工業互聯網的安全框架探索

文｜北京華科軟科技有限公司 于巧稚

【關鍵字】工業互聯網；安全框架

關于工業互聯網的概念有許多，基本上它是為了能滿足工業智能化發展需要的根本，具有涵蓋廣，時延低、可信水平高的特點。工業互聯網具有新興業態與應用形式，主要可分為：基于網絡化的聯合、基于智能化的活動、基于個性化定制和基于服務化的擴張等特點。廣義上包含了網絡、平臺和安全三個方面的體系。

一、全球工業互聯網發展態勢

隨著寰球工業互聯網的發展，目前來看其發展態勢主要有四點。網絡、平臺、安全以及產業生態四個體系，四個體系缺一不可，相互制約。

2、平臺體系是指互聯網、大數據、云計算等新興技術與工業領域深度融合，目前主要有四個發展途徑：領先制造企業、工業設備服務商、工業軟件服務商和信息通信企業。

3、近年來，全球工業互聯網對安全體系尤為重視，國際上發布了工業互聯網安全框架指南，全球都在推動工業互聯網標準化建設。我國的安全防護在處于高速發展階段，由于多年來企業更關切生存，招致安全認識不足。我們的企業如果受到來自于外部的攻擊，我們的整個安全防護就變得尤為脆弱，進而影響生產。對于安全體系建設我國發布了相關產業報告，正在加大力度推廣安全最佳實踐，同時也在加快標準方面的研制，重點主抓標準的落實。我國正在建設多樣的安全實驗室，以技術為抓手，培育整體安全技術水準，促進整個產業的發展。

4、產業生態體系主要是指產業體系培育和規模化商業部署。

二、工業互聯網安全相關政策

傳統產業需要轉型升級，在轉型升級過程中，往往忽視了工業互聯網的安全防護，國家對安全防護一直以來非常重視，除了在立法方面，還出臺了一系列相關指導意見來支撐。

1、關于網絡安全的整體立法是《中華人民共和國網絡安全法》，《網絡安全法》共七章79條，其中梳理了網絡安全的四大主體：國家、行政主管部門、網絡運營者和網絡產品及服務提供者。基于安全法，互聯網行業應主旨重視核心信息基礎設施安全、數據安全與個人訊息保護、供應鏈安全和網絡產物以及應急處理和檢測預警。

2、國務院2017年11月27日正式公布了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》。詳細闡述了戰略目標為：立足國情，面向未來，打造與我國經濟發展相適應的工業互聯網生態體系，使我國工業互聯網發展水平走在國際前列，爭取實現并跑乃至領跑。

3、工信部公布了《工業互聯網發展行動計劃（2018-2020）》。其計劃為到2020年12月31日，初步構建成工業互聯網基礎設施和產業體系。

三、工業互聯網安全概述

目前，工業互聯網安全總形勢呈現出內憂外患，外部安全問題與企業內安全問題并存，且事態十分嚴峻，主要面臨以下五個挑戰。

2.2.2治理原理采用工程措施修整侵蝕溝溝體，布設植物防護體系，恢復生態，穩固溝體。當侵蝕溝坡度較大或者溝體不適宜種植植物時，采取工程措施(削坡、魚鱗坑、水平階等)對侵蝕溝做溝形修飾，從而確保植物措施的實施、成活與生長，發揮固溝導水作用。

1、在實踐中，大多數企業的安全防護主體責任不清楚。大部分企業內沒有專職人員或部門負責安全監管以及制度體系建設。

2、在測試的大部分企業引起的安全問題，是由于人為產生的。企業缺乏安全認識，在安全方面投入較少，導致企業的安全威脅。

3、安全防護整個產業支撐力度不足，市場驅動乏力，安全可控問題嚴峻。

4、工業互聯網安全防護的技術落后，升級不及時，企業在面對有組織的網絡攻擊時，如“勒索病毒”、外部網絡入侵時，往往造成嚴重后果。

5、人才的缺失，懂網絡安全的不懂業務，懂業務的不懂安全，復合型人才的缺失也制約了我有互聯網的發展。

四、工業互聯網安全框架及安全防護重點

工業互聯網安全架構需要設計。而在設計時要考慮防護的對象、措施以及管理三個方面。基于安全架構下，在日常防護中主要注意以下安全防護內容：

1、設備安全。作為工業互聯網的基礎，設備安全尤為重要，具體包括操作系統以及應用軟件的安全防護，在固件安全增強、補丁升級管理以及漏洞修復加固方面都需要專業的安全防護。尤其是“勒索病毒”爆發后，對于補丁升級以及漏洞加固應給予重視。

2、硬件安全。硬件設備的安全防護較為困難，尤其是在后期運行維護管控方面。

3、控制安全。控制安全較為復雜，尤其是控制設備自帶協議較多，在出廠時安全就不可控，具體包括控制協議安全、控制軟件安全以及控制功能安全三個方面。控制協議安全具體包括身份認證、傳輸加密、健壯性測試和訪問控制四個內容；控制軟件安全包含：協議過濾、認證授權、補丁升級更新、軟件防篡改、惡意軟件防護以及安全監測審計；控制功能安全防護包括：兼容性認證、機器所處的物理情況、培養人員安全認識甚至是勞作車間的工藝進程都需要進行安全防護。

4、網絡安全。網絡安全與一般網絡安全大體相同，在優化網絡設計、網絡接入認證、網絡設備保護、安全監測審計和通信與傳輸保護之外，還應注意網絡邊界安全問題，OT與IT的邊界，內網與外網的邊界。

5、應用安全。應用安全不僅包括基于安全審計、認證授權、DDOS防護、補丁升級、安全隔離和安全監測的工業互聯網平臺安全，還包括工業應用程序安全。

6、數據安全。在數據使用中要明確數據用在何處，對數據進行加密、訪問控制。對于不同類型的業務要對數據進行進行隔離，在使用數據中要對數據進行脫敏。

7、監測感知。監測感知一般來說包含數據的采集，即提取有用有效的數據、提取特征，即提取目標的特殊特征以及進行統一的關聯分析等。

8、處置恢復。處置恢復對于互聯網安全防護來說也是非常重要的，主要體現在響應決策、備份恢復和分析評估。

五、工業互聯網安全框架發展趨勢

安全問題不容小覷，尤其是企業在面對國內外互聯網安全形勢日益嚴峻，安全防護作用也日益凸顯。安全框也隨著新技術不斷發展而發展。智能化技術正引領創新，未來智能設備驅動工業互聯網的安全防護創新成為可能。大數據安全防護也將成為熱點，利用大數據對安全問題進行采集，尤其是企業級大數據分析平臺，一般來說具有全面的安全保障、大數據的計算性能、智能分析、便捷的協作分享等特性，為工業互聯網安全提供了新思路。除此之外，態勢感知、安全信息共享也將成為保障工業互聯網安全的重要技術手段。