淺析工業(yè)互聯(lián)網(wǎng)的發(fā)展與安全

龔捷

【摘要】? ? 對于工業(yè)互聯(lián)網(wǎng)上的企業(yè)用戶而言，雖然需求各不相同，但都是為了有效地管理設(shè)備、規(guī)范管理流程，以實(shí)現(xiàn)提質(zhì)增效。今年是《中國制造2025》國家戰(zhàn)略發(fā)布的第6年，當(dāng)前國內(nèi)的工業(yè)互聯(lián)網(wǎng)開始穩(wěn)步發(fā)展并初具雛形。本文對國內(nèi)工業(yè)互聯(lián)網(wǎng)的發(fā)展及安全實(shí)現(xiàn)進(jìn)行了探討。

【關(guān)鍵詞】? ? 工業(yè)互聯(lián)網(wǎng)? ? 安全? ? 工業(yè)4.0

一、工業(yè)互聯(lián)網(wǎng)發(fā)展趨勢

從字面上來理解工業(yè)互聯(lián)網(wǎng)，可以得出這樣的定義：面向工業(yè)、制造業(yè)，實(shí)體經(jīng)濟(jì)，將人機(jī)料法環(huán)等生產(chǎn)要素形成數(shù)字化資產(chǎn)并通過互聯(lián)網(wǎng)平臺(tái)連接起來，實(shí)現(xiàn)數(shù)據(jù)智能、機(jī)器智能、人工智能。

工業(yè)互聯(lián)網(wǎng)不僅包含大型工業(yè)過程控制管理系統(tǒng)、工業(yè)管理網(wǎng)絡(luò)，同時(shí)也包含大數(shù)據(jù)、云計(jì)算等等新技術(shù)新應(yīng)用。結(jié)合當(dāng)前工業(yè)信息化發(fā)展現(xiàn)狀，不難發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)的發(fā)展有以下兩大趨勢：

1.1 平臺(tái)化

不少具備實(shí)力的大型制造企業(yè)已經(jīng)開始了積極的嘗試，例如在企業(yè)的集團(tuán)、生產(chǎn)廠分別部署制造執(zhí)行系統(tǒng)（Manufacturing Execution Systems，MES），通過ISP專線互聯(lián)形成兩層的MES系統(tǒng)結(jié)構(gòu)，生產(chǎn)廠的MES系統(tǒng)對當(dāng)?shù)厣a(chǎn)車間的生產(chǎn)執(zhí)行過程進(jìn)行管理，同時(shí)搜集生產(chǎn)中的數(shù)據(jù)發(fā)送給集團(tuán)MES系統(tǒng)，實(shí)現(xiàn)一定程度的協(xié)同管理;集團(tuán)MES系統(tǒng)將各生產(chǎn)廠的數(shù)據(jù)集中之后進(jìn)行分析，以數(shù)據(jù)視圖和數(shù)據(jù)報(bào)表的方式向管理層展現(xiàn)。

然而，這里MES系統(tǒng)組成的網(wǎng)絡(luò)沒有與外界相連，并非廣義上的“互聯(lián)網(wǎng)”;集團(tuán)、生產(chǎn)廠部署的MES系統(tǒng)在建設(shè)過程中重復(fù)投資，建設(shè)成本高;MES系統(tǒng)投入運(yùn)行后仍需要專門團(tuán)隊(duì)進(jìn)行維護(hù)。

目前大多數(shù)工業(yè)數(shù)據(jù)位于孤立的數(shù)據(jù)庫、不兼容的系統(tǒng)和專有軟件中，數(shù)據(jù)難以產(chǎn)生交換，缺乏互操作性。隨著時(shí)間的推移，承載數(shù)據(jù)的載體進(jìn)入被人遺忘的角落，此時(shí)數(shù)據(jù)泄露的風(fēng)險(xiǎn)將成倍增加。對工業(yè)數(shù)據(jù)進(jìn)行安全的交換，既是新時(shí)代工業(yè)技術(shù)發(fā)展的趨勢，也是實(shí)現(xiàn)工業(yè)安全的重要環(huán)節(jié)。工業(yè)互聯(lián)網(wǎng)是一個(gè)實(shí)現(xiàn)工業(yè)數(shù)據(jù)交互、分析的理想平臺(tái)，借助于當(dāng)前成熟的技術(shù)將能發(fā)揮出巨大的潛力。

1.2 服務(wù)化

在制造企業(yè)當(dāng)中，財(cái)務(wù)軟件運(yùn)行于企業(yè)內(nèi)網(wǎng)服務(wù)器，由具備專業(yè)水平的財(cái)務(wù)人員使用;在餐飲企業(yè)當(dāng)中，普遍使用SaaS平臺(tái)中的財(cái)務(wù)功能模塊，不需要使用者具備專業(yè)能力，普通收銀人員即可使用。兩相對比，我們可以發(fā)現(xiàn)：實(shí)現(xiàn)節(jié)能增效不是僅僅使用軟件功能去替代財(cái)務(wù)人員這種簡單的一對一替代，也不是把軟件系統(tǒng)放在云上這么簡單，而是伴隨著新流程的產(chǎn)生和角色的重新定義，創(chuàng)造新的生產(chǎn)模式或新的服務(wù)模式。現(xiàn)在很多餐廳都實(shí)現(xiàn)了顧客手機(jī)掃描二維碼點(diǎn)餐，這就是新工具創(chuàng)造新服務(wù)模式的例子，它在改變原有流程的同時(shí)減少人員需求，相信不久以后那些給服務(wù)員使用點(diǎn)餐軟件和服務(wù)員手寫下單的模式就會(huì)被淘汰。類似的例子還有不少，比如：客服、企業(yè)郵箱、茶樓里的包點(diǎn)等等，從買系統(tǒng)買機(jī)器回來輔助員工工作逐漸轉(zhuǎn)變?yōu)榘严嚓P(guān)服務(wù)外包出去。

工業(yè)互聯(lián)網(wǎng)的發(fā)展和推動(dòng)也會(huì)遵循這一規(guī)律，在不削弱企業(yè)核心競爭力的前提下，借助互聯(lián)網(wǎng)，將會(huì)誕生全新的生產(chǎn)模式或服務(wù)模式，借助新的模式將服務(wù)外包出去，越容易標(biāo)準(zhǔn)化的服務(wù)越容易實(shí)現(xiàn)外包。例如傳統(tǒng)的工業(yè)軟件如MES、APS、PDM、QMS將在工業(yè)APP市場中供用戶選購，用戶通過在生產(chǎn)車間中部署探針、代理的形式實(shí)現(xiàn)快速部署。這種形式其本質(zhì)是社會(huì)分工的細(xì)化，產(chǎn)品及服務(wù)，服務(wù)即產(chǎn)品。

二、工業(yè)互聯(lián)網(wǎng)的安全實(shí)現(xiàn)

針對工業(yè)互聯(lián)網(wǎng)的發(fā)展趨勢，可以通過實(shí)施一系列的安全機(jī)制從不同層次、不同維度有效保障工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全。

2.1 虛擬安全技術(shù)

工業(yè)互聯(lián)網(wǎng)平臺(tái)將不可避免地使用到虛擬化技術(shù)，虛擬安全是落實(shí)工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵。平臺(tái)運(yùn)營方必須向用戶提供安全保障和虛擬網(wǎng)絡(luò)隔離，同時(shí)可采用蜜罐技術(shù)加以輔助，從而在基礎(chǔ)資源層面保障工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全性和可靠性。

2.2 數(shù)據(jù)存儲(chǔ)和傳輸加密

為了實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)的機(jī)密性和完整性，數(shù)據(jù)傳輸和存儲(chǔ)時(shí)都需要采用密碼技術(shù)。例如采用配備國密SSL算法套件的安全認(rèn)證網(wǎng)關(guān)，并與自建CA或第三方CA、安全瀏覽器配合使用，安全認(rèn)證網(wǎng)關(guān)推薦采用經(jīng)國家密碼管理核準(zhǔn)的密碼產(chǎn)品。數(shù)據(jù)傳輸?shù)焦I(yè)互聯(lián)網(wǎng)平臺(tái)之后，可使用分組密碼算法SM4對數(shù)據(jù)加密存儲(chǔ)，并使用密碼雜湊算法SM3生成和驗(yàn)證消息鑒別碼。需要指出的是，為了實(shí)現(xiàn)自主可控、安全可靠，平臺(tái)應(yīng)使用國家密碼管理局認(rèn)可的國產(chǎn)加密算法。

工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)應(yīng)用可采用業(yè)務(wù)數(shù)據(jù)庫和歷史數(shù)據(jù)庫兩級存儲(chǔ)體制。其中最近一段時(shí)間內(nèi)生產(chǎn)制造相關(guān)的數(shù)據(jù)存儲(chǔ)在業(yè)務(wù)數(shù)據(jù)庫中，更早時(shí)間的數(shù)據(jù)進(jìn)入歷史數(shù)據(jù)庫。可將某個(gè)業(yè)務(wù)在某個(gè)時(shí)間段的歷史數(shù)據(jù)由業(yè)務(wù)數(shù)據(jù)庫遷移至歷史數(shù)據(jù)庫中，遷移完成之后業(yè)務(wù)數(shù)據(jù)庫對相關(guān)內(nèi)容進(jìn)行清空以實(shí)現(xiàn)“瘦身”;同時(shí)，要能夠?qū)v史數(shù)據(jù)庫中的內(nèi)容進(jìn)行檢索，并能將指定內(nèi)容提取出來經(jīng)過解密和校驗(yàn)之后導(dǎo)入業(yè)務(wù)數(shù)據(jù)庫中。如此既可以確保業(yè)務(wù)數(shù)據(jù)庫的訪問速度和存儲(chǔ)效率，又能確保平臺(tái)數(shù)據(jù)的安全。

2.3 訪問控制

在工業(yè)互聯(lián)網(wǎng)平臺(tái)中，應(yīng)對共享資源擬定訪問控制機(jī)制，可采用URL訪問控制策略和ABE技術(shù)等。應(yīng)依據(jù)強(qiáng)制訪問控制策略為各個(gè)應(yīng)用分配不同的安全等級，根據(jù)不同的等級制定不同層次的安全控制機(jī)制，防止越權(quán)訪問。通過防火墻把外網(wǎng)與工業(yè)應(yīng)用系統(tǒng)服務(wù)器隔離開來，只開放工業(yè)應(yīng)用需要的幾個(gè)業(yè)務(wù)端口，任何客戶端在請求工業(yè)應(yīng)用服務(wù)之前必須出示登錄用戶的授權(quán)憑據(jù)給服務(wù)器模塊，授權(quán)憑據(jù)通過PKI來管理。

在平臺(tái)中部署訪問控制信息完整性保護(hù)系統(tǒng)，搜集平臺(tái)網(wǎng)絡(luò)邊界的訪問控制信息，調(diào)用服務(wù)器密碼機(jī)使用SM3算法對訪問控制信息進(jìn)行完整性計(jì)算，并將計(jì)算的值導(dǎo)入完整性保護(hù)系統(tǒng)，實(shí)現(xiàn)對邊界訪問控制信息的完整性保護(hù)。

2.4 認(rèn)證服務(wù)

為了實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)平臺(tái)的真實(shí)性，在平臺(tái)中可部署智能密碼鑰匙、動(dòng)態(tài)令牌卡等密碼產(chǎn)品，并配置用戶在遠(yuǎn)程登錄設(shè)備時(shí)使用國產(chǎn)密碼算法作為傳輸協(xié)議。結(jié)合用戶口令、生物特征等技術(shù)對用戶遠(yuǎn)程登錄進(jìn)行身份鑒別，防止非法訪問和中間人攻擊。用戶可通過https登錄工業(yè)互聯(lián)網(wǎng)平臺(tái)管理虛擬資源，用戶與工業(yè)互聯(lián)網(wǎng)平臺(tái)基于證書進(jìn)行雙向的身份鑒別。應(yīng)對用戶設(shè)置鎖定機(jī)制，當(dāng)用戶連續(xù)嘗試認(rèn)證失敗次數(shù)累計(jì)達(dá)到上限時(shí)，則鎖定其帳號(hào)。

2.5 用戶權(quán)限

平臺(tái)中的用戶權(quán)限應(yīng)遵循最小權(quán)限的原則。應(yīng)設(shè)置系統(tǒng)管理員、安全管理員、審計(jì)管理員等角色，對關(guān)鍵角色建立多人共管機(jī)制。系統(tǒng)管理員、安全管理員、審計(jì)管理員之間互相制約互相監(jiān)督，其中安全管理員不可與系統(tǒng)管理員、審計(jì)管理員等關(guān)鍵角色由同一人擔(dān)任，相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得多人共用。由系統(tǒng)管理員根據(jù)業(yè)務(wù)需求為平臺(tái)用戶劃分不同的角色，安全管理員授予不同角色能夠訪問的平臺(tái)資源，用戶在平臺(tái)中的權(quán)限得以明確。

2.6 安全審計(jì)

工業(yè)互聯(lián)網(wǎng)應(yīng)提供集中的安全審計(jì)措施，審計(jì)管理員可通過該項(xiàng)措施對云平臺(tái)中各類事件進(jìn)行集中審計(jì)。鑒于云平臺(tái)日志信息量非常龐大，安全審計(jì)措施應(yīng)實(shí)現(xiàn)相當(dāng)程度的自動(dòng)化，能夠自動(dòng)對日志信息進(jìn)行分析和挖掘，提煉出平臺(tái)中的安全事件并及時(shí)向關(guān)鍵用戶預(yù)警，支持按時(shí)間、IP地址、操作類型等字段對日志信息進(jìn)行查詢，支持對安全事件的追溯。

2.7 安全管理

安全管理主要是為了保障不發(fā)生由于硬件故障和人為因素而導(dǎo)致服務(wù)的不可用。通過使用冗余的網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備以及軟件架構(gòu)，使用雙路或者三路電力供應(yīng)，使用多個(gè)電信運(yùn)營商的互聯(lián)網(wǎng)線路，建設(shè)“兩地三中心”或者“雙活”數(shù)據(jù)中心機(jī)房，可以在某個(gè)數(shù)據(jù)中心遇到自然災(zāi)害時(shí)及時(shí)切換到其他可用的數(shù)據(jù)中心，杜絕單點(diǎn)故障的發(fā)生，保障業(yè)務(wù)穩(wěn)定正常運(yùn)行。應(yīng)由系統(tǒng)管理員、安全管理員或?qū)徲?jì)管理員等關(guān)鍵用戶對工業(yè)互聯(lián)網(wǎng)運(yùn)行狀況進(jìn)行7*24小時(shí)監(jiān)控，做到硬件、軟件系統(tǒng)的及時(shí)更新。對平臺(tái)的管理、維護(hù)人員定期進(jìn)行資格審查和網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。

2.8 安全服務(wù)

在使用工業(yè)互聯(lián)網(wǎng)平臺(tái)時(shí)，用戶可能仍然面臨一些安全問題，如應(yīng)用層網(wǎng)絡(luò)攻擊、0day攻擊、分布式拒絕服務(wù)（ddos）攻擊等，此時(shí)采用傳統(tǒng)的安全硬件已無法進(jìn)行有效防護(hù)。在工業(yè)互聯(lián)網(wǎng)平臺(tái)中，產(chǎn)品與服務(wù)的界限已經(jīng)模糊，平臺(tái)運(yùn)營方、第三方服務(wù)提供商將以云計(jì)算服務(wù)的方式在云端為工業(yè)企業(yè)提供各種安全解決方案，包括安全態(tài)勢感知、DDos防護(hù)、滲透測試等。

網(wǎng)絡(luò)安全此時(shí)轉(zhuǎn)變成一種商業(yè)服務(wù)，可以被整個(gè)工業(yè)互聯(lián)網(wǎng)的企業(yè)按需采購。網(wǎng)絡(luò)安全企業(yè)也不再需要維持一個(gè)龐大的工業(yè)網(wǎng)絡(luò)安全技術(shù)人員團(tuán)隊(duì)，可通過構(gòu)建安全信息管理服務(wù)平臺(tái)，在工業(yè)互聯(lián)網(wǎng)中布置安全響應(yīng)感知服務(wù)探針，就能發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)中的安全問題，并與專業(yè)的安全信息服務(wù)團(tuán)隊(duì)或安全管理專家對接，由安全服務(wù)專家根據(jù)所有方約定的網(wǎng)絡(luò)安全事件處理級別，向用戶提供安全響應(yīng)感知服務(wù)，服務(wù)內(nèi)容主要包括：網(wǎng)絡(luò)安全能力評估、滲透能力測試、取證信息溯源、備份恢復(fù)等。

三、結(jié)束語

無論是過去、現(xiàn)在還是將來，產(chǎn)業(yè)競爭都將依賴于科技創(chuàng)新、數(shù)字創(chuàng)新。工業(yè)互聯(lián)網(wǎng)將是一個(gè)網(wǎng)絡(luò)制造生態(tài)系統(tǒng)，它以互聯(lián)網(wǎng)、云平臺(tái)、移動(dòng)互聯(lián)等新技術(shù)新應(yīng)用促進(jìn)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型，優(yōu)化生產(chǎn)工藝和資源利用，為企業(yè)提供全面的感知、應(yīng)用、資源和智慧分析，是實(shí)現(xiàn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)。

目前，全球工業(yè)互聯(lián)網(wǎng)發(fā)展處于起步階段，我國與世界其他發(fā)達(dá)國家位于同一起跑線。同時(shí)，作為引領(lǐng)下一次工業(yè)革命的制造業(yè)大國，我國工業(yè)門類齊全，具有良好的制造業(yè)基礎(chǔ)。若能抓住機(jī)遇，在確保自主可控的前提下大力發(fā)展工業(yè)互聯(lián)網(wǎng)，并積極參與到國際工業(yè)互聯(lián)網(wǎng)的標(biāo)準(zhǔn)制定當(dāng)中，將有力促進(jìn)我國制造業(yè)轉(zhuǎn)型升級，實(shí)現(xiàn)從制造大國向制造強(qiáng)國的飛躍。