面向工業互聯網的安全加密管控系統分析

摘 要 基于工業互聯網安全防護體系設計，實現面向工業互聯網應用行業及企業的從前端數據加密、信息可靠傳輸，到后端的數據落盤加密、數據分析處理，再到設備異常和故障監控、安全事件及行為分析，并可實現多維度報警分析功能的加密管控服務系統。

關鍵詞 安全防護;網絡通信;數據安全

引言

工業互聯網包括網絡、平臺、安全三大體系[1]。而傳統互聯網的網絡層級較少，基于TCP/IP的通信協議安全機制也較為完善。而工業互聯網是基于泛在連接的復雜網絡，運行著超過1000種缺乏安全機制的工業控制、現場總線、工業通信等協議[2]，且不同企業接口不一、較為封閉等特點加大了安全協議分析的難度。而安全而高效的傳感器及相關應用將是實現工業互聯網的核心基礎。

目前存在的主要問題：

（1）工業互聯網缺乏安全機制的協議種類繁多，互通難度大;

（2）工業互聯網數據種類多樣，缺乏防護重點;

（3）工業互聯網安全需構建全新的身份信任體系。

本系統基于工業互聯網安全防護體系設計，圍繞工業互聯網體系安全的五大重點方向：設備安全、控制安全、網絡安全、應用安全和數據安全[3]，突破輕量級加密算法研究、基于國密算法的多類加密模塊研制、加密存儲硬件研制、分布式文件系統開發、全局統一管控平臺開發等關鍵技術，實現面向工業互聯網應用行業及企業的從前端采集數據加密、信息可靠傳輸認證，到后端申威平臺實現數據分析處理，再到設備異常和故障監控、安全事件及行為分析，并面向用戶實現多維度報警分析功能的加密管控服務系統。

針對加密管控服務系統本身特色，數據處理上采用“國產化設備+國產化軟件生態”為主，加密手段上通過“定制前端數據加密模塊+網絡設備+身份認證系統”的解決方案來滿足對數據安全傳輸和認證的需求，用戶終端采用“自主可控軟件平臺+KEY”盡量滿足對存儲系統安全、可擴展、高效低能耗、高安全性的需求。

前端數據采集加密，采取定制化的密碼加密模塊應用在工控設備終端，通過專用數據接口與工控終端相連，用于終端設備的身份認證、數據傳輸加密、完整性保護等。考慮到終端的低功耗、資源受限等特點，定制密碼加密模塊從算法到硬件實現，按照輕量級的要求設計。

傳輸過程中采取支持基于國密算法的IPSec安全通信，速率不低于20Gbps，單控制卡存儲容量達到TB級，通過萬兆高速以太網和安全加密通道構建分布式計算存儲系統。數據從前端加密系統匯聚到數據匯聚認證系統之后，在安全網關設備層實現加解密閉環，實現身份認證和數據機密性保護。數據匯聚認證系統主要通過數據接入網關、身份認證系統、服務器密碼機等密碼設備，實現網絡隔離、接入認證、數據保護等安全功能。

存儲節點全自主可控設計，采用自研國產申威1621處理器平臺。

集中管控系統采用B/S架構，其中服務器端運行在國產化硬件環境之上，客戶端通過瀏覽器等進行平臺使用，實現遠程調試、實時監控、報警管理、運維管理、異常處理、能耗管理、設備管理等各類應用，以提高工業互聯網平臺的安全性、可靠性和可用性。

基于以上設計原則，實現前端數據加密、數據匯聚認證，實現數據處理，集中管控服務。

前端數據加密系統，部署在各工業互聯網終端，實現對工業互聯網數據的機密性和完整性保護。加密系統通過如輕量級的認證協議以及數據傳輸協議，防止非法接入、非授權使用、泄露、篡改、假冒或重放、中間人攻擊等，保護終端系統的機密性、完整性、可用性。

數據匯聚認證系統在實現最基本的數據傳輸和匯聚的功能之外，主要實現用戶身份認證、重認證處理、認證信息傳遞、訪問控制、訪問行為審計。

數據處理系統主要完成對數據的采集、存儲、檢索、加工、變換和傳輸。數據處理的基本目的是從大量的、雜亂無章的、難以理解的數據中抽取并推導出對于特定的群體來說有價值、有意義的數據。

集中管控系統，可根據預先定義的數據模型，按照不同層次的不同檢測規則給出實時顯示和歷史數據查詢，能夠實時監測與管理設備運行的能耗，并進行能耗分析和優化建議。可實現對設備的運行維護進行管理，記錄每次設備維修和維護的情況和問題，提供實時數據與特征數據之間的相似度，給出故障或異常的相似度建議，根據預設的固定閾值、動態閾值、實時數據與模型預測的差值等策略進行異常報警，支持多種報警方式。

結束語

通過系統的實現，解決部分前端數據傳送的加密保護，能安全地實現多種通信技術標準的互聯互通，完整、高效、低成本把多種協議并存的異構設備連接起來、把數據匯集起來，實現在邊緣或云端計算，有效地保障工業互聯網異構互聯。從而有利于開展工業互聯網安全防護工作，提升安全防護能力，推動其健康發展[4]。

參考文獻

[1]劉廉如，張尼，張忠平.工業互聯網安全框架研究[ED/OL].https：//wenku.baidu.com/view/3468ee5eaa956bec0975f46527d3240c8447a1ff.html，2020-1-25.

[2] 佚名.工業互聯網安全技術的思考[ED/OL].https：//www.sohu.com/a/378645337_120012740，2020-3-9.

[3] 佚名.2018年工業互聯網構成要素及工業互聯網體系架構分析[ED/OL].http：//free.chinabaogao.com/it/201803/03532295r018.html，2018-3-5.

[4] 佚名.淺談工業互聯網安全技術保障體系[ED/OL].https：//wenku.baidu.com/view/11b393bdacaad1f34693daef5ef7ba0d4a736de5.html？fr=search，2020-5-28.

作者簡介

汪姍姍（1985-），女，湖南人;學歷：本科，職稱：高級工程師，現就職單位：慧镕電子系統工程股份有限公司，研究方向：數據安全。