工業互聯網安全問題分析及對策建議

李 俊

（陜西省網絡與信息安全測評中心，西安 710065）

1 工業互聯網的安全態勢分析

工業互聯網把數據、人以及機器連接起來，是一個全球化的開放網絡。在工業互聯網中，網絡安全問題也是無處不在的，尤其是在傳感網與物聯網接入后，工業互聯網面臨的安全問題更加突出。

首先，工業互聯網的物理環節存在問題。以前的工業生產網絡是一個閉環，利用攝像頭、安保人員和門禁等實時安全防護。而在工業互聯網中工業生產中的各個控制系統及設備等物理環節接入了網絡之中，形成了一個開環。這些物理環節中的硬件缺陷和管理漏洞就會暴露于互聯網，使得物理環節防護面臨失效的風險。

其次，工業互聯網的設備后門普遍存在。在工業互聯網中的一些重要設備如MCU、傳感器等大多采用的是進口設備，一些國外廠商出于產品維護需要或者是其他目的會在產品當中安插后門。從而為工業互聯網的安全防護埋下了隱患，成為外界入侵的重要突破口。通過這些后門，不法分子可以進行機密數據的竊取，甚至是通過這些后門大肆破壞，從而使工業互聯網面臨重大的安全威脅。

最后，工業企業的工業信息安全管理缺失。在當前，我國工業互聯網安全管理的缺失可以說是全方位的。不僅工業信息安全防護方法落后，更重要的是要部分企業的工業信息安全管理意識極為薄弱，沒有意識到工業信息安全防護的重要性。有相當一部分企業沒有成立專門的工業信息安全領導小組來負責推動信息安全防護工作，同時工業信息安全防護的專職部門也沒有成立，專項經費也得不到落實。工業生產企業是我國工業互聯網安全防護的基本單位，企業的工業信息安全防護缺失無疑會導致工業互聯網的安全管理體系出現重大的漏洞。

2 工業互聯網安全防護路徑探討

工業互聯網的安全防護對于國家的工業信息安全具有重大的意義，推動工業互聯網安全防護的發展才能給我國工業的安全生產提供更好的保障。

2.1 建立檢測與響應機制

在工業互聯網發展的過程中，其受到攻擊是不可避免的，因此我們只有積極應對攻擊，通過攻擊檢測機制來監測來自各方的攻擊。同時構建起應急響應機制，在受到攻擊后及時作出響應，采取正確的應對辦法抵御攻擊，降低甚至是消除攻擊帶來的損害。一方面，應該應用多種檢測模型來建立異常檢測機制，對于防火墻進行補充，通過病毒查殺、入侵檢測及異常代碼檢測等監測各種可能的攻擊行為。利用非參數累積和模型入侵檢測方法、ICS場景指紋異常檢查方法、差分自回歸移動平均模型方法等提前發現入侵和攻擊事件，在安全防護中搶占先機。另一方面，建立快速的攻擊響應機制，針對工業互聯網入侵事件在最短的時間內做出響應動作。攻擊響應機制必須做到在最短的時間內針對入侵事件進行分類，同時根據入侵事件的不同而啟動不同的響應動作，采取不同的應急響應策略，最終使系統在最短的時間內得到恢復。

2.2 合理應用先進的互聯網安全防護方法

互聯網與工業互聯網的安全防護雖然存在著一定的差異，但是二者之間還是存在一定的相似性的。相較之下，互聯網安全防護的發展要更快，許多先進的安全防護方法不斷涌向出來，使得互聯網的安全有了更好的保障。而這些防護方法也可以在經過必要的轉化之后為工業互聯網的安全防護所用，解決工業互聯網的安全問題。例如，態勢感知技術已經開始在互聯網和企業內網中應用，已經產生了一些解決方案，出現了一些態勢感知和未知威脅發現平臺。這項技術的應用無疑會使互聯網的安全防護水平提到一個更高的層次上。因此，工業互聯網的安全防護也可以借用這一技術，在解決工業網絡應用以及協議多樣性等問題的前提下，將互聯網態勢感知技術應用于工業互聯網中，針對工業互聯網安全狀況進行評估，并預測工業互聯網安全狀況的變化趨勢，通過可視化的方式呈現出來，并給工業互聯網安全防護提供有效的應對措施，更好地應對安全挑戰。

2.3 采用整體防御的策略

工業互聯網的開放性使得針對其攻擊可能來自各個層面和環節，單純針對某些特點的點進行防護是難以奏效的，必須建立起整體防御才能有效防范各種攻擊行為和入侵事件。

首先，應該采取持續響應。在構建響應機制的時候不應該僅僅滿足應急響應的需要，而應該站在工業互聯網遭受破壞，而且需要進行持續監制、修復的高度上，從而構建聯合防御和多點防御，滿足持續響應的要求。

其次，依托于數據實施整體防御。通過構建安全數據倉庫，同時與云端威脅情報相結合，以實現對于高級威脅、已知威脅以及各類型的攻擊的檢測、防御以及過程回溯。

最后，進行安全防護團隊的構建。通過組建安全運維中心，同時理順組織流程，充實人員團隊，將工業互聯網安全防護落實到人上面。

3 結束語

總之，隨著萬物聯網的不斷推進，工業生產也被納入到了網絡當中，工業互聯網時時刻刻都面對著各種安全問題，安全防護是當務之急。