基于工業互聯網平臺的企業安全生產信息化平臺研究和設計

郝亮

（河鋼數字技術股份有限公司，河北 石家莊 050000）

一、工業互聯網平臺安全風險分析

（一）邊緣層安全

邊緣層安全是指工業互聯網平臺與工業企業接入過程中數據采集、協議轉換、邊緣計算的安全。由于智能傳感器、邊緣網關等邊緣終端設備計算資源有限，安全防護能力薄弱，工業互聯網平臺在數據采集、轉換、傳輸的過程中，數據被偵聽、攔截、篡改、丟失的安全風險很高，攻擊者可利用邊緣終端設備漏洞對平臺實施入侵或發起大規模網絡攻擊。

（二）設備安全

所謂設備層的信息安全風險主要針對智能設備和智能產品而言，如芯片、嵌入式操作系統、編碼功能等存在漏洞或缺陷。設備層的信息安全風險得不到治理，極可能會影響整個工業互聯網的正常運行，不僅威脅操作人員人身安全，還會造成一定程度的經濟損失，直接或間接限制了企業可持續發展，因此必須要予以高度重視。

（三）平臺數據安全

平臺數據安全涉及接入平臺、平臺運行、平臺退出3 個階段中的數據安全。在接入平臺階段存在邊緣層接入以及工業APP 接入平臺過程中數據面臨的偵聽、攔截、篡改、丟失、竊取等安全風險；平臺運行階段主要面臨數據存儲安全風險；平臺退出階段涉及用戶遷移平臺或完全退出平臺時數據泄露與備份的安全風險。

二、工業互聯網安全關鍵防范技術分析

（一）加快提升工業互聯網平臺安全技術防護能力

1.加強設備和系統安全接入能力。圍繞訪問認證、數據加密、權限管理、日志審計等安全需求，突破設備特征智能提取、流量審計與清洗、實時動態阻攔等關鍵技術，實現設備、系統安全接入平臺。

2.提升平臺運行安全態勢感知能力。在平臺內部、網絡出入口部署安全運行監測設備，掌握平臺側安全態勢。建設國家工業互聯網平臺安全監測預警系統，匯聚行業、地方和企業平臺態勢感知數據，實時、動態監測平臺運行安全狀態。

（二）網絡安全

網絡安全主要是采取縱深防御策略，遵循區域劃分、邊界隔離、鏈路防護、通信管控的原則，對工業互聯網進行有針對性的安全防護。區域劃分。工業互聯網組網比較靈活，按照功能業務的不同，一般將網絡結構劃分為設備層、控制層、管理層3 個層面。以西門子為例子，AS-i 是設備層總線，主要接入各類傳感器或執行器等工業設備，并與控制層中的智能控制設備進行數據交換；PROFIBUS 是控制層總線，實現對現場設備的運行狀態進行監控；PROFINET 是管理層總線，主要用于對從控制層上報的生產數據進行分析與管理等。邊界隔離。

（三）支持工業互聯網安全科技創新

加大對工業互聯網安全技術研發和成果轉化的支持力度，強化標識解析系統安全、平臺安全、工業控制系統安全、數據安全、5G 安全等相關核心技術研究，加強攻擊防護、漏洞挖掘、態勢感知等安全產品研發。支持通過眾測眾研等創新方式，聚集社會力量，提升漏洞隱患發現技術能力。支持專業機構、高校、企業等聯合建設工業互聯網安全創新中心和安全實驗室。探索利用人工智能、大數據、區塊鏈等新技術提升安全防護水平。

（四）數據安全

工業互聯網平臺提供數據脫敏和去標識化的工具或服務組件技術。數據應具有本地數據備份、恢復、銷毀等功能，支持用戶對密碼算法、強度和方式參數的可選配置，并提供磁盤保護方法或數據碎片化存儲措施，避免數據被竊取。數據采用密碼技術支持的保密性保護機制加密，運營商禁止未授權訪問和非法使用用戶個人信息，并禁止重要工業數據存儲于境外，以及限制跨國境的遠程維護。在工業互聯網安全技術討論的基礎上，針對當前我國工業互聯網產業發展需求，總結出工業互聯網信息安全標準體系。該工業互聯網信息安全標準體系具體包括總體防護要求、技術要求、管理要求、服務要求等四個方面。總體防護要求包括安全架構與模型、身份鑒別、訪問控制、安全審計、入侵防范等基礎共性技術，防護等級分為安全防護基本級要求、安全防護增強級要求兩個層次。

（五）引入區域鏈技術

可以嘗試將區域鏈技術引入到工業互聯網系統中來，以其明顯的去中心化特點，來提升工業互聯網的隱私性、信息安全性，并在區域鏈強大的加密算法、共識機制、點對點傳輸、分布式數據存儲等計算機技術的應用下，來有效提升工業互聯網安全問題的成功解決率。通過數據庫的構建來對工業互聯網各類信息數據的完整性予以有效保護；在數據驗證中導入密碼學原理，以此來切實提升數據的安全性，保證數據不可被篡改；引入多私鑰規則來進行網絡權限管理，提升對網絡訪問的權限控制，將企業外部人員杜絕在工業互聯網的訪問范圍之外。

工業互聯網平臺安全建設是推進工業互聯網平臺與工業互聯網健康發展的必要保障，我國針對工業互聯網平臺安全的相關工作仍處于摸索階段，平臺安全管理體系尚不健全、平臺安全技術防護能力較弱、平臺數據安全風險隱患凸顯等問題亟待解決。在國家層面，為了加強我國工業互聯網平臺安全保障能力建設，亟需清晰認識工業互聯網平臺在不同安全層級的安全風險，從建立健全工業互聯網平臺安全管理體系、加快提升工業互聯網平臺安全技術防護能力、實施數據分類分級管理等不同角度落實并完善工業互聯網平臺安全保障體系。在工業互聯網平臺企業層面，需從工業互聯網平臺分層安全防護與安全管理等方面，部署安全防護策略，提升平臺安全防護水平。