智慧轨道交通安全解决方案
一、案例简介
网络安全法第31 条明确规定“国家对公共通信和信息服务、能源、交通、水利、金融[1]、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。城市轨道交通作为关键基础设施,是否能够持续安全运行,直接关系到广大乘客的生命安全,一旦遭到破坏,会对国家秩序造成重大隐患。
2021年1月13日,工信部印发《工业互联网创新发展行动计划(2021-2023年)》,2021-2023年是我国工业互联网[2]的快速成长期,要推动工业化和信息化在更广范围、更深程度、更高水平上融合发展,文件明确提出安全保障强化行动,要依法落实企业网络安全主体责任,明确企业安全责任要求和标准规范,城市轨道交通企业作为高频应用的城市基础设施的直接管理者,必须在用户隐私保护、业务数据安全隔离、端到到数据安全等方面肩负起最重要的责任,也保障“5G+工业互联网”融合应用的持续推进。
5G网络的高带宽、低时延、海量连接等特性为轨道交通提供基础网络,大幅提升了轨道交通的信息化水平,催生更多的智能化数字化产品用于轨道交通,5G及安全技术可实现多网合一,节省自建网络的成本和运营成本,提高系统融合管理效率。
面对5G网络的新发展趋势,尤其是5G新业务、新架构、新技术,都会对安全和用户隐私保护提出新的挑战。5G安全机制除了要满足基本通信安全,还需要为不同业务场景提供差异化安全服务,能够适应多种网络接入方式及新型网络架构,保护用户隐私,并支持提供开放的安全能力。5G网络必须能够提供不低于传统专网的安全性与可靠性,才能够胜任高价值资产的承载,充分灵活地应用5G基础设施以及围绕5G网络的创新所带来的新技术与新能力,使5G网络与轨道交通的安全充分受益。
二、案例背景介绍
5G网络的引入,打破了原有相对封闭的网络环境,轨道交通业务及管理数据与运营商的网络数据汇聚在MEC上,MEC将承载重要轨道交通业务数据流量,同时作为边缘云还会承担相关的轨道交通业务以及开放网络能力,例如室内高精度定位业务,5G+智慧轨道交通数据将从传统的少量、单一、单向数据逐步发展为大量、多维、双向数据,5G+智慧轨道交通用户多样化、设备多样化、业务多样化、平台多样化的网络发展趋势,使得轨道交通业务数据在用户、设备、业务、平台之间持续流动,导致数据的安全风险增加。
1、 轨道交通数据中心需要同时处理5G接入的轨道交通用户数据和公众用户的互联网访问的数据,改变了内外网隔离的边界,同时数据中心内部的大量交互,导致网络边界变得更加模糊和复杂,这些因素使得攻击的途径和手段更加多样化,轨道交通数据更容易被窃取,增加了数据的安全风险。
2、 5G网络同时承载了公众用户以及轨道交通用户,但是网络资源有限,当网络高峰期时会影响到轨道交通业务应用的带宽、时延等可用性要求,导致业务受阻,严重影响业务正常运行。如果网络边界隔离不够,攻击者可能利用公众网络来攻击轨道交通网络。同时轨道交通不同类型业务有不同的业务性能指标要求,需要通过隔离来满足不同业务需求。
所以基于数据安全的考虑,除了要求数据进行隔离,同时还需要实现不同类型业务之间的隔离,满足业务端到端超低延时和高可靠性要求以及数据安全保护。
三、案例应用详情
5G+智慧轨道交通安全解决方案通过基于业务优先调度、多层次网络切片隔离安全、多元化边缘计算(MEC)安全、端到端数据安全保护,实现敏感数据不出轨道交通、超低时延及超高带宽,实现轨道交通信息高速传输、互联互通、智能应用,提升智能调度成效,为市民提供高效便捷的信息交互和乘车体验,有效提升轨道交通服务管理水平。
PRB硬隔离切片方案
5G网络切片是基于无线接入网、承载网与核心网基础设施,以及网络虚拟化技术构建的一个面向不同业务特征的逻辑网络,是上层的服务对网络质量的需求和底层的基础设施之间的桥梁。切片的目的是整合底层的资源,编排端到端的网络来满足服务对网络质量的需求。将切片技术应用于轨道交通业务,每个切片承载着特定的轨道交通应用,彼此相互隔离,可在网络层面实现精细化管理。首先通过细分基础网络,构建不同粒度的切片域,显著缩小被保护目标的攻击面;其次能够按照切片实施更细粒度、更严格的安全策略和更有针对性的管理手段,按需提供不同等级的安全服务;最后切片之间采用严格的隔离措施,一方面能够防范威胁向其他切片扩散,控制威胁的影响范围,另一方面也能够控制故障和异常的影响范围。
5G SA环境的无线PRB(Physical Resource Block,物理资源块)硬隔离切片方案,解决方案涵盖了5G商用终端、5G基站、承载及5G核心网,构建了端到端的5G轨道交通切片,标志着5G切片专网技术正式在轨道交通领域展开应用。
终端层面,普通切片和轨道交通切片采用不同的用户终端,根据接入控制各自接入到相应的切片中进行物理隔离;无线层面,采用PRB硬隔离为轨道交通切片预留了相关空口资源,实现轨道交通业务优先保障;传输层面,通过VPN方式对两种切片进行逻辑隔离;核心网层面,将各个子切片端到端拉通,普通切片和轨道交通切片采用UPF独享,实现用户数据隔离;应用层面,轨道交通用户专线接入轨道交通数据中心,实现物理隔离。
参考文献
- ↑ 什么是金融?,搜狐,2016-12-21
- ↑ 工业互联网到底是啥?看完这篇就都懂了!,搜狐,2020-11-16