2024电力5G安全技术要求.docx

电力5G安全技术要求 目 次前 言 II1 范围 32 规范性引用文件 33 术语、定义和缩略语 33.1 术语和定义 33.2 缩略语 44 电力业务安全要求 44.1 总则原则 44.2 生产控制大区业务安全要求 54.3 管理信息大区业务安全要求 54.4 互联网大区业务安全要求 55 电力5G安全技术架构 56 电力5G网络安全技术要求 66.1 电力5G网络安全通用要求 66.2 电力5G网络切片认证和授权要求 76.3 电力5G UPF设备安全技术要求 76.4 网络态势感知安全技术要求 77 电力5G终端安全技术要求 77.1 认证技术要求 77.2 用户数据和信令数据机密性 87.3 用户数据和信令数据完整性 87.4 隐私技术要求 88 电力5G管理平台安全技术要求 88.1 电力5G管理平台通用安全技术要求 88.2 电力5G网络切片安全管理要求 88.3 事后审计管理技术要求 9参考文献 10I电力5G安全技术要求1　 范围本文件规定了基于基础电信企业5G公网的电力5G安全相关技术要求，包括电力5G安全技术架构，以及电力5G网络、终端及管理安全技术要求等。

本文件适用于基于基础电信企业5G公网的电力5G网络建设、测试和管理2　 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件 GB/T 36572-2018 电力监控系统网络安全防护导则YD/T 2258-2011 移动通信网安全术语集YD/T 3628-2019 5G移动通信网 安全技术要求YD/T 3973-2021 5G网络切片 端到端总体技术要求3　 术语、定义和缩略语GB/T 36572-2018、YD/T 2258-2011和YD/T 3973-2021界定的以及下列术语和定义适用于本文件3.1　 术语和定义3.1.1　 网络隔离 Network Quarantine 将两个或者两个以上的可路由的网络通过不可路由的网络协议进行数据交换从而达到隔离的目的3.1.2　 物理资源隔离 Network Quarantine via Physical resource将两个或者两个以上可路由网络通过频率、设备等物理资源专用方式实现网络通道上的隔离。

3.1.3　 逻辑隔离 Network Quarantine via Virtual Resource将两个或者两个以上可路由网络通过虚拟化技术在同一物理资源实现逻辑资源的隔离3.1.4　 电力专用UPF Private UPF of Power Grid面向电网企业物理独立部署、独立使用，并与公网或其他行业网络实现物理隔离的5G用户面设备，可支持省、市、园区三级部署，可部署在电力或运营商侧机房3.1.5　 电力5G终端 5G User Equipment of Power Grid通过外部线缆或内部接口与业务终端进行连接和通信的5G通信终端设备，支持5G无线蜂窝移动网络接入；包括集中器终端、智能配变终端、台区智能终端、能源控制器终端、电力CPE终端等3.1.6　 电力5G业务 5G Service for Power Grid5G技术与电力行业发电、输电、变电、配电、用电五个环节融合产生的业务，典型业务包括5G控制类业务、5G采集类业务、5G移动应用类业务、5G多站融合业务等3.1.7　 电力5G管理平台 5G Management Platform of Power Grid实现基础电信企业5G网络管理开放能力与电力5G业务管控需求转化的平台，包括基础管理、切片管理、终端管理和安全管理等功能。

除基础电信企业主动开放的管控能力之外，电力行业网络管理平台还可具备其他管理能力，根据行业内部需求实现相应的管理功能3.2　 缩略语下列缩略语适用于本文件5G第五代移动通信技术5th Generation Mobile Communication Technology5QI5G QoS 指示符5G QoS IdentifierAAA认证、授权和计费Authentication, Authorization and AccountingAMF接入和移动性管理功能Access and Mobility Management FunctionDNN数据网络标识Data Network NameEAP可扩展认证协议Extensible Authentication ProtocolFlexE灵活以太网技术Flexible EthernetIP网际协议Internet ProtocolME移动设备Mobile EquipmentMEC多接入边缘计算Multi-Access Edge ComputingMTN城域传输网Metro Transport NetworkPDU协议数据单元Protocol Data UnitQoS服务质量Quality of ServiceSMF会话管理功能Session management functionS-NSSAI单个网络切片选择辅助信息Single Network Slice Selection Assistance InformationUPF用户面功能User Plane FunctionVLAN虚拟局域网Virtual Local Area NetworkVPN虚拟专用网络Virtual Private Network4　 电力业务安全要求4.1　 总则原则根据《电力监控系统安全防护规定》(国家发改委2014年14号令)规定，电力网络安全应遵循“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则。

电网业务系统划分为生产控制大区、管理信息大区和互联网大区生产控制大区分为控制区（安全区I）和非控制区（安全区II）；管理信息大区可分为生产管理区（安全区III）和管理信息区（安全区IV）根据电力业务需求，电网业务系统可包括基于公网办公的互联网大区4.2　 生产控制大区业务安全要求a) 应在专用通道上使用独立的网络设备组网，在物理资源上与电网企业其他数据及外部数据安全隔离；b) 大区内部的安全区之间应采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离；c) 重要业务系统应采用认证加密机制；d) 网络应提供高性能等级的监测能力，并在网络故障、受入侵等情况下提供满足相应业务能力要求的响应恢复能力4.3　 管理信息大区业务安全要求a) 应与公网业务之间实现逻辑资源隔离；b) 大区内部的安全区之间应采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离；c) 应避免网管系统被恶意攻击而获取配置数据或非法篡改网络配置的风险；d) 应采用认证、加密、访问控制措施，防止来自互联网侧的网络攻击4.4　 互联网大区业务安全要求a) 应根据相关安全防护要求，通过防火墙接入信息内网，对防火墙和主站进行IP端口代理配置，通过信息内网与主站连接；b) 应与公网业务之间应实现逻辑资源隔离；c) 互联网大区电力业务应支持监测来自互联网的攻击行为，提供与业务相适应的安全防护能力。

5　 电力5G安全技术架构电力5G安全技术架构由电力5G网络安全、终端安全、管理平台安全三部分构成，如图1所示：图1 面向电网的5G网络安全架构a) 电力5G网络安全满足“网络专用”“横向隔离”的要求，实现电力生产控制大区、管理信息大区与互联网大区之间业务隔离，包括核心网、承载网及无线接入网三部分安全技术要求；b) 电力5G终端安全满足“安全分区”“纵向认证”的要求，实现各安全区电力业务及其设备接入电力5G网络的安全防护、接入认证、数据安全等；c) 电力5G管理平台安全实现电力5G终端及网络的安全管理6　 电力5G网络安全技术要求6.1　 电力5G网络安全通用要求6.1.1　 电力5G网络安全概述电力5G网络为生产控制类业务、管理信息类业务、互联网类业务提供不同的安全承载方案，如表1所示表 1电网5G网络安全总体方案电力5G业务类型电力5G网络安全方案无线侧传输侧核心网侧切片及DNN生产控制类业务RB资源预留+5QI优先级调度FlexE或MTN切片隔离+VPN隔离省级或地市级专用UPF为生产控制I区和II区分配专属的S-NSSAI，并按需为业务分配专属的DNN管理信息类业务5QI优先级调度VPN隔离省级或地市级行业网共享UPF为管理信息III区和IV区分配专属的S-NSSAI，并按需为业务分配专属的DNN互联网类业务5QI优先级调度VPN隔离省级级行业网共享UPF为互联网大区分配专属的S-NSSAI，并按需为业务分配专属的DNN6.1.2　 生产控制大区电力5G网络安全要求生产控制大区业务应采用物理资源隔离的电力5G网络切片，要求如下：a) 核心网用户面应采用电力专用UPF，部署于省会城市机房或地市机房；b) 核心网控制面宜采用全部或AMF、SMF等部分网元专用模式；c) 传输网应采用MTN/FlexE等方案实现传输资源上的物理隔离和专用；d) 无线网应采用公用5G基站实现泛在覆盖，可根据特定业务场景需求建设仅服务电力的5G基站；e) 无线网应支持高优先级QoS技术和RB资源预留技术，根据业务类型可通过高优先级QoS技术实现逻辑隔离，通过RB资源预留技术实现物理隔离；f) 安全区Ⅰ和安全区Ⅱ之间应采用网络切片方式实现逻辑隔离，应采用具有访问控制功能的设备、防火墙等设施；无线侧宜采用5QI优先级调度，传输侧宜采用VPN和QOS等实现网络切片内不同业务的逻辑隔离和优先级调度，核心网侧宜采用S-NSSAI和DNN等实现网络切片内不同业务的差异化优先级调度。

6.1.3　 管理信息大区5G网络安全要求管理信息大区业务宜采用逻辑资源隔离的电力5G网络切片，要求如下：a) 核心网用户面可采用省级或地市级行业共享UPF；b) 传输网宜通过VPN实现传输资源共享下的逻辑隔离；c) 无线网宜通过5QI优先级调度技术实现逻辑隔离；d) 安全区III和安全区IV之间应采用网络切片实现逻辑隔离，无线侧宜采用5QI优先级调度，传输侧宜采用VPN和QOS等实现业务的逻辑隔离和优先级调度，核心网侧宜采用S-NSSAI和DNN等实现网络切片内不同业务的差异化优先级调度6.1.4　 互联网大区5G网络安全要求互联网大区业务宜采用逻辑资源隔离的电力5G网络切片，要求如下：a) 核心网用户面宜采用省级或地市级行业共享UPF；b) 传输网宜通过VPN实现传输资源共享下的逻辑隔离；c) 无线网宜通过5QI优先级调度技术实现逻辑隔离；d) 应配置专属的S-NSSAI，并按需为业务分配专属的DNN实现业务的差异化优先级调度6.2　 电力5G网络切片认证和授权要求电力5G网络切片认证和授权应符合YD/T 3973-2021中7.2规定的网络切片实例和终端用户之间的安全要求6.3　 电力5G U。