干货 | 安徽合力股份5G智慧工厂边缘安全风险探查平台

★ 中国移动通信集团安徽有限公司 岑岚

★ 澳门科技大学 肖铭远

★ 中国移动通信集团安徽有限公司 雷颖，蔡宇进

★ 北京天融信网络安全技术有限公司 韩昱炜

安徽合力5G工业互联网制造系统融合5G与边缘计算技术，利用端到端的网络切片技术适配不同生产场景，从人、机、料、法、环、测等生产过程的各个要素入手，不仅实现了提质增效、降本减耗，也实现了“5G柔性制造”“5G AGV高效物流”“5G智能安防”和“5G MEC合力工业APP”等多个场景的落地，推动了企业从先进制造到智能制造的跨越式迈进。安徽合力股份5G智慧工厂边缘安全风险探查平台针对5G工业系统的脆弱性和安全防护需求，攻克了脆弱性机理分析和安全威胁溯源、防护模型归纳、大纵深防护策略等共性关键技术，提炼了涵盖信息系统与制造系统风险评估的安全指标体系，构建了典型行业应用的原型系统与工业安全知识库，开发了评估模型实现对原型系统的安全性能测试、分析和验证，形成了横跨工控系统、物联网系统、通信系统与边缘云的风险识别分析与安全响应处置为一体的边缘安全风险探查平台，为保障5G智能制造的安全提供了理论与技术支撑。

传统的工业制造系统安全防护模型主要在技术层面上对网络的安全防护问题进行讨论，忽视了管理在安全防护中的地位和作用，同时所建立的防护技术也欠缺动态防护和主动防御的理念。面对5G智能制造系统，传统的安全防护模型和防护技术已经无法满足其更复杂更全面的安全防护需求。因此，从防护对象、防护措施和防护管理三方面出发归纳5G智能制造系统安全防护模型，同时基于安全检测技术、软件定义网络（SDN）技术、灾备恢复技术等建立基于场景的风险探查、主动防御、多维攻击画像、多攻击面协同防御的大纵深防护策略是本项目的基本设计理念。

安徽合力股份5G智慧工厂边缘安全风险探查平台基于大数据架构，采用AI智能设计理念，以发现内网失陷和内部违规为核心目标，全面收集终端、业务系统、网络流量三个方面的行为观测点的数据。它通过工控EDR与终端EDR收集终端数据，通过全流量探针对边缘计算网络、5G通信网络、工控网络、物联网络的流量进行解析，并结合工控安全设备与边缘云安全设备的日志进行安全分析与模型构建。系统针对5G智能制造的场景，对工控网、物联网、通信网、边缘云的风险进行探查，发现违规行为和潜在风险，最终形成了以员工、设备、事件为维度的风险发现、告警、处置、改进的安全闭环，全面提升了5G智慧工厂的安全运营水平。

图1 系统架构

安徽合力股份5G智慧工厂应用场景如图2所示。

图2 安徽合力股份5G智慧工厂应用场景图

（1）5G智能制造场景

利用5G低时延的特点，结合边缘云计算平台，基于车间数据采集，构建MES系统，打造透明工厂，助力生产过程的降本增效，场景如图3所示。

图3 5G智能制造场景图

（2）5G柔性生产场景

使用5G网络将车间内多种设备（固定设备与移动终端）联网，借助5G实现机床设备的“剪辫子”，助力合力车间的柔性制造，场景如图4所示。

图4 5G柔性生产场景图

（3）5GMEC承载工业APP

将边缘云（MEC）部署在合力园区内，在保证数据不出园区与更低时延的同时，为合力的工业APP提供资源支持，构建更加安全、可靠、高速的边缘云平台，如图5所示。

图5 5GMEC承载工业APP示意图

（4）5GAGV高效物流场景

通过5G高质量网络的覆盖为AGV调度提供平滑切换的可靠网络，提高AGV之间的协作水平，并通过边缘云支持系统特殊环境的远距离实时控制，场景如图6所示。

图6 5GAGV高效物流场景图

（5）智能安防场景

使用5G摄像机实现摄像机位置的相对灵活调整；基于5G相机的智能安防，在边缘云计算平台上通过图像识别的方式，发现异常行为，留存视频日志，助力安全溯源，将被动式安防提升为主动式安防，如图7所示。

图7 智能安防场景图

合力股份5G智慧工厂根据自身业务特点，兼顾网络安全与数据安全需求，选择5G专享模式进行组网，自建边缘计算平台。其网络架构如图8所示。

图8 安徽合力股份5G智慧工厂网络架构图

网络构成主要包括： 

（1）终端：包括高清摄像头、AGV小车、数控机床、手持终端等。 

（2）无线网：采用5G宏基站，实现厂区道路、办公场所等覆盖，并对重要生产区域用室分进行补充覆盖。 

（3）生产网：采用专业工控设备、工业交换机、工控主机等搭建工控专网。

（4）传输网：按照100GE/200GE端口配置，建设SPN网络，敷设贯通全厂区的双路由光缆。 

（5）核心网/UPF：利用SA组网模式，接入大区/省5GC，提供网络切片能力和容灾能力。用户面模块UPF下沉到园区，满足数据不出园区的需求。 

（6）边缘云计算网络：通用服务器、交换机、防火墙设备通过虚拟化提供计算资源、存储资源、网络资源和安全基础设施。

安徽合力股份5G智慧工厂安全防护体系如图9所示。

图9 安徽合力股份5G智慧工厂安全防护体系图

（1）生产系统安全防护：通过访问控制、漏洞扫描、工控主机安全防护等方式，配合工控防火墙，根据不同区域的业务特点进行生产系统的安全防护。

（2）5G全流量解析：5G全流量解析探针通过旁路方式部署，实现流量解析、攻击检测、僵木蠕检测、恶意程序检测、WEB安全检测、威胁情报、溯源取证等功能。系统支持5G协议、互联网协议、物联网协议、工控协议的解析。

（3）边缘云安全防护体系：通信网络/区域边界安全组件、计算环境安全组件和管理中心安全组件，通过部署边缘云安全资源池保障边缘云的业务安全。 

（4）5G智慧工厂边缘安全风险探查平台：以用户、资产和安全事件为视角，从基于规则分析到关联分析、行为建模、智能分析，通过用户实体行为异常分析来探查各种安全风险。

边缘云安全防护体系由云安全管理平台、安全组件和资源池管理平台三大子系统组成，如图10所示。云安全管理平台提供操作和管理界面；安全组件承担具体的安全功能；资源池管理平台负责集群管理，为安全组件提供必要的基础资源。

图10 5G智慧工厂边缘云安全防护体系图

边缘安全风险探查平台基于大数据架构，采用AI智能设计理念，以发现内网失陷和内部违规为核心目标。平台分为采集层、数据层、引擎层、展示层，具体架构如图11所示。

图11 智慧工厂边缘安全风险探查平台架构图

（1）5G信令异常风险探查

系统对5G用户接入网络的失败请求进行统计并建立基线，对超出基线的异常接入行为进行告警。其分析逻辑如图12所示。

图12 5G信令异常风险探查分析逻辑图

（2）5G机卡分离风险探查

为防止不法人员通过暴力拆解的方式获得USIM卡，威胁内网安全，系统建立终端设备IMEI号与USIM卡SUPI号的对应关系库，发现异常的机卡分离行为将及时告警。其分析逻辑如图13所示。

图13 5G机卡分离风险探查分析逻辑图

（3）5G终端位置异常风险探查

系统可对AGV小车等沿固定轨迹运动的移动设备以及温湿度传感器等固定设备进行电子围栏管理与位置监测，并对位置异常进行告警。其分析逻辑如图14所示。

图14 5G终端位置异常风险探查分析逻辑图

（4）5G业务异常风险探查

系统对多种5G终端的不同APP类型、包长大小、上下行流量等设置基线，对超出基线的异常业务风险进行告警。其分析逻辑如图15所示。

图15 5G业务异常风险探查分析逻辑图

（5）工控网安全风险探查

系统对工控网络中包括非法访问、非法操作、异常工控指令等风险行为的探查。

（6）物联网安全风险探查

系统对包括物联网设备漏洞、口令破解、机卡分离、违规外联等风险行为的探查。

（7）边缘云安全风险探查

系统对包括僵木蠕行为、恶意程序、SQL注入行为的风险探查。

（8）安全总览展示

平台从风险员工、风险设备、风险业务系统、风险账号、风险IP、告警事件等维度进行数据的统计，如图16所示。

图16 安全总览展示图

（9）UEBA展示

平台将不同区域收集到的风险数据，定位到具体员工或实体，如图17所示。

图17 UEBA展示图

（10）安全分析展示

平台提供多种安全分析模型，具备数据外联、横向威胁等多个安全分析方向与多个安全场景关联的能力，如图18所示。

图18 安全分析展示图

（11）智能分析展示

平台提供多维度关联分析、行为分析、AI分析的建模分析能力，支持自定义风险行为与安全建模，如图19所示。

图19 智能分析展示图

项目实施以来，平台针对智能制造的生产环境、边缘云、终端设备与员工操作行为进行风险探查、关联分析、智能分析，及时探查、发现、告警、处置相关安全风险，有效提高了5G智能工厂的安全运营水平。

事件视角：系统在近一个月内，发现网络攻击事件147起，其中WEB攻击事件136起，威胁仿冒事件21起，包含5G非授权访问与5G信令异常的混合攻击事件3起，终端行为异常1次。

员工视角：内网风险员工两个，其IP分别为10.243.37.70和10.243.31.57，原因为尝试发起网络攻击。

资产视角：多个未知IP一小时内多次攻击统一资产。

（1）系统可靠性达到99.9％以上，系统及相关设备年故障时间累计不超过1小时；

（2）威胁情报库：威胁情报库目前每周更新一次（更新周期可配置）；

（3）风险探查模型：根据场景需求每三个月调整一次风险探查模型；

（4）提供系统整体安全防护及网管告警，保证产品的可靠性。

边缘安全风险探查平台是横跨工控系统、物联网系统、通信系统与边缘云的风险识别分析与安全响应处置为一体的安全运营平台，其广泛适用于5G细分垂直行业应用场景，对企业的安全运营水平提升成效显著，具备行业引领性。目前市面上主流安全厂家暂无同类型的跨域检测、关联、分析、研判、处置一体化的安全运营系统，本项目具备一定的技术壁垒，产品的应用前景广阔。

收入预测1：安徽移动每年投入开发成本150万元，每个企业运营及支撑服务收入30万。第一年服务10家企业，纯利润30×10-150=150万，第二年服务20家企业，纯利润450万元……随着服务企业数量的增长，利润逐年上升。

收入预测2：企业一次性投入开发成本180万元，安徽移动负责运维服务支撑，每年服务10家企业，每个企业运营及支撑服务收入15万，平台利润10×30=300万元，运维利润10×15=150万元……随着服务企业数量的增长，利润逐年上升。