摘 要 基于工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系設(shè)計(jì)，實(shí)現(xiàn)面向工業(yè)互聯(lián)網(wǎng)應(yīng)用行業(yè)及企業(yè)的從前端數(shù)據(jù)加密、信息可靠傳輸，到后端的數(shù)據(jù)落盤加密、數(shù)據(jù)分析處理，再到設(shè)備異常和故障監(jiān)控、安全事件及行為分析，并可實(shí)現(xiàn)多維度報(bào)警分析功能的加密管控服務(wù)系統(tǒng)。

關(guān)鍵詞 安全防護(hù);網(wǎng)絡(luò)通信;數(shù)據(jù)安全

引言

工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡(luò)、平臺、安全三大體系[1]。而傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)層級較少，基于TCP/IP的通信協(xié)議安全機(jī)制也較為完善。而工業(yè)互聯(lián)網(wǎng)是基于泛在連接的復(fù)雜網(wǎng)絡(luò)，運(yùn)行著超過1000種缺乏安全機(jī)制的工業(yè)控制、現(xiàn)場總線、工業(yè)通信等協(xié)議[2]，且不同企業(yè)接口不一、較為封閉等特點(diǎn)加大了安全協(xié)議分析的難度。而安全而高效的傳感器及相關(guān)應(yīng)用將是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的核心基礎(chǔ)。

目前存在的主要問題：

（1）工業(yè)互聯(lián)網(wǎng)缺乏安全機(jī)制的協(xié)議種類繁多，互通難度大;

（2）工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類多樣，缺乏防護(hù)重點(diǎn);

（3）工業(yè)互聯(lián)網(wǎng)安全需構(gòu)建全新的身份信任體系。

本系統(tǒng)基于工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系設(shè)計(jì)，圍繞工業(yè)互聯(lián)網(wǎng)體系安全的五大重點(diǎn)方向：設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全[3]，突破輕量級加密算法研究、基于國密算法的多類加密模塊研制、加密存儲硬件研制、分布式文件系統(tǒng)開發(fā)、全局統(tǒng)一管控平臺開發(fā)等關(guān)鍵技術(shù)，實(shí)現(xiàn)面向工業(yè)互聯(lián)網(wǎng)應(yīng)用行業(yè)及企業(yè)的從前端采集數(shù)據(jù)加密、信息可靠傳輸認(rèn)證，到后端申威平臺實(shí)現(xiàn)數(shù)據(jù)分析處理，再到設(shè)備異常和故障監(jiān)控、安全事件及行為分析，并面向用戶實(shí)現(xiàn)多維度報(bào)警分析功能的加密管控服務(wù)系統(tǒng)。

針對加密管控服務(wù)系統(tǒng)本身特色，數(shù)據(jù)處理上采用“國產(chǎn)化設(shè)備+國產(chǎn)化軟件生態(tài)”為主，加密手段上通過“定制前端數(shù)據(jù)加密模塊+網(wǎng)絡(luò)設(shè)備+身份認(rèn)證系統(tǒng)”的解決方案來滿足對數(shù)據(jù)安全傳輸和認(rèn)證的需求，用戶終端采用“自主可控軟件平臺+KEY”盡量滿足對存儲系統(tǒng)安全、可擴(kuò)展、高效低能耗、高安全性的需求。

前端數(shù)據(jù)采集加密，采取定制化的密碼加密模塊應(yīng)用在工控設(shè)備終端，通過專用數(shù)據(jù)接口與工控終端相連，用于終端設(shè)備的身份認(rèn)證、數(shù)據(jù)傳輸加密、完整性保護(hù)等?？紤]到終端的低功耗、資源受限等特點(diǎn)，定制密碼加密模塊從算法到硬件實(shí)現(xiàn)，按照輕量級的要求設(shè)計(jì)。

傳輸過程中采取支持基于國密算法的IPSec安全通信，速率不低于20Gbps，單控制卡存儲容量達(dá)到TB級，通過萬兆高速以太網(wǎng)和安全加密通道構(gòu)建分布式計(jì)算存儲系統(tǒng)。數(shù)據(jù)從前端加密系統(tǒng)匯聚到數(shù)據(jù)匯聚認(rèn)證系統(tǒng)之后，在安全網(wǎng)關(guān)設(shè)備層實(shí)現(xiàn)加解密閉環(huán)，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)機(jī)密性保護(hù)。數(shù)據(jù)匯聚認(rèn)證系統(tǒng)主要通過數(shù)據(jù)接入網(wǎng)關(guān)、身份認(rèn)證系統(tǒng)、服務(wù)器密碼機(jī)等密碼設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)隔離、接入認(rèn)證、數(shù)據(jù)保護(hù)等安全功能。

存儲節(jié)點(diǎn)全自主可控設(shè)計(jì)，采用自研國產(chǎn)申威1621處理器平臺。

集中管控系統(tǒng)采用B/S架構(gòu)，其中服務(wù)器端運(yùn)行在國產(chǎn)化硬件環(huán)境之上，客戶端通過瀏覽器等進(jìn)行平臺使用，實(shí)現(xiàn)遠(yuǎn)程調(diào)試、實(shí)時(shí)監(jiān)控、報(bào)警管理、運(yùn)維管理、異常處理、能耗管理、設(shè)備管理等各類應(yīng)用，以提高工業(yè)互聯(lián)網(wǎng)平臺的安全性、可靠性和可用性。

基于以上設(shè)計(jì)原則，實(shí)現(xiàn)前端數(shù)據(jù)加密、數(shù)據(jù)匯聚認(rèn)證，實(shí)現(xiàn)數(shù)據(jù)處理，集中管控服務(wù)。

前端數(shù)據(jù)加密系統(tǒng)，部署在各工業(yè)互聯(lián)網(wǎng)終端，實(shí)現(xiàn)對工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的機(jī)密性和完整性保護(hù)。加密系統(tǒng)通過如輕量級的認(rèn)證協(xié)議以及數(shù)據(jù)傳輸協(xié)議，防止非法接入、非授權(quán)使用、泄露、篡改、假冒或重放、中間人攻擊等，保護(hù)終端系統(tǒng)的機(jī)密性、完整性、可用性。

數(shù)據(jù)匯聚認(rèn)證系統(tǒng)在實(shí)現(xiàn)最基本的數(shù)據(jù)傳輸和匯聚的功能之外，主要實(shí)現(xiàn)用戶身份認(rèn)證、重認(rèn)證處理、認(rèn)證信息傳遞、訪問控制、訪問行為審計(jì)。

數(shù)據(jù)處理系統(tǒng)主要完成對數(shù)據(jù)的采集、存儲、檢索、加工、變換和傳輸。數(shù)據(jù)處理的基本目的是從大量的、雜亂無章的、難以理解的數(shù)據(jù)中抽取并推導(dǎo)出對于特定的群體來說有價(jià)值、有意義的數(shù)據(jù)。

集中管控系統(tǒng)，可根據(jù)預(yù)先定義的數(shù)據(jù)模型，按照不同層次的不同檢測規(guī)則給出實(shí)時(shí)顯示和歷史數(shù)據(jù)查詢，能夠?qū)崟r(shí)監(jiān)測與管理設(shè)備運(yùn)行的能耗，并進(jìn)行能耗分析和優(yōu)化建議?？蓪?shí)現(xiàn)對設(shè)備的運(yùn)行維護(hù)進(jìn)行管理，記錄每次設(shè)備維修和維護(hù)的情況和問題，提供實(shí)時(shí)數(shù)據(jù)與特征數(shù)據(jù)之間的相似度，給出故障或異常的相似度建議，根據(jù)預(yù)設(shè)的固定閾值、動態(tài)閾值、實(shí)時(shí)數(shù)據(jù)與模型預(yù)測的差值等策略進(jìn)行異常報(bào)警，支持多種報(bào)警方式。

結(jié)束語

通過系統(tǒng)的實(shí)現(xiàn)，解決部分前端數(shù)據(jù)傳送的加密保護(hù)，能安全地實(shí)現(xiàn)多種通信技術(shù)標(biāo)準(zhǔn)的互聯(lián)互通，完整、高效、低成本把多種協(xié)議并存的異構(gòu)設(shè)備連接起來、把數(shù)據(jù)匯集起來，實(shí)現(xiàn)在邊緣或云端計(jì)算，有效地保障工業(yè)互聯(lián)網(wǎng)異構(gòu)互聯(lián)。從而有利于開展工業(yè)互聯(lián)網(wǎng)安全防護(hù)工作，提升安全防護(hù)能力，推動其健康發(fā)展[4]。

參考文獻(xiàn)

[1]劉廉如，張尼，張忠平.工業(yè)互聯(lián)網(wǎng)安全框架研究[ED/OL].https：//wenku.baidu.com/view/3468ee5eaa956bec0975f46527d3240c8447a1ff.html，2020-1-25.

[2] 佚名.工業(yè)互聯(lián)網(wǎng)安全技術(shù)的思考[ED/OL].https：//www.sohu.com/a/378645337_120012740，2020-3-9.

[3] 佚名.2018年工業(yè)互聯(lián)網(wǎng)構(gòu)成要素及工業(yè)互聯(lián)網(wǎng)體系架構(gòu)分析[ED/OL].http：//free.chinabaogao.com/it/201803/03532295r018.html，2018-3-5.

[4] 佚名.淺談工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障體系[ED/OL].https：//wenku.baidu.com/view/11b393bdacaad1f34693daef5ef7ba0d4a736de5.html？fr=search，2020-5-28.

作者簡介

汪姍姍（1985-），女，湖南人;學(xué)歷：本科，職稱：高級工程師，現(xiàn)就職單位：慧镕電子系統(tǒng)工程股份有限公司，研究方向：數(shù)據(jù)安全。