5G应用安全案例集（2023）-IMT-2020(5G)推进维 安全工作组

前言 为深入贯彻习近平总书记关于网络强国的重要思想，支撑 5G高质量发展，深入落实5G应用“扬帆”行动计划部署，加强 5G应用安全示范推广，自2020年以来，“绽放杯”5G应用征集大赛着眼于5G应用安全主题，开辟5G应用安全专题赛道，面向全社会广泛征集5G应用安全优秀产品、服务和落地案例。旨在促进行业各方加强创新投入，丰富5G应用安全供给支撑体系，助力5G与电力、工业等重点行业融合应用安全保障能力的提升，推动5G应用安全规模化落地推广。 第六届“绽放杯”5G应用征集大赛5G应用安全专题赛于 2023年6月29日启动，并于9月26日圆满落幕。编者从获奖 项目中遴选出一等奖和二等奖项目共13个应用安全优秀案例汇编成册，为全行业开展5G应用安全实践提供最佳经验参考。 目录 —赛事概况1 二优秀案例2 (一)构建5G+安全立体防护体系，护航电力系统新基建2 (二)5G网安准控“三重”防护组网安全10 (三)卫龙集团面向智能制造的5G+工业互联网安全实践与应用17 (四)5G+数字政府统一安全应用项目23 (五)5G安全守护智能制造，再造传统汽车工业30 (六)国产商用密码在5G核心网中的应用实践36 (七)打造5G智慧工厂全场景端到端一体化安全防护示范标杆43 (八)5G+量子国产密码护航数字中国49 (九)5G安全专网，助力网络强国数字中国建设56 (十)内生安全态势感知构筑超高可信5G政务专网67 (十一)人机料法环全要素防护体系，护航中国高端制造发展74 (十二)厦门电信5G智慧港口安全防护80 (十三)“一体两翼”5G+电力安全运营保障体系87 三主要贡献单位94 —赛事概况 第六届“绽放杯”5G应用征集大赛5G应用安全专题赛（以下简称“专题赛”）由中国信息通信研究院、河南省通信管理局、郑州市人民政府、IMT-2020(5G)推进组共同主办，于2023年7月29日正式开赛，旨在充分动员全社会力量，共同推动5G应用安全优秀产品、服务和解决方案研发攻关和应用推广，助力千行百业数字化转型。 本届专题赛采取自愿报名、公开竞赛的方式，面向关键技术产品服务和行业综合性应用案例两个方向展开征集，具体包括5G终端接入安全、5G组网安全、5G安全态势感知及监测、5G数据安全、5G融合技术安全以及5G+智慧工厂安全。专题赛吸引了来自31个省（自治区、直辖市）基础电信企业、设备厂商、安全企业及垂直行业企业的上千个项目报名参赛，经过初赛、复赛、决赛的激烈角逐，最终评选出一等奖7项、二等 奖13项、三等奖20项、优秀案例40项、典型案例40项，充分展示了我国5G应用安全领域的技术创新成果及落地实践案例。 二优秀案例 (一)构建5G+安全立体防护体系，护航电力系统新基建 1.企业介绍 国网河南省电力公司信息通信分公司负责河南220千伏及以上站点通信调度、330千伏及以上站点通信设备直接运维及省公司信息运维实施等业务，并广泛开展“大云物移智链”等新技术研究及应用，先后承担国家电网公司电力5G规模化示范应用工程等重大专项任务，获得科技创新、管理创新等多项省部级奖励。 2.案例背景 2021年3月15日，习近平总书记在中央财经委员会第九次会议对未来能源领域的发展方向进行了重点部署，提出要构建以新能源为主体的新型电力系统。5G可实现新能源站点低成本、灵活高效、安全可靠的无线通信承载以及更加自主可控的网络管理，助力电力系统适应大规模分布式能源接入。5G网络切片以及边缘计算组网及定制化特性，支撑的新一代电力调度体系构建，为“最后一公里”无线通信接入提供更优的解决方案。 3.企业痛点 5G规模化应用面临三大难题： 近百种电力业务，对5G通信单元提出更高需求。由于当前 5G芯片、模组开发门槛高、出货量较小等原因，模组价格维持在千元左右，远高于4G模组，需降低价格才具备规模应用条件。 上千平方公里区域，对5G组网方案提出更高要求。电网设备覆盖范围广、设备数量大，需要建立广域规模化5G行业应用网络，支持广域切片。同时需要城市广域电力5G虚拟专网模板。 数万个电力5G终端，对网络运营管理提出更高要求。运营管理方面，运营商5G能力开放平台还处于开发阶段，电力用户对5G行业虚拟专网的可监视、可管、可控水平还有待验证。 4.解决方案 （1）网络架构及整体技术方案 图4.1网络架构及整体技术方案 1）基于安全资源池的电力5G融合安全监测和防护方案 本期项目的安全资源池由三台服务器构成，主要部署了针对5G网络N3接口的5G的GTP-U协议和电力IEC104协议进行监测的信令防火墙，安全接入网关、堡垒机。以及自动化的安全测评平台以及相关的平台管理服务功能。 项目按照“安全资源池为基础->自动化威胁分析->处置策略的资源编排执行方式：智能化云管网络服务链编排、虚拟化资源动态编排->处置策略的安全能力部署执行方式：服务化安全能力的快速调度部署技术”理念，编排调度和安全能力组件的安全配置更新请求建议仅从云管平台侧的安全管理组件中的接口发送。 图4.2电力5G安全接入整体架构 2）电力通信单元业务安全接入方案 项目为适配针对多类异构的电力物联网设备，部署了易于物联网设备集成的一体化5G安全模组和5G安全路由器，5G安全路由器产品在电力和5G承载网上构建安全虚拟专网，确保数据在传输过程中的机密性和完整性。通过集成国密算法、标准SSL协议与电力SSAL安全通信协议，实现业务安全接入的防护。 3）客户自服务的电力通信终端安全检测方案 电力运维人员通过5G网络，经过安全资源池中安全接入网关和接入认证管理服务登录到资源池内的安全综合检测平台的自服务门户，并根据权限和业务需要调用相关安全检测能力，如漏扫，配置基线检查、固件分析等，对新入网单元进行安全检查。 （2）应用场景 创新点1：基于人工智能算法的安全能力的自适应部署，实现业务驱动的安全资源动态编排 本项目通过构建基于软件定义的5G安全能力架构，能够实现5G安全资源池内生安全能力，降低安全人员技能要求和编写处置流程的复杂度。 创新点2：提出内置信令安全网关与行业安全网关的流量过 滤方案，实现核心网与企业网的双向防护 本项目通过将安全资源池部署在5G网络内上，在N3、N4等接口编排信令安全网关，对5G边缘计算协议进行深度报文解析与访问控制，从而实现核心网与企业网的双向过滤防护。 创新点3：设计了轻量化国密认证协议，降低终端功耗节省 计算与能耗资源 为节省终端设备资源，本项目方案设计使用一体化5G安全模组完成终端业务认证的安全防护，并为5G模组设计了既能保证密钥交换安全又能减少通信资源开销的密钥交换协议。 5.商业模式 （1）网络建设方面 电力与运营商在5G发展上合作共建，有效利用电网企业在基站站址、供电、通信等方面的资源优势，为运行商在基站建设和运行方面提供支持和便利。 （2）资源服务方面 MEC边缘计算服务：通过5G统一接入平台实现公网业务的就近接入，可替代电力各业务系统主站到运营商核心网的专 线通道，每年减少专线费用300万元，大大减低了电网企业投资成本。 （3）能力开放方面 探索云边融合技术，将MEC边缘云通过安全设备连接至电力公司企业云平台，推进大数据、AI技术在电力业务中的应用，促进网络和业务的深度融合，提升电网的智能化水平。 6.应用成效 河南电力作为国家电网5G关键技术研究及应用试点单位，提出了“5G+特高压”、“5G+配电网”等多种典型建设应用模式，联合运营商建设变电站电力专用5G基站7座，实现了郑州龙子湖智慧岛、二七商圈5G能源互联网示范区，鹤壁淇滨区电力5G综合示范、许昌芙蓉湖5G综合示范等多个5G广域虚拟专网建设。 （1）中州换流站智能运检示范区 5G已经连续两年助力中州换流站年检，通过对整个检修过程各环节实时监管，第一时间发现检修过程中的问题30余次、 违章作业20余次，实现全方位、数字化、网络化同步管控。 图6.1中州换流站5G综合示范应用 （2）郑州龙子湖电力全业务5G示范区 通过5GMEC下沉部署，配电自动化业务的“三遥”功能的“遥控”成功率100%；5G用电信息的直接采集替代原有传统接入方式，将数据采集准确度较以往提高了12%。 图6.2龙子湖示范区配电自动化业务应用 （3）鹤壁省地联动边缘计算示范点 220KV灵朝输电线路“三跨”地段智能视频监控场景和半坡店#5公变“台区漏电保护”场景中，自2020年6月5G视频接入后，检测线路下施工共计7次。 图6.3鹤壁作业安全管控场景5G应用示范 （4）许昌地区芙蓉湖配电网试点 在芙蓉湖5G示范区开展开闭所综合示范场景，通过在芙蓉湖10KV东芙开闭所进行5G+数字孪生应用，实现物联网的可视化管理，辅助日常巡视与运维工作。 (二)5G网安准控“三重”防护组网安全 1.企业介绍 联通数科是中国联通旗下的全资子公司，主要业务包括云计算、大数据、物联网、人工智能和安全等领域。通过整合联通集团资源和技术优势，联通数科为企业和政府提供全方位的数字化解决方案和服务。 在安全方面，重点聚焦5G应用安全、安全服务、安全管理、云安全、云密码等细分市场，发挥网络资源、运营支撑体系及人员优势，全面构建专业化、差异化、一体化的信息安全综合服务能力，将信息安全业务打造成为中国联通创新业务发展主要增长点，为国家网络与信息安全提供有力保障。目前，已打造联通云盾、墨攻运营管理平台、电子认证、磐镝5Gn工作手机、5G安全SIM卡、5G融合对讲、5G安全专线、无人机远控、工业安全网关、云WAF、云密码安全和态势感知等一系列重点产品，并通过安全解决方案、安全运营中心、安全服务体系为客户提供全方位、智能化、主动性、一站式的安全服务。 2.案例背景 自2019年5G网络规模部署，5G技术逐步融入千行百业， 赋能行业数字化转型。中国联通积极践行国家战略部署要求，已在全国规模部署5G专网。其中，现有5G网络内生安全为行业提供硬切片、FlexE隔离、UPF分流、MEC管控等安全功能。随着行业业务场景需求的多样化及安全需求的不断攀升，现有 5G网络建设不能完全满足专网用户安全需求，如终端增强的身份认证、工业场景设备需要固定IP地址，以便平台远程管控终端；设备接入认证和数据端到端加密要求等。 3.企业痛点 （1）行业对信息安全提出更高要求 国家及地方政府相继出台了相关政策指导和要求，如《关键信息基础设施保护条例》提出5G+工业互联网重点聚焦的11个重点行业均属于关基行业，在等保2.0的基础上应满足分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。《加强工业互联网安全工作的指导意见》坚持分类分级管理的基本思路，强化重点领域、关键环节的管理和防护，提升企业综合防护水平等。 （2）引入5G专网拓展了网络安全边界 企业部署5G混合专网后扩展了现场生产作业的网络安全边 界。5G专网与工业现场IT系统深度融合，如车间级PLC、SCADA、产线设备、工控设备等由原来封闭的IT、OT域经5G网络CT再接入至远端应用平台，导致车间级各类设备及其接口直接暴漏出来。因此，需要有一套完整的机制确保各类终端通过数据安全、可信传输至行业数据中心。 （3）引入5G专网变革业务管控要求 跨区域的大型企业部署5G专网，员工借助5G移动设备远程访问办公系统，面临从5G专网漫游5G公网、5G专网漫游5G专网、公网向专网漫游等多种跨域互联互通场景。不同的场景组合需要规划、制定专属的网络权限、业务权限等实现对信息系统的安全访问，急需完善的接入管控系统确保不同场景下的员工灵活访问。 （4）引入5G专网延展了信息安全边界 5G与云计算、大数据、物联网等新一代信息技术融合应用，使得传统信息安全的边界越来越模糊，网络的安全边界延伸到了企业网络之外，网络与应用处于动态变化之中，企业的网络边界不再等于企业网络的安全边界，因此传统强调边界防御的安全体系也不再广泛适用。 （5）5G多类型终端安全管理成为关注重点 5G应用中终端