工業(yè)互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全風(fēng)險分析

1、工業(yè)互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全風(fēng)險分析工業(yè)互聯(lián)網(wǎng)快速發(fā)展，逐步滲透到經(jīng)濟社會生活的方方面面，實 現(xiàn)了全要素、全產(chǎn)業(yè)鏈、全生命周期的互聯(lián)互通，其自身安全與否， 將直接影響到產(chǎn)業(yè)安全、經(jīng)濟安全、國家安全等諸多方面。工業(yè)互聯(lián) 網(wǎng)安全是工業(yè)生產(chǎn)運行過程中的信息安全、功能安全與物理安全的統(tǒng) 稱，涉及工業(yè)互聯(lián)網(wǎng)領(lǐng)域各個環(huán)節(jié)，其核心任務(wù)就是要通過監(jiān)測預(yù)警、 應(yīng)急響應(yīng)、檢測評估、功能測試等手段確保工業(yè)互聯(lián)網(wǎng)健康有序發(fā)展。 構(gòu)建滿足我國工業(yè)互聯(lián)網(wǎng)發(fā)展需求的工業(yè)互聯(lián)網(wǎng)安全框架可為相關(guān) 企業(yè)從實施層面提供理論指導(dǎo)，助力企業(yè)開展工業(yè)互聯(lián)網(wǎng)安全防護體 系建設(shè)工作。1工業(yè)互聯(lián)網(wǎng)平臺安全風(fēng)險分析邊緣層安全邊緣層安全是指工業(yè)互聯(lián)網(wǎng)平

2、臺與工業(yè)企業(yè)接入過 程中數(shù)據(jù)采集、協(xié)議轉(zhuǎn)換、邊緣計算的安全。由于智能傳感器、邊緣 網(wǎng)關(guān)等邊緣終端設(shè)備計算資源有限，安全防護能力薄弱，工業(yè)互聯(lián)網(wǎng) 平臺在數(shù)據(jù)采集、轉(zhuǎn)換、傳輸?shù)倪^程中，數(shù)據(jù)被偵聽、攔截、篡改、 丟失的安全風(fēng)險很高，攻擊者可利用邊緣終端設(shè)備漏洞對平臺實施入 侵或發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。設(shè)備安全所謂設(shè)備層的信息安全風(fēng)險主要 針對智能設(shè)備和智能產(chǎn)品而言，如芯片、嵌入式操作系統(tǒng)、編碼功能 等存在漏洞或缺陷。設(shè)備層的信息安全風(fēng)險得不到治理，極可能會影 響整個工業(yè)互聯(lián)網(wǎng)的正常運行，不僅威脅操作人員人身安全，還會造 成一定程度的經(jīng)濟損失，直接或間接限制了企業(yè)可持續(xù)發(fā)展，因此必 須要予以高度重視。平臺

3、數(shù)據(jù)安全平臺數(shù)據(jù)安全涉及接入平臺、平臺 運行、平臺退出3個階段中的數(shù)據(jù)安全。在接入平臺階段存在邊緣層 接入以及工業(yè)APP接入平臺過程中數(shù)據(jù)面臨的偵聽、攔截、篡改、丟 失、竊取等安全風(fēng)險；平臺運行階段主要面臨數(shù)據(jù)存儲安全風(fēng)險；平 臺退出階段涉及用戶遷移平臺或完全退出平臺時數(shù)據(jù)泄露與備份的 安全風(fēng)險。2工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵防范技術(shù)分析2.1加快提升工業(yè)互聯(lián)網(wǎng)平臺安全技術(shù)防護能力加強設(shè)備和系統(tǒng)安全接入能力。圍繞訪問認(rèn)證、數(shù)據(jù)加密、權(quán)限 管理、日志審計等安全需求，突破設(shè)備特征智能提取、流量審計與清 洗、實時動態(tài)阻攔等關(guān)鍵技術(shù)，實現(xiàn)設(shè)備、系統(tǒng)安全接入平臺。提升 平臺運行安全態(tài)勢感知能力。在平臺內(nèi)部、網(wǎng)絡(luò)出

4、入口部署安全運行 監(jiān)測設(shè)備，掌握平臺側(cè)安全態(tài)勢。建設(shè)國家工業(yè)互聯(lián)網(wǎng)平臺安全監(jiān)測 預(yù)警系統(tǒng)，匯聚行業(yè)、地方和企業(yè)平臺態(tài)勢感知數(shù)據(jù)，實時、動態(tài)監(jiān) 測平臺運行安全狀態(tài)。建設(shè)工業(yè)應(yīng)用服務(wù)安全檢測手段。構(gòu)建面向多 業(yè)務(wù)、全場景的工業(yè)互聯(lián)網(wǎng)應(yīng)用服務(wù)安全檢測環(huán)境，開展檢測工具研 發(fā)和測試驗證平臺建設(shè)，增強上線審核、運營監(jiān)督、服務(wù)更新及下線評估等環(huán)節(jié)的風(fēng)險防控能力。2.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要是采取縱深防御策略，遵循區(qū)域劃分、邊界隔離、 鏈路防護、通信管控的原則，對工業(yè)互聯(lián)網(wǎng)進行有針對性的安全防護。 區(qū)域劃分。工業(yè)互聯(lián)網(wǎng)組網(wǎng)比較靈活，按照功能業(yè)務(wù)的不同，一般將 網(wǎng)絡(luò)結(jié)構(gòu)劃分為設(shè)備層、控制層、管理層3個層面。以西

5、門子為例子， AS-i是設(shè)備層總線，主要接入各類傳感器或執(zhí)行器等工業(yè)設(shè)備，并與 控制層中的智能控制設(shè)備進行數(shù)據(jù)交換；PROFIBUS是控制層總線， 實現(xiàn)對現(xiàn)場設(shè)備的運行狀態(tài)進行監(jiān)控；PROFINET是管理層總線，主 要用于對從控制層上報的生產(chǎn)數(shù)據(jù)進行分析與管理等。邊界隔離。網(wǎng) 絡(luò)結(jié)構(gòu)各層之間采用隔離手段，管理層通往互聯(lián)網(wǎng)的出口處部署防火 墻，只允許符合規(guī)則校驗的網(wǎng)絡(luò)數(shù)據(jù)通過該防火墻進出工業(yè)互聯(lián)網(wǎng)。 管理層只對控制層上報的生產(chǎn)數(shù)據(jù)進行獲取分析與實時管理，并不對 控制層設(shè)備進行操作，管理層與控制層之間部署單向數(shù)據(jù)傳輸裝置， 只允許從控制層流向管理層的數(shù)據(jù)通過，從而阻斷通過管理層向控制 層進行網(wǎng)絡(luò)攻

6、擊的可能性。2.3支持工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新加大對工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和成果轉(zhuǎn)化的支持力度，強化標(biāo)識解析系統(tǒng)安全、平臺安全、工業(yè)控制系統(tǒng)安全、數(shù)據(jù)安全、5G安 全等相關(guān)核心技術(shù)研究，加強攻擊防護、漏洞挖掘、態(tài)勢感知等安全 產(chǎn)品研發(fā)。支持通過眾測眾研等創(chuàng)新方式，聚集社會力量，提升漏洞 隱患發(fā)現(xiàn)技術(shù)能力。支持專業(yè)機構(gòu)、高校、企業(yè)等聯(lián)合建設(shè)工業(yè)互聯(lián) 網(wǎng)安全創(chuàng)新中心和安全實驗室。探索利用人工智能、大數(shù)據(jù)、區(qū)塊鏈 等新技術(shù)提升安全防護水平。2.4數(shù)據(jù)安全工業(yè)互聯(lián)網(wǎng)平臺提供數(shù)據(jù)脫敏和去標(biāo)識化的工具或服務(wù)組件技 術(shù)。數(shù)據(jù)應(yīng)具有本地數(shù)據(jù)備份、恢復(fù)、銷毀等功能，支持用戶對密碼 算法、強度和方式參數(shù)的可選配置，

7、并提供磁盤保護方法或數(shù)據(jù)碎片 化存儲措施，避免數(shù)據(jù)被竊取。數(shù)據(jù)采用密碼技術(shù)支持的保密性保護 機制加密，運營商禁止未授權(quán)訪問和非法使用用戶個人信息，并禁止 重要工業(yè)數(shù)據(jù)存儲于境外，以及限制跨國境的遠(yuǎn)程維護。在工業(yè)互聯(lián) 網(wǎng)安全技術(shù)討論的基礎(chǔ)上，針對當(dāng)前我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展需求， 總結(jié)出工業(yè)互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體系。該工業(yè)互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)體 系具體包括總體防護要求、技術(shù)要求、管理要求、服務(wù)要求等四個方 面?？傮w防護要求包括安全架構(gòu)與模型、身份鑒別、訪問控制、安全 審計、入侵防范等基礎(chǔ)共性技術(shù)，防護等級分為安全防護基本級要求、 安全防護增強級要求兩個層次。技術(shù)要求及規(guī)范包括現(xiàn)場設(shè)備安全、 控制安全、

8、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等五個方面，以滿足平臺 訪問安全、應(yīng)用安全和訪問控制安全的管理要求，以及企業(yè)服務(wù)安全、 第三方服務(wù)安全、安全風(fēng)險評估與測試等服務(wù)要求，為工業(yè)互聯(lián)網(wǎng)的 設(shè)計、建設(shè)、運行維護過程中的安全提供參考依據(jù)。2.5引入?yún)^(qū)域鏈技術(shù)可以嘗試將區(qū)域鏈技術(shù)引入到工業(yè)互聯(lián)網(wǎng)系統(tǒng)中來，以其明顯的 去中心化特點，來提升工業(yè)互聯(lián)網(wǎng)的隱私性、信息安全性，并在區(qū)域 鏈強大的加密算法、共識機制、點對點傳輸、分布式數(shù)據(jù)存儲等計算 機技術(shù)的應(yīng)用下，來有效提升工業(yè)互聯(lián)網(wǎng)安全問題的成功解決率。通 過數(shù)據(jù)庫的構(gòu)建來對工業(yè)互聯(lián)網(wǎng)各類信息數(shù)據(jù)的完整性予以有效保 護；在數(shù)據(jù)驗證中導(dǎo)入密碼學(xué)原理，以此來切實提升數(shù)據(jù)的安全性， 保證數(shù)據(jù)不可被篡改；引入多私鑰規(guī)則來進行網(wǎng)絡(luò)權(quán)限管理，提升對 網(wǎng)絡(luò)訪問的權(quán)限控制，將企業(yè)外部人員杜絕在工業(yè)互聯(lián)網(wǎng)的訪問范圍 之外。結(jié)語工業(yè)互聯(lián)網(wǎng)平臺安全建設(shè)是推進工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)互聯(lián)網(wǎng) 健康發(fā)展的必要保障，我國針對工業(yè)互聯(lián)網(wǎng)平臺安全的相關(guān)工作仍處 于摸索階段，平臺安全管理體系尚不健全、平臺安全技術(shù)防護能力較 弱、平臺數(shù)據(jù)安全風(fēng)險隱患凸顯等問題亟待解決。在國家層面，為了 加強我國工業(yè)互聯(lián)網(wǎng)平臺安全保障能力建設(shè)，亟需清晰認(rèn)識工業(yè)互聯(lián) 網(wǎng)平臺在不同安全層級的安