工業(yè)互聯(lián)網(wǎng)安全建設(shè)的探討

◆楊鴻深

工業(yè)互聯(lián)網(wǎng)安全建設(shè)的探討

◆楊鴻深

（山西省數(shù)字化轉(zhuǎn)型促進(jìn)中心 山西 030002）

工業(yè)互聯(lián)網(wǎng)的發(fā)展帶來不同于傳統(tǒng)信息系統(tǒng)的安全挑戰(zhàn)，本文從工業(yè)互聯(lián)網(wǎng)平臺、網(wǎng)絡(luò)、數(shù)據(jù)特點(diǎn)分析出發(fā)，以政府管理部門和企業(yè)的角度，從政策規(guī)范、標(biāo)準(zhǔn)制定、架構(gòu)設(shè)計等各方面提出新的建設(shè)思路。

工業(yè)互聯(lián)網(wǎng)；安全；建設(shè)

伴隨著新一代信息技術(shù)與工業(yè)領(lǐng)域加速滲透融合，工業(yè)企業(yè)經(jīng)歷了從單臺制造、機(jī)電一體化、產(chǎn)供銷信息化、MES、ERP等數(shù)字化的多個關(guān)鍵階段，部分企業(yè)工業(yè)轉(zhuǎn)型征途已進(jìn)入智能化時代。近幾年，物聯(lián)網(wǎng)、5G技術(shù)飛速發(fā)展，推動按需制造、社會化協(xié)作為目標(biāo)的工業(yè)互聯(lián)網(wǎng)成為行業(yè)方向和焦點(diǎn)。

工業(yè)互聯(lián)網(wǎng)核心是工業(yè)數(shù)據(jù)的流動價值。工業(yè)互聯(lián)網(wǎng)應(yīng)用新一代信息通信技術(shù)，建設(shè)連接工業(yè)全要素全產(chǎn)業(yè)鏈的網(wǎng)絡(luò)，實(shí)現(xiàn)海量工業(yè)數(shù)據(jù)的實(shí)時采集、廣泛流轉(zhuǎn)和精準(zhǔn)分析，支撐業(yè)務(wù)科學(xué)決策，高效配置制造資源，推動上下游產(chǎn)業(yè)聯(lián)動。工業(yè)互聯(lián)網(wǎng)平臺提供數(shù)據(jù)存儲、管理、呈現(xiàn)、分析、建模及應(yīng)用開發(fā)環(huán)境，匯聚生產(chǎn)制造企業(yè)、產(chǎn)業(yè)鏈上下游以及第三方設(shè)計開發(fā)單位。工業(yè)互聯(lián)網(wǎng)的健康發(fā)展，對我國制造業(yè)數(shù)字化轉(zhuǎn)型升級，提升國際競爭力極具戰(zhàn)略意義，將極大賦能產(chǎn)業(yè)融合和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化，提升資源配置效率，助推我國從制造業(yè)大國向制造業(yè)強(qiáng)國邁進(jìn)。

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)、平臺中樞、數(shù)據(jù)要素的安全保障要求更高，是需要更加體系化、系統(tǒng)化、全局化推進(jìn)的復(fù)雜系統(tǒng)工程。工業(yè)互聯(lián)網(wǎng)平臺為數(shù)據(jù)提供自由流轉(zhuǎn)支撐，是鏈接工業(yè)全要素、全產(chǎn)業(yè)鏈的樞紐，是推動制造資源高效配置的核心。平臺通過網(wǎng)絡(luò)擴(kuò)展上至互聯(lián)網(wǎng)、移動互聯(lián)，下至生產(chǎn)控制層PLC、RTU工控網(wǎng)絡(luò)。應(yīng)用覆蓋客戶、管理層、市場、生產(chǎn)制造多個環(huán)節(jié)。節(jié)點(diǎn)部署可以集中云計算、私有云、邊緣計算等多個邊界，其網(wǎng)絡(luò)安全要求超出傳統(tǒng)信息系統(tǒng)的框架范圍。傳統(tǒng)網(wǎng)絡(luò)信息安全體系已積累豐富的管理建設(shè)經(jīng)驗(yàn)，相關(guān)物理環(huán)境、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、云平臺安全等維度基礎(chǔ)要求明確，各類標(biāo)準(zhǔn)、監(jiān)管有法可依。但在面對連接廣泛、參與方眾多、數(shù)據(jù)權(quán)屬復(fù)雜的工業(yè)互聯(lián)網(wǎng)，業(yè)界各方都在摸索階段。亟須創(chuàng)新適應(yīng)時代發(fā)展規(guī)律的系統(tǒng)化新理論和新方法，相關(guān)部門需要未雨綢繆，抓緊研究制定工業(yè)互聯(lián)網(wǎng)安全發(fā)展戰(zhàn)略規(guī)劃，構(gòu)建行之有效的體系架構(gòu)和方法機(jī)制，加強(qiáng)對工業(yè)互聯(lián)網(wǎng)安全發(fā)展的戰(zhàn)略指導(dǎo)、制度設(shè)計、政策支撐，為工業(yè)互聯(lián)網(wǎng)的健康發(fā)展?fàn)I造良好的條件。

面對機(jī)遇和挑戰(zhàn)，需要對工業(yè)互聯(lián)網(wǎng)平臺的安全建設(shè)增加新維度、提高新視角、提出新要求：

1 基于時間敏感的微服務(wù)結(jié)構(gòu)——邊緣計算安全設(shè)計新維度

工業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)采集結(jié)構(gòu)是為了更廣連接、更低時延、更大流量和更好控制，在靠近生產(chǎn)設(shè)備的數(shù)據(jù)采集源頭會產(chǎn)生大量的數(shù)據(jù)，數(shù)據(jù)如果都上傳到云端進(jìn)行處理，會對云端造成巨大的壓力。為分擔(dān)中心云節(jié)點(diǎn)的壓力，在數(shù)據(jù)采集層需要部署邊緣計算節(jié)點(diǎn)，節(jié)點(diǎn)可以負(fù)責(zé)一定范圍內(nèi)的數(shù)據(jù)計算和存儲工作。

大多數(shù)的數(shù)據(jù)并不是一次性數(shù)據(jù)，那些經(jīng)過處理的數(shù)據(jù)仍需要從邊緣節(jié)點(diǎn)匯聚集中到云平臺，云計算做大數(shù)據(jù)分析挖掘、數(shù)據(jù)共享，同時進(jìn)行算法模型的訓(xùn)練和升級，升級后的算法推送到前端，使前端設(shè)備更新和升級，完成自主學(xué)習(xí)閉環(huán)。這些數(shù)據(jù)同時也有備份的需要，當(dāng)邊緣計算過程中出現(xiàn)意外情況，存儲在云端的數(shù)據(jù)也不會丟失。

系統(tǒng)開發(fā)的初始階段，為了驗(yàn)證效果，容易把精力放在應(yīng)用操作的實(shí)現(xiàn)上，而忽視安全性問題。后來再想要實(shí)施安全措施的時候，就會發(fā)生成本方面的問題所導(dǎo)致的措施做得不到位的情況。邊緣計算節(jié)點(diǎn)和生產(chǎn)單元的數(shù)據(jù)采集設(shè)備一般在不易變動的車間環(huán)境下運(yùn)行，一旦把這樣的設(shè)備連接到網(wǎng)絡(luò)，就會面臨想象不到的安全風(fēng)險，因此需要從設(shè)計階段就著手推進(jìn)安全性設(shè)計。

邊緣計算客戶端越智能，越容易受到惡意軟件感染和安全漏洞攻擊，同時邊緣節(jié)點(diǎn)具有工控網(wǎng)絡(luò)協(xié)議的安全隱患，網(wǎng)絡(luò)拓?fù)渲形恢酶?，擁有更小的網(wǎng)絡(luò)延遲，反應(yīng)性更強(qiáng)。相比較云平臺的構(gòu)成單位—數(shù)據(jù)中心，邊緣節(jié)點(diǎn)數(shù)量龐大、地域分布廣泛。由于計算資源有限，現(xiàn)有數(shù)據(jù)安全保護(hù)方法并不能完全適用于邊緣計算架構(gòu)，諸如賬號密碼等敏感資料安全存儲、微服務(wù)安全通訊，都需要尋求新的解決思路。

邊緣側(cè)是融合網(wǎng)絡(luò)、計算、存儲、應(yīng)用核心能力的開放平臺，就近提供邊緣智能服務(wù)，滿足敏捷連接、實(shí)時業(yè)務(wù)、數(shù)據(jù)優(yōu)化、應(yīng)用智能、安全與隱私保護(hù)等多方面的關(guān)鍵需求。邊緣計算的分布式架構(gòu)增加了攻擊向量的維度，服務(wù)訪問的安全控制要求更高。其信息安全的自身特點(diǎn)需要對感知層上傳的以及從其他異構(gòu)網(wǎng)絡(luò)接收的數(shù)據(jù)進(jìn)行處理（異構(gòu)網(wǎng)絡(luò)數(shù)據(jù)處理本身就是個難題），將處理后的數(shù)據(jù)考慮進(jìn)行加密和認(rèn)證，并將已加密和認(rèn)證的數(shù)據(jù)上傳至上一層。邊緣計算節(jié)點(diǎn)和采集點(diǎn)的設(shè)備繁雜，主要是各種制式的無線傳輸設(shè)備，且普遍要求體積小、功耗低、效率高，由于上述原因，這一層的密碼算法，包括認(rèn)證算法、加密算法、Hash算法、隨機(jī)數(shù)生成算法等等均應(yīng)采用既要保證足夠強(qiáng)度、又必須是輕量級的密碼算法。同時，這一層設(shè)備的嵌入式系統(tǒng)設(shè)計和實(shí)現(xiàn)也具有相當(dāng)難度。

2 多方數(shù)據(jù)資源共享交換的安全保障新視角

重視工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)資源的私有性和安全保障，發(fā)揮工業(yè)數(shù)據(jù)流動的市場價值，就要保護(hù)數(shù)據(jù)主體權(quán)利不受損害。產(chǎn)業(yè)鏈的數(shù)據(jù)整合要設(shè)計生態(tài)體系的價值互利機(jī)制，針對跨行業(yè)跨領(lǐng)域綜合型平臺、面向重點(diǎn)行業(yè)和區(qū)域的特色型平臺和面向特定技術(shù)領(lǐng)域的專業(yè)型平臺，在開展大數(shù)據(jù)、人工智能的深度應(yīng)用同時，完善監(jiān)管體系，明確數(shù)字版權(quán)新興領(lǐng)域等方面規(guī)則，考慮通過市場價值分享來避免數(shù)據(jù)權(quán)屬爭議。處理信息和重要數(shù)據(jù)的目的應(yīng)當(dāng)合法、具體、明確，以約定的目標(biāo)、范圍和方式使用數(shù)據(jù)，在推動“挖掘機(jī)指數(shù)”、“空壓機(jī)指數(shù)”等新型經(jīng)濟(jì)運(yùn)行指標(biāo)創(chuàng)新的前提下，要考慮不影響數(shù)據(jù)主體所有權(quán)的情況下交易數(shù)據(jù)的使用權(quán)。

工業(yè)互聯(lián)網(wǎng)建設(shè)中不涉及敏感或秘密領(lǐng)域的工業(yè)數(shù)據(jù)。當(dāng)關(guān)聯(lián)數(shù)據(jù)增加或數(shù)據(jù)量發(fā)生變化時，這些數(shù)據(jù)將會變得敏感或秘密，就需要進(jìn)行信息安全保護(hù)。如礦產(chǎn)資源類的工業(yè)互聯(lián)網(wǎng)應(yīng)用，其傳感器網(wǎng)絡(luò)提取到的地質(zhì)、開采量、污染等等方面的數(shù)據(jù)，當(dāng)數(shù)據(jù)由少量變?yōu)楹Ａ?、靜態(tài)變?yōu)閯討B(tài)、離散變?yōu)檫B續(xù)、孤立變?yōu)殛P(guān)聯(lián)、模糊變?yōu)榫_、局部變?yōu)槿謺r，數(shù)據(jù)的密級則發(fā)生重大變化，數(shù)據(jù)已經(jīng)具有很高的分析、綜合和預(yù)測價值，是一種重要的資產(chǎn)，至少是商業(yè)秘密，部分?jǐn)?shù)據(jù)更是國家的重要秘密和戰(zhàn)略資源。

3 工業(yè)互聯(lián)網(wǎng)平臺建設(shè)的頂層安全機(jī)制新要求

傳統(tǒng)信息系統(tǒng)的數(shù)據(jù)中心架構(gòu)目前正逐步向云計算方向遷移，其信息安全保護(hù)措施（諸如網(wǎng)絡(luò)防火墻、入侵檢測、統(tǒng)一安全網(wǎng)關(guān)、VPN、網(wǎng)絡(luò)審計、服務(wù)器加固和防病毒、操作系統(tǒng)加固、終端審計和防病毒等等）均有一定的技術(shù)經(jīng)驗(yàn)積累，相關(guān)管理水平相對成熟，但構(gòu)建在物聯(lián)網(wǎng)、5G技術(shù)、大數(shù)據(jù)基礎(chǔ)上的工業(yè)互聯(lián)網(wǎng)安全建設(shè)內(nèi)容又進(jìn)一步延伸，主管部門需要未雨綢繆，盡早系統(tǒng)化建立安全技術(shù)防護(hù)標(biāo)準(zhǔn)體系。完善工業(yè)互聯(lián)網(wǎng)的安全生產(chǎn)感知、監(jiān)測、預(yù)警、處置及評估體系，建設(shè)匯聚安全漏洞、惡意代碼、勒索病毒等信息的國家工業(yè)互聯(lián)網(wǎng)安全漏洞庫、工具集，開展PLC、RTU等重要工控設(shè)備、工業(yè)互聯(lián)網(wǎng)平臺、工業(yè)APP動態(tài)安全檢測評估工作。完善涵蓋工業(yè)協(xié)議、設(shè)備指紋、IP/域名、標(biāo)識解析系統(tǒng)等基礎(chǔ)資源庫，為推進(jìn)工業(yè)互聯(lián)網(wǎng)深入開展打好基礎(chǔ)。

建立企業(yè)網(wǎng)絡(luò)安全主體責(zé)任制，督促企業(yè)完善網(wǎng)絡(luò)安全管理體系。實(shí)施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理制度，明確企業(yè)安全責(zé)任要求和標(biāo)準(zhǔn)規(guī)范。滿足逐級負(fù)責(zé)的監(jiān)督管理要求，建立屬地重點(diǎn)聯(lián)網(wǎng)工業(yè)企業(yè)清單和重要數(shù)據(jù)保護(hù)目錄。加強(qiáng)企業(yè)自身網(wǎng)絡(luò)安全技術(shù)保障能力，利用人工智能、大數(shù)據(jù)技術(shù)強(qiáng)化態(tài)勢分析，完善事件通報，健全監(jiān)測預(yù)警、信息共享、協(xié)同處置等閉環(huán)工作機(jī)制，打造多方聯(lián)動、運(yùn)行高效的技術(shù)服務(wù)保障體系。

工業(yè)互聯(lián)網(wǎng)如同個人計算機(jī)和互聯(lián)網(wǎng)的變革一樣，關(guān)系著國計民生的眾多領(lǐng)域，極大提高企業(yè)生產(chǎn)、溝通和協(xié)作的效率，人民生活將充分體會科學(xué)技術(shù)發(fā)展帶來的舒適和便捷。各級主管部門和企業(yè)在聚焦工業(yè)互聯(lián)網(wǎng)系統(tǒng)的同時，應(yīng)高度重視安全建設(shè)，持續(xù)關(guān)注網(wǎng)絡(luò)安全動態(tài)，提高安全防范意識，提升管理水平，引領(lǐng)企業(yè)進(jìn)入感知世界、認(rèn)識世界、改造世界的智能化新階段。