基于蜂窩網(wǎng)絡(luò)的工業(yè)無線通信規(guī)范 第4部分：安全要求 征求意見稿

1GB/T42126—4基于蜂窩網(wǎng)絡(luò)的工業(yè)無線通信規(guī)范第4部分安全要求本文件規(guī)定了基于蜂窩網(wǎng)絡(luò)的工業(yè)無線通信系統(tǒng)的安全要求，包括安全需求分析、安全設(shè)計要求、安全功能要求。本文件適用于基于蜂窩網(wǎng)絡(luò)的工業(yè)無線通信系統(tǒng)的安全規(guī)劃建設(shè)、運行管理與測試評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T30976.1工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范GB/T42126.1-2022基于蜂窩網(wǎng)絡(luò)的工業(yè)無線通信規(guī)范第1部分：通用技術(shù)要求GB/T9387.1—1998信息技術(shù)開放系統(tǒng)互連基本參考模型第1部分:基本模型ISO27000信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語ISO/IEC27002信息技術(shù)安全技術(shù)信息安全管理實施規(guī)程ISO/IEC27005信息技術(shù)安全技術(shù)信息安全風(fēng)險管理IEC62443工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)與系統(tǒng)安全3術(shù)語和定義GB/T42126.1-2022、GB/T9387.1-1998界定的以及下列術(shù)語和定義適用于本文件。3.1信息域cyberdomain信息的產(chǎn)生、傳輸、處理和存儲等過程涉及的范圍。3.2物理域physicaldomain工業(yè)現(xiàn)場參與生產(chǎn)等制造過程涉及的基礎(chǔ)設(shè)施的范圍。4縮略語GB/T42126.1-2022界定的及下列縮略語適用于本文件。UPF：用戶面功能（UserPlaneFunction）MEC：多接入邊緣計算（Multi-accessEdgeComputing）SLA：服務(wù)等級協(xié)議（ServiceLevelAgreement）GB/T42126—42AS：接入層（AccessStratum）NAS：非接入層（Non-AccessStratum）NRF：網(wǎng)絡(luò)倉儲功能（NetworkRepositoryFunction）5安全需求分析5.1工業(yè)蜂窩網(wǎng)絡(luò)的威脅引入點蜂窩網(wǎng)絡(luò)技術(shù)的引入使得工業(yè)系統(tǒng)安全邊界模糊，將可能導(dǎo)致已有安全防護系統(tǒng)失效。威脅引入點是工業(yè)系統(tǒng)與蜂窩網(wǎng)絡(luò)基站的接入點，如圖1所示，安全威脅通過蜂窩網(wǎng)絡(luò)威脅引入點并利用傳播途徑對工業(yè)系統(tǒng)造成威脅。通過對工業(yè)系統(tǒng)進行信息域和物理域的劃分，可將安全威脅引入點歸結(jié)為以下幾類：a)信息域安全邊界外的接入點。此情況下，工業(yè)系統(tǒng)原有安全防護措施（例如邊界防火墻等）均起作用；b)信息域安全邊界內(nèi)的接入點。此情況下，工業(yè)系統(tǒng)原有安全防護措施部分失效，安全威脅可能通過系統(tǒng)信息域內(nèi)部直接傳播；c)物理域安全邊界內(nèi)的接入點。此情況下，工業(yè)系統(tǒng)原有安全防護措施大部分失效，安全威脅可直接威脅到制造本體。圖1工業(yè)蜂窩網(wǎng)絡(luò)的威脅引入點示意圖5.2風(fēng)險評估應(yīng)綜合考慮蜂窩網(wǎng)絡(luò)引入的威脅對工業(yè)系統(tǒng)造成的安全風(fēng)險，包括經(jīng)濟、健康、安全、環(huán)境等因素。評估原則和方法可參考IEC62443、GB/T30976等。5.3工業(yè)蜂窩網(wǎng)絡(luò)安全能力分配應(yīng)根據(jù)工業(yè)蜂窩網(wǎng)絡(luò)對工控系統(tǒng)帶來額外的安全風(fēng)險評估結(jié)果，確定工業(yè)蜂窩網(wǎng)絡(luò)安全能力分配：a)如果風(fēng)險計算值在可接受的范圍內(nèi)，可僅保留工業(yè)工業(yè)蜂窩網(wǎng)絡(luò)的基本安全功能；b)如果風(fēng)險評估值在可接受的范圍外，但是低于不可接受范圍的下限值，可適當適當增加工業(yè)工業(yè)蜂窩網(wǎng)絡(luò)的安全功能；GB/T42126—43c)如果風(fēng)險計算值在達到不可接受的程度，應(yīng)增強工業(yè)蜂窩網(wǎng)絡(luò)的安全功能，以防止安全威脅的引入。應(yīng)保證工業(yè)蜂窩網(wǎng)絡(luò)在所需安全功能開啟狀態(tài)下，仍能滿足工業(yè)應(yīng)用的性能和質(zhì)量要求。若無法保證，則應(yīng)關(guān)閉部分安全功能以優(yōu)先滿足工業(yè)應(yīng)用的通信要求，并引入補償措施。6安全設(shè)計要求6.1總體要求6.1.1多域多類業(yè)務(wù)承載應(yīng)通過各類工業(yè)網(wǎng)絡(luò)切片，邊緣計算等方式為不同類型工業(yè)業(yè)務(wù)配置相應(yīng)的網(wǎng)絡(luò)服務(wù)體系，提供不同的SLA保障，實現(xiàn)多類業(yè)務(wù)同時按需承載。6.1.2數(shù)據(jù)安全保障應(yīng)通過UPF等網(wǎng)絡(luò)分流手段和切片安全隔離等措施來保障工業(yè)數(shù)據(jù)的安全隔離傳輸，同時需將現(xiàn)有工業(yè)蜂窩網(wǎng)絡(luò)的認證鑒權(quán)、數(shù)據(jù)加密、數(shù)據(jù)完整性等安全手段與業(yè)務(wù)安全融合，形成統(tǒng)一的數(shù)據(jù)安全保障措施。6.1.3與現(xiàn)有系統(tǒng)深度融合應(yīng)在保證數(shù)據(jù)安全前提下和生產(chǎn)系統(tǒng)現(xiàn)有信息網(wǎng)、控制網(wǎng)充分融合，打通生產(chǎn)全域數(shù)據(jù)，和企業(yè)互聯(lián)網(wǎng)深度結(jié)合。6.1.4自主運營運維工業(yè)用戶可通過平臺實現(xiàn)對網(wǎng)絡(luò)的自主運營和運維的能力。6.2功能安全要求應(yīng)在工業(yè)蜂窩網(wǎng)絡(luò)相關(guān)設(shè)備上實施功能安全措施，旨在確保工業(yè)蜂窩網(wǎng)絡(luò)設(shè)備及其相關(guān)功能在正常工作和異常情況下能保持高度可靠并保護系統(tǒng)和人員的安全。6.3安全架構(gòu)要求面向行業(yè)工業(yè)蜂窩網(wǎng)絡(luò)安全架構(gòu)應(yīng)保障核心業(yè)務(wù)不出廠區(qū)，并針對不同生產(chǎn)業(yè)務(wù)需求采用不同的網(wǎng)絡(luò)架構(gòu)方案，以滿足系統(tǒng)安全防護要求，其中：1）對于只需要用戶面數(shù)據(jù)流進行安全保障的企業(yè)，宜將核心網(wǎng)下沉UPF到園區(qū)來實現(xiàn)本地業(yè)務(wù)分流到企業(yè)內(nèi)網(wǎng)，保障業(yè)務(wù)不出廠區(qū)；2）對于安全防護需求較高的企業(yè)，應(yīng)確保網(wǎng)絡(luò)控制信令不出廠區(qū)，將全套工業(yè)蜂窩核心網(wǎng)元（控制面+用戶面）整體下沉到廠區(qū)。7安全功能要求7.1接入安全7.1.1總體要求宜基于身份、權(quán)限、信任等級和安全策略等進行動態(tài)判定。GB/T42126—4應(yīng)支持蜂窩終端設(shè)備的接入認證。宜支持蜂窩終端設(shè)備的批量接入認證。7.1.2可信認證要求當數(shù)據(jù)流通過邊界設(shè)備提供的受控接口在蜂窩網(wǎng)絡(luò)和工業(yè)自動化和控制系統(tǒng)通信網(wǎng)絡(luò)之間通信時：1）在工業(yè)網(wǎng)絡(luò)側(cè)，采用可信驗證機制對接入到工業(yè)網(wǎng)絡(luò)中的設(shè)備和用戶進行可信驗證，保證接入工業(yè)網(wǎng)絡(luò)的設(shè)備和用戶真實可信；2）在蜂窩網(wǎng)絡(luò)側(cè)，限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)；3）在蜂窩工業(yè)網(wǎng)絡(luò)中，驗證終端身份，確定用戶是否被信任，對工業(yè)網(wǎng)絡(luò)中的內(nèi)部用戶非授權(quán)聯(lián)到蜂窩網(wǎng)絡(luò)的行為或非授權(quán)設(shè)備私自聯(lián)到工業(yè)網(wǎng)絡(luò)的行為進行檢查或限制。7.1.3AS層信令安全1）工業(yè)蜂窩專網(wǎng)gNB應(yīng)開啟AS層信令機密和完整性保護2）工業(yè)蜂窩專網(wǎng)gNB應(yīng)支持機密性保護和完整性保護算法優(yōu)先級配置，且完整性保護算法配置7.1.4NAS層信令安全1）工業(yè)蜂窩專網(wǎng)應(yīng)開啟NAS層機密和完整性保護2）工業(yè)蜂窩專網(wǎng)核心網(wǎng)應(yīng)支持機密性保護和完整性保護算法優(yōu)先級配置。7.1.5核心網(wǎng)服務(wù)化接口安全1）工業(yè)蜂窩專網(wǎng)核心網(wǎng)的NF間服務(wù)化接口應(yīng)支持3GPP標準要求的HTTP2.0協(xié)議及參數(shù)配置，支持使用TLS提供安全保護的能力2）工業(yè)蜂窩專網(wǎng)應(yīng)支持NF注冊、發(fā)現(xiàn)和授權(quán)能力，如使用NRF進行注冊和授權(quán)，則確保僅在NRF中注冊且被授權(quán)的NF，才可以訪問其他NF，未合法注冊或授權(quán)的NF無法訪問其他NF7.2工業(yè)邊緣網(wǎng)絡(luò)安全7.2.1硬件環(huán)境安全邊緣計算系統(tǒng)機房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員，機柜應(yīng)具備電子防拆封功能，應(yīng)記錄、審計打開、關(guān)閉機柜的行為。MEC服務(wù)器基于TPM硬件可信根啟動和安全運行，確保啟動鏈安全，防止被植入后門。7.2.2虛擬化安全工業(yè)蜂窩網(wǎng)絡(luò)MEC在使用虛擬化技術(shù)時，應(yīng)做好虛擬化安全防護，具體包括宿主機安全、鏡像安全、虛擬機安全、容器安全。7.2.3組網(wǎng)安全應(yīng)支持管理、業(yè)務(wù)和存儲三平面物理/邏輯隔離。對于業(yè)務(wù)安全要求不高的場景，可支持三平面邏輯隔離；對于業(yè)務(wù)安全要求級別高并且資源充足的場景，應(yīng)支持三平面物理隔離。應(yīng)支持安全域劃分，行業(yè)客戶App應(yīng)與運營App、MEP、UPF處于不同的安全域，安全域之間應(yīng)進行安全隔離。行業(yè)客戶的應(yīng)用之間、運營商自有應(yīng)用之間也應(yīng)進行安全隔離。應(yīng)具備邊界訪問控制安全能力，邊緣云支持部署安全訪問控制措施，可防止攻擊者的非法訪GB/T42126—457.2.4UPF安全邊緣UPF應(yīng)支持啟停/鏈路中斷告警。UPF應(yīng)支持信令面/用戶面流量控制機制，以確保其在收到大量攻擊報文時不會產(chǎn)生異常。邊緣UPF應(yīng)支持IPSec加密、訪問控制等安全功能。UPF應(yīng)支持分流策略安全機制，可進行分流策略的配置、沖突檢測和告警。邊緣UPF應(yīng)支持對MECAPP的訪問控制機制。UPF應(yīng)支持對UE的互訪限制和訪問控制。7.2.5MEP安全應(yīng)支持MEP啟停告警，當MEP重啟/斷電后，維護終端/網(wǎng)管上均能生成告警記錄。應(yīng)支持MEPAPI調(diào)用安全，MECAPP對MEP的API調(diào)用需經(jīng)過認證和授權(quán)。應(yīng)支持MEP與MECAPP的通信安全，對接入MEP的MECAPP進行安全認證、訪問控制、操作審計和生命周期管理，對通信內(nèi)容采用傳輸加密機制或協(xié)議。應(yīng)支持MEP中虛擬機運行情況檢測，可及時發(fā)現(xiàn)安全威脅。7.2.6功能安全應(yīng)對邊緣設(shè)備進行全面的風(fēng)險分析，以識別潛在的安全風(fēng)險和威脅，確定安全功能的需求。應(yīng)基于風(fēng)險分析結(jié)果，從硬件和軟件層面確定并實施適當?shù)陌踩δ?，如故障檢測與診斷、安全停止功能等，確保設(shè)備在異常情況下能夠安全停止或進入安全狀態(tài)。應(yīng)對實施的安全功能進行驗證和驗證，以確保其在正常和故障模式下的正確性和有效性，包括模擬測試、設(shè)備現(xiàn)場測試和系統(tǒng)級測試等。邊緣功能安全應(yīng)與網(wǎng)絡(luò)安全策略相結(jié)合，采取適當?shù)木W(wǎng)絡(luò)保護措施，如防火墻、加密、身份驗證等，以確保邊緣設(shè)備的網(wǎng)絡(luò)連接不會對其功能安全造成威脅。7.3工業(yè)切片安全7.3.1總體要求應(yīng)基于工業(yè)安全隔離要求和需要保障的關(guān)鍵SLA選擇不同類型的切片，并進行參數(shù)配置。工業(yè)切片隔離方案可參照GB/T22239-2019相關(guān)標準制定。7.3.2工業(yè)切片隔離RAN隔離1）高安全等級的工業(yè)控制類切片應(yīng)采用獨立的基站或者頻譜獨享。2）非高安全等級的工業(yè)切片則根據(jù)安全需求通過PRB獨享、DRB共享、以及5QI優(yōu)先級調(diào)度等多種方式組合來實現(xiàn)。承載網(wǎng)隔離1）對于一般工業(yè)應(yīng)用可基于現(xiàn)有網(wǎng)絡(luò)機制在承載側(cè)通過切片軟隔離方式實現(xiàn)。2）對于工業(yè)控制應(yīng)用等對時延和安全保障較高的業(yè)務(wù)可在承載側(cè)通過切片硬隔離方式實現(xiàn)。核心網(wǎng)隔離宜采用多重隔離機制實現(xiàn)核心網(wǎng)側(cè)的隔離。例如，CPF獨占共享，UPF獨占共享；CPF部分共享，UPF獨占共享；CPF全部共享，UPF獨享。7.3.3工業(yè)切片訪問控制GB/T42126—4應(yīng)支持終端接入請求安全，確保UE能按網(wǎng)絡(luò)允許訪問的切片發(fā)起切片請求。應(yīng)支持切片內(nèi)NF安全訪問控制機制。應(yīng)支持安全域劃分，應(yīng)在切片管理域、切片運維域、切片與企業(yè)園區(qū)之間、切片與MEC之間設(shè)置隔離和訪問控制措施。7.3.4工業(yè)切片身份認證應(yīng)支持防終端NSSAI篡改攻擊、防UE非授權(quán)跨切片訪問攻擊、防UE跨切片數(shù)據(jù)包重放攻擊。切片管理接口、切片內(nèi)部網(wǎng)元應(yīng)支持雙向身份認證機制，防止因非法訪問導(dǎo)致信息泄露等安全問題。切片應(yīng)支持差異化的身份認證機制，可根據(jù)網(wǎng)元的重要性以及不同業(yè)務(wù)的安全要求，提供對等的身份認證等級，滿足不同切片用戶的安全要求。對于安全性要求一般的切片，僅提供主認證框架，對于安全性要求較高的切片，可支持二次認證或切片認證。網(wǎng)絡(luò)切片管理系統(tǒng)和認證授權(quán)服務(wù)器應(yīng)支持最小權(quán)限管理，只授予用戶所需的最小權(quán)限，使其只能操作和監(jiān)控自己的切片資源。7.3.5工業(yè)切片功能安全應(yīng)對工業(yè)切片進行全面的安全性評估和風(fēng)險分析，識別潛在的安全風(fēng)險，確定安全功能來減輕風(fēng)險。應(yīng)從硬件和軟件層面對工業(yè)切片進行系統(tǒng)級的安全功能設(shè)計，宜包括切片設(shè)備故障檢測、故障恢復(fù)功能，安全限制功能等。應(yīng)對實施的安全功能進行驗證和驗證，確保切片設(shè)備在正常和故障模式下的正確性和有效性，宜包括模擬測試、設(shè)備現(xiàn)場測試和系統(tǒng)級測試等。應(yīng)采用加密通信、身份認證和訪問控制等安全措施，確保數(shù)據(jù)傳輸?shù)臋C密性、完整性和可靠性，確保工業(yè)切片設(shè)備與其他設(shè)備之間的通信是安全的，防止信息安全影響功能安全。7.4工業(yè)邊緣網(wǎng)絡(luò)能力開放安全7.4.1訪問控制能力開放平臺或者能力開放網(wǎng)元與行業(yè)網(wǎng)絡(luò)之間應(yīng)配置安全隔離和訪問控制措施。7.4.2差異化機制應(yīng)建立網(wǎng)絡(luò)能力差異化開放機制，可結(jié)合實際應(yīng)用場景需求，為行業(yè)用戶提供差異化的工業(yè)蜂窩網(wǎng)絡(luò)能力（包括安全能力）開放權(quán)限。7.4.3接口保護應(yīng)具備工業(yè)蜂窩網(wǎng)絡(luò)能力開放接口安全保護能力，針對工業(yè)蜂窩網(wǎng)絡(luò)能力開放接口建立相關(guān)安全機制和防護措施，比如API認證、加密傳輸、日志審計等。7.5端到端數(shù)據(jù)安全7.5.1接入認證在用戶接入網(wǎng)絡(luò)時所做認證之后，宜采用切片二次認證機制為接入特定業(yè)務(wù)建立數(shù)據(jù)通道。7.5.2訪問控制7應(yīng)遵循最小權(quán)限授權(quán)原則，為不同用戶分配不同的數(shù)據(jù)操作權(quán)限。7.5.3數(shù)據(jù)傳輸安全應(yīng)采用工業(yè)蜂窩網(wǎng)絡(luò)的AES（高級加密標準AdvancedEncryptionStandard）、SNOW3G（3GPP流密碼算法）、ZUC（祖沖之密碼算法）等業(yè)界公認的算法進行傳輸數(shù)據(jù)加密。宜采用基于會話的加密機制，按需配置加密算法與密鑰強度。在工業(yè)數(shù)據(jù)產(chǎn)生和處理過程中，應(yīng)根據(jù)數(shù)據(jù)的敏感度進行分類，建立不同安全域間的加密傳輸鏈路。應(yīng)采用數(shù)據(jù)加密、完整性校驗，保證工業(yè)數(shù)據(jù)在空口、UE和MEC之間的安全傳輸，比如建立IPSec/SSLVPN隧道，預(yù)防數(shù)據(jù)被嗅探竊取、篡改等威脅。7.5.4數(shù)據(jù)安全管理應(yīng)結(jié)合UPF分流技術(shù)及內(nèi)部邊界安全隔離，實現(xiàn)數(shù)據(jù)不出園區(qū)。應(yīng)對數(shù)據(jù)使用方進行授權(quán)和驗證，保證數(shù)據(jù)使用的目的和范圍符合安全策略。應(yīng)對重要業(yè)務(wù)數(shù)據(jù)的使用進行審計。7.5.5數(shù)據(jù)安全管理制度應(yīng)根據(jù)《數(shù)據(jù)安全法》《個人信息保護法》等建立數(shù)據(jù)安全和個人信息安全管理制度，建立健全設(shè)備清單更新、應(yīng)用定期核查、風(fēng)險臺賬管理等風(fēng)險管理機制。7.5.6數(shù)據(jù)分級分類應(yīng)根據(jù)所屬行業(yè)的數(shù)據(jù)分類分級方法，開展業(yè)務(wù)數(shù)據(jù)分類分級。7.5.7數(shù)據(jù)全生命周期安全應(yīng)根據(jù)《數(shù)據(jù)安全法》的相關(guān)要求做好在數(shù)據(jù)采集、存儲、傳輸、使用、開放共享、銷毀階段的安全管理。7.5.8網(wǎng)絡(luò)數(shù)據(jù)安全應(yīng)做對終端設(shè)備數(shù)據(jù)、工業(yè)生產(chǎn)數(shù)據(jù)、密鑰、MEC平臺數(shù)據(jù)、行業(yè)應(yīng)用數(shù)據(jù)開展數(shù)據(jù)安全防護。7.6安全管理要求7.6.1集中管控應(yīng)劃分獨立的安全運維區(qū)域，建立安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備進行集中管控。應(yīng)對鏈路、網(wǎng)絡(luò)設(shè)備、服務(wù)器和工業(yè)現(xiàn)場設(shè)備運行狀況進行監(jiān)控并能夠告警。應(yīng)對安全策略、惡意代碼、補丁升級進行