農(nóng)業(yè)數(shù)字化中系統(tǒng)的安全保障分析

◎ 四川省南充市網(wǎng)絡輿情中心 何瑜

隨著物聯(lián)網(wǎng)技術的發(fā)展及在不同行業(yè)中運用,農(nóng)業(yè)數(shù)字化過程體現(xiàn)在其發(fā)展過程中進行農(nóng)業(yè)要素、生產(chǎn)過程、農(nóng)業(yè)管理的數(shù)據(jù)的采集、存儲、分析、挖掘、精準管理等，進一步把數(shù)字化技術應用于農(nóng)業(yè)的改造和提升。農(nóng)業(yè)的特點在數(shù)字化過程中要充分考慮，充分尊重其自身規(guī)律，選擇合適的數(shù)字化技術來達到提升農(nóng)業(yè)生產(chǎn)力的效果。農(nóng)業(yè)數(shù)字化特點包括農(nóng)業(yè)生產(chǎn)、農(nóng)情分析、行業(yè)監(jiān)管、輔助決策等相關的數(shù)據(jù)獲取，農(nóng)業(yè)數(shù)據(jù)通信就是把分布在農(nóng)業(yè)生產(chǎn)第一線，例如農(nóng)作物生長的環(huán)境、溫濕度、長勢等信息和整個過程的監(jiān)控的信息通過各種網(wǎng)絡包括有線、無線等方式完成數(shù)據(jù)的通訊，并對這些數(shù)據(jù)進行分類存儲、統(tǒng)計分析、關聯(lián)挖掘、反饋控制等處理的全過程。在國外發(fā)達國家中，例如美國、日本等國家的數(shù)字農(nóng)業(yè)研究在上世紀五六十年代已經(jīng)開始研究，對農(nóng)業(yè)數(shù)據(jù)進行歸類和定標、量化存儲、信息綜合處理處理、農(nóng)業(yè)相關的知識工程及分類綜合的專家系統(tǒng)、基于物聯(lián)網(wǎng)的農(nóng)業(yè)信息綜合應用等階段的不斷進化完善，現(xiàn)今已經(jīng)進入實用階段。我國《數(shù)字農(nóng)業(yè)農(nóng)村發(fā)展規(guī)劃（2019-2025年）》指出，發(fā)展農(nóng)業(yè)數(shù)字化，利用衛(wèi)星與航空遙感、物聯(lián)網(wǎng)等關鍵技術，動態(tài)監(jiān)測重要農(nóng)作物包括糧食作物、果木作物、牧漁養(yǎng)殖等農(nóng)產(chǎn)品的作物類型、占用面積、土壤或環(huán)境墑情、作物長勢、可能的災情蟲情，及時進行分析研判并發(fā)布預警信息，提升農(nóng)業(yè)相關的生產(chǎn)管理信息化水平，數(shù)字農(nóng)業(yè)的技術框架已經(jīng)在我國的數(shù)字農(nóng)業(yè)中基本形成。

本文首先介紹農(nóng)業(yè)數(shù)字化系統(tǒng)的框架、特點和功能，接下來討論了的安全威脅和針對威脅需要的安全保障措施，然后給出了基于農(nóng)業(yè)數(shù)字化系統(tǒng)平臺的安全人員的職責討論，最后是全文的總結。

一、農(nóng)業(yè)數(shù)字化系統(tǒng)概述

農(nóng)業(yè)數(shù)字化系統(tǒng)的總體架構如圖1所示，包括農(nóng)業(yè)數(shù)據(jù)獲取的基礎設施層、農(nóng)業(yè)數(shù)據(jù)通訊的網(wǎng)絡層、農(nóng)業(yè)數(shù)據(jù)智能處理的數(shù)據(jù)層、服務于農(nóng)業(yè)數(shù)字化應用層、提供不同使用界面的用戶層，對應了實現(xiàn)農(nóng)業(yè)數(shù)據(jù)的采集、傳輸、存儲處理、應用開發(fā)的和具體使用的功能?；A設施層負責的農(nóng)業(yè)數(shù)據(jù)采集是整個系統(tǒng)的基礎，包括各類用于數(shù)據(jù)采集的硬件例如攝像頭、無人機、路由器、RFID、傳感器（天氣、溫度、濕度、土壤、肥料等）、紅外傳感等采集對應的土壤、肥料、濕度、不同氣體等環(huán)境數(shù)據(jù)和不同農(nóng)業(yè)類別生產(chǎn)過程控制等信息；農(nóng)業(yè)數(shù)據(jù)通訊環(huán)境既有設備分散性、地形環(huán)境復雜性的特點，采用基于無線模式的無線傳感器網(wǎng)絡和移動通信網(wǎng)絡來進行數(shù)據(jù)傳輸，具體有藍牙、WiFi、ZigBee等技術，采集的大量數(shù)據(jù)要匯集到數(shù)據(jù)中心需要網(wǎng)絡（無線網(wǎng)、因特網(wǎng)、各種專用的網(wǎng)絡、衛(wèi)星網(wǎng)等）把這些年設備和數(shù)據(jù)收集起來并進行存儲和管理并在大數(shù)據(jù)中心進行數(shù)據(jù)存儲、清洗、分析、挖掘，開發(fā)各種農(nóng)業(yè)生產(chǎn)過程的數(shù)學模型把應用的界面進行多樣化的開發(fā)和設置包括使用移動端的軟件指導農(nóng)業(yè)生產(chǎn)，為不同用戶包括農(nóng)業(yè)生產(chǎn)的參與者、指導者、監(jiān)管者提供農(nóng)業(yè)數(shù)字化中信息處理的融合應用。

圖1 農(nóng)業(yè)數(shù)字化系統(tǒng)的框架

在基于物聯(lián)網(wǎng)架構的農(nóng)業(yè)數(shù)字化系統(tǒng)的框架中，包括農(nóng)業(yè)生產(chǎn)過程中相關環(huán)境、活動、農(nóng)業(yè)產(chǎn)品的狀態(tài)變化等要素信息的收集、標準化、規(guī)范化后的信息存儲管理系統(tǒng)，農(nóng)業(yè)生產(chǎn)相關技術信息服務系統(tǒng)包括各類農(nóng)業(yè)生產(chǎn)過程的組織實施的技術核心體系，面對農(nóng)業(yè)數(shù)字化，需要處理的數(shù)據(jù)至少要包括農(nóng)業(yè)產(chǎn)品生產(chǎn)全過程需要的資源信息管理系統(tǒng)、自然災害監(jiān)測、預防和評估系統(tǒng)、農(nóng)作物長勢監(jiān)測與估產(chǎn)信息系統(tǒng)、農(nóng)產(chǎn)品營銷網(wǎng)絡系統(tǒng)、農(nóng)業(yè)環(huán)境質(zhì)量評價信息系統(tǒng)、決策支持系統(tǒng)等，這些系統(tǒng)有機地結合組成農(nóng)業(yè)數(shù)字化內(nèi)容。農(nóng)業(yè)的數(shù)字化管理系統(tǒng)系統(tǒng)的網(wǎng)絡使用特點包括需要短距離無線傳感器網(wǎng)絡與遠距離公共網(wǎng)絡，例如Internet的融合，由于農(nóng)業(yè)生產(chǎn)的現(xiàn)場分布的區(qū)域要求現(xiàn)場采集與通信節(jié)點必須采用電池或太陽能供電，并保證超低功耗；整個農(nóng)業(yè)數(shù)字化系統(tǒng)要求實時無線監(jiān)測、動態(tài)智能決策、便利的遠程控制與相關的農(nóng)業(yè)數(shù)據(jù)管理相結合；要求根據(jù)用戶需求設計不同環(huán)境要求、不同農(nóng)作物控制的網(wǎng)絡體系結構下的合適組網(wǎng)方案，而且網(wǎng)絡的規(guī)模要具有較強的適應性。農(nóng)業(yè)的數(shù)字化管理系統(tǒng)包括基于位置信息的各類傳感器數(shù)據(jù)采集和存儲、農(nóng)業(yè)生產(chǎn)報警和報警閾值設定、環(huán)境報警聯(lián)動視頻監(jiān)控、實時采集和傳送環(huán)境數(shù)據(jù)、生物數(shù)據(jù)等。精準作業(yè)在線監(jiān)測和各類數(shù)據(jù)的查詢功能，完成農(nóng)業(yè)數(shù)據(jù)的觀測共享。

二、農(nóng)業(yè)數(shù)字化系統(tǒng)的安全威脅分析與保障技術

要實現(xiàn)一個農(nóng)業(yè)數(shù)字化系統(tǒng)，需要集數(shù)據(jù)的自動采集、農(nóng)業(yè)生產(chǎn)環(huán)境的數(shù)字化、網(wǎng)絡化、自動化、智能化等多種高新技術為一體來設計和實現(xiàn)的面向農(nóng)業(yè)應用的計算機管理應用系統(tǒng)，在網(wǎng)絡環(huán)境下該系統(tǒng)和信息數(shù)據(jù)安全、網(wǎng)絡安全就相生相伴，農(nóng)業(yè)數(shù)字化系統(tǒng)從應用系統(tǒng)、有線與無線的網(wǎng)絡支撐、農(nóng)業(yè)資源信息的采集評估監(jiān)測等應用、農(nóng)業(yè)環(huán)境和生產(chǎn)與監(jiān)控的數(shù)據(jù)、各種實施數(shù)字化系統(tǒng)的物理載體等的安全保障也越來越重要，必須從全方位分析農(nóng)業(yè)的數(shù)字化管理系統(tǒng)的安全威脅并提供維護農(nóng)業(yè)的數(shù)字化管理系統(tǒng)的信息安全的保障技術。信息系統(tǒng)的安全體系由支撐系統(tǒng)實施的技術體系、使用系統(tǒng)的管理體系和系統(tǒng)服務的不同層次的組織機構體系組成，三個層面共同構建整個農(nóng)業(yè)的數(shù)字化系統(tǒng)的安全體系。如果系統(tǒng)沒有使用安全技術進行防護，就會出現(xiàn)系統(tǒng)漏洞造成系統(tǒng)的不安全，沒有安全的管理策略，就不能對不同操作進行規(guī)范和約束，系統(tǒng)的數(shù)據(jù)安全就不能保證。農(nóng)業(yè)數(shù)字化系統(tǒng)使用的安全技術體系涉及的方面包括物聯(lián)網(wǎng)采集設備和網(wǎng)絡通信與數(shù)據(jù)存儲設備的物理安全、平臺系統(tǒng)與各個應用的系統(tǒng)安全、無線與有線的通訊與管理的網(wǎng)絡安全、對應于不同的應用需求而變化的應用安全和系統(tǒng)與人員的訪問控制等的管理安全等諸多個方面的技術的實施和應用。由防護機制、檢測機制與恢復機制組成系統(tǒng)的安全機制。農(nóng)業(yè)數(shù)字化系統(tǒng)可以借鑒網(wǎng)絡安全的所有安全服務包括身份鑒別、訪問控制、數(shù)據(jù)加解密、完整性控制和抗否認性機制等服務。

（一）農(nóng)業(yè)數(shù)據(jù)獲取的安全

根據(jù)不同的農(nóng)業(yè)生產(chǎn)環(huán)境，我們可以通過傳感器技術、R F I D技術、3S（GPS、RS、GIS）技術來完成這些數(shù)據(jù)的自動采集，也可以用人工標注、網(wǎng)絡抓取等方式作為輔助補充方式獲取數(shù)據(jù)，環(huán)境數(shù)據(jù)主要使用多種傳感器設備對溫度、濕度、光照、各類土壤、作物狀況等數(shù)據(jù)進行采集，利用無線與有線的網(wǎng)絡感知設備進行記錄和傳輸，傳感器的布置和安裝可能缺少安全監(jiān)控，可能會造成傳感器都是、損壞、失效等問題；用于完成數(shù)據(jù)通訊工作的聯(lián)網(wǎng)設備本身缺乏安全性，存在的安全威脅例如內(nèi)部或外部的網(wǎng)絡攻擊等；大多數(shù)的傳感器的能量受限或者是無源狀態(tài)，自身沒有復雜的安全保護能力；一個系統(tǒng)會有不同類型、不同使用方法的各種傳感器，多樣性與標準不統(tǒng)一，難以形成統(tǒng)一的安全保護體系等；攻擊者利用自身的知識很容易干擾、屏蔽、或截獲傳感器的信號，可能多傳感器進行遠程控制包括非法獲取感知節(jié)信息、關鍵節(jié)點非法控制、普通節(jié)點的非法控制、外來網(wǎng)絡的D O S攻擊等安全威脅。在保證數(shù)據(jù)獲取的安全的前提下，有線或無線網(wǎng)絡上安全威脅，就要通過權限認證、協(xié)議加密、多重應答、數(shù)字證書和簽名機制保證物聯(lián)網(wǎng)數(shù)據(jù)的透明傳輸，使通過物聯(lián)網(wǎng)獲取的農(nóng)業(yè)數(shù)據(jù)和發(fā)送的控制和命令操作可信可靠。

（二）農(nóng)業(yè)數(shù)據(jù)傳輸安全

農(nóng)業(yè)數(shù)據(jù)傳輸層的功能是將基礎層的物聯(lián)網(wǎng)設備產(chǎn)生的農(nóng)業(yè)數(shù)據(jù)傳送給處理中心和用戶，使用物聯(lián)網(wǎng)、接入網(wǎng)包括網(wǎng)絡、集群、無線城域網(wǎng)等技術來完成。通過接入網(wǎng)，農(nóng)業(yè)數(shù)據(jù)采集層可以向用戶傳送信息，用戶的指令也可以傳送到的具體物聯(lián)網(wǎng)設備上。物聯(lián)網(wǎng)數(shù)據(jù)傳輸過程中，由于可能出現(xiàn)大量設備同時進行數(shù)據(jù)傳輸而發(fā)生網(wǎng)絡擁塞，造成通訊數(shù)據(jù)的丟失從而破壞了數(shù)據(jù)的安全與完整性；黑客的偽造攻擊、中間人攻擊、拒絕訪問攻擊等都是網(wǎng)絡層的安全威脅；還有的網(wǎng)絡攻擊包括非法訪問、跨異構網(wǎng)絡的網(wǎng)絡攻擊、信息盜竊和篡改、路由攻擊等。網(wǎng)絡安全的保障技術包括邊界防火墻、系統(tǒng)實體認證、網(wǎng)絡入侵檢測、網(wǎng)絡防攻擊、殺病毒、隔離審計、計算機取證、業(yè)務持續(xù)性等技術。農(nóng)業(yè)數(shù)字系統(tǒng)在網(wǎng)絡通訊層的安全的保障技術包括IP安全、VPN安全、信息過濾安全。

訪問控制策略用來為使用系統(tǒng)的不同用戶設計不同的訪問策略，例如入網(wǎng)訪問控制和網(wǎng)絡權限控制、主要資源包括大數(shù)據(jù)平臺服務器、數(shù)據(jù)庫等安全控制以及防火墻各種策略控制等技術。用戶通過給定的權限來決定可以訪問的資源，為農(nóng)戶、涉農(nóng)企業(yè)、科研機構和政府等不同用戶通過訪問控制策略來賦予不同權限，網(wǎng)絡服務器安全控制的手段包括對非法訪問者進行身份檢測、安全審計、數(shù)字簽名、以及通過密碼鎖定服務器控制臺等。防火墻規(guī)則設計可以實現(xiàn)網(wǎng)絡安全常用和有效的安全措施，通過網(wǎng)絡存取功能將所有訪問記錄在防火墻并進行監(jiān)控，從而極大地提高網(wǎng)絡安全性。

（三）農(nóng)業(yè)數(shù)據(jù)處理安全

農(nóng)業(yè)涉及國計民生，農(nóng)業(yè)安全問題是國家安全的組成部分，農(nóng)業(yè)大數(shù)據(jù)資源是國家重要的戰(zhàn)略資源之一，農(nóng)業(yè)數(shù)據(jù)的安全必須得到保障，農(nóng)業(yè)數(shù)據(jù)處理過程中可能的安全威脅有系統(tǒng)或應用的安全漏洞的存在可能被別有用心之人利用來竊取重要而敏感的農(nóng)業(yè)數(shù)據(jù)；農(nóng)業(yè)數(shù)字化系統(tǒng)被黑客一旦攻擊成功，就可以對農(nóng)業(yè)數(shù)據(jù)進行操控，包括非法操作、發(fā)布虛假信息，對農(nóng)業(yè)生產(chǎn)過程造成不利影響，從而破壞農(nóng)業(yè)生產(chǎn)鏈的完整性；要保證數(shù)據(jù)本身的安全、數(shù)據(jù)處理的安全和數(shù)據(jù)存儲的安全；對應的安全威脅包括加密過程中的密鑰泄露、認證失效、人為破壞等。在應用系統(tǒng)中數(shù)據(jù)處理過程中，由于傳感器或者通訊網(wǎng)絡或計算機硬件故障、斷電、死機、人為的不規(guī)范操作或者誤操作、系統(tǒng)程序漏洞或應用程序開發(fā)的缺陷、計算機病毒病毒或非法用戶的黑客行為等造成的農(nóng)業(yè)大數(shù)據(jù)的相關內(nèi)容損壞或出現(xiàn)數(shù)據(jù)不一致或丟失或篡改等現(xiàn)象、沒有權限用戶或者操作人員查詢、閱讀敏感數(shù)據(jù)、數(shù)據(jù)泄密、數(shù)據(jù)被盜等安全威脅活動導致的數(shù)據(jù)不安全。捕獲、存儲、數(shù)據(jù)加密，可以采用國密算法對關鍵的數(shù)據(jù)進行加密、對一些重要的數(shù)據(jù)進行認證等方法保證數(shù)據(jù)的本身的安全，處理過程和存儲要結合國家的數(shù)據(jù)處理登記保護級別進行分別的處理?；A設施、人員、流程和技術是可以加強存放物聯(lián)網(wǎng)數(shù)據(jù)的數(shù)據(jù)中心安全性的關鍵重點。農(nóng)業(yè)大數(shù)據(jù)安全防護策略包括網(wǎng)絡安全保障技術的應用、規(guī)范行業(yè)行為、健全安防手段、完善管理制度，確保農(nóng)業(yè)大數(shù)據(jù)的真實可靠，加強對農(nóng)業(yè)大數(shù)據(jù)的安全保護措施。

（四）農(nóng)業(yè)數(shù)據(jù)應用

農(nóng)業(yè)數(shù)字化應用包括農(nóng)業(yè)數(shù)據(jù)信息平臺、互動平臺、農(nóng)產(chǎn)品交易平臺中的農(nóng)業(yè)資源信息系統(tǒng)、農(nóng)業(yè)自然災害預測、監(jiān)控和評估系統(tǒng)、農(nóng)業(yè)生產(chǎn)的產(chǎn)品狀態(tài)監(jiān)測與估產(chǎn)信息系統(tǒng)、農(nóng)業(yè)產(chǎn)品運營與銷售網(wǎng)絡系統(tǒng)、農(nóng)業(yè)環(huán)境質(zhì)量評價信息系統(tǒng)、農(nóng)業(yè)生產(chǎn)管理決策支持系統(tǒng)等，提供各個層次參與農(nóng)業(yè)生產(chǎn)的用戶使用，在數(shù)字農(nóng)業(yè)的各個應用上，攻擊人員可以偽裝各種身份進入到系統(tǒng)，要對安全威脅用戶的訪問控制、各級權限的管理、非法用戶的入侵、密碼的暴力破解、黑客、病毒、信息竊取、電源故障進行精細的管理，盡量避免內(nèi)部攻擊、設備損失的發(fā)生，做好防備預案，進行災難控制和恢復機制的建設。可以使用系統(tǒng)脆弱性檢測、安全態(tài)勢感知、數(shù)據(jù)分析過濾、攻擊檢測與報警、審計與追蹤、網(wǎng)絡取證、決策響應等技術在這一層上來保護農(nóng)業(yè)數(shù)據(jù)信息系統(tǒng)的應用安全。

三、農(nóng)業(yè)的數(shù)字化管理系統(tǒng)安全管理人員

農(nóng)業(yè)的數(shù)字化管理系統(tǒng)必須有專門的安全管理人員，對系統(tǒng)的各種威脅制定相應的安全策略，按照國家規(guī)定的信息網(wǎng)絡等級保護的要求，必須通過密鑰管理保障傳感器的安全，建立不同環(huán)境下不同用戶的認證銜接機制，必須部署通過適當培訓的工作人員和控制措施，安全管理人員必須每年進行安全意識培訓，及時了解最新的威脅和潛在問題，設計農(nóng)業(yè)數(shù)字化系統(tǒng)的信息安全框架和解決方案，負責信息安全評估、審計和報告和工作監(jiān)督。在農(nóng)業(yè)生產(chǎn)過程中，制定相關的安全規(guī)則和安全保障的規(guī)章制定，指導利用農(nóng)業(yè)大數(shù)據(jù)對各種與農(nóng)業(yè)有關的事件進行響應、對系統(tǒng)進行災難恢復和保持對農(nóng)業(yè)生產(chǎn)的業(yè)務連續(xù)性等的應急處理，監(jiān)控農(nóng)業(yè)信息系統(tǒng)的安全需求變化，及時修訂安全管理體系的相關策略；設計不同用戶、不同級別的系統(tǒng)安全配置的策略參數(shù)，制定行之有效的訪問權限控制機制；監(jiān)控網(wǎng)絡上的相關設備、網(wǎng)絡端口、物理線路的接入和使用，監(jiān)督整個系統(tǒng)全面的病毒防范工作；監(jiān)控業(yè)務和數(shù)據(jù)的安全，杜絕病毒入侵途徑；為農(nóng)業(yè)數(shù)字化系統(tǒng)的安全平穩(wěn)運行保駕護航。

四、總結

本文首先介紹農(nóng)業(yè)數(shù)字化系統(tǒng)的框架結構，并對每一層的功能進行了描述，討論了農(nóng)業(yè)數(shù)據(jù)獲取、傳輸、處理、分析和應用全過程的安全技術，分析相關的安全威脅，并給出針對威脅需要的安全保障措施。然后，給出了基于農(nóng)業(yè)數(shù)字化系統(tǒng)平臺的安全人員的職責討論。農(nóng)業(yè)數(shù)字化系統(tǒng)建設涉及到農(nóng)業(yè)生產(chǎn)和管理活動的各個環(huán)節(jié)，信息安全要貫穿到整個系統(tǒng)建設的各個步驟，建立可靠安全的農(nóng)業(yè)數(shù)字化平臺，設計有效的安全保障措施來防控農(nóng)業(yè)大數(shù)據(jù)安全風險是非常必要的。