龔捷

【摘要】? ? 對于工業(yè)互聯(lián)網(wǎng)上的企業(yè)用戶而言，雖然需求各不相同，但都是為了有效地管理設(shè)備、規(guī)范管理流程，以實現(xiàn)提質(zhì)增效。今年是《中國制造2025》國家戰(zhàn)略發(fā)布的第6年，當(dāng)前國內(nèi)的工業(yè)互聯(lián)網(wǎng)開始穩(wěn)步發(fā)展并初具雛形。本文對國內(nèi)工業(yè)互聯(lián)網(wǎng)的發(fā)展及安全實現(xiàn)進行了探討。

【關(guān)鍵詞】? ? 工業(yè)互聯(lián)網(wǎng)? ? 安全? ? 工業(yè)4.0

一、工業(yè)互聯(lián)網(wǎng)發(fā)展趨勢

從字面上來理解工業(yè)互聯(lián)網(wǎng)，可以得出這樣的定義：面向工業(yè)、制造業(yè)，實體經(jīng)濟，將人機料法環(huán)等生產(chǎn)要素形成數(shù)字化資產(chǎn)并通過互聯(lián)網(wǎng)平臺連接起來，實現(xiàn)數(shù)據(jù)智能、機器智能、人工智能。

工業(yè)互聯(lián)網(wǎng)不僅包含大型工業(yè)過程控制管理系統(tǒng)、工業(yè)管理網(wǎng)絡(luò)，同時也包含大數(shù)據(jù)、云計算等等新技術(shù)新應(yīng)用。結(jié)合當(dāng)前工業(yè)信息化發(fā)展現(xiàn)狀，不難發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)的發(fā)展有以下兩大趨勢：

1.1 平臺化

不少具備實力的大型制造企業(yè)已經(jīng)開始了積極的嘗試，例如在企業(yè)的集團、生產(chǎn)廠分別部署制造執(zhí)行系統(tǒng)（Manufacturing Execution Systems，MES），通過ISP專線互聯(lián)形成兩層的MES系統(tǒng)結(jié)構(gòu)，生產(chǎn)廠的MES系統(tǒng)對當(dāng)?shù)厣a(chǎn)車間的生產(chǎn)執(zhí)行過程進行管理，同時搜集生產(chǎn)中的數(shù)據(jù)發(fā)送給集團MES系統(tǒng)，實現(xiàn)一定程度的協(xié)同管理;集團MES系統(tǒng)將各生產(chǎn)廠的數(shù)據(jù)集中之后進行分析，以數(shù)據(jù)視圖和數(shù)據(jù)報表的方式向管理層展現(xiàn)。

然而，這里MES系統(tǒng)組成的網(wǎng)絡(luò)沒有與外界相連，并非廣義上的“互聯(lián)網(wǎng)”;集團、生產(chǎn)廠部署的MES系統(tǒng)在建設(shè)過程中重復(fù)投資，建設(shè)成本高;MES系統(tǒng)投入運行后仍需要專門團隊進行維護。

目前大多數(shù)工業(yè)數(shù)據(jù)位于孤立的數(shù)據(jù)庫、不兼容的系統(tǒng)和專有軟件中，數(shù)據(jù)難以產(chǎn)生交換，缺乏互操作性。隨著時間的推移，承載數(shù)據(jù)的載體進入被人遺忘的角落，此時數(shù)據(jù)泄露的風(fēng)險將成倍增加。對工業(yè)數(shù)據(jù)進行安全的交換，既是新時代工業(yè)技術(shù)發(fā)展的趨勢，也是實現(xiàn)工業(yè)安全的重要環(huán)節(jié)。工業(yè)互聯(lián)網(wǎng)是一個實現(xiàn)工業(yè)數(shù)據(jù)交互、分析的理想平臺，借助于當(dāng)前成熟的技術(shù)將能發(fā)揮出巨大的潛力。

1.2 服務(wù)化

在制造企業(yè)當(dāng)中，財務(wù)軟件運行于企業(yè)內(nèi)網(wǎng)服務(wù)器，由具備專業(yè)水平的財務(wù)人員使用;在餐飲企業(yè)當(dāng)中，普遍使用SaaS平臺中的財務(wù)功能模塊，不需要使用者具備專業(yè)能力，普通收銀人員即可使用。兩相對比，我們可以發(fā)現(xiàn)：實現(xiàn)節(jié)能增效不是僅僅使用軟件功能去替代財務(wù)人員這種簡單的一對一替代，也不是把軟件系統(tǒng)放在云上這么簡單，而是伴隨著新流程的產(chǎn)生和角色的重新定義，創(chuàng)造新的生產(chǎn)模式或新的服務(wù)模式?，F(xiàn)在很多餐廳都實現(xiàn)了顧客手機掃描二維碼點餐，這就是新工具創(chuàng)造新服務(wù)模式的例子，它在改變原有流程的同時減少人員需求，相信不久以后那些給服務(wù)員使用點餐軟件和服務(wù)員手寫下單的模式就會被淘汰。類似的例子還有不少，比如：客服、企業(yè)郵箱、茶樓里的包點等等，從買系統(tǒng)買機器回來輔助員工工作逐漸轉(zhuǎn)變?yōu)榘严嚓P(guān)服務(wù)外包出去。

工業(yè)互聯(lián)網(wǎng)的發(fā)展和推動也會遵循這一規(guī)律，在不削弱企業(yè)核心競爭力的前提下，借助互聯(lián)網(wǎng)，將會誕生全新的生產(chǎn)模式或服務(wù)模式，借助新的模式將服務(wù)外包出去，越容易標準化的服務(wù)越容易實現(xiàn)外包。例如傳統(tǒng)的工業(yè)軟件如MES、APS、PDM、QMS將在工業(yè)APP市場中供用戶選購，用戶通過在生產(chǎn)車間中部署探針、代理的形式實現(xiàn)快速部署。這種形式其本質(zhì)是社會分工的細化，產(chǎn)品及服務(wù)，服務(wù)即產(chǎn)品。

二、工業(yè)互聯(lián)網(wǎng)的安全實現(xiàn)

針對工業(yè)互聯(lián)網(wǎng)的發(fā)展趨勢，可以通過實施一系列的安全機制從不同層次、不同維度有效保障工業(yè)互聯(lián)網(wǎng)平臺的安全。

2.1 虛擬安全技術(shù)

工業(yè)互聯(lián)網(wǎng)平臺將不可避免地使用到虛擬化技術(shù)，虛擬安全是落實工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵。平臺運營方必須向用戶提供安全保障和虛擬網(wǎng)絡(luò)隔離，同時可采用蜜罐技術(shù)加以輔助，從而在基礎(chǔ)資源層面保障工業(yè)互聯(lián)網(wǎng)平臺的安全性和可靠性。

2.2 數(shù)據(jù)存儲和傳輸加密

為了實現(xiàn)工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)的機密性和完整性，數(shù)據(jù)傳輸和存儲時都需要采用密碼技術(shù)。例如采用配備國密SSL算法套件的安全認證網(wǎng)關(guān)，并與自建CA或第三方CA、安全瀏覽器配合使用，安全認證網(wǎng)關(guān)推薦采用經(jīng)國家密碼管理核準的密碼產(chǎn)品。數(shù)據(jù)傳輸?shù)焦I(yè)互聯(lián)網(wǎng)平臺之后，可使用分組密碼算法SM4對數(shù)據(jù)加密存儲，并使用密碼雜湊算法SM3生成和驗證消息鑒別碼。需要指出的是，為了實現(xiàn)自主可控、安全可靠，平臺應(yīng)使用國家密碼管理局認可的國產(chǎn)加密算法。

工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)應(yīng)用可采用業(yè)務(wù)數(shù)據(jù)庫和歷史數(shù)據(jù)庫兩級存儲體制。其中最近一段時間內(nèi)生產(chǎn)制造相關(guān)的數(shù)據(jù)存儲在業(yè)務(wù)數(shù)據(jù)庫中，更早時間的數(shù)據(jù)進入歷史數(shù)據(jù)庫?？蓪⒛硞€業(yè)務(wù)在某個時間段的歷史數(shù)據(jù)由業(yè)務(wù)數(shù)據(jù)庫遷移至歷史數(shù)據(jù)庫中，遷移完成之后業(yè)務(wù)數(shù)據(jù)庫對相關(guān)內(nèi)容進行清空以實現(xiàn)“瘦身”;同時，要能夠?qū)v史數(shù)據(jù)庫中的內(nèi)容進行檢索，并能將指定內(nèi)容提取出來經(jīng)過解密和校驗之后導(dǎo)入業(yè)務(wù)數(shù)據(jù)庫中。如此既可以確保業(yè)務(wù)數(shù)據(jù)庫的訪問速度和存儲效率，又能確保平臺數(shù)據(jù)的安全。

2.3 訪問控制

在工業(yè)互聯(lián)網(wǎng)平臺中，應(yīng)對共享資源擬定訪問控制機制，可采用URL訪問控制策略和ABE技術(shù)等。應(yīng)依據(jù)強制訪問控制策略為各個應(yīng)用分配不同的安全等級，根據(jù)不同的等級制定不同層次的安全控制機制，防止越權(quán)訪問。通過防火墻把外網(wǎng)與工業(yè)應(yīng)用系統(tǒng)服務(wù)器隔離開來，只開放工業(yè)應(yīng)用需要的幾個業(yè)務(wù)端口，任何客戶端在請求工業(yè)應(yīng)用服務(wù)之前必須出示登錄用戶的授權(quán)憑據(jù)給服務(wù)器模塊，授權(quán)憑據(jù)通過PKI來管理。

在平臺中部署訪問控制信息完整性保護系統(tǒng)，搜集平臺網(wǎng)絡(luò)邊界的訪問控制信息，調(diào)用服務(wù)器密碼機使用SM3算法對訪問控制信息進行完整性計算，并將計算的值導(dǎo)入完整性保護系統(tǒng)，實現(xiàn)對邊界訪問控制信息的完整性保護。

2.4 認證服務(wù)

為了實現(xiàn)工業(yè)互聯(lián)網(wǎng)平臺的真實性，在平臺中可部署智能密碼鑰匙、動態(tài)令牌卡等密碼產(chǎn)品，并配置用戶在遠程登錄設(shè)備時使用國產(chǎn)密碼算法作為傳輸協(xié)議。結(jié)合用戶口令、生物特征等技術(shù)對用戶遠程登錄進行身份鑒別，防止非法訪問和中間人攻擊。用戶可通過https登錄工業(yè)互聯(lián)網(wǎng)平臺管理虛擬資源，用戶與工業(yè)互聯(lián)網(wǎng)平臺基于證書進行雙向的身份鑒別。應(yīng)對用戶設(shè)置鎖定機制，當(dāng)用戶連續(xù)嘗試認證失敗次數(shù)累計達到上限時，則鎖定其帳號。

2.5 用戶權(quán)限

平臺中的用戶權(quán)限應(yīng)遵循最小權(quán)限的原則。應(yīng)設(shè)置系統(tǒng)管理員、安全管理員、審計管理員等角色，對關(guān)鍵角色建立多人共管機制。系統(tǒng)管理員、安全管理員、審計管理員之間互相制約互相監(jiān)督，其中安全管理員不可與系統(tǒng)管理員、審計管理員等關(guān)鍵角色由同一人擔(dān)任，相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號不得多人共用。由系統(tǒng)管理員根據(jù)業(yè)務(wù)需求為平臺用戶劃分不同的角色，安全管理員授予不同角色能夠訪問的平臺資源，用戶在平臺中的權(quán)限得以明確。

2.6 安全審計

工業(yè)互聯(lián)網(wǎng)應(yīng)提供集中的安全審計措施，審計管理員可通過該項措施對云平臺中各類事件進行集中審計。鑒于云平臺日志信息量非常龐大，安全審計措施應(yīng)實現(xiàn)相當(dāng)程度的自動化，能夠自動對日志信息進行分析和挖掘，提煉出平臺中的安全事件并及時向關(guān)鍵用戶預(yù)警，支持按時間、IP地址、操作類型等字段對日志信息進行查詢，支持對安全事件的追溯。

2.7 安全管理

安全管理主要是為了保障不發(fā)生由于硬件故障和人為因素而導(dǎo)致服務(wù)的不可用。通過使用冗余的網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備以及軟件架構(gòu)，使用雙路或者三路電力供應(yīng)，使用多個電信運營商的互聯(lián)網(wǎng)線路，建設(shè)“兩地三中心”或者“雙活”數(shù)據(jù)中心機房，可以在某個數(shù)據(jù)中心遇到自然災(zāi)害時及時切換到其他可用的數(shù)據(jù)中心，杜絕單點故障的發(fā)生，保障業(yè)務(wù)穩(wěn)定正常運行。應(yīng)由系統(tǒng)管理員、安全管理員或?qū)徲嫻芾韱T等關(guān)鍵用戶對工業(yè)互聯(lián)網(wǎng)運行狀況進行7*24小時監(jiān)控，做到硬件、軟件系統(tǒng)的及時更新。對平臺的管理、維護人員定期進行資格審查和網(wǎng)絡(luò)安全意識培訓(xùn)。

2.8 安全服務(wù)

在使用工業(yè)互聯(lián)網(wǎng)平臺時，用戶可能仍然面臨一些安全問題，如應(yīng)用層網(wǎng)絡(luò)攻擊、0day攻擊、分布式拒絕服務(wù)（ddos）攻擊等，此時采用傳統(tǒng)的安全硬件已無法進行有效防護。在工業(yè)互聯(lián)網(wǎng)平臺中，產(chǎn)品與服務(wù)的界限已經(jīng)模糊，平臺運營方、第三方服務(wù)提供商將以云計算服務(wù)的方式在云端為工業(yè)企業(yè)提供各種安全解決方案，包括安全態(tài)勢感知、DDos防護、滲透測試等。

網(wǎng)絡(luò)安全此時轉(zhuǎn)變成一種商業(yè)服務(wù)，可以被整個工業(yè)互聯(lián)網(wǎng)的企業(yè)按需采購。網(wǎng)絡(luò)安全企業(yè)也不再需要維持一個龐大的工業(yè)網(wǎng)絡(luò)安全技術(shù)人員團隊，可通過構(gòu)建安全信息管理服務(wù)平臺，在工業(yè)互聯(lián)網(wǎng)中布置安全響應(yīng)感知服務(wù)探針，就能發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)中的安全問題，并與專業(yè)的安全信息服務(wù)團隊或安全管理專家對接，由安全服務(wù)專家根據(jù)所有方約定的網(wǎng)絡(luò)安全事件處理級別，向用戶提供安全響應(yīng)感知服務(wù)，服務(wù)內(nèi)容主要包括：網(wǎng)絡(luò)安全能力評估、滲透能力測試、取證信息溯源、備份恢復(fù)等。

三、結(jié)束語

無論是過去、現(xiàn)在還是將來，產(chǎn)業(yè)競爭都將依賴于科技創(chuàng)新、數(shù)字創(chuàng)新。工業(yè)互聯(lián)網(wǎng)將是一個網(wǎng)絡(luò)制造生態(tài)系統(tǒng)，它以互聯(lián)網(wǎng)、云平臺、移動互聯(lián)等新技術(shù)新應(yīng)用促進工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型，優(yōu)化生產(chǎn)工藝和資源利用，為企業(yè)提供全面的感知、應(yīng)用、資源和智慧分析，是實現(xiàn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)。

目前，全球工業(yè)互聯(lián)網(wǎng)發(fā)展處于起步階段，我國與世界其他發(fā)達國家位于同一起跑線。同時，作為引領(lǐng)下一次工業(yè)革命的制造業(yè)大國，我國工業(yè)門類齊全，具有良好的制造業(yè)基礎(chǔ)。若能抓住機遇，在確保自主可控的前提下大力發(fā)展工業(yè)互聯(lián)網(wǎng)，并積極參與到國際工業(yè)互聯(lián)網(wǎng)的標準制定當(dāng)中，將有力促進我國制造業(yè)轉(zhuǎn)型升級，實現(xiàn)從制造大國向制造強國的飛躍。