[[417951]]

在新一代科技革命和產(chǎn)業(yè)變革的浪潮下，全球領(lǐng)先國(guó)家無(wú)不將工業(yè)互聯(lián)網(wǎng)作為強(qiáng)化本國(guó)未來(lái)產(chǎn)業(yè)競(jìng)爭(zhēng)力的戰(zhàn)略方向。工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)在于建設(shè)一張能夠滿足工業(yè)生產(chǎn)運(yùn)營(yíng)的高可靠、高性能、高靈活性的網(wǎng)絡(luò)。5G網(wǎng)絡(luò)在無(wú)線新空口能力基礎(chǔ)上利用網(wǎng)絡(luò)切片、邊緣計(jì)算等新技術(shù)，具備了大帶寬、低時(shí)延、廣連接和可定制等特性，與工業(yè)互聯(lián)網(wǎng)的需求相吻合。

“5G+工業(yè)互聯(lián)網(wǎng)”就是利用第五代移動(dòng)通信技術(shù)(5G)滿足工業(yè)智能化發(fā)展對(duì)網(wǎng)絡(luò)的需求。5G與工業(yè)互聯(lián)網(wǎng)的融合創(chuàng)新發(fā)展，將推動(dòng)數(shù)字中國(guó)、智慧社會(huì)建設(shè)，加速中國(guó)新型工業(yè)化進(jìn)程，為中國(guó)經(jīng)濟(jì)發(fā)展注入新動(dòng)能。但5G與工業(yè)互聯(lián)網(wǎng)的深度融合在加速產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型的同時(shí)，也打破了傳統(tǒng)工業(yè)封閉的生產(chǎn)環(huán)境，帶來(lái)了更加嚴(yán)峻的安全挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)安全防護(hù)方式需要從被動(dòng)防護(hù)轉(zhuǎn)向主動(dòng)防御，在此過(guò)程中，運(yùn)營(yíng)商應(yīng)充分發(fā)揮5G網(wǎng)絡(luò)優(yōu)勢(shì)，以5G網(wǎng)絡(luò)安全能力場(chǎng)景化賦能工業(yè)互聯(lián)網(wǎng)安全。

工業(yè)互聯(lián)網(wǎng)行業(yè)安全需求

終端管控安全需求

5G與工業(yè)互聯(lián)網(wǎng)的融合使得海量工業(yè)終端接入工業(yè)互聯(lián)網(wǎng)成為可能。大量工業(yè)終端具有功耗低、計(jì)算和存儲(chǔ)資源有限的特點(diǎn)，難以部署復(fù)雜安全策略。終端設(shè)備的漏洞、后門(mén)等暴露在相對(duì)開(kāi)放的5G網(wǎng)絡(luò)中，容易被利用作為分布式拒絕服務(wù)(DDoS)攻擊源，形成規(guī)?；慕┦W(wǎng)絡(luò)，對(duì)工業(yè)應(yīng)用和后臺(tái)系統(tǒng)等進(jìn)行攻擊，帶來(lái)網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓等安全風(fēng)險(xiǎn)。工業(yè)互聯(lián)網(wǎng)企業(yè)越來(lái)越重視終端管控安全，需要自主可控對(duì)終端的接入進(jìn)行認(rèn)證管理。

數(shù)據(jù)保護(hù)安全需求

工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)、工況狀態(tài)數(shù)據(jù)、外部協(xié)同數(shù)據(jù)等信息一旦泄露，被不法分子濫用、篡改，可引發(fā)系統(tǒng)設(shè)備故障，導(dǎo)致生產(chǎn)安全事故，影響生產(chǎn)經(jīng)營(yíng)安全，甚至威脅公眾安全和國(guó)家安全。隨著工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全重要性的凸顯，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)已成為重點(diǎn)攻擊目標(biāo)，面臨的安全風(fēng)險(xiǎn)日益嚴(yán)峻。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全是保障工業(yè)互聯(lián)網(wǎng)企業(yè)生產(chǎn)經(jīng)營(yíng)正常開(kāi)展、經(jīng)濟(jì)社會(huì)健康發(fā)展和國(guó)家安全切實(shí)保障的重要前提，工業(yè)互聯(lián)網(wǎng)企業(yè)對(duì)提升工業(yè)數(shù)據(jù)的安全防護(hù)水平存在迫切需求。

網(wǎng)絡(luò)隔離安全需求

隨著工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程加速，傳統(tǒng)專網(wǎng)技術(shù)難以滿足工業(yè)互聯(lián)網(wǎng)企業(yè)日新月異的信息化業(yè)務(wù)需求。“5G+工業(yè)互聯(lián)網(wǎng)”在滿足工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)字化轉(zhuǎn)型需求的同時(shí)，也將企業(yè)網(wǎng)絡(luò)從工廠內(nèi)網(wǎng)延伸到外部5G移動(dòng)通信網(wǎng)。傳統(tǒng)工業(yè)封閉生產(chǎn)環(huán)境被打破，工業(yè)互聯(lián)網(wǎng)企業(yè)迫切需要外部5G網(wǎng)絡(luò)提供專屬網(wǎng)絡(luò)通道，與其他公眾網(wǎng)絡(luò)業(yè)務(wù)和行業(yè)應(yīng)用業(yè)務(wù)進(jìn)行安全隔離，保障企業(yè)的業(yè)務(wù)安全。5G網(wǎng)絡(luò)運(yùn)營(yíng)商需要結(jié)合工業(yè)互聯(lián)網(wǎng)行業(yè)用戶的業(yè)務(wù)需求，為其提供量身定制的網(wǎng)絡(luò)服務(wù)。

邊緣計(jì)算安全需求

為了滿足工業(yè)互聯(lián)網(wǎng)低時(shí)延業(yè)務(wù)的需求，引入5G邊緣計(jì)算技術(shù)，將計(jì)算能力和IT服務(wù)環(huán)境下沉到移動(dòng)通信網(wǎng)絡(luò)邊緣，就近向用戶提供服務(wù)。當(dāng)5G核心網(wǎng)網(wǎng)元UPF下沉部署在工業(yè)互聯(lián)網(wǎng)園區(qū)，網(wǎng)絡(luò)邊界模糊，傳統(tǒng)物理邊界防護(hù)難以應(yīng)用。邊緣計(jì)算節(jié)點(diǎn)承載著工業(yè)互聯(lián)網(wǎng)行業(yè)各種應(yīng)用服務(wù)，成為黑客的首選攻擊目標(biāo)，需要完善安全能力，抵抗多種類(lèi)、高強(qiáng)度的網(wǎng)絡(luò)攻擊，為MEC應(yīng)用提供安全的部署環(huán)境。工業(yè)互聯(lián)網(wǎng)企業(yè)需要根據(jù)運(yùn)營(yíng)以及攻擊行為的變化，集中管理編排安全防護(hù)策略，并按需靈活動(dòng)態(tài)地為邊緣計(jì)算應(yīng)用提供安全服務(wù)。

網(wǎng)絡(luò)運(yùn)營(yíng)商“5G+工業(yè)互聯(lián)網(wǎng)”安全能力

如圖1所示，5G網(wǎng)絡(luò)作為工業(yè)互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施，可以提供終端接入安全、用戶數(shù)據(jù)安全、網(wǎng)絡(luò)隔離安全、邊緣計(jì)算安全等能力。

圖1 “5G+工業(yè)互聯(lián)網(wǎng)”典型組網(wǎng)及安全能力

終端接入安全包括終端的接入認(rèn)證和訪問(wèn)控制等?？梢远x多重接入認(rèn)證方式，從網(wǎng)絡(luò)級(jí)認(rèn)證、切片認(rèn)證到數(shù)據(jù)網(wǎng)認(rèn)證，根據(jù)不同的業(yè)務(wù)靈活配置認(rèn)證策略，滿足不同行業(yè)的接入認(rèn)證安全需求。也可以根據(jù)業(yè)務(wù)及位置信息，按照工業(yè)互聯(lián)網(wǎng)行業(yè)個(gè)性化需求，設(shè)置不同的訪問(wèn)控制策略。

用戶數(shù)據(jù)安全包括數(shù)據(jù)傳輸安全和用戶標(biāo)識(shí)安全等?？梢愿鶕?jù)工業(yè)互聯(lián)網(wǎng)企業(yè)需求，定義數(shù)據(jù)加密方式，提供用戶面數(shù)據(jù)保護(hù)及用戶標(biāo)識(shí)隱私保護(hù)。

網(wǎng)絡(luò)隔離安全包括RAN隔離、承載隔離和核心網(wǎng)隔離。5G網(wǎng)絡(luò)可以利用專網(wǎng)技術(shù)和切片技術(shù)等實(shí)現(xiàn)端到端的網(wǎng)絡(luò)安全隔離，為工業(yè)互聯(lián)網(wǎng)企業(yè)提供可定制的安全網(wǎng)絡(luò)。

邊緣計(jì)算安全能力包括邊緣數(shù)據(jù)安全(用戶數(shù)據(jù)不出園區(qū))、APP安全防護(hù)等。部署邊緣計(jì)算安全能力可以滿足工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)不出園區(qū)需求，并防止惡意APP 對(duì) MEP攻擊、APP間非法互訪等安全問(wèn)題。

“5G+工業(yè)互聯(lián)網(wǎng)”安全能力場(chǎng)景化解決方案

終端接入安全

• 切片認(rèn)證

5G網(wǎng)絡(luò)可以通過(guò)切片認(rèn)證，限制特定終端接入工業(yè)互聯(lián)網(wǎng)企業(yè)專屬切片。網(wǎng)絡(luò)切片是一組帶有特定無(wú)線配置和傳輸配置的網(wǎng)絡(luò)功能的集合，可在同一套物理設(shè)備上提供多個(gè)端到端的虛擬網(wǎng)絡(luò)，這些功能可以靈活部署在網(wǎng)絡(luò)的任何節(jié)點(diǎn)(接入、邊緣、核心)。工業(yè)互聯(lián)網(wǎng)企業(yè)使用切片技術(shù)，可對(duì)不同切片間的數(shù)據(jù)進(jìn)行隔離，只有授權(quán)的終端才能訪問(wèn)切片內(nèi)的數(shù)據(jù)，由此保證終端接入安全。

可以通過(guò)配置IMSI(International Mobile Subscriber Identity，國(guó)際移動(dòng)用戶識(shí)別碼)與園區(qū)切片S-NSSAI(Single Network Slice Selection Assistance Information)對(duì)應(yīng)關(guān)系，由AMF(Access and Mobility Management Function，接入和移動(dòng)性管理功能)對(duì)5G工業(yè)互聯(lián)網(wǎng)終端發(fā)起切片接入認(rèn)證流程，限制僅在工業(yè)互聯(lián)網(wǎng)企業(yè)認(rèn)可的IMSI清單內(nèi)的終端才可以接入到企業(yè)專屬切片，確保接入切片終端合法。

• 二次認(rèn)證

面向?qū)K端有多重接入控制需求的工業(yè)互聯(lián)網(wǎng)企業(yè)，5G網(wǎng)絡(luò)可以為其提供底層認(rèn)證通道，由企業(yè)自己選擇或定制具體的認(rèn)證算法和協(xié)議，實(shí)現(xiàn)自主可控的二次認(rèn)證。

5G工業(yè)互聯(lián)網(wǎng)終端在接入工業(yè)互聯(lián)網(wǎng)企業(yè)DN(Data network，數(shù)據(jù)網(wǎng)絡(luò))前，首先需要完成與5G核心網(wǎng)UDM(Unified Data Manager，統(tǒng)一數(shù)據(jù)管理平臺(tái))網(wǎng)元及AUSF(Authentication Server Function，認(rèn)證服務(wù)器功能)網(wǎng)元之間的主認(rèn)證鑒權(quán)流程。主認(rèn)證通過(guò)后，SMF(Session Management Function，會(huì)話管理功能)網(wǎng)元在建立用戶面數(shù)據(jù)通道前，會(huì)根據(jù)簽約信息發(fā)起二次身份認(rèn)證流程。SMF 網(wǎng)元向AAA(Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)) 服務(wù)器發(fā)出認(rèn)證開(kāi)始的消息，并建立起5G工業(yè)互聯(lián)網(wǎng)終端與AAA服務(wù)器之間的認(rèn)證通道，由AAA服務(wù)器對(duì)5G工業(yè)互聯(lián)網(wǎng)終端進(jìn)行二次認(rèn)證。二次認(rèn)證通過(guò)之后，5G 核心網(wǎng)才會(huì)為5G工業(yè)互聯(lián)網(wǎng)終端建立到數(shù)據(jù)網(wǎng)絡(luò)的連接。

AAA 服務(wù)器可以由工業(yè)互聯(lián)網(wǎng)企業(yè)自部署，通過(guò)UPF(User Plane Function，用戶平面功能)網(wǎng)元與SMF網(wǎng)元連接，也可以由5G網(wǎng)絡(luò)運(yùn)營(yíng)商直接部署在通信機(jī)房中與SMF網(wǎng)元連接，5G網(wǎng)絡(luò)運(yùn)營(yíng)商提供云上AAA服務(wù)，工業(yè)互聯(lián)網(wǎng)企業(yè)用戶以租戶形式實(shí)現(xiàn)對(duì)入網(wǎng)終端的二次身份認(rèn)證。

• 業(yè)務(wù)訪問(wèn)控制

5G網(wǎng)絡(luò)運(yùn)營(yíng)商可以將終端標(biāo)識(shí)信息開(kāi)放給工業(yè)互聯(lián)網(wǎng)企業(yè)用戶，將終端標(biāo)識(shí)信息通過(guò)SMF轉(zhuǎn)發(fā)給該企業(yè)業(yè)務(wù)訪問(wèn)控制系統(tǒng)，企業(yè)可以根據(jù)終端標(biāo)識(shí)信息自主實(shí)現(xiàn)業(yè)務(wù)控制。對(duì)于有業(yè)務(wù)訪問(wèn)控制需求，但無(wú)法自部署業(yè)務(wù)訪問(wèn)控制系統(tǒng)的工業(yè)互聯(lián)網(wǎng)企業(yè)，5G網(wǎng)絡(luò)運(yùn)營(yíng)商可以提供云上業(yè)務(wù)訪問(wèn)控制服務(wù)，企業(yè)以租戶形式實(shí)現(xiàn)對(duì)入網(wǎng)終端的業(yè)務(wù)訪問(wèn)控制。

• 終端接入位置控制

5GC維護(hù)IMSI與工業(yè)互聯(lián)網(wǎng)園區(qū)切片S-NSSAI對(duì)應(yīng)關(guān)系和TAI與園區(qū)切片S-NSSAI對(duì)應(yīng)關(guān)系兩類(lèi)清單。當(dāng)規(guī)劃園區(qū)TAI list屬于5G網(wǎng)絡(luò)運(yùn)營(yíng)商大網(wǎng)TAI list的子集時(shí)，可實(shí)現(xiàn)終端進(jìn)入園區(qū)以后允許使用園區(qū)業(yè)務(wù)和大網(wǎng)業(yè)務(wù)，離開(kāi)園區(qū)以后僅允許訪問(wèn)大網(wǎng)業(yè)務(wù)。當(dāng)園區(qū)TAI list獨(dú)立規(guī)劃，不與5G網(wǎng)絡(luò)運(yùn)營(yíng)商大網(wǎng)TAI list有重合時(shí)，可實(shí)現(xiàn)終端僅允許使用園區(qū)業(yè)務(wù)，離開(kāi)園區(qū)以后不允許訪問(wèn)園區(qū)業(yè)務(wù)，也不允許訪問(wèn)大網(wǎng)業(yè)務(wù)。對(duì)于有更高終端位置精度需求的工業(yè)互聯(lián)網(wǎng)企業(yè)，5G網(wǎng)絡(luò)運(yùn)營(yíng)商也可以結(jié)合5G蜂窩網(wǎng)絡(luò)定位能力，提供終端位置服務(wù)。

用戶數(shù)據(jù)安全

• 數(shù)據(jù)傳輸安全

對(duì)于工業(yè)互聯(lián)網(wǎng)敏感業(yè)務(wù)數(shù)據(jù)，5G網(wǎng)絡(luò)可以保障用戶面空口數(shù)據(jù)傳輸安全。5G基站gNodeB根據(jù)5G核心網(wǎng)網(wǎng)元SMF發(fā)送的安全策略，可以激活開(kāi)啟UE(User Equipment,用戶設(shè)備)和gNodeB之間的用戶面數(shù)據(jù)的機(jī)密性保護(hù)、完整性保護(hù)和防重放保護(hù)，保護(hù)空口用戶面數(shù)據(jù)傳輸安全。

• 用戶標(biāo)識(shí)安全

針對(duì)用戶標(biāo)識(shí)在網(wǎng)絡(luò)上明文傳輸，讓黑客有機(jī)會(huì)在空口竊取用戶標(biāo)識(shí)，威脅用戶隱私安全的問(wèn)題，5G網(wǎng)絡(luò)運(yùn)營(yíng)商可以提供用戶標(biāo)識(shí)隱私保護(hù)服務(wù)。工業(yè)互聯(lián)網(wǎng)終端使用內(nèi)置5G網(wǎng)絡(luò)公鑰的5G SIM卡，將SUPI(SUbscription Permanent Identifie，用戶永久標(biāo)識(shí)符)加密為SUCI(SUbscription Concealed Identifie，用戶隱藏標(biāo)識(shí))傳輸，加密后的SUCI只能通過(guò)在5G核心網(wǎng)中的私鑰解密，可有效杜絕在網(wǎng)絡(luò)傳輸過(guò)程中暴露用戶標(biāo)識(shí)。

網(wǎng)絡(luò)安全隔離

• 無(wú)線接入網(wǎng)隔離

無(wú)線接入網(wǎng)的隔離主要面向無(wú)線頻譜資源和基站處理資源，利用專網(wǎng)技術(shù)或者切片技術(shù)實(shí)現(xiàn)，主要實(shí)現(xiàn)方式為獨(dú)立基站、頻譜獨(dú)享、PRB(Physical Resource Block，物理資源塊)獨(dú)享等。

面向最高安全等級(jí)(比如工業(yè)控制類(lèi))應(yīng)用或者僅僅服務(wù)工業(yè)互聯(lián)網(wǎng)應(yīng)用的局部區(qū)域，比如礦山、無(wú)人工廠等，可以采用獨(dú)立基站的形式實(shí)現(xiàn)RAN隔離。面向較高資源隔離和業(yè)務(wù)質(zhì)量保障需求的工業(yè)互聯(lián)網(wǎng)應(yīng)用，可以采用資源頻譜獨(dú)享的方式，在運(yùn)營(yíng)商頻譜資源中劃分出一部分，單獨(dú)分配給工業(yè)互聯(lián)網(wǎng)應(yīng)用服務(wù)。面向有一定資源隔離和業(yè)務(wù)質(zhì)量保障需求的工業(yè)互聯(lián)網(wǎng)應(yīng)用，可以采用PRB獨(dú)享的方式，配置一定比例的PRB給工業(yè)互聯(lián)網(wǎng)應(yīng)用切片專用，PRB 的正交性保證了切片的隔離性。

• 承載網(wǎng)隔離

承載網(wǎng)隔離主要實(shí)現(xiàn)方式有FlexE 隔離和VLAN 隔離。FlexE隔離基于時(shí)隙調(diào)度將一個(gè)物理以太網(wǎng)端口劃分為多個(gè)以太網(wǎng)彈性管道(邏輯端口)，使得承載網(wǎng)絡(luò)具備類(lèi)似于時(shí)分復(fù)用的獨(dú)占時(shí)隙、隔離性好的特性。VLAN 隔離通過(guò)VLAN 標(biāo)簽與網(wǎng)絡(luò)切片標(biāo)識(shí)的映射實(shí)現(xiàn)，根據(jù)切片標(biāo)識(shí)為不同的切片數(shù)據(jù)映射封裝不同的VLAN 標(biāo)簽，通過(guò)VLAN 隔離實(shí)現(xiàn)切片的承載隔離。

• 核心網(wǎng)隔離

5G核心網(wǎng)由很多種不同網(wǎng)絡(luò)功能的虛擬化網(wǎng)元構(gòu)建，可以針對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)不同的安全需求，采用多重隔離機(jī)制。主要實(shí)現(xiàn)方式有以下4種。

一是CPF和UPF獨(dú)享，主要面向電網(wǎng)等安全需求最高的場(chǎng)景。在該方式下核心網(wǎng)的所有控制面網(wǎng)元(包括AMF、AUSF、 UDM、UDR、PCF、SMF)、用戶面網(wǎng)元UPF均為工業(yè)互聯(lián)網(wǎng)行業(yè)用戶專用獨(dú)享。

二是CPF部分獨(dú)享、UPF獨(dú)享，主要面向工業(yè)控制等有較高網(wǎng)絡(luò)安全隔離需求的工業(yè)互聯(lián)網(wǎng)企業(yè)。在該方式下核心網(wǎng)的控制面網(wǎng)元部分獨(dú)享，用戶面網(wǎng)元UPF為工業(yè)互聯(lián)網(wǎng)行業(yè)用戶專用獨(dú)享。UPF可根據(jù)容量、時(shí)延等要求，選擇在核心機(jī)房或者邊緣機(jī)房建設(shè)。

三是CPF全部共享、UPF獨(dú)享，主要面向工廠、園區(qū)等有一定數(shù)據(jù)安全隔離要求，且對(duì)UPF部署位置有嚴(yán)格要求的工業(yè)互聯(lián)網(wǎng)企業(yè)。在該方式下核心網(wǎng)的控制面網(wǎng)元全部共享，用戶面網(wǎng)元UPF 新建，為工業(yè)互聯(lián)網(wǎng)行業(yè)用戶專用獨(dú)享，可部署在工業(yè)互聯(lián)網(wǎng)企業(yè)園區(qū)。

四是CPF和UPF全部共享，切片虛擬資源隔離，主要面向有一定數(shù)據(jù)安全隔離需求，對(duì)UPF部署位置無(wú)要求的工業(yè)互聯(lián)網(wǎng)行業(yè)用戶。在該方式下核心網(wǎng)的控制面網(wǎng)元、用戶面網(wǎng)元UPF全部共享為工業(yè)互聯(lián)網(wǎng)行業(yè)用戶服務(wù)，通過(guò)切片進(jìn)行虛擬資源隔離。

邊緣計(jì)算安全能力

• 數(shù)據(jù)不出園

企業(yè)數(shù)據(jù)對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)至關(guān)重要，工業(yè)互聯(lián)網(wǎng)企業(yè)對(duì)用戶面數(shù)據(jù)不出園區(qū)具有強(qiáng)烈需求。對(duì)此，運(yùn)營(yíng)商可以通過(guò)數(shù)據(jù)不出園的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)及出園數(shù)據(jù)的識(shí)別阻斷，為工業(yè)互聯(lián)網(wǎng)企業(yè)提供數(shù)據(jù)不出園服務(wù)。5G網(wǎng)絡(luò)運(yùn)營(yíng)商可以將5G用戶面網(wǎng)元UPF部署在工業(yè)互聯(lián)網(wǎng)園區(qū)，通過(guò)工業(yè)互聯(lián)網(wǎng)終端簽約約束，實(shí)現(xiàn)用戶面數(shù)據(jù)不出園。在UPF的信令管理面部署流量探針，智能分析并識(shí)別，僅信令及OM相關(guān)數(shù)據(jù)可以流出，確保沒(méi)有業(yè)務(wù)數(shù)據(jù)流出工業(yè)互聯(lián)網(wǎng)園區(qū)。

• APP安全防護(hù)

在邊緣計(jì)算平臺(tái)開(kāi)放架構(gòu)下，工業(yè)互聯(lián)網(wǎng)企業(yè)非常關(guān)注對(duì)第三方APP的安全防護(hù)。APP安全防護(hù)包括APP網(wǎng)絡(luò)安全隔離、APP訪問(wèn)控制和應(yīng)用清單安全管理等。對(duì)于共享物理鏈路的不同APP，在網(wǎng)絡(luò)層應(yīng)進(jìn)行邏輯區(qū)隔，實(shí)現(xiàn)MEP與APP、APP與APP的安全隔離，并部署不同的vFW(Virtual Fire Wall，虛擬防火墻)等進(jìn)行防護(hù)?？梢詰?yīng)用存儲(chǔ)加密、鏡像加密及完整性校驗(yàn)等手段，防止因APP之間訪問(wèn)無(wú)防護(hù)導(dǎo)致的容器級(jí)攻擊、資源層橫向移動(dòng)攻擊、應(yīng)用層攻擊和業(yè)務(wù)流量攻擊。可以采集MEC資產(chǎn)清單，對(duì)租戶的文件和APP開(kāi)展安全分析，進(jìn)行應(yīng)用黑白名單管理。

5G為工業(yè)互聯(lián)網(wǎng)企業(yè)提供了網(wǎng)絡(luò)連接和計(jì)算處理平臺(tái)等方面的支撐。安全是確保工業(yè)互聯(lián)網(wǎng)在各生產(chǎn)領(lǐng)域能夠落地實(shí)施的前提，更是產(chǎn)業(yè)安全和國(guó)家安全的重要基礎(chǔ)和保障。我們必須高度重視工業(yè)互聯(lián)網(wǎng)安全，以5G自身安全能力為基礎(chǔ)，結(jié)合工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)特征與運(yùn)營(yíng)模式，提供具有針對(duì)性的安全防護(hù)方案，增強(qiáng)工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力。