工業(yè)互聯(lián)網(wǎng)+IPv6網(wǎng)絡建設實施規(guī)范（征求意見稿）

IndustrialInternetIPv6networkconstructionimplementati2023-XX-XX發(fā)布2023-XX-XX實施中國電子學會發(fā)布I I II 1 1 1 24.1網(wǎng)絡建設的總體要求 24.2工廠內(nèi)網(wǎng)絡架構(gòu) 34.3工廠外網(wǎng)絡架構(gòu) 3 4 54.6工業(yè)互聯(lián)網(wǎng)安全防護 6 7 8 9 9 9 10 11 11 11 11 12 12 12 12 12 12 13 13本規(guī)范共分7章，主要技術(shù)內(nèi)容包括：全面闡述了工業(yè)互聯(lián)網(wǎng)基于IPv6的網(wǎng)絡建設實施規(guī)范的建設請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。1工業(yè)互聯(lián)網(wǎng)IPv6網(wǎng)絡建設實施規(guī)范本標準規(guī)定了工業(yè)互聯(lián)網(wǎng)IPv6網(wǎng)絡建設的總體要求、網(wǎng)絡建設的基本要求、設備安全管理、IPv6規(guī)范中的通用報文隧道（GenericPacke通告帶有IPv6下一跳地址的IPv4網(wǎng)絡層可達性信息（AdvertisingIPv6流標簽規(guī)范（IPv6FlowLab信息技術(shù)系統(tǒng)間遠程通信和信息交換基于IPv6的無線網(wǎng)絡接MultiProtocolLabelSwitchNMSNetworkManagementSystem第3版開放最短路徑優(yōu)先協(xié)議RouteInformationProtocolNextGeneratiStatelessAddressAutoSimpleNetworkManagemeUDPUserDatagramProtocolURPFUnicastReversePathForwardiVPN4.1網(wǎng)絡建設的總體要求4.1.1三類企業(yè)主體3b）工業(yè)服務企業(yè)，圍繞設計、制造、供應、服務等環(huán)節(jié)提供服務的各類企c）網(wǎng)絡服務企業(yè)，主要包括基礎(chǔ)電信運營商、網(wǎng)絡服務供相互理解，從而實現(xiàn)數(shù)據(jù)互操作與信息集成，可采用的協(xié)議包括但不限于OPCUAMQT4.2工廠內(nèi)網(wǎng)絡架構(gòu)4.2.1功能要求工廠內(nèi)網(wǎng)絡應滿足以下要求:現(xiàn)場總線、以太網(wǎng)、光纖網(wǎng)、無線網(wǎng)等多種方式實現(xiàn)c）支持IPv6。IT網(wǎng)絡和OT網(wǎng)絡支持IP協(xié)議，支持IT與OT節(jié)點(機器等功能此外，工廠內(nèi)網(wǎng)絡宜支持新技術(shù)，如TSN、5G、面向工業(yè)自動化的無線網(wǎng)絡(WIA）、4.3工廠外網(wǎng)絡架構(gòu)4.3.2功能要求工廠外網(wǎng)絡應滿足以下要求:銅纜建筑物結(jié)構(gòu)化布線系統(tǒng)選用銅纜時應符合GB/T7424建筑物通信布線標準規(guī)定的6類非屏蔽雙絞線，同時滿足以下要求:a）10Gbps以太網(wǎng)布線系統(tǒng)的建設c）連接臺式計算機的6類5類布線應使耗電IP設備(交流電源）d）當5類跳接線被用于連接6類結(jié)構(gòu)化布線的客戶端設備時，其輸出性能將受到工業(yè)互聯(lián)網(wǎng)中星型交匯點的交換機作為信號分路器該交換機基于地5工業(yè)互聯(lián)網(wǎng)網(wǎng)絡建設目標是構(gòu)建全要素全系統(tǒng)全產(chǎn)業(yè)鏈互聯(lián)互通的新型基礎(chǔ)設4.5.1生產(chǎn)控制網(wǎng)絡生產(chǎn)控制網(wǎng)絡可包括:d）用于生產(chǎn)控制網(wǎng)絡數(shù)據(jù)匯聚的遠程終端單建設模式生產(chǎn)控制網(wǎng)絡建設模式主要有兩種:b）升級模式:對已有工業(yè)設備和網(wǎng)絡設備進行b）用于辦公系統(tǒng)、業(yè)務系統(tǒng)互聯(lián)互通的通用數(shù)據(jù)通信設備；c）用于實現(xiàn)企業(yè)/園區(qū)全面覆蓋的無線網(wǎng)絡(5GNB-在企業(yè)與園區(qū)網(wǎng)絡的出口路由器上，根據(jù)不同的網(wǎng)絡需求，引導流量去往不同的網(wǎng)絡連接。工業(yè)企業(yè)根據(jù)自身業(yè)務的層次化網(wǎng)絡需求，在企業(yè)與園區(qū)網(wǎng)絡的出口路由器上，引導不同業(yè)務流量去往不同的網(wǎng)絡連接。例如企業(yè)與客戶的信息溝通、面向大眾的客戶服務等可采通互聯(lián)網(wǎng)連接，高價值產(chǎn)品的遠程運維和服務可采用基于互聯(lián)網(wǎng)的虛擬專線或5G切片網(wǎng)絡，4.5.4數(shù)據(jù)互通互操作體系信息互通互操作體系部署核心目標是構(gòu)建從底到上全流程、全業(yè)務的數(shù)據(jù)互通系統(tǒng)。備、監(jiān)控采集設備、專用遠程終端單元、數(shù)據(jù)服務器等，部署支持行業(yè)專有信息模4.6工業(yè)互聯(lián)網(wǎng)安全防護工廠內(nèi)部網(wǎng)絡安全防護要求包括但不限于:工廠外部網(wǎng)絡安全防護要求包括但不限于:7邊界防護要求包括但不限于:1）應在網(wǎng)絡邊界根據(jù)訪問控制策略設置訪問控制規(guī)則，保證跨越網(wǎng)絡邊界的訪問和數(shù)據(jù)流2）應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小Web、Telnet、Rlogin、FTP等通用網(wǎng)絡服務；5）應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允通過轉(zhuǎn)發(fā)數(shù)據(jù)包來實現(xiàn)網(wǎng)絡互連的設備。路由器可以支持多種協(xié)議一個物理端口。路由器根據(jù)收到的數(shù)據(jù)包中網(wǎng)絡層地址以及路由器內(nèi)部維護的路由表決路由表應動態(tài)維護來反映當前的網(wǎng)絡拓撲。路由器通常通過與其他路由器交換路交換鏈路層用戶數(shù)據(jù)幀。交換機應實現(xiàn)數(shù)據(jù)幀的轉(zhuǎn)發(fā)。支持以太網(wǎng)接口的交換上的數(shù)據(jù)幀不轉(zhuǎn)發(fā)（丟棄）到其它端口的行為。交換機應實現(xiàn)基本過i）網(wǎng)絡管理功能：交換機應提供網(wǎng)絡管理接口并且實現(xiàn)4.8.1DNS4.8.2虛擬網(wǎng)絡服務基于互聯(lián)網(wǎng)的虛擬網(wǎng)絡服務的安全設計和實施應滿足以下c）具備高可靠性，能夠保證服務的穩(wěn)定性94.9.2政務內(nèi)網(wǎng)地址政務內(nèi)網(wǎng)網(wǎng)絡地址分為三類：系統(tǒng)地址、共享地址和互聯(lián)地址。各部門內(nèi)部網(wǎng)絡使用c）互聯(lián)地址：包括鏈路地址(網(wǎng)絡設備間的點對點互聯(lián)地址）和設備管理地址。4.9.3政務外網(wǎng)地址政務外網(wǎng)的網(wǎng)絡地址包括用戶地址和互聯(lián)共享地址。各部門內(nèi)部網(wǎng)絡使用用戶地址，用戶地址:是指部門內(nèi)部網(wǎng)絡的設備地址和接入政務外網(wǎng)所需使用的地址，包括內(nèi)被訪問?；ヂ?lián)共享地址包括鏈路地址(網(wǎng)絡設備間的點對點互聯(lián)地址）和設備管理地址1）應對使用工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應用程序的用戶身份進行2）工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應用程序的登錄過程應提供并啟用登錄失敗處理功3）應使用密碼技術(shù)對鑒別數(shù)據(jù)進行保密性5）用戶身份鑒別信息丟失或失效時，應采用技術(shù)措施確保鑒別信息重置應提供訪問控制功能，對使用工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應用程序的用戶分配賬戶及相應2）應重命名或刪除默認賬戶，修改默認賬3）應及時刪除或停用多余的、過期的賬戶，避免共4）工業(yè)互聯(lián)網(wǎng)平臺應為工業(yè)應用程序提供訪問控制授權(quán)能對于工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應用程序應提供數(shù)據(jù)合規(guī)性檢驗功能(如驗證數(shù)據(jù)類型是確、數(shù)據(jù)大小或長度是否超出范圍等保證通過人1）工業(yè)應用程序供應商不應通過捆綁安裝、自動啟動等2）應設置針對工業(yè)應用程序的白名單功能，根據(jù)應用程序白名單控制應用3）應具有應用程序權(quán)限控制功能，應能控制應用程序?qū)K端設備1）工業(yè)互聯(lián)網(wǎng)平臺運營商應保證終端設備安裝、運行的工業(yè)2）工業(yè)互聯(lián)網(wǎng)平臺運營商應保證終端設備安裝、運行的工業(yè)應用程序由可1）工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應用程序應具備會話超時自動結(jié)束2）應能夠?qū)I(yè)互聯(lián)網(wǎng)平臺及工業(yè)應用程序的最大并發(fā)會話連5.2數(shù)據(jù)平面安全2）應確保工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)遷移過程中重要數(shù)據(jù)的完整性,并在檢測到完整性受到破壞時工業(yè)互聯(lián)網(wǎng)平臺應提供數(shù)據(jù)脫敏和去標識化的工具或服務2）應提供查詢工業(yè)互聯(lián)網(wǎng)平臺客戶數(shù)據(jù)及備份存3）工業(yè)互聯(lián)網(wǎng)平臺應提供異地數(shù)據(jù)備份功能,利用通信網(wǎng)絡將重要數(shù)據(jù)定時批量傳送至備用2）應保證鑒別信息所在的存儲空間被釋放或重新分配3）應保證工業(yè)互聯(lián)網(wǎng)平臺用戶所使用的內(nèi)存和存儲空間在回收時得應能通過網(wǎng)管接口向網(wǎng)管系統(tǒng)實時主動上報設備中定義的告警應能通過網(wǎng)絡管理接口實時主動上報經(jīng)過告警過濾設定的告警事件，告警過濾包括告b）通過網(wǎng)管接口，被管設備或網(wǎng)元管理系統(tǒng)可以周期上報設備的實設備應能通過網(wǎng)管接口向網(wǎng)管系統(tǒng)實時主動上報流量流向統(tǒng)計數(shù)據(jù)。支持流備接入工業(yè)互聯(lián)網(wǎng)平臺的基本條件。設備聯(lián)網(wǎng)相關(guān)工作包括但不限于:據(jù)的c匯總、集成、存儲和分析工作，確保設備數(shù)據(jù)可在邊緣端得到