工業互聯網中的安全挑戰與防護機制研究

摘要：該文簡要闡述了工業互聯網概念，結合工業互聯網的系統漏洞、病毒攻擊、設備風險等問題，提出多層次網絡安全防護、數據加密與安全傳輸、構建安全標準體系、加強設備監控和管理的防護機制等舉措，有效維護工業互聯網系統運行可靠性，以期為相關工作者提供參考。

關鍵詞：工業互聯網；安全挑戰；防護機制

doi：10.3969/J.ISSN.1672-7274.2024.08.064

中圖分類號：TP 393.08" " " " " " " " "文獻標志碼：A" " " " " " 文章編碼：1672-7274（2024）08-0-03

Research on Security Challenge and Protection Mechanism in Industrial Internet

ZHANG Yufeng

（China Nuclear Power Engineering Co.， Ltd.， Beijing 100840， China）

Abstract： This paper briefly expounds the concept of industrial Internet， and puts forward measures such as multi-level network security protection， data encryption and secure transmission， building a security standard system， strengthening the protection mechanism of equipment monitoring and management， in combination with the problems of system vulnerabilities， virus attacks， equipment risks， etc. of industrial Internet， so as to effectively maintain the operational reliability of industrial Internet system and provide reference for relevant workers.

Keywords： industrial Internet; security challenges; protection mechanism

0" "引言

隨著科技的發展，互聯網與云技術、5G通信技術等深度融合，將其運用至產業生態系統、信息基礎設施建設中，能為社會經濟發展提供驅動力。現階段，工業互聯網發展前景廣闊，卻也面臨新的挑戰，尤其是各行各業逐漸抹削網絡界限后，傳統被動網絡防御難以適應新型網絡攻擊變化，不法分子利用網絡安全漏洞將造成嚴重損失。例如，2021年5月美國某成品油運營商工業控制系統Colonial Pipeline遭受勒索軟件襲擊，被迫關閉能源供應網絡，影響地區燃油供應。因此，在工業互聯網發展下，面對現有安全挑戰，應制定合理防護機制，對提高工業生產安全、推動工業互聯網發展意義重大。

1" "工業互聯網概述

工業互聯網是借助信息化技術整合工業產業線，推動傳統工業信息化、智能化發展，傳統制造業與先進技術彼此交融的模式，倒逼傳統制造業運行模式、思維方式的改造升級，為其注入新活力[1]。而工業互聯網融合了多種技術，利用傳感器數據、大數據分析、機械學習、自動化技術等，互聯互通工業運輸、生產、銷售等數據，構建數據模型，實現了全流程優劣勢分析與優化，能有效提高工業生產質量安全，功能架構見圖1。

（1）邊緣層是網絡架構基礎，連接與管理海量終端設備，利用協議轉換完成數據通信，也能刪除錯誤數據，實時分析邊緣數據，減輕傳輸數據負載壓力與云端計算壓力。

（2）基礎設施層是資源共享層，提供用戶基礎設施服務，包括網絡通信、存儲數據空間等。

（3）平臺層是互聯網操作平臺，能夠將個性化客戶應用程序部署至云端設施，便于用戶自己開發網絡功能。

（4）應用層是在云端部署應用程序，用戶可利用瀏覽器、客戶端訪問服務與資源。

2" "工業互聯網中的安全挑戰

2.1 系統漏洞

從技術層面來說工業互聯網是操作技術與信息技術的融合，而且隨著工業生產規模擴大，網絡系統愈發復雜，安全防控難度也越大。以工業互聯網連接數據采集與監視控制系統（SCADA）為例，該系統軟件與生俱來的漏洞，增大了安全風險；或是Windows、Linux等操作系統未能及時更新漏洞補丁，可能出現信息泄露、數據被竊取等問題[2]。此外，工業互聯網具有開放性，任意工業生產流程均可訪問數據，增加了安全防護壓力。

2.2 病毒攻擊

工業互聯網運行中，黑客或惡意個體能夠利用網絡漏洞，采取木馬病毒進行攻擊，導致信息泄露、生產中斷。例如，病毒能夠破壞、感染計算機設備，在系統上自我復制，一旦安裝即可利用相同網絡從一臺設備自動傳播至其他設備，無需人為干預[3]；勒索軟件能夠加密受害文件，鎖定計算機訪問，要求企業支付贖金獲得訪問權；無文件惡意軟件無需攻擊硬盤代碼，以寄生攻擊技術，采取安全、合法工具感染受害系統，由于無可執行文件，能夠逃避基于文件的檢測工具，駐留惡意代碼。

2.3 設備風險

在信息化時代，工業設備利用5G或4G網絡共享信息，與互聯網共同成為工業部門重要支撐。但是，工業互聯網智能設備安全防護水平不足，導致設備漏洞將會對網絡造成威脅。部分網絡攻擊，可直接利用工控設備入侵工業設備，對互聯網系統造成嚴重危害。并且，工業互聯網系統難以保證設備無漏洞，進而被非法訪問數據、篡改設備配置、插入惡意軟件等，導致設備故障、數據不準或系統錯誤，干擾生產過程，影響生產質量與效率。

3" "工業互聯網安全防護機制

3.1 多層次網絡安全防護

隨著網絡技術、計算機技術的發展，信息化、工業化深度融合，對工業互聯網安全識別、防護、追溯等提出更高要求，亟需建立一套多層次、立體化網絡安全體系[4]。網絡安全平臺包括安全追溯、安全預警、態勢感知、大數據分析、安全可視化平臺，實現工業互聯網全過程、動態化監控。

態勢感知平臺是綜合分析網絡安全、工業安全基礎上，根據工業網運行情況，評估安全狀態，預測未來發展趨勢。而在安全評估中，構建漏洞模型，設置V=漏洞信息集合，以n代表掃描后網絡設備漏洞情況，確認設備信任關系，可訪問設備以1表示，不可訪問設備以0表示。

安全預警平臺。收集設備漏洞信息后，采取數據挖掘技術，了解網絡、數據、設備安全狀態，對于非法進入、木馬病毒、黑客攻擊等漏洞，以告警彈窗、信息郵件方式發送異常預警。

（3）大數據分析平臺。該平臺對網絡安全、設備安全、應用安全、控制安全等產生的數據開展系統分析，出具分析報告，包括基本運行數據及潛在風險等，確定風險權重指標，見表1。

（4）安全追溯平臺。針對工業互聯網網絡行為，通過溯源分析、時間回溯取證、網絡數據監測、風險智能評估的方式，將網絡安全薄弱環節、威脅時間準確展示出來，為網絡安全防護提供信息支撐。

（5）安全可視化平臺。在工業互聯網安全管理中，利用安全追溯、態勢感知、安全預警及大數據分析等，將互聯網每個工作環節均以圖表、報告方式展示出來，便于管理者準確了解網絡安全情況。

3.2 數據加密與安全傳輸

工業互聯網存儲敏感數據較多，如商業機密、工藝參數等，可采取數據加密方式，以防泄露或被盜取。數字簽名作為數據加密技術的一種，利用數學變換將明文信息映射為簽名文件，替代印章與簽名，一方采取私鑰加密信息，一方以公鑰解密。數字簽名生成消息、驗證簽名均使用專用密鑰，且密鑰僅由相應人員持有。面對工業互聯網數據傳輸安全性，可采取雙私鑰、雙基點方式，在簽名、驗簽中添加隨機數，去除模逆操作，生成簽名流程見圖2。

（1）選擇偽隨機數或隨機數r，范圍1～n-1。

（2）基于G1、G2基點，計算R（xR，yR）密鑰坐標值。

（3）對需要簽名信息M以散列函數計算散列值，即H=Hash（M，x），轉換H為整數。

（4）簽名生成：s1=（r+Hk1）（mod n）、s2=（r+Hk2）（mod n）。

（5）客戶端將s1、s2與M拼接，以AES加密密文發送至服務器。

（6）服務器接收密文信息，利用對稱密鑰解密，判斷s1、s2是否在1～n-1范圍，否則簽名無效。

（7）驗證成果，獲得簽名。

工業互聯網采取雙基點、雙密鑰方式，能夠避免攻擊者獲取公鑰盜取密文，提高數據傳輸安全性。

3.3 構建安全標準體系

工業互聯網技術以數據處理為核心，通過采集、集成、傳輸數據，基于平臺，面向應用，實現工業制造過程的分析、優化決策與控制，需關注數據閉環安全問題，結合《工業互聯網安全標準體系（2021年）》指導文件、實際工業系統，形成安全管理、安全防護、安全應用等標準[5]。針對工業互聯網安全要求采取成效評價工具、趨勢研判成果等，對安全標準持續優化，形成“以評估助改進、以成效促執行”的工作機制，解決工業設備、資源配置、生產過程數據安全互通問題。一是制定網絡標準，關注信息技術融合、運營技術、骨干網等，將其分為工業網絡設備、工廠外網、內網、邊緣計算與資源管理等環節，突出網絡安全防護需求。二是制定數據標準，分析工業互聯網各環節數據表示、格式、接口不統一情況，采取數據互聯互通、實體數字化的方式，保證平臺接口、系統集成適配，合理部署工業App。三是安全標準，包括網絡安全、系統安全、應用安全、數據安全等之間的關系，制定《信息安全技術》《工業APP安全防護要求》等標準體系，實現工業互聯網可持續、有效率的發展。

3.4 加強設備監控和管理

鑒于工業互聯網設備體量大、類型多樣，行業自律水平不一、安全管理分散的情況，應加強設備監控管理，采取安全評估分類分級管理方式，完善檢測認證、標準規范、應急處理機制，提高設備自適應能力。第一，構建設備安全基礎能力體系，設計設備安全架構，采取可信根驗證、安全基線配置的方式，構建設備安全“基線”，增強其內生安全能力。第二，根據設備網絡保護價值、安全風險、事件發生影響，對于不同應用場景、種類工業互聯網設備分級評估，確定重點保護設備，制定安全策略，開展強制安全審查與檢測認證。第三，完善設備安全防護分級分類規范，面對不同防護級別與類別的設備，優化系統服務安全、應用開發安全、數據安全等，形成設備精細化、差異化管理。第四，制定工業互聯網設備檢測評估體系，強化設備應用前的準入審核、安全試驗驗證、測試認證、常態化應用評估，形成閉環設備安全防護。第五，制定設備應急管理措施，根據工業互聯網設備監測預警、態勢感知，確定應急響應處理方法，掌握設備風險視圖，通過安全預警與常態化安全防護等技術手段，有效監測設備安全，滿足工業互聯網運行需求。

4" "結束語

綜上所述，科技發展使得工業互聯網系統愈發復雜，從分布式控制、集中式控制到工業以太網，開放程度、系統規模不斷增加，成為工業“神經中樞”，一旦出現安全問題，將會造成嚴重經濟損失。因此，在工業互聯網運行中，應當結合實際情況，從多層次網絡防護、數據加密、安全標準、設備監控等方面出發，保護信息安全，從而推動工業持續發展。

參考文獻

[1] 安康，麻榮寬，馬梓剛．工業互聯網設備的漏洞分析與安全防御措施[J]．網絡空間安全，2024，15（2）：68-72．

[2] 章永春，柯皓仁，李藝，等．工業互聯網供應鏈網絡安全防護體系研究[J]．通信世界，2024（8）：6-8．

[3] 楊武艷，吳順成，劉洪太，等．“工業互聯網+安全生產”平臺在集團級企業中的應用探究[J]．中國信息化，2024（4）：59-61．

[4] 程月平．分析工業互聯網安全問題面臨的挑戰與應對措施[J]．儀表技術，2020（10）：37-40．

[5] 張小俊，史威，賈立東，等．工業網絡安全態勢感知平臺在能源管道行業應用的機遇與挑戰[J]．自動化應用，2021（8）：80-82，87．

作者簡介：張玉峰（1974—），男，漢族，江蘇江陰人，高級工程師，碩士，研究方向為核電儀控、數字化等。