工業互聯網環境下IT/OT融合的安全防御技術研究

摘要：傳統IT/OT融合的安全防御技術只能儲存IT/OT融合數據，不能進行加密，導致數據出現泄露、完整性受損以及真實性問題。為此，文章研究工業互聯網環境下IT/OT融合安全防御技術。首先，文章通過風險評估、漏洞掃描、網絡監控和日志分析等方法，尋找并確定安全缺口，構建安全架構關聯體系；其次，建立防火墻體系，對網絡進行主動優化和保護，確保不同區域的安全隔離；最后，采用加密技術對IT/OT融合數據進行加密處理，確保數據來源的真實可信性。實驗結果表明，文章設計的安全防御技術攻擊成功率最高僅為2%，具備更好的防御性能。

關鍵詞：工業互聯網；IT/OT融合；安全防御技術；分區防護

中圖分類號：TN929 "文獻標志碼：A

0 引言

隨著工業互聯網快速發展，信息技術（Information Technology，IT）和運營技術（Operation Technology，OT）的融合變得越來越重要。由于IT和OT領域的傳統安全策略和防御手段各有側重，兩者之間的差異和鴻溝逐漸凸顯，因此研究IT/OT融合的安全防御技術有重要意義。在工業互聯網環境下，IT/OT融合的安全防御技術需要綜合考慮IT和OT這2個方面的因素。冷煒鑭［1］以交換技術與安全技術相融的安全型三層交換機技術為突破，建立了安全型三層交換機動態防御模型。羅奇［2］提出了一種基于數據驅動的網絡捕獲模型，并將其與相關規則相結合，實現了數據驅動的入侵檢測，利用女巫的入侵檢測技術，對以數據為基礎的網絡進行攻擊，建立以數據為基礎的網絡安全防御體系。

在上述研究的基礎上，本文進一步研究工業互聯網環境下IT/OT融合的安全防御技術，以期為工業互聯網中IT/OT的融合提供更完整、更高效的安全防護方法，確保工控系統的穩定與安全。

1 工業互聯網環境下IT/OT融合的安全防御方法設計

1.1 尋找安全缺口

安全性缺口通常是由各種因素造成的。為了有效尋找安全缺口，研究人員通常采用以下方式。

（1）執行漏洞掃描：該方式使用專業的漏洞掃描工具，定期對系統和應用程序進行掃描。

（2）監控網絡流量：該方式通過監控網絡流量，可以發現異常活動和潛在的攻擊；可以通過使用網絡監控工具和入侵檢測系統（Intrusion Detection System，IDS）來實現。

（3）分析日志文件：該方式分析系統、應用程序和安全設備的日志文件，發現異常行為和潛在的攻擊。

（4）進行滲透測試：該方式邀請專業的滲透測試團隊模擬惡意攻擊者，以測試系統的防御能力，這將識別出潛在的安全弱點，提供改進建議。基于上述方式尋找安全缺口的方法如表1所示。

表1 尋找安全缺口方法

方法描述示例

風險評估對系統和應用程序進行全面的風險評估發現數據庫存在未打補丁的安全漏洞

漏洞掃描使用專業的漏洞掃描工具，定期對系統和應用程序進行掃描檢測到Web應用程序存在SQL注入漏洞

網絡監控通過監控網絡流量，可以發現異常活動和潛在的攻擊發現異常的網絡流量，可能是DDoS攻擊的前兆

日志分析分析系統、應用程序和安全設備的日志文件，以發現異常行為和潛在的攻擊識別出服務器上的異常登錄行為，可能是惡意軟件活動

滲透測試請專業的滲透測試團隊模擬惡意攻擊者，以測試系統的防御能力發現系統存在未受保護的遠程桌面協議連接

尋找安全缺口是指通過各種方法和技術來發現系統和應用程序中存在的安全漏洞和潛在的攻擊面。其對構建安全架構關聯體系，提高工業互聯網中IT與OT融合的安全性非常重要。具體要素如下。

（1）確保構架安全：在工業互聯網的設計中，系統需要加強安全保護以防止設備被任意調用。

（2）強化被動防御：研究人員須建立工業互聯網防火墻，通過限制網絡流量和阻止惡意訪問，實施被動防御策略；同時，建立硬件設備和軟件清單，對網絡拓撲進行梳理，確保設備和系統的安全運行。

（3）及時更新服務器：研究人員須持續更新服務器軟件和系統補丁，并及時修復已知的安全漏洞，從而抵御非法侵入和減少被攻擊的風險。

（4）加強設備安全防護：在工業互聯網環境中，設備的安全是整體安全的基礎。因此，研究人員應根據企業的實際狀況，對內部設備進行安全加固，確保其具備足夠的防護能力。

1.2 實施分區防護

統一管理和協調有助于提高整體安全性，并確保分區防護能夠協同工作，形成一個更加強大和有效的網絡安全體系。第1個階段是對網絡劃分的防火墻進行主動優化，并與深層保護系統共同建立1個防火墻；第2個階段是建立企業內部的網絡防火墻，對網絡進行控制；第3個階段是建立健全的防火墻實施方案；第4個階段是建立“非軍事區域”的防火墻［3］。防火墻結構如圖1所示。

分區保護是把整個網絡分成若干個部分，在各個部分執行相應的安全策略和保護措施，達到對整個網絡進行安全管理與防御的目的［4］。具體步驟如下。

（1）實施分區防護須根據工業互聯網環境的需求和特點，將網絡劃分為不同的區域。

（2）研究人員須對每個區域實施相應的安全防護措施。對于核心網絡，研究人員須加強訪問控制和加密傳輸，防止未經授權的訪問和數據泄露。

（3）研究人員還須建立完善的安全管理制度和流程，通過建立完善的安全管理制度和流程，可以及時發現和處理安全事件，減少安全風險和損失。

（4）實施分區防護須綜合考慮整個網絡的安全性和性能。在實施分區防護時，研究人員須充分考慮各個區域之間的聯系和交互，避免因分區防護而導致的網絡瓶頸和性能下降。

通過將網絡劃分為不同的區域，并針對每個區域實施不同的安全策略和防護措施，實現對整個網絡的安全管理和防御，提高工業互聯網環境的安全性和可靠性。

1.3 加密IT/OT融合數據

在IT/OT融合環境中，確保數據來源的真實可信性是至關重要的。將傳輸的IT/OT融合數據變成密文（加密）。加密的目標是存儲在服務供應商服務器的IT/OT融合數據以及傳輸到終端用戶的IT/OT融合數據，將加密技術引入上述數據［5］，以解決數據的傳輸和存儲件安全問題。IT/OT融合數據加密流程如圖2所示。

針對數據驅動的網絡數據傳輸特性，本文利用動態密碼技術實現IT/OT融合數據加密，構造了一套完整的云同步啟動程序。假定α代表全同態處理流程的一個環節，μ代表明文空間K的輸入閾值。α是數據加密程序的起始程序，要使這個啟動程序在一個數據驅動的網絡中發揮作用，需要對Iα的特定數值范圍進行計算。其中，明文空間為明文，μ為解密程序的閾值。本文使用云計算技術來進行資料分享，資料的加密處理方法如下所述。

對于任何I閾值，本文將數據的加密處理表達為：

其中，C代表密文，E（）代表加密算法，P表示待加密的數據，表示異或運算符，K表示用于加密的動態生成密鑰。

則IT/OT融合數據加密過程為：

（Dα（Iα（μ）））=α（h）（2）

其中，Dα是對完全同態加密α進行解密處理的操作，Iα（μ）是對閾值μ進行加密處理的操作，α（h）是具有h的啟動程序處理結果。

本文使用動態密碼技術對明文空間K中的數據進行加密處理，得到加密后的密文；使用解密處理操作Dα對加密后的數據進行解密，得到原始的明文數據。

2 工業互聯網環境下IT/OT融合的安全防御實驗

2.1 實驗準備

本文針對工業互聯網中IT/OT融合的安全防護問題展開研究。選擇GE Predix工業互聯網平臺。在實驗網絡中安裝安全防御軟件（防火墻、IDS、殺毒軟件），以保護工業設備和控制系統的安全。根據實驗需求，本文搭建了實驗環境，以確保實驗順利進行。攻擊信息類型如表2所示。

2.2 實驗說明

根據表2中設定的內容對工業互聯網進行攻擊實驗，實驗中搭建工業互聯網，將本文所提方法與基于P2DR模型的信息安全防御技術探討（方法1）、基于云計算的數據驅動網絡安全防御技術（方法2）進行對比。

2.3 實驗結果分析

3種方法下的攻擊成功率結果如表3所示。

由表3可知，方法1和方法2的攻擊成功率均超過20%，而本文方法的攻擊成功率最高僅為2%。這表明2種對比方法的安全防御技術明顯低于本文方法。

3 結語

通過對IT/OT融合的深入理解，針對其特點和發展趨勢，本文提出了有效的安全防御策略和措施。結合機器學習和人工智能的安全監控和分析、基于區塊鏈技術的數據安全保護等新方法可能成為IT/OT融合安全防御技術的重要研究方向。因此，研究人員需要不斷關注工業互聯網環境的變化和發展趨勢，以適應新的安全挑戰并推動工業互聯網的健康發展。

參考文獻

［1］冷煒鑭.基于P2DR模型的信息安全防御技術探討［J］.信息系統工程，2023（7）：103-105.

［2］羅奇.基于云計算的數據驅動網絡安全防御技術［J］.數據，2023（3）：25-26.

［3］張鳳霞.地鐵信號系統信息安全防御技術研究［J］.都市快軌交通，2023（1）：168-173.

［4］安啟玲，鄭通.工業互聯網環境下IT/OT融合的安全防御技術的研究［J］.中國新通信，2022（6）：131-133.

［5］曹祖軍.計算機網絡技術的應用及安全防御技術［J］.中國新通信，2022（4）：110-112.

（編輯 沈 強編輯）

Research on security defense technology of IT/OT integration in industrial Internet environment

CHEN" Zan， CHEN" Xingyuan， ZHU" Zhiyue

（Hubei Qingjiang Hydropower Development Co.， Ltd.， Yichang 443000， China）

Abstract： The traditional security defense technology for IT/OT fusion can only store IT/OT fusion data and cannot be encrypted， resulting in data leakage， integrity damage， and authenticity issues. Therefore， this paper studies the security defense technology for IT/OT fusion in the industrial internet environment. Firstly， through methods such as risk assessment， vulnerability scanning， network monitoring， and log analysis， this paper searches and determines security gaps， and constructs a security architecture correlation system. Secondly， a firewall system to actively optimize and protect the network is established， ensuring secure isolation in different areas. Finally， the encryption technology is used to encrypt the IT/OT fusion data， ensuring the authenticity and credibility of the data source. The experimental results show that the highest success rate of the security defense technology designed in this article is only 2%，which has better defense performance.

Key words： industrial internet; IT/OT integration; security defense technology; zone protection