工業互聯網數據安全的防控方法

李瑞 榮雅雯

1.山東省濱海公安局網安支隊；2.山東省濱海公安局濱東分局

隨著工業信息化的發展，以低時延、高可靠、覆蓋范圍廣的核心網絡，對我國的工業、經濟發展產生深遠的影響，但也必然帶來了一些不容忽視的安全隱患。在工業網絡發展背景下，傳統的網絡安全技術已經很難滿足新的防護要求，因此必須建立起一種新的、全面的、主動協同的網絡安全保障系統。

數據是我國重要的戰略性基礎資源，對我國的生產、流通、分配和消費都有著深刻的影響。2022年4月，中共中央、國務院發布了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》、《加強工業互聯網安全工作的指導意見》等政策文件，都對加強工業信息安全的各項規定進行了闡述。《數據安全法（征求意見稿）》在2020版中也被列入了《中華人民共和國政府信息安全戰略》，更是表明了我國工業信息安全的一個發展戰略方向。作為“血液”的工業網絡數據，其安全性，是工業互聯網健康發展的關鍵。

1 工業互聯網的安全威脅

由于大量的生產組件和服務與因特網的連接，使得研發、生產、管理、服務等諸多方面都將受到多途徑的網絡襲擊和病毒侵襲。一旦受到攻擊，會導致生產管理服務的中斷、系統及業務的崩潰，而一旦無法解決木馬病毒、服務襲擊及有組織的攻擊，就會危及到公司的正常運營，進而會導致生產事故和人員傷亡。由于工業網絡涉及各種資料類型以及相關保護要求，所以數據的流向與途徑要更加地復雜化。產品的制造、生產、營銷、維護等方面的大量數據，僅僅依靠單點、分散式的安保手段已經很難起到很好的防御作用。如果核心技術、產品參數、客戶信息等關鍵工業資料被盜用、篡改或流出國外，對于公司的運營和發展將會造成極大的影響。

2 政府防控

2.1 構建安全政策體系

（1）是按照《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》和《加強工業互聯網安全工作的指導意見》的要求，加快建立多部門協同推進、政府監管、企業主責的安全管理格局，明確由各地通信管理局加強工業互聯網平臺安全監管，并對聯網設備、系統進行安全監管[1]。（2）是下發《關于開展工業互聯網企業網絡安全分類分級管理試點工作的通知》，并提出了實施分類分級管理的意見。（3）是大力推進《工業互聯網平臺企業網絡安全防護規范》、《工業互聯網數據安全防護規范》等四個國家標準的制定，并在此基礎上，大力發展30多個行業標準，包括安全防護、安全評估、安全測試等。

2.2 推進安全管理工作

（1）是要以法治為先，以立法為導，積極認知《數據安全法》等相關法，為數字信息安全的立法奠定堅實的法律依據。（2）是印發了《電信和互聯網行業數據安全標準體系建設指南》等相關文件。（3）是發布了《電信和互聯網企業網絡數據安全合規性評估要點（2020年）》，制定了規范的指導意見。對主要網絡公司進行數據分類分級、重要數據識別和數據安全評估等技術規范的制定，并對關鍵網絡公司進行數據安全管理的評估。

3 模式防控

在工業網絡中，必須遵循“協同、綜合、主動、動態”的思想，加強網絡各方控制保護能力，在認知安全威脅的情況下，主動采取應用，從而真正實現一種工業網絡的良好生態模式，并且讓企業的發展突破為透過邊緣化的云安全保護新機制，包括設備控制、通信策略、端點分析，并且能夠充分的實現安全保障機制下的管理與監控模式。

（1）端口。主要有端點的實體防護、受信任的終端基礎防護、終端識別防護、終端完整性防護、終端接入控制、終端安全性設定與管理、終端監控、終端資料、終端模型及安全性策略等。（2）連通信。主要有通訊的實體安全性、終端防護、密碼防護、信息流防護、網絡配置管理、網絡監控、動態防護、通訊聯絡防護等。（3）安全監測。從終端和通信網絡中獲取整個網絡的狀態信息，并對其進行分析，從而發現存在的安全違規行為和潛在的系統威脅。（4）配置管理。安全性操作、終端標識、終端組態、通訊組態、安全性模式改變、組態資料防護、更改管理的安全性模式及策略。（5）數據。負責端點數據、通訊數據、配置數據、監控數據等的技術保護。（6）模型策略。系統威脅分析、系統安全性指標、安全性戰略、模式、資料防護、終端安全性、通訊連線安全性、監控與剖析安全性政策、組態及管理等。

4 技術防控

安全防控是工業互聯網三大體系之一，它為確保整個工業互聯網系統的穩定運轉提供了有力的支持。從整體安全防護的角度出發，對邊緣、基礎裝置，應用化地進行安全篩選，通過邊界警報、數據審計、自動感應、模糊處理等安全機制的有效管理技術，實現了工業的安全保障，從而在整個環境中，實現行為機制一體化的安全保障突破[2]。

（1）安全監測。基于邊界緊急處理、協議呼叫、數據自動感應等技術，對多個工業網絡區域等進行入侵監測，并記錄病毒類型、查詢地址來源、侵襲途徑等。（2）通報報警。對于外界的監控網絡化侵襲，透過協議行為日志等的追蹤，及時發布預警，并依據危險等級，進行相應的緊急響應。（3）應急處置。緊急防護，利用整個階段環境的安全機制進行緊急的全方面“環境殺毒”，不僅包括單一的病毒防護，數據泄露，更重要的是加強邊界性的“大環境查殺警報”，隨時“大查殺”在利用云安全保護機制，將安全危害最大化的消滅。（4）追蹤溯源。利用大數據信息化追蹤，對攻擊的發生地點進行了探索，對侵襲的整個過程進行云端記錄總結、實踐剖析，了解了攻擊的整體流程，然后快速提出應對措施，以便更好地保障今后的工業信息網絡安全。（5）恢復狀態。針對遭受攻擊的云平臺底層架構、虛擬主機、資料庫、控制主機、控制網絡、現場裝置等進行數據的備份、重啟以及相關軟件的調試，以及在確保安全的情況下開展產業互聯網的業務。（6）工作檢查。要讓工業信息安全的傳輸與應用，在監管控制完成以后，必須要將多元區域中的每一部分進行監測，包括辦公、監控等，以確保正確安全機制能夠進行下去。

5 政策防控

（1）做好工業信息體系規劃。根據當前的工業互聯網安全形勢，對于安全防護的綜合、協同、主動、動態化的硬性需要足夠的重視，另外，從云平臺、邊緣層、工控設備等多層入手，加強化技術防護和安全防護的結合，制定云基礎設施、平臺基礎能力、基礎應用能力的安全防護策略和互聯網應用可靠等的必要措施方向[3]。（2）深入企業管理機制。企業要強化對工業網絡的安全保護的相關管理規范，并對各個單位的安全要求和工作職責進行清晰的界定。加強對現場的安全監管，并對存在的問題進行整改。根據具體的需求，采購專用的軟件和服務，進行風險評估、預警和緊急事件的模擬，做好數據備份、加密保護、訪問控制和身份識別等工作。（3）加強安全防護技術。對企業的互聯網架構有清晰的認知，構建安全監測風險預警平臺、攻防技術演練平臺、安全標準技術檢測和驗證平臺，以加強緊急處理侵襲的應對能力，強化專業技術人員的培養，建立良好的協作關系，共同創造一個相對安全的工作氛圍。

6 工業互聯網平臺案例

（1）GE——Predix云平臺。美國通用電氣公司(GE)是世界上最大的提供技術和服務業務的跨國公司。為使各裝置能夠可靠地與大量計算機進行連接，并進行分析， GE在2013年推出 Predix軟件平臺，用于將不同的工業資源裝置之間進行互聯，并將其與云端進行互聯，同時還可以為企業的資源績效管理（APM）運行最優的業務。通用電氣公司的APM體系旨在提高通用電氣公司的財務管理能力，并且已經在公司的業務中使用了數年，是一套整合了云端與物聯網技術的完整解決方案。2015年8月5日，通用電氣公司推出了專門針對工業數據分析的云計算業務—— Predix云，它可以將不同的工業設備連接起來，讓不同的客戶快速獲取、分析海量的工業信息，從而為各個行業提供自己的網絡應用。

（2）西門子-Mindsphere云平臺。西門子在世界范圍內的電子和電力工程行業處于領導地位，其業務包括工業、能源、基礎設施、城市和醫療。西門子公司于2016發布MindSphere。它可以將傳感器、控制器以及各種工業生產現場的各種工業生產數據，通過安全信道實時傳送至云端中，為企業在云端中實現大數據分析挖掘、工業App開發和智能化應用。MindSphere的開發平臺由三層組成：邊緣連接層、開發運營層和應用層。在此基礎上，由邊緣連接部向云端平臺傳送資料，由系統的開發運行端向使用者進行數據的解析，并結合了系統的應用程序和軟件的發展，而在系統的底層，則是整合了業界的實踐與資料的分析成果。MindSphere的應用程序已經在北美及歐洲超過100個公司進行了測試，并在2017漢諾威展覽會上與埃森哲、Evosoft、SAP、微軟、亞馬遜、Bluvision等公司進行了大量的微型應用。

（3）亞馬遜——AWSloT云平臺。亞馬遜公司Amazon Web Services（AWS）推出AWS IoT物聯網云計算平臺，將AWS集成，目的是讓制造商用戶的硬件和軟件更容易地與AWS系統進行交互。AWSIoT可以為數以百萬計的裝置提供數以百萬計的信息，同時也可以把它們安全、可靠的送到AWS的終端結點和其他裝置。

（4）施耐德——EcoStruxure平臺。EcoStruxure由三個層次組成。第一個層次是相互聯系的產品，包括斷路器、驅動器、不間斷電源、繼電器、儀器和傳感器。第二個層次是邊界的調節，在邊框控制層面上實現任務操作、設計任務、指令和監控，從而減少了復雜的工作流程。第三層是應用、分析和服務，一個程序把設備系統和控制器，經由驅動器或者免費的協定進行合作化。分析法是以操作人員的體驗為基礎，以建立戰略，提高企業的經營管理水平，服務是指以可視的人機界面來完成對企業的控制與管理。EcoStruxure平臺在每個級別都有一個內部的Web安全技術，可以實時在云計算上進行配置。EcoStruxure平臺已經與9000家的系統集成機構合作。該系統主要面向六個方面：樓宇、資訊科技、工廠、配電、電網及機器。

（5）航天科工——云網INDICS平臺。INDICS系統在IaaS層次建立了自己的數據中心，在DaaS層次為企業提供了大量的云端數據分析和服務，PaaS層次則提供了工業服務引擎、軟件定義的流程引擎、大數據分析引擎、仿真引擎、 AI引擎等云端工業 PaaS服務；面向開發者的公用服務模塊和超過200個的API界面，為各種工業領域的應用開發和迭代服務奠定了堅實的基礎。INDICS公司為客戶開發了智能IOT和INDICS-OpenAPI接口，為企業的應用提供了強大的技術支撐，該平臺向社會開放自主研發和眾研應用App 500多個，覆蓋智能研發、智能制造、智能服務、智慧企業、生態應用等工業鏈。

（6）和利時——HiaCloud平臺。和利時是集自主研發、制造、服務于一體的PLC、DCS、SCADA產品的企業。和利時在2017推出HiaCloud平臺，提供了一個完整的數據匯集、生產運營管理以及App的革新。HiaCloud的開發主要包括工業現場層、工業PaaS和工業SaaS的智能化應用層。在工業領域，可以為企業進行各種數據的采集和局部的應用。在工業 PaaS平臺層中，包含了底層環境的數據服務，以及基于業務的服務。工業SaaS的智慧應用是一種以企業PaaS為基礎，以各種不同的行業App為基礎，涵蓋企業資源和業務的最佳化智慧效果。HiaCloud平臺提供公有云，私有云和混合云的部署。

（7）華為——OceanConnect IoT平臺。華為企業公布的OceanConnect IoT技術平臺分為水平和垂直兩個方向。從垂直方向看，它分為三個層面：連接管理層、設備管理層和應用支撐。連接管理系統提供SIM卡生命周期管理、記賬、統計、企業門戶等功能，設備管理提供設備連接、數據采集與存儲、設備維護等功能，同時具備了數據處理、規范生成、商業組織設計等方面的能力。

橫向上，采用與該系統相連的IoT代理，通過網關連接到每一個工業互聯網設備，能夠進行充分的實時邊界運算。OceanConnect IoT平臺目前已覆蓋公共事業，且目前已有多項已有的成熟的解決方案，如：車輛網絡、石油能源、生產設備管理、智慧家庭等。平臺應用實例：汽車網絡驅動汽車廠商向服務商轉變，一汽公司利用華為OceanConnect IoT技術，對數億汽車進行高效管理，同時對上百萬汽車進行實時數據分析。

7 結語

隨著互聯網時代的日新月異，各大企業加速了數字化的進程，工業網絡的迅猛發展為后危機時期的新的經濟發展注入了新的動力。在工業信息化建設中，企業的安全保護工作具有十分關鍵的意義。安全保護性能的優劣將直接關系到網絡的穩定、數據的可靠度以及網絡的應用。因此，要加強對工業互聯網的保護，必須根據自身的具體情況，運用多種技術與經營手段，構建三維、四維、甚至五維、集成、可控全新工業信息化網絡安全保障體系。另外，工業信息化的加密保障機制，是實現以工業網絡為基礎的企業實現全方位轉變的先決條件，同時，也是公司在市場中的平穩運作和安全運營的重要保證。但是，現階段，我們的理論認知還比較欠缺，技術能力還比較生疏，監管還不夠嚴密，即當前國內的工業網絡信息化建設尚處在初級水平，因此，仍需鼓足干勁的建設。

引用

[1] 張雪瑩,楊帥鋒,王沖華,等.工業互聯網數據安全分類分級防護框架研究[J].信息技術與網絡安全,2021(1):2-9.

[2] 董悅,李藝,秦國英,等.工業互聯網數據安全技術研究[J].信息通信技術與政策,2020(10):38-41.

[3] 張雪瑩,陳雪鴻,楊帥鋒.工業互聯網數據安全標準體系研究[J].網絡空間安全,2019(10):86-92.