工業互聯網環境下的網絡安全技術與挑戰分析

趙申 陳魏魏 劉振

摘要：分析工業互聯網環境下網絡安全技術，并提出具體的應對挑戰的策略。介紹工業互聯網技術的發展進程，工業互聯網是工業控制系統（ICS）與信息技術（IT）的融合，將傳感器、設備、網絡和系統連接在一起，增加了網絡攻擊的目標和安全隱患。從技術角度入手，探討區塊鏈技術、5G技術、人工智能技術等安全技術在安全防護領域的具體應用。未來應提升工業互聯網的安全等級，配置更有效的安全網絡，應對技術挑戰。

關鍵詞：工業互聯網；安全防護；區塊鏈技術；安全管理

一、前言

工業互聯網涉及各種各樣的硬件設備、傳感器、控制器等，這些設備通常具有不同的操作系統和軟件，對實時性和可靠性有高要求，現有的安全防護網絡很難同時兼顧工業互聯網的效率要求和安全要求[1]。與傳統的信息技術網絡相比，工業互聯網領域尚沒有完全統一的安全標準和規范，導致了安全技術和解決方案的多樣性和不一致性，也增加了網絡安全領域的技術挑戰。只有綜合現有的技術基礎，在滿足工業互聯網數據使用需求的基礎之上，不斷對安全防護手段進行升級，才能真正形成有效的防護。

二、工業互聯網的技術發展及其在安全領域面臨的挑戰

（一）工業互聯網的發展歷程

我國工業互聯網雖然起步稍晚，但是進展較快，目前在工業互聯網的框架標準、安全國際合作等方面已經基本達到與發達國家同步的水平。2016年，工信部發布了工業互聯網體系架構1.0，聯合各頭部單位對于工業互聯網的體系進行了系統性的規劃和設計。2019年發布了2.0版本，2021年發布了3.0版本，伴隨著技術的不斷升級、標準化框架的不斷更新，我國工業互聯網體系逐步走向完善。工業互聯網的發展目前可以概括為網絡體系構建、平臺體系構建、安全體系構建和應用體系構建。其中，安全體系是工業互聯網的應用保障，尤其是在當前國際形勢復雜化的背景之下，工業互聯網的信息安全被各個層面普遍重視[2]。國家先后發布《工業互聯網安全標準體系》《工業互聯網平臺安全防護要求》等系統規定，并在數字控制、商用密碼、平臺架構、數據使用等領域編制安全管理細則，提高管理的針對性和有效性，為技術的使用提供依據和支撐。

（二）工業互聯網面臨的安全挑戰

1.工業領域軟件硬件自主研發程度不足

目前相較于西方發達國家，我國在科技領域軟件硬件的研發上仍然處于相對落后的狀態，尤其是與安全防護有關的精密技術和先進設備仍然不足，難以支持工業互聯網的數據采集安全管理、數據分析和數據優化，不僅制約了工業互聯網的廣泛應用，也留下了明顯的安全隱患。目前我國工業互聯網所使用的軟硬件仍有很大部分是應用國際已有軟硬件進行二次開發，缺乏核心專利和核心技術，國內企業僅有少數龍頭愿意投入大量資金進行技術研發，大部分企業主要是使用已有的成果，并不愿意積極投入資本進行研發，在市場當中缺乏相關的投資環境。

由于核心技術的缺失，當前我國工業互聯網的自主發展受到了不同程度的限制，威脅了互聯網的數據安全。從操作系統層面上來看，國內的工業設備大多數是使用微軟系統、Unix系統以及Linux作為基礎操作系統，這些系統的核心技術均屬于國外企業，存在不同程度的安全風險。從部署情況來看，大多數工業互聯網的部署均要應用到物聯網、以太網和移動網絡，再加上操作系統等核心技術屬于國外的先天不足，當前的安全防護難度較大，整體成本也較高，總體形勢不容樂觀[3]。

2.工業園區云設施發展程度參差不齊

當前我國大部分的工廠實際上信息化程度仍然不高，據2023年企業設備數字化率和數字化設備聯網率統計結果來看，這兩項數據分別為52%和49%。然而，在向數字安全等方向構建的過程中，不僅會需要大量的資金，同時也需要充足的人力和設備資源，這使得很多工廠在成本方面難以承受。企業對于信息安全化的途徑雖然有熱情，但是由于缺乏安全建設、運維的權威標準，企業對信息化投資安全較為擔憂。還有一些企業盲目地投入到了信息安全化的建設當中，但是沒有起到較好的實際效果，不僅增加了管理成本、浪費了資金，也使整個環境陷入了一種謹慎觀望的態勢，同時從工業園區云設施的發展情況來看，構建園區云是智慧園區發展的整體趨勢，也是加強網絡防護的重要物質基礎，但是當前工業園區云的建設也涉及一系列的投資主體問題、安全技術問題、標準化建設問題以及企業參與程度不高的問題[4]。

目前，工業互聯網平臺缺少統一的管理，很多地區并沒有建立起統一的工業互聯網的架構。國內有影響力的工業互聯網平臺已經超過150個，處于蓬勃發展的狀態，但這些平臺分散發展，缺乏統一標準，缺乏共享機制，每一個工業互聯網平臺實際上就相當于一個獨立的互聯網平臺，形成了信息的孤島。信息的孤島也是安全的孤島，各個平臺之間存在的信息壁壘和技術壁壘使得統一的安全監管變得尤為困難。

三、工業互聯網環境下網絡安全的技術發展方向

（一）加強軟件領域的自主技術研發

1.工業蜜罐技術的應用

工業蜜罐技術用于監測和防御網絡攻擊，在工控系統或工業網絡中部署蜜罐設備，可以吸引攻擊者進入虛假的系統環境，提供假的攻擊目標，從而誘使攻擊者暴露其攻擊行為，幫助工業網絡管理員及時發現和應對攻擊，從而保護真實的工控系統和網絡安全。

Web Server和Workstation作為工業蜜罐系統的威脅管理系統，能夠對感知傳感器上傳的內容進行防護審計，并用于后續的工業系統升級，傳感器本身極具擴展性，能夠對于獲得的仿真數據進行海量加工和處理，有效識別系統當中的各個干擾信息，把握攻擊流量，對攻擊行為展開實時分析。Media PC對這些可疑內容進行分析，查找識別安全威脅，判斷出攻擊事件，并發出實時警告。工業蜜罐技術整體基于K8s+docker+VM等虛擬化技術，結合SDN技術，相關架構能夠有效識別工業網絡當中的用戶特點，按照不同業務的網絡類型進行部署。在工業蜜罐的應用中，Kubernetes能夠掌控眾多的Docker實例，Docker的容器化技術供給了一種輕量化的虛擬環境，讓工業蜜罐得以迅速搭建和克隆。這些建立的功能復制了工業自動化環境中的要素，例如PLC（程序化邏輯控制單元）、HMI（交互式操作界面）等。Docker的隔離特性和攜帶便捷性保障了誘餌系統的穩固性與同質性。模擬器技術，例如VMware或Hyper-V能夠被應用于構建更加精細的工業蜜罐。這類系統有能力仿真整個產業網絡的結構。工業控制系統的模擬環境提供了更高級別的獨立性，允許在不干擾主機系統的前提下執行多種操作系統和應用軟件。結合軟件定義網絡（SDN）的技術手段，工業誘餌系統的網絡布局得以更為機動地實施設定與操控。SDN授權網絡管理員利用軟件來指揮網絡的活動涵蓋數據流向導引、防護規則以及網絡劃分。在工業蜜罐網絡布局中，軟件定義網絡（SDN）能夠以高度的不穩定性重新配置數據流，誘導惡意數據流向虛假的目標，而此舉同時維護了實際產業網絡的防護完整性。在迷惑攻擊者的同時也能夠對蜜罐獲取的攻擊行為日志進行集中分析，為企業提供攻擊者畫像，方便進行溯源查找，形成攻擊報告和威脅情報共享[5]。

通過在工業互聯網環境中設立蜜罐，可以吸引惡意軟件攻擊并收集有關惡意軟件的行為、特征和漏洞利用信息，用于惡意軟件的分析和正常軟件的漏洞修補，提高工業系統的安全性。蜜罐能夠實現仿真分析，通過MySQL訪問，集成系統服務，在工業場景當中實現有效的遠程裝置交互，對工業系統進行靈活的調度和分析。當前的蜜罐防護系統一般開放102端口，配置St Louis修改，針對104仿真協議進行數據交換，能夠對各項設備進行實時遙控、遙信等翻譯和記錄。蜜罐技術針對程序的仿真，主要是通過建立聯系、輸入寄存器、讀寫單個保存寄存器保障蜜罐的高仿真度和誘捕能力，能夠對一系列的攻擊進行自主定位，從而對熱點漏洞起到有效的防護作用。

2.數字孿生技術的應用

數字孿生技術通過數學化的方式對物理實體進行還原形成虛擬數字的多重模型，該方法具有集成多尺度、多學科、多物理量的優勢，能夠充分利用當前的物聯網傳感技術、物理模型運行技術、數據歷史追蹤技術實現全過程的仿真分析。總的來看，這種方法是一種在線物理實體全生命周期運行狀態的模擬過程，具備良好的擴展性能，適用于多種理論體系和框架的分析，目前被一定程度上應用在航天航空產品設計和工程建設等領域。

該平臺應用的優勢和關鍵點在于通過基礎工業數據庫和科學計算庫的聯合形成模擬計算平臺，發布模擬模塊對于仿真場景進行實時構建和監控，該系統通過推出可互換的模擬組件參與者得以迅速構建出滿足其特殊要求的虛擬環境。這些情境適用于多種用途，例如提升工藝流程、排查故障、進行安全鑒定等。該系統還配備了一系列綜合監測設備，使得使用者能夠即時監控并審視模擬環境的執行狀況，從而迅速識別任何潛在的障礙并作出相應的改正。該系統亦展現出極高的擴展性與攜帶性。依托于容器技術與虛擬化手段，該系統在多樣的計算生態中得到應用，涵蓋且不限于實體服務器、云端服務器、邊際計算裝置等，導致了模擬計算環境得以靈活配置及擴充以便適應工業需求的持續變化。在防護性質上，此系統實施了眾多保障手段，也配備了高效的日志追蹤與審查能力，有助于使用者追溯并評估可能存在的安保風險，提高工業互聯網的應急響應能力，一旦系統當中出現異常攻擊，就可以快速定位和診斷并跟進解決，從而提高工業企業應對突發狀況的能力，防止安全事件的危害進一步擴大，同時這種優化算法的平臺還能夠有效彌補人工干預的不足，避免問題匯報出錯，減少費時費力的數據生成。完善的技術應用還能夠實現自動化檢測和安全漏洞的排除，進一步加快工作流程，提高生產效率。

3.區塊鏈技術的有效應用

區塊鏈技術本身就具備分布式數據存儲的特點，在數據網絡當中能夠實現點對點數據傳輸，保障工業互聯網當中參與的工業企業能夠利用區塊鏈技術達成共識，同時在數據傳輸方面利用加密算法以及創新的應用模式，實現數據的透明管理和去中心化管理，這種傳輸的信息不可被篡改，能夠集體進行維護，在現有的工業網絡環境之下，安全、高效、可信度高，能夠實現機構與機構、人與人、設備與設備之間的協同管理，從而降低安全風險。區塊鏈技術符合工業互聯網的場景需求，能夠為構建數據網絡資源優化業務流程，提高協同效率，提供有效的自由流轉和精準分析。工業互聯網需要了解生產全要素，實現協同制造，就需要依托技術的升級，利用區塊鏈的分布式網絡技術和共識機制，進一步提高網絡構建的安全性。除此之外，區塊鏈技術的應用還有助于搶占新一代信息技術的主導權，是我國與發達國家在網絡安全方面進行競爭，搶占戰略制高點的一個競爭追逐期。區塊鏈技術的應用有助于打造自主先進的技術體系，實現工業互聯網安全產業的協同創新，為安全注入新動能，是在西方軟件、硬件形成規模應用優勢的基礎之下，實現安全突破的一個重要嘗試。區塊鏈技術提供了一種在不可信網絡中進行信息與價值傳遞交換的可信通道，因此，也是在現有的工業網絡環境背景之下解決安全問題較為重要的嘗試和思路[6]。

工業互聯網數據當中的Iass層和Pass層，需要通過區塊鏈的數據包傳輸安全協議（DTLS）進行保護。該技術方法可以突破多路廣播限制，向客戶端口負責，通過加密和簽名格式對數據進行傳輸，還能夠利用共享數據模型，將物聯網設備上傳的數據信息傳輸到區塊鏈共享中心當中，解決傳統結構的信任難題。在通用動力設備、高耗能設備等設備管理場景之下，區塊鏈技術提供的主動網絡測量方法，可以實現對資源的主動對接，基于雙向主動測量協議（TWAMP）避免額外流量對于當前通信造成的影響。

Composer模塊化架構用于構建和管理區塊鏈網絡中的應用程序，提供了一種簡化區塊鏈開發過程的方式，使開發人員能夠快速構建和部署智能合約和區塊鏈解決方案。允許開發人員使用特定的編程語言，如Solidity編寫智能合約。這些智能合約可以實現資產轉移、數據查詢和交易驗證等功能。基于這種訪問架構，管理人員可以實現文件集分析、控制語言查找以及通信的有效控制。在現有的數據集合當中，參與者、資產、事件可以統籌在一起，對于model模塊的運行進行設置。參與者在了解終端設備數據以及歷史數據的基礎之上，可以通過智能合約和控制文件訪問管理工業互聯網當中的數據資產。事物的提交表示區塊鏈的預先定義條件處于被更改的狀態，在區塊鏈技術之下，事件是系統中參與者所觸發的行為。訪問控制語言定義了訪問控制的策略，通過ACL模塊展現了不同事務的處理集合以及滿足的條件，在獲得相關的許可之后，將自動調用事務處理函數完成對于查詢策略的修改。ACL模塊通常由不同的集合來定義參與者集合、資源集合、行為集合、條件集合和操作集合，在 mode文件當中對不同的數據行為創建讀取、更新、刪除，形成一個crud模塊對于訪問角色進行核心控制，同時事務處理函數也是JavaScript文件的一部分，可以利用終端設備的有效管理，管理員使用自己的數字簽證對文件設置的情況進行簽名，做好數據的標記和識別，分配到區塊鏈中各個peer節點[7]。

（二）加強工業園區云建設與云管理

在工業園區云建設和云管理方面，需要進一步推進強基計劃，引導企業加強核心技術的研發，尤其是加強基礎科學教育，形成產學研一體化的基地建設格局。在當前越來越激烈的全球化背景之下，夯實基礎學科教育是解決數字安全問題的關鍵。我國在2020年開展強基計劃，全國已經有39家試點高校參與，在此基礎上，數百個產業園區加入其中，未來還應該持續鼓勵這些企業進行關鍵核心網絡技術的研發，引導企業進入到強基計劃當中，培養出專業的互聯網安全管理人才。同時，國家還需要制定工業互聯網成熟度的發展指引，使得工業互聯網的受益方能夠不斷擴大。政府和行業協會牽頭，制定成熟的發展指引，使得企業能夠進入到良性發展循環當中，避免盲目激進式的轉變。

四、結語

綜上所述，工業互聯網環境之下，網絡安全技術受到了諸多的挑戰，尤其是通信協議挑戰、基礎物理層面的挑戰，未來要想應對這些挑戰，就需要進一步推進強基計劃，引導企業加強核心技術的研發，并且在通信協議層面建立完善的架構，提升成熟度。政府出面牽頭建設統一運營管理平臺，加強云園區的管理和云計算的落實，通過區塊鏈技術、蜜罐技術等一系列網絡安全技術的具體應用，實現工業互聯網的管理升級。

參考文獻

[1]工業互聯網安全防護探索與實踐[J].網絡安全和信息化，2024（01）：43.

[2]劉偉，彭萬立，李浩.湖北省無線電監測中心完成中國5G+工業互聯網大會無線電安全保障任務[J].中國無線電，2023（12）：8.

[3]王文君，鄭力達，李明蕊，等.蜜罐威脅誘捕技術在工業互聯網的安全實踐[J].網絡空間安全，2023，14（06）：59-62.

[4]張賀豐，林杰，王文赫，等.面向工業互聯網低頻射頻識別技術的高安全設計[J].儀表技術與傳感器，2023（12）：79-83.

[5]張陸洋，連瑾，袁雅芬.基于聯邦學習的工業互聯網平臺研究[J].現代工業經濟和信息化，2023，13（11）：75-78.

[6]高旋，胡鋼，陳超，等.基于區塊鏈的工業互聯網平臺安全管理方法[J].工業控制計算機，2023，36（11）：134-136.

[7]劉文軍，陳晨，狄航.一種面向標識公共遞歸解析節點的數據安全加固策略[J].信息通信技術與政策，2023，49（11）：18-24.

作者單位：上海電氣集團數字科技有限公司

■ 責任編輯：王穎振、鄭凱津