯片性能、能耗、存儲空間、通信帶寬、運行時間等軟硬件條件受限情況下。量子加密：量

70、子加密通信是指利用量子密鑰分發進行安全通信的網絡，它主要利用量子密鑰的不可抵抗、均勻、無界、零時延等特性，通過量子密鑰進行加密傳輸，不但能夠保證通信的安全性，而且還可以提高速率。隨著量子相關技術的快速發展，目前量子加密已有零星應用。量子加密作為一種先進的加密技術，傳輸速度快、安全可靠性高的特點，在未來 5G 工廠中將得到廣泛應用。3.IPv63.IPv6 安全安全 從 IPv4 到 IPv6，網絡地址從 32 比特增加到 128 比特，足夠長的網絡地址使得“真實地址溯源”和“精細化網絡管控”成為可能，也為 5G 工廠提供了前所未有的網絡安全保障手段。（1）SRv6 技術 通過分段轉發 IPv6

71、 數據包，可以實現網絡切片的功能，每個網絡切片都可以靈活定義自己的邏輯拓撲、SLA 需求、可靠性和安全等級，以滿足不同業務、行業或用戶的差異化需求。對于 5G 工廠而言，IP 層面網絡切片的價值主要體現在以下兩個方面：負載均衡：通過切片的資源預留技術實現差異化 SLA 和不同等級的網絡隔離訴求，精確預測網絡上路由資源的分布情況，對路由策略進行動態調整，實現負載均衡的效果，合理分配網絡資源。高可靠收發：部分工業場景，如精密加工，對時延有嚴格的要求，5G 工廠網絡安全白皮書 -38-SRv6 技術可以通過路由策略的調度，實現網絡傳輸時長的可控，通過確定性時延，保障安全生產。（2）iFIT 技術 i

72、FIT 將 OAM 指令攜帶在 IPv6 擴展報頭中，根據染色比特經受的時延、誤碼等來獲得鏈路實時性能，發現丟包、時延、抖動等異?，F象，定位問題節點與路段。iFIT 在 5G 工廠網絡安全中起到如下作用：異常流量檢測：利用 IPv6 擴展包頭提供的數據空間，隨流檢測可為擁有海量終端的工業網絡提供流量可視測能力，最高可對網絡流量十萬分之一的異動進行監控。利用精準的檢測能力，既可以及時發現來自互聯網的 DoS 攻擊，也能自動地檢測出工業設備潛在故障，實現了智能化網絡運維。靜默故障感知：靜默故障是指業務體驗受損但沒有達到觸發告警門限且缺乏有效定位的故障。IFIT 可以真實還原報文的實際轉發路徑，實現

73、網絡 SLA 的實時監控，丟包檢測精度可達 10-6量級，時延檢測精度可達微秒級，能夠進一步支撐對靜默故障的完全檢測、秒級定位。這種高精度丟包檢測率可以滿足工業控制“零丟包”業務的要求，保障業務的高可靠性。分流數據審計：利用報頭中存儲的網絡節點信息，獲取數據包經過的路徑，作為 5G 核心網 UPF 分流數據的審計。該技術可及時監測工廠內部數據非法外溢，避免惡意第三方訪問或調用工廠保密數據。（3）Multi Homing 技術 IPv6 Multi homing 是一種重要的網絡服務，具有提高網絡可靠5G 工廠網絡安全白皮書 -39-性、實現均衡負載、增加網絡帶寬、保證傳輸層存活性等優點。該技術

74、可以區分同一個 PDU 會話中所含的多種服務質量要求、安全級別業務，為 5G 工廠網絡提供不同的路由，并支持 UPF 分流企業敏感數據，與外網安全隔離。同時，還可實現 5G 終端按需連接公網或專網，為5G 網絡提供先建后斷的業務連續性模式，減少切換中斷時延，提高可靠性。（4）IPv6 VPN 技術 與 IPv4 只能在數據鏈路層和網絡層上建立 VPN 邏輯上的專線不同，IPv6 可以實現傳輸層的端到端專線。IPv6 VPN 的主要優勢有：實現云網邊端穿透、業務與連接解耦，一跳直達；協議簡化，部署簡單，不再需要隧道支持，可以直接運行；通過記錄網絡關鍵信息，可實現 VPN 專線路由的可管理、可溯源

75、。IPv6 VPN 技術在 5G 工廠網絡中應用，可兼顧網絡的便捷性和安全性。（四）數據安全（四）數據安全 數據作為生產要素之一，能否做好數據深化應用、發揮數據價值是關乎工業企業能否邁過數字化轉型門檻、站上更高發展臺階的關鍵，數據安全又是做好數據應用的前提保障。5G 工廠數據安全建設需從數據資產識別梳理、數據安全防護、數據安全風險評估、數據安全運營的安全框架進行考慮。1.1.數據安全風險評估數據安全風險評估 數據安全風險評估是以數據為核心，通過現場調研和技術評估相5G 工廠網絡安全白皮書 -40-結合的方式對單位數據運行現狀開展全面風險評估，了解數據管理相關控制的存在性及有效性，評估分析數據安

76、全整體面上和點上的安全風險，作為安全體系規劃建設的重要參照依據。在評估過程中，通常從數據環境風險分析、數據內容風險分析和業務流程相關的數據安全風險分析著手。（1）數據環境風險評估：數據環境風險分析包括數據支撐環境安全風險分析（如主機安全、通信安全、數據庫安全、大數據平臺安全等）、數據使用環境安全風險分析（如終端準入、終端殺毒、用戶組策略管理等）、數據運維環境安全風險分析（如授權與審批、危險操作識別與阻斷、去標識化等）。例如：數據庫安全風險分析，通過安全現狀評估能有效發現當前數據庫系統的安全問題，對數據庫的安全狀況進行持續化監控，保持數據庫的安全健康狀態?？刹捎脭祿炻┒磼呙?、弱口令檢測、配置核

77、查與加固等方式展開工作。（2）數據內容風險評估:數據內容風險評估可按照重要/敏感數據資產梳理、重要/敏感數據流動分析、重要/敏感數據流動風險檢測的順利進行。以重要/敏感數據流動風險檢測為例，具體實施時可結合企業系統特點，快速對系統內部的敏感接口進行脆弱性評估，并結合后臺脆弱性評估規則，自動發現并識別相關接口的脆弱性。檢測包括登錄接口脆弱性、接口權限評估、接口流動風險、數據暴露面、數據域流向等多個維度的風險檢測項目，并對檢測后問題開展風險評定等級，評定影響范圍、并給出響應的整改意見。（3）業務流程風險評估:在流程脆弱性分析過程中，圍繞流程中5G 工廠網絡安全白皮書 -41-敏感數據的流轉，編制數

78、據流轉視圖。流轉視圖包含敏感數據確認、流轉、業務風險等。2.2.數據資產識別數據資產識別 數據資產識別是數據安全的核心內容，通過對不同類型的數據進行甄別，識別其中存在的重要數據或敏感數據并對其進行分類定級處理，避免數據安全治理“眉毛胡子一把抓”的混沌狀態，有針對性地對不同類別、不同級別的數據提供不同程度的安全防護提供依據。（1）數據發現：通過掃描探測、網絡流量分析、應用接口探測、業務錨點監測、調研訪談等方式發現各類數據源，如網絡協議、應用接口、網頁、文本、圖片、視頻、腳本、數據庫、文件服務器等數據源。例如，對于數據接口。采用自動化接口發現技術，將網絡流量中大量的 URL 等進行聚合歸類，然后提

79、取參數配置，還原接口的技術設計形式，并按照接口資源類型歸類各類接口。同時，通過敏感數據識別、引擎識別接口，對業務系統和接口進行歸類統計梳理。（2）數據分類分級：對數據資源進行分類和分級，是實現數據有效管理和利用，保障數據安全的基礎，也是促進數據開放和共享的關鍵環節。工業數據可分為結構化數據和非結構化數據兩類，結構化數據可通過數據探測，對數據庫服務進行數據資產盤點；非結構化數據需通過訪談、收集、調研等方式進行盤點。（3）數據安全定級：數據完成分類后，便可對數據進行安全分級。數據安全定級主要根據數據的安全屬性，如完整性、保密性、可5G 工廠網絡安全白皮書 -42-用性等，以及安全事件發生后的影響對

80、象、影響范圍、影響程度，對數據進行安全定級，通常將數據分為一般數據、重要數據、核心數據三級。3.3.數據安全防護數據安全防護 數據具有流動性，數據結構和形態會在整個生命周期中不斷變化，需要采用多種安全工具支撐安全策略的實施，涉及到數據加密、秘鑰管理、數據脫敏、水印溯源、數據防泄漏、訪問控制、數據備份、數據銷毀等安全技術手段。技術涉及面廣、細節豐富。為此，本白皮書主要針對數據防泄漏、零信任數據安全、隱私計算等關鍵技術進行簡要介紹。（1）數據防泄漏：數據泄漏風險可通過數據網關、數據審計、數據脫敏、數據水印溯源、訪問控制、身份認證等多種技術組合的方式來防護。結合數據分類分級結果，對重要數據、核心數據

81、進行分級別、細粒度采取數據防泄漏保護，可得到更佳效果。（2）零信任數據安全：零信任是一種安全模型，基于訪問主體身份、網絡環境、終端狀態等盡可能多的信任要素對所有用戶進行持續驗證和動態授權。零信任模型通常采用身份管理基礎設施、數據平面、控制平面三層架構，實現訪問主體到目標客體的端到端安全控制。5G 工廠存在泛在異構終端連接，數據訪問情況復雜，采用零信任數據安全方案是比較理想的解決方式。5G 工廠網絡安全白皮書 -43-（3）身份認證：在身份認證技術上，可對應用身份、設備身份進行高強度關聯認證，如將應用程序自身簽名、運行環境上下文摘要信息、應用內部用戶身份、設備身份碼、5G 通訊卡身份碼、通訊網絡

82、地址信息、通訊鏈路信息進行整合，作為訪問請求唯一主體進行認證。該認證信息可在零信任用戶認證中心按需實時生成，具有即時性特征，適合 5G 工廠應用場景。這種采用多維度屬性的身份認證方式，相比于單一屬性授權方式，大大增強了安全屬性。（4）訪問控制安全：基于傳統訪問控制策略列表，利用 UEBA 技術對數據訪問交互管理能力進行深度分析研判，并能在過程中做出相應處置動作。UEBA 主要通過歷史行為建模、實時行為分析，通過大數據分析、機器學習的方式優化判斷閾值，解決傳統規則方式存在安全盲區的問題。（5）代理安全：常見的工廠代理技術有工廠應用系統的代理和關鍵 API 的代理。代理技術包括身份識別、權限識別、

83、身份傳遞、數據脫敏、健康監控、流量管控、通道安全等多項核心技術，通過實施動態的訪問者身份識別和權限識別操作，對服務健康狀態進行實時檢查，實現安全加固，并能通過統一的策略對服務的訪問控制進行調整。4.4.數據安全運營數據安全運營 數據安全運營是將技術、人員、流程進行有機結合的系統性工程，是保證數據安全治理體系有效運行的重要環節。數據安全運營遵循“運營流程化、流程標準化、標準數字化、響應智能化”的思想進行5G 工廠網絡安全白皮書 -44-構建，數據安全運營的需要實現流程落實到人，責任到人，流程可追溯，結果可驗證等能力。數據安全運營需貫穿安全監測、安全分析、事件處置、安全運維流程，全面覆蓋安全運營工

84、作，滿足不同類型、不同等級安全事件的監測、分析、響應、處置流程全域可知和可控。如圖 5-3 所示，數據安全運營主要包含數據資源運營、數據安全策略運營、數據安全風險運營、數據安全事件運營和數據安全應急響應五個部分。圖 5-3：數據安全運營架構圖 5.5.隱私計算隱私計算 隱私計算是一種保障數據在使用過程中“可用不可見”的安全技術，可在滿足數據隱私安全的基礎上，實現數據價值的流通。隱私計算可幫助 5G 工廠開展供應鏈上下游、產品銷售全生命周期等管理，挖掘數據價值，解放數據要素生產力。隱私計算主要包括多方安全計算、同態加密、聯邦學習、可信執行環境等。5G 工廠網絡安全白皮書 -45-（1）多方安全計

85、算：多方安全計算是一種參與方不泄露各自數據以及中間計算結果的情況下，基于多方數據協同完成計算目標，可實現原始數據、計算模型等不被泄露。（2）同態加密：同態加密是指對密文進行特定形式的代數運算得到的仍是加密的結果，將其解密所得到的結果與對明文進行同樣的運算，二者結果相同。根據運算符不同，可分為乘法同態加密和加法同態加密，能夠同時滿足加法和乘法兩個性質的算法稱為全同態加密算法，只能滿足其中之一的稱為半同態加密算法。（3）聯邦學習：聯邦學習是一種使多個參與方在不泄露其原始數據和隱私的前提下，能互相協作，構建和使用機器學習模型的系統或框架。通常需要一個匯聚方，每個參與方對自己的數據在本地訓練模型的得到

86、本地參數，然后將本地參數及部分信息提交給匯聚方，由匯聚方進行聚合計算得出全局參數，再發給所有參與方進行計算。（4）可信執行環境：基于可信執行環境的安全計算是數據計算平臺上由軟硬件方法構建的一個安全區域，可保證在安全區域內部部署的代碼和數據的機密性和完整性得到保護。（五）應用安全（五）應用安全 所謂應用安全，簡單地說，是保護應用系統、應用程序的安全。為了保障應用安全，需要從安全預警、安全分析和指令識別三方面加強應用系統在安全性方面的設計和配置，防止在運行過程中發生應用系統不穩定、不可靠和資源被非法訪問、篡改等安全事件。5G 工廠網絡安全白皮書 -46-1.1.安全預警安全預警 安全預警主要針對工

87、業應用系統，建立入侵攻擊規則庫、知識庫、漏洞庫等，綜合利用入侵檢測、攻擊識別、漏洞掃描、異常報警管理等手段，對工業應用系統中發現的入侵攻擊、漏洞利用、異常報警等進行安全預警。（1）攻擊識別：針對工業應用系統，建立工業入侵與攻擊知識庫、特征庫，通過流量檢測、入侵檢測、安全態勢監測等手段，精準識別工控系統中的異常接入、異常通信行為、IO 篡改、顯示欺騙、控制篡改、固件異常提取、固件篡改、指令篡改以及異常報警、異常處置等行為，及時進行安全預警。（2）漏洞掃描：在不影響工業應用系統正常安全運行的前提下，建立工業應用系統漏洞掃描機制，及時發現系統存在的漏洞，并對工業應用及時打補丁。（3）入侵檢測：在不影

88、響工業應用系統正常安全運行的前提下，建立工控應用侵入檢測機制，對工業應用系統中的全要素、全流量網絡報文進行采集分析，對發現的入侵和攻擊，及時預警。同時，結合工業應用系統入侵與攻擊知識庫、行為特征庫，及時發現工業應用系統中的木馬、惡意代碼、非授權協議、非授權指令；結合工業生產業務邏輯與工況參數，及時發現利用工控系統自身機制和協議、指令發起的隱蔽攻擊、隱性攻擊。（4）異常報警：建立工業應用系統報警管理機制，采用報警統5G 工廠網絡安全白皮書 -47-計分析、報警審計分析、關鍵工藝報警管理、多參數印證報警管理、測控指令與工況邏輯印證、上下文邏輯印證等技術手段，及時發現異常報警。2.2.安全分析安全分

89、析 工業應用系統要求運維人員能夠隨時掌握工業業務應用運行的關鍵指標，及時發現安全風險、安全隱患，及時預警，實現主動運維、主動防御、主動管理。一旦發生攻擊或安全事件，需要通過日志審計、威脅分析、關聯分析、溯源分析等技術手段，實現有效地定位和取證。（1）日志審計：工業應用系統的日志審計應該包括三個方面，一是對常規的安全設備、網絡設備、數據庫、服務器、應用系統、主機等設備所產生的系統安全事件、用戶訪問、系統運行（如文件的創建、刪除、訪問、更改等）、系統狀態以及告警、操作、消息等記錄進行審計分析；二是要結合工業應用系統的軟件、硬件組件與網絡配置實際，對工業應用系統中的登錄接入、網絡資產、通信過程、連接

90、訪問、網絡流量等進行審計分析；三是要對工業應用系統中的組態、配置、操作、控制、報警指令和行為進行審計，及時發現與系統配置不相符的指令和行為。（2）威脅分析：主要通過網絡監測、入侵檢測、漏洞掃描、防火墻應用、殺毒軟件等技術手段，不僅要對工業應用系統的非授權訪問、信息泄漏、流量劫持、數據篡改、拒絕服務、漏洞利用攻擊等常規安全風險進行分析。還可結合工業應用系統的軟硬件與控制方案實際，5G 工廠網絡安全白皮書 -48-和工業生產業務的運行工況參數、狀態，對像“震網”病毒那樣利用工業應用系統自身的運行機制、協議和指令，發起的系統偵察、指紋提取、指令劫持、指令偽造、操作篡改、控制篡改、配置篡改、數據篡改、

91、IO 操控等行為安全風險進行分析。（3）溯源分析：通過地址分析、日志監測、全流量分析、惡意文件、同源分析、攻擊模型分析以及操作控制指令行為分析、組態配置行為分析、報警與處置信息分析、詳情分析等手段，對工業應用系統受到攻擊的攻擊時間、攻擊設備、攻擊類型、攻擊指令、被攻擊設備、攻擊行為以及對工業生產業務的攻擊影響、可能的后果等進行分析，及時發現攻擊源，并及時處置。（4）關聯分析：綜合利用聚類分析、攻擊場景、因果關系、序列分析等方法，結合工控系統軟件硬件與網絡配置實際，從網絡資產、節點間通信關系、節點通信行為、系統管理、節點管理、網絡管理等報文、流量等方面，對工控系統中的節點間通信過程進行關聯分析。

92、在 5G 工廠中可結合業務邏輯與控制方案，從時序邏輯、控制邏輯、指令上下文關系、指令與工況參數間的業務邏輯關系等，對工業應用系統組態配置、測量操作控制與報警處置指令、行為等進行關聯分析，發現、識別利用工控系統運行機制、協議指令等發現的隱蔽式攻擊。3.3.指令識別指令識別 工業應用通過 SCADA、DCS、PLC、RTU 等工控系統的軟件、硬件、網絡的運行，采集傳感器測量的工業生產過程運行狀態參數，經過控5G 工廠網絡安全白皮書 -49-制算法運算后，向閥門、泵、電機等執行機構發送操作、控制指令，從而使工業生產的物理或化學過程安全、穩定、可靠運行在目標設計工藝狀態。工業應用系統的指令安全性，決定

93、了其所控制的工業業務安全。指令安全性，是指工業應用系統的操作控制業務指令，符合其所控制的工業生產物理過程、化學過程向目標設計工藝狀態趨近穩定并確保安全的調節規律。相反，如果工業應用系統所發出的操作控制業務指令，使工業生產調節過程中的工況與目標設計工藝狀態的偏離安全閾值；即將觸發安全事故，這樣的指令即為非安全指令。非安全指令既包括工業應用系統不支持的指令，也包括系統支持但是由于系統遭到入侵、攻擊發起或篡改過的指令，還包括操作人員誤操作、違規操作觸發的指令。指令識別直接與業務系統相關，因此，5G 工廠應用系統首先要對系統中的測量、操作、控制指令點位進行精準識別；其次，需要結合SCADA、DCS、P

94、LC、RTU 等工控系統所控制的工業生產業務、操作規程和控制邏輯，對指令的安全性進行精準識別，及時發現使工業生產業務偏離安全調節域的異?？刂浦噶?、違規指令、誤操作指令、指令篡改；最后，對可能引發的風險提前預警、提前處置，確保工業業務安全、生產安全和裝置安全。（六）管理安全（六）管理安全 工業領域 IT 和 OT 深度融合，工廠的人員管理、制度管理和供應鏈管理需求出現了不同程度的變化，5G 工廠應站在 IT、OT 充分融合5G 工廠網絡安全白皮書 -50-的角度，來設計相應的管理制度。1.1.人員管理人員管理 面向 5G 工廠的各種應用場景，需要對人員的錄用、資質、離崗、操作、訪客、考核、培訓等

95、方面制訂管理流程，并嚴格執行。（1）資質審查：人力資源管理部門對于重要崗位應進行人員背景調查，可以采用電話、電子郵件、紙質材料和公函等方式進行。通常需要調查身份查驗、學歷和履歷的真實性、學術及專業資格、犯罪記錄、競業禁止等。（2）離崗審計：員工辦理崗位調動和離崗手續過程中，相關部門應及時完成賬號權限的調整、變更和注銷等，并對該員工在各系統內的賬號權限處理情況進行審核與檢查。同時針對離職人員相關數據進行智能風險分析，設計安全技術加流程管理的模式，對有泄密風險的人員進行重點審計，預防離職時泄漏大量企業敏感數據，降低員工離職階段泄漏數據風險。（3）操作審計：記錄所有與系統安全相關的事件和活動，通過5

96、G 網絡傳到云端進行長期保留，以便在需要時進行審計和調查。同時，對往來的郵件進行實時檢測防護，降低通過郵件泄漏企業數據的風險。（4）訪客管理：進行訪客管理時，應該做好訪客信息完整登記、訪客權限描述等工作，以確保只有授權的訪客才能進入特定的區域。同時，幫助組織追蹤訪客的活動，以便在需要時進行調查。5G 工廠網絡安全白皮書 -51-（5）人才培養：針對 5G 工廠信息安全需要來培育人才，通過高等院校和科研機構加強學科建設和專業化培養，加強科研院所、安全廠商以及 5G 工業企業的聯合培育模式，大力培養懂技術、會管理、能實操的 IT/OT/CT 復合型人才。2.2.制度管理制度管理 傳統工廠涉及 OT

97、 和 IT 兩套運營管理制度，5G 工廠可率先在權限審批、風控管理和三同步方面開展融合管理制度設計。（1）授權審批：企業根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。5G 工廠可在企業日常管理活動中按照既定的職責和程序進行的授權，針對融合領域的特殊情況，進行特定條件下的授權。（2）風控管理：企業風險管理主要包括規范流程管理、訪問權限管理、數據安全性管理、供應商管理和監督追責機制管理。5G 工廠在技術層面做好訪問權限管理、數據安全性管理、供應商管理之外，還需做好規范流程管理和監督追責機制管理。規范流程管理主要是明確員工的安全責任和義務，并定期進行培訓，熟悉

98、相關的規范流程，提高員工的安全意識和防范能力。監督追責制度主要是對違反安全規定和制度的人員進行懲處，并加強對安全管理工作的監督和管理，確保安全管理工作的有效性和可持續性。（3）三同步制度：是指在 5G 工廠的規劃、設計、建設和運行中做到網絡安全的“同步規劃、同步建設、同步運行”，要求在新建 5G5G 工廠網絡安全白皮書 -52-工廠的各個階段中，根據國家、行業、集團及公司相關安全管理和技術規范要求，結合工廠實際面臨的安全風險以及企業自身業務管理上的需要，同步落實相關安全防護措施，達到 5G 工廠網絡安全防護的最佳效果。3.3.供應鏈管理供應鏈管理 5G 工廠供應鏈涉及的實體和環節多樣，直接套用

99、傳統網絡安全技術會導致防護效果不佳，需從 5G 工廠供應鏈風險評估、供應鏈應急響應、供應商活動監控等方面，發展可統籌兼顧供應鏈全環節安全的技術體系。（1）供應鏈風險評估：通過建設供應鏈系統實現 5G 工廠供應商可視化管理，為供應鏈上下游企業提供一站式的深度價值服務，實現工業供應鏈上下游數據互通、全鏈融合、綜合提升平臺運營效率與平臺收益。利用多元統計分析、隨機抽樣等方法對供應鏈企業風險的范圍、程度進行建模，挖掘各數據的潛在關系，評估各要素在供應鏈中間的地位和關系。通過建立動態模型可實現供應鏈企業風險動態監測，可對供應鏈風險進行有效管理。（2）供應鏈應急響應：構建替代供應商、運輸路線、資金來源的解

100、決方案，建立供應鏈健康監測體系。在監測到供應鏈攻擊后，按照攻擊緩解、攻擊根除、業務修復、事件跟蹤的順序，開展對應處置流程。（3）供應商活動監控：充分收集供應鏈企業操作的數據，分析5G 工廠網絡安全白皮書-53-并識別潛在的風險和漏洞，為企業采取積極措施來減輕風險和漏洞提供數據支撐，提升供應鏈的健壯性。強化采購業務的控制能力，減少進購產品不必要的檢查。5G 工廠網絡安全白皮書 -54-六、產業發展及展望六、產業發展及展望 5G 工廠會加速工業企業向更加智能的方向發展，推動工業企業數字化轉型，并促進新型工業化。雖然 5G 工廠還存在很多網絡安全方面的不足，但是慶幸的是這些問題得到了工業互聯網企業、

101、監管機構、網絡安全設備商、電信運營商等相關單位的足夠重視。5G 工廠網絡安全將隨著 5G 工廠的推進而快速發展，未來會呈現以下樂觀而積極的趨勢。5G5G 工廠網絡安全產業將迎來爆發式發展。工廠網絡安全產業將迎來爆發式發展。未來幾年，工業企業將開始建設 5G 工廠，隨著 5G 工廠的市場規模不斷擴大，網絡安全的需求也會越來越大。5G 在工廠中的使用將帶來新的網絡安全挑戰，旺盛的 5G 工廠建設需求又會促進網絡安全技術的創新和研發，帶動網絡安全產業的發展，促進 5G 工廠網絡安全產業的創新能力提升。當前大部分工業企業對 5G 工廠概念持積極擁抱的態度，但是在落地實施方面顯得較為保守。5G 工廠引起

102、的網絡安全問題，正是工業企業的顧慮所在。需求將促進 5G 工廠網絡安全產業在不久的將來取得爆發式發展。政府部門將推動完善政府部門將推動完善 5G5G 工廠網絡安全監管體系。工廠網絡安全監管體系。5G 工廠給工業企業帶來數字化轉型的同時，也將互聯網安全問題帶入到了工業網絡領域。政府作為 5G 工廠建設的推動者和工業網絡安全的監督者，將會兼顧 5G 工廠的建設推廣和工廠網絡安全防護，勢必延續 5G+工業互聯網、工業企業分類分級等政策，隨著 5G 工廠建設的加速，將會越來越重視 5G 工廠網絡安全監管。5G 在工廠中的使用，涉及 IT、OT5G 工廠網絡安全白皮書 -55-和 CT，傳統的工業網絡安

103、全監管將無法適應新的 5G 工廠場景，政府將會推動 5G 工廠網絡安全監管體系完善。5G5G 工廠將促進工廠將促進 ITIT 與與 OTOT 網絡安全深度協調防御。網絡安全深度協調防御。5G 工廠使得 IT與 OT 兩個相對獨立的網絡實現融通，傳統工廠 IT 網絡的終端設備也會下沉至 OT 網絡，原本相對明確的網絡邊界變得模糊。隨著 5G 工廠的智慧化程度越來越高，IT、OT 中的各類應用系統之間的信息交互、數據共享等需求將會空前增加。5G 在融合 IT、OT 網絡的同時，也會帶入 5G 在互聯網中防御能力，并融合工廠現有的 IT 與 OT 防御能力和策略，促進 IT 與 OT 網絡安全深度協

104、調防御。電信運營商將攜手安全設備商提供電信運營商將攜手安全設備商提供 5G5G 工廠網絡安全定制服務。工廠網絡安全定制服務。5G 網絡的開放性，將加速推動工業互聯網跨部門、跨行業、跨平臺信息共享和聯動，勢必促進 OT 和 IT 網絡融合。傳統工業網絡中的 OT和 IT 網絡安全設備由兩類安全廠商提供，受限于資源及技術等多方面因素，暫未出現在兩個領域同時做好的安全廠商。電信運營商有著豐富的 5G 網絡運營經驗和成熟的網絡安全運營體系，可攜手工業互聯網企業、監管機構、OT 和 IT 網絡安全設備商等，將 5G 工業互聯網的安全能力打造成一種可定制的服務，根據工業企業的實際需求靈活定制，共同應對來自

105、 5G 工廠帶來的 OT 與 IT 網絡融合安全挑戰。5G 工廠網絡安全白皮書 -56-附錄附錄 1 1 縮略語表縮略語表 縮略語 英文全稱 中文全稱 AGV Automated Guided Vehicle 自動導向車 PLC Programmable Logic Controller 可編程邏輯控制器 RTU Remote Terminal Unit 遠程終端單元 DDoS Distributed Denial of Service 分布式拒絕服務攻擊 ERP Enterprise Resource Planning 企業資源計劃 CRM Customer Relationship Man

106、agement 客戶關系管理 MES Manufacturing Execution System 生產執行系統 PCD Programmable Controller Device 可編程控制器設備 SCADA Supervisory Control And Data Acquisition 數據采集與監視控制系統 SIS Statistical information system 統計信息系統 DNN Deep Neural Networks 深度神經網絡 AI Artificial intelligence 人工智能 FlexE Flexible Ethernet 柔性以太網技術 VL

107、AN Virtual Local Area Network 虛擬局域網 CPF Centralized Processing Function 無線集中管理平臺 SMF Session Management Function 會話管理功能 SRv6 Segment Routing IPv6 基于 IPv6 轉發平面的段路由 iFIT In-situ Flow Information Telemetry 隨流檢測 SLA service-level agreement 服務及協議 OAM Operation Administration and Maintenance 操作管理和維護 API A

108、pplication Programming Interface 應用程序編程接口 UEBA User Entity Behavior Analytics 用戶實體行為分析 5G 工廠網絡安全白皮書 -57-DMZ Demilitarized Zone 隔離區 COAP Constrained Application Protocol 受限應用協議 MQTT Message Queuing Telemetry Transport 消息隊列遙測傳輸 Modbus Modicon communication protocol 一種串行通信協議 OPC Object Linking and Embe

109、dding（OLE）for Process Control 過程控制的對象鏈接與嵌入 IMSI International Mobile Subscriber Identity 國際移動用戶識別碼 PDU Protocol Data Unit 協議數據單元 DN-AAA Diameter Network Access Server to Authentication Authorization and Accounting 直徑協議網絡接入服務器到認證、授權和計費服務器 PKI Public Key Infrastructure 公鑰基礎設施 DCS Distributed Control S

110、ystem 分布式控制系統 5G 工廠網絡安全白皮書 -58-附錄附錄 2 2 參考文獻參考文獻 1 中國信息通信研究院.5G 全連接工廠建設白皮書（2022）2 5G 確定性網絡聯盟.5G 電力虛擬專網網絡安全白皮書（2022）3 安恒信息.網絡安全與數據保護白皮書（2022）4 諦聽網絡安全團隊.工業控制網絡安全態勢白皮書（2022）5 國家工業信息安全發展研究中心.2022年工業信息安全態勢報告 6 張明巖,方鵬飛,竇靜怡.工業領域網絡安全標準體系建設研究J.工業信息安全,2022,(05):74-80.7 國家工業信息安全發展研究中心.工業互聯網數據安全白皮書（2020）8 北京六方云

111、信息技術有限公司.工業互聯網安全架構白皮書（2020）9 工業互聯網產業聯盟.工業互聯網典型安全解決方案案例匯編（2020）10 新華三.工業互聯網技術白皮書（2022）-1-戰略決策的參謀者 技術發展的引領者 產業發展的助推者 態度、速度、氣度 有情懷、有格局、有擔當 中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者，是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院以做深大聯接、做強大計算、做活大數據、做優大應用、做精大安全為己任，按照4+1+X 研發布局，開展面向 CUBE-Net 3.0 新一代網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國、智慧社會建設。聯通研究院現有員工近 700 人，平均年齡 36 歲，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。中國聯合網絡通信有限公司研究院 地址：北京市亦莊經濟技術開發區北環東路 1 號 電話：010-87926100 郵編：100176