宋振鵬

摘要：伴隨著新一代信息技術(shù)與工業(yè)領(lǐng)域加速滲透融合，工業(yè)企業(yè)經(jīng)歷了從單臺(tái)制造、機(jī)電一體化、產(chǎn)供銷信息化、MES、ERP等數(shù)字化的多個(gè)關(guān)鍵階段，部分企業(yè)工業(yè)轉(zhuǎn)型征途已進(jìn)入智能化時(shí)代。近幾年，物聯(lián)網(wǎng)、5G技術(shù)飛速發(fā)展，推動(dòng)按需制造、社會(huì)化協(xié)作為目標(biāo)的工業(yè)互聯(lián)網(wǎng)成為行業(yè)方向和焦點(diǎn)。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng);安全;建設(shè)

引言

隨著新一代信息技術(shù)、工業(yè)系統(tǒng)和互聯(lián)網(wǎng)的一體化發(fā)展，生產(chǎn)模式、生產(chǎn)要素發(fā)生重大變革，推動(dòng)著智能化制造、平臺(tái)化設(shè)計(jì)和數(shù)字化管理等新模式涌現(xiàn)，催生出了信息化和工業(yè)化融合的工業(yè)新業(yè)態(tài)。在工業(yè)互聯(lián)網(wǎng)時(shí)代，IT和OT融合不斷加深，形成了相互開放的工業(yè)設(shè)施環(huán)境和互聯(lián)網(wǎng)設(shè)施環(huán)境，互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)與工業(yè)安全風(fēng)險(xiǎn)相互滲透，工業(yè)互聯(lián)網(wǎng)安全面臨著眾多挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)形式復(fù)雜，如果未能及時(shí)做好防范和應(yīng)對(duì)，將會(huì)給制造、裝備、能源等傳統(tǒng)工業(yè)領(lǐng)域帶來嚴(yán)重沖擊，乃至影響國民經(jīng)濟(jì)。

1工業(yè)互聯(lián)網(wǎng)安全建設(shè)價(jià)值

工業(yè)互聯(lián)網(wǎng)應(yīng)用新一代信息通信技術(shù)，建設(shè)連接工業(yè)全要素全產(chǎn)業(yè)鏈的網(wǎng)絡(luò)，實(shí)現(xiàn)海量工業(yè)數(shù)據(jù)的實(shí)時(shí)采集、廣泛流轉(zhuǎn)和精準(zhǔn)分析，支撐業(yè)務(wù)科學(xué)決策，高效配置制造資源，推動(dòng)上下游產(chǎn)業(yè)聯(lián)動(dòng)。工業(yè)互聯(lián)網(wǎng)平臺(tái)提供數(shù)據(jù)存儲(chǔ)、管理、呈現(xiàn)、分析、建模及應(yīng)用開發(fā)環(huán)境，匯聚生產(chǎn)制造企業(yè)、產(chǎn)業(yè)鏈上下游以及第三方設(shè)計(jì)開發(fā)單位。工業(yè)互聯(lián)網(wǎng)的健康發(fā)展，對(duì)我國制造業(yè)數(shù)字化轉(zhuǎn)型升級(jí)，提升國際競爭力極具戰(zhàn)略意義，將極大賦能產(chǎn)業(yè)融合和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化，提升資源配置效率，助推我國從制造業(yè)大國向制造業(yè)強(qiáng)國邁進(jìn)。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)、平臺(tái)中樞、數(shù)據(jù)要素的安全保障要求更高，是需要更加體系化、系統(tǒng)化、全局化推進(jìn)的復(fù)雜系統(tǒng)工程。工業(yè)互聯(lián)網(wǎng)平臺(tái)為數(shù)據(jù)提供自由流轉(zhuǎn)支撐，是鏈接工業(yè)全要素、全產(chǎn)業(yè)鏈的樞紐，是推動(dòng)制造資源高效配置的核心。

2工業(yè)互聯(lián)網(wǎng)信息安全所面臨的挑戰(zhàn)

2.1風(fēng)險(xiǎn)蔓延快

在工業(yè)互聯(lián)網(wǎng)中，產(chǎn)品全生命周期和產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié)都是緊密相連，一環(huán)扣一環(huán)的。并且其中的數(shù)據(jù)信息也都是基于互聯(lián)網(wǎng)下的互聯(lián)互通，信息高度滲透融合。因此一旦產(chǎn)品全生命周期和產(chǎn)業(yè)鏈中某一個(gè)環(huán)節(jié)被攻破或某個(gè)設(shè)備攜帶了病毒，會(huì)導(dǎo)致風(fēng)險(xiǎn)迅速蔓延至整個(gè)工廠，甚至產(chǎn)業(yè)鏈，造成工業(yè)互聯(lián)網(wǎng)處于易受攻擊的高風(fēng)險(xiǎn)狀態(tài)。同時(shí)設(shè)備/系統(tǒng)間的互聯(lián)使大量生產(chǎn)裝備和產(chǎn)品直接暴露在網(wǎng)絡(luò)攻擊之下，這給互聯(lián)網(wǎng)黑客提供了更多可以攻擊的機(jī)會(huì)。

2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全指工廠內(nèi)部和外部網(wǎng)絡(luò)以及標(biāo)識(shí)網(wǎng)絡(luò)的安全，包括工廠網(wǎng)絡(luò)的通信主體、通信路徑和傳輸介質(zhì)，以及標(biāo)識(shí)身份、標(biāo)識(shí)數(shù)據(jù)和標(biāo)識(shí)行為的安全。一方面，工廠網(wǎng)絡(luò)容易被基于TCP/IP協(xié)議的手段攻擊，傳統(tǒng)靜態(tài)防護(hù)機(jī)制無法靈活、動(dòng)態(tài)地保護(hù)組網(wǎng)后的復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)。同時(shí)，標(biāo)識(shí)解析系統(tǒng)在標(biāo)識(shí)注冊(cè)、標(biāo)識(shí)解析等過程中存在著身份失信、非法操作和信息泄露的風(fēng)險(xiǎn)。對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，考慮簡化網(wǎng)絡(luò)結(jié)構(gòu)、通信協(xié)議加密和網(wǎng)絡(luò)設(shè)備認(rèn)證等方案。在標(biāo)識(shí)解析系統(tǒng)方面，可以引入標(biāo)識(shí)身份認(rèn)證，以保證標(biāo)識(shí)身份的真實(shí)性;通過標(biāo)識(shí)數(shù)據(jù)加密來防止數(shù)據(jù)傳輸時(shí)暴露;借助標(biāo)識(shí)行為授權(quán)機(jī)制防范異常的解析行為或篡改行為。

2.3控制安全問題

工業(yè)企業(yè)有2種途徑來實(shí)現(xiàn)統(tǒng)一生產(chǎn)設(shè)備控制，以提高工業(yè)生產(chǎn)效率。一是通過私有云平臺(tái)。二是通過第三方提供輔助系統(tǒng)。并且，智能制造、智能生產(chǎn)、智能工廠和智能電網(wǎng)等場景應(yīng)用的廣泛使用，也體現(xiàn)了控制功能在工業(yè)互聯(lián)網(wǎng)中的重要程度。但統(tǒng)一控制生產(chǎn)設(shè)備的同時(shí)也會(huì)帶來很多信息安全風(fēng)險(xiǎn)。例如操作不當(dāng)導(dǎo)致的信息泄露和丟失。

3工業(yè)互聯(lián)網(wǎng)安全建設(shè)思路

3.1終端設(shè)備的管理

對(duì)于工業(yè)互聯(lián)網(wǎng)終端設(shè)備的管理，?被授權(quán)的管理員使用自己的數(shù)字證書進(jìn)行身份驗(yàn)證，?然后管理員可以修改對(duì)被授權(quán)的特定設(shè)備或設(shè)備組在區(qū)塊鏈網(wǎng)絡(luò)中的設(shè)備配置文件，?最后管理員使用自己的數(shù)字證書對(duì)修改的配置文件進(jìn)行簽名，?以便標(biāo)識(shí)和安全審計(jì).?修改后的配置文件經(jīng)過語法驗(yàn)證來驗(yàn)證新配置文件的正確性，?以此盡量減少因?yàn)槿藶橐蛩貙?dǎo)致終端設(shè)備宕機(jī)故障的發(fā)生.?通過語義驗(yàn)證后，?新的設(shè)備配置文件信息經(jīng)過加密會(huì)被分發(fā)到區(qū)塊鏈網(wǎng)絡(luò)中各個(gè)peer節(jié)點(diǎn)，并通知所有被管理的終端設(shè)備，?終端設(shè)備檢查新的配置文件更改是否影響其配置，?對(duì)產(chǎn)生影響的設(shè)備，?通過設(shè)備自身私鑰下載區(qū)塊鏈網(wǎng)絡(luò)中新的設(shè)備配置文件進(jìn)行更新，?并應(yīng)用修改后的配置文件.

3.2嚴(yán)格控制上網(wǎng)行為

對(duì)上網(wǎng)行為進(jìn)行嚴(yán)格控制可以有效降低網(wǎng)絡(luò)危害，保證信息資源安全。具體來說需要對(duì)網(wǎng)絡(luò)訪問權(quán)限進(jìn)行明確和限制，對(duì)信息資源進(jìn)行分級(jí)，不同等級(jí)職工賦予不同的訪問權(quán)限，越重要的信息資源訪問權(quán)限相對(duì)較高，訪問人數(shù)相對(duì)較少;訪問信息資源庫時(shí)，除用戶名和密碼外，還需要在電腦中插入物理密鑰，從而有效提升信息資源的網(wǎng)絡(luò)安全性。對(duì)網(wǎng)絡(luò)資源訪問信息，如訪問人、時(shí)間、內(nèi)容、權(quán)限等進(jìn)行記錄并不容如何人修改，設(shè)置網(wǎng)絡(luò)服務(wù)器緊急關(guān)閉保護(hù)措施，做到全流程留痕，避免非法人員的惡意訪問。

3.3訪問控制

在工業(yè)互聯(lián)網(wǎng)平臺(tái)中，應(yīng)對(duì)共享資源擬定訪問控制機(jī)制，可采用URL訪問控制策略和ABE技術(shù)等。應(yīng)依據(jù)強(qiáng)制訪問控制策略為各個(gè)應(yīng)用分配不同的安全等級(jí)，根據(jù)不同的等級(jí)制定不同層次的安全控制機(jī)制，防止越權(quán)訪問。通過防火墻把外網(wǎng)與工業(yè)應(yīng)用系統(tǒng)服務(wù)器隔離開來，只開放工業(yè)應(yīng)用需要的幾個(gè)業(yè)務(wù)端口，任何客戶端在請(qǐng)求工業(yè)應(yīng)用服務(wù)之前必須出示登錄用戶的授權(quán)憑據(jù)給服務(wù)器模塊，授權(quán)憑據(jù)通過PKI來管理。在平臺(tái)中部署訪問控制信息完整性保護(hù)系統(tǒng)，搜集平臺(tái)網(wǎng)絡(luò)邊界的訪問控制信息，調(diào)用服務(wù)器密碼機(jī)使用SM3算法對(duì)訪問控制信息進(jìn)行完整性計(jì)算，并將計(jì)算的值導(dǎo)入完整性保護(hù)系統(tǒng)，實(shí)現(xiàn)對(duì)邊界訪問控制信息的完整性保護(hù)。

3.4數(shù)據(jù)安全管理

數(shù)據(jù)安全指研發(fā)設(shè)計(jì)、工業(yè)生產(chǎn)、營銷銷售、物流發(fā)貨等各環(huán)節(jié)數(shù)據(jù)的安全。工業(yè)互聯(lián)網(wǎng)環(huán)境下的工業(yè)數(shù)據(jù)展現(xiàn)出容量大、來源廣和格式不統(tǒng)一的特征，并在工廠內(nèi)外以及工業(yè)領(lǐng)域和互聯(lián)網(wǎng)領(lǐng)域間雙向傳遞和流通。加之工業(yè)領(lǐng)域流程繁雜，業(yè)務(wù)壁壘多，不同信息化系統(tǒng)之間的數(shù)據(jù)難以兼容，且數(shù)據(jù)的流動(dòng)方向不易追蹤，導(dǎo)致數(shù)據(jù)保護(hù)困難，存在被泄露、截獲和篡改的風(fēng)險(xiǎn)。對(duì)于數(shù)據(jù)安全風(fēng)險(xiǎn)，在數(shù)據(jù)采集時(shí)進(jìn)行識(shí)別、解析和清洗，在數(shù)據(jù)存儲(chǔ)時(shí)判別數(shù)據(jù)敏感等級(jí)并實(shí)施一定程度的加密，在數(shù)據(jù)傳輸時(shí)對(duì)數(shù)據(jù)進(jìn)行簽名和驗(yàn)證，實(shí)現(xiàn)對(duì)數(shù)據(jù)流向的動(dòng)態(tài)管控，保障數(shù)據(jù)全生命周期安全。

3.5認(rèn)證服務(wù)

為了實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)平臺(tái)的真實(shí)性，在平臺(tái)中可部署智能密碼鑰匙、動(dòng)態(tài)令牌卡等密碼產(chǎn)品，并配置用戶在遠(yuǎn)程登錄設(shè)備時(shí)使用國產(chǎn)密碼算法作為傳輸協(xié)議。結(jié)合用戶口令、生物特征等技術(shù)對(duì)用戶遠(yuǎn)程登錄進(jìn)行身份鑒別，防止非法訪問和中間人攻擊。用戶可通過https登錄工業(yè)互聯(lián)網(wǎng)平臺(tái)管理虛擬資源，用戶與工業(yè)互聯(lián)網(wǎng)平臺(tái)基于證書進(jìn)行雙向的身份鑒別。應(yīng)對(duì)用戶設(shè)置鎖定機(jī)制，當(dāng)用戶連續(xù)嘗試認(rèn)證失敗次數(shù)累計(jì)達(dá)到上限時(shí)，則鎖定其帳號(hào)。

結(jié)束語

在未來的工作中，?我們將繼續(xù)通過區(qū)塊鏈技術(shù)進(jìn)行訪問控制管理的研究來集成邏輯和物理的訪問控制，并采用可靠的方法分析安全方面的問題以及使用新技術(shù)來消除可能會(huì)被利用的漏洞。

參考文獻(xiàn)

[1]鄧聰.工業(yè)互聯(lián)網(wǎng)發(fā)展步入快車道[N].人民郵電，2019-12-22（001）.

[2].統(tǒng)籌發(fā)展監(jiān)管安全促進(jìn)通信業(yè)高質(zhì)量發(fā)展[N].人民郵電，2019-12-22（010）.

[3].著力構(gòu)建高速安全的信息網(wǎng)絡(luò)體系[N].人民郵電，2019-12-22（014）.

[4].我國工業(yè)互聯(lián)網(wǎng)亟需突破十大關(guān)鍵核心技術(shù)[J].現(xiàn)代制造技術(shù)與裝備，2019（12）：3.

[5]王晟，趙建福，喬辰龍.從傳統(tǒng)企業(yè)網(wǎng)到工業(yè)互聯(lián)網(wǎng)的安全防護(hù)研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2019，32（12）：65-69.