张 卿，王冰冰，王计峰

（山东宏阳煤矿有限公司，山东 济宁272400）

随着信息技术的发展，矿山的强化在智能矿山管理中的应用正成为国家矿山发展的新趋势。除了采矿以外，矿山5G +矿山模型还有助于对许多领域（例如铁矿石和有色金属）中使用的现有矿山进行更改和升级。

1 矿山5G 网络的安全接入的重要性

为了提高业务管理效率，我们为集团公司开放了专用的VPN，为公司提供各种应用程序服务，包括挖掘，协作和OA 设备销售。对公司生产和运营的影响可能会通过该部引发攻击，这对团队的整个信息网络构成了严重威胁。因此，本地管理人员必须树立适当的网络信息安全概念，并充分了解信息网络的安全性。加速创建用于保护基础信息架构的关键系统，并提高公司保护信息安全的能力。

2 矿山5G 网络设备的接入安全威胁

2.1 基础设施的安全威胁

基站设备包括扩展的硬件设备和基站数据文件的内部软件版本。在安装设备的环境中，有关负责人员要提高安全保护措施，以防止损坏设备。周围的环境，例如温度，可以避免其损坏。对基站应用程序的安全威胁可以降低到最小。

2.2 空口的安全威胁

空口是指在用户终端和基站之间显示无线电信号。无线接口的安全威胁广泛应用于三个方面。信息泄漏；基站信号范围内未经身份验证的用户可以使用诸如阻塞，嗅探，黑客攻击等方法接收信号并从基站接收数据传输。输入流信息量；例如，它还会伪造一个基站，发送无线电信号并欺骗合法用户，以窃取用户数据。攻击设备发出较强的干扰信号，干扰最终用户与基站之间的无线连接，从而干扰了基站的整体运行。

2.3 核心网接口的安全威胁

核心网接口包含基站与核心网的飞行数据，以及基站与基站之间的数据盗窃接口，并通过网络传输。它还通过可用网络（DOS），缓冲区溢出等无效数据传输来响应不安全的传输协议和数据包攻击等安全威胁。提供频繁的维护，处理传输数据，从而破坏数据的完整性。

3 矿山5G 网络的安全接入措施

3.1 矿山5G 网络基础设施的安全方案

要想保障基站基础设施安全，首先，需要确保站设备和外围网络设备的安全，例如访问控制和管理，蒸汽，温度传感器等。如果有问题，管理员必须在时区中做出第一反应。与此同时，还需要设置防火墙。基站模块通过核心网络，网络管理服务器系统协议连接到其他网络设备，并且容易受到IP 网络（数据包）的攻击和DoS 广播的攻击。定义文件过滤策略时，仅提供开放端口/协议的列表，默认情况下会拒绝未使用的端口。还可以自定义入侵检测系统（IDS）以检测网络瞬时攻击并执行预警措施。

3.2 空口的安全方案

3.2.1 支持数据机密性

数据加密意味着不能使用加密算法将信息从文本转换为数字文本还不能可靠地进行过滤数据。站点矿山5G 根据CMS 发送的安全策略提供加密的用户数据，并支持诸如NEA0、128-NEA1、128-NEA2、128-NEA3 之类的加密算法。加密算法通过5G UE 和安全信令模式（PRC）发送到站点。加密算法分别由UE 和5G 蜂窝基站生成。

3.2.2 支持数据完整性

确认码认证（MAC-I）使用传输机密性算法对消息进行计数并维护数据完整性，而接收者计算（X-MAC）l Mac-1 和X-Mac 完整性和匹配算法，以防止数据更改，矿山5G 基站根据SME 通过的安全策略增强了对用户数据完整性的保护。通用安全算法由来自PRC 信令中矿山5G 站的UE 表示。 矿山5G 基站支持完整性算法， 例如NEA0、128-NEA1、128-NEA2、128-NEA3，并使用基于发送方交互的内置安全算法。安全密钥分别由UE 和矿山5G 基站生成。

3.3 核心网接口的安全方案

3.3.1 物理层安全

物理层通过打包的电缆传输信号，以防止外部监视和干扰。备份多个物理连接和多个物理备份端口，以确保系统的可用性。

3.3.2 链路层安全

不同的链路层要使用VLAN 隔离来防止DoS攻击和监视数据，并为用户提供安全的数据传输以及传入的MAC 加密数据和数据帧。它支持MACSec加密以确保其一致性。验证和验证数据源的可靠性，并支持802.1x 访问控制和身份验证协议。没有正确的身份验证，基站将无法访问运营商的网络，并且基站上打开的物理网络端口可以限制对授权用户/设备的访问。

3.4 网管接口的安全方案

3.4.1 账户管理

基站系统支持集中式本地帐户管理。中央帐户是由网络管理员创建和管理的帐户，并包含在网络管理中以进行验证。本地帐户是由网络管理员创建的帐户，但是在基站上是本地授权的。用户帐户管理支持常见的用户名和密码输入，以及基于PKI 的数字证明。用户身份验证方法使系统可以轻松修复密码破解问题，同时保持所需的系统高速密码设置（8 个或更多密码）。还需要至少3 位大写，小写和特殊字符。它还确定系统密码的安全性。如果用户不遵守密码规则，则用户必须在登录时更改密码。系统可以根据用户的个人需求为帐户设置相同的验证周期，并且该帐户在到期后可能变得不可用。为了加强用户密码，我们限制了输入系统密码尝试次数。如果超过尝试次数，则会阻止用户再输密码。

3.4.2 权限管理

还要使用用户身份验证系统来防止未经授权的用户访问系统。用户访问系统时，还需要进行授权检查。这将检查读取是否可以读取或修改，以及是否在系统文件的运行/执行权限之内。不同级别的用户组具有不同的权限。登录当向用户发送登录确认时，可以控制Station 矿山5G。基站必须根据用户组批准并控制用户的操作。系统会根据次要特权的分离原则为具有不同功能的用户创建具有不同特权的角色。对信息权的类别也有独占控制权。只有已收到更改授权帐户的安全管理员才能设置帐户身份验证，以防止恶意更改帐户的情况发生。

3.4.3 传输安全

系统使用安全链接（SSH）/安全文件传输协议（SFTP）/ 简单网络管理协议（SNMPv3）通过网络传输数据。增加加密通道，将很难偷窃信息。通过采用SSH / SFTP 协议，可以有效地防止攻击者在上层和下层网络的控制系统之间远程控制信息流和数据传输。 SSH / SFTP 功能包括所有传输数据的域名解析（DNS）IP 加密，压缩的数据传输速率以及提供安全的FTP 通道。包括Telnet 修改。它使用SNMPV3协议来验证数据完整性，并确保数据在传输过程中没有被更改或损坏，或者传输顺序没有更改。可以识别数据源以确保传输对和数据源的可靠传输。数据加密意味着无法在传输过程中窃取或过滤数据。消息中的序列号表示在指定时间序列之外生成的数据将不被接受。搜索消息时生成的消息可能超过指定的时间段。 SNMPv3 查找服务用于识别消息，传递设备标识的消息是否已在传递过程中发送，修改或传输，或者是否更改了传递方向。使用SNMPV3加密服务对电子邮件设备进行加密，以便无法直接读取数据。

3.4.4 敏感信息保护

根据保护机密的原则，必须对客户的个人信息保密。换句话说，人们无法在未经许可的情况下查看它，也没有传输它的权限。如果在传输过程中移动数据，则该数据必须是匿名的。个人信息可能会或可能不会直接或间接链接到客户的个人信息。如果用户名可以获取已知的用户名，则该用户名就是用户的机密信息。这种联系相对简单，被称为直接个人信息。应该将更多圈子与用户信息联系起来的某些信息称为间接个人信息。所谓的匿名性是指当数据包含与隐私有关的信息时，无论是否导出文件，都将对其进行加密处理以保护数据的安全性。根据通用数据保护条例（GDPR），个人信息包括国际移动用户身份（IMSI） 和国际移动电话身份（IMEI），UEIP 互联网电话号码和地址电子邮件。我们采取的策略是内部安全和外部取消资格。系统之间的数据以其他方式受到保护，以确保数据加密，加强数据链路管理系统并确保个人数据安全，还必须要使用感应技术将数据禁用。

3.4.5 日志审计

基站在操作系统中记录并存储关键信息。如果发生安全违规事件，必须在日志中附上说明，以确定其起因，并提供有效的凭证来来防止人员不承认其执行过程。

4 结 语

综上所述，随着现代信息网络技术的发展，网络安全是所有矿山企业领导者面临的问题，以上措施值得我们参考借鉴。