基于蜂窝网络的工业无线通信规范 第4部分：安全要求 征求意见稿

1GB/T42126—4基于蜂窝网络的工业无线通信规范第4部分安全要求本文件规定了基于蜂窝网络的工业无线通信系统的安全要求，包括安全需求分析、安全设计要求、安全功能要求。本文件适用于基于蜂窝网络的工业无线通信系统的安全规划建设、运行管理与测试评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T30976.1工业控制系统信息安全第1部分：评估规范GB/T42126.1-2022基于蜂窝网络的工业无线通信规范第1部分：通用技术要求GB/T9387.1—1998信息技术开放系统互连基本参考模型第1部分:基本模型ISO27000信息技术安全技术信息安全管理体系概述和术语ISO/IEC27002信息技术安全技术信息安全管理实施规程ISO/IEC27005信息技术安全技术信息安全风险管理IEC62443工业通信网络网络与系统安全3术语和定义GB/T42126.1-2022、GB/T9387.1-1998界定的以及下列术语和定义适用于本文件。3.1信息域cyberdomain信息的产生、传输、处理和存储等过程涉及的范围。3.2物理域physicaldomain工业现场参与生产等制造过程涉及的基础设施的范围。4缩略语GB/T42126.1-2022界定的及下列缩略语适用于本文件。UPF：用户面功能（UserPlaneFunction）MEC：多接入边缘计算（Multi-accessEdgeComputing）SLA：服务等级协议（ServiceLevelAgreement）GB/T42126—42AS：接入层（AccessStratum）NAS：非接入层（Non-AccessStratum）NRF：网络仓储功能（NetworkRepositoryFunction）5安全需求分析5.1工业蜂窝网络的威胁引入点蜂窝网络技术的引入使得工业系统安全边界模糊，将可能导致已有安全防护系统失效。威胁引入点是工业系统与蜂窝网络基站的接入点，如图1所示，安全威胁通过蜂窝网络威胁引入点并利用传播途径对工业系统造成威胁。通过对工业系统进行信息域和物理域的划分，可将安全威胁引入点归结为以下几类：a)信息域安全边界外的接入点。此情况下，工业系统原有安全防护措施（例如边界防火墙等）均起作用；b)信息域安全边界内的接入点。此情况下，工业系统原有安全防护措施部分失效，安全威胁可能通过系统信息域内部直接传播；c)物理域安全边界内的接入点。此情况下，工业系统原有安全防护措施大部分失效，安全威胁可直接威胁到制造本体。图1工业蜂窝网络的威胁引入点示意图5.2风险评估应综合考虑蜂窝网络引入的威胁对工业系统造成的安全风险，包括经济、健康、安全、环境等因素。评估原则和方法可参考IEC62443、GB/T30976等。5.3工业蜂窝网络安全能力分配应根据工业蜂窝网络对工控系统带来额外的安全风险评估结果，确定工业蜂窝网络安全能力分配：a)如果风险计算值在可接受的范围内，可仅保留工业工业蜂窝网络的基本安全功能；b)如果风险评估值在可接受的范围外，但是低于不可接受范围的下限值，可适当适当增加工业工业蜂窝网络的安全功能；GB/T42126—43c)如果风险计算值在达到不可接受的程度，应增强工业蜂窝网络的安全功能，以防止安全威胁的引入。应保证工业蜂窝网络在所需安全功能开启状态下，仍能满足工业应用的性能和质量要求。若无法保证，则应关闭部分安全功能以优先满足工业应用的通信要求，并引入补偿措施。6安全设计要求6.1总体要求6.1.1多域多类业务承载应通过各类工业网络切片，边缘计算等方式为不同类型工业业务配置相应的网络服务体系，提供不同的SLA保障，实现多类业务同时按需承载。6.1.2数据安全保障应通过UPF等网络分流手段和切片安全隔离等措施来保障工业数据的安全隔离传输，同时需将现有工业蜂窝网络的认证鉴权、数据加密、数据完整性等安全手段与业务安全融合，形成统一的数据安全保障措施。6.1.3与现有系统深度融合应在保证数据安全前提下和生产系统现有信息网、控制网充分融合，打通生产全域数据，和企业互联网深度结合。6.1.4自主运营运维工业用户可通过平台实现对网络的自主运营和运维的能力。6.2功能安全要求应在工业蜂窝网络相关设备上实施功能安全措施，旨在确保工业蜂窝网络设备及其相关功能在正常工作和异常情况下能保持高度可靠并保护系统和人员的安全。6.3安全架构要求面向行业工业蜂窝网络安全架构应保障核心业务不出厂区，并针对不同生产业务需求采用不同的网络架构方案，以满足系统安全防护要求，其中：1）对于只需要用户面数据流进行安全保障的企业，宜将核心网下沉UPF到园区来实现本地业务分流到企业内网，保障业务不出厂区；2）对于安全防护需求较高的企业，应确保网络控制信令不出厂区，将全套工业蜂窝核心网元（控制面+用户面）整体下沉到厂区。7安全功能要求7.1接入安全7.1.1总体要求宜基于身份、权限、信任等级和安全策略等进行动态判定。GB/T42126—4应支持蜂窝终端设备的接入认证。宜支持蜂窝终端设备的批量接入认证。7.1.2可信认证要求当数据流通过边界设备提供的受控接口在蜂窝网络和工业自动化和控制系统通信网络之间通信时：1）在工业网络侧，采用可信验证机制对接入到工业网络中的设备和用户进行可信验证，保证接入工业网络的设备和用户真实可信；2）在蜂窝网络侧，限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络；3）在蜂窝工业网络中，验证终端身份，确定用户是否被信任，对工业网络中的内部用户非授权联到蜂窝网络的行为或非授权设备私自联到工业网络的行为进行检查或限制。7.1.3AS层信令安全1）工业蜂窝专网gNB应开启AS层信令机密和完整性保护2）工业蜂窝专网gNB应支持机密性保护和完整性保护算法优先级配置，且完整性保护算法配置7.1.4NAS层信令安全1）工业蜂窝专网应开启NAS层机密和完整性保护2）工业蜂窝专网核心网应支持机密性保护和完整性保护算法优先级配置。7.1.5核心网服务化接口安全1）工业蜂窝专网核心网的NF间服务化接口应支持3GPP标准要求的HTTP2.0协议及参数配置，支持使用TLS提供安全保护的能力2）工业蜂窝专网应支持NF注册、发现和授权能力，如使用NRF进行注册和授权，则确保仅在NRF中注册且被授权的NF，才可以访问其他NF，未合法注册或授权的NF无法访问其他NF7.2工业边缘网络安全7.2.1硬件环境安全边缘计算系统机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员，机柜应具备电子防拆封功能，应记录、审计打开、关闭机柜的行为。MEC服务器基于TPM硬件可信根启动和安全运行，确保启动链安全，防止被植入后门。7.2.2虚拟化安全工业蜂窝网络MEC在使用虚拟化技术时，应做好虚拟化安全防护，具体包括宿主机安全、镜像安全、虚拟机安全、容器安全。7.2.3组网安全应支持管理、业务和存储三平面物理/逻辑隔离。对于业务安全要求不高的场景，可支持三平面逻辑隔离；对于业务安全要求级别高并且资源充足的场景，应支持三平面物理隔离。应支持安全域划分，行业客户App应与运营App、MEP、UPF处于不同的安全域，安全域之间应进行安全隔离。行业客户的应用之间、运营商自有应用之间也应进行安全隔离。应具备边界访问控制安全能力，边缘云支持部署安全访问控制措施，可防止攻击者的非法访GB/T42126—457.2.4UPF安全边缘UPF应支持启停/链路中断告警。UPF应支持信令面/用户面流量控制机制，以确保其在收到大量攻击报文时不会产生异常。边缘UPF应支持IPSec加密、访问控制等安全功能。UPF应支持分流策略安全机制，可进行分流策略的配置、冲突检测和告警。边缘UPF应支持对MECAPP的访问控制机制。UPF应支持对UE的互访限制和访问控制。7.2.5MEP安全应支持MEP启停告警，当MEP重启/断电后，维护终端/网管上均能生成告警记录。应支持MEPAPI调用安全，MECAPP对MEP的API调用需经过认证和授权。应支持MEP与MECAPP的通信安全，对接入MEP的MECAPP进行安全认证、访问控制、操作审计和生命周期管理，对通信内容采用传输加密机制或协议。应支持MEP中虚拟机运行情况检测，可及时发现安全威胁。7.2.6功能安全应对边缘设备进行全面的风险分析，以识别潜在的安全风险和威胁，确定安全功能的需求。应基于风险分析结果，从硬件和软件层面确定并实施适当的安全功能，如故障检测与诊断、安全停止功能等，确保设备在异常情况下能够安全停止或进入安全状态。应对实施的安全功能进行验证和验证，以确保其在正常和故障模式下的正确性和有效性，包括模拟测试、设备现场测试和系统级测试等。边缘功能安全应与网络安全策略相结合，采取适当的网络保护措施，如防火墙、加密、身份验证等，以确保边缘设备的网络连接不会对其功能安全造成威胁。7.3工业切片安全7.3.1总体要求应基于工业安全隔离要求和需要保障的关键SLA选择不同类型的切片，并进行参数配置。工业切片隔离方案可参照GB/T22239-2019相关标准制定。7.3.2工业切片隔离RAN隔离1）高安全等级的工业控制类切片应采用独立的基站或者频谱独享。2）非高安全等级的工业切片则根据安全需求通过PRB独享、DRB共享、以及5QI优先级调度等多种方式组合来实现。承载网隔离1）对于一般工业应用可基于现有网络机制在承载侧通过切片软隔离方式实现。2）对于工业控制应用等对时延和安全保障较高的业务可在承载侧通过切片硬隔离方式实现。核心网隔离宜采用多重隔离机制实现核心网侧的隔离。例如，CPF独占共享，UPF独占共享；CPF部分共享，UPF独占共享；CPF全部共享，UPF独享。7.3.3工业切片访问控制GB/T42126—4应支持终端接入请求安全，确保UE能按网络允许访问的切片发起切片请求。应支持切片内NF安全访问控制机制。应支持安全域划分，应在切片管理域、切片运维域、切片与企业园区之间、切片与MEC之间设置隔离和访问控制措施。7.3.4工业切片身份认证应支持防终端NSSAI篡改攻击、防UE非授权跨切片访问攻击、防UE跨切片数据包重放攻击。切片管理接口、切片内部网元应支持双向身份认证机制，防止因非法访问导致信息泄露等安全问题。切片应支持差异化的身份认证机制，可根据网元的重要性以及不同业务的安全要求，提供对等的身份认证等级，满足不同切片用户的安全要求。对于安全性要求一般的切片，仅提供主认证框架，对于安全性要求较高的切片，可支持二次认证或切片认证。网络切片管理系统和认证授权服务器应支持最小权限管理，只授予用户所需的最小权限，使其只能操作和监控自己的切片资源。7.3.5工业切片功能安全应对工业切片进行全面的安全性评估和风险分析，识别潜在的安全风险，确定安全功能来减轻风险。应从硬件和软件层面对工业切片进行系统级的安全功能设计，宜包括切片设备故障检测、故障恢复功能，安全限制功能等。应对实施的安全功能进行验证和验证，确保切片设备在正常和故障模式下的正确性和有效性，宜包括模拟测试、设备现场测试和系统级测试等。应采用加密通信、身份认证和访问控制等安全措施，确保数据传输的机密性、完整性和可靠性，确保工业切片设备与其他设备之间的通信是安全的，防止信息安全影响功能安全。7.4工业边缘网络能力开放安全7.4.1访问控制能力开放平台或者能力开放网元与行业网络之间应配置安全隔离和访问控制措施。7.4.2差异化机制应建立网络能力差异化开放机制，可结合实际应用场景需求，为行业用户提供差异化的工业蜂窝网络能力（包括安全能力）开放权限。7.4.3接口保护应具备工业蜂窝网络能力开放接口安全保护能力，针对工业蜂窝网络能力开放接口建立相关安全机制和防护措施，比如API认证、加密传输、日志审计等。7.5端到端数据安全7.5.1接入认证在用户接入网络时所做认证之后，宜采用切片二次认证机制为接入特定业务建立数据通道。7.5.2访问控制7应遵循最小权限授权原则，为不同用户分配不同的数据操作权限。7.5.3数据传输安全应采用工业蜂窝网络的AES（高级加密标准AdvancedEncryptionStandard）、SNOW3G（3GPP流密码算法）、ZUC（祖冲之密码算法）等业界公认的算法进行传输数据加密。宜采用基于会话的加密机制，按需配置加密算法与密钥强度。在工业数据产生和处理过程中，应根据数据的敏感度进行分类，建立不同安全域间的加密传输链路。应采用数据加密、完整性校验，保证工业数据在空口、UE和MEC之间的安全传输，比如建立IPSec/SSLVPN隧道，预防数据被嗅探窃取、篡改等威胁。7.5.4数据安全管理应结合UPF分流技术及内部边界安全隔离，实现数据不出园区。应对数据使用方进行授权和验证，保证数据使用的目的和范围符合安全策略。应对重要业务数据的使用进行审计。7.5.5数据安全管理制度应根据《数据安全法》《个人信息保护法》等建立数据安全和个人信息安全管理制度，建立健全设备清单更新、应用定期核查、风险台账管理等风险管理机制。7.5.6数据分级分类应根据所属行业的数据分类分级方法，开展业务数据分类分级。7.5.7数据全生命周期安全应根据《数据安全法》的相关要求做好在数据采集、存储、传输、使用、开放共享、销毁阶段的安全管理。7.5.8网络数据安全应做对终端设备数据、工业生产数据、密钥、MEC平台数据、行业应用数据开展数据安全防护。7.6安全管理要求7.6.1集中管控应划分独立的安全运维区域，建立安全的信息传输路径，对网络中的安全设备进行集中管控。应对链路、网络设备、服务器和工业现场设备运行状况进行监控并能够告警。应对安全策略、恶意代码、补丁升级进行