關(guān)于工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護探索

牟特 陳偉

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng);數(shù)據(jù)安全;防護探索

隨著工業(yè)企業(yè)產(chǎn)品生產(chǎn)制造與生產(chǎn)管理環(huán)節(jié)的數(shù)據(jù)上云與APP應用，云端關(guān)鍵數(shù)據(jù)價值密度聚合，擴大了云服務(wù)工業(yè)數(shù)據(jù)方面的安全風險。一方面，在工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)多路徑管理條件下，黑客入侵后容易竊取相關(guān)數(shù)據(jù)。另一方面，由于工業(yè)企業(yè)在數(shù)據(jù)化管理條件下，賦予了數(shù)據(jù)在業(yè)務(wù)經(jīng)營中的較多功能，因而，一旦局部發(fā)生數(shù)據(jù)安全問題，容易引發(fā)系統(tǒng)性安全風險。所以，在“十四五”建設(shè)新時期，為了全面推進工業(yè)與數(shù)字化融合發(fā)展，仍然需要強化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護工作。具體分析如下：

1、工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期概述

當前，我國工業(yè)企業(yè)建立的互聯(lián)網(wǎng)平臺主要以“終端工業(yè)設(shè)備數(shù)據(jù)采集-中端生產(chǎn)制造數(shù)據(jù)傳輸-PC端數(shù)據(jù)存儲與分析”為基本應用路徑。從工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期的結(jié)構(gòu)設(shè)計分析，包括了“四大層次”與“三大環(huán)節(jié)”，并且借助大大環(huán)節(jié)與四大層次的密切對應實現(xiàn)平臺數(shù)據(jù)生命周期管理。具體而言，首先，以終端工業(yè)設(shè)備為載體，通過安裝傳感器或執(zhí)行器，可以完成對終端工業(yè)設(shè)備的數(shù)據(jù)采集與傳輸。其次，可以將終端工業(yè)設(shè)備關(guān)聯(lián)到邊緣計算層，利用“環(huán)節(jié)一”的數(shù)據(jù)匯聚功能，關(guān)聯(lián)到平臺數(shù)據(jù)生命周期管理系統(tǒng)。第三，將“環(huán)節(jié)二”中存儲數(shù)據(jù)物理單元對應到工業(yè)云基礎(chǔ)設(shè)施層（IaaS）、將數(shù)據(jù)分析中的“建模、挖掘、決策、存儲、清洗、管理”對應到工業(yè)云平臺服務(wù)層（PaaS），為平臺數(shù)據(jù)生命周期管理系統(tǒng)提供技術(shù)支持與數(shù)據(jù)分析。第四，在工業(yè)應用層（SaaS）可以完成與“環(huán)節(jié)三”數(shù)據(jù)應用方面的遷移、銷毀、共享、訪問、發(fā)布。從而構(gòu)建起以數(shù)據(jù)采集與傳輸、數(shù)據(jù)匯聚、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)應用為基本流程的工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期管理體系。工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期見下圖1：

在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護中，其風險主要發(fā)生在數(shù)據(jù)生命周期管理諸環(huán)節(jié)，因而，在數(shù)據(jù)匯聚、數(shù)據(jù)分析、數(shù)據(jù)應用三大環(huán)節(jié)，均存在相應的安全威脅。分述如下：

2.1數(shù)據(jù)匯聚風險

工業(yè)互聯(lián)網(wǎng)中的數(shù)據(jù)采集與傳輸以工業(yè)終端設(shè)備為主，此類設(shè)備由邊緣網(wǎng)關(guān)、智能傳感器構(gòu)成，雖然在邊緣層可以借助專門的數(shù)據(jù)匯聚管理保障數(shù)據(jù)收集與聚合的穩(wěn)定性、安全性。但是，當前階段工業(yè)企業(yè)在產(chǎn)品生產(chǎn)制造過程中，通過智能化控制，提高了生產(chǎn)效率，從而使工業(yè)生產(chǎn)制造、生產(chǎn)管理生成的數(shù)據(jù)速度隨之增強，擴大了數(shù)據(jù)體量。一方面，在不同的產(chǎn)品生產(chǎn)制造產(chǎn)業(yè)鏈條環(huán)節(jié)中，數(shù)據(jù)接口存在差異、數(shù)據(jù)格式標準有所不同。因而，在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)生命周期管理過程中，數(shù)據(jù)接收軟件的多元化使用，提高了結(jié)構(gòu)的復雜性，進而使平臺邊緣層的攻擊面也隨之擴大。另一方面，我國工業(yè)企業(yè)改革過程中，主要以舊設(shè)備改造與新設(shè)備增添作為實踐方式，在這種條件下，終端工業(yè)設(shè)備與邊緣設(shè)備計算資源相對有限，加上設(shè)備的計算能力與安全防護能力相對較弱。因而，容易給數(shù)據(jù)竊聽、數(shù)據(jù)攔截、數(shù)據(jù)篡改、數(shù)據(jù)泄漏等留下一定的空間，輕者造成數(shù)據(jù)差誤，嚴重時可能因虛假數(shù)據(jù)導致整個數(shù)據(jù)匯聚后的“無用”與“誤用”。也可能通過對邊緣層數(shù)據(jù)接收端的后門或漏洞進行觸發(fā)與攻擊，造成對所有關(guān)聯(lián)設(shè)備與生產(chǎn)系統(tǒng)的破壞等。

2.2數(shù)據(jù)分析風險

在工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期管理體系中，數(shù)據(jù)分析占據(jù)著關(guān)鍵地位，一旦發(fā)生風險，將會造成不可逆的損失。例如，在工業(yè)云基礎(chǔ)設(shè)施層，主機設(shè)備與磁盤陣列等組件數(shù)量相對較多、類型多元，工業(yè)數(shù)據(jù)在進入工業(yè)互聯(lián)網(wǎng)平臺之前，受到硬件物理屬性的限定，容易出現(xiàn)人為的數(shù)據(jù)竊取、數(shù)據(jù)篡改。同時，在虛擬化軟件棧、虛擬機系統(tǒng)方面，由于數(shù)據(jù)存儲與分析過程中，需要借助虛擬機信道、鏡像等方式進行數(shù)據(jù)抽取與轉(zhuǎn)換及加密。可是，在虛擬機交互應用時，跨虛擬機側(cè)信道也容易受到網(wǎng)絡(luò)攻擊。尤其在鏡像篡改方面，因攻擊手段的新穎性與隱蔽性，容易使攻擊者快速完成對核心工業(yè)數(shù)據(jù)的竊取與加密密鑰信息的篡改，甚至對虛擬機的控制等。所以，借助工業(yè)云基礎(chǔ)設(shè)施層，極容易滲透到工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期管理系統(tǒng)的主機層，進而對產(chǎn)品生產(chǎn)制造與生產(chǎn)管理進行數(shù)據(jù)控制等。再如，在工業(yè)云平臺服務(wù)層中，大部分工業(yè)企業(yè)因數(shù)據(jù)管理中心建設(shè)成本較高，往往選擇了與第三方機構(gòu)的合作方式。此時，工業(yè)企業(yè)的數(shù)據(jù)網(wǎng)絡(luò)與第三方服務(wù)機構(gòu)的數(shù)據(jù)網(wǎng)絡(luò)，實際上已經(jīng)完成了數(shù)據(jù)關(guān)聯(lián)。當?shù)谌椒?wù)機構(gòu)提供服務(wù)的過程中（如IaaS與PaaS服務(wù)），也不能排除因技術(shù)瓶頸或知識產(chǎn)權(quán)問題而將服務(wù)運行支持系統(tǒng)關(guān)聯(lián)到第四方、第五方服務(wù)機構(gòu)等。所以，在這種技術(shù)鏈條拉長的情況下，工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期管理第二環(huán)節(jié)的數(shù)據(jù)分析在任何節(jié)點，均潛藏著網(wǎng)絡(luò)攻擊的隱患。

2.3、數(shù)據(jù)應用風險

工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)應用，與整個工業(yè)企業(yè)產(chǎn)品生產(chǎn)制造產(chǎn)業(yè)鏈條密切對應，尤其在現(xiàn)代工業(yè)企業(yè)產(chǎn)品研發(fā)設(shè)計環(huán)節(jié)、物料采購運輸環(huán)節(jié)、訂單多元處理環(huán)節(jié)、市場渠道銷售環(huán)節(jié)、售后服務(wù)環(huán)節(jié)，專業(yè)分工程度越來越高。此時，工業(yè)企業(yè)需要將市場與企業(yè)生產(chǎn)目標定位進行數(shù)據(jù)關(guān)聯(lián)分析，并結(jié)合產(chǎn)業(yè)鏈上、中、下游的資源分布情況，合理的配置本企業(yè)中的各項生產(chǎn)要素等。所以，在數(shù)據(jù)應用層，工業(yè)企業(yè)實際上是要將數(shù)據(jù)分析報告提供的參數(shù)與建議，對接到對某個項目立項與決策、產(chǎn)品生產(chǎn)研發(fā)設(shè)計等環(huán)節(jié)，確保整個生產(chǎn)制造、生產(chǎn)管理要素配置的精準性與及時性。尤其在應用程序方面，工業(yè)企業(yè)已經(jīng)將PC端與移動客戶端進行了對應設(shè)置，當工業(yè)應用程序反饋相關(guān)信息后，需要及時的做出特定工業(yè)專門下的任務(wù)調(diào)整。因此，一旦數(shù)據(jù)應用層的集成封裝低耦合工業(yè)微服務(wù)組件，在編碼環(huán)節(jié)發(fā)生問題。任何一個工業(yè)應用程序中的出現(xiàn)的漏洞或受到的病毒侵入，均可能通過移動客戶端進入PC端的數(shù)據(jù)應用層，并對工業(yè)數(shù)據(jù)應用諸部分造成威脅。例如，在數(shù)據(jù)發(fā)布與共享方面，可能會發(fā)生訪問授權(quán)驗證問題，在數(shù)據(jù)遷移過程中，也可能發(fā)生安全級別變更的情況。尤其在數(shù)據(jù)銷毀時，受到病毒的影響，極容易發(fā)生數(shù)據(jù)殘留，并通過殘留數(shù)據(jù)完成對工業(yè)數(shù)據(jù)的竊取等。

3、工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期安全防護策略

3.1圍繞數(shù)據(jù)生命周期，建設(shè)安全防護體系

首先，新時期關(guān)于工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護問題的研究相對較多，普遍認為在量子通信尚未正式投入工業(yè)領(lǐng)域之前，應該遵循統(tǒng)一規(guī)劃、分步實施的思路，在“系統(tǒng)性設(shè)計與配套性實踐相結(jié)合”的方式下，以工業(yè)企業(yè)智能化發(fā)展為目標，再結(jié)合工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護需求制定具體策略。

其次，應該對工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期管理系統(tǒng)中的三大環(huán)節(jié)進行細化處理，以“數(shù)據(jù)產(chǎn)生-數(shù)據(jù)傳輸-數(shù)據(jù)存儲-數(shù)據(jù)共享-數(shù)據(jù)使用-數(shù)據(jù)銷毀”為基本構(gòu)成內(nèi)容，針對每個數(shù)據(jù)管理流程進行全要素分析。從而理清安全防護思路，將工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護轉(zhuǎn)換到對整個工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期的安全防護層次。

第三，借助智能工廠數(shù)據(jù)安全、OT網(wǎng)數(shù)據(jù)安全、工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)安全、工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分析與預警、數(shù)據(jù)安全審計與泄漏防護子系統(tǒng)等，實現(xiàn)對工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)生命周期的安全防護建設(shè)。

3.2明確定位發(fā)展目標，研發(fā)安全防護方案

首先，以現(xiàn)階段工業(yè)與數(shù)字化融合發(fā)展方向為準，將工廠定位為智能工廠，擴大智能工廠數(shù)據(jù)安全防護范圍。例如，通過數(shù)據(jù)脫敏、數(shù)據(jù)備份恢復、數(shù)據(jù)監(jiān)控審計等辦法，建立IT數(shù)據(jù)安全防護系統(tǒng)。同時，通過數(shù)據(jù)審計、分類分級、訪問控制、存儲加密、傳輸加密、數(shù)據(jù)采集方面的OT網(wǎng)數(shù)據(jù)安全防護系統(tǒng)建設(shè)，保障智能工廠數(shù)據(jù)安全的全面防護。當前，大部分企業(yè)主要以建立數(shù)據(jù)泄漏、數(shù)據(jù)安全審計子系統(tǒng)，確保整個智能工廠數(shù)據(jù)安全防護的實現(xiàn)。其中包括了數(shù)據(jù)安全交換、脫敏、采集傳輸子系統(tǒng)。

其次，需要將智能工廠數(shù)據(jù)安全防護，具體到工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)安全防護方面，利用同樣的方法，建立針對工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)管理生命周期的數(shù)據(jù)安全防護系統(tǒng)。這樣，有利于智能工廠轉(zhuǎn)型升級路徑安全的條件下，強化工業(yè)互聯(lián)網(wǎng)平臺安全防護措施。

第三，為了保障安全防護體系應用的有效性，一般以工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分析與預警平臺建設(shè)作為保障機制。例如，通過全要素分析方法進行數(shù)據(jù)安全要素展示、利用數(shù)據(jù)風險評估對數(shù)據(jù)安全進行關(guān)聯(lián)分析、結(jié)合數(shù)據(jù)安全事件處置范例庫進行事件處置方法抓取、利用數(shù)據(jù)監(jiān)測進行數(shù)據(jù)安全預警通告，以及借助數(shù)據(jù)安全分析與預警推動數(shù)據(jù)安全業(yè)務(wù)各方面的安全防護等。工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)生命周期安全防護架構(gòu)見下圖2：

4 、結(jié)束語

總之，自我國改革開放以來，實踐經(jīng)驗已經(jīng)證實了工業(yè)是一個國家獲得向好發(fā)展的重要途徑。在數(shù)字化時代，雖然我國已經(jīng)從產(chǎn)業(yè)結(jié)構(gòu)調(diào)整與優(yōu)化的角度，推動了數(shù)字化工業(yè)的全面轉(zhuǎn)型升級工作。但是，工業(yè)互聯(lián)網(wǎng)的應用過程中，數(shù)據(jù)安全問題也逐漸成為數(shù)字化工業(yè)向智能工業(yè)深化發(fā)展的風險因素。因此，在工業(yè)與數(shù)字化融合發(fā)展的當前階段，應該以明確的工業(yè)智能化發(fā)展目標為準，從數(shù)據(jù)安全防護的角度出發(fā)，積極剖析工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)風險類型、導致風險產(chǎn)生的原因，從而在因果邏輯限定條件下，科學、合理的創(chuàng)建一些有效的安全防護方案。

參考文獻：

[1]趙驥，齊曉銳，吳教豐，等.未來工業(yè)互聯(lián)網(wǎng)松耦合結(jié)構(gòu)理論、分析、評估及實現(xiàn)平臺[J].計算機集成制造系統(tǒng)，2021，27（5）：1249-1255.

[2]劉霞，宋衛(wèi)，范小軍.區(qū)域工業(yè)互聯(lián)網(wǎng)生態(tài)系統(tǒng)的建設(shè)研究[J].技術(shù)經(jīng)濟與管理研究，2021，15（4）：95-99.

[3]樊佩茹，李俊，王沖華，等.工業(yè)互聯(lián)網(wǎng)供應鏈安全發(fā)展路徑研究[J].中國工程科學，2021，23（2）：56-64.

[4]沈也明，李貝貝，劉曉潔，等.基于主動學習的工業(yè)互聯(lián)網(wǎng)入侵檢測研究[J].信息網(wǎng)絡(luò)安全，2021，6（1）：80-87.