摘 要：隨著5G引入工業(yè)物聯(lián)網(wǎng)，網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái)。文中提出基于5G的工業(yè)物聯(lián)網(wǎng)架構(gòu)，從架構(gòu)級(jí)開展STRIDE威脅分析，識(shí)別5G工業(yè)物聯(lián)網(wǎng)架構(gòu)級(jí)剩余風(fēng)險(xiǎn)，從安全威脅消減的角度，提供5G專網(wǎng)、5G垂直行業(yè)特性的安全選擇建議，通過(guò)DMZ實(shí)現(xiàn)5G通信網(wǎng)與企業(yè)內(nèi)網(wǎng)邊界防護(hù)，以及通過(guò)零信任實(shí)現(xiàn)物聯(lián)網(wǎng)海量設(shè)備身份認(rèn)證。最后，提出了企業(yè)系統(tǒng)安全級(jí)別保持的應(yīng)對(duì)策略，以期企業(yè)安全生產(chǎn)，穩(wěn)定運(yùn)行。

關(guān)鍵詞：工業(yè)物聯(lián)網(wǎng)；網(wǎng)絡(luò)安全；STRIDE；身份認(rèn)證；5G專網(wǎng)；DMZ

中圖分類號(hào)：TP393；TN872 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2025）08-00-04

0 引 言

委內(nèi)瑞拉電網(wǎng)大規(guī)模斷電、烏克蘭氯氣站被網(wǎng)絡(luò)攻擊以及震驚全球工業(yè)界的“震網(wǎng)病毒”，都在不斷警醒工業(yè)界網(wǎng)絡(luò)安全的重要性。

物理隔離是傳統(tǒng)工業(yè)系統(tǒng)普遍采用的安全策略，以保證敏感工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全。2022年工信部正式發(fā)布《5G全連接工廠建設(shè)指南》，主要面向原材料、裝備、消費(fèi)品、電子等制造行業(yè)，以及采礦、港口、電力等重點(diǎn)行業(yè)領(lǐng)域，推動(dòng)企業(yè)開展5G全連接工廠建設(shè)，推動(dòng)5G融合應(yīng)用縱深發(fā)展，期望實(shí)現(xiàn)生產(chǎn)企業(yè)IT、OT融合，實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)扁平化。引入5G后，傳統(tǒng)工業(yè)物聯(lián)網(wǎng)架構(gòu)發(fā)生變化，急需結(jié)合變更的網(wǎng)絡(luò)架構(gòu)，正向分析潛在的網(wǎng)絡(luò)安全威脅，結(jié)合行業(yè)的重要性，實(shí)施相應(yīng)的消減措施，有效保證工業(yè)物聯(lián)網(wǎng)的安全穩(wěn)定。

1 基于5G工業(yè)物聯(lián)網(wǎng)架構(gòu)及網(wǎng)絡(luò)安全威脅研究

參考分析工業(yè)物聯(lián)網(wǎng)架構(gòu)[1-3]，輸出基于5G的工業(yè)物聯(lián)網(wǎng)架構(gòu)如圖1所示。

相比傳統(tǒng)的工業(yè)物聯(lián)網(wǎng)，基于5G的工業(yè)物聯(lián)網(wǎng)架構(gòu)主要引入了如下部分：

（1）感知層：主要引入兩大類設(shè)備。

①集成5G通信能力的工業(yè)設(shè)備，如5G攝像頭、5G無(wú)人礦卡、5G工業(yè)機(jī)器人[4]；

②具備5G通信能力的工業(yè)網(wǎng)關(guān)，為工業(yè)現(xiàn)場(chǎng)其他設(shè)備如儀器儀表、PLC等提供接入接口，實(shí)現(xiàn)工業(yè)數(shù)據(jù)的5G轉(zhuǎn)發(fā)。

（2）5G空口接入邊界：一般5G基站按照客戶覆蓋要求進(jìn)行安裝部署，可能在公共開放區(qū)域（典型如石油石化、電力領(lǐng)域及礦山等），也可能在廠房?jī)?nèi)（典型如加工工廠）。

（3）網(wǎng)絡(luò)層：根據(jù)工業(yè)客戶網(wǎng)絡(luò)定制化程度的不同，分為虛擬5G專網(wǎng)、混合5G專網(wǎng)、獨(dú)立5G專網(wǎng)三種[4-6]，為工業(yè)客戶提供特定區(qū)域覆蓋、數(shù)據(jù)可靠傳輸、業(yè)務(wù)安全隔離、設(shè)備可管可控的基礎(chǔ)連接網(wǎng)絡(luò)，滿足工業(yè)客戶在組織、指揮、管理、生產(chǎn)、調(diào)度等環(huán)節(jié)的通信服務(wù)需求[5-6]。

（4） 5G網(wǎng)絡(luò)amp;企業(yè)內(nèi)網(wǎng)邊界：通過(guò)專線等物理接入方式，實(shí)現(xiàn)感知層借助5G網(wǎng)絡(luò)與“企業(yè)內(nèi)網(wǎng)”完成業(yè)務(wù)層面通信。

（5）企業(yè)內(nèi)網(wǎng)：組網(wǎng)架構(gòu)引入新的設(shè)備類型及通信方式，為內(nèi)網(wǎng)的業(yè)務(wù)及組網(wǎng)帶來(lái)較大變化。

①業(yè)務(wù)變化：感知層新增支持5G的設(shè)備，需要優(yōu)化物聯(lián)網(wǎng)設(shè)備管理，支持設(shè)備的統(tǒng)一管理；

②組網(wǎng)變化：傳統(tǒng)工業(yè)網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)從現(xiàn)場(chǎng)逐級(jí)向上匯集?；?G新型工業(yè)網(wǎng)絡(luò)，業(yè)務(wù)數(shù)據(jù)匯集扁平化，直接通過(guò)專線進(jìn)入企業(yè)信息中心。

采用微軟STRIDE威脅建模方法，結(jié)合“基于5G工業(yè)物聯(lián)網(wǎng)架構(gòu)”的特點(diǎn)，在架構(gòu)級(jí)抽象“5G網(wǎng)絡(luò)”“5G感知設(shè)備”“企業(yè)內(nèi)網(wǎng)”三個(gè)關(guān)鍵邏輯元素。針對(duì)從業(yè)特點(diǎn)分析，三個(gè)關(guān)鍵邏輯元素在數(shù)據(jù)流圖中承擔(dān)“處理過(guò)程”和“外部實(shí)體”雙重角色，但作為抽象元素，每個(gè)元素可作多級(jí)展開，本文更關(guān)注架構(gòu)級(jí)交互通信，將元素作為“外部實(shí)體”進(jìn)行數(shù)據(jù)流圖分析?；?G工業(yè)物聯(lián)網(wǎng)架構(gòu)級(jí)數(shù)據(jù)流圖如圖2所示。

根據(jù)STRIDE威脅建模方法分析，“外部實(shí)體”需要分析“仿冒（S）”“抵賴（R）”兩種潛在威脅?！皵?shù)據(jù)流”需要分析“篡改（T）”“信息泄露（I）”“拒絕服務(wù)（D）”三種潛在威脅。梳理5G工業(yè)物聯(lián)網(wǎng)架構(gòu)潛在安全威脅分析見表1。

2 針對(duì)5G工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅消減建議

本節(jié)針對(duì)表1分析識(shí)別的高風(fēng)險(xiǎn)威脅，提出相應(yīng)的消減建議。

2.1 身份識(shí)別機(jī)制消減感知設(shè)備仿冒風(fēng)險(xiǎn)

企業(yè)內(nèi)網(wǎng)識(shí)別5G傳感設(shè)備應(yīng)涉及兩個(gè)層級(jí)：通信級(jí)和業(yè)務(wù)級(jí)。

針對(duì)“通信級(jí)”身份識(shí)別，建議采用IPv6通信[7]。基于IPv6地址的唯一性，可以準(zhǔn)確識(shí)別“5G傳感設(shè)備”，從而解決IPv4網(wǎng)絡(luò)中因網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）導(dǎo)致的設(shè)備無(wú)法唯一識(shí)別的問(wèn)題。

針對(duì)“業(yè)務(wù)級(jí)”身份識(shí)別：對(duì)于圖1中“直接接入（如5G攝像頭）”企業(yè)內(nèi)網(wǎng)的設(shè)備，建議企業(yè)部署適用于工業(yè)物聯(lián)網(wǎng)的零信任[8]接入架構(gòu)，以應(yīng)對(duì)海量物聯(lián)網(wǎng)設(shè)備的安全接入；對(duì)于圖1中“間接接入（如PLC）”企業(yè)內(nèi)網(wǎng)的設(shè)備，建議在其5G上位機(jī)中添加白名單化管理機(jī)制（如MAC白名單等），以便僅允許現(xiàn)場(chǎng)設(shè)備接入。

2.2 基于無(wú)證書的TLS機(jī)制消減感知設(shè)備和企業(yè)內(nèi)網(wǎng)篡改及信息泄露風(fēng)險(xiǎn)

傳統(tǒng)的基于PKI/CA證書體系的TLS通信需要使用X.509證書格式，并要求設(shè)備具備證書更新機(jī)制，這對(duì)設(shè)備的計(jì)算能力要求較高，且通信機(jī)制較為復(fù)雜。然而，物聯(lián)感知設(shè)備通常對(duì)成本和功耗敏感，且接入設(shè)備數(shù)量龐大，因此不適合采用這種傳統(tǒng)的管理機(jī)制。建議采用基于CL無(wú)證書技術(shù)的TLS通信[9]，在滿足安全性需求的同時(shí)，也更符合行業(yè)的實(shí)際業(yè)務(wù)需求。

2.3 利用5G專網(wǎng)特性消減企業(yè)內(nèi)網(wǎng)信息泄露風(fēng)險(xiǎn)

工業(yè)應(yīng)用作為典型垂直行業(yè)，基于其業(yè)務(wù)特性，對(duì)網(wǎng)絡(luò)覆蓋、業(yè)務(wù)速率、業(yè)務(wù)實(shí)時(shí)性、數(shù)據(jù)安全隔離等要求特殊。5G專網(wǎng)通過(guò)資源和能力的定制，可以提供具備差異化的服務(wù)能力和服務(wù)質(zhì)量保障。

2.3.1 5G專網(wǎng)選擇建議

應(yīng)用于工業(yè)的5G專網(wǎng)，有三種部署方式：5G虛擬專網(wǎng)、5G混合專網(wǎng)和5G獨(dú)立專網(wǎng)。相應(yīng)的安全特點(diǎn)及適用企業(yè)見表2。企業(yè)可結(jié)合自身網(wǎng)絡(luò)安全級(jí)別要求，選擇合適的5G專網(wǎng)部署。

2.3.2 5G網(wǎng)絡(luò)切片選擇建議

5G網(wǎng)絡(luò)切片將公共物理基礎(chǔ)設(shè)施資源切割成多個(gè)獨(dú)立的虛擬網(wǎng)絡(luò)，為不同行業(yè)提供獨(dú)立運(yùn)行、相互隔離的定制化服務(wù)，以滿足垂直行業(yè)用戶的5G智能化要求。

從網(wǎng)絡(luò)安全的角度，不同切片類型有不同的安全級(jí)別，建議企業(yè)結(jié)合自身網(wǎng)絡(luò)安全級(jí)別要求，選擇合適的切片（參考表3）。

對(duì)于兼顧業(yè)務(wù)需求和建網(wǎng)成本并采用“邏輯隔離”方案的企業(yè)，如果其數(shù)據(jù)安全性要求較高，建議在端到端業(yè)務(wù)層面部署“縱向加密”機(jī)制，以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2.3.3 5G LAN建議

傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)，生產(chǎn)控制區(qū)、管理信息區(qū)在不同的VLAN域，以實(shí)現(xiàn)業(yè)務(wù)橫向隔離。5G網(wǎng)絡(luò)通過(guò)5G LAN機(jī)制實(shí)現(xiàn)二層協(xié)議傳輸，需要結(jié)合企業(yè)現(xiàn)有的VLAN域規(guī)劃，開展5G VN組規(guī)劃[10-11]，以保證二層VLAN域安全等級(jí)。

2.4 通信邊界防護(hù)消減企業(yè)內(nèi)網(wǎng)DoS及信息泄露風(fēng)險(xiǎn)

5G通信需要實(shí)現(xiàn)運(yùn)營(yíng)商網(wǎng)絡(luò)與企業(yè)內(nèi)網(wǎng)的互聯(lián)互通，這導(dǎo)致企業(yè)內(nèi)網(wǎng)在安全威脅分析中面臨更大的攻擊面。為降低安全風(fēng)險(xiǎn)，建議在5G網(wǎng)絡(luò)與企業(yè)內(nèi)網(wǎng)之間部署“DMZ區(qū)”（如圖3所示）。通過(guò)在DMZ區(qū)部署入侵檢測(cè)、入侵防御系統(tǒng)，可監(jiān)視網(wǎng)絡(luò)流量，識(shí)別異常（如DoS攻擊）并實(shí)施必要的網(wǎng)絡(luò)安全保護(hù)措施。DMZ邊界入口部署防火墻或網(wǎng)閘，根據(jù)預(yù)定義的規(guī)則和策略，可保證經(jīng)過(guò)授權(quán)的信息流入、流出企業(yè)內(nèi)網(wǎng)，以防止信息泄露。

3 結(jié) 語(yǔ)

5G引入工業(yè)物聯(lián)網(wǎng)帶來(lái)了智能化升級(jí)的機(jī)會(huì)，但隨之而來(lái)的是安全相關(guān)問(wèn)題。對(duì)于采用基于5G工業(yè)物聯(lián)網(wǎng)的企業(yè)，除了建網(wǎng)初期需要考慮網(wǎng)絡(luò)安全，在生產(chǎn)運(yùn)行過(guò)程中，更要持續(xù)開展網(wǎng)絡(luò)安全基線自動(dòng)檢查及預(yù)警、安全態(tài)勢(shì)感知、員工安全意識(shí)培訓(xùn)等工作，必要時(shí)請(qǐng)第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全保護(hù)等級(jí)評(píng)估及認(rèn)證，以確保工業(yè)物聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行，為工業(yè)生產(chǎn)提供穩(wěn)定可靠的支持。

注：本文通訊作者為王運(yùn)付。

參考文獻(xiàn)

[1]宋坤，劉吉寧. 5G賦能工業(yè)互聯(lián)網(wǎng)的應(yīng)用研究與實(shí)踐[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2024，37（3）：75-82.

[2]楊炆坪. 5G網(wǎng)絡(luò)下的物聯(lián)網(wǎng)安全架構(gòu)研究[J].信息記錄材料，2023，24（12）：56-58.

[3]黃廣山. 5G專網(wǎng)背景下的工業(yè)物聯(lián)網(wǎng)架構(gòu)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（5）：6-7.

[4]雒艷. 5G行業(yè)專網(wǎng)建設(shè)模式探索[J].價(jià)值工程，2023，42（24）：94-98.

[5]邢馨心，左青雅，劉建偉.基于5G的智慧機(jī)場(chǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)與安全性分析[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2023，9（5）：116-126.

[6]袁駿. 5G獨(dú)立專網(wǎng)在軍工行業(yè)智能化制造中的應(yīng)用分析[J].通信與信息技術(shù)，2023（z1）：53-56.

[7]蔣馳，李國(guó)風(fēng)，馬帥.典型工業(yè)企業(yè)IPv6安全自組織網(wǎng)絡(luò)解決方案[J].工業(yè)信息安全，2024（1）：41-51.

[8]王首媛，孫寧寧，曹盛.基于零信任架構(gòu)實(shí)現(xiàn)的物聯(lián)網(wǎng)終端接入安全研究[J].郵電設(shè)計(jì)技術(shù)，2021（7）：13-18.

[9]張曉輝，王首媛，慕江林.基于CLA和TLS結(jié)合實(shí)現(xiàn)的物聯(lián)網(wǎng)通信安全研究[J].郵電設(shè)計(jì)技術(shù)，2021（7）：24-26.

[10]劉霞，陳禮波，王運(yùn)付，等.工業(yè)物聯(lián)網(wǎng)終端5G LAN組網(wǎng)方案研究[J].郵電設(shè)計(jì)技術(shù)，2024（1）：83-87.

[11]王斌，朱佳，宗悅，等.智能化水電站5G網(wǎng)絡(luò)安全接入技術(shù)研究[J].水電站機(jī)電技術(shù)，2024，47（1）：26-28.