5G 电力虚拟专网网络安全白皮书 2022 年 3 月目 录 1、引 言 2、5G 电力虚拟专网安全需求与风险分析 2.1 电力业务安全需求分析 2.2 5G 电力虚拟专网安全风险分析 2.3 5G 电力虚拟专网安全需求分析 3、5G 电力虚拟专网安全参考模型和架构 3.1 5G 承载电力业务的安全模型 3.1.1 高安全业务应用安全模型 3.1.2 中安全业务应用安全模型 3.1.3 通用安全业务应用安全模型 3.2 5G 电力虚拟专网总体安全参考架构 4、5G 电力虚拟专网安全参考方案 4.1 端到端切片安全隔离，提供电力虚拟专用网络 4.1.1 接入网隔离 4.1.2 传输网隔离 4.1.3 核心网隔离 4.2 多层次认证体系，满足纵向认证要求 4.3 云边协同的安全应用，支撑安全防护及监测 4.3.1 基于基础设施和 APP 业务的 MEC 安全防护 4.3.2 全天候全方位的 5G 网络安全态势感知 4.3.3 5G+ 区块链的安全认证模式 4.4 数据加密传输 4.5 安全事件响应 5、5G 电力虚拟专网安全应用 5.1 5G 电力广域虚拟专网应用案例 5.2 5G 电力局域虚拟专网应用案例 6、总结与展望 附录 A：术语及缩略语 附录 B：参考文献 3 4 4 4 5 6 7 8 8 8 8 9 9 9 9 9 10 10 10 10 11 11 11 12 12 12 13 14 14 5G 电力虚拟专网网络安全白皮书前 言 5G 技术与电力行业深度融合，能够有效提升电力数字化、智能化水平，为构建清洁低碳、安全高效的电力体系提供有力支撑。网络安全是未 来 5G 在电力行业规模化应用的先决条件， 是 5G 赋能电力行业数字化转型的基础保障面， 对电力行业 “安全分区、 网络专用、 横向隔离、 纵向认证” 的安全防护原则要求，亟需设计兼顾 5G 传输性能与安全保障的网络安全防护体系。 2021 年 4 月，5G 应用产业方阵（5GAIA）及 5G 确定性网络产业联盟（5GDNA）共同立项了《5G 电力虚拟专网网络安全白皮书》，该 白皮书由中国南方电网电力调度控制中心牵头，联合电力相关企业和运营商，以及通信设备和终端模组芯片厂家、网络安全产品及服务商，对 5G 电力虚拟专网网络安全方案进行了充分讨论及完善，并经 5GAIA 及 5GDNA 评审后，共同发布。 本白皮书也是 5GDNA 联盟继《5G 确定性网络 @ 电力系列白皮书 I ：需求、技术与实践》（2020 年）、《5G 确定性网络 @ 电力系列白 皮书 II ：5G 电力虚拟专网建网模式》（2020 年）后发布的第 3 本系列化白皮书：《5G 确定性网络 @ 电力系列白皮书 III：5G 电力虚拟专网网 络安全白皮书》，旨在将理论与实践相结合，分析 5G 网络应用于电力业务的安全需求及风险，从技术视角分析 5G 网络的安全能力并构建安全 参考模型，从安全隔离、多层次认证、安全防护及监测等维度，提出可用、可信的 5G 电力虚拟专网安全参考方案，给出广域及局域的典型安全 应用案例，并展望 5G 电力虚拟专网安全的发展趋势。 本白皮书主要编写单位及人员（以下排名不分先后）：中国南方电网电力调度控制中心的洪丹轲、陶文伟、曹扬、张国翊、朱海龙、林旭斌、 胡飞飞， 南方电网科学研究院有限责任公司的匡晓云、 陈立明、 索思亮， 中国电力科学研究院有限公司的汪洋、 丁慧霞、 王智慧、 马宝娟、 孟萨出拉、 朱思成，国网福建省电力有限公司的陈斌、陈端云、苏素燕、陈锦山、夏炳森、李源灏，中国信息通信研究院的杜加懂、王琦、侯伟彬、周洁， 广东电网有限责任公司广州供电局的王莉、孙磊、王维，国网河南省电力公司信息通信公司的王文革、申京、赵豫京、杨莹、闫丽景，国网浙江 省电力有限公司信息通信分公司的周鹏、陈逍潇、杨帆，中国移动通信集团有限公司的杨鹏、周茉、崔旭升、吴沛 喆、宋月、王荣，中国电信集 团有限公司的沈军、刘亚天、呼博文、薄明霞、夏旭，中国联合网络通信集团有限公司的陈丹、王常玲、肖羽、蒋小燕，范勇杰，祝少波、蔡庆宇、 赵元、李先达，华为技术有限公司的余晓光、余滢鑫、杨晓华、郝晶晶、阳陈锦剑，中兴通讯股份有限公司的滕志猛、冯岩、陈永波，广东省电 信规划设计院有限公司的王劲、袁引，紫光展锐科技有限公司的张伟强、陈定云、朱勇旭，许继集团有限公司的徐涛，南京南瑞信息通信科技有 限公司的胡阳、 张影、龚亮亮、李洋。 本白皮书参与编写单位及人员（以下排名不分先后）：中国移动通信集团福建有限公司的魏颖强、孙柏宁，中国移动通信集团广东有限公司 的崔志顺、刘钢庭、王丹弘、任若冰，北京智芯微电子科技有限公司的贾强，深圳市广和通无线股份有限公司的李许安，国网山东省电力公司电 力科学研究院的马雷、刘新、刘冬兰、王睿、张昊，国网山东省电力公司青岛供电公司的徐群、刘明峰、李坤、孟建、侯路，四川中电启明星信 息技术有限公司的张立 堃、曾山、王瑞祥等。 5G 电力虚拟专网网络安全白皮书电力行业属于国家基础设施行业，关系国计民生，其包括电网企业和发电企业等，对业务分类、安全管控的总体要求基本一致。随着智能电 网多样化应用场景的出现，以网络切片和 Multi-access Edge Computing (MEC) 多接入边缘计算为核心的 5G 网络在电力的发、输、变、配、 用各环节逐渐得到规模应用，形成 5G 电力虚拟专网。 5G 电力虚拟专网是“在电信运营商的 5G 网络中，基于网络切片、 MEC、能力开放等技术，在无线、承载、核心网等环节虚拟出一张面向 电力行业的专用网络，并与电力通信专网跨域融合，实现端到端的电力业务承载、高强度安全隔离以及资源管理。” 面向上述需求，5G 电力虚拟专网能够为电网不同分区业务提供高可靠安全隔离解决方案，基于软件定义网络 (SDN, Software Defined Network) 和网络功能虚拟化 (NFV, Network Function Virtualization)、服务化架构 (SBA, Service-based Architecture) 等新技术提供物理资 源、虚拟逻辑资源等不同层次的安全隔离能力。 但由于 5G 电力虚拟专网处于起步阶段， 其安全体系方面仍需进一步完善， 例如细化网络切片的安全隔离方案、 终端二次认证的场景及流程等； 同时随着能源大数据、综合能源服务等新兴业务不断涌现，电力业务环境更加开放、生态更加复杂、数据共享更加频繁，电力业务的承载网络安 全架构也随之多样化，电力业务安全、数据安全等面临着安全防护手段与业务系统不匹配的严峻挑战，迫切需要对 5G 电力虚拟专网的网络安全 防护进行探讨，并与电力业务安全防护体系进行融合集成，进一步提升 5G 电力虚拟专网的安全水平，为智能电网业务承载提供更好的通信安全 保障。 本白皮书旨在从技术视角分析 5G 电力虚拟专网的安全需求，给出网络安全参考模型及架构，探索形成 5G 电力虚拟专网安全解决方案，并 给出典型的 5G 电力虚拟专网安全应用案例。5G 电力虚拟专网的典型业务承载需求如下表所示： 业务类型 典型应用场景 承载现状 未来承载需求 智能分布式配电自动化、智 能配电网微型同步相量测 量、用电负荷需求侧响应、 高级计量、 分布式能源调控、 充电桩、应急通信等 巡检机器人、输电线路无人 机巡检、基于物联网的状态 监测、智能营业厅、仓储管 理、智能家居等 智慧园区、智慧电厂、地下 厂房深度覆盖、三维空间定 位、 可视化运维、 智能诊断、 网源协调、决策支持等1、连接模式：主站下沉，本地就近控制 2、采集频次提升（计量分钟级） 3、精准控制（毫秒级别，节点级） 1、物联网技术广泛应用，连接数大幅增长 2、高清视频类业务大量应用，带宽需求爆发 3、融合采集与工业精准控制应用结合 4、结合 AI 进行深层次应用探索 1、特殊环境下深度覆盖、空间定位需求迫切 2、海量传感器等物联网应用需求爆发 3、基于人工智能、大数据的网元协同，智能 诊断和决策支持基础类 扩展类 特殊场景类已有较成熟承载方案。 1、连接模式：子站 / 主站模式， 主站集中 2、采集频次较低 3、控制能力相对粗放 处于蓬勃发展及不断优化阶段。 采集内容以基础数据、 图像为主， 单 终 端 带 宽 为 100k~2Mbps， 采集连接数有限 处于起步探索和发展阶段引 言 5G 电力虚拟专网网络安全白皮书根据《电力监控系统安全防护规定》( 国家发改委 2014 年第 14 号 )、国家能源局《关于印发电力监控系统安全防护总体方案等安全防护方 案和评估规范的通知》( 国能安全 [2015] 36 号文 ) 等相关规定要求，电力监控系统安全防护需满足“安全分区、网络专用、横向隔离、纵向认证” 的原则。本章从电力业务安全需求出发，提出三类业务安全模式：高安全业务、中安全业务、通用安全业务。 高安全业务 是指与电力调度生产直接相关的生产控制类业务，通常部署在生产控制大区涉及实时控制类及感知采集类业务，如安全自动控制 系统、电能量计量系统等。高安全业务安全防护需求高，需通过无线虚拟专网和防火墙接入信息内网，再经过安全接入区（含正反向隔离、前置机、 安全接入网关等）接入业务主站。 中安全业务 是指管理信息大区的相关业务，其安全等级仅次于高安全区业务，涉及到智能电网生产管理、办公自动化，与生产或管理类的个 人桌面计算机相关，如电力调度运行管理系统、资产管理系统等业务。中安全业务分布广泛，人机互动频繁，安全防护需求较高，需通过无线虚 拟专网和防火墙接入信息内网，再通过安全接入平台接