工業物聯網安全體系架構研究

王濤

摘要：隨著物聯網技術的發展，物聯網在工業領域的應用也曰益廣泛，但物聯網的安全隱患為其在工業領域的應用提出了新的挑戰。本文通過建立工業物聯網的多層體系架構，詳細介紹了整體架構的設計原則和感知層、網絡層、平臺層、應用層四部分的設計方案，同時對工業物聯網安全防護的相關技術進行了初步探討。

關鍵詞：工業物聯網;感知層;網絡層;平臺層;應用層

【中圖分類號】TP309

【文獻標識碼】A

【文章編號】2236-1879（2018）13-0250-01

在物聯網和工業互聯網深度融合的趨勢下，物聯網的安全備受關注，物聯網安全是首要考慮的問題。物聯網的多源異構性、開放性、泛在性使其面臨巨大的安全威脅。與傳統安全領域威脅不同的是，物聯網是與實際物體產生關聯的，如果物聯網安全受到威脅，損失的可能不僅僅是信息資料，更有可能影響到人身安全或者生產設備運行安全。在此，我們提出一種基于四層架構的工業物聯網安全體系架構。

1設計原則

1.1由于物聯網終端和網端節點可能處于無人值守的環境中，物聯網終端的本地安全相較于現有通信網絡終端的安全問題更加巨大，因此需要高度重視物聯網終端和網端節點的安全性。

1.2物聯網具有節點數量巨大、終端節點組群化、低移動性等特點，而且物聯網終端運行環境復雜，需要構建更加符合物聯網特性的、穩定可靠的體系架構。

2安全體系架構整體設計

2.1感知層安全.感知層安全的設計中需要考慮物聯網設備的計算能力、通信能力、存儲能力等限制，不能直接在物理設備上應用復雜的安全技術，可采取的防護技術和措施如下：

2.1.1物理安全：采取防水、防塵、防震、防電磁干擾、防盜竊、防破壞等措施。

2.1.2接入安全：通過易集成的安全應用插件進行終端異常分析和加密通信，實現終端入侵防護，從而防止終端成為跳板，攻擊關鍵網絡節點。

2.1.3硬件安全：確保芯片內系統程序、終端參數、安全數據和用戶數據不被篡改或非法獲取。將身份識別、認證過程“固化”到硬件中，以硬件來生成、存儲和管理密鑰，并把加密算法、密鑰及其他敏感數據存放于安全存儲器中，增強物聯網終端的硬件安全防護。

2.1.4操作系統安全：使用輕量級安全操作系統，實現操作系統對系統資源調用的監控、保護、提醒，確保系統行為總是在受控的狀態下，防止出現用戶在不知情情況下執行某種程序。

2.1.5應用安全：對要安裝在其上的應用軟件進行來源識別，對已經安裝在其上的應用軟件進行敏感行為的控制，確保預置在終端中的應用軟件無未經授權的修改、刪除、竊取用戶數據等行為。

2.2網絡層安全。傳統網絡層安全機制大部分依然適用于工業物聯網，此外還要基于物聯網網絡層特征，采取特殊防護機制。主要防護技術和措施如下：

2.2.1通用網絡防護：包括網絡結構安全，合理劃分網絡安全域，加強安全邊界隔離，避免安全問題的擴散。部署網絡邊界部署防火墻，制定訪問規則，訪問控制策略，實現系統內外網邊界的訪問控制。

2.2.2網絡入侵防護：部署入侵監測設備，對網絡攻擊進行監控和報警，具備端口掃描、暴力破解、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲、病毒、木馬、IP重用防護、DDoS等攻擊的監控檢測能力。

2.2.3網絡安全審計：部署統一日志管理系統或安全管理平臺，對網絡設備運行狀況、網絡流量、用戶行為等進行日志審計。

2.2.4接人防護：防火墻/網關要求能處理百萬并發連接，支持海量接入的加密能力;實現白名單過濾技術，包括自定義協議能力;提供對終端資源消耗攻擊和基于多行業應用流量攻擊特征的自動防護;網絡安全產品還需要提供基于物聯網特征的病毒和高級威脅的防護功能。

2.2.5加密傳輸：工業物聯網需要充分利用無線移動通信的物理層傳輸特性，通過認證、加密和安全傳輸等技術的應用，在保證用戶通信傳輸質量的同時，防止未知位置的竊聽和增加中間人攻擊的難度。終端和網絡基于無線標準進行雙向認證，確保經過驗證的合法的終端接入網絡，在終端和網絡之間建立安全通道，對終端數據提供加密和完整性保護，防止信息泄露、通信內容被篡改和竊聽。

2.3平臺層安全。平臺層安全主要保障信息和數據在計算和存儲的安全，云平臺必須采取適當的安全策略來保證工業物聯網中數據的完整性、保密性和不可抵賴性，此外還要保障接入安全及API安全。

2.3.1平臺基礎環境安全。保證平臺數據計算與運行環境的安全，特別是基于虛擬化技術的云計算安全，重點應考慮虛擬化管理程序安全和虛擬服務器安全，虛擬機管理程序（VMM）安全。對于VMM的安全防護手段主要是VMM的安全部署和安全配置，在VMM部署時采用強口令字進行權限甄別，做好物理訪問控制和網絡訪問控制，防止非授權人員訪問VMM，啟用VMM中的安全選項等。

2.3.2數據安全數據安全隔離可以根據應用的需求，采用物理隔離、虛擬化等方案實現不同用戶之間數據和配置信息的安全隔離，以保護每個用戶數據的安全與隱私，

2.3.3接入安全。對所有接入設備提供設備與平臺采用雙向驗證，進行證書授權認證及權限管理，確保接入的終端設備與傳輸的信息安全可靠。消息傳輸使用加密傳輸，確保鏈路上傳輸消息的安全可靠性和數據完整性，保障用戶信息安全。接入設備使用Wi-Fi連接的情況下，采用安全協議，如WAP2，禁用不安全協議，如WPA和TKIP。

2.3.4API安全。加強API調用的訪問控制，防止未授權訪問，調用前進行用戶鑒別和鑒權，驗證用戶憑據，對請求做身份認證，并且防止篡改，重放攻擊，對敏感的數據做加密，防范數據被篡改。做好API過載保護，實現不同服務等級用戶間業務的公平性和系統整體處理能力的最優化，并對API的調用進行日志記錄。

3結束語

工業物聯網作為一種新興的技術與概念，在制造業有著極其廣闊的應用和不可比擬的優勢。本文針對工業物聯網安全問題，以提升物聯網安全總體防護水平為實施目標，給出一種工業物聯網安全體系架構，為它的可持續發展提供全面的安全解決方案，在工業物聯網今后的發展和應用過程中，需要不斷借鑒、吸收國內外先進的技術理念，使其安全防護措施能夠得到不斷完善。

參考文獻

[1]臧勁松，物聯網安全性能分析[J].計算機安全，2010（6）：51-52.

[2]李士寧，工業物聯網技術及應用概述[J].電信網技術，2014（3）：26-31.

[3]宋慧欣.破解“工業控制系統信息安全”迷局[J].自動化博覽，2012（7）：30-35.