張 卿，王冰冰，王計(jì)峰

（山東宏陽(yáng)煤礦有限公司，山東 濟(jì)寧272400）

隨著信息技術(shù)的發(fā)展，礦山的強(qiáng)化在智能礦山管理中的應(yīng)用正成為國(guó)家礦山發(fā)展的新趨勢(shì)。除了采礦以外，礦山5G +礦山模型還有助于對(duì)許多領(lǐng)域（例如鐵礦石和有色金屬）中使用的現(xiàn)有礦山進(jìn)行更改和升級(jí)。

1 礦山5G 網(wǎng)絡(luò)的安全接入的重要性

為了提高業(yè)務(wù)管理效率，我們?yōu)榧瘓F(tuán)公司開放了專用的VPN，為公司提供各種應(yīng)用程序服務(wù)，包括挖掘，協(xié)作和OA 設(shè)備銷售。對(duì)公司生產(chǎn)和運(yùn)營(yíng)的影響可能會(huì)通過(guò)該部引發(fā)攻擊，這對(duì)團(tuán)隊(duì)的整個(gè)信息網(wǎng)絡(luò)構(gòu)成了嚴(yán)重威脅。因此，本地管理人員必須樹立適當(dāng)?shù)木W(wǎng)絡(luò)信息安全概念，并充分了解信息網(wǎng)絡(luò)的安全性。加速創(chuàng)建用于保護(hù)基礎(chǔ)信息架構(gòu)的關(guān)鍵系統(tǒng)，并提高公司保護(hù)信息安全的能力。

2 礦山5G 網(wǎng)絡(luò)設(shè)備的接入安全威脅

2.1 基礎(chǔ)設(shè)施的安全威脅

基站設(shè)備包括擴(kuò)展的硬件設(shè)備和基站數(shù)據(jù)文件的內(nèi)部軟件版本。在安裝設(shè)備的環(huán)境中，有關(guān)負(fù)責(zé)人員要提高安全保護(hù)措施，以防止損壞設(shè)備。周圍的環(huán)境，例如溫度，可以避免其損壞。對(duì)基站應(yīng)用程序的安全威脅可以降低到最小。

2.2 空口的安全威脅

空口是指在用戶終端和基站之間顯示無(wú)線電信號(hào)。無(wú)線接口的安全威脅廣泛應(yīng)用于三個(gè)方面。信息泄漏；基站信號(hào)范圍內(nèi)未經(jīng)身份驗(yàn)證的用戶可以使用諸如阻塞，嗅探，黑客攻擊等方法接收信號(hào)并從基站接收數(shù)據(jù)傳輸。輸入流信息量；例如，它還會(huì)偽造一個(gè)基站，發(fā)送無(wú)線電信號(hào)并欺騙合法用戶，以竊取用戶數(shù)據(jù)。攻擊設(shè)備發(fā)出較強(qiáng)的干擾信號(hào)，干擾最終用戶與基站之間的無(wú)線連接，從而干擾了基站的整體運(yùn)行。

2.3 核心網(wǎng)接口的安全威脅

核心網(wǎng)接口包含基站與核心網(wǎng)的飛行數(shù)據(jù)，以及基站與基站之間的數(shù)據(jù)盜竊接口，并通過(guò)網(wǎng)絡(luò)傳輸。它還通過(guò)可用網(wǎng)絡(luò)（DOS），緩沖區(qū)溢出等無(wú)效數(shù)據(jù)傳輸來(lái)響應(yīng)不安全的傳輸協(xié)議和數(shù)據(jù)包攻擊等安全威脅。提供頻繁的維護(hù)，處理傳輸數(shù)據(jù)，從而破壞數(shù)據(jù)的完整性。

3 礦山5G 網(wǎng)絡(luò)的安全接入措施

3.1 礦山5G 網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全方案

要想保障基站基礎(chǔ)設(shè)施安全，首先，需要確保站設(shè)備和外圍網(wǎng)絡(luò)設(shè)備的安全，例如訪問(wèn)控制和管理，蒸汽，溫度傳感器等。如果有問(wèn)題，管理員必須在時(shí)區(qū)中做出第一反應(yīng)。與此同時(shí)，還需要設(shè)置防火墻?；灸K通過(guò)核心網(wǎng)絡(luò)，網(wǎng)絡(luò)管理服務(wù)器系統(tǒng)協(xié)議連接到其他網(wǎng)絡(luò)設(shè)備，并且容易受到IP 網(wǎng)絡(luò)（數(shù)據(jù)包）的攻擊和DoS 廣播的攻擊。定義文件過(guò)濾策略時(shí)，僅提供開放端口/協(xié)議的列表，默認(rèn)情況下會(huì)拒絕未使用的端口。還可以自定義入侵檢測(cè)系統(tǒng)（IDS）以檢測(cè)網(wǎng)絡(luò)瞬時(shí)攻擊并執(zhí)行預(yù)警措施。

3.2 空口的安全方案

3.2.1 支持?jǐn)?shù)據(jù)機(jī)密性

數(shù)據(jù)加密意味著不能使用加密算法將信息從文本轉(zhuǎn)換為數(shù)字文本還不能可靠地進(jìn)行過(guò)濾數(shù)據(jù)。站點(diǎn)礦山5G 根據(jù)CMS 發(fā)送的安全策略提供加密的用戶數(shù)據(jù)，并支持諸如NEA0、128-NEA1、128-NEA2、128-NEA3 之類的加密算法。加密算法通過(guò)5G UE 和安全信令模式（PRC）發(fā)送到站點(diǎn)。加密算法分別由UE 和5G 蜂窩基站生成。

3.2.2 支持?jǐn)?shù)據(jù)完整性

確認(rèn)碼認(rèn)證（MAC-I）使用傳輸機(jī)密性算法對(duì)消息進(jìn)行計(jì)數(shù)并維護(hù)數(shù)據(jù)完整性，而接收者計(jì)算（X-MAC）l Mac-1 和X-Mac 完整性和匹配算法，以防止數(shù)據(jù)更改，礦山5G 基站根據(jù)SME 通過(guò)的安全策略增強(qiáng)了對(duì)用戶數(shù)據(jù)完整性的保護(hù)。通用安全算法由來(lái)自PRC 信令中礦山5G 站的UE 表示。 礦山5G 基站支持完整性算法， 例如NEA0、128-NEA1、128-NEA2、128-NEA3，并使用基于發(fā)送方交互的內(nèi)置安全算法。安全密鑰分別由UE 和礦山5G 基站生成。

3.3 核心網(wǎng)接口的安全方案

3.3.1 物理層安全

物理層通過(guò)打包的電纜傳輸信號(hào)，以防止外部監(jiān)視和干擾。備份多個(gè)物理連接和多個(gè)物理備份端口，以確保系統(tǒng)的可用性。

3.3.2 鏈路層安全

不同的鏈路層要使用VLAN 隔離來(lái)防止DoS攻擊和監(jiān)視數(shù)據(jù)，并為用戶提供安全的數(shù)據(jù)傳輸以及傳入的MAC 加密數(shù)據(jù)和數(shù)據(jù)幀。它支持MACSec加密以確保其一致性。驗(yàn)證和驗(yàn)證數(shù)據(jù)源的可靠性，并支持802.1x 訪問(wèn)控制和身份驗(yàn)證協(xié)議。沒(méi)有正確的身份驗(yàn)證，基站將無(wú)法訪問(wèn)運(yùn)營(yíng)商的網(wǎng)絡(luò)，并且基站上打開的物理網(wǎng)絡(luò)端口可以限制對(duì)授權(quán)用戶/設(shè)備的訪問(wèn)。

3.4 網(wǎng)管接口的安全方案

3.4.1 賬戶管理

基站系統(tǒng)支持集中式本地帳戶管理。中央帳戶是由網(wǎng)絡(luò)管理員創(chuàng)建和管理的帳戶，并包含在網(wǎng)絡(luò)管理中以進(jìn)行驗(yàn)證。本地帳戶是由網(wǎng)絡(luò)管理員創(chuàng)建的帳戶，但是在基站上是本地授權(quán)的。用戶帳戶管理支持常見(jiàn)的用戶名和密碼輸入，以及基于PKI 的數(shù)字證明。用戶身份驗(yàn)證方法使系統(tǒng)可以輕松修復(fù)密碼破解問(wèn)題，同時(shí)保持所需的系統(tǒng)高速密碼設(shè)置（8 個(gè)或更多密碼）。還需要至少3 位大寫，小寫和特殊字符。它還確定系統(tǒng)密碼的安全性。如果用戶不遵守密碼規(guī)則，則用戶必須在登錄時(shí)更改密碼。系統(tǒng)可以根據(jù)用戶的個(gè)人需求為帳戶設(shè)置相同的驗(yàn)證周期，并且該帳戶在到期后可能變得不可用。為了加強(qiáng)用戶密碼，我們限制了輸入系統(tǒng)密碼嘗試次數(shù)。如果超過(guò)嘗試次數(shù)，則會(huì)阻止用戶再輸密碼。

3.4.2 權(quán)限管理

還要使用用戶身份驗(yàn)證系統(tǒng)來(lái)防止未經(jīng)授權(quán)的用戶訪問(wèn)系統(tǒng)。用戶訪問(wèn)系統(tǒng)時(shí)，還需要進(jìn)行授權(quán)檢查。這將檢查讀取是否可以讀取或修改，以及是否在系統(tǒng)文件的運(yùn)行/執(zhí)行權(quán)限之內(nèi)。不同級(jí)別的用戶組具有不同的權(quán)限。登錄當(dāng)向用戶發(fā)送登錄確認(rèn)時(shí)，可以控制Station 礦山5G?；颈仨毟鶕?jù)用戶組批準(zhǔn)并控制用戶的操作。系統(tǒng)會(huì)根據(jù)次要特權(quán)的分離原則為具有不同功能的用戶創(chuàng)建具有不同特權(quán)的角色。對(duì)信息權(quán)的類別也有獨(dú)占控制權(quán)。只有已收到更改授權(quán)帳戶的安全管理員才能設(shè)置帳戶身份驗(yàn)證，以防止惡意更改帳戶的情況發(fā)生。

3.4.3 傳輸安全

系統(tǒng)使用安全鏈接（SSH）/安全文件傳輸協(xié)議（SFTP）/ 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMPv3）通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)。增加加密通道，將很難偷竊信息。通過(guò)采用SSH / SFTP 協(xié)議，可以有效地防止攻擊者在上層和下層網(wǎng)絡(luò)的控制系統(tǒng)之間遠(yuǎn)程控制信息流和數(shù)據(jù)傳輸。 SSH / SFTP 功能包括所有傳輸數(shù)據(jù)的域名解析（DNS）IP 加密，壓縮的數(shù)據(jù)傳輸速率以及提供安全的FTP 通道。包括Telnet 修改。它使用SNMPV3協(xié)議來(lái)驗(yàn)證數(shù)據(jù)完整性，并確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被更改或損壞，或者傳輸順序沒(méi)有更改?？梢宰R(shí)別數(shù)據(jù)源以確保傳輸對(duì)和數(shù)據(jù)源的可靠傳輸。數(shù)據(jù)加密意味著無(wú)法在傳輸過(guò)程中竊取或過(guò)濾數(shù)據(jù)。消息中的序列號(hào)表示在指定時(shí)間序列之外生成的數(shù)據(jù)將不被接受。搜索消息時(shí)生成的消息可能超過(guò)指定的時(shí)間段。 SNMPv3 查找服務(wù)用于識(shí)別消息，傳遞設(shè)備標(biāo)識(shí)的消息是否已在傳遞過(guò)程中發(fā)送，修改或傳輸，或者是否更改了傳遞方向。使用SNMPV3加密服務(wù)對(duì)電子郵件設(shè)備進(jìn)行加密，以便無(wú)法直接讀取數(shù)據(jù)。

3.4.4 敏感信息保護(hù)

根據(jù)保護(hù)機(jī)密的原則，必須對(duì)客戶的個(gè)人信息保密。換句話說(shuō)，人們無(wú)法在未經(jīng)許可的情況下查看它，也沒(méi)有傳輸它的權(quán)限。如果在傳輸過(guò)程中移動(dòng)數(shù)據(jù)，則該數(shù)據(jù)必須是匿名的。個(gè)人信息可能會(huì)或可能不會(huì)直接或間接鏈接到客戶的個(gè)人信息。如果用戶名可以獲取已知的用戶名，則該用戶名就是用戶的機(jī)密信息。這種聯(lián)系相對(duì)簡(jiǎn)單，被稱為直接個(gè)人信息。應(yīng)該將更多圈子與用戶信息聯(lián)系起來(lái)的某些信息稱為間接個(gè)人信息。所謂的匿名性是指當(dāng)數(shù)據(jù)包含與隱私有關(guān)的信息時(shí)，無(wú)論是否導(dǎo)出文件，都將對(duì)其進(jìn)行加密處理以保護(hù)數(shù)據(jù)的安全性。根據(jù)通用數(shù)據(jù)保護(hù)條例（GDPR），個(gè)人信息包括國(guó)際移動(dòng)用戶身份（IMSI） 和國(guó)際移動(dòng)電話身份（IMEI），UEIP 互聯(lián)網(wǎng)電話號(hào)碼和地址電子郵件。我們采取的策略是內(nèi)部安全和外部取消資格。系統(tǒng)之間的數(shù)據(jù)以其他方式受到保護(hù)，以確保數(shù)據(jù)加密，加強(qiáng)數(shù)據(jù)鏈路管理系統(tǒng)并確保個(gè)人數(shù)據(jù)安全，還必須要使用感應(yīng)技術(shù)將數(shù)據(jù)禁用。

3.4.5 日志審計(jì)

基站在操作系統(tǒng)中記錄并存儲(chǔ)關(guān)鍵信息。如果發(fā)生安全違規(guī)事件，必須在日志中附上說(shuō)明，以確定其起因，并提供有效的憑證來(lái)來(lái)防止人員不承認(rèn)其執(zhí)行過(guò)程。

4 結(jié) 語(yǔ)

綜上所述，隨著現(xiàn)代信息網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全是所有礦山企業(yè)領(lǐng)導(dǎo)者面臨的問(wèn)題，以上措施值得我們參考借鑒。