引言

工業(yè)互聯(lián)網(wǎng)快速發(fā)展，逐步滲透到經(jīng)濟(jì)社會(huì)生活的方方面面，實(shí)現(xiàn)了全要素、全產(chǎn)業(yè)鏈、全生命周期的互聯(lián)互通，其自身安全與否，將直接影響到產(chǎn)業(yè)安全、經(jīng)濟(jì)安全、國(guó)家安全等諸多方面。工業(yè)互聯(lián)網(wǎng)安全是工業(yè)生產(chǎn)運(yùn)行過(guò)程中的信息安全、功能安全與物理安全的統(tǒng)稱，涉及工業(yè)互聯(lián)網(wǎng)領(lǐng)域各個(gè)環(huán)節(jié)，其核心任務(wù)就是要通過(guò)監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、檢測(cè)評(píng)估、功能測(cè)試等手段確保工業(yè)互聯(lián)網(wǎng)健康有序發(fā)展。構(gòu)建滿足我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展需求的工業(yè)互聯(lián)網(wǎng)安全框架可為相關(guān)企業(yè)從實(shí)施層面提供理論指導(dǎo)，助力企業(yè)開(kāi)展工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè)工作。

1 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全風(fēng)險(xiǎn)分析

①邊緣層安全邊緣層安全是指工業(yè)互聯(lián)網(wǎng)平臺(tái)與工業(yè)企業(yè)接入過(guò)程中數(shù)據(jù)采集、協(xié)議轉(zhuǎn)換、邊緣計(jì)算的安全。由于智能傳感器、邊緣網(wǎng)關(guān)等邊緣終端設(shè)備計(jì)算資源有限，安全防護(hù)能力薄弱，工業(yè)互聯(lián)網(wǎng)平臺(tái)在數(shù)據(jù)采集、轉(zhuǎn)換、傳輸?shù)倪^(guò)程中，數(shù)據(jù)被偵聽(tīng)、攔截、篡改、丟失的安全風(fēng)險(xiǎn)很高，攻擊者可利用邊緣終端設(shè)備漏洞對(duì)平臺(tái)實(shí)施入侵或發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。②設(shè)備安全所謂設(shè)備層的信息安全風(fēng)險(xiǎn)主要針對(duì)智能設(shè)備和智能產(chǎn)品而言，如芯片、嵌入式操作系統(tǒng)、編碼功能等存在漏洞或缺陷。設(shè)備層的信息安全風(fēng)險(xiǎn)得不到治理，極可能會(huì)影響整個(gè)工業(yè)互聯(lián)網(wǎng)的正常運(yùn)行，不僅威脅操作人員人身安全，還會(huì)造成一定程度的經(jīng)濟(jì)損失，直接或間接限制了企業(yè)可持續(xù)發(fā)展，因此必須要予以高度重視。③平臺(tái)數(shù)據(jù)安全平臺(tái)數(shù)據(jù)安全涉及接入平臺(tái)、平臺(tái)運(yùn)行、平臺(tái)退出3個(gè)階段中的數(shù)據(jù)安全。在接入平臺(tái)階段存在邊緣層接入以及工業(yè)APP接入平臺(tái)過(guò)程中數(shù)據(jù)面臨的偵聽(tīng)、攔截、篡改、丟失、竊取等安全風(fēng)險(xiǎn)；平臺(tái)運(yùn)行階段主要面臨數(shù)據(jù)存儲(chǔ)安全風(fēng)險(xiǎn)；平臺(tái)退出階段涉及用戶遷移平臺(tái)或完全退出平臺(tái)時(shí)數(shù)據(jù)泄露與備份的安全風(fēng)險(xiǎn)。

2 工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵防范技術(shù)分析

2.1 加快提升工業(yè)互聯(lián)網(wǎng)平臺(tái)安全技術(shù)防護(hù)能力

①加強(qiáng)設(shè)備和系統(tǒng)安全接入能力。圍繞訪問(wèn)認(rèn)證、數(shù)據(jù)加密、權(quán)限管理、日志審計(jì)等安全需求，突破設(shè)備特征智能提取、流量審計(jì)與清洗、實(shí)時(shí)動(dòng)態(tài)阻攔等關(guān)鍵技術(shù)，實(shí)現(xiàn)設(shè)備、系統(tǒng)安全接入平臺(tái)。②提升平臺(tái)運(yùn)行安全態(tài)勢(shì)感知能力。在平臺(tái)內(nèi)部、網(wǎng)絡(luò)出入口部署安全運(yùn)行監(jiān)測(cè)設(shè)備，掌握平臺(tái)側(cè)安全態(tài)勢(shì)。建設(shè)國(guó)家工業(yè)互聯(lián)網(wǎng)平臺(tái)安全監(jiān)測(cè)預(yù)警系統(tǒng)，匯聚行業(yè)、地方和企業(yè)平臺(tái)態(tài)勢(shì)感知數(shù)據(jù)，實(shí)時(shí)、動(dòng)態(tài)監(jiān)測(cè)平臺(tái)運(yùn)行安全狀態(tài)。③建設(shè)工業(yè)應(yīng)用服務(wù)安全檢測(cè)手段。構(gòu)建面向多業(yè)務(wù)、全場(chǎng)景的工業(yè)互聯(lián)網(wǎng)應(yīng)用服務(wù)安全檢測(cè)環(huán)境，開(kāi)展檢測(cè)工具研發(fā)和測(cè)試驗(yàn)證平臺(tái)建設(shè)，增強(qiáng)上線審核、運(yùn)營(yíng)監(jiān)督、服務(wù)更新及下線評(píng)估等環(huán)節(jié)的風(fēng)險(xiǎn)防控能力。

2.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是采取縱深防御策略，遵循區(qū)域劃分、邊界隔離、鏈路防護(hù)、通信管控的原則，對(duì)工業(yè)互聯(lián)網(wǎng)進(jìn)行有針對(duì)性的安全防護(hù)。①區(qū)域劃分。工業(yè)互聯(lián)網(wǎng)組網(wǎng)比較靈活，按照功能業(yè)務(wù)的不同，一般將網(wǎng)絡(luò)結(jié)構(gòu)劃分為設(shè)備層、控制層、管理層3個(gè)層面。以西門子為例子，AS-i是設(shè)備層總線，主要接入各類傳感器或執(zhí)行器等工業(yè)設(shè)備，并與控制層中的智能控制設(shè)備進(jìn)行數(shù)據(jù)交換；PROFIBUS是控制層總線，實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控；PROFINET是管理層總線，主要用于對(duì)從控制層上報(bào)的生產(chǎn)數(shù)據(jù)進(jìn)行分析與管理等。②邊界隔離。網(wǎng)絡(luò)結(jié)構(gòu)各層之間采用隔離手段，管理層通往互聯(lián)網(wǎng)的出口處部署防火墻，只允許符合規(guī)則校驗(yàn)的網(wǎng)絡(luò)數(shù)據(jù)通過(guò)該防火墻進(jìn)出工業(yè)互聯(lián)網(wǎng)。管理層只對(duì)控制層上報(bào)的生產(chǎn)數(shù)據(jù)進(jìn)行獲取分析與實(shí)時(shí)管理，并不對(duì)控制層設(shè)備進(jìn)行操作，管理層與控制層之間部署單向數(shù)據(jù)傳輸裝置，只允許從控制層流向管理層的數(shù)據(jù)通過(guò)，從而阻斷通過(guò)管理層向控制層進(jìn)行網(wǎng)絡(luò)攻擊的可能性。

2.3 支持工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新

加大對(duì)工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和成果轉(zhuǎn)化的支持力度，強(qiáng)化標(biāo)識(shí)解析系統(tǒng)安全、平臺(tái)安全、工業(yè)控制系統(tǒng)安全、數(shù)據(jù)安全、5G安全等相關(guān)核心技術(shù)研究，加強(qiáng)攻擊防護(hù)、漏洞挖掘、態(tài)勢(shì)感知等安全產(chǎn)品研發(fā)。支持通過(guò)眾測(cè)眾研等創(chuàng)新方式，聚集社會(huì)力量，提升漏洞隱患發(fā)現(xiàn)技術(shù)能力。支持專業(yè)機(jī)構(gòu)、高校、企業(yè)等聯(lián)合建設(shè)工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新中心和安全實(shí)驗(yàn)室。探索利用人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)提升安全防護(hù)水平。

2.4 數(shù)據(jù)安全

工業(yè)互聯(lián)網(wǎng)平臺(tái)提供數(shù)據(jù)脫敏和去標(biāo)識(shí)化的工具或服務(wù)組件技術(shù)。數(shù)據(jù)應(yīng)具有本地?cái)?shù)據(jù)備份、恢復(fù)、銷毀等功能，支持用戶對(duì)密碼算法、強(qiáng)度和方式參數(shù)的可選配置，并提供磁盤保護(hù)方法或數(shù)據(jù)碎片化存儲(chǔ)措施，避免數(shù)據(jù)被竊取。數(shù)據(jù)采用密碼技術(shù)支持的保密性保護(hù)機(jī)制加密，運(yùn)營(yíng)商禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息，并禁止重要工業(yè)數(shù)據(jù)存儲(chǔ)于境外，以及限制跨國(guó)境的遠(yuǎn)程維護(hù)。在工業(yè)互聯(lián)網(wǎng)安全技術(shù)討論的基礎(chǔ)上，針對(duì)當(dāng)前我國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展需求，總結(jié)出工業(yè)互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體系。該工業(yè)互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體系具體包括總體防護(hù)要求、技術(shù)要求、管理要求、服務(wù)要求等四個(gè)方面。總體防護(hù)要求包括安全架構(gòu)與模型、身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范等基礎(chǔ)共性技術(shù)，防護(hù)等級(jí)分為安全防護(hù)基本級(jí)要求、安全防護(hù)增強(qiáng)級(jí)要求兩個(gè)層次。技術(shù)要求及規(guī)范包括現(xiàn)場(chǎng)設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等五個(gè)方面，以滿足平臺(tái)訪問(wèn)安全、應(yīng)用安全和訪問(wèn)控制安全的管理要求，以及企業(yè)服務(wù)安全、第三方服務(wù)安全、安全風(fēng)險(xiǎn)評(píng)估與測(cè)試等服務(wù)要求，為工業(yè)互聯(lián)網(wǎng)的設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)過(guò)程中的安全提供參考依據(jù)。

2.5 引入?yún)^(qū)域鏈技術(shù)

可以嘗試將區(qū)域鏈技術(shù)引入到工業(yè)互聯(lián)網(wǎng)系統(tǒng)中來(lái)，以其明顯的去中心化特點(diǎn)，來(lái)提升工業(yè)互聯(lián)網(wǎng)的隱私性、信息安全性，并在區(qū)域鏈強(qiáng)大的加密算法、共識(shí)機(jī)制、點(diǎn)對(duì)點(diǎn)傳輸、分布式數(shù)據(jù)存儲(chǔ)等計(jì)算機(jī)技術(shù)的應(yīng)用下，來(lái)有效提升工業(yè)互聯(lián)網(wǎng)安全問(wèn)題的成功解決率。通過(guò)數(shù)據(jù)庫(kù)的構(gòu)建來(lái)對(duì)工業(yè)互聯(lián)網(wǎng)各類信息數(shù)據(jù)的完整性予以有效保護(hù)；在數(shù)據(jù)驗(yàn)證中導(dǎo)入密碼學(xué)原理，以此來(lái)切實(shí)提升數(shù)據(jù)的安全性，保證數(shù)據(jù)不可被篡改；引入多私鑰規(guī)則來(lái)進(jìn)行網(wǎng)絡(luò)權(quán)限管理，提升對(duì)網(wǎng)絡(luò)訪問(wèn)的權(quán)限控制，將企業(yè)外部人員杜絕在工業(yè)互聯(lián)網(wǎng)的訪問(wèn)范圍之外。

結(jié)語(yǔ)

工業(yè)互聯(lián)網(wǎng)平臺(tái)安全建設(shè)是推進(jìn)工業(yè)互聯(lián)網(wǎng)平臺(tái)與工業(yè)互聯(lián)網(wǎng)健康發(fā)展的必要保障，我國(guó)針對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全的相關(guān)工作仍處于摸索階段，平臺(tái)安全管理體系尚不健全、平臺(tái)安全技術(shù)防護(hù)能力較弱、平臺(tái)數(shù)據(jù)安全風(fēng)險(xiǎn)隱患凸顯等問(wèn)題亟待解決。在國(guó)家層面，為了加強(qiáng)我國(guó)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保障能力建設(shè)，亟需清晰認(rèn)識(shí)工業(yè)互聯(lián)網(wǎng)平臺(tái)在不同安全層級(jí)的安全風(fēng)險(xiǎn)，從建立健全工業(yè)互聯(lián)網(wǎng)平臺(tái)安全管理體系、加快提升工業(yè)互聯(lián)網(wǎng)平臺(tái)安全技術(shù)防護(hù)能力、實(shí)施數(shù)據(jù)分類分級(jí)管理等不同角度落實(shí)并完善工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保障體系。在工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)層面，需從工業(yè)互聯(lián)網(wǎng)平臺(tái)分層安全防護(hù)與安全管理等方面，部署安全防護(hù)策略，提升平臺(tái)安全防護(hù)水平。
責(zé)任編輯：tzh