王 斌，朱 佳，宗 悦，廖伟清

（1.华东桐柏抽水蓄能发电有限责任公司，浙江 天台 371200；2.中国电建集团华东勘测设计研究院有限公司，浙江 杭州311122；3.三峡大学电气与新能源学院，湖北 宜昌 443002）

0 引言

水电站是重要的能源生产设施，在经济建设、能源供应和环境保护上都具有重要意义。随着国家对科技创新的政策支持，电力企业纷纷提出了建设“智慧电站”的计划，明确了水电站智能化建设的发展方向[1]。依托各类数字化平台的支撑，智能化水电站能够实现各环节协同运行、智能交互，能源流、业务流、数据流多流融合，开放程度不断提升，参与主体更加多样化、交互方式更加智能化、融合数据更加丰富化[2]。

1 智能化水电站5G网络安全需求

5G作为新一代移动通信技术，拥有其它传统通信技术难以比拟的性能优势，在全球范围内得到了快速的发展[3]。5G采用全新的网络架构，以高速率、低延时和大带宽等显著特点，开启万物广泛互联和人机深度交互的新时代。5G技术与水电站运维深度融合[4]，有效推动了智能化水电站的建设与发展，但也带来了一些新的网络安全风险，主要体现在以下几个方面：

（1）5G网络功能虚拟化和服务化架构技术使得原有网络中基于功能网元进行边界防护的方式不再适用，且其底层实现多使用开源软件，出现安全漏洞的可能性加大。

（2）网络切片基于共享硬件资源，在没有采取适当安全隔离机制情况下，低防护能力切片易成为攻击其他切片的跳板。

（3）边缘计算在网络边缘、靠近用户的位置上提供信息服务和计算能力，由于其设施通常会暴露在不安全环境中，受性能成本、部署灵活性等多种因素制约，存在接入认证授权、安全防护等多方面安全风险。

（4）网络能力开放采用互联网通用协议，与之前相对较为封闭的通信网络相比，易将互联网现有的各类网络攻击风险引入5G网络。

此外，接入5G网络的智能化水电站是典型的行业网应用[5]，与公众网应用不同，智能化水电站5G网络在资源隔离、安全保障、业务质量保障等方面均有较为严格的要求，而在智能电网应用层面，涉及到电网控制保护、设备状态感知、传感器数据采集等多种业务类型[6]，相应的对网络的速率、带宽、延时、丢包率等都有不同的要求。同时，运营商5G网络对接智能化水电站应用时，水电站数据通过运营商网络来承载和交互，将会涉及到水电站高度隐私和保密的生产系统以及内部数据，存在数据泄露的风险。

2 常用5G网络防护策略

2.1 专网隔离

5G专用网络是指使用5G技术在特定区域内创建的具有统一连接性、能够优化服务和进行安全通信的网络，本质上是为用户提供定制化网络通信服务的局域网，其结构图如图1所示，它与5G公用网络的主要区别在于应用场景、网络性质和服务内容等方面。

图1 5G专用网络部署结构图

通过部署5G专用网络，能够为用户提供定制化网络服务，在实际应用中，通常是将用户业务分为专网业务和公网业务，专网业务只在专用网络内进行数据的传输和交互，避免公用网络的干扰，实现专网隔离。

专网隔离的优势主要有：

（1）专用网络和公用网络之间属于物理隔离，可以有效防止来自互联网的网络攻击，最大程度保障用户网络安全。

（2）专用网络通常由独立部署的5G网络设备构建，与网络运营商的网络设施分离，即使公用网络设施出现故障，用户的5G专用网络也可以正常工作。

（3）在专用网络内进行网络通信，属于局域网通信，设备和应用程序服务器之间的网络延迟相对公网通信大幅减小。

（4）从专用网络设备上产生的数据流量和操作数据等信息，仅在用户内部系统进行存储和管理，可以保障用户内部数据不外泄，实现完整的数据安全防护。

2.2 网络切片

5G网络切片是指将一个传统意义上的物理网络划分成多个端到端的逻辑虚拟网络，每个网络切片都对应有接入网、传输网和核心网，而在各个网络环节之间都存在逻辑隔离，可以适配各种类型服务的不同特征需求，从而满足多业务应用。建立稳定、高速、实时的通信系统是建设智能电网的基础，5G网络切片能够为不同行业、不同用户、不同业务提供数据隔离、功能可定、质量有保障的网络服务，在实现能源互联网的基础上提高电力系统的能源效率，图2是典型的5G网络切片示意图。

图2 典型的5G网络切片示意图

与传统的物理专网相比，5G网络切片是基于共享资源构建的虚拟化专用网络。除了具备传统移动网络安全机制外，网络切片还能提供端到端的安全隔离机制，具体表现为用户可以接入一个或多个网络切片，并实现不同切片之间的物理隔离，从而确保一个切片的故障或堵塞不会影响其它切片的正常工作。对于行业用户而言，网络切片有助于降低专用网络建设和运营成本，同时能够灵活地满足动态变化的网络需求。作为5G网络技术的重要创新，网络切片技术的应用为5G网络和行业应用的深度融合奠定了坚实的基础。

3 智能化水电站5G网络安全接入方案

智能化水电站5G网络安全接入的总体要求是根据智能化水电站场景需求实现分区安全接入、网络隔离专用、数据可控、终端按需管控，同时通过必要的安全手段进行安全加固，在满足电站业务隔离、防范非法终端接入、保护业务数据安全的同时，提升智能化水电站5G网络安全防护能力。

结合专网隔离和网络切片的特点，提出一种智能化水电站5G网络安全接入方案，结构图如图3所示。首先根据水电站内的各种终端设备对5G网络访问需求的差异将设备数据分为专网数据和公网数据，并利用FLEXE技术构建两条5G网络传输通道分别传输这两种数据，接着根据设备类型将专网数据进一步细分，再设置相互独立的VPN来传输不同类别的数据，之后按类别在5G核心网中进行网络切片，实现智能化水电站5G网络的安全接入。

图3 智能化水电站5G网络安全接入方案结构图

具体实施流程为：

（1）通过水电站内各终端设备对水电站的生产运行情况进行监测，并将工作数据利用5G基站传输至虚拟传输通道。

（2）根据终端设备数据是否需要接入互联网中进行交互将水电站内终端设备数据分为专网数据和公网数据。

（3）利用FLEXE技术构建两条传输通道分别传输专网数据和公网数据。

（4）按照水电站内终端设备的类型将不同的终端设备数据进一步细分，相应地设置多个相互独立的VPN来管理不同类别的终端设备数据。

（5）通过各自VPN下的VLAN将终端设备数据传输至5G核心网。

（6）在5G核心网中设置两个UPF，对专网数据和公网数据进行网络切片。

（7）将切片处理的各终端设备数据传输至对应业务区进行后续的操作和处理。

其中，需要接入互联网的终端设备数据归类为公网数据，仅需在站区内进行传输交互的终端设备数据则为专网数据。而进一步细分的标准则表现为不同终端设备输出数据的差异性，例如网络摄像头输出视频和图像数据，而巡检机器人和智能仪表等输出数据主要是数值和状态量，传输时对于网络的速率、带宽、时延、可靠性等有不同的要求，进一步划分设备数据类型能够提升数据传输的稳定性以及网络资源利用率。

4 结语

5G技术是推动智能化水电站建设与发展的关键因素，本文针对现阶段智能化水电站存在的5G网络安全问题，介绍分析了专网隔离和网络切片两种5G应用中常用的网络安全防护策略，进而提出了一种智能化水电站5G网络安全接入方案，主要是根据水电站内的各种终端设备对5G网络访问需求的差异和终端设备的类型将数据分类，并构建不同的虚拟网络传输通道来传输各类数据，接着在5G核心网中进行网络切片，以此来实现智能化水电站5G网络的安全接入。