2022202235G電力虛擬專網網絡安全白皮書5G5G目錄1132、5G2、5G4電力業務安全需求分析 45G電力虛擬專網安全風險分析 43、5G65G電力虛擬專網安全需求分析 53、5G65G承載電力業務的安全模型 7高安全業務應用安全模型 8中安全業務應用安全模型 8通用安全業務應用安全模型 84、5G95G電力虛擬專網總體安全參考架構 84、5G9端到端切片安全隔離，提供電力虛擬專用網絡 9接入網隔離 9傳輸網隔離 9核心網隔離 9多層次認證體系，滿足縱向認證要求 10云邊協同的安全應用，支撐安全防護及監測 10基于基礎設施和APP業務的MEC安全防護 10全天候全方位的5G網絡安全態勢感知 105G+區塊鏈的安全認證模式 11數據加密傳輸 115、5G12安全事件響應 115、5G125G電力廣域虛擬專網應用案例 125G電力局域虛擬專網應用案例 126、總結與展望6、總結與展望13A：術語及縮略語14B：參考文獻14保障。保障。5G5G電力虛擬專網安全解決方案，并5G電力虛擬專網安全應用案例。引言Multi-accessEdgeComputing(MEC5G網絡在電力的發、輸、變、配、5G電力虛擬專網。5G5GMEC、能力開放等技術，在無線、承載、核心網等環節虛擬出一張面向電力行業的專用網絡，并與電力通信專網跨域融合，實現端到端的電力業務承載、高強度安全隔離以及資源管理。”5G電力虛擬專網的典型業務承載需求如下表所示：業務類型典型應用場景承載現狀未來承載需求基礎類智能分布式配電自動化、智能配電網微型同步相量測量、用電負荷需求側響應、充電樁、應急通信等已有較成熟承載方案。1/主站集中2、采集頻次較低3、控制能力相對粗放1、連接模式：主站下沉，本地就近控制2、采集頻次提升（計量分鐘級）3、精準控制（毫秒級別，節點級）擴展類巡檢機器人、輸電線路無人機巡檢、基于物聯網的狀態監測、智能營業廳、倉儲管理、智能家居等處于蓬勃發展及不斷優化階段。單終端帶寬為100k~2Mbps，采集連接數有限1、物聯網技術廣泛應用，連接數大幅增長2、高清視頻類業務大量應用，帶寬需求爆發3、融合采集與工業精準控制應用結合4、結合AI進行深層次應用探索特殊場景類智慧園區、智慧電廠、地下廠房深度覆蓋、三維空間定處于起步探索和發展階段1、特殊環境下深度覆蓋、空間定位需求迫切2、海量傳感器等物聯網應用需求爆發3、基于人工智能、大數據的網元協同，智能診斷和決策支持面向上述需求，5GSDN,SoftwareDefindNetwork(NFVNetworkFunctionVirtualization)(SBAService-basedArchitecture5G同時隨著能源大數據、綜合能源服務等新興業務不斷涌現，電力業務環境更加開放、生態更加復雜、數據共享更加頻繁，電力業務的承載網絡安5G電力虛擬專網的網絡安全5G電力虛擬專網的安全水平，為智能電網業務承載提供更好的通信安全2.12.15G電力虛擬專網面臨的四類風險威脅點5G電力虛擬專網網絡安全白皮書025G電力虛擬專網025G電力虛擬專網承載電力業務的安全需求與應用風險威脅進行分析。電力業務安全需求分析201414[2015]36的原則。本章從電力業務安全需求出發，提出三類業務安全模式：高安全業務、中安全業務、通用安全業務。高安全業務是指與電力調度生產直接相關的生產控制類業務，通常部署在生產控制大區涉及實時控制類及感知采集類業務，如安全自動控制（安全接入網關等）接入業務主站。中安全業務人桌面計算機相關，如電力調度運行管理系統、資產管理系統等業務。中安全業務分布廣泛，人機互動頻繁，安全防護需求較高，需通過無線虛擬專網和防火墻接入信息內網，再通過安全接入平臺接入業務主站。通用安全業務是指互聯網大區業務，其安全等級相對最低。主要面向互聯網應用，以移動應用為主，如即時通信軟件、培訓教育等業務。該類業務安全防護需求不高，通過互聯網通道實現接入。5G電力虛擬專網安全風險分析5G電力行業應用產業鏈的成熟度，5G電力虛擬專網存在著一定安全風險，尤其是在終端和模組方面，廠家較少、價格較高、形式單一、業務適配度較差，無法完全滿足電力業務應用需求。應用層面，電力行業應用的業務相關系統中的服務器會生成、處理存儲大量用戶業務系統如果存在用戶標識安全性、數據完整性與機密性等安全問題，遭到黑客攻擊，容易造成用戶數據泄露，用戶隱私將受到威脅，造成較大的社會影響。此外，在復雜的電力場景下，5G5G5G如圖2.1分析，5G電力虛擬專網承載電力業務時可能存在物理攻擊、網絡攻擊、信息泄露、電磁干擾四類風險威脅點，具體風險如表2.1：2.15G電力虛擬專網風險威脅分類及舉例風險威脅未來承載需求（一）物理攻擊定向網絡攻擊基礎設施信息系統，干擾物理系統運行，造成設備損壞和系統癱瘓，如網絡攻擊+物理破壞導致全國停電。MEC、UPFMEC、UPF設備進行破壞、非授權訪問，導致設備損壞、通信中斷等風險。（二）網絡攻擊網絡入侵、計算機病毒等網絡空間攻擊，導致電網的信息系統故障，如蠕蟲網絡攻擊。身份仿冒，通過截獲合法用戶身份信息并假冒該合法用戶的身份訪問網絡篡改，通過非法截獲數據包等方式惡意篡改用戶數據信息。非法訪問，對切片內的資源可能被其他切片中的網絡節點非法訪問，導致切片內部的故障和錯誤，影響可能其他切片的工作。DDOS攻擊目標服務器或網絡基礎設施，導致業務服務不可用設備版本破壞風險，版本文件（包括軟件版本文件（.set）以及補丁文件（.pkg））和固件文件，從發布直到現場進行文件的安裝升級，整個過程存在文件被篡改以及損壞的風險。（三）信息泄露數據泄露，核心網中數據庫存在SQL注入、默認賬戶口令、數據庫平臺漏洞、濫用合法權限、非法提權等風險。5G攻擊者可通過多種手段獲取這些用戶隱私信息。（四）電磁干擾干擾無線工作頻段，通過無線發射器等可干擾無線信道，使通信中斷，導致業務終端“致盲”，脫離管控。5G電力虛擬專網安全需求分析5G5G5G2-25G電力虛擬專網承載電力業務安全需求序號安全風險安全需求安全模式高中通用1物理攻擊監測+響應端到端設備全天候全方位的安全監測、制定安全管理策略、更新漏洞及補丁端到端設備全天候全方位的安全監測、制定安全管理策略、更新漏洞及補丁電力設備的安全監測、制定安全管理策略、更新漏洞及補丁2網絡攻擊隔離+加密物理隔離、電力專用安全加密算法及專用加密認證裝置、多層次認證、增強認證的5G電力通信終端、網絡異常監測強邏輯隔離或物理隔離、電力專用安全加密算法及專用加密認證裝置、多層次認證邏輯隔離、電力專用安全加密算法、5G片認證3信息泄露加密+認證電力專用安全加密算法及專用加密認證裝置、多層次認證、增強認證的5G電力通信終端電力專用安全加密算法及專用加密認證裝置、多層次認證電力專用安全加密算法、5G網絡主認證與切片認證4電磁干擾監測電磁環境在線監測電磁環境在線監測電磁環境在線監測模型中的數據隱私保護主要包括終端數據加密存儲，通信過程中的數據加密傳輸。模型中的數據隱私保護主要包括終端數據加密存儲，通信過程中的數據加密傳輸。模型中的安全認證是指終端身份認證，終端數據與系統授權訪問。5G整體網絡進行監測來識別突發的惡意行為。電磁干擾等事件的處置等。035G電力虛擬專網03本章節重點從隔離、認證、安全監測與響應等應用方面，對高安全業務、中安全業務、通用安全業務三種模式的電力業務開展需求匹配，5G電力虛擬專網的安全參考模型和架構。5G承載電力業務的安全模型基于5G網絡通信能力，以高安全業務、中安全業務、通用安全業務三種模式電力業務為維度，構建了包括隔離、加密、認證、監測、響應等五個方面的安全模型，如下圖所示：5G電力虛擬專網安全模型高安全業務 中安全業務 通用安全業務隔離201510響應 加密50監測 認證3-15G電力虛擬專網安全模型模型中的隔離指對接入網資源（包括基站處理資源和無線頻譜資源）、承載網資源以及核心網資源，按照不同切片方案進行劃分，可包括硬隔離和軟隔離。硬隔離硬隔離接近于物理隔離強度，也稱為類物理隔離。例如為實現生產控制類業務和生產管理類業務的隔離，在無線側使用獨立頻譜、RB資源預留等方式，提供不同無線資源，在傳輸側使用傳輸設備承載信令和用戶面數據，并支持FlexEUPF，控制面建設獨立的專用功能單元，通過安全接入區接入站內的自有業務平臺。軟隔離S-NSSAIRB5QIVPNUPF，VPN加密技術、核心網側是否采用專用網元情況，將軟隔離方式分為強邏輯隔離和普通邏輯隔離兩種方式。2、管道安全：重點是利用2、管道安全：重點是利用5G高強度安全隔離的網絡切片技術和可定制切片管理，為不同安全等級電力業務制定不同的切片策略，提供不同的專網安全保障服務。3、平臺安全：針對不同的電力業務設置不同安全服務區，服務區之間部署防火墻等防護措施防止跨應用攻擊；部署二次認證AAA服務器和邊界網管，防止非法終端接入和惡意攻擊入侵。45G網絡安全能力共享給電力行業的應用，對終端、切片、MECUPF、安全防護設備等進行統一監控，5G電力虛擬專網網絡安全態勢感知。高安全業務應用安全模型高安全業務需采用電力專用通信網絡進行加密傳輸和身份認證，并與其他安全等級的業務在通信網絡上實現類物理隔離的安全防護能力。同一業務內處于低等級安全防護能力的設備和網絡，應當通過必要的安全隔離措施實現與高等級安全防護能力的設備和網絡互聯。高安全業務應在滿足其高實時、密集接入的前提下提供高性能等級的監測能力，并能在網絡故障、受入侵等情況下提供相應業務能力要求的響應恢復能力。中安全業務應用安全模型保證業務系統柜接入的可信性。中安全業務應特別強調滿足視頻監控類業務的安全防護要求。通用安全業務應用安全模型VPN網絡進行傳輸和身份認證，應能監測來自互聯網的攻擊行為，提供與業務相適應的安全防護能力。5G電力虛擬專網總體安全參考架構5G3-23-25G電力虛擬專網總體安全參考架構5G5G5G電力虛擬專網的安全管理能力，以此來滿足不同安全等級的電力業務的需求。1DNN與網絡切片綁定等安全策略。5G安全參考方案本章針對業務需求，根據5G電力虛擬專網需遵循的“安全分區、網絡專用、橫向隔離、縱向認證”基本防護策略要求，在端側、管側、云側等維度，為不同安全等級的電力業務提供不同的安全能力組合及參考方案，具體如下：端到端切片安全隔離，提供電力虛擬專用網絡根據電力業務要求，需在不同安全分區或同一安全分區不同業務之間采用不同強度的隔離手段，例如針對高安全業務采用達到或接近物理5G電力虛擬專網的接入網、傳輸網、核心網等環節采用不同的隔離手段來實現靈活的橫向隔離。接入網隔離5G5QI（5GQualityIdentifier，5GQoS標識符RB（ResourceBlock，資源塊資源預留，RB5G4G的重要特性。根據電網不同業務對隔離性的不同要求，可以采用三類隔離方案：（1）完全共享模式，無線資源完全共享。每個切片不直接參與資源的調度，由一個公共的調度來負責。（2）5QIPRB資源預留技術承載獨占切片業務。（3）完全獨占模式，無線接入網使用獨立的硬件資源和頻譜資源，具備最高的安全性，但是建網成本會大幅增加。傳輸網隔離5G無線接入網和核心網之間的傳輸網絡可通過網絡切片進行業務隔離。不同切片網絡的轉發面彼此隔離，而隔離性取決于采用不同的轉發面切片技術。切片技術分為硬隔離切片和軟隔離切片。硬隔離切片是在L1或光層，基于物理剛性管道的切片技術，如：FlexE技術、OTN技術、WDM技術。L2SRMPLS-TP的隧道/VPNVLAN等的虛擬化技術。在實際應用中，也可以采用混合硬隔離切片、軟隔離切片的方案，硬隔離切片方式保證業務的隔離安全、低時延等需求，軟隔離切片方式支持業務的帶寬復用。核心網隔離5G核心網隔離方案有完全共享、部分獨占和完全獨占三種模式，可依據電網的不同業務類型進行選擇：（1）完全共享模式，與2/3/4G網絡的“一條跑道、盡力而為”一致，適用于對安全無特殊要求的公眾網普通消費者業務。（2）部分獨占模式，少量網元功能獨占與大部分網元功能共享相結合，平衡了安全性與成本，主要適用于高、中兩大類安全類型業務。（3）完全獨占模式，等同于建設一張完整的電力行業專用核心網，具有最高的安全性，建設和運營成本也最高，適用于需要超高安全隔離性而對成本不敏感的特殊業務。在實際組網中，應根據不同業務安全等級和隔離要求來選擇接入網、傳輸網、核心網的隔離方式。例如針對高安全隔離要求的應用，無RBFlexEUPFUPFAMFSMF5QIVPNUPF進行組網。5G保障網絡安全“規劃、建設、運營”三同步。多層次認證體系，滿足縱向認證要求根據電力業務要求，需采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。4GAPN5G電力虛擬專網能夠提供終端接入認證、二次認證等縱向認證措施，以確保終端接入主站的合法性。圖4.1多層次鑒權認證具體手段可包括：USIMIMSIIMEI進行綁定認證，如果二者不匹配則拒絕接入網絡；二次認證：基于3GPP二次認證架構及標準協議完成終端到DN-AAA服務器之間的終端二次鑒權認證，二次認證失敗后則不允許終端訪問電力業務；IPSecVPNVPN數據傳輸通道，實現網絡層雙向身份認證。5G務數據加密和身份認證需求，靈活使用相應的鑒權認證模式，簡化傳統基于硬件安全模塊的通道加密及雙向身份認證模式。云邊協同的安全應用，支撐安全防護及監測5G5GMEC區塊鏈的安全認證模式探索。APPMEC安全防護MEC（MEP+MECMECvFW（虛擬防火墻）APPAPPMECMEC2APPAPPAPP鏡像和鏡像倉庫進行完整性和機密性、訪APP提供包括身份安全、鏡像安全、入侵檢測等的安全防護。5G網絡安全態勢感知電力企業通過部署網絡安全態勢感知系統，集成用戶側安全設備內置的安全探針、運營商安全能力開放平臺開放的網絡安全能力，下發安全策5G5G5G區塊鏈的安全認證模式5G5GPF/MECUPF/MEC的分布式部署、具有算力能力等特征，同樣匹配區塊鏈的去中心化應用特點。5G5G能力開放、MEC5G電力虛擬專網跨域信息上鏈，尤其是基于電力企業、運營商企業的聯盟鏈，在面向配電網終端可信接入、配電網差動保護的局域通信群組成員管理、需求側響應、網荷互動、虛擬電廠、電力市場交易等場景，進一步提高融合信息的防篡改能力及安全可信度。數據加密傳輸5G5G-CPEIPSecVPN現電力系統數據通信應用層協議及報文的處理。此外，5GUPFUPF的傳輸隧道，且不暴露在公網上，保障了用戶通信數據安全。5GN2、N3、N4IPSecVPN隧道對信令面5G電力虛擬專網進行信令攻擊。針對數據泄露、勒索攻擊等數據安全威脅，可通過數據分級分類、敏感數據加密、流量監測等措施，提供覆蓋數據存儲、處理、交換等環節的一體化數據安全防護。安全事件響應智能電網業務及應用系統眾多，對機密性、完整性、可用性、可靠性等方面要求高，而5G新技術多，參與方多，體系復雜，要保證電力業務5G5G智能展監測并給出響應措施。5GMEC5G局域虛擬專網，保證電力業務數據不出園區，達到了較高的安全隔離效果。同時業務數據傳輸過程采取機卡綁定、二次認證、安全模塊認證等技術，實現終端和業務之間的安全傳輸，滿足各類作業終端安全接入的防護要求。高性能的業務應用體驗。5GQos保障性能。換流站連續兩年在5G大帶寬能力保障現場作業管控、安全布控球等設備的實時傳輸，實現多個作業面、大量作業人員的實時安全管控，管MEC本地卸載后直接進入服務器的單向平均傳輸達到了超低時延的通信性能，機器人、無人機等終端的移動視頻傳輸質量及音視頻交互效果顯著提升。055G電力05虛擬專網安全應用5G5G5G5GSA6大類、515G+智能電網應用示范區。PMU等生產控制類業務，以及輸電線路狀態在線監測及視5G電力虛擬專網業務安全應用的創新模式。5GRBleEUPF+MEC設備，實現了電力業務與其它公眾用戶、行業用戶業務的隔離，確保承載生產控制類業務的5G切片具4G網絡下只具備邏輯隔離條件的掣肘，充分滿足電力業務承載的安全性要求。5G的超低時延和精準授時性能，滿足了配網差動保護及配網同步相量測量業務的承載需求。根據PMU授時精度顯著提升，充分滿足了業務承載需求。完善的業務安全監視/5G5G5G應用場景豐富多樣，網絡組網架構復雜多變的背景下，對網絡靈活管控的需求、網絡通道管理的需求、海量5G應用安全、高效、可靠運行。5G電力局域虛擬專網應用案例5G電力局域虛擬專網應用層面，已應用案例在火電廠、換流站等場景，通過共建共享等方式實現了5G網絡全覆蓋，提高智能化運維及管理水平。5Gu