1GB/T42126—4基于蜂窩網絡的工業無線通信規范第4部分安全要求本文件規定了基于蜂窩網絡的工業無線通信系統的安全要求，包括安全需求分析、安全設計要求、安全功能要求。本文件適用于基于蜂窩網絡的工業無線通信系統的安全規劃建設、運行管理與測試評估。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T30976.1工業控制系統信息安全第1部分：評估規范GB/T42126.1-2022基于蜂窩網絡的工業無線通信規范第1部分：通用技術要求GB/T9387.1—1998信息技術開放系統互連基本參考模型第1部分:基本模型ISO27000信息技術安全技術信息安全管理體系概述和術語ISO/IEC27002信息技術安全技術信息安全管理實施規程ISO/IEC27005信息技術安全技術信息安全風險管理IEC62443工業通信網絡網絡與系統安全3術語和定義GB/T42126.1-2022、GB/T9387.1-1998界定的以及下列術語和定義適用于本文件。3.1信息域cyberdomain信息的產生、傳輸、處理和存儲等過程涉及的范圍。3.2物理域physicaldomain工業現場參與生產等制造過程涉及的基礎設施的范圍。4縮略語GB/T42126.1-2022界定的及下列縮略語適用于本文件。UPF：用戶面功能（UserPlaneFunction）MEC：多接入邊緣計算（Multi-accessEdgeComputing）SLA：服務等級協議（ServiceLevelAgreement）GB/T42126—42AS：接入層（AccessStratum）NAS：非接入層（Non-AccessStratum）NRF：網絡倉儲功能（NetworkRepositoryFunction）5安全需求分析5.1工業蜂窩網絡的威脅引入點蜂窩網絡技術的引入使得工業系統安全邊界模糊，將可能導致已有安全防護系統失效。威脅引入點是工業系統與蜂窩網絡基站的接入點，如圖1所示，安全威脅通過蜂窩網絡威脅引入點并利用傳播途徑對工業系統造成威脅。通過對工業系統進行信息域和物理域的劃分，可將安全威脅引入點歸結為以下幾類：a)信息域安全邊界外的接入點。此情況下，工業系統原有安全防護措施（例如邊界防火墻等）均起作用；b)信息域安全邊界內的接入點。此情況下，工業系統原有安全防護措施部分失效，安全威脅可能通過系統信息域內部直接傳播；c)物理域安全邊界內的接入點。此情況下，工業系統原有安全防護措施大部分失效，安全威脅可直接威脅到制造本體。圖1工業蜂窩網絡的威脅引入點示意圖5.2風險評估應綜合考慮蜂窩網絡引入的威脅對工業系統造成的安全風險，包括經濟、健康、安全、環境等因素。評估原則和方法可參考IEC62443、GB/T30976等。5.3工業蜂窩網絡安全能力分配應根據工業蜂窩網絡對工控系統帶來額外的安全風險評估結果，確定工業蜂窩網絡安全能力分配：a)如果風險計算值在可接受的范圍內，可僅保留工業工業蜂窩網絡的基本安全功能；b)如果風險評估值在可接受的范圍外，但是低于不可接受范圍的下限值，可適當適當增加工業工業蜂窩網絡的安全功能；GB/T42126—43c)如果風險計算值在達到不可接受的程度，應增強工業蜂窩網絡的安全功能，以防止安全威脅的引入。應保證工業蜂窩網絡在所需安全功能開啟狀態下，仍能滿足工業應用的性能和質量要求。若無法保證，則應關閉部分安全功能以優先滿足工業應用的通信要求，并引入補償措施。6安全設計要求6.1總體要求6.1.1多域多類業務承載應通過各類工業網絡切片，邊緣計算等方式為不同類型工業業務配置相應的網絡服務體系，提供不同的SLA保障，實現多類業務同時按需承載。6.1.2數據安全保障應通過UPF等網絡分流手段和切片安全隔離等措施來保障工業數據的安全隔離傳輸，同時需將現有工業蜂窩網絡的認證鑒權、數據加密、數據完整性等安全手段與業務安全融合，形成統一的數據安全保障措施。6.1.3與現有系統深度融合應在保證數據安全前提下和生產系統現有信息網、控制網充分融合，打通生產全域數據，和企業互聯網深度結合。6.1.4自主運營運維工業用戶可通過平臺實現對網絡的自主運營和運維的能力。6.2功能安全要求應在工業蜂窩網絡相關設備上實施功能安全措施，旨在確保工業蜂窩網絡設備及其相關功能在正常工作和異常情況下能保持高度可靠并保護系統和人員的安全。6.3安全架構要求面向行業工業蜂窩網絡安全架構應保障核心業務不出廠區，并針對不同生產業務需求采用不同的網絡架構方案，以滿足系統安全防護要求，其中：1）對于只需要用戶面數據流進行安全保障的企業，宜將核心網下沉UPF到園區來實現本地業務分流到企業內網，保障業務不出廠區；2）對于安全防護需求較高的企業，應確保網絡控制信令不出廠區，將全套工業蜂窩核心網元（控制面+用戶面）整體下沉到廠區。7安全功能要求7.1接入安全7.1.1總體要求宜基于身份、權限、信任等級和安全策略等進行動態判定。GB/T42126—4應支持蜂窩終端設備的接入認證。宜支持蜂窩終端設備的批量接入認證。7.1.2可信認證要求當數據流通過邊界設備提供的受控接口在蜂窩網絡和工業自動化和控制系統通信網絡之間通信時：1）在工業網絡側，采用可信驗證機制對接入到工業網絡中的設備和用戶進行可信驗證，保證接入工業網絡的設備和用戶真實可信；2）在蜂窩網絡側，限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡；3）在蜂窩工業網絡中，驗證終端身份，確定用戶是否被信任，對工業網絡中的內部用戶非授權聯到蜂窩網絡的行為或非授權設備私自聯到工業網絡的行為進行檢查或限制。7.1.3AS層信令安全1）工業蜂窩專網gNB應開啟AS層信令機密和完整性保護2）工業蜂窩專網gNB應支持機密性保護和完整性保護算法優先級配置，且完整性保護算法配置7.1.4NAS層信令安全1）工業蜂窩專網應開啟NAS層機密和完整性保護2）工業蜂窩專網核心網應支持機密性保護和完整性保護算法優先級配置。7.1.5核心網服務化接口安全1）工業蜂窩專網核心網的NF間服務化接口應支持3GPP標準要求的HTTP2.0協議及參數配置，支持使用TLS提供安全保護的能力2）工業蜂窩專網應支持NF注冊、發現和授權能力，如使用NRF進行注冊和授權，則確保僅在NRF中注冊且被授權的NF，才可以訪問其他NF，未合法注冊或授權的NF無法訪問其他NF7.2工業邊緣網絡安全7.2.1硬件環境安全邊緣計算系統機房出入口應配置電子門禁系統，控制、鑒別和記錄進入的人員，機柜應具備電子防拆封功能，應記錄、審計打開、關閉機柜的行為。MEC服務器基于TPM硬件可信根啟動和安全運行，確保啟動鏈安全，防止被植入后門。7.2.2虛擬化安全工業蜂窩網絡MEC在使用虛擬化技術時，應做好虛擬化安全防護，具體包括宿主機安全、鏡像安全、虛擬機安全、容器安全。7.2.3組網安全應支持管理、業務和存儲三平面物理/邏輯隔離。對于業務安全要求不高的場景，可支持三平面邏輯隔離；對于業務安全要求級別高并且資源充足的場景，應支持三平面物理隔離。應支持安全域劃分，行業客戶App應與運營App、MEP、UPF處于不同的安全域，安全域之間應進行安全隔離。行業客戶的應用之間、運營商自有應用之間也應進行安全隔離。應具備邊界訪問控制安全能力，邊緣云支持部署安全訪問控制措施，可防止攻擊者的非法訪GB/T42126—457.2.4UPF安全邊緣UPF應支持啟停/鏈路中斷告警。UPF應支持信令面/用戶面流量控制機制，以確保其在收到大量攻擊報文時不會產生異常。邊緣UPF應支持IPSec加密、訪問控制等安全功能。UPF應支持分流策略安全機制，可進行分流策略的配置、沖突檢測和告警。邊緣UPF應支持對MECAPP的訪問控制機制。UPF應支持對UE的互訪限制和訪問控制。7.2.5MEP安全應支持MEP啟停告警，當MEP重啟/斷電后，維護終端/網管上均能生成告警記錄。應支持MEPAPI調用安全，MECAPP對MEP的API調用需經過認證和授權。應支持MEP與MECAPP的通信安全，對接入MEP的MECAPP進行安全認證、訪問控制、操作審計和生命周期管理，對通信內容采用傳輸加密機制或協議。應支持MEP中虛擬機運行情況檢測，可及時發現安全威脅。7.2.6功能安全應對邊緣設備進行全面的風險分析，以識別潛在的安全風險和威脅，確定安全功能的需求。應基于風險分析結果，從硬件和軟件層面確定并實施適當的安全功能，如故障檢測與診斷、安全停止功能等，確保設備在異常情況下能夠安全停止或進入安全狀態。應對實施的安全功能進行驗證和驗證，以確保其在正常和故障模式下的正確性和有效性，包括模擬測試、設備現場測試和系統級測試等。邊緣功能安全應與網絡安全策略相結合，采取適當的網絡保護措施，如防火墻、加密、身份驗證等，以確保邊緣設備的網絡連接不會對其功能安全造成威脅。7.3工業切片安全7.3.1總體要求應基于工業安全隔離要求和需要保障的關鍵SLA選擇不同類型的切片，并進行參數配置。工業切片隔離方案可參照GB/T22239-2019相關標準制定。7.3.2工業切片隔離RAN隔離1）高安全等級的工業控制類切片應采用獨立的基站或者頻譜獨享。2）非高安全等級的工業切片則根據安全需求通過PRB獨享、DRB共享、以及5QI優先級調度等多種方式組合來實現。承載網隔離1）對于一般工業應用可基于現有網絡機制在承載側通過切片軟隔離方式實現。2）對于工業控制應用等對時延和安全保障較高的業務可在承載側通過切片硬隔離方式實現。核心網隔離宜采用多重隔離機制實現核心網側的隔離。例如，CPF獨占共享，UPF獨占共享；CPF部分共享，UPF獨占共享；CPF全部共享，UPF獨享。7.3.3工業切片訪問控制GB/T42126—4應支持終端接入請求安全，確保UE能按網絡允許訪問的切片發起切片請求。應支持切片內NF安全訪問控制機制。應支持安全域劃分，應在切片管理域、切片運維域、切片與企業園區之間、切片與MEC之間設置隔離和訪問控制措施。7.3.4工業切片身份認證應支持防終端NSSAI篡改攻擊、防UE非授權跨切片訪問攻擊、防UE跨切片數據包重放攻擊。切片管理接口、切片內部網元應支持雙向身份認證機制，防止因非法訪問導致信息泄露等安全問題。切片應支持差異化的身份認證機制，可根據網元的重要性以及不同業務的安全要求，提供對等的身份認證等級，滿足不同切片用戶的安全要求。對于安全性要求一般的切片，僅提供主認證框架，對于安全性要求較高的切片，可支持二次認證或切片認證。網絡切片管理系統和認證授權服務器應支持最小權限管理，只授予用戶所需的最小權限，使其只能操作和監控自己的切片資源。7.3.5工業切片功能安全應對工業切片進行全面的安全性評估和風險分析，識別潛在的安全風險，確定安全功能來減輕風險。應從硬件和軟件層面對工業切片進行系統級的安全功能設計，宜包括切片設備故障檢測、故障恢復功能，安全限制功能等。應對實施的安全功能進行驗證和驗證，確保切片設備在正常和故障模式下的正確性和有效性，宜包括模擬測試、設備現場測試和系統級測試等。應采用加密通信、身份認證和訪問控制等安全措施，確保數據傳輸的機密性、完整性和可靠性，確保工業切片設備與其他設備之間的通信是安全的，防止信息安全影響功能安全。7.4工業邊緣網絡能力開放安全7.4.1訪問控制能力開放平臺或者能力開放網元與行業網絡之間應配置安全隔離和訪問控制措施。7.4.2差異化機制應建立網絡能力差異化開放機制，可結合實際應用場景需求，為行業用戶提供差異化的工業蜂窩網絡能力（包括安全能力）開放權限。7.4.3接口保護應具備工業蜂窩網絡能力開放接口安全保護能力，針對工業蜂窩網絡能力開放接口建立相關安全機制和防護措施，比如API認證、加密傳輸、日志審計等。7.5端到端數據安全7.5.1接入認證在用戶接入網絡時所做認證之后，宜采用切片二次認證機制為接入特定業務建立數據通道。7.5.2訪問控制7應遵循最小權限授權原則，為不同用戶分配不同的數據操作權限。7.5.3數據傳輸安全應采用工業蜂窩網絡的AES（高級加密標準AdvancedEncryptionStandard）、SNOW3G（3GPP流密碼算法）、ZUC（祖沖之密碼算法）等業界公認的算法進行傳輸數據加密。宜采用基于會話的加密機制，按需配置加密算法與密鑰強度。在工業數據產生和處理過程中，應根據數據的敏感度進行分類，建立不同安全域間的加密傳輸鏈路。應采用數據加密、完整性校驗，保證工業數據在空口、UE和MEC之間的安全傳輸，比如建立IPSec/SSLVPN隧道，預防數據被嗅探竊取、篡改等威脅。7.5.4數據安全管理應結合UPF分流技術及內部邊界安全隔離，實現數據不出園區。應對數據使用方進行授權和驗證，保證數據使用的目的和范圍符合安全策略。應對重要業務數據的使用進行審計。7.5.5數據安全管理制度應根據《數據安全法》《個人信息保護法》等建立數據安全和個人信息安全管理制度，建立健全設備清單更新、應用定期核查、風險臺賬管理等風險管理機制。7.5.6數據分級分類應根據所屬行業的數據分類分級方法，開展業務數據分類分級。7.5.7數據全生命周期安全應根據《數據安全法》的相關要求做好在數據采集、存儲、傳輸、使用、開放共享、銷毀階段的安全管理。7.5.8網絡數據安全應做對終端設備數據、工業生產數據、密鑰、MEC平臺數據、行業應用數據開展數據安全防護。7.6安全管理要求7.6.1集中管控應劃分獨立的安全運維區域，建立安全的信息傳輸路徑，對網絡中的安全設備進行集中管控。應對鏈路、網絡設備、服務器和工業現場設備運行狀況進行監控并能夠告警。應對安全策略、惡意代碼、補丁升級進行