工業互聯網平臺的安全問題研究

李春俠 姜文婷

摘要：我國工業互聯網的發展如火似荼，相關部門制定了多項政策以及行動計劃。在該背景下，工業環境遭受著嚴峻的網絡安全挑戰，故制造業、能源企業、公共事業等越來越重視互聯網安全體系建設，且加大了資金投入力度。文章對工業互聯網平臺的安全問題進行了研究。

關鍵詞：工業互聯網平臺安全;評估標準及框架;安全建設

中圖法分類號：TP393? 文獻標識碼：A

Research on security issues of industrial Internet platform

LI Chunxia？ JIANG Wenting

（HRG Smart Factory Co.，Ltd.，Harbin 150000，China）

Abstract：The development of my countrys industrial Internet is in full swing， and a number of policies and action plans have been formulated. In this context， the industrial environment is facing severe cybersecurity challenges. Therefore， manufacturing， energy companies， and public utilities have paid more and more attention to the construction of Internet security systems and increased capital investment. Thie paper studies the security issues of industrial Internet platform.

Key words： industrial Internet platform security， evaluation criteria and framework， safety construction

縱觀全球工業互聯網平臺安全態勢，以美國為主的發達國家從工業控制系統、物聯網、云平臺、大數據等不同角度推動工業互聯網平臺的發展。即便如此，還是發生了嚴重的網絡攻擊事件，因此我國更應該將關注點放在工業互聯網安全保障方面—頒布對應法規、條例，制定安全標準，務必按照規定落實各項工作，為工業互聯網平臺建設提供保障[1]。

1現狀

因新型IT技術和傳統工業OT技術的進一步融合，工業系統更加開放、互聯程度更高，并且讓工業制造所面臨的安全風險更大，安全生產面臨相當嚴峻的挑戰。在這種背景下，國內外均對工業互聯網平臺安全發展引起高度重視，并制定了相應的保障措施。其中，美國非常注重工業互聯網平臺相關的物聯網、大數據、工業控制系統的安全保障工作，相關聯盟、組織專門針對工業互聯網安全發聲—相關部門應制定政策、法規，保障工業互聯網平臺安全[2]。德國基于國家層面，全面實施“工業4.0”戰略，并發布了《工業4.0戰略計劃實施框架》等文件，對保障智能制造安全具有重要意義，且從數據信息保護、完善安全保障架構以及組織工作人員進行安全技能知識培訓等著手，重點針對“工業4.0安全保障”制定了相關措施[3]。

我國對工業互聯網平臺的建設以及安全保障工作的開展同樣重視，自《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》正式頒布以來，專門針對工業互聯網安全體系建設問題作出指示，以全方位落實工業互聯網平臺安全標準化建設工作。《工業互聯網平臺安全要求及評估規范》進一步指出了各層次安全管理以及技術防護要求[4]。

2評估標準及框架

工業互聯網平臺安全評估主要是指對邊緣層、工業IaaS層、工業PaaS層、工業SaaS層等進行綜合評判，并依據相關標準對工業互聯網平臺服務商是否達到一般安全能力或增強安全能力進行評估，評估框架如圖1所示。評估依據主要為《工業互聯網平臺安全評估報告規范》和與委托方簽定的業務約定書。

邊緣層安全即工業互聯網平臺和工業企業接入環節中協議轉換、數據采集的安全，主要包括邊界防護、訪問控制、入侵防范等;工業IaaS層安全即工業互聯網平臺云基礎相關設施的安全，以虛擬技術處理、存儲網絡提供的基本計算資源，用戶可完成軟件（操作系統和應用程序）部署與運行;工業PaaS層安全主要包括微接口服務安全、容器安全、信息保護、惡意代碼防范、身份鑒別等[5];工業SaaS層安全主要包括資源管理、訪問控制、安全審計等。

3建議

針對工業互聯網平臺上嚴峻的安全問題，應基于平臺安全防護技術體系、安全管理體系展開分析，且采取針對性措施。

（1）建構工業互聯網平臺安全管理體系，完善相關政策、制度。相關部門須根據實際情況編寫工業互聯網平臺安全防護指南、安全工作指導性意見等，對工業互聯網平臺安全主體責任以及安全防護要求予以明確，為開展平臺安全維護工作提供法規支持[6]。同時，應制定工業互聯網安全標準體系，發布工業互聯網平臺安全防護指南，把工業互聯網平臺安全防護、管理、測試、評估等標準立項和研究提上日程，保證操作流程規范化。此外，應重點針對工業IaaS層、APP、工業PaaS層等制定安全保障技術測試規范，由專門人員進行示范、講解，保證相關規范落地。

（2）提高安全技術防護能力。在充分認識安全防護保障措施的重要性的基礎上，全方位提升安全技術防護能力，增強設備以及系統安全接入能力，提高運行安全態勢感知能力，配備完善的安全運行監測設備，且將其合理布置于平臺內部、網絡出入口等，全面掌控平臺側安全態勢，使得安全防護能力與水平不斷提升。并且，應對工業互聯網平臺設備、架構、安全風險種類等展開分析，因工業互聯網平臺用戶種類相當多，數量龐大，所以安全保障難度增加，有必要結合工業互聯網平臺以及工業企業風險彼此滲透、數據篡改、信息泄露等可能出現的安全風險，提出對應的防護要求。此外，定期組織網絡管理員展開網絡安全知識培訓、學習，使其掌握更加專業、新穎的網絡安全保障知識，不斷提高網絡安全防護技能，并能在遇到網絡攻擊時合理應用相關技能。同時，應加強其職業道德素養培育，宣傳、講解法律知識，不斷提高其法律意識，從思想上認識到做好網絡安全保障的重要性，并能夠在崗位上踏實干好本職工作。對于需要在網絡上進行本地或遠程操作的各項事務，均應再三確認對應的服務器是否完整記錄，將網絡安全維護工作提上日程[7]。明確“擁有網絡設備操作權限”“擁有設備登錄權限”，并可追蹤、調查登陸者使用計算機的操作行為，即可有效保障網絡設備安全。

（3）嚴限網絡設備訪問并將無關服務關閉。工業互聯網平臺的網絡設備在運行期間，應重點針對常用的設備（如主機等）予以權限限制，在ACL應用下要求不可進行Ping相關接口使用，并根據業務開展的具體情況，關閉無關服務，包括BOOTP，ICMP，DNS，Finger，HITP，ARP-Proxy，WINS等風險高同時與日常工作無關聯服務項目以及在當前時間段內用不上的接口。互聯網平臺具有極強的復雜性，其在具體運行期間應使安全性得到保障，采取有效合理的網絡設備安全技術或方法來讓安全性得到保障。

（4）端到端加密且做到精細化授權的數據防護。工業生產期間會有大量工業數據出現，如開發測試、控制信息、研發設計、工藝參數、系統設備資產信息等，平臺不同應用間包含大量數據共享以及協同處理需求，SD-NaaS平臺提供了更加可行、有效的端到端數據安全保護法，經信任監測對安全等級展開全方位評估，構建安全加密隧道，提升數據的安全性。并且，針對成本自動核算系統、生產質量控制系統等不同工業系統彼此間API交互以及數據庫調用等行為，SD-NaaS平臺真正做到了細顆粒度的操作權限控制，完成了一切“增刪改查”等流程的行為審計。

（5）設置最小權限且動態授權的工業安全控制。面對工業互聯網背景下工控網絡可能出現的安全隱患，SD-NaaS零信任網絡平臺制定了全新的控制權限分配機制，遵循最小化權限、動態授權理念，控制權限的評估也不局限單一的靜態規則（靜態權限策略、IP黑白名單等），主要針對工程師、工控管理員、操作員等不同身份與信任等級，控制服務器、測量儀表等各終端安全策略，各個工控指令權限，依照大數據安全分析展開動態授權與評估，確保工業邊界最小授權得以實現，讓訪問控制過程更加精準化，讓工業控制網路基的安全性得以提高，以免遭受未知漏洞的影響，并且能夠預防人為失誤誘發的嚴重危害。

（6）經應用隱藏與代理訪問的應用防護。SD-NaaS平臺能夠經SDP安全網關以及MSG微分段技術來確保工業互聯網平臺應用隱身以及安全訪問代理得以實現，對平臺網絡邊界與暴露面展開合理管理，且從采購、工程師、供應鏈、操作員等多元身份展開最細顆粒度的動態授權（包括進銷存管理、生產數據等），不放過任何一個訪問行為，打造全天候應用安全防護體系。

4結束語

工業互聯網把傳統制造業和信息技術充分結合，做到人、物、機的融合互聯，打造全新生產制造以及服務體系，5G在新基建中發揮了領頭羊作用，使得工業互聯網、產業互聯網發揮出了更大的作用，對經濟轉型升級有利。對工業互聯網進行投資以及建設可讓我國智能制造步伐加快，確保生產力得到解放，確保經濟發展獲得新動能。

工業互聯網平臺的安全建設不但能確保工業互聯網平臺得到良好發展，并且對整個工業互聯網行業的全面發展有利。基于國家層面，要使我國工業互聯網平臺安全保障能力不斷增強，還應明確平臺處于不同安全層級可能面臨的安全風險，并構建安全管理體系，從而提高安全防護能力。只有制定合理的安全防護措施，才能不斷提高工業互聯網平臺的安全防護能力以及水平。同時，相關部門要盡快制定合適的標準，以為工業互聯網平臺服務。

參考文獻：

[1]何小龍，李君，周勇，等.工業互聯網平臺應用現狀及發展對策[J].科技管理研究，2021，41（10）：132-137.

[2]趙越.工業互聯網平臺安全防護體系分析與研究[J].長江信息通信，2021，34（6）：132-134.

[3]朱光亮.工業互聯網平臺安全防護體系研究[J].無線互聯科技，2021，18（19）：12-13.

[4]王沖華，李俊，陳雪鴻.工業互聯網平臺安全防護體系研究[J].信息網絡安全，2019（9）：6-10.

[5]宋新遠.基于5G技術的工業互聯網平臺安全性問題分析[J].江蘇通信，2021，37（4）：117-118.

[6]何小龍，柳彩云，李俊，等.《密碼法》背景下工業互聯網平臺數據保護研究[J].中國信息安全，2020（4）：75-77.

[7]樊佩茹，王沖華.數據安全視角下工業互聯網平臺的攻擊與防護[J].網絡空間安全，2020，11（2）：75-80.

作者簡介：

李春俠（1975—），本科，中職會計師，研究方向：企業管理及科研管理。