随着5G技术的飞速发展，5G技术的应用正逐步渗透到各行各业，成为推动工业4.0革命的关键力量。5G不仅以其“高速率、低延迟和大连接数”的特点，为工业生产带来前所未有的变革，也给工业网络安全防护体系的构建提出了新要求。本文将简单介绍5G技术在工业生产现场的实际应用，以及如何基于5G技术应用构建一个更安全，更高效的工业网络安全防护体系。

目前5G技术在工业现场的应用场景已经非常丰富，极大提高了工业生产的效率和灵活性，推动工业生产更加智能化、自动化：

5G网络的高带宽支持远程控制机器人或自动化设备，减少现场操作人员，降低安全风险。

通过5G网络传输的大量数据，结合人工智能技术，可以预测设备故障，提前进行维护，避免生产中断。

5G网络的低延迟特性使得工厂能够实现对生产设备的实时监控，及时收集数据，为生产决策提供支持。

5G网络赋能工厂AGV小车，实现低延时高精度定位能力，实现物料配送、集装箱运输等工作。

5G技术的到来，使得已有的安全防护能力有些“捉襟见肘”，企业所面临的安全问题与新挑战主要有以下几项：

5G技术的广泛应用增加了网络的接入点和设备，这为攻击者提供了更多的潜在入口。随着网络的扩展，保护每一个接入点免受攻击变得更加困难。

5G网络的高速度和大容量意味着更多的数据将通过网络传输。如果没有适当的加密和安全措施，这些数据可能面临被截获和泄露的风险。

5G网络支持的设备数量大幅增加，这要求对每个设备进行有效的身份验证。未经过验证的设备可能成为攻击的跳板，威胁整个网络的安全。

5G技术将促进更多物联网设备的接入，这些设备往往安全防护较弱，容易成为攻击的目标。

5G技术与人工智能、大数据等新兴技术的融合可能会带来新的安全挑战，需要对这些融合技术进行深入的安全评估和防护。

在5G技术应用时代，许多智能工厂引入了5G 技术用来新建或丰富自身的网络，那么基于5G 网络技术，工业网络安全防护能力该如何升级，我们可以从以下几个方面进行考虑：

5G网络的高速率和广覆盖特性，在打通工业数据流动性的同时，也显著扩大了网络暴露面，需重点防范传输链路劫持与数据泄露风险。例如：小型分支（如远程仓储站点）通过5G网络向总部传输生产数据（如库存、设备状态），存在中间人攻击、数据窃听风险。需建立专用数据传输通道，保障数据传输安全性。

准入控制是网络安全的第一道防线，它决定了哪些设备和用户可以接入网络以及在何种条件下接入，未经授权的设备可能携带恶意软件或病毒，一旦接入网络，会对整个工业系统造成威胁。因此，需建立动态可信的准入体系。

5G大带宽和协议复杂性，可能扩大攻击者的可利用范围，传统基于阈值或规则库进行流量监测的方式有些“力不从心”，需结合智能分析进行深度狩猎。建立流量基线以及工业协议基线，防止功能码被篡改。

5G推动数据从中心化向边缘端扩散，数据生命周期各环节面临非授权访问和滥用风险，需构建分类分级机制，同时对核心数据存在的主机进行加密防护。

为构建 5G 数据传输下的边界网络安全防护体系，可采用威努特工业互联防火墙，运行自主可控的操作系统，搭载接口丰富的硬件平台，结合智能路由等全面的网络层支撑能力，保障业务处理高效可靠；支持搭建IPSEC VPN通道以及入侵防御功能和实时病毒拦截技术的病毒防护功能，实现对用户、应用和内容的深入分析，为用户提供安全智能的一体化防护体系。

工业互联防火墙的IPsec VPN模块具有业界领先技术，在复杂网络环境下大大简化了管理员的维护工作量，配合Web管理和日志分析，可实现IPsec VPN快速配置上线。

支持隧道配置、隧道监控；

支持预共享密钥和X.509数字证书两种认证方式进行VPN认证；

图1 安全防护能力图

生产现场中有很多5G技术的应用，例如：5G智能小车、5G摄像头等；这些智能化设备的应用离不开5G网络的支持，需要与生产网中的5G设备网关建立连接，接收策略指令、回传采集数据等；这极大提高了生产现场的工作效率。

但是企业需要关注一个问题，那就是网络接入控制，若网络接入不受控，无可靠、严格的技术手段进行保障，可能会造成多种不可信设备随意接入5G网络，进而入侵整个生产网；因此，需要建立网络准入能力，确保有授权的、可控的、可信的设备才能入网；威努特网络准入系统能够提供多种准入策略和认证方法，企业可灵活搭配，满足多种入网需求。支持与主流无线控制器进行认证信息拉通，实现有线、无线一体化认证。

图2 准入控制策略

针对5G大带宽和协议复杂性，传统基于规则库方式难以发现隐藏威胁的问题，建议基于APT高级威胁检测系统进行防护，高级威胁检测系统集失陷分析、威胁情报分析、入侵检测分析、异常行为分析、病毒木马分析、未知威胁检测等多种技术于一体，对网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析。基于资产、威胁事件、网络会话、威胁情报等多源数据进行对全网流量实时进行威胁感知、可疑流量分析,及时察觉,及时止损。

图3 高级威胁检测系统能力图

为了确保通信安全和隐私以及应对各种窃听和中间人攻击，HTTPS逐渐全面普及，越来越多的网络流量也被加密，然而，攻击者也可以通过这种方式来隐藏自己的信息和行踪，通过给恶意流量封装上一层名为TLS/SSL的加密协议来将其伪装成正常流量进行传输，逃避传统安全设备的检测。

恶意加密流量及合法加密流量有不同的流量行为模式，根据对恶意加密流量的分析，提取恶意加密流量与合法加密流量的SPL数据（数据包长度与数据包到达间隔时间顺序）、流量相关的DNS元数据、TLS元数据、HTTP元数据，构造用于识别恶意加密流量模式的向量，采用集成学习算法学习流量向量建立相应的加密流量检测模型，实现对恶意加密流量的识别，有效发现高级威胁的相关线索。

隐蔽隧道是绕过防火墙屏蔽的一种通信方式，防火墙两端的数据包，通过防火墙所允许的协议类型及端口进行封装，然后穿过防火墙，与对方进行通信，当被封装的数据包到达目的地后进行数据还原。

DNS Tunneling，是隐蔽隧道的一种，通过将其他协议或数据封装在DNS协议中传输建立隐蔽通信。产品支持DNS隐蔽隧道通信检测，基于隧道工具的DNS隐蔽隧道；DNS直连隧道；APT32利用DNS隧道通信；基于DNS隐蔽隧道关联分析发现受控主机;支持ICMP隐蔽隧道通信检测，利用ICMP隧道违规突破内网WEB访问，利用ICMP隧道传输数据，利用ICMP隧道进行远程控制；支持HTTP隐蔽隧道通信检测,采用基于AI的检测技术，可有效提升对网络隐蔽隧道流量中恶意通信行为的检出率和准确率。

Kill Chain是由洛克希德-马丁公司提出的网络攻击模型，用于分析网络攻击过程。产品基于模型将攻击分为七个阶段，包括从扫描探测、尝试攻击、漏洞利用、木马下载、远程控制、横向渗透、行动收割，通过这七个阶段可以掌握攻击者的攻击战术和攻击过程。

产品汇聚不同层次的攻击事件后，将所有的事件按Kill Chain的不同阶段进行主机事件关联，并展示到可视化的Kill Chain攻击链中，同时提供丰富的筛选条件，以便用户对各个阶段的数据进行深度分析,可帮助企业快速确认攻击阶段，并判断攻击是否成功。

溯源能力覆盖攻击链各阶段，可留存原始网络流量PCAP。支持对网络攻击线索、攻击过程、攻击手段和主机威胁等信息进行溯源，发现威胁源头并留存攻击证据。通过对威胁事件、元数据、威胁情报以及原始会话数据包追溯，支撑安全运营人员威胁发现、威胁研判和威胁取证的全过程工作。

针对攻击者利用5G网络攻击进入生产网，修改PLC功能码、阈值等数值篡改事件，工业防火墙具备优越的防护能力，设备运用“白名单+智能学习”技术建立数采通信及工控网络区域间通信模型，对近50种工业协议进行深度报文解析（DPI，Deep Packet Inspection），保证只有可信任的流量可以在网络上传输，为工控网络及PLC设备构建一个“坚不可摧”的屏障。

图4 三重白名单固化

针对逻辑性、时序性强的业务流程，工业防火墙能够配置指令周期和工艺序列，如果报文提前或超时到来、到来时序不符合预期，工业防火墙能够立即发出告警并拦截。同时业务工艺异常检测模块也能够对源地址和目的地址、协议字段、报文长度、包长度进行检测，全方位监测业务是否正常运行。

通过深度报文解析引擎，工业防火墙能够检测出ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider等主流厂商工控协议报文中的有效内容特征、负载和可用匹配信息，如恶意软件、具体指令和应用程序类型，对工控协议特征做到实时解析和精准的识别。

基于工业协议的精准识别能力，工业防火墙不仅可以实现传统的基于安全域、IP、MAC、时间段、服务、执行动作等多个维度的访问控制策略，还可以对Modbus TCP/RTU、S7、OPC DA/UA等协议做到指令级甚至值域级精细粒度控制。“伏羲引擎”可对新工业协议快速支持适配，解析深度可与已经适配的协议保持一致。

硬件级安全策略写保护，保证工业现场生产业务确定后，工业防火墙安全防护策略也一并确定，和生产业务共频，无法被非授权更改。

硬件级安全策略写保护，非系统或应用层面控制；

工业防火墙上有明显置位开关，通过专用钥匙控制，避免人为误操作；

支持在写保护模式下，设备状态、日志、告警等信息的上报。

工控系统对实时性要求异常苛刻，工业防火墙具备先进的硬件设计，采用高性能ARM多核处理器，为低时延、高吞吐的数据处理提供了坚实保障。其中深度报文解析引擎在实现稳定可靠的数据包深度解析的同时，可以做到低延迟，保证了工控系统的实时性要求。工业防火墙结合软硬件加速能力，满足执行策略条件下网络时延小于200us。

5G技术应用下，数据安全是重中之重，因此为了保障工业网络中的核心生产数据，企业需要建立和完善数据安全管理体系和防护能力，包括数据分类分级、数据库加密、数据防泄漏等，那么，数据库作为数据最核心的承载平台之一，接下来将会介绍一种数据库安全防护能力---数据库加密。

威努特数据库加密系统基于对数据库内核和存储文件结构的深入研究与分析，开发了字段级加密、表空间级加密和动态加密引擎，使得敏感数据文件在落盘存储时可以按照产品设置的算法加密存储，同时该专用加密存储引擎还提供了独特的解密权限增强访问控制技术，可以有效控制数据库用户访问加密数据时的解密权限。

字段级的加密方法采用基于数据库内核扩展的方案，基于数据库自身的视图和触发器的扩展来实现字段的透明加密。在该方案中，触发器和视图可以为授权用户提供自动化的加密和解密。触发器是一个嵌入到数据库中的程序，每当一行新数据插入到表中时，这个触发器就开始运行并对必要的数据进行加密。视图是一个虚拟表，它在向请求者返回数据之前就对数据库进行解密。在加密和解密函数中对用户的授权进行额外的检验，从而实现增强的授权管理。

图5 数据库加密、解密过程

可根据实际需求选择对敏感的字段进行加密，敏感字段以密文的方式在硬盘上保存。即使数据库文件被非法复制或者存储文件丢失，也不会导致真实敏感数据的泄露。

图6 字段加密

可以选择将敏感字段所在表的表空间文件进行加密，表空间文件以加密方式存储，使得即使数据库本地文件或者存储介质被盗依然能保证数据库内部敏感数据的安全。

图7 表空间加密

设置后不会立即将数据加密，而是当数据库文件被读取的时候根据策略有选择性地进行加密，数据库服务进程根据默认策略配置可以读到明文，从而数据库服务可以达到和未实施动态加密前一模一样的性能。而其它文件访问方式读取到的都是密文。

无论字段加密、表空间加密还是动态加密，初始加密过程对数据库用户都是完全透明的，不需要改造应用系统，部署后可立即使用。当完成初始加密后，在数据的使用过程中，新的数据都按照设置即时加密与解密，无需额外二次处理与部署。

当采用字段型加密时，系统提供专利的密文索引技术，借助数据库自身的索引机制为密文建立起索引结构。密文索引避免了操作数据时的全表解密，把敏感字段的加密对数据库访问性能造成的损失降到和加密前没有明显区别。

对于加密后的敏感数据，系统提供独立的加密解密的权限管理，只有同时经过数据库自身和加密系统联合授权的用户才能对敏感数据进行解密和查看，从而降低数据库超级管理员权限过高造成的泄密风险。数据库加密系统通过内置的安全管理员来设置用户对加密数据的访问权限。

图8 访问权限控制

综上所述，5G 技术在工业生产中的广泛应用，为工业领域带来了诸多便利，提升了生产效率与智能化水平。但与此同时，企业也需考虑5G 技术给工业网络安全防护带来的新挑战，例如：网络攻击面的扩大、数据泄露风险的增加、设备身份验证的难题、物联网设备的安全隐患；不断地从数据传输、终端准入、威胁检测、协议防护和数据加密等多个方面提高自身网络安全防护能力，保障工业网络稳定运行及生产数据安全可靠。

威努特作为行业的重要参与者，致力于为客户提供网络+安全+云+计算的整体化解决方案。深入研究行业痛点及政策法规，帮助企业建立符合行业规范的安全防护体系。无论是数据安全，还是网络安全，威努特都将协助企业将合规要求融入到整体方案的设计与实施中，确保企业在安全运营的同时，满足监管机构的各项要求，助力客户数字化转型建设。