《工業互聯網產業聯盟：2024工業5G LAN網絡安全技術報告（49頁）.pdf》由會員分享，可在線閱讀，更多相關《工業互聯網產業聯盟：2024工業5G LAN網絡安全技術報告（49頁）.pdf（49頁珍藏版）》請在三個皮匠報告上搜索。

1、 工業互聯網產業聯盟中國聯通研究院聯通數字科技有限公司2024 年 10 月 工業 5G LAN 網絡安全技術報告工業 5G LAN 網絡安全技術報告聲明聲明工業互聯網產業聯盟聯系電話：010-62305887郵箱：aiicaict.ac.c本報告所載的材料和信息，包括但不限于文本、圖片、數據、觀點、建議，不構成法律建議，也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟、中國聯通研究院、聯通數字科技有限公司共同所有（注明是引自其他方的內容除外），并受法律保護。如需轉載，需聯系本聯盟并獲得授權許可。未經授權許可，任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售

2、等方式使用，不得將報告的全部或部分內容通過網絡方式傳播，不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者，本聯盟將追究其相關法律責任。n工業 5G LAN 網絡安全技術白皮書 -1-目 錄 前 言.2 一、5G LAN 簡介.5（一）5G LAN 的起源.5（二）5G LAN 的發展.6（三）5G LAN 的優勢.7 二、5G 網絡安全關鍵技術.9（一）5G 接入認證安全技術.9（二）5G 數據安全保護技術.10（三）5G 網絡切片安全技術.12（四）5G 網絡安全增強技術.13 三、5G LAN 安全防護關鍵技術.16（一）5G LAN 隔離防護技術.16（二）5G LAN

3、 實時監控技術.17（三）5G LAN 加密認證技術.18（四）5G LAN 終端防護技術.19 四、典型案例.21（一）工業 5G LAN 數據安全管理應用案例.21（二）電力 5G LAN 終端認證和身份管理應用案例.27（三）智能制造 5G LAN 網絡隔離應用案例.32（四）鋼鐵制造 5G LAN 網絡安全智能感知應用案例.37 五、未來展望.42 附錄 A 縮略語.44 附錄 B 參考文獻.46 工業 5G LAN 網絡安全技術白皮書 -2-前 言 工業領域的數字化升級促進了 IT 和 OT 網絡融合，也給工業網絡帶來了嚴峻安全挑戰，如攻擊暴露面擴大、攻擊路徑增多等，原來封閉的生產網

4、絡、業務系統開始向外界開放，工廠內部網絡、系統等被攻擊的概率增加。5G LAN 在繼承 5G 網絡安全能力的同時，結合局域網特點也誕生了一些獨有的核心安全能力。面向工業領域千差萬別的安全需求，不僅能形成統一了工廠設備的連接形式，而且能針對不同3GPP 在 R16 中啟動 5G LAN 項目研究，意味著 5G 網絡具備了廣域局域網的能力，為 5G 網絡在工業領域的應用提供了新的思路。5G LAN 可以為工業領域提供定制化的專屬廣域“局域網”，使得工業終端與企業云隨時隨地處于一個虛擬化局域網中。5G LAN 的優良特性使得 5G 網絡在工業領域應用中發揮重要的作用，必將培育出新工業網絡應用場景，促

5、進工業企業數字化轉型。的業務場景形成有效的網絡安全整體解決方案。本報告考慮工業領域的網絡安全需求，結合工業領域 5G LAN 技術的發展和應用情況，總結了 5G LAN 網絡安全相關技術，以及有代表性的行業典型案例，為工業領域的 5G LAN 安全技術應用和推廣提供參考依據和指導。工業 5G LAN 網絡安全技術白皮書 -3-總策劃：葉曉煜 謝 攀 李浩宇 張建榮 主編：周曉龍 副主編：柳 興 荊 雷 魯華偉 謝 云 編委會成員：王 哲 陶耀東 馮冬芹 井 柯 劉 旸 俞一帆 文 宏 蔣美景 何 凱 陳麗萍 王新宇 李易凡 劉廣祺 謝嘉宇 韓江雪 邱 晨 張博文 王竑達 王維治 傅成龍 葛 然

6、 王寶棟 文 雯 范勇杰 徐樂西 吳 冬 崔瑩瑩 黃繼燁 靳冰祎 謝 璟 田慧蓉 王 磊 劉 程 王 舒 喬思遠 毛慶梅 李 藝 陳 昕 黃東華 徐書珩 賴羿明 白小愚 工業 5G LAN 網絡安全技術白皮書 -4-指導單位：中國聯合網絡通信有限公司政企客戶事業群 中國聯合網絡通信有限公司網絡與信息安全部 參與單位：中國信息通信研究院 深圳艾靈網絡有限公司 奇安信科技集團股份有限公司 北京雙湃智安科技有限公司 中智云物聯網有限公司 杭州安恒信息技術股份有限公司 蘭州蘭石愛特互聯科技有限公司 普天信息工程設計服務有限公司 天津市工業互聯網研究院 浙江大學 北京交通大學 工業 5G LAN 網絡安

7、全技術白皮書 -5-一、5G LAN 簡介 一、5G LAN 簡介 5G LAN 是基于 5G 網絡的私有移動局域網，由一組 5G 終端組成，通過 5G 網絡連接實現相互通信。這種網絡連接可以在同一辦公區內，也可以在相隔遙遠的不同工廠、園區之間。相較 Wifi、4G 等傳統技術，5G LAN 可以提供更為安全、高效、靈活的無線局域網服務。（一）5G LAN 的起源（一）5G LAN 的起源 與個人移動應用不同，各個垂直行業對 5G 網絡有著各自獨特的需求。一些應用場景需要低延時和高可靠性，也有一些應用則需要更大的帶寬，還有一些應用場景要求專屬網絡以確保數據的安全性。因此，不同的應用場景需要不同

8、的技術方案來滿足其特定需求。此外，傳統通信方式通常采用 TCP/IP 協議來實現終端之間的數據傳輸，但在垂直行業、特別是工業領域的終端可能缺乏對這些三層網絡協議的充分支持，這將導致 5G 網絡在垂直行業的應用阻力重重。出于這些需求考慮，5G LAN5G 技術自 2019 年商用以來，正逐漸與工業制造、能源電力、交通、城市管理、教育等各個垂直行業深度融合，這一趨勢已經得到廣泛認可。目前，行業各方正在緊密合作，探索各種 5G 行業應用解決方案和服務流程，推動 5G 技術的規模商用和進一步發展。的概念應運而生。3GPP R16 首次提出了“5G LAN-type service”（5G LAN 類型

9、業務），包含“5G Virtual Network group”、“5G LAN Virtual Network”等概念，涵蓋了虛擬組管理、虛擬組成員管理、虛擬組會話管理以及工業 5G LAN 網絡安全技術白皮書 -6-局域網數據交換管理等多項關鍵技術能力。通過這項技術，可以實現5G 環境下的虛擬局域網分組管理，更好的應對不同垂直行業需求不同的現狀，并且使垂直行業不支持二層通信的頑癥得以解決。（二）5G LAN 的發展（二）5G LAN 的發展 在定義了 5G LAN 的基本功能后，R17 版本又重點針對 5G LAN 的計費進行了研究，提出了組管理事件計費方案。該方案通過對虛擬組的組內、組間

10、等不同計費場景進行計費配置，實現了更靈活的計費方案，為 5G LAN 進一步商用提供了有力支撐。5G LAN 的標準發展也逐漸完善，其中 3GPP TS 23.501、3GPP TS 23.502、3GPP TS 23.503 分別從系統架構、程序與信息流和策略與計費控制對 5G LAN 進行了研究。IEEE 802 系列標準中 IEEE802.11ax（Wi-Fi 6）、IEEE 802.1Q（VLAN）、IEEE 802.3（以太網），雖不是 5G 標準，但可與 5G 結合形成更強大的網絡解決方案，用于實現 5G LAN 的目標。目前 R18 版本已經凍結。R18 完善了 5G LAN 管

11、理方面的能力：（1）組成員流量特征實時監控。通過該能力，可以讓工業用戶通過業務量獲得更多的工控系統實時統計數據，從而更好地了解網絡和業務的實時狀態，監控系統運行狀態，及時完成性能分析和故障排除。（2）跨 SMF 管理 VN Group。該功能可以有效解決 R16“一個 VN Group 只能被一個 SMF 管理”的問題。在當前 SMF 出現故障時自動切工業 5G LAN 網絡安全技術白皮書 -7-換到其他可用的 SMF 上，從而保證整個 VN Group 的運行不受影響，為工業用戶帶來更加可靠和高效的網絡服務。（3）跨 VN Group 通信。在 R16 中，跨組通信存在很大的局限性，R18

12、的方案可以解決該問題，幫助用戶將多個群組連接起來，建立范圍更大的網絡。（4）組管理和組狀態上報增強。該特性可以幫助工業用戶實現對組內用戶和業務流的精細化管理，提高包括用戶認證、權限管理、QoS 控制等方面的靈活性與可靠性。圖 1.1 5G LAN 技術演進圖（三）（三）5G LAN 的優勢 的優勢 5G LAN 兼顧移動通信網和無線局域網的優點，可滿足復雜多變的通信需求，具體如下：（1）良好的基礎性能：5G LAN 以 5G 無線技術為基礎，繼承了5G 無線技術大容量傳輸數據、大規模設備連接、超高可靠低延遲（uRLLC）可滿足生產制造、遠程控制等垂直行業對網絡帶寬、實時工業 5G LAN 網絡

13、安全技術白皮書 -8-性和精確性要求極高的應用場景。較工業 Wi-Fi，5G 的覆蓋范圍更廣、小區間切換更流暢、運維服務更具標準體系化，可給用戶帶來更好的網絡體驗。（2）優秀的工業適配：5G LAN 解決 5G 系統本身不支持二層通信的難題，具備直接進行二層通信的能力，可以與用戶已有數據網絡進行連接，實現即插即用和相互訪問，省去了引入 AR 的步驟，大大降低了 5G 網絡的改造難度，方便工業終端的 5G 無線接入。（3）靈活的組網方式：5G LAN 具備數據網絡組網、本地組網和遠程組網三種數據轉發能力，既能滿足同一個 PSA UPF 下的工廠終端通信，又能滿足不同 PSA UPF 下的工廠終端

14、通信，可以幫助工廠終端設備通信靈活組網，同時支持二層數據交換和三層數據交換，具有較高的數據轉發效率。（4）支持廣播與多播：5G LAN 支持 UPF 的雙檢測轉發機制，提供類似于以太交換機的數據處理與轉發功能，實現終端間的數據轉發，可以滿足組播、廣播的通信需求。UPF 通過檢測終端的目的地址并添加路由，在傳統上、下行數據轉發的能力之上，實現單 UPF、跨UPF 的終端間的廣播、多播，可滿足工業終端的多樣性通信需求。工業 5G LAN 網絡安全技術白皮書 -9-二、5G 網絡安全關鍵技術二、5G 網絡安全關鍵技術 5G 支持多種接入技術，為了更好的支持不同應用場景、不同設備接入 5G 網絡，使得

15、用戶可以在不同的接入網間實現無縫切換，5G 網絡采用一種統一的認證框架，實現靈活、高效地支持各種應用場景下的雙向身份鑒權，進而建立統一的認證體系?？蓴U展認證協議（EAP）認證框架，能夠滿足 5G 統一認證需求。EAP 認證框架，是一種支持多種認證方法的認證框架，框架本身不提供任何安全性，只規定了消息的封裝格式，具體的安全目標依賴于使用的認證方法。25G LAN 是建立在 5G 終端接入能力和 5G 網絡之上的私有移動 LAN服務，通過建立“群”，為企業內部終端提供靈活的通信服務，包括終端互通和終端隔離等。5G LAN 技術是一種基于 5G 的局域網技術，它提供了高速、低時延和高可靠的網絡連接，

16、可以支持實時數據傳輸和網絡控制。5G LAN 安全具備多項技術能力，不僅繼承了 5G 本身的安全技術，更加具備增強的網絡安全技術能力5G LAN 技術是一種基于 5G 的局域網技術，它提供了高速、低時延和高可靠的網絡連接，可以支持實時數據傳輸和網絡控制。5G LAN 安全具備多項技術能力，不僅繼承了 5G 本身的安全技術，更加具備增強的網絡安全技術能力。本章主要介紹 5G 本身的安全技術。（一）（一）5G 接入認證安全技術接入認證安全技術1、統一安全認證框架、基于證書實現用戶身份信息保護 在 5G 網絡中，每個用戶都有一個用戶永久身份標識。如果該身份信息在空口暴露，可能出現固定用戶進行位置跟蹤

17、等安全事件，從而侵犯用戶隱私。5G 系統中引入了基于公鑰體系的加密機制，對 SUPI工業 5G LAN 網絡安全技術白皮書 -10-進行加密形成 SUCI，在空口中傳遞 SUCI 以全面保證用戶的隱私在空口不泄露。為支持 SUCI 的計算，首先 SIM 卡需在生產過程中預置運營商公鑰，需采用安全方式（如專線、VPN 等方式）將公鑰數據傳輸給供卡商制卡；在用戶開機登網等場景下，需要傳遞 SUPI 時，通過SIM 卡中的歸屬網絡公鑰對 SUPI 進行加密生成密文 SUCI 用于在空口中傳輸，從而更加有效地保護用戶的隱私。在產生 SUCI 時，需要利用 USIM 中預置的歸屬運營商公鑰、采用 ECI

18、ES 對 SUPI 進行加密運算，并且根據算法原理，每次使用時產生的 SUCI 也不相同。因此攻擊者無法根據 SUCI 推算出 SUPI，也無法利用 SUCI 長時間對用戶進行探測，進而無法針對用戶進行持續性的跟蹤。3、基于零信任的接入認證技術 零信任體系保障終端可信、通道可信、身份可信，并提供持續信任評估與行為監測能力。對于身份可信，可以通過 IAM 實現身份管理、認證鑒別、權限管理和訪問控制，融合零信任智能多因子認證，支持多種認證模式，包括客戶端私有密鑰、設備指紋、IP 地址、生物身份等。IAM 通常采取集中部署模式，基于 5G LAN 的部署架構，可以按需實施分層部署。對于持續信任評估與

19、行為監測，通過行為記錄和審計等方式，持續監控用戶行為。針對終端安全事件、違規越權行為、潛在威脅、文件泄露、系統漏洞等狀態，及時調整身份認證和訪問控制策略。（二）（二）5G 數據安全保護技術數據安全保護技術 工業 5G LAN 網絡安全技術白皮書 -11-1、5G 數據加密技術 5G 網絡上面承載著很多用戶的隱私和敏感信息，需要采用技術措施解決 5G 網絡的隱私保護問題。數據加密是 5G 網絡中保證數據隱私安全的常見手段，按照實現思路，可以分為靜態加密技術和動態加密技術。在實現的層次上，可以分為存儲加密，鏈路層加密、網絡層加密、傳輸層加密等。采用加密技術可以有效保證 5G 網絡數據的機密性、完整

20、性和可用性。針對 5G 網絡虛擬化和云化的新特點，可以引入一些新的加密技術來保證數據的隱私安全，如同態加密技術。同態加密技術對加密的數據處理得到輸出，將這一輸出進行解密，其結果與用同一方法處理未加密的原始數據得到的結果相同。2、5G 數據防護技術 5G 網絡在空口為用戶面數據增加了可選的完整性保護功能。在用戶需要新建會話時，由核心網根據用戶配置信息中的用戶安全策略向基站發送無線鏈路配置消息來告知終端是否啟用用戶面完整性保護。5G 使用 SEPP 設備進行網間安全保護。SEPP 間的安全傳輸定義了兩種安全保護的機制：一種是基于傳輸層協議的安全保護機制，即TLS。這種機制將會導致中間轉接商 IPX

21、 失去對信令調整的能力。另一種是基于應用層協議的安全保護機制。這種機制可以靈活的對多個應用層數據集合采用不同的安全保護策略，從而實現了在 SEPP 之間的安全傳輸，同時也為 IPX 獲取相關信息或修改相關信息留下了空間。工業 5G LAN 網絡安全技術白皮書 -12-3、5G 工業流量防護技術 針對工業應用，采集和分析工業協議的流量，針對加密流量采用非監督學習和監督學習結合的方式，從網絡流量特征、協議、流量大小、業務時間、業務操作行為等多維度建立合規基線模型，然后實時對比、分析從而發現數據安全風險事件；針對非加密協議可對操作數據內容、傳輸文件內容進行還原，利用大數據分析、機器學習等技術建立用戶

22、畫像、業務畫像、數據安全合規基線等，實現批量傳輸敏感數據、數據跨境傳輸、接口異常訪問敏感數據、接口未授權等安全場景的實時監測與風險事件溯源分析，確保 5G 智能制造行業的應用與數據安全。（三）（三）5G 網絡切片安全技術網絡切片安全技術 1、切片安全隔離技術 5G 網絡切片是一組運行在通用物理硬件上的多個 NF 的編排組合，具有獨立提供網絡服務能力的端到端虛擬網絡。由于網絡切片共享相同的網絡資源，因此切片之間的安全隔離非常重要，做好網絡切片的端到端隔離，一方面可以避免切片之間發生資源相互競爭而影響切片的正常部署和運行，另一方面可以避免一個切片的異常（如遭受內部安全威脅或者攻擊，影響其他切片的安

23、全），有效防止攻擊擴散、切片數據泄露等安全威脅。網絡切片是端到端虛擬網絡，是由無線接入、承載、核心網構成，因此網絡切片端到端的隔離包括切片在接入網、承載網和核心網的隔離實現。工業 5G LAN 網絡安全技術白皮書 -13-2、切片接入安全技術 用戶接入切片的認證能力是在終端接入網絡時由 5G 網絡執行接入認證來保證接入 5G 網絡用戶的合法性的基礎上，3GPP 還提供了運營商、切片客戶配合完成切片認證和授權的機制，保證僅合法用戶可接入切片，實現垂直行業對切片網絡及資源使用的可控性。切片選擇輔助信息及隱私保護能力時在 NSSAI 可以區分不同類型、不同用途的切片。在用戶初始接入網絡時，NSSAI

24、 指示基站及核心網網元將其路由到正確的切片網元上。切片選擇輔助信息對于垂直行業屬于敏感信息，5G 網絡提供標準的機制，可對傳輸中的 NSSAI 進行隱私保護。3、切片管理安全技術 切片的管理安全包括兩個部分，一是通過管理手段保證切片的可用性；二是保證切片管理過程的安全。針對切片的可用性，切片管理系統提供實時的切片安全監控、應急處置以及故障恢復能力，實時掌握切片的運行情況、可能的被攻擊情況及故障狀況，通過聯動對應的安全設備進行處置，并及時對故障進行修復，從而保障系統的可用性。針對切片管理過程的安全，一方面是管理信令的安全保護；另一方面是切片生命周期管理和維護管理。為了保障切片管理的安全，要設置相

25、應的安全保護機制。（四）（四）5G 網絡安全增強技術 網絡安全增強技術 1、5G 網絡安全態勢感知 傳統網絡基于IP的單一化尋址路由機制已經難以適應目前5G網工業 5G LAN 網絡安全技術白皮書 -14-絡承載的多樣化業務需求，缺乏數據傳輸安全能力以及對終端行為的感知能力。人工智能技術以 SDN 和 NFV 技術為基礎，實現控制層面與傳輸層面的能力解耦?；趯崟r更新優化的智能路由模型，可實現對于網絡整體態勢的實時感知，配部署網絡安全傳輸設備，建立智能化安全防護模型，形成針對用戶的惡意訪問行為的精確感知，從而構建一個集網絡安全態勢感知、數據安全智能路由、惡意行為告警及網絡安全防護功能于一體的傳

26、輸網絡安全體系，從根源上杜絕如分布式拒絕服務攻擊等惡意行為對 5G 網絡造成的安全隱患。2、5G 終端行為感知與管控 相比于傳統網絡，為滿足物聯網、車聯網以及智慧城市等應用環節的網絡能力需求，5G 網絡在 mMTC 場景下需支持每平方千米 100 萬用戶的接入數量，超大規模的終端接入能力必定伴隨著由挾持終端發起的 DDoS 攻擊的風險。因此，終端行為的感知與管控能力是 5G 網絡mMTC 場景下必不可少的安全防護能力。通過在網絡側收集終端用戶的行為信息，充分利用機器學習技術針對多源數據的辨識能力，訓練一個具備識別用戶實時狀態的終端行為的管控模型，從而在網絡側形成針對終端異?；驉阂庑袨榈母兄?、識

27、別、管控的一體化能力，進一步提升 5G 網絡的運行效率，增強網絡的可靠性。3、區塊鏈助力 5G 數據安全 5G 網絡使得網絡速度提升，數據量隨之高速增長，對數據的安全性保護和隱私性提出了更高的要求。區塊鏈的分布式、自組織特性，工業 5G LAN 網絡安全技術白皮書 -15-可用于構建數據共享、分散協作、去中心化的松散的生態環境，其用密碼學的手段為交易去中心化、隱私信息保護、歷史記錄防篡改、可追溯等提供技術支持，天然適用于對數據保護要求嚴格的場景，同時，區塊鏈去中心化也為網絡資源共享提供了新的解決思路。以區塊鏈為代表的應用密碼技術將為網絡重構安全邊界，建立設備間的信任域，實現安全可信互聯。同時，

28、終端去隱私化的關鍵行為信息上鏈后，即會分布式存儲在區塊鏈各節點中，保證數據的安全性和可用性，促進構建智能協同的數據安全防護體系。工業 5G LAN 網絡安全技術白皮書 -16-三、5G LAN 安全防護關鍵技術 三、5G LAN 安全防護關鍵技術 5G LAN 的二層組網功能可以提供更加靈活、高效和安全的網絡連接方式，符合工業領域對網絡的要求。它可以使用虛擬局域網（VLAN）來實現邏輯隔離和網絡劃分，從而滿足不同的應用需求。此外，5G LAN還可以支持多個廣播域和多個網段的劃分，以便更好地管理和控制網絡。5G LAN 安全防護關鍵技術在網絡中的位置具體如下圖：圖 3.1 5G LAN 安全關鍵

29、技術全景圖（一）（一）5G LAN 隔離防護技術隔離防護技術 跨 SMF 管理 VN Group 可以有效地解決一個 VN Group 只能被一個 SMF 管理的問題，該問題會導致容災能力不足，一旦該 SMF 出現問題，整個 VN Group 都會受到影響?？?SMF 管理 VN Group 能夠使得多個 SMF 可以同時管理一個 VN Group，從而提高了系統的可用性、容災能力和穩定性。在 SMF 出現故障時自動切換到其他可用的 SMF 上，從而保證整個 VN Group 的運行不受影響，為工業用戶帶來更加可靠和高效的網絡服務。工業 5G LAN 網絡安全技術白皮書 -17-基于 5G L

30、AN 的工業互聯網承載多個業務系統，應按照業務相對隔離、信息按需互通的原則進行各子網的設計。在網絡層面，保證不同的業務系統部署在獨立的 VLAN 中，同時劃分不同的安全域，各安全域之間采取邊界防護措施，保證各業務系統和子網的獨立；在應用和數據層面，各業務系統采取身份認證、訪問控制等措施阻止非法訪問，保持應用和數據的獨立性。5G LAN 邊緣組網隔離包含三平面隔離和安全域劃分。三平面隔離是指服務器和交換機等應支持管理、業務和存儲三平面物理/邏輯隔離。對于業務安全要求級別高并且資源充足的場景，應支持三平面物理隔離；對于業務安全要求不高的場景，可支持三平面邏輯隔離。安全域劃分是指 UPF 和通過 M

31、P2 接口與 UPF 通信的 MEP 應部署在可信域內，和自有 APP、第三方 APP 處于不同安全域，根據業務需求實施物理/邏輯隔離。另外，可通過特定的技術確保網絡安全，如 N4 流量采用IPSec等技術建立安全通道、開啟防地址欺騙策略防止UPF上、下行流量中的地址欺騙、在物理端口執行 ACL 過濾策略、通過 URL 黑名單方式對 WAP 推入的惡意消息攔截過濾、通過 GRE 等隧道對不同業務類別流量進行控制和隔離、在 UPF 公網側部署抗 DDoS 設備等。（二）（二）5G LAN 實時監控技術實時監控技術 組成員流量特征和性能監控對于工業用戶來說非常重要，因為他們對網絡和業務的運行狀態更

32、加關注。這意味著在 5G 網絡中，工業用戶可以獲得更多的業務流和性能統計數據，從而更好地了解網絡和工業 5G LAN 網絡安全技術白皮書 -18-業務的實時狀態。此外，5G LAN 還支持實時性能監控和告警，以及高級的日志分析和故障排除功能，這些功能可以提高網絡的可靠性和穩定性?？偟膩碚f，5G LAN 為工業用戶提供了強大的網絡管理和監控工具，以確保他們的業務能夠順利運行。性能監控和告警功能可以及時發現網絡中的異常行為或安全威脅。5G LAN 提供高級的日志分析和故障排除功能，幫助管理員深入了解網絡的運行情況和潛在的安全問題。通過分析日志數據，可以發現潛在的安全漏洞或攻擊行為，從而采取相應的防

33、范措施。通過設置部署網絡安全態勢感知探針，實時監測網絡安全狀態，識別異常流量，及時發現網絡攻擊行為，提供實時的預警和報警信息，幫助用戶及時采取安全措施，保障信息系統的安全。還可通過安全管理中心進行全系統安全態勢的集中統一管理，及時識別網絡攻擊，采取有效的應對措施。（三）（三）5G LAN 加密認證技術加密認證技術 5G LAN 借助于 5G 技術的加密與認證機制，能夠提供更高級別的安全保障。這包括使用強加密算法對數據進行加密傳輸，以及使用認證機制對終端進行身份驗證，確保只有授權終端可以接入網絡。對于接入 5G LAN 網絡的終端設備采用接入認證，防止 5G 公網終端非法接入 5G LAN 網絡

34、?？刹捎玫拇胧┌ǎ邯毩⒔ㄔO用戶 AAA設備，讓企業自行管理 5G LAN 的用戶，只有在企業 AAA 設備中的合法用戶才能接入 5G LAN 網絡；在 5G LAN 網絡中對接入終端進行二次工業 5G LAN 網絡安全技術白皮書 -19-認證，采用企業自主可控的二次認證方案和設備，只有通過二次認證的終端才能接入 5G LAN 網絡，防止非法用戶接入。圖 3.2 5G LAN 的二次認證流程（四）（四）5G LAN 終端防護技術終端防護技術 5G LAN 技術允許在 LAN 內為 5G 終端提供終端互通或終端隔離等靈活的通信服務。通過設置訪問控制策略，可以限制不同終端之間的通信，減少潛在的安全

35、風險。在基于 5G LAN 建立的工業互聯網系統中，各種設備需采用安全措施提升自身的安全。圖 3.3 5G LAN 基于用戶的終端隔離防護 工業 5G LAN 網絡安全技術白皮書 -20-安全防護的重點是數量眾多的終端設備，以防止病毒、木馬通過終端設備侵入系統為主要保護目標，采取的主要措施：減少不必要的功能和應用，操作系統和應用軟件都遵循系統最小化原則；應用基于“白名單”和“黑名單”相結合的防護技術，在系統穩定運行后通過規則匹配、深度學習等方法自主建立合法的“白名單”，在沒有特征庫的情況下也能發現病毒和網絡攻擊等異常情況；使用端口管控工具控制外部移動設備的接入，并對所有接入的移動存儲設備進行審

36、計。工業 5G LAN 網絡安全技術白皮書 -21-四、典型案例 四、典型案例（一）工業 5G LAN 數據安全管理應用案例（一）工業 5G LAN 數據安全管理應用案例 1、背景 1、背景 5G 與工業互聯網的深度融合，大量工業設備接入網絡，由于工控設備安全防護相對薄弱，存在被非法訪問控制的風險，導致生產中斷或設備損壞。需進一步提升工業企業的工控安全保證能力，保護工業設施免受攻擊，在石油化工、汽車、智能制造等工業領域，滿足工業5G LAN工業控制網絡是工業生產的“核心大腦”，用于監控、管理工業生產過程中的智能終端設備，確保生產的穩定性和可靠性，提升生產效率，在關鍵信息基礎設施領域得到廣泛應用

37、。為適應新時期工業控制系統網絡安全形勢，進一步指導企業提升工控安全防護水平，夯實新型工業化發展安全根基，2024 年工信部印發 工業控制系統網絡安全防護指南，使用、運營工業控制系統的企業適用本指南，防護對象包括工業控制系統以及被網絡攻擊后可直接或間接影響生產運行的其他設備和系統。網絡中數據加密傳輸、身份認證、數據安全等需求。中國聯通聯合中智云物聯網打造工業 5G LAN 數據安全測試床，面向工業領域由于工控系統老舊、系統性能低、無法與互聯網通訊、無有效的安全維護人員和體系等情況導致在 IT 領域使用的身份認證技術措施無法直接應用到工業控制領域的問題。針對 5G+工業互聯網場景對工業數據安全的迫

38、切需求，提出了一套針對工業領域全鏈路數工業 5G LAN 網絡安全技術白皮書 -22-據安全防護的技術方案。2、應用場景與需求 2、應用場景與需求 在工業互聯網場景下，數據在采集、傳輸和存儲過程中面臨著安全風險。如果數據被惡意獲取或泄露，可能導致用戶隱私曝光，損害用戶信任和企業聲譽。若第三方機構或合作伙伴參與數據共享和處理，一旦數據共享失控或處理出現錯誤，可能會引發法律責任和用戶隱私泄露的風險。工業企業在數字化轉型過程中面臨的數據泄露風險，惡意攻擊風險、數據傳輸風險、安全防護能力不足等數據安全問題。工業互聯網領域中的數據安全保護涉及多個關鍵環節。首先，訪問控制與身份驗證構成確保僅授權端到端能夠

39、接觸數據。其次，數據加密與隱私保護技術構成保障端到端數據機密性和隱私安全。最后，采用高級加密手段對信息實施安全編碼，確保數據在傳輸和存儲過程中不會被未授權訪問或篡改。本案例通過工業 5G LAN 滿足云、管、端數據傳輸安全、身份認證等方面的安全需求，提升主機身份鑒別、網絡設備安全接入、用戶認證、傳輸加密等安全能力。3、解決方案 3、解決方案 5G-LAN 功能場景:網絡規劃方案 5G-LAN 組網架構支持二層組網，不同的 UPF 進行 5G-LAN 組網后，相互之間可直接進行通信，完成 5G-LAN 組網架構后，可實現如下功能：工業 5G LAN 網絡安全技術白皮書 -23-1）同一UP下的兩

40、個UE(5G CPE路由器)可以直接進行二層交互；2）不同 UPF 可以通過 N19 直接進行交互；3）不處于同一個 5G-LAN 用戶組的 UE(5G CPE 路由器)不能相互通信，如圖 4.1 中 UE31 不可訪問其他 5G-LAN 用戶組；4）企業可以自主分配 IP 優化網絡規劃，如圖 4.1 中生產車間、生產廠房或生產園區 1 所示，企業可以自主搭建 DHCP 服務器實現 IP動態分配。圖 4.1 5G LAN 組網架構 使用 5G-LAN 組網，不同工業 5G CPE 路由器可以直接進行二層數據交換，無需部署 CE。使用 5G-LAN 的生產車間組網架構如圖 4.2-2所示：工業

41、5G LAN 網絡安全技術白皮書 -24-圖 4.2-1 未使用 5G-LAN 生產車間組網架構 圖 4.2-2 使用 5G-LAN 生產車間組網架構 使用5G-LAN 生產車間組網架構優勢如下：1）在工業互聯網中降低建網成本，無需額外建立隧道設備；2）支持二層組網，可以使用工業協議報文；3）降低延遲和網絡負荷。工業 5G LAN 網絡安全技術白皮書 -25-圖 4.3 5G LAN 數據安全測試床總體架構 測試床組網架構如圖 4.3 所示，主要包括工業互聯網平臺、5G CPE 工業網關/邊緣網關、SEC 安全芯片、智能終端設備等部分。主要包括端到端全鏈路加密、設備身份認證、安全通信等技術方案

42、。(1)端到端全鏈路加密技術方案 本測試床項目依托 5G CPE 進行數據加密實現端到端的全鏈路加密傳輸方案，可確保數據在傳輸過程中即使被攔截也無法被讀取或篡改。工業領域數據傳輸及設備通信的端到端加密是確保設備之間的通信數據安全性的重要組成部分。通過選擇合適加密算法，保證設備的效率、適用性和可擴展性，對于提升安全能力至關重要。利用 5G CPE 或模組的 eSIM 安全芯片卡作為應用載體，結合運營商 ID 和網絡可信身份 ID，為用戶提供一種安全、可信且便捷的身份認證服務。該服務以 eSIM 安全芯片卡為核心，為持卡用戶提供身份工業 5G LAN 網絡安全技術白皮書 -26-驗證服務。這個網絡

43、身份憑證是與用戶的實體身份證芯片唯一對應的電子映射文件，確保身份信息的準確性和安全性。(2)安全通信技術方案 依托 5G 安全通信的數據加解密與數據加密傳輸技術，對工業互聯網平臺和智能終端設備的數據傳輸進行加解密。在外部接入數據和內部數據流轉兩種場景中設置不同參數的加解密算法，可達到系統外部和系統內部交換數據時數據無法泄露的效果，可保證數據安全以及設備安全。工業互聯網平臺增加數據安全存儲能力，5G CPE 網關加密傳輸能力，降低工業生產數據的泄露風險。4、應用效果 4、應用效果 通過運用基于商用國密服務、PKI/CA 數字證書服務、SEC 安全芯片、5G LAN 切片安全服務等工業互聯網數據安

44、全信創體系綜合協同服務。為各類設備接入訪問提供安全認證、訪問控制，解決業務應用在身份鑒別、數據傳輸機密性、完整性等安全問題。本方案通過全鏈路數據安全體系的構建，幫助用戶打破安全數據交互壁壘，統籌安全能力，從而形成安全防護合力。建設以密鑰管理、數據加解密管理、數據安全傳輸、設備身份認證為功能的全鏈路加密技術框架，通過全鏈路技術加密框架傳輸安全數據，挖掘數據真正價值，全面提高安全處置效率，賦能工業企業數據安全防護。促使用戶信息安全效率提升。工業 5G LAN 網絡安全技術白皮書 -27-（二）電力 5G LAN 終端認證和身份管理應用案例（二）電力 5G LAN 終端認證和身份管理應用案例 1、背

45、景 1、背景 電力是國家的支柱能源和經濟命脈，發展工業互聯網是電力行業數字化轉型的必然過程。根據工信部印發的工業互聯網創新發展行動計劃（2021-2023 年）的相關內容要求，電力行業將進一步加快工業互聯網創新發展步伐，持續推動工業數字化轉型。電力行業的安全穩定運行關系到國家的經濟發展。隨著電網規模的逐漸擴大，安全事故的影響范圍越來越大，安全問題越來越突出。當前 IT 和 OT 融合發展趨勢加速，電力行業智慧轉型離不開新興的云計算、大數據、物聯網、人工智能等技術的支撐，傳統的安全威脅和新技術帶來的新型安全風險將交織擴散，給風力發電、光伏發電造成巨大安全威脅。電網面臨各種攻擊，如勒索攻擊、蠕蟲病

46、毒、遠程操縱等定向攻擊。在基礎結構安全方面則表現為典型的物理安全、設備運行數據安全、遠程運維網絡安全等突出問題。某光伏電廠引入 5G 網絡，支持了多樣化應用及海量的終端接入。隨著智能化發展，傳統的終端身份接入認證機制難以實現細粒度的訪問控制，因此不論是對身份管理的能力需求上，還是實現網絡和業務的深度融合機制上，都需要構建新的多元認證和身份管理體系。為電力行業網絡安全提供安全可靠的終端認證能力。2、應用場景與需求 2、應用場景與需求 5G 網絡支持各種設備終端接入，電力行業的終端也接入了 5G 專工業 5G LAN 網絡安全技術白皮書 -28-網。依照電力行業相關規定，在安全分區、網絡專用、橫向

47、隔離、縱向加密、分級綜合防護的基礎上，需要進一步對終端設備的身份認證格式、登錄和綁定協議等進行標準化，實現設備身份的可追溯性。在光伏電廠應用環境下，SIM 卡會被非法使用，一旦終端內的 SIM卡被非法移至其他設備用來進行大數據流量的傳輸，將會使行業用戶蒙受損失。內外橫向攻擊，惡意終端隨辦公網接入容易進一步引發行業內網橫向攻擊，導致生產事故，危害極大。出于對終端安全和用戶卡安全角度的考慮，需要通過技術手段限定 SIM 卡和終端的綁定關系。伴隨著移動終端和各種智能設備的普及，接入網絡的終端設備更多的是位置會發生變化的移動終端。電力行業的終端地理位置分布廣、涉及管理部門層級多，終端歸口管理細。為了確

48、保接入安全，需要對終端接入位置進行管控，防止數據泄露等安全風險。因此，需要基于身份管理系統結合網絡空間測繪技術進行準確的地理定位和細粒度管理。3、解決方案 3、解決方案 本案例主要包括終端接入二次認證、終端機卡綁定接入認證、終端接入位置認證、終端零信任接入認證等技術方案。（1）終端接入二次認證技術方案 5G 網絡中，終端必須具備身份驗證的能力，終端接入首先由運營商核心網實現對終端基于 5G AKA 或 EAP-AKA的主認證，如果啟用工業 5G LAN 網絡安全技術白皮書 -29-了切片，還包括接入切片的過程。但主認證僅由運營商對終端身份進行了驗證，僅在運營商側無法徹底解決行業客戶的前述終端接

49、入風險，因此除了運營商主認證，還需要提供行業用戶自主可控的終端二次認證能力。二次認證接入圖如下圖所示：圖 4.4 終端二次認證接入示意圖 二次認證即 UE 設備向核心網認證，而 UE 的應用向業務系統認證。將二次認證進行統一，可以綁定設備與應用，并增強行為分析能力，構建用戶、終端、網絡、服務之間統一的信任體系，對于運行在可疑設備上的業務應用進行重點監控。（2）終端機卡綁定接入認證技術方案 出于對終端安全和用戶卡安全角度的考慮，需要通過技術手段限定 SIM 卡和終端的綁定關系。在二次認證的基礎上同時對 SIM 卡和終端信息進行認證，做到先認證再訪問。對于高安全場景，需要部署 AAA 服務器基于安

50、全 SIM 卡技術（基于 USIM 卡，內置 USB key 功能，基于 PKI 的數字證書體系，密鑰存工業 5G LAN 網絡安全技術白皮書 -30-儲在 SIM 卡安全芯片中，不可復制、不可抵賴、不可篡改，具有高安全級別的身份認證能力）進行認證。（3）終端接入位置認證技術方案 一般來說，電力客戶內網設備數目龐大，且地理位置分散，如果日常的終端入網授權及設備信息維護都集中管理，將會帶來極大的壓力。通過采用設備指紋掃描技術和指紋庫，能夠對設備進行掃描和特征內容獲取、判別，從而對接入內網的終端設備進行識別并歸類。利用接入層交換機到終端的網絡拓撲管理模型，能夠對全網終端進行直觀拓撲展示，實時掌握全

51、網終端網絡位置分布信息、設備運行和安全狀況。在拓撲展示圖上，還可以進一步向下細化定位，直至每臺終端設備。也可以通過終端設備向上檢索，找到其連接的交換機，利用交換機管理功能協助用戶精確定位終端接入位置，提高運維效率。（4）終端零信任接入認證技術方案 電力行業基于零信任理念，模塊化構建零信任動態授權平臺，將應用、用戶的身份鑒別、細粒度授權訪問、統一動態策略管控形成零信任數據保護解決方案，做到“訪問主體身份可信、行為操作合規、實現對被訪問應用和數據的有效防護”。方案建立了以身份為基礎的動態訪問行為管控，遵循“內生、主動、安全”原則，形成靈活擴展的身份管理和訪問控制架構，實現多元用戶的身份管理、終端安

52、全管理、身份鑒別、訪問授權、憑證管理與訪問控制策略管理，提升整體安全水平。工業 5G LAN 網絡安全技術白皮書 -31-4、應用效果 4、應用效果 本方案通過增加二次認證和零信任技術，大大提高了系統的安全性，防止未授權訪問和潛在的網絡攻擊。本方案的透明接入能夠讓用戶使用終端接入時，無需額外操作，提升用戶體驗。盡管初期實施需要投入一定成本，但通過減少安全事件的發生和應對安全事件的費用，長期來看具有良好的成本效益，降低了由于安全事件導致的品牌損失。本方案通過應用機卡綁定技術，能夠確保只有授權設備和卡片才能訪問系統和網絡，減少因設備丟失或被盜而導致的安全風險。能夠提供可靠的身份認證機制，進一步增強

53、身份認證的可靠性和安全性。綁定技術使得設備和卡片之間形成緊密的關聯，防止設備被篡改或替換。提高了系統的可管理性，減少了因設備丟失或被盜導致的經濟損失。有效提高了系統的安全性和可靠性，為企業提供了堅實的安全保障。本方案通過應用位置認證技術，能夠確保終端設備只能在指定的物理位置范圍內訪問系統或執行特定操作，提升系統的整體安全性。企業可以更有效地管理和分配資源，優化工作流程，幫助企業進行資源調度和管理。用戶也可在預期位置快速訪問系統，無需繁瑣的額外認證步驟，提升用戶體驗。所以，有效提升了系統的安全性和管理效率，為企業的業務運營提供了堅實的安全保障。工業 5G LAN 網絡安全技術白皮書 -32-（三

54、）智能制造 5G LAN 網絡隔離應用案例（三）智能制造 5G LAN 網絡隔離應用案例 1、背景 1、背景 2022 年 9 月，工信部印發5G 全連接工廠建設指南，支持企業建設產線級、車間級、工廠級等不同類型 5G 全連接工廠?；?5G LAN 的二層通信能力，5G 可以實現與工廠傳統有線車間生產網絡同樣的網絡拓撲架構，實現工業級的組網，從而實現與傳統有線車間生產網絡無縫對接和平滑替代。在實際項目中，基于 5G LAN 的組網技術，形成標桿案例，實現工業智能化升級。對于智能制造行業，存在現場無線網絡的可靠性不足的痛點，提高網絡的可靠性以保證安全的生產是非常必要的。5G LAN 技術支持工

55、業海量數據的傳輸，且延時性低，可靠性高，端到端時延最低可降到接近 5 毫秒，可為工業生產制造實現高精度工業控制。因此，利用5G 網絡的優勢，可不改變現有組網，提高網絡的可靠性。智能制造企業面臨不同的生產區域之間為了連接的便利性未做有效的區域劃分的問題。亟需針對 5G+工業互聯網場景對網絡隔離的迫切需求，提出了一套基于網絡隔離的安全技術方案。2、應用場景與需求 2、應用場景與需求 在傳統的架構中，由于信息是逐層傳遞的，信息無法跨層進行交互。同時，由于工業網絡協議眾多，不同協議之間信息也難以互通，限制了信息的橫向流轉。而要實現智能制造，就需要實現數據的動態、實時采集，數據的高效可靠流轉和智能化處理

56、。為了實現數據的高效工業 5G LAN 網絡安全技術白皮書 -33-流轉和共享，就需要打破傳統的架構，網絡向扁平化方向轉變。生產網與管理網融合是無線與有線融合的統一網絡，由于數據的流轉和系統的開放，也帶來安全性的風險。比如生產網與管理網混用，傳統的 IT 網絡威脅向生產網蔓延。工控網通訊協議較多，單一的隔離設備無法滿足多樣的網絡通訊及安全隔離要求，難以保障工控網絡隔離有效性，易感染病毒及惡意程序，同時也可能導致工業控制系統內不同安全域之間的邊界防護機制失效。所以需要從網絡的隔離和防護構建端到端的安全防護體系，為新的架構保駕護航。針對工控系統中，存在缺少混合組網隔離、分區分域網絡隔離、數據隔離防

57、護措施及惡意代碼防范措施等問題。本案例依托 5G LAN實現橫向安全域隔離，縱向邊界防護的解決方案。通過在 5G 網絡不同域間增加有效的安全隔離措施，實現縱深防御工控網絡與企業資源網的打通，保證兩網融合后原有隔離網絡的獨立安全性，使其能應對各種未知信息安全風險。同時部署相應工控信息安全產品以實現橫向安全區域間的隔離、生產數據單向采集及監控。3、解決方案 3、解決方案 本案例通過5G LAN整合工控網絡組網、工控網絡邊界隔離技術，實現工業網絡橫向安全域隔離和縱向邊界防護能力。（1）工控網絡組網技術方案 工業5G LAN網絡在東西向打通條件下，在部署防護措施的時候，應做好網絡隔離安全，劃分不同的網

58、絡區域，并按照方便管理和控制工業 5G LAN 網絡安全技術白皮書 -34-的原則為各網絡區域進行隔離，工業防火墻、工業隔離網閘、5G 安全CPE 等作為工業控制邊界安全防護設備和安全組網設備，可在工業控制系統網絡安全區域之間提供邏輯隔離安全防護。具體如下圖：圖 4.5 工控網絡組網圖 5G LAN 主要用于 L2 層網絡，在 L2 部署 5G CPE 形成工業局域網，不同車間獨立組網形成子網，各子網絡用工業防火墻進行隔離。內部安全域劃分上，按 IP 地址為生產網劃分 VLAN，并設置子網地址。采用 VLAN 提供的安全機制，可以限制特定用戶的訪問，甚至鎖定網絡成員的 MAC 地址，這樣，就限

59、制了未經安全許可的用戶和網絡成員對網絡的使用。（2）工控網絡邊界隔離技術方案 工控網絡的邊界防護主要涉及管理網與工控網邊界、生產子網邊界、5G CPE 組網隔離邊界和未知邊界，需針對不同邊界采取安全隔離防護措施。工業 5G LAN 網絡安全技術白皮書 -35-管理網與工控網邊界：管理網與工控網邊界：在管理網與工控網之間均采用工業網閘進行網絡隔離。能夠阻止不必要的流量進入工控網。僅定義必要的工控應用服務器與管理網的業務服務器允許通信，其他通信都被禁止。滿足等保 2.0“安全網絡通信”中：保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信的合規要求。各生產子網的邊界：各生產子網的邊界

60、：在網絡之間采用工業防火墻進行隔離。阻止生產子網以外的數據包或惡意程序進入生產子網，限制子網內的允許跨網通信的主機數量，除非必要，否則將禁止子網間的通信。同時防止一個子網感染病毒后向其他子網或上層安全域傳播的可能。5G CPE 組網隔離邊界：5G CPE 組網隔離邊界：5G 網絡使用網絡切片為業務提供網絡服務。切片包含的所有網絡功能都使用運營商電信云中獨立的服務器加載，以實現業務與外界業務的物理隔離。CPE 上的 SIM 卡上簽約上述兩類業務對應的網絡切片標識（NSSAI）。當 CPE 注冊到 5G 網絡時，需要攜帶 NSSAI。5G 網絡為 CPE 選擇對應的網絡切片。CPE 同時接入多張網

61、絡切片，且分別建立分組數據單元會話連接，實現兩類業務的邏輯隔離。未知邊界管理：未知邊界管理：由于工控網絡的物理邊界范圍太大，給管理帶來非常大的難度，隨身 WIFI 設備、無線路由私接、手機熱點等都隨時可能破壞網絡邊界的完整性，使得用戶在網絡邊界上的努力和投入化為烏有。在網絡核心處部署邊界完整性檢查產品，快速網絡檢測、定位與阻斷控制破壞網絡邊界行為，保護邊界安全。工業 5G LAN 網絡安全技術白皮書 -36-邊界防護無法防御來自內部的“攻擊”或“人為誤操作”，邊界防護無法阻止工程師以物理的方式突破網絡上的邊界。針對這種問題，可根據區域、通道及深度包檢測概念，通過在每個通道都部署支持工業協議的防

62、火墻，并且只允許事先定義過的數據流通過（即白名單的方式）該通道的方式來實現深度安全防護。4、應用效果 4、應用效果 本案例中 5G LAN 網絡隔離邊界防護通過劃分不同的網絡區域，可以有效隔離潛在的威脅，防止內部網絡受到外部攻擊。它能夠識別和阻止未經授權的訪問，確保網絡內部資源的安全。通過網絡隔離和邊界防護，可以對不同區域的設備和用戶進行細粒度的訪問控制。這意味著只有被授權的用戶和設備才能訪問特定的網絡資源，從而減少安全風險。5G LAN 使得工控網絡穩定性和可靠性進一步提升。5G LAN 一張網絡替代多張物理網絡，便可簡化網絡架構，高效提升網絡效率與產線可用性，從而降低組網成本和維護成本。不

63、僅如此，5G LAN 技術的加持下深入工業互聯網應用場景，支持外掛設備的即插即用、跨閾組網、雙發選收等功能，解決了傳統工業企業網絡布線繁瑣、網絡調配難度大、網絡適配靈活性差等問題。工業 5G LAN 網絡安全技術白皮書 -37-（四）鋼鐵制造 5G LAN 網絡安全智能感知應用案例（四）鋼鐵制造 5G LAN 網絡安全智能感知應用案例 1、背景 1、背景 在鋼鐵企業轉向以質量型、差異化競爭為主的背景下，將 5G 技術、大數據、云計算、人工智能等先進技術與鋼鐵工業融合，在資源利用、節能減排、產品結構調整等方面，實現通過降本增效，來達到提高鋼鐵行業競爭力、培育鋼鐵行業增長新動力的目的。鋼鐵企業的工

64、業控制系統具有多個生產工藝流程混合、控制網 絡組網復雜、多種通信方式并存的問題，使得可以被黑客利用的漏洞大量存在。對于這樣的工業 5G LAN 網絡，需要根據實際情況，從不同角度和層次應用多種策略進行綜合防護。工控安全知識圖譜是網絡安全領域專用知識圖譜，也是知識圖譜應用于安全業務的重要工業嘗試。當前，工業安全領域中存在大量的業務數據，通過了解鋼鐵行業工業網絡建模需求以及應用需求，能夠在工控網絡態勢感知、泛終端內生安全能力感知等場景進行應用，對5G LAN 網絡安全能力提供進一步的增強。2、應用場景與需求 2、應用場景與需求 工業 5G LAN 網絡產生的大量實時數據需要高效、準確的處理和分析，

65、以支持安全態勢感知。然而，目前的數據處理技術往往存在數據質量不高、處理效率不足等問題，難以滿足實時性和準確性要求。因此，需要利用大數據、機器學習、人工智能等技術對網絡的安全狀況進行深度感知。工業 5G LAN 網絡安全技術白皮書 -38-工業 5G LAN 網絡主要的風險主要是來自于內網、終端層面，因此需要建立在生產工藝流程基礎之上，結合網絡流量、安全設備、主機及業務應用構建安全分析模型，感知網絡威脅，實現通報預警，聯防聯控?；诎踩R圖譜的事件風險畫像、攻擊路徑調查、響應策略推薦，能夠提供豐富的、具有安全語義的上下文，有效支撐動態事件的研判和策略部署，降低安全運營對專家經驗與知識的依賴。3

66、、解決方案 3、解決方案 某鋼鐵園區內建設的工業 5G LAN 網絡過程中的打造的網絡安全智能感知關鍵技術及應用的解決方案，覆蓋了端、管、云、邊下的應用場景的網絡安全解決方案，實現了可信端、可監管、可控云、可防邊的部署架構，具體網絡安全場景包括：5G LAN 泛終端內生安全能力感知、切片流量安全檢測、5G LAN 網絡的用戶行為分析、5G 安全編排與自動化運營能力開放等。（1）5G LAN 泛終端內生安全能力感知技術 通過在 5G LAN 智能終端內部配置可信輕量級 SDK 軟件，完成 5G LAN 泛終端的安全監測、內核級進程文件防護、數據采集、數據加密、異常分析和 5G LAN 泛終端大數

67、據智能分析和態勢感知等。利用數據驅動（基于算法）方法，把各種智能終端日志所描述行為作為多維向量，利用機器學習算法進行分析，根據分析結果來發現異常。工業 5G LAN 網絡安全技術白皮書 -39-圖 4.6 5G LAN 泛終端內生安全感知平臺（2）無人駕駛、實時監控和故障診斷等業務切片流量安全監測 通過對 5G LAN 網絡切片中多種網絡協議解析和監測泛終端設備異常流量威脅事件，詳細清晰的記錄系統發現的異常安全威脅日志，且保存 6 個月以上。采用旁路部署模式，監聽異常流量，且支持多組邏輯隔離的切片網絡流量分析檢測。全流量多協議威脅檢測基于主動和被動結合的檢測機制。對僵尸網絡、數據泄露、遠程控制

68、、DDOS 攻擊等各類安全威脅進行實時深度檢測、智能分析，感知并定位網絡中存在的安全威脅，提供全面的檢測能力。圖 4.7 5G 切片流量檢測平臺(3)5G LAN 網絡下的用戶行為異常檢測 工業 5G LAN 網絡安全技術白皮書 -40-利用異常驅動（線索）方法，即將告警（APT、工業安全網關、工業防火墻等設備上的告警）和錯誤信息（系統件發送失敗、登錄失敗、Web 訪問錯誤、APP 訪問失敗等）作為線索，從中提取涉事主體的信息（IP 地址或域名），再從行為日志中找到涉事主體的通訊對端（IP地址或域名），并進一步分析這些通訊對端的屬性（數量、分布的連續性、公有私有、注冊時間等等）以及它們通訊過程

69、的情況。利用數據驅動（基于算法）方法，即:把各種智能終端日志所描述行為作為多維向量，利用機器學習算法進行分析，根據分析結果來發現異常。4、應用效果 4、應用效果 建設一體化的鋼鐵 5G LAN 安全解決方案，協助推動了企業的網絡安全建設，從關鍵信息基礎設施的梳理，到持續的安全監測，及時的 0day 預警，快速的應急通報及處置工作，滿足了中華人民共和國網絡安全法和等級保護 2.0 以及中央網信辦、國資委、公安部、工信部等國家部委對網絡安全的監管要求。提供預見性安全維護，有助于減少 5G 泛智能終端的意外停機、改善生產運營動態。該方案幫助維護了一個智能制造架構網絡安全的集中運營中心，以創建智能的、

70、按優先級排列的自動+人工的維護作業順序。同時，可以將檢測潛在不良網絡安全現象、未知威脅等提供潛在網絡攻擊警示。實時監測各種數據（如設備數據、檢查數據、歷史、日志文本等）通過分析和評估來預防運營問題的出現，可以有效提高預見性維護與修復性維護的工業 5G LAN 網絡安全技術白皮書 -41-比率。通過減少意外停機時間，將資產可用率提高 3-5%。庫存需求減少 10-20%。該方案采用無監督的算法對數據進行智能判斷，并在分析結果上打上標記。通過數據的聚能和態勢感知形成該行業的安全大腦，具備自適應安全防御能力、學習能力、威脅情報的賦能能力和不同場景下的思考能力、管控能力。在工業互聯網系統中，實現對工業

71、控系統全方位、全天候的網絡安全態勢感知，及時發現各類網絡安全風險等，賦能企業快速實現數字化、網絡化、智能化轉型。工業 5G LAN 網絡安全技術白皮書 -42-五、未來展望 五、未來展望 隨著 5G LAN 在工業領域的規?；瘧?，圍繞著工業生產安全運行的 5G LAN 相關安全技術、組織制度建設、產業鏈協同均會得到持續性的發展，具體如下：5G 技術演進和新興安全技術融合，將推動 5G LAN 在工業領域更大規模應用5G 技術演進和新興安全技術融合，將推動 5G LAN 在工業領域更大規模應用。隨著 5G 技術的迭代更新，特別是 R18 等標準的凍結，5G LAN 的功能和性能將得到進一步的增

72、強和完善。這將有助于推動5G LAN 在不同行業和場景中的廣泛應用。5G LAN 繼承了 5G 網絡的高安全性特點，通過加密與認證機制確保數據傳輸的安全性和完整性，結合區塊鏈、人工智能等新興技術，可實現更加嚴格的安全防護策略，提高網絡安全的可靠性和效率。隨著技術的不斷進步、標準化進程的推進、應用領域的拓展以及安全性的提升，5G LAN 在工業領域的應用將發揮更加重要的作用，推動工業企業數字化轉型和智能化發展。5G LAN 在工業領域的應用使得工業網絡融通，將重構工業企業組織管理機制。5G LAN 在工業領域的應用使得工業網絡融通，將重構工業企業組織管理機制。5G LAN 網絡的大規模應用使得

73、IT 與 OT 網絡深度融合，安全措施必須覆蓋兩類場景，才能實現對各種漏洞和風險的有效防控。在工業領域，IT 與 OT 隸屬兩個部門，在組織架構、制度管理、技術背景等方面存在居多差異，這些差異是工業制造企業實現網絡安全協同防御面臨的主要問題。5G LAN 網絡在促進工業網絡融通的同時，必然也會促進 IT 和 OT 相關工作人員的溝通協作。面對不可避免的變化，為了提升工廠網絡安全相關管理效率和工作效率，工業企業工業 5G LAN 網絡安全技術白皮書 -43-必然會重構相關組織管理機制，實現組織形式、管理制度、應急處置等方面的協調。產業鏈各方協同推進 5G LAN 安全技術，共同構建工廠 5G L

74、AN 安全生態產業鏈各方協同推進 5G LAN 安全技術，共同構建工廠 5G LAN 安全生態。產業鏈各方應積極參與國際、國內標準，推動業界完成統一的 5G LAN 安全測評標準與流程，從源頭強化 5G LAN 自身安全性。傳統工業網絡安全廠商、信息安全廠商、通信設備商等將以各自的優勢技術為基礎，以點及面，開展工業 5G LAN 網絡安全實踐，推廣優秀安全方案。產業鏈上下將共同促進產業鏈、價值鏈、創新鏈的有機銜接，推動合作模式升級，踐行合作機制落地，實現互惠互利、合作共贏，共同打造工業 5G LAN 的安全護城河。電信運營商持續深耕工廠 5G LAN 網絡運營，賦能工廠安全生產運營電信運營商持

75、續深耕工廠 5G LAN 網絡運營，賦能工廠安全生產運營。電信運營商在工業 5G LAN 中發揮著基礎網絡提供者、技術標準化推動者、創新應用模式探索者、網絡安全保障者和專業服務與支持提供者等多重作用。運營商作為維護網絡信息安全的主力軍，應繼續發揮網絡信息安全領域的獨特優勢，面對復雜嚴峻的網絡安全環境形勢，進一步加大 5G LAN 網絡安全領域的建設力度，提供更加豐富的 5G LAN 安全技術服務，通過 5G LAN 安全技術，保障工業網絡安全，筑牢工業生產安全可信的“安全堤壩”。工業 5G LAN 網絡安全技術白皮書 -44-附錄 A 縮略語 附錄 A 縮略語 縮寫 英文全稱 中文名稱 3GP

76、P 3rd Generation Partnership Project 第三代合作伙伴計劃 5G LAN 5G Local Area Network 5G 本地局域網 AAA Authentication-Authorization-Accounting 鑒權、授權、計費 ACL Access Control Lists 訪問控制列表 AKA Authentication and Key Agreement 認證和密鑰協商 API Application Programming Interface 應用程序接口 CPE Customer Premises Equipment 客戶終端設備 D

77、DoS Distributed Denial of Service 分布式拒絕服務 EAP Extensible Authentication Protocol 可擴展認證協議 ECIES Elliptic Curve Integrated Encryption Scheme 橢圓曲線加密算法 GRE Generic Routing Protocol 通用路由封裝 IAM Identity and Access Management 身份識別與訪問管理 IP Internet Protocol 互聯網協議 IPSec Internet Protocol Security 互聯網安全協議 MEC

78、 Multi-access Edge Computing 多接入邊緣計算 NFV Network Functions Virtualization 網絡功能虛擬化 NSSAI Network Slice Selection Assistance Information 網絡切片選擇輔助信息 PSA PDU Session Anchor PDU 會話錨點 QoS Quality of Service 服務質量 SDN Software Defined Network 軟件定義網絡 SEPP Security Edge Protection Proxy 安全邊緣保護代理 SMF Session M

79、anagement Function 會話管理功能 SUCI Subscription Concealed Identifier 用戶隱藏標識 工業 5G LAN 網絡安全技術白皮書 -45-SUPI Subscription Permanent Identifier 用戶永久標識 TCP Transmission Control Protocol 傳輸控制協議 TLS Transport Layer Security 傳輸層安全協議 UE User Equipment 用戶設備 UPF User Plane Function 用戶面功能 VLAN Virtual Local Area Net

80、work 虛擬局域網 VPN Virtual Private Network 虛擬專用網 WAP Wireless Application Protocol 無線應用協議 工業 5G LAN 網絡安全技術白皮書 -46-附錄 B 參考文獻附錄 B 參考文獻 1 3GPP.Security architecture and procedures for 5G system.TS 33.501 v15.4.0.2019 2 李靜,李福昌,張濤.5G LAN 的應用需求與拓展研究J.通信世界,2023(6):46-49.3 IMT-2020(5G)推進組.5G 零信任安全技術研究 4 施耐德電氣,中

81、國聯通.5G+PLC 深度融合解決方案白皮書 5 國家工業信息安全發展研究中心.2022 年工業信息安全態勢報告 6 刁敬源,曾子蕓,刁兆坤,等.5G LAN 技術分析及工業互聯未來發展展望J.通信世界,2023(6):42-45.7 陳玉璽,趙鵬宇,李穎,等.面向行業專網的 5G LAN 技術應用研究 J.數字通信世界,2023(8):136-138.8 陳福莉,蔣耀輝,汪超,等.5G LAN 應用及安全探討J.通信技術,2024,57(2):193-199.9 劉霞,陳禮波,王運付,等.工業物聯網終端 5G LAN 組網方案研究J.郵電設計技術,2024(1):83-87.10 中國通信學

82、會.5G 數據安全防護白皮書 11 工業互聯網產業聯盟.工業互聯網典型安全解決方案案例匯編（2022）12 新華三.工業互聯網技術白皮書（2022）工業 5G LAN 網絡安全技術白皮書 -47-13 強奇,武剛,黃開枝,等.5G 安全技術研究與標準進展.中國科學:信息科學,2021,51:347366.14 中通服咨詢設計研究院.5G 網絡安全白皮書 15 未來移動通信論壇.5G 信息安全白皮書 16 IMT-2020(5G)推進組.5G 電力行業應用安全需求與架構 白皮書 17 未來移動通信論壇.5G 信息安全白皮書 18工業和信息化部關于印發 工業控制系統網絡安全防護指南工信部網安202414 號，工業和信息化部網站，2024,01.19.19中智云物聯網技術中心.內部參考技術資料J.中智云物聯網有限公司.SEC/eSIM，2024,03.11.20王小軍.基于國產密碼的數字家庭安全解決方案J.住建部.SAC/TC 426,2024,03.27.全國智標委廣州.研究課題推進會.21王鋼.為數字家庭保駕護航.國產密碼安全解決方案J.住建部.SAC/TC 426，2024,06.20.張家港.全國智標委第三屆第五次工作會議.