工業物聯網信息安全問題及應對措施

李 洹

（新鄉職業技術學院，河南 新鄉 453006）

0 引 言

近年來，工業物聯網的發展已經受到研究人員的廣泛關注，對于提升工業產品的生產效率有著明顯效果。其改變了傳統的數據傳輸模式，實現了成本更低的數據通信，同時通過傳感器實現了設備之間的數據共享。

1 工業物聯網

工業物聯網是多種復雜技術的大融合，主要可以分為感知層、網絡層、應用層[1]。工業物聯網具體架構如圖1所示。

圖1 工業物聯網架構

感知層也稱數據采集層，位于最底層，主要通過各種各樣的傳感器來收集底層數據。網絡層也稱數據傳輸層，位于中間層，主要使用各種通信技術來對感知層收集到的數據進行傳輸。應用層也稱數據處理層，主要用于處理中間層傳輸過來的各種數據，根據這些數據可以及時做出各種決策，指導工業生產的全過程。

工業物聯網中的信息主要來自工業控制系統的感知層，包括設備的運行參數和監控數據等。在當前的工業物聯網系統中，所采集到的數據并不是直接供客戶端使用，而是用在工業控制系統中，工業控制系統根據這些數據來判斷設備是否正常工作。一般情況下，所采集的數據主要是控制設備的數據和現場工作設備的數據。控制設備主要以可編程邏輯控制器（Programmable Logic Controller，PLC）等為主，負責對各種工控設備下發控制指令。

網絡層主要是將傳感網絡、移動網絡和互聯網進行高度融合，所采用的技術標準也都不同，其中無線通信技術主要用到了Wi－Fi、藍牙技術、無線射頻識別（Radio Frequency Identification，RFID）技術以及ZigBee技術等，同時還有以消息隊列遙測傳輸外文 名（Message Queuing Telemetry Transport，MQTT）為代表的各類物聯網通信協議。

應用層主要以通信服務器、歷史數據服務器以及遠程監控端為主，在工業系統軟件和平臺的幫助下，最終在數據分析中心實現數據匯總處理。

2 工業物聯網信息安全的研究現狀及面臨的問題

2.1 國內外工業物聯網信息安全的研究現狀

隨著“工業4.0”和“中國制造2025”戰略規劃的提出，關于工業物聯網方面的研究越來越多，特別是工業物聯網信息安全已經成為工業領域重點關注對象。

近年來，國內外學者或企業研究最多的是工業物聯網的安全和隱私問題，有學者提出了關于工業物聯網的系統風險評估方法、異常流量的檢測機制以及基于IEEE 21451的無線工業物聯網安全高效訪問策略。除此以外，一些涉及數據安全的廠商紛紛投入到物聯網信息安全方面的研究，不僅提出了一些接入認證技術、信息加密技術以及嵌入式技術，還在硬件方面添加了可信證書、設備密鑰等。針對當前工業物聯網面臨的問題，分析其問題的來源，建立基于工業物聯網信息安全的防護體系。目前，國內外的研究主要以標準制定、網絡架構構建以及安全技術開發為中心來進行工業物聯網信息安全研究，仍需要進一步深入探索[2]。

2.2 工業物聯網信息安全面臨的主要問題

工業物聯網發展到現在，在信息安全方面主要面臨以下2個方面的問題。

一方面是來自網絡外部的攻擊問題。由于部署工業物聯網的企業一般都是大型企業，具有較大的經濟價值和社會價值，因此這些大型企業很容易成為黑客攻擊的目標。黑客攻擊后，企業就有可能會出現網絡癱瘓、數據泄露等問題。關于這類受到黑客攻擊的問題，一般都要從工業物聯網的整體架構考慮，以建立安全防護體系為主，同時還要升級完善契合企業實際的安全防護技術[3]。

另一方面是工業物聯網中設備自身物理安全和環境安全問題。很多工業物聯網設備的部署都會受到環境影響，如強磁干擾、高溫潮濕的影響等，對此需要選擇抗干擾性較強的設備[4]。同時，在工業物聯網設備部署前需要合理選址，避免對設備運行造成影響。

3 工業物聯網信息安全的應對措施

3.1 數據采集層

目前，工業物聯網數據采集層主要涉及信息識別、采集與控制。信息采集主要通過各種傳感器、RFID裝置以及智能設備終端完成，其面臨的主要問題是物聯網設備終端安全問題。例如，黑客通過暴力字典等攻擊模式直接控制一些終端設備，進而侵入到工業物聯網的內部網絡進行非法的行為或惡意攻擊，從而監聽、篡改、偽造設備的數據或指令等[5]。僵尸網絡病毒是工業物聯網數據采集層所面臨的最大安全問題，此病毒主要針對工業物聯網終端設備自身脆弱性和終端設備之間互聯性的特點，利用自動化腳本指令來破解終端設備的賬戶和密碼，從而修改終端設備的軟硬件配置信息，最終將這些終端設備變成僵尸節點。攻擊者會不斷破解更多的終端設備，從而組建一個龐大的僵尸網絡，利用這個僵尸網絡向其他物聯網設備發起分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）、暴力破解攻擊等，最終造成嚴重危害[6]。對于該問題，在日常維護中可以消除或阻斷不必要的服務，同時消除一些默認的證書，以安全的密碼取而代之，從而阻斷與外部端點的意外連接，避免受到病毒攻擊。從長遠角度來看，需要構建完善的防護體系，借助相關的工具軟件來及時修復適應型病毒可利用的漏洞。

3.2 數據傳輸層

對于物聯網而言，數據傳輸層的通信協議目前存在著一定的安全漏洞。由于物聯網所采用的數據通信設備不同，其所采用的通信協議也沒有統一標準，各個廠家有著不同于其他廠家的標準，采用的加密措施也各不相同[7]。部分物聯網產品采用的是簡單的明文傳輸方式，攻擊者采用網絡嗅探等方法都可以直接攔截到通信數據，并且還可能入侵到物聯網系統的局域網中，利用中間攻擊者發送錯誤的控制指令，影響工業設備的正常運轉[8]。基于此，必須采用雙向驗證連接方式，阻止不法終端的惡意連接。與此同時，對通信進行雙向加密，保護敏感信息，避免信息在傳輸過程中被竊取、篡改。

3.3 數據處理層

工業物聯網的數據處理層主要用來對數據進行存儲、分析以及計算等處理，一般由數據庫服務器、通信服務器以及遠程監控服務器等組成。數據庫服務器是數據處理層的信息中心，存儲著大量的信息資源。工業物聯網系統網關的后級就是終端設備，這些終端無法直接對外提供服務，系統管理員可以通過通信服務器實現對終端設備的控制。通信服務器需要時刻保持開啟狀態，如果缺乏足夠的安全防護措施，就會成為易被攻擊的對象[9]。針對此類問題，需要提升操作系統的安全性，防止非法權限得到升級。與此同時，利用防火墻技術阻斷意外的外部訪問或連接，如果進行系統更新必須要經授權，防止惡意修改行為發生[10]。

4 結 論

綜上所述，為了保護工業物聯網的信息安全，需要從安全設計方面入手，如遵循安全的軟件開發方法、選擇明智的開源軟件、構建多層次的安全防護方法以及集成或改進現有的安全防護技術等。除此之外，針對工業物聯網的不同層次采取不同的安全防護措施。對于數據采集層，要對網絡病毒的攻擊原理進行深入分析，從而防范病毒的端口掃描、暴力字典破解；對于數據傳輸層，通過對通信過程進行加密實現數據加密傳輸，同時對使用MQTT協議接入的終端設備進行身份認證；對于數據處理層，采用MQTT協議深度包檢測防火墻對MQTT代理服務器進行防護，針對具有明顯異常特征或不符合MQTT協議規定的通信流量進行分析并控制其訪問請求。除此之外，優化完善信息安全防護體系，有效識別一些構造精良的偽造數據包，以免受到其發起的高級持續攻擊，一旦發現異常立即警報，有效保護信息安全。