工業互聯網安全問題分析及對策

李振華

【關鍵詞】工業互聯網;安全問題;內涵

工業互聯網是基于我國的工業系統化，通過融合新興的互聯網技術而形成的的一種全新產業生態結構。其中，互聯網信息技術主要是發揮傳輸、轉化工業生產中包含的數據結果與參數的作用。須知，工業互聯網中的數據信息是極為重要的組成部分，其能夠為工業生產的智能化發展提供引導。所以，有效借助互聯網信息技術，利用其確保數據信息安全，可以為我國工業產業鏈的穩定生產提供保障。除此之外，只有確保了我國工業生產的穩定性，其才能立足于原有基礎促進企業經濟效益的顯著提升，使自身生產價值順利實現。但是，當前我國的工業互聯網在運行過程中仍存在諸多問題，這些問題對工業生產水平與效率造成了極大影響，對此亟需找到行之有效的措施解決這些問題，以為工業生產提供保障。

工業互聯網，即立足于智能化的需求不斷發展的一種重要網絡基礎設施。具有延時性低、覆蓋性廣等相關特征，其通過與信息通信技術、制造業進行整合之后，逐漸形成了一種新興業態。

傳統工業受工業互聯網的影響，管理機制與生產觀念等發生了改變，在服務、產業、業態和技術等層面得到了顯著創新和突破，符合數字經濟在發展方面的趨勢，在推動國家現代工業化轉型方面發揮著重要作用。工業互聯網的重要構成部分有安全、網絡和平臺三個體系。其中，網絡是基礎條件，借助互聯網連接價值鏈條、產業鏈條和工業系統;平臺是極為重要的一部分，是工業智能目標順利實現的重要載體，承擔著建模、數據儲存、工作模塊化和標準化等重要任務;安全管理與技術，主要負責對平臺以及網絡安全造成威脅的潛在風險因素進行識別。在安全體系的作用下，平臺面對的風險會降低，可確保工業互聯網穩定、安全的運轉，因此其屬于工業互聯網體系中極為重要的一部分。

網絡和威脅是并存的，有網絡就會存在威脅，工業互聯網屬于一種泛在網。在工業互聯網中仍存在計算機網絡安全問題。新融入的傳感網和物聯網也將會帶來諸多新的問題。下述便從六個方面入手，分析工業互聯網的安全問題。

（一）開放的工業網帶來的問題

對于傳統工業生產網絡環境而言，運用的安全防護措施大多為警衛巡查以及攝像頭監控等。工業互聯網囊括的各種控制系統、設備均和網絡連接在一起，網絡環境十分開放。而通過工業控制系統本身可以看出，其仍然有一些安全漏洞存在，此類漏洞涉及管理與軟硬件等方面，通過傳統防護措施無法展現出較好的管理作用，并且還會出現各類新問題。

（二）工業互聯網中代碼、柔性制造數據以及智能存在的安全問題

當智能制造處于工作狀態時智能性很強，實現智能化后，在工作中便無需人工干預。但在智能運行的過程中，應注意其在生產過程中能否確保數據和程序的準確性。若是在對智能程序進行設計的過程中數據不正確，所生產的產品便不達標。生產程序是通過人工編輯形成的，因此黑客入侵后也可以對這些程序進行修改。程序極易被攻擊。

（三）設備生產廠商層面的問題

無線通信和傳感器等是在工業互聯網中常用的模塊，其中涉及的芯片等相關零部件源于國外進口。在我國，生產傳感器的企業大多為中小型企業，整體規模較小，研發能力不強。基帶芯片屬于無線通信模塊之中最為關鍵的零部件之一，需要投入較高的成本，產業較為集中，通常都是由國外的廠家提供材料。部分境外生產廠商在利益的驅使下，經常會安排一些“關系戶”，一旦被曝光，便以產品缺陷為借口，反之便將其暗藏，竊取或破壞重要數據。

（四）應用層面臨的問題

應用層面臨的安全問題，是為工業互聯網各業務運行提供支撐的應用軟件等各類平臺所帶來的問題。如使用廣泛的云平臺服務、客戶關系管控、產品數據管控和企業資源計劃等。在網絡環境下，應用軟件很容易出現木馬病毒等傳統安全問題;云平臺與服務也會遇到內部入侵以及虛擬化中違規接入等安全問題。

（五）工業互聯網通訊協議存在的安全問題

當前，我國主要運用從發達國家引入的互聯網與工控協議。因此，針對這些互聯網與工控協議來說，我國只有使用權，無研究權。所以我國對這些互聯網中囊括的內容并不了解，在使用連接設備的過程中很容易受到黑客的攻擊，進而導致重要信息被盜取。

（六）人員管理方面的問題

現階段，現代工業發展速度日益加快，計算機的運用越來越廣泛。企業內部各工種人員，包括高層管理者、操作者、管控人員以及工程師等，均存在“無意識”或“有意識”的行為，可能會受個人利益或操作失誤等方面的影響，破壞工業系統，以及存在不重視工作異常問題、傳播惡意病毒等行為。因此，人員管理也屬于工業互聯網中的棘手問題之一。

現階段，工業互聯網環境十分開放，如此便增多了工業互聯網所面臨的威脅。所以，當前人們亟需采取各種有效措施，使工業互聯網的安全得到保證，構建起健全的安全系統。只有使工業互聯網的安全性得到保障，才能有效確保工業生產更加安全。從整體上來說，加強工業互聯網的安全防護，主要可以從下述幾個方面人手：

（一）構建檢測和響應機制

工業互聯網極易被外界攻擊，所以我們必須采取有效措施積極應對，立足于攻擊檢測機制以監控各類攻擊。然后建立相應的解決措施，以便于在遭到攻擊后能夠迅速地做出反應，有效抵御攻擊，減少或消除攻擊造成的損害。

首先，通過檢測模型構建異常檢測機制，為防火墻提供支持，借助異常代碼檢測、病毒查殺等方式，監測可能存在的攻擊行為。利用ICS場景指紋異常檢查方法以及非參數累積和模型入侵檢測方法等，預先發現攻擊與入侵事件，在安全防護中掌握優勢。其次，建立及時響應攻擊的機制，以便于能夠第一時間應對入侵事件。對于攻擊響應機制而言，需要對入侵事件予以快速分類，并根據入侵事件類型作出響應，通過科學可靠的響應措施，迅速恢復系統。

（二）合理運用先進的互聯網安全防護辦法

針對互聯網和工業互聯網來說，雖然兩者的安全防護有所不同，但也有相似之處，同時聯系密切。借助比較分析可以了解到，在互聯網安全防護不斷發展的背景下，逐漸出現了各種先進的安全防護方法，有效確保了互聯網的安全性。無論何種防護方法，均必須借助轉換后才可以應用在互聯網防護之中，以免出現工業互聯網安全隱患。比如，企業內網和互聯網開始積極運用態勢感知技術，同時制定切實可行的解決方案，建立位置威脅和態勢感知平臺。上述技術的運用，對互聯網安全防護水平的提升極為有利。所以，工業互聯網安全防護可選擇對態勢感知技術予以應用，如此既能采取科學合理的手段將工業網絡應用與協議多樣性問題處理好，同時還可以最大化發揮出互聯網態勢感知技術的作用，準確評估工業互聯網是否安全，對工業互聯網安全變化趨勢展開預測，并明確呈現出來，達到有效防護互聯網安全的目的。

為了使工業互聯網始終保持安全運行狀態，必須對安全防護技術進行深入研究，充分了解工業互聯網產品組件具有的安全隱患。積極探究控制設備和傳感器軟件在安全方面存在的一系列問題，積極展開實踐探索。保證測試合格后再對測試標準予以制定，同時由專業人士負責系統安全評估工作。一旦發現異常，必須積極、及時優化整改。重視并開展互聯網攻防演練，促進應急處理能力的有效加強。

（三）主動排查可能存在的安全漏點

為了有效提高互聯網管理水平。企業在制作內網設備清單的過程中，必須將全部設備的控制權牢牢掌握好，針對設備的性能和狀態，應安排專門的管理人員進行記錄，將基礎保障工作有效落實。首先，在對工控資產清單進行配置的過程中，全面配置各種軟硬件，同時使網絡拓撲圖更加健全。其次，針對企業自身的防火墻以及工作站等，升級和維護相關技術。以免受到非法用戶惡意破壞。比如，可以采用蜜罐系統，借助其捕獲特性來抵御非法入侵，有針對性地更新防火墻、服務器以及相應工作站等系統，有效落實主動防御安全策略。Conpot低交互蜜罐系統，詳見圖1，具有布置方便、操作簡單、易修改與擴展的特點，可以借助工業控制協議構建自身需要的系統，同時還能模擬構建基礎設施，在探索工業互聯網防御手段和研究威脅源以及攻擊途徑中，應用效果顯著。

（四）構建工業互聯網的PC4R自適應防護架構

為了給予工業互聯網用戶幫助，使其更好地應對工業互聯網面臨的各種條件，與整體防御的三點建議相結合，可以對工業互聯網的PC4R自適應防護架構進行構建，其主要由信息感知、數據匯集、轉化分析、網絡融合、認真預測、響應決策六個過程組成，詳見圖2。

1.信息感知

主要是指感知工業現場中出現的諸多生產因素，借助對這些因素的結果數據進行分析，對工業現場有無異常出現進行判斷，若是有異常，可以立即采取有效手段解決。

2.數據匯集

匯集ERP、制造執行系統（MES）、SCADA、分布式數控（DNC）、數控系統（CNC）/PLC等工業控制系統和應用系統運行的重要工業數據，此過程并非只是簡單的采集相關數據，而是同步采集、存儲、管理和查詢產品整個生命周期的各類要素信息，為之后的過程提供控制信息來源。在網絡方面，不斷存儲全網流量等，通過構建安全數據倉庫為工業互聯網企業提供有效支持。

3.轉化分析

數據特征提取、優先級排序、分類、可讀、篩選，能夠把數據順利轉換為信息。信息主要囊括兩個方面，即情景和內容，前者指的是設備的運行工況、人員訪問狀態、人員操作指令、生產商務任務目標、維護保養記錄以及生產銷售機理等;后者為工業互聯網中的設備信號處理、性能曲線、報警信息、健康狀況、DNC和SCADA網絡流量等。在這一過程中，縱向分析單個設備或網絡，計算難度不大。

4.網絡融合

結合企業跨域運維和工業互聯網中的設備集群，借助大數據分析的方式預測分析運行工作的安全，如此才能確定有無異常。

5.認知預測

即對工業互聯網出現的部分異常問題進行認知，使基線的安全性得到保證，將肉眼無法識別的一些安全隱患發現。

6.響應決策

結合認知預測的結果，在識別事件和確認優先級排序后，合理地進行優化、決策、響應與部署，可以最大化提高安全價值。而將相關響應策略落到實處之后，如將受損賬戶或系統隔離，讓其不能對其他系統進行訪問，從而使威脅受到遏制。同樣，只要遏制了受損系統或賬戶，同時借助對收集的數據來源進行持續監測控制，最終可確定全部違規行為和根本原因。

（五）加大人才培養與隊伍建設力度，構建跨界安全人才培訓教育體系

積極同工業企業、科研院所、高等院校、政府等建立良好合作關系，一同構建工業互聯網安全學科，積極培養專業人才，將該領域產業鏈、教學鏈和崗位鏈密切聯系起來。對優勢資源進行全面整合，構建實習實訓基地、專業實驗室以及特色課程體系，將理論學習和實踐密切結合起來，有效提升工業互聯網安全學科水平，培養一批批本領域所需的高素質人才。比如，安全企業與工業企業可以合理對工控安全測試床和網絡靶場進行構建，為學生提供虛擬化對抗平臺，促進其實操能力和實戰能力的提升。大力支持從事互聯網安全的企業開設相關教育培訓機構。當前，我國工業互聯網安全人才極為匱乏，尤其是防御型人才，借助社會力量開展大規模職業培訓教育，是迅速解決人才不足問題的有效手段。同時還需加大財政支持力度，建立專項人才培養基金，加大對高端人才的培養力度。

總之，在社會發展速度日益加快的形勢下，工業企業要想在激烈的市場競爭中獲得良好的生存與發展，就必須在產品生產中應用工業互聯網技術，如此才能使生產效率與生產質量得到保證，可以說，工業互聯網已成為各企業融合發展的大勢所趨。為了將國家戰略發展目標順利實現，應充分了解工業互聯網安全所發揮的重要作用，同時落實好安全管控工作。我們要盡快構建檢測和響應機制，同時需要加大對相關技術人員的培養力度，建立工業互聯網的PC4R自適應防護架構，積極研發自主可控產品，從而使工業互聯網運行的穩定性和安全性得到保證。