踐行智慧安全3. 0，助力“5G+工業網際網路”安全發展

一、“5G+工業網際網路”新趨勢

從國家戰略規劃層面來看，數字化轉型是十四五期間的一個重要目標，5G和工業網際網路作為新基建的兩個重要方向為數字化轉型提供了強大推力，其中網路安全建設更是保障數字化轉型穩步推進的重要力量。

要實現整個社會的數字化轉型，網路化是首要條件。我們通常所說的網際網路更多指的是消費網際網路，而工業網際網路作為數字化轉型的重要基礎，發展相對滯後。當前，大多數企業實現了辦公自動化、資訊化升級，但從資訊產業化連通的角度來看，各個系統之間、各個企業之間還是資訊孤島的狀態。數字化轉型首先需要推動深度網路化的發展，將人、物、裝置連線起來，打通上下游產業鏈。此時，工業網際網路成為實現深度網路化的重要方式。

5G作為新一代資訊通訊技術演進升級的重要方向，是滿足工業場景下特殊應用場景連線需求的重要支撐技術。工業生產中的各種影像、影片、以及執行控制資料非常龐雜，同時對資料互動的運動性、低時延等提出很高的要求，此時必須透過5G的超大頻寬、超低時延、高可靠性以及海量連線等特性，將資料及時回傳和下發，實現數字世界和物理世界的同步。

在已有成熟的網路化和資訊化技術的基礎上，大力發展“5G+工業網際網路”，成為實現社會數字化轉型的關鍵突破點所在。同時，結合數字化及智慧化技術，推動物理世界與數字世界的全面對映和資訊同步，最終實現生產力的高速提升。

二、“5G+工業網際網路”的安全挑戰

“5G+工業網際網路”的應用和落地，打破了傳統工業生產相對封閉可信的網路環境。技術的融合將大量ICT領域的威脅和挑戰帶入工業OT網路，病毒、木馬、高階持續性攻擊等安全風險一旦在工業網際網路中爆發，將會造成巨大經濟損失，並可能帶來環境災難和人員傷亡，甚至危及公眾安全和國家安全。

“5G+工業網際網路”與傳統的工控系統安全和網際網路安全相比，除了傳統意義上的安全威脅以外（如：邊界安全、主機安全、應用安全、資料安全等），其安全挑戰主要來自以下三個方面。

2.1 新技術的應用帶來技術場景安全挑戰

一方面，5G作為新一代行動通訊技術，採用了眾多的新技術，如SBA、NFV/SDN、MEC、網路切片技術等。新技術在帶來網路能力全面升級的同時，也使得網路邊界變得模糊、網路的風險點不斷增加，加劇了資訊洩露、資料竊取的風險。

另一方面，隨著工業網際網路工作的推進和落地，日益開放的網路在造成大量工業網際網路裝置暴露在網際網路上的同時，工業網際網路平臺和標識解析體系的部署和應用也給安全防護體系建設帶來了新的技術場景安全需求。

面對5G與工業網際網路技術的融合，我們除了看到數字化能力全面升級以外，還應該看到新技術不斷應用所帶來的新技術場景安全問題。在不斷挖掘技術潛力的同時，更應該關注安全能力的建設和融合。 

2.2 新的業務模式帶來業務場景安全挑戰

著眼5G核心網，在SBA、NFV/SDN、網路切片等技術背景下，其信令業務互動模式相較於前幾代網路也發生了本質的變化。網元功能分離、自動化編排等能力在進一步提升行動通訊網路靈活度和適應性的同時，也引入了信令風暴、網元違規訪問等核心網業務安全問題。著眼5G垂直行業應用層面，除了傳統的網站、郵箱等應用業務安全問題之外，AR/VR、智慧駕駛等新的應用業務場景也使得安全的範疇在不斷擴大。

著眼工業網際網路領域：一方面，千行百業業務應用的網路安全需求存在巨大的差異性；另一方面，IT/OT的跨界融合，使得生產安全管理和網路安全管理的界限變得模糊，企業的控制和操作安全受到威脅，網路攻擊從IT層滲透到OT層，造成了工業系統業務中斷等風險。

產業的創新和升級是“5G+工業網際網路”的根本目的和必然結果，我們一定要重視業務應用層面安全問題的解決，以保障產業健康穩定的發展。 

2.3 安全運營能力不足帶來攻防對抗安全挑戰

工業網際網路裝置具有種類繁多、數量巨大、而安全能力薄弱等特點。同時，工業裝置軟體更新緩慢、使用者及裝置廠商通常無法及時發現或修復漏洞，最終造成裝置漏洞較多。裝置漏洞的存在進一步使得攻擊者更容易利用其構建完整的攻擊鏈路，更容易製造病毒長期危害工業網際網路安全的問題。近幾年全球水電、核電、製造等重要行業的企業遭受病毒攻擊和感染的事件眾多，大範圍停電、生產線停擺等重大問題不斷出現。

傳統封閉的工業網路使得企業對網路安全問題重視度不高，而隨著工業網際網路的不斷推進和落地，聯網程度的不斷提高，在工業網際網路裝置的安全狀態不能快速改變的現狀下，安全運營能力的高低成為衡量工業網際網路安全整體水平的重要方面。

三、智慧安全3.0，助力“5G+工業網際網路”安全

“智慧安全3.0”理念是綠盟科技在數字化經濟形勢下對網路安全面臨的新挑戰的觀察和對未來發展的深度思考，是基於自身多年安全實踐所提出來的創新型安全理念體系。該理念的提出旨在構建“全場景、可信任、實戰化”的體系化安全能力，達到“全面防護，智慧分析，自動響應”的防護效果。

聚焦“5G+工業網際網路”所面臨的安全挑戰，綠盟科技以場景安全為切入點，突出可信任、實戰化的安全防護思想，著力構建“5G+工業網際網路”新場景下的安全防護體系，為推進社會數字化轉型保駕護航。

3.1 綠盟科技5G安全防護體系

綠盟科技5G安全防護體系充分考慮傳統防護理念和創新安全理念的深度融合。在深入理解5G安全需求的基礎上，結合多年的網路安全技術和經驗積累，創新性地提出了“以集中化態勢分析為核心、以全方位安全防護體系建設為根本”的“3+X”5G安全整體防護思路，著力打造智慧、敏捷的5G安全運營閉環。總體安全體系架構如下圖所示。

一方面，整體思路著眼於5G網路的全域安全防護體系建設，實現針對終端域安全、邊緣域安全、核心域安全、應用域安全和管理域安全的全覆蓋。透過傳統安全產品和技術的升級和改造，以及針對性的創新研究和突破，實現安全能力與5G安全需求的完美適配。

另一方面，著力打造集中化態勢分析系統，以大資料分析為基礎，實現針對5G基礎設施安全（維度1）、5G網路服務安全（維度2）以及通用應用安全（維度3）3個方面的態勢分析，並重點研究5G與各垂直行業的融合安全，實現針對千行百業特殊應用的垂直行業應用態勢分析（維度X）。

整體防護思路以態勢分析作為核心分析和處理的決策點，以防護體系作為態勢分析決策的執行點，同時也作為感知點為態勢分析提供源源不斷的資料支撐。兩大體系雙向聯動，最終實現智慧、敏捷的安全運營閉環打造。

3.2 綠盟科技工業網際網路安全防護體系

綠盟科技工業網際網路安全防護體系，是由安全基礎設施、安全運營、安全管理和政府/行業安全監管四個組成部分構建的一體化動態綜合防禦體系。總體安全體系架構如下圖所示。 

工業網際網路安全防護體系圍繞工業網際網路平臺、網路、資料、主機、接入等方面構建整體安全防護保障體系。對工業網際網路平臺邊緣層、工業IaaS層、工業PaaS層、工業SaaS層面臨的突出安全風險進行深度分析，應用工業網際網路平臺安全防護核心技術，形成抗DDoS、虛擬機器逃逸、映象篡改、資料竊取與篡改等安全防護手段。利用縱深防禦安全能力模型，形成邊界安全、業務和應用安全、資料安全的工業網際網路平臺整體解決方案，從而形成完整的防攻擊、防病毒、防入侵、防竊密、防控制等綜合安全防禦能力。

同時，透過對工業網際網路平臺流量、主機、裝置等進行全面、可靠的網路安全監測分析，形成對工業網際網路的綜合安全態勢監管能力保障，從威脅識別、通報預警、風險評估、應急響應、溯源分析等方面對工業網際網路平臺各類威脅進行研判分析和處置，構建工業網際網路企業對其安全的視覺化監管、風險管控、處置和分析的全方位安全運營體系，為工業網際網路平臺可持續運營提供先導性的安全決策與分析手段。

另外，透過完善對工業物聯網裝置的安全接入和認證能力，借鑑“零信任”網路安全防護體系建設思想，從平臺邊緣層使用者、裝置和資料接入層面，有效提升工業網際網路平臺的接入安全保障水平。

四、總結

“創新驅動發展，加快發展現代產業體系”是當前我國現代化建設過程中的一個重要主題。在新基建的大背景下，5G與工業網際網路的深度融合成為現代化產業體系創新升級的重要動力。此時，構建“5G+工業網際網路”的安全體系，全面提升網路安全防護水平已經在產業界形成共識。面對經濟社會轉型過程中迫切的安全需求，綠盟科技願與各方共同攜手，實現共贏，為保障數字新基建的可持續健康發展共同努力。