工业PON安全白皮书

股有限公司研究工业PON安全白皮书本白皮书版权属于中国电信股份有限公司研究院及其合作单位工业PON安全白皮书主要编写人员排序不分先后）工业PON安全白皮书中国制造业经过近几十年的飞速发展，规模已经跃居世界第一。安全保障能力提升。2019年，工信部联合九部门印发《加强工业互工业互联网安全保障体系；2021年，工信部出台《工业互联网创新发展行动计划（2021-2023年）》，将工业互联网“安全保障增强”府监管、企业主责的安全管理格局；2024年1月，工信部引发《工杂多样的制造环境下长期稳定运行。工业PON发挥光纤网络抗干扰工业PON安全白皮书本白皮书针对工业PON提出安全防护目标、推荐安全架构和与工业PON安全白皮书 1 1 2 4 4 5 5 5 8 9 11 12 12 14 15 16 27 30 30工业PON安全白皮书1络单元）和连接局端和用户端设备的ODN（光分配网络）组成，具体架构参考图1[2]。工业PON通过工业级接入网关（ONU）设备实工业PON安全白皮书2攻击者利用设备软硬件漏洞，对工业PON设备或其他网络设备进行入侵，获取攻击者对工业PON网络设备或生产设备上的关键数据进行恶意加密，并对生产配置修改或对网络关键数据进行删除或恶意加工业PON安全白皮书3在工业企业数字化转型趋势下，网络安全防护是合规要求（满足）；）；在工业智造的趋势下，防护智能化为牵引方向（安全态势监测感）；工业PON安全白皮书4基于“全生命周期、四重安全防护”的体系思想，全面覆盖装备制造工业PON安全技术框架从“设备安全、网络安全、数据安全、管控安全”四个维度提出了安全防护技术要求，同时参考工业互联网安全等级定义，为工业PON网络安全制定四个国家监管机构、工业物联网相关企业更好的工业PON安全白皮书5标准GB/T35673-2017[4]对工业通信网络系统安全要求的分级思路，安全等级防护目标SL1防止随机活巧合的违规SL2防止使用少量资源、通用技能、低动机的简单手段进行的蓄意破坏SL3防止使用一般资源、专业技能、一般动机的复杂手段进行的故意入侵SL4防止使用扩展资源、特殊技能、高动机的复杂手段进行的故意入侵工业场景下的OLT和ONU设备部署位置复杂，存在近端物理攻工业PON安全白皮书6工业OLT和ONU设备应支持基于硬件可信根的安全启动。上运行固件的来源和完整性，确保工业PON设备运行的固件是来源数据库加固：网管和自服务平台的数据库和IT服务及应用，需要遵循一般化的IT系统安全防护原则，如权限限制、账号管理、访工业PON安全白皮书7用户设置弱密码。同时，工业PON设备应能检测管理界面登录口令此处我们讨论设备安全，关注的是PON设备系统内对各类资源的访工业OLT设备应能检测到管理面常见协议报文攻击事件和设备OS工业PON安全白皮书8终端设备接入工业PON网络，会给工业网络工业PON安全白皮书9更加重要。工业PON场景下的冗余保护应包括设备级的单板主备保护、固件主备保护，以及工业OLT设备的上行与下行的链路级主备工业PON设备作为重要的关键基础设施网络节点，容易面临专业攻击者有组织有计划的攻击，因此工业PONPON网络和终端设备进行保护，防火墙应支持基础的广域网访问控功能，如实时的典型恶意攻击流量识别，并工业ONU设备应支持应用流量识别和管控，通过黑白名单方式工业PON安全白皮书中的OLT和ONT应相互配合，在PON网络中提供传输数据加密功工业4.0场景下，OLT和ONU将不再是单一的网络设备，边缘工业PON安全白皮书工业PON网络管理平台应具备基于数字签名的软件完整性校验工业OLT和ONU设备上报安全入侵事件，通过网管将工业OLT和ONU设备，以及配套网管支持对系统的安全变工业OLT和ONU设备在上电启动或重启过程通过应用安全启动工业OLT和ONU设备厂商应使用编译器支持的安全防护特性对应用进行加固，以增加其被攻击者利用的难度。工业PON设备推荐工业PON安全白皮书通过在应用内存特定区域部署“金丝雀（Canary）”字段，以检查内存数据是NX可对文件减肥，降低文件大小。工业PON设备厂商应在软件编译时工业PON安全白皮书工业PON应根据网络属性和终端设备形态，应用对应的设备接办公网络或者核心管理区域，建议部署802.1x认证，可以根据监控网络，如果是已经支持802.1x的智能摄像头，可以部署工业PON安全白皮书建议使用MAC认证。PON典型的冗余组网架构，通过汇聚层、链路层和接入层三个维度作异常时快速切换到备用OLT设备；链路层冗余保护：通过链路冗余部署，保障工业PON链路在断工业PON安全白皮书工业PON承载着包括生产网、办公网、园区公共网在内的不同深度过滤OLT上行方向的恶意报文，阻止攻击者基于管理网向工业工业PON安全白皮书图示中的工业防火墙可以独立设备形态部署，或以软件模块/板广域网访问控制功能：可基于报文的源/目的MAC地址、IP五工业PON作为重要的关键基础设施网络，容易面临专业攻击者）：），工业PON安全白皮书l作业终端与ONU处于同一车间的相邻位置，作业终端与ONU之间数据所面临的安全威胁主要来自能够进入车间现场人员的近端线路中断破坏，其安全防护由物理门禁仅允许授权人员进入作业终端工作区域，以及定时人工巡检作业区的管理手段，结合实时线路连接检测发现中断立即告警的技工业PON安全白皮书米到数公里不等，在长距离的ODN传输线路上，面临着中间人攻击通过光纤窃听等手段获取PON线路中传输的数据，导致数据泄露的威胁，为了防止ODN上传输数据泄露，需于同一物理空间，需要经过外部暴露的传输线路，在数据传输过程中，也面临着攻击者通过窃听网络中传输的数据非法露和篡改，需要通过建立安全协议传输通道对进行传输数据查结果对网络安全配置进行优化，可有效提工业PON安全白皮书安全配置核查与修复，保障产品配置是最安全的状态。下表是工业YYYYNNNNYYYYYN工业PON安全白皮书工业PON系统应支持安全态势感知，帮助管理和运维人员从宏工业PON安全白皮书备层通过告警或通知的方式将判定的结果信息传递到管控层(网管或云端平台)。设备层的具体态势感知内容，建议包含但不仅限于如下工业PON安全白皮书可以通过管理控制层的大屏或者智能终端APP等实时快捷地看到最参考国家标准GB/T35673-2017[4]中对工业通信网络系统的安全分级要求，结合本白皮书中提出的工业PON关键能力给出如下分级工业PON安全白皮书类别安全能力SL1SL2SL3SL4设备安全调试接口安全√√√硬件唯一标识√√安全启动√√√√安全升级√√√系统加固√√认证与鉴权√√√√访问控制√√√√入侵检测√√√应用加固√√防御式编程√应用隔离√√安全设备接入认证√√√√冗余保护√√√√防火墙√√√√入侵防御（IPS）√流量管控√√√√数据安全传输安全√√√√存储安全√√√√安全删除√√√管控安全管理平台安全√√√√安全态势感知和响应√安全审计和溯源√√√√安全配置核查√√工业PON安全白皮书图13某综合管廊项目PON安全解决方案工业PON安全白皮书用性，该组网使用ONU双上行双归“手拉手”保护方案，实现了路工业PON安全白皮书AI在岗管理等；同时，该企业网络需要同时给车间生产、安全运维难题。该企业在园区网络数字化转型时，采用了设备集中管理，保障工业网络资产安全。运维人员通过用户APP界工业PON安全白皮书为保障业务零中断，该企业PON网络采用“设备级+链路级”冗余保护机制，即同时部署了两台OLT设备互为备份，同时在PON该企业从网络安全