工業互聯網在局域網中的安全問題研究

宋新遠

（中國電信江蘇公司，江蘇 南京 210001）

1 工業互聯網安全防護路徑

1.1 建立監測與響應機制

工業互聯網的發展會受到一定的攻擊且不可避免，因此要積極采取監測機制監測各方攻擊。首先，工業互聯網在受到攻擊之前要建立應急響應機制，以便在第一時間找到防御攻擊的方式，以消除攻擊帶來的損害；其次，可以建立異常監測機制，加強防火墻對病毒的查殺力度，及時消除異常代碼等攻擊行為；再次，可以利用模型入侵檢測法、差分自回歸移動平均模型法等檢測方法提前檢測到入侵事件，為安全防護工作提供便捷；最后，也要建立攻擊響應機制，在工業互聯網遭到入侵時，可以在最短的時間內做出相應動作。同時，此機制要做到將入侵的事件進行分類，不同事件不同響應，制訂不同的應急策略，以此使系統快速恢復。

1.2 互聯網安全防護方法

互聯網與工業互聯網之間的安全防護存在一定的相似性。互聯網安全防護比工業互聯網發展速度更快，由于許多先進的安全防護手段不斷創新，更好地保障了互聯網的安全，而這些安全防護手段經過了轉化使工業互聯網的安全問題得到有效解決。當前，態勢感知技術已經在互聯網中得到廣泛應用并制定了解決方案，使互聯網安全防護水平得到了提升[1]。工業互聯網可以采用態勢感知技術解決工業網絡應用等問題，并將工業互聯網的安全狀況通過評估呈現出來，為工業互聯網的安全防護提供有效的應對措施。

1.3 采用整體防御的策略

工業互聯網遭到各個環節的攻擊主要是因為其自身具有的開放性，所以只針對某一特點進行防護是無效的，需要建立整體防御系統來防范入侵行為。首先，要持續建立應急響應機制，在工業互聯網遭到破壞時，進行持續監測、修復，以滿足持續響應的需求。其次，構建安全數據倉庫，與云端威脅系統相結合，共同實現高級威脅及各種類型的攻擊檢測。最后，構建安全防護團隊，將工業互聯網工作落實到具體工作人員，組建安全維護中心，進一步完成整體防御策略。在制定整體防御策略時，要充分考慮到各類安全問題，并且要求技術人員全程參與其中。

2 互聯網在局域網中的連接方式

2.1 有線連接

局域網的覆蓋范圍比較小，只有幾千米，所以要采用銅線作為傳輸介質，但還是有少部分區域使用光纖為作為傳輸介質。點對點鏈路的拓撲結構是有線局域網的基礎，其核心是局域網交換機。工業局域網的數據傳輸、共享打印等均是由無線局域網完成。

2.2 無線連接

化工工廠、石油平臺等地不適用傳輸介質連接工業局域網，可以采用路由器來搭建無線工業局域網。中等規模的工廠可以通過交換機和多個路由器搭建工業局域網結構，大型工廠則需要中心化的無線控制器才可以實現工廠終端的控制。無線局域網具有省時省力的特點，因此在工業方面得到了廣泛應用。

3 工業互聯網網絡安全存在的漏洞

3.1 防護能力低

雖然工業數據具有傳遞快速、高效的特點，保障了用戶的高效工作，但在工業局域網遭到病毒攻擊時受到的威脅也非常大。工業局域網傳播數據的速度較快，導致傳遞病毒的速度也很快，當工業局域網中一臺計算機受到病毒感染，沒有及時進行維護，可在短時間內導致所有的電腦都被感染，最終造成大量數據丟失、破壞、修改。防火墻安裝在內網與外網之間，可以對外網的病毒起到阻斷作用，但對于局域網內部網絡起不到任何作用，因此一旦內部出現問題，就會造成嚴重的損失。

3.2 數據安全性低

病毒主要是為了獲取用戶的數據并從中獲取利益，工業數據的價值更是高于個人數據，因此工業局域網需要加強防范病毒的入侵，安裝一些殺毒軟件保證互聯網正常運行，以減少病毒攻擊。由于病毒層出不窮，并且具有更新較快的特點，使殺毒軟件的更新速度落后于病毒產生的速度，很多殺毒軟件都是在發現新病毒之后將病毒放入病毒庫，在下次出現相同病毒時才能發揮作用，因此相關人員要及時更新殺毒軟件，及時開展防范工作。

3.3 內部操作不當

當用戶在數據傳輸時，使用外部移動儲存設備就會使病毒在恰當的時機進入工業局域網，并開始自發地傳播復制病毒，使工業局域網中的工業數據存在安全隱患。因此，要提高工業網絡用戶的安全意識，禁止將自己的外網設備接入工業內網，避免病毒直接進入工業局域網。

3.4 重視程度不足

企業領導者缺乏對工業互聯網的重視，缺乏前瞻意識，是導致工業局域網存在安全問題的主要原因。當前我國已經經歷了4次信息革命，成了一個包容的信息社會。對于工業領域而言，信息是主要問題，保障工業數據安全，就可保證企業的穩定收入，就可增加與其他國家博弈的籌碼[2]。由于企業不注重人才的培養，導致缺乏專業的技術人才，工業數據的安全得不到保障。工業互聯網發展迅速，網絡安全人才卻跟不上其發展的腳步，對網絡安全人才的需求也逐漸加大。而網絡人才不僅需要有專業的知識，還需要有可以及時發現病毒威脅的敏銳嗅覺，這方面人才的培養相對滯后。

4 工業互聯網網絡安全漏洞解決措施

4.1 安全防范技術

選擇合適的網絡拓撲技術，是建設工業局域網的最關鍵一步，合適的網絡拓撲技術不僅可以保障工業互聯網絡的安全，還可以節省系統資源，降低數據線路的冗余。由于網絡環境、局域網設備、網絡管理、網絡維護等因素都會影響網絡拓撲的結構選擇，所以企業要對網絡結構進行分析，及時優化網絡結構，實現框架內的資源最大化。拓撲結構會在優化過程中發生改變，要及時更換防火墻的位置，并要合理應用入侵檢測監控。

4.2 防火墻技術

網絡安全與隱私保護離不開防火墻技術的應用，由于防火墻主要應用在工業局域網與外部網之間，防火墻可將檢測到的外部訪問者的信息數據流量及時反饋給客戶。當出現用戶設定以外的數據進入，防火墻就可以將危險的數據過濾掉，符合安全策略的數據可以進入，從而充分保障工業局域網的網絡安全。內部工業終端與交換機相連，會形成一個相對安全的內部網，并在與外網的連接上設置防火墻，就可以保護局域網中的眾多工業機器，從而提升安全管理效率。在工業網內部較重要的網段設置防火墻，可以防止局部發生的病毒蔓延到整個局域網，從而達到減少損失的目的，將工業局域網進行分級管理，提升了管理的效率。

4.3 入侵檢測技術

當病毒沒有被防火墻成功攔截時，其會攻擊到工業內部網絡，入侵檢測則會對病毒進行檢測，所以入侵檢測技術和防火墻技術都是保護網絡的重要手段。入侵檢測技術是入侵檢測系統的核心。防火墻相當于內部工業局域網的外圍防護，而入侵檢測技術則是監控設備，時刻都在對病毒進行監控，一旦發現病毒，入侵檢測系統會將檢測結果反饋給用戶，并采取阻止措施。大多數網絡安全設備的目的都是防控，而入侵檢測系統是一種主動的安全防護設備，當出現病毒危險時會主動切斷網絡，并做好預警工作，進而提高工業數據的安全性。

4.4 提高重視程度

企業領導必須了解互聯網局域網網絡安全的重要性，企業管理層制定出網絡安全策略，增強網絡管理，著重培養網絡工作人員的安全意識和防范意識，同時也要提高相關人員的素質和能力。企業也要培養專業的技術人才，采用先進的網絡安全管理模式。工業的發展離不開互聯網，而互聯網必須保持數據安全才可以促進企業的發展，因此引進網絡安全技術人才，并引用先進的網絡安全管理模式勢在必行[3]。殺毒軟件和防毒軟件要做到及時更新，操作系統要及時完善，交換機要選擇正規安全的品牌，劃分內部網絡，針對重要的資料要進行多級管理，并制定特殊的標識。工業的網絡數據要及時備份，避免出現丟失誤刪的情況。計算機也需要做好物理保護，做好防潮、防塵、防電磁輻射等工作，保證不遭受外部損傷，保障工業網絡順暢運行。

5 結語

工業互聯網的快速發展，促進了工業潛力的開發，對互聯網而言是個新的挑戰。只有把控好技術應用和人為操作，才能解決工業互聯網在局域網中存在的安全問題。