工业互联网+IPv6网络建设实施规范（征求意见稿）

IndustrialInternetIPv6networkconstructionimplementati2023-XX-XX发布2023-XX-XX实施中国电子学会发布I I II 1 1 1 24.1网络建设的总体要求 24.2工厂内网络架构 34.3工厂外网络架构 3 4 54.6工业互联网安全防护 6 7 8 9 9 9 10 11 11 11 11 12 12 12 12 12 12 13 13本规范共分7章，主要技术内容包括：全面阐述了工业互联网基于IPv6的网络建设实施规范的建设请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。1工业互联网IPv6网络建设实施规范本标准规定了工业互联网IPv6网络建设的总体要求、网络建设的基本要求、设备安全管理、IPv6规范中的通用报文隧道（GenericPacke通告带有IPv6下一跳地址的IPv4网络层可达性信息（AdvertisingIPv6流标签规范（IPv6FlowLab信息技术系统间远程通信和信息交换基于IPv6的无线网络接MultiProtocolLabelSwitchNMSNetworkManagementSystem第3版开放最短路径优先协议RouteInformationProtocolNextGeneratiStatelessAddressAutoSimpleNetworkManagemeUDPUserDatagramProtocolURPFUnicastReversePathForwardiVPN4.1网络建设的总体要求4.1.1三类企业主体3b）工业服务企业，围绕设计、制造、供应、服务等环节提供服务的各类企c）网络服务企业，主要包括基础电信运营商、网络服务供相互理解，从而实现数据互操作与信息集成，可采用的协议包括但不限于OPCUAMQT4.2工厂内网络架构4.2.1功能要求工厂内网络应满足以下要求:现场总线、以太网、光纤网、无线网等多种方式实现c）支持IPv6。IT网络和OT网络支持IP协议，支持IT与OT节点(机器等功能此外，工厂内网络宜支持新技术，如TSN、5G、面向工业自动化的无线网络(WIA）、4.3工厂外网络架构4.3.2功能要求工厂外网络应满足以下要求:铜缆建筑物结构化布线系统选用铜缆时应符合GB/T7424建筑物通信布线标准规定的6类非屏蔽双绞线，同时满足以下要求:a）10Gbps以太网布线系统的建设c）连接台式计算机的6类5类布线应使耗电IP设备(交流电源）d）当5类跳接线被用于连接6类结构化布线的客户端设备时，其输出性能将受到工业互联网中星型交汇点的交换机作为信号分路器该交换机基于地5工业互联网网络建设目标是构建全要素全系统全产业链互联互通的新型基础设4.5.1生产控制网络生产控制网络可包括:d）用于生产控制网络数据汇聚的远程终端单建设模式生产控制网络建设模式主要有两种:b）升级模式:对已有工业设备和网络设备进行b）用于办公系统、业务系统互联互通的通用数据通信设备；c）用于实现企业/园区全面覆盖的无线网络(5GNB-在企业与园区网络的出口路由器上，根据不同的网络需求，引导流量去往不同的网络连接。工业企业根据自身业务的层次化网络需求，在企业与园区网络的出口路由器上，引导不同业务流量去往不同的网络连接。例如企业与客户的信息沟通、面向大众的客户服务等可采通互联网连接，高价值产品的远程运维和服务可采用基于互联网的虚拟专线或5G切片网络，4.5.4数据互通互操作体系信息互通互操作体系部署核心目标是构建从底到上全流程、全业务的数据互通系统。备、监控采集设备、专用远程终端单元、数据服务器等，部署支持行业专有信息模4.6工业互联网安全防护工厂内部网络安全防护要求包括但不限于:工厂外部网络安全防护要求包括但不限于:7边界防护要求包括但不限于:1）应在网络边界根据访问控制策略设置访问控制规则，保证跨越网络边界的访问和数据流2）应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小Web、Telnet、Rlogin、FTP等通用网络服务；5）应能根据会话状态信息为进出数据流提供明确的允通过转发数据包来实现网络互连的设备。路由器可以支持多种协议一个物理端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表决路由表应动态维护来反映当前的网络拓扑。路由器通常通过与其他路由器交换路交换链路层用户数据帧。交换机应实现数据帧的转发。支持以太网接口的交换上的数据帧不转发（丢弃）到其它端口的行为。交换机应实现基本过i）网络管理功能：交换机应提供网络管理接口并且实现4.8.1DNS4.8.2虚拟网络服务基于互联网的虚拟网络服务的安全设计和实施应满足以下c）具备高可靠性，能够保证服务的稳定性94.9.2政务内网地址政务内网网络地址分为三类：系统地址、共享地址和互联地址。各部门内部网络使用c）互联地址：包括链路地址(网络设备间的点对点互联地址）和设备管理地址。4.9.3政务外网地址政务外网的网络地址包括用户地址和互联共享地址。各部门内部网络使用用户地址，用户地址:是指部门内部网络的设备地址和接入政务外网所需使用的地址，包括内被访问。互联共享地址包括链路地址(网络设备间的点对点互联地址）和设备管理地址1）应对使用工业互联网平台与工业应用程序的用户身份进行2）工业互联网平台及工业应用程序的登录过程应提供并启用登录失败处理功3）应使用密码技术对鉴别数据进行保密性5）用户身份鉴别信息丢失或失效时，应采用技术措施确保鉴别信息重置应提供访问控制功能，对使用工业互联网平台及工业应用程序的用户分配账户及相应2）应重命名或删除默认账户，修改默认账3）应及时删除或停用多余的、过期的账户，避免共4）工业互联网平台应为工业应用程序提供访问控制授权能对于工业互联网平台及工业应用程序应提供数据合规性检验功能(如验证数据类型是确、数据大小或长度是否超出范围等保证通过人1）工业应用程序供应商不应通过捆绑安装、自动启动等2）应设置针对工业应用程序的白名单功能，根据应用程序白名单控制应用3）应具有应用程序权限控制功能，应能控制应用程序对终端设备1）工业互联网平台运营商应保证终端设备安装、运行的工业2）工业互联网平台运营商应保证终端设备安装、运行的工业应用程序由可1）工业互联网平台及工业应用程序应具备会话超时自动结束2）应能够对工业互联网平台及工业应用程序的最大并发会话连5.2数据平面安全2）应确保工业互联网平台数据迁移过程中重要数据的完整性,并在检测到完整性受到破坏时工业互联网平台应提供数据脱敏和去标识化的工具或服务2）应提供查询工业互联网平台客户数据及备份存3）工业互联网平台应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用2）应保证鉴别信息所在的存储空间被释放或重新分配3）应保证工业互联网平台用户所使用的内存和存储空间在回收时得应能通过网管接口向网管系统实时主动上报设备中定义的告警应能通过网络管理接口实时主动上报经过告警过滤设定的告警事件，告警过滤包括告b）通过网管接口，被管设备或网元管理系统可以周期上报设备的实设备应能通过网管接口向网管系统实时主动上报流量流向统计数据。支持流备接入工业互联网平台的基本条件。设备联网相关工作包括但不限于:据的c汇总、集成、存储和分析工作，确保设备数据可在边缘端得到