孫衛(wèi)軍

（雅礱江流域水電開(kāi)發(fā)有限公司，四川 成都 610000）

0 引言

水情自動(dòng)測(cè)報(bào)系統(tǒng)（以下簡(jiǎn)稱“水情系統(tǒng)”）是基于通信、網(wǎng)絡(luò)、計(jì)算機(jī)及傳感器技術(shù)，實(shí)現(xiàn)對(duì)水電站或水庫(kù)所在流域內(nèi)水文氣象站點(diǎn)的降水量、水位等水文氣象數(shù)據(jù)的實(shí)時(shí)采集、上報(bào)及處理的系統(tǒng)。因水情遙測(cè)站點(diǎn)分布廣泛，部分站點(diǎn)位置偏遠(yuǎn)，水情系統(tǒng)通常采用無(wú)線通信方式組網(wǎng)。隨著5G（5th generation mobile networks）通信技術(shù)的發(fā)展，采用5G 通信組網(wǎng)將成為未來(lái)水情系統(tǒng)的發(fā)展方向，基于5G 組網(wǎng)的水情系統(tǒng)相較傳統(tǒng)無(wú)線通信組網(wǎng)方式的水情系統(tǒng)有更多優(yōu)勢(shì)，如實(shí)現(xiàn)超高清視頻傳輸、遙測(cè)數(shù)據(jù)實(shí)時(shí)傳輸及遙測(cè)站遠(yuǎn)程實(shí)時(shí)維護(hù)等功能，但隨之帶來(lái)的網(wǎng)絡(luò)安全防護(hù)問(wèn)題將成為新的挑戰(zhàn)，特別是考慮到2015 年烏克蘭停電事件的影響，應(yīng)用于電力系統(tǒng)的水情系統(tǒng)應(yīng)特別防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此，采取何種策略來(lái)解決基于5G 組網(wǎng)的水情系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)問(wèn)題將成為下一步研究重點(diǎn)。

1 水情自動(dòng)測(cè)報(bào)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

水情自動(dòng)測(cè)報(bào)系統(tǒng)傳統(tǒng)通信組網(wǎng)方式為超短波(VHF，Very HighFrequency)、GSM、GPRS、衛(wèi)星、光纖等信道組網(wǎng)[1]，部分庫(kù)區(qū)站點(diǎn)條件允許也會(huì)采用光纖等有線通信方式組網(wǎng)。常見(jiàn)水情通信組網(wǎng)方式可分為三類。

（1）有線通信。有線通信方式常見(jiàn)于PSTN 與光纖組網(wǎng)。PSTN 即公共交換電話網(wǎng)絡(luò)，受限于部署場(chǎng)景限制，早期水情測(cè)報(bào)系統(tǒng)組網(wǎng)設(shè)計(jì)會(huì)部分采用。光纖通信常見(jiàn)于有條件的電廠或水庫(kù)周邊站點(diǎn)，采用自建光纖信道的站點(diǎn)可靠性及安全性高，但成本投入較大。

（2）無(wú)線點(diǎn)對(duì)點(diǎn)通信。超短波、GSM、衛(wèi)星通信為代表的點(diǎn)對(duì)點(diǎn)通信為水情系統(tǒng)常用通信組網(wǎng)方式，特別是偏遠(yuǎn)地區(qū)多采用GSM及北斗衛(wèi)星作為主備信道組網(wǎng)。點(diǎn)對(duì)點(diǎn)通信無(wú)需接入公網(wǎng)環(huán)境，安全風(fēng)險(xiǎn)較低。

（3）GPRS、3G 及 4G 無(wú)線通信。GPRS 為目前應(yīng)用廣泛的公網(wǎng)接入水情系統(tǒng)組網(wǎng)方式，GPRS 組網(wǎng)有著實(shí)時(shí)在線、成本低等優(yōu)點(diǎn)[2]。3G、4G 組網(wǎng)由于受信號(hào)覆蓋面積及產(chǎn)品支持所限，應(yīng)用可見(jiàn)于部分學(xué)術(shù)研究[3]以及少部分應(yīng)用場(chǎng)景[4]，并未完全普及。GPRS 等通道因接入公網(wǎng)環(huán)境，有一定的安全風(fēng)險(xiǎn)。對(duì)于電力系統(tǒng)接入公網(wǎng)的無(wú)線通信組網(wǎng)方式，國(guó)家有關(guān)部門(mén)提出了安全接入?yún)^(qū)的概念并建立了相關(guān)標(biāo)準(zhǔn)[5]，對(duì)包括水情系統(tǒng)在內(nèi)的采用無(wú)線通信組網(wǎng)方式的系統(tǒng)進(jìn)行物理隔離。

2 5G 通信環(huán)境下的網(wǎng)絡(luò)安全形勢(shì)及應(yīng)對(duì)策略

與前幾代移動(dòng)通信網(wǎng)絡(luò)相比，5G 具備更高的網(wǎng)絡(luò)傳輸帶寬、更高的可靠性、更低的延時(shí)以及大規(guī)模物理設(shè)備通信特性[6]，5G 應(yīng)用場(chǎng)景劃分為增強(qiáng)移動(dòng)寬帶（eMBB）、海量設(shè)備通信（mMTC）、高可靠低時(shí)延（uRLLC）三類。由于5G面對(duì)不同的業(yè)務(wù)場(chǎng)景，因此每個(gè)場(chǎng)景需定制化自身的網(wǎng)絡(luò)安全防護(hù)策略[7]，另外由于采用了網(wǎng)絡(luò)切片技術(shù)，每個(gè)應(yīng)用場(chǎng)景的安全防護(hù)策略將進(jìn)一步細(xì)化，從而體現(xiàn)出垂直行業(yè)的特性。目前5G 三大場(chǎng)景的安全防護(hù)挑戰(zhàn)及應(yīng)對(duì)策略可見(jiàn)表1。

表1 5G 三大場(chǎng)景的安全防護(hù)挑戰(zhàn)及應(yīng)對(duì)策略

3 水情系統(tǒng)中應(yīng)用5G 組網(wǎng)的優(yōu)勢(shì)分析與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

與傳統(tǒng)無(wú)線通信組網(wǎng)方式相比，5G 通信組網(wǎng)的水情系統(tǒng)有著更高的接入帶寬，完全能滿足水情數(shù)據(jù)傳輸需求，同時(shí)低時(shí)延高可用特性可使得數(shù)據(jù)傳輸無(wú)延遲，特別是對(duì)測(cè)站進(jìn)行實(shí)時(shí)數(shù)據(jù)召測(cè)及遠(yuǎn)程參數(shù)設(shè)置時(shí)帶來(lái)巨大的維護(hù)優(yōu)勢(shì)，5G 的網(wǎng)絡(luò)切片功能能使得水情系統(tǒng)具備獨(dú)立組網(wǎng)特性，可以說(shuō)每一種5G 應(yīng)用場(chǎng)景都能使水情系統(tǒng)組網(wǎng)定制化，但每種場(chǎng)景面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也有區(qū)別，具體采用5G 組網(wǎng)的水情系統(tǒng)業(yè)務(wù)場(chǎng)景的優(yōu)勢(shì)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可見(jiàn)表2。

表2 采用5G 組網(wǎng)的水情系統(tǒng)業(yè)務(wù)場(chǎng)景的優(yōu)勢(shì)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

對(duì)于水情系統(tǒng)不同的業(yè)務(wù)都可以經(jīng)由5G 網(wǎng)絡(luò)切片承載，對(duì)于高清視頻監(jiān)控有要求較高的可采用eMBB 切片，對(duì)于實(shí)時(shí)性及可靠性要求較高的可采用uRLLC 切片，既需要高清視頻監(jiān)控又需要實(shí)時(shí)性要求的可采用eMBB 和uRLLC 切片組合網(wǎng)絡(luò)，或者定制化網(wǎng)絡(luò)。水情系統(tǒng)目前mMTC 場(chǎng)景需求較少，但遙測(cè)站的物聯(lián)網(wǎng)應(yīng)用及邊緣計(jì)算功能未來(lái)可能會(huì)有些科研方面的需求。

總之，水情系統(tǒng)功能可以根據(jù)需求對(duì)網(wǎng)絡(luò)提出定制化要求，然后結(jié)合自身業(yè)務(wù)需求配置合理的網(wǎng)絡(luò)安全防護(hù)策略。

4 基于5G 技術(shù)組網(wǎng)的水情系統(tǒng)網(wǎng)絡(luò)安全防護(hù)策略

根據(jù)電力二次系統(tǒng)相關(guān)安全防護(hù)規(guī)定要求，應(yīng)用于電網(wǎng)及水電廠業(yè)務(wù)的水情系統(tǒng)建設(shè)應(yīng)符合電力系統(tǒng)相關(guān)安全防護(hù)規(guī)范[8]。安全防護(hù)技術(shù)可分為本體安全、結(jié)構(gòu)安全、基礎(chǔ)安全、安全免疫等四個(gè)方面，對(duì)于基于5G 組網(wǎng)的水情系統(tǒng)來(lái)說(shuō)，重點(diǎn)需解決本體安全及結(jié)構(gòu)安全問(wèn)題，本體安全主要涉及到遙測(cè)站硬件，結(jié)構(gòu)安全涉及到網(wǎng)絡(luò)安全隔離等內(nèi)容，下面就基于5G 組網(wǎng)的水情系統(tǒng)的遙測(cè)站本體安全防護(hù)及網(wǎng)絡(luò)結(jié)構(gòu)防護(hù)做進(jìn)一步闡述。

4.1 基于5G 組網(wǎng)的水情系統(tǒng)遙測(cè)站本體安全防護(hù)

遙測(cè)站是水情系統(tǒng)重要組成部分，其網(wǎng)絡(luò)安全防護(hù)主要要求為本體安全，實(shí)現(xiàn)目標(biāo)為主板無(wú)惡意芯片、芯片無(wú)惡意指令以及操作系統(tǒng)無(wú)惡意后門(mén)。通過(guò)采用專用的具備自主知識(shí)產(chǎn)權(quán)的芯片，例如國(guó)產(chǎn)5G 芯片、RTU 芯片等，配合內(nèi)嵌的專用操作系統(tǒng)，結(jié)合安全可靠的指令集，建立安全的通信總線策略，可以很大程度保障遙測(cè)站的本體安全，防止信息泄露及漏洞攻擊?；?G 組網(wǎng)的水情系統(tǒng)遙測(cè)站本體安全防護(hù)架構(gòu)可見(jiàn)圖1。

圖1 遙測(cè)站本體安全防護(hù)架構(gòu)圖

4.2 基于5G 組網(wǎng)的水情系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)安全防護(hù)

水情系統(tǒng)可以采用租用5G 公網(wǎng)和專用切片方式進(jìn)行組網(wǎng)。從網(wǎng)絡(luò)安全角度來(lái)講，采用專用5G 網(wǎng)絡(luò)切片可以實(shí)現(xiàn)網(wǎng)絡(luò)的物理隔離，具有較高的安全性，而且電力切片也通過(guò)了相關(guān)的測(cè)試[9]。以5G 電力切片組網(wǎng)的水情系統(tǒng)為例，網(wǎng)絡(luò)結(jié)構(gòu)圖及安防配置圖見(jiàn)圖2。

圖2 5G 電力切片組網(wǎng)的水情系統(tǒng)及安全防護(hù)配置

由于采用專用的eMBB、uRLLC 等場(chǎng)景電力切片，安全性能得到很好的保障。結(jié)合運(yùn)營(yíng)商的網(wǎng)絡(luò)安全防護(hù)策略，水情系統(tǒng)在eMBB 場(chǎng)景下需在服務(wù)器層面做好遙測(cè)站安全認(rèn)證，在防火墻層面做好入侵檢測(cè)防護(hù)，從而防止高清視頻等信息泄露，阻止網(wǎng)絡(luò)入侵；在uRLLC 場(chǎng)景下服務(wù)器應(yīng)采用輕量接入認(rèn)證方式，以滿足低時(shí)延要求，減少系統(tǒng)資源耗費(fèi)，同時(shí)業(yè)務(wù)加密秘鑰也采用低時(shí)延秘鑰，做到關(guān)鍵數(shù)據(jù)保護(hù)；在mMTC 場(chǎng)景下做好服務(wù)器層面的群組認(rèn)證，在防火墻層面采用動(dòng)態(tài)防御策略，用于防止大量遙測(cè)站的DDOS 攻擊。另外對(duì)于網(wǎng)絡(luò)專用場(chǎng)景切片，每個(gè)遙測(cè)站都有固定的IP 地址，可以統(tǒng)一在防火墻層面做好IP 地址綁定，做到IP 地址隔離防護(hù)。

電力系統(tǒng)的水情數(shù)據(jù)首先接入水情系統(tǒng)安全接入?yún)^(qū)，然后通過(guò)反向隔離裝置單向?qū)懭胨橄到y(tǒng)安全生產(chǎn)II 區(qū)數(shù)據(jù)庫(kù)。

4.3 水文系統(tǒng)與電力系統(tǒng)通信的網(wǎng)絡(luò)結(jié)構(gòu)安全防護(hù)

部分水文局因業(yè)務(wù)需求，有時(shí)會(huì)與電廠或電網(wǎng)水情系統(tǒng)進(jìn)行數(shù)據(jù)交互，傳統(tǒng)水文部門(mén)與電力部門(mén)常采用公網(wǎng)或?qū)＞€方式與電力部門(mén)進(jìn)行組網(wǎng)，未來(lái)也可采用5G 通道進(jìn)行兩個(gè)部門(mén)間的通道連接，水文系統(tǒng)與電力系統(tǒng)采用5G 組網(wǎng)通信的總體網(wǎng)絡(luò)結(jié)構(gòu)及安防配置圖見(jiàn)圖3。

圖3 水文系統(tǒng)與電力系統(tǒng)采用5G 組網(wǎng)通信及安防配置圖

因電力部門(mén)有安全分區(qū)要求，所以基于5G 通道進(jìn)行信息交換水文系統(tǒng)與電力系統(tǒng)組網(wǎng)應(yīng)接入電力系統(tǒng)安全接入?yún)^(qū)。需特別指出的是5G 組網(wǎng)通信采用的DTU 應(yīng)支持RJ45 接口，即同時(shí)支持5G 通信及RJ45 網(wǎng)絡(luò)通信，以便于局域網(wǎng)組網(wǎng)及網(wǎng)絡(luò)安防策略配置。如采用5G 公網(wǎng)接入，為保證網(wǎng)絡(luò)安全應(yīng)配置VPN 設(shè)備，從而建立加密專用信道，5G 專用網(wǎng)絡(luò)切片接入也可按需配置VPN 設(shè)備用于提高網(wǎng)絡(luò)安全性。

5 結(jié)束語(yǔ)

基于5G 技術(shù)組網(wǎng)的水情系統(tǒng)有一定的前瞻性，相較于傳統(tǒng)的組網(wǎng)方式，5G 組網(wǎng)的水情系統(tǒng)將面臨更為嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，因此有必要對(duì)5G 組網(wǎng)的水情系統(tǒng)安全防護(hù)策略加以重視?；?5G 網(wǎng)絡(luò)的 eMBB、mMTC、uRLLC 等 3 個(gè)主要應(yīng)用場(chǎng)景，水情系統(tǒng)在規(guī)劃時(shí)期可根據(jù)自身需求選擇適合業(yè)務(wù)需求的場(chǎng)景切片，重點(diǎn)從遙測(cè)站本體安全、網(wǎng)絡(luò)結(jié)構(gòu)安全等方面做好相應(yīng)的安全防護(hù)措施。

未來(lái)隨著5G 技術(shù)的應(yīng)用逐步開(kāi)展，水情系統(tǒng)的業(yè)務(wù)部門(mén)可探索與運(yùn)營(yíng)商的定制化5G 網(wǎng)絡(luò)切片及網(wǎng)絡(luò)安防策略，一些網(wǎng)絡(luò)安全設(shè)備甚至可以采用虛擬化方式實(shí)現(xiàn)，通過(guò)定制化方式打造屬于自身的更為安全可控的專用5G 網(wǎng)絡(luò)切片，最大程度保障水情系統(tǒng)的網(wǎng)絡(luò)安全。