宋新遠

（中國電信江蘇公司，江蘇 南京 210001）

1 工業(yè)互聯(lián)網(wǎng)安全防護路徑

1.1 建立監(jiān)測與響應(yīng)機制

工業(yè)互聯(lián)網(wǎng)的發(fā)展會受到一定的攻擊且不可避免，因此要積極采取監(jiān)測機制監(jiān)測各方攻擊。首先，工業(yè)互聯(lián)網(wǎng)在受到攻擊之前要建立應(yīng)急響應(yīng)機制，以便在第一時間找到防御攻擊的方式，以消除攻擊帶來的損害；其次，可以建立異常監(jiān)測機制，加強防火墻對病毒的查殺力度，及時消除異常代碼等攻擊行為；再次，可以利用模型入侵檢測法、差分自回歸移動平均模型法等檢測方法提前檢測到入侵事件，為安全防護工作提供便捷；最后，也要建立攻擊響應(yīng)機制，在工業(yè)互聯(lián)網(wǎng)遭到入侵時，可以在最短的時間內(nèi)做出相應(yīng)動作。同時，此機制要做到將入侵的事件進行分類，不同事件不同響應(yīng)，制訂不同的應(yīng)急策略，以此使系統(tǒng)快速恢復(fù)。

1.2 互聯(lián)網(wǎng)安全防護方法

互聯(lián)網(wǎng)與工業(yè)互聯(lián)網(wǎng)之間的安全防護存在一定的相似性?；ヂ?lián)網(wǎng)安全防護比工業(yè)互聯(lián)網(wǎng)發(fā)展速度更快，由于許多先進的安全防護手段不斷創(chuàng)新，更好地保障了互聯(lián)網(wǎng)的安全，而這些安全防護手段經(jīng)過了轉(zhuǎn)化使工業(yè)互聯(lián)網(wǎng)的安全問題得到有效解決。當(dāng)前，態(tài)勢感知技術(shù)已經(jīng)在互聯(lián)網(wǎng)中得到廣泛應(yīng)用并制定了解決方案，使互聯(lián)網(wǎng)安全防護水平得到了提升[1]。工業(yè)互聯(lián)網(wǎng)可以采用態(tài)勢感知技術(shù)解決工業(yè)網(wǎng)絡(luò)應(yīng)用等問題，并將工業(yè)互聯(lián)網(wǎng)的安全狀況通過評估呈現(xiàn)出來，為工業(yè)互聯(lián)網(wǎng)的安全防護提供有效的應(yīng)對措施。

1.3 采用整體防御的策略

工業(yè)互聯(lián)網(wǎng)遭到各個環(huán)節(jié)的攻擊主要是因為其自身具有的開放性，所以只針對某一特點進行防護是無效的，需要建立整體防御系統(tǒng)來防范入侵行為。首先，要持續(xù)建立應(yīng)急響應(yīng)機制，在工業(yè)互聯(lián)網(wǎng)遭到破壞時，進行持續(xù)監(jiān)測、修復(fù)，以滿足持續(xù)響應(yīng)的需求。其次，構(gòu)建安全數(shù)據(jù)倉庫，與云端威脅系統(tǒng)相結(jié)合，共同實現(xiàn)高級威脅及各種類型的攻擊檢測。最后，構(gòu)建安全防護團隊，將工業(yè)互聯(lián)網(wǎng)工作落實到具體工作人員，組建安全維護中心，進一步完成整體防御策略。在制定整體防御策略時，要充分考慮到各類安全問題，并且要求技術(shù)人員全程參與其中。

2 互聯(lián)網(wǎng)在局域網(wǎng)中的連接方式

2.1 有線連接

局域網(wǎng)的覆蓋范圍比較小，只有幾千米，所以要采用銅線作為傳輸介質(zhì)，但還是有少部分區(qū)域使用光纖為作為傳輸介質(zhì)。點對點鏈路的拓撲結(jié)構(gòu)是有線局域網(wǎng)的基礎(chǔ)，其核心是局域網(wǎng)交換機。工業(yè)局域網(wǎng)的數(shù)據(jù)傳輸、共享打印等均是由無線局域網(wǎng)完成。

2.2 無線連接

化工工廠、石油平臺等地不適用傳輸介質(zhì)連接工業(yè)局域網(wǎng)，可以采用路由器來搭建無線工業(yè)局域網(wǎng)。中等規(guī)模的工廠可以通過交換機和多個路由器搭建工業(yè)局域網(wǎng)結(jié)構(gòu)，大型工廠則需要中心化的無線控制器才可以實現(xiàn)工廠終端的控制。無線局域網(wǎng)具有省時省力的特點，因此在工業(yè)方面得到了廣泛應(yīng)用。

3 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全存在的漏洞

3.1 防護能力低

雖然工業(yè)數(shù)據(jù)具有傳遞快速、高效的特點，保障了用戶的高效工作，但在工業(yè)局域網(wǎng)遭到病毒攻擊時受到的威脅也非常大。工業(yè)局域網(wǎng)傳播數(shù)據(jù)的速度較快，導(dǎo)致傳遞病毒的速度也很快，當(dāng)工業(yè)局域網(wǎng)中一臺計算機受到病毒感染，沒有及時進行維護，可在短時間內(nèi)導(dǎo)致所有的電腦都被感染，最終造成大量數(shù)據(jù)丟失、破壞、修改。防火墻安裝在內(nèi)網(wǎng)與外網(wǎng)之間，可以對外網(wǎng)的病毒起到阻斷作用，但對于局域網(wǎng)內(nèi)部網(wǎng)絡(luò)起不到任何作用，因此一旦內(nèi)部出現(xiàn)問題，就會造成嚴(yán)重的損失。

3.2 數(shù)據(jù)安全性低

病毒主要是為了獲取用戶的數(shù)據(jù)并從中獲取利益，工業(yè)數(shù)據(jù)的價值更是高于個人數(shù)據(jù)，因此工業(yè)局域網(wǎng)需要加強防范病毒的入侵，安裝一些殺毒軟件保證互聯(lián)網(wǎng)正常運行，以減少病毒攻擊。由于病毒層出不窮，并且具有更新較快的特點，使殺毒軟件的更新速度落后于病毒產(chǎn)生的速度，很多殺毒軟件都是在發(fā)現(xiàn)新病毒之后將病毒放入病毒庫，在下次出現(xiàn)相同病毒時才能發(fā)揮作用，因此相關(guān)人員要及時更新殺毒軟件，及時開展防范工作。

3.3 內(nèi)部操作不當(dāng)

當(dāng)用戶在數(shù)據(jù)傳輸時，使用外部移動儲存設(shè)備就會使病毒在恰當(dāng)?shù)臅r機進入工業(yè)局域網(wǎng)，并開始自發(fā)地傳播復(fù)制病毒，使工業(yè)局域網(wǎng)中的工業(yè)數(shù)據(jù)存在安全隱患。因此，要提高工業(yè)網(wǎng)絡(luò)用戶的安全意識，禁止將自己的外網(wǎng)設(shè)備接入工業(yè)內(nèi)網(wǎng)，避免病毒直接進入工業(yè)局域網(wǎng)。

3.4 重視程度不足

企業(yè)領(lǐng)導(dǎo)者缺乏對工業(yè)互聯(lián)網(wǎng)的重視，缺乏前瞻意識，是導(dǎo)致工業(yè)局域網(wǎng)存在安全問題的主要原因。當(dāng)前我國已經(jīng)經(jīng)歷了4次信息革命，成了一個包容的信息社會。對于工業(yè)領(lǐng)域而言，信息是主要問題，保障工業(yè)數(shù)據(jù)安全，就可保證企業(yè)的穩(wěn)定收入，就可增加與其他國家博弈的籌碼[2]。由于企業(yè)不注重人才的培養(yǎng)，導(dǎo)致缺乏專業(yè)的技術(shù)人才，工業(yè)數(shù)據(jù)的安全得不到保障。工業(yè)互聯(lián)網(wǎng)發(fā)展迅速，網(wǎng)絡(luò)安全人才卻跟不上其發(fā)展的腳步，對網(wǎng)絡(luò)安全人才的需求也逐漸加大。而網(wǎng)絡(luò)人才不僅需要有專業(yè)的知識，還需要有可以及時發(fā)現(xiàn)病毒威脅的敏銳嗅覺，這方面人才的培養(yǎng)相對滯后。

4 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全漏洞解決措施

4.1 安全防范技術(shù)

選擇合適的網(wǎng)絡(luò)拓撲技術(shù)，是建設(shè)工業(yè)局域網(wǎng)的最關(guān)鍵一步，合適的網(wǎng)絡(luò)拓撲技術(shù)不僅可以保障工業(yè)互聯(lián)網(wǎng)絡(luò)的安全，還可以節(jié)省系統(tǒng)資源，降低數(shù)據(jù)線路的冗余。由于網(wǎng)絡(luò)環(huán)境、局域網(wǎng)設(shè)備、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)維護等因素都會影響網(wǎng)絡(luò)拓撲的結(jié)構(gòu)選擇，所以企業(yè)要對網(wǎng)絡(luò)結(jié)構(gòu)進行分析，及時優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)框架內(nèi)的資源最大化。拓撲結(jié)構(gòu)會在優(yōu)化過程中發(fā)生改變，要及時更換防火墻的位置，并要合理應(yīng)用入侵檢測監(jiān)控。

4.2 防火墻技術(shù)

網(wǎng)絡(luò)安全與隱私保護離不開防火墻技術(shù)的應(yīng)用，由于防火墻主要應(yīng)用在工業(yè)局域網(wǎng)與外部網(wǎng)之間，防火墻可將檢測到的外部訪問者的信息數(shù)據(jù)流量及時反饋給客戶。當(dāng)出現(xiàn)用戶設(shè)定以外的數(shù)據(jù)進入，防火墻就可以將危險的數(shù)據(jù)過濾掉，符合安全策略的數(shù)據(jù)可以進入，從而充分保障工業(yè)局域網(wǎng)的網(wǎng)絡(luò)安全。內(nèi)部工業(yè)終端與交換機相連，會形成一個相對安全的內(nèi)部網(wǎng)，并在與外網(wǎng)的連接上設(shè)置防火墻，就可以保護局域網(wǎng)中的眾多工業(yè)機器，從而提升安全管理效率。在工業(yè)網(wǎng)內(nèi)部較重要的網(wǎng)段設(shè)置防火墻，可以防止局部發(fā)生的病毒蔓延到整個局域網(wǎng)，從而達到減少損失的目的，將工業(yè)局域網(wǎng)進行分級管理，提升了管理的效率。

4.3 入侵檢測技術(shù)

當(dāng)病毒沒有被防火墻成功攔截時，其會攻擊到工業(yè)內(nèi)部網(wǎng)絡(luò)，入侵檢測則會對病毒進行檢測，所以入侵檢測技術(shù)和防火墻技術(shù)都是保護網(wǎng)絡(luò)的重要手段。入侵檢測技術(shù)是入侵檢測系統(tǒng)的核心。防火墻相當(dāng)于內(nèi)部工業(yè)局域網(wǎng)的外圍防護，而入侵檢測技術(shù)則是監(jiān)控設(shè)備，時刻都在對病毒進行監(jiān)控，一旦發(fā)現(xiàn)病毒，入侵檢測系統(tǒng)會將檢測結(jié)果反饋給用戶，并采取阻止措施。大多數(shù)網(wǎng)絡(luò)安全設(shè)備的目的都是防控，而入侵檢測系統(tǒng)是一種主動的安全防護設(shè)備，當(dāng)出現(xiàn)病毒危險時會主動切斷網(wǎng)絡(luò)，并做好預(yù)警工作，進而提高工業(yè)數(shù)據(jù)的安全性。

4.4 提高重視程度

企業(yè)領(lǐng)導(dǎo)必須了解互聯(lián)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)安全的重要性，企業(yè)管理層制定出網(wǎng)絡(luò)安全策略，增強網(wǎng)絡(luò)管理，著重培養(yǎng)網(wǎng)絡(luò)工作人員的安全意識和防范意識，同時也要提高相關(guān)人員的素質(zhì)和能力。企業(yè)也要培養(yǎng)專業(yè)的技術(shù)人才，采用先進的網(wǎng)絡(luò)安全管理模式。工業(yè)的發(fā)展離不開互聯(lián)網(wǎng)，而互聯(lián)網(wǎng)必須保持數(shù)據(jù)安全才可以促進企業(yè)的發(fā)展，因此引進網(wǎng)絡(luò)安全技術(shù)人才，并引用先進的網(wǎng)絡(luò)安全管理模式勢在必行[3]。殺毒軟件和防毒軟件要做到及時更新，操作系統(tǒng)要及時完善，交換機要選擇正規(guī)安全的品牌，劃分內(nèi)部網(wǎng)絡(luò)，針對重要的資料要進行多級管理，并制定特殊的標(biāo)識。工業(yè)的網(wǎng)絡(luò)數(shù)據(jù)要及時備份，避免出現(xiàn)丟失誤刪的情況。計算機也需要做好物理保護，做好防潮、防塵、防電磁輻射等工作，保證不遭受外部損傷，保障工業(yè)網(wǎng)絡(luò)順暢運行。

5 結(jié)語

工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，促進了工業(yè)潛力的開發(fā)，對互聯(lián)網(wǎng)而言是個新的挑戰(zhàn)。只有把控好技術(shù)應(yīng)用和人為操作，才能解決工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中存在的安全問題。