5G电力虚拟专网网络安全白皮书

5G 电力虚拟专网网络安全白皮书2022 年 3 月 目 录1、引 言2、5G 电力虚拟专网安全需求与风险分析2.1 电力业务安全需求分析2.2 5G 电力虚拟专网安全风险分析2.3 5G 电力虚拟专网安全需求分析3、5G 电力虚拟专网安全参考模型和架构3.1 5G 承载电力业务的安全模型3.1.1 高安全业务应用安全模型3.1.2 中安全业务应用安全模型3.1.3 通用安全业务应用安全模型3.2 5G 电力虚拟专网总体安全参考架构4、5G 电力虚拟专网安全参考方案4.1 端到端切片安全隔离，提供电力虚拟专用网络4.1.1 接入网隔离4.1.2 传输网隔离4.1.3 核心网隔离4.2 多层次认证体系，满足纵向认证要求4.3 云边协同的安全应用，支撑安全防护及监测4.3.1 基于基础设施和 APP 业务的 MEC 安全防护4.3.2 全天候全方位的 5G 网络安全态势感知4.3.3 5G+ 区块链的安全认证模式4.4 数据加密传输4.5 安全事件响应5、5G 电力虚拟专网安全应用5.1 5G 电力广域虚拟专网应用案例5.2 5G 电力局域虚拟专网应用案例6、总结与展望附录 A：术语及缩略语附录 B：参考文献34445611111111111212121314145G 电力虚拟专网网络安全白皮书 前 言5G 技术与电力行业深度融合，能够有效提升电力数字化、智能化水平，为构建清洁低碳、安全高效的电力体系提供有力支撑。网络安全是未来5G在电力行业规模化应用的先决条件，是5G赋能电力行业数字化转型的基础保障面，对电力行业“安全分区、网络专用、横向隔离、纵向认证”的安全防护原则要求，亟需设计兼顾 5G 传输性能与安全保障的网络安全防护体系。2021 年 4 月，5G 应用产业方阵（5GAIA）及 5G 确定性网络产业联盟（5GDNA）共同立项了《5G 电力虚拟专网网络安全白皮书》，该白皮书由中国南方电网电力调度控制中心牵头，联合电力相关企业和运营商，以及通信设备和终端模组芯片厂家、网络安全产品及服务商，对 5G电力虚拟专网网络安全方案进行了充分讨论及完善，并经 5GAIA 及 5GDNA 评审后，共同发布。本白皮书也是 5GDNA 联盟继《5G 确定性网络 @ 电力系列白皮书 I ：需求、技术与实践》（2020 年）、《5G 确定性网络 @ 电力系列白皮书 II ：5G 电力虚拟专网建网模式》（2020 年）后发布的第 3 本系列化白皮书：《5G 确定性网络 @ 电力系列白皮书 III：5G 电力虚拟专网网络安全白皮书》，旨在将理论与实践相结合，分析 5G 网络应用于电力业务的安全需求及风险，从技术视角分析 5G 网络的安全能力并构建安全参考模型，从安全隔离、多层次认证、安全防护及监测等维度，提出可用、可信的 5G 电力虚拟专网安全参考方案，给出广域及局域的典型安全应用案例，并展望 5G 电力虚拟专网安全的发展趋势。本白皮书主要编写单位及人员（以下排名不分先后）：中国南方电网电力调度控制中心的洪丹轲、陶文伟、曹扬、张国翊、朱海龙、林旭斌、胡飞飞，南方电网科学研究院有限责任公司的匡晓云、陈立明、索思亮，中国电力科学研究院有限公司的汪洋、丁慧霞、王智慧、马宝娟、孟萨出拉、朱思成，国网福建省电力有限公司的陈斌、陈端云、苏素燕、陈锦山、夏炳森、李源灏，中国信息通信研究院的杜加懂、王琦、侯伟彬、周洁，广东电网有限责任公司广州供电局的王莉、孙磊、王维，国网河南省电力公司信息通信公司的王文革、申京、赵豫京、杨莹、闫丽景，国网浙江省电力有限公司信息通信分公司的周鹏、陈逍潇、杨帆，中国移动通信集团有限公司的杨鹏、周茉、崔旭升、吴沛喆、宋月、王荣，中国电信集团有限公司的沈军、刘亚天、呼博文、薄明霞、夏旭，中国联合网络通信集团有限公司的陈丹、王常玲、肖羽、蒋小燕，范勇杰，祝少波、蔡庆宇、赵元、李先达，华为技术有限公司的余晓光、余滢鑫、杨晓华、郝晶晶、阳陈锦剑，中兴通讯股份有限公司的滕志猛、冯岩、陈永波，广东省电信规划设计院有限公司的王劲、袁引，紫光展锐科技有限公司的张伟强、陈定云、朱勇旭，许继集团有限公司的徐涛，南京南瑞信息通信科技有限公司的胡阳、 张影、龚亮亮、李洋。本白皮书参与编写单位及人员（以下排名不分先后）：中国移动通信集团福建有限公司的魏颖强、孙柏宁，中国移动通信集团广东有限公司的崔志顺、刘钢庭、王丹弘、任若冰，北京智芯微电子科技有限公司的贾强，深圳市广和通无线股份有限公司的李许安，国网山东省电力公司电力科学研究院的马雷、刘新、刘冬兰、王睿、张昊，国网山东省电力公司青岛供电公司的徐群、刘明峰、李坤、孟建、侯路，四川中电启明星信息技术有限公司的张立堃、曾山、王瑞祥等。5G 电力虚拟专网网络安全白皮书1 电力行业属于国家基础设施行业，关系国计民生，其包括电网企业和发电企业等，对业务分类、安全管控的总体要求基本一致。随着智能电网多样化应用场景的出现，以网络切片和 Multi-access Edge Computing (MEC) 多接入边缘计算为核心的 5G 网络在电力的发、输、变、配、用各环节逐渐得到规模应用，形成 5G 电力虚拟专网。5G 电力虚拟专网是“在电信运营商的 5G 网络中，基于网络切片、 MEC、能力开放等技术，在无线、承载、核心网等环节虚拟出一张面向电力行业的专用网络，并与电力通信专网跨域融合，实现端到端的电力业务承载、高强度安全隔离以及资源管理。”面向上述需求，5G电力虚拟专网能够为电网不同分区业务提供高可靠安全隔离解决方案，基于软件定义网络(SDN, Software Defined Network) 和网络功能虚拟化 (NFV, Network Function Virtualization)、服务化架构 (SBA, Service-based Architecture) 等新技术提供物理资源、虚拟逻辑资源等不同层次的安全隔离能力。但由于5G电力虚拟专网处于起步阶段，其安全体系方面仍需进一步完善，例如细化网络切片的安全隔离方案、终端二次认证的场景及流程等；同时随着能源大数据、综合能源服务等新兴业务不断涌现，电力业务环境更加开放、生态更加复杂、数据共享更加频繁，电力业务的承载网络安全架构也随之多样化，电力业务安全、数据安全等面临着安全防护手段与业务系统不匹配的严峻挑战，迫切需要对 5G 电力虚拟专网的网络安全防护进行探讨，并与电力业务安全防护体系进行融合集成，进一步提升 5G 电力虚拟专网的安全水平，为智能电网业务承载提供更好的通信安全保障。本白皮书旨在从技术视角分析 5G 电力虚拟专网的安全需求，给出网络安全参考模型及架构，探索形成 5G 电力虚拟专网安全解决方案，并给出典型的 5G 电力虚拟专网安全应用案例。5G 电力虚拟专网的典型业务承载需求如下表所示：业务类型典型应用场景承载现状未来承载需求智能分布式配电自动化、智能配电网微型同步相量测量、用电负荷需求侧响应、高级计量、分布式能源调控、充电桩、应急通信等巡检机器人、输电线路无人机巡检、基于物联网的状态监测、智能营业厅、仓储管理、智能家居等智慧园区、智慧电厂、地下厂房深度覆盖、三维空间定位、可视化运维、智能诊断、网源协调、决策支持等1、连接模式：主站下沉，本地就近控制2、采集频次提升（计量分钟级）3、精准控制（毫秒级别，节点级）1、物联网技术广泛应用，连接数大幅增长2、高清视频类业务大量应用，带宽需求爆发3、融合采集与工业精准控制应用结合4、结合 AI 进行深层次应用探索1、特殊环境下深度覆盖、空间定位需求迫切2、海量传感器等物联网应用需求爆发3、基于人工智能、大数据的网元协同，智能诊断和决策支持基础类扩展类特殊场景类已有较成熟承载方案。1、连接模式：子站 / 主站模式，主站集中2、采集频次较低3、控制能力相对粗放处于蓬勃发展及不断优化阶段。采集内容以基础数据、图像为主，单终端带宽为 100k~2Mbps，采集连接数有限处于起步探索和发展阶段引 言5G 电力虚拟专网网络安全白皮书2 根据《电力监控系统安全防护规定》( 国家发改委 2014 年第 14 号 )、国家能源局《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》( 国能安全 [2015] 36 号文 ) 等相关规定要求，电力监控系统安全防护需满足“安全分区、网络专用、横向隔离、纵向认证”的原则。本章从电力业务安全需求出发，提出三类业务安全模式：高安全业务、中安全业务、通用安全业务。高安全业务是指与电力调度生产直接相关的生产控制类业务，通常部署在生产控制大区涉及实时控制类及感知采集类业务，如安全自动控制系统、电能量计量系统等。高安全业务安全防护需求高，需通过无线虚拟专网和防火墙接入信息内网，再经过安全接入区（含正反向隔离、前置机、安全接入网关等）接入业务主站。中安全业务是指管理信息大区的相关业务，其安全等级仅次于高安全区业务，涉及到智能电网生产管理、办公自动化，与生产或管理类的个人桌面计算机相关，如电力调度运行管理系统、资产管理系统等业务。中安全业务分布广泛，人机互动频繁，安全防护需求较高，需通过无线虚拟专网和防火墙接入信息内网，再通过安全接入平台接入业务主站。通用安全业务是指互联网大区业务，其安全等级相对最低。主要面向互联网应用，以移动应用为主，如即时通信软件、培训教育等业务。该类业务安全防护需求不高，通过互联网通道实现接入。当前，受限于 5G 电力行业应用产业链的成熟度，5G 电力虚拟专网存在着一定安全风险，尤其是在终端和模组方面，厂家较少、价格较高、形式单一、业务适配度较差，无法完全满足电力业务应用需求。应用层面，电力行业应用的业务相关系统中的服务器会生成、处理存储大量用户敏感信息，包括个人身份信息、用户隐私信息等 , 业务系统如果存在用户标识安全性、数据完整性与机密性等安全问题，遭到黑客攻击，容易造成用户数据泄露，用户隐私将受到威胁，造成较大的社会影响。此外，在复杂的电力场景下，5G 网络建设存在遭受电磁干扰的风险。5G 电力虚拟专网 安全需求与风险分析02本章对 5G 电力虚拟专网承载电力业务的安全需求与应用风险威胁进行分析。2.1 电力业务安全需求分析2.2 5G 电力虚拟专网安全风险分析图 2.1 5G 电力虚拟专网面临的四类风险威胁点5G 电力虚拟专网网络安全白皮书3 如图 2.1 分析，5G 电力虚拟专网承载电力业务时可能存在物理攻击、网络攻击、信息泄露、电磁干扰四类风险威胁点，具体风险如表 2.1：根据三种电力业务安全模式及5G电力虚拟专网风险分析情况，结合5G通信技术特性，提出5G电力虚拟专网承载电力业务的安全需求，具体如下：表 2.1 5G 电力虚拟专网风险威胁分类及举例表 2-2 5G 电力虚拟专网承载电力业务安全需求风险威胁未来承载需求（一）物理攻击（二）网络攻击（三）信息泄露（四）电磁干扰定向网络攻击基础设施信息系统，干扰物理系统运行，造成设备损坏和系统瘫痪，如网络攻击 + 物理破坏导致全国停电。MEC、UPF 节点被物理破坏：通过破坏物理防护措施或利用管理漏洞对 MEC、UPF设备进行破坏、非授权访问，导致设备损坏、通信中断等风险。数据泄露，核心网中数据库存在 SQL 注入、默认账户口令、数据库平台漏洞、滥用合法权限、非法提权等风险。在5G环境下，用户隐私信息涉及用户标识、移动模式、位置信息、数据使用模式等内容。攻击者可通过多种手段获取这些用户隐私信息。干扰无线工作频段，通过无线发射器等可干扰无线信道，使通信中断，导致业务终端 “致盲”，脱离管控。网络入侵、计算机病毒等网络空间攻击，导致电网的信息系统故障，如蠕虫网络攻击。身份仿冒，通过截获合法用户身份信息并假冒该合法用户的身份访问网络篡改，通过非法截获数据包等方式恶意篡改用户数据信息。非法访问，对切片内的资源可能被其他切片中的网络节点非法访问，导致切片内部的故障和错误，影响可能其他切片的工作。拒绝服务，利用 DDOS 攻击目标服务器或网络基础设施，导致业务服务不可用设备版本破