李春俠 姜文婷

摘要：我國(guó)工業(yè)互聯(lián)網(wǎng)的發(fā)展如火似荼，相關(guān)部門(mén)制定了多項(xiàng)政策以及行動(dòng)計(jì)劃。在該背景下，工業(yè)環(huán)境遭受著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，故制造業(yè)、能源企業(yè)、公共事業(yè)等越來(lái)越重視互聯(lián)網(wǎng)安全體系建設(shè)，且加大了資金投入力度。文章對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全問(wèn)題進(jìn)行了研究。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng)平臺(tái)安全;評(píng)估標(biāo)準(zhǔn)及框架;安全建設(shè)

中圖法分類號(hào)：TP393? 文獻(xiàn)標(biāo)識(shí)碼：A

Research on security issues of industrial Internet platform

LI Chunxia？ JIANG Wenting

（HRG Smart Factory Co.，Ltd.，Harbin 150000，China）

Abstract：The development of my countrys industrial Internet is in full swing， and a number of policies and action plans have been formulated. In this context， the industrial environment is facing severe cybersecurity challenges. Therefore， manufacturing， energy companies， and public utilities have paid more and more attention to the construction of Internet security systems and increased capital investment. Thie paper studies the security issues of industrial Internet platform.

Key words： industrial Internet platform security， evaluation criteria and framework， safety construction

縱觀全球工業(yè)互聯(lián)網(wǎng)平臺(tái)安全態(tài)勢(shì)，以美國(guó)為主的發(fā)達(dá)國(guó)家從工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、云平臺(tái)、大數(shù)據(jù)等不同角度推動(dòng)工業(yè)互聯(lián)網(wǎng)平臺(tái)的發(fā)展。即便如此，還是發(fā)生了嚴(yán)重的網(wǎng)絡(luò)攻擊事件，因此我國(guó)更應(yīng)該將關(guān)注點(diǎn)放在工業(yè)互聯(lián)網(wǎng)安全保障方面—頒布對(duì)應(yīng)法規(guī)、條例，制定安全標(biāo)準(zhǔn)，務(wù)必按照規(guī)定落實(shí)各項(xiàng)工作，為工業(yè)互聯(lián)網(wǎng)平臺(tái)建設(shè)提供保障[1]。

1現(xiàn)狀

因新型IT技術(shù)和傳統(tǒng)工業(yè)OT技術(shù)的進(jìn)一步融合，工業(yè)系統(tǒng)更加開(kāi)放、互聯(lián)程度更高，并且讓工業(yè)制造所面臨的安全風(fēng)險(xiǎn)更大，安全生產(chǎn)面臨相當(dāng)嚴(yán)峻的挑戰(zhàn)。在這種背景下，國(guó)內(nèi)外均對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全發(fā)展引起高度重視，并制定了相應(yīng)的保障措施。其中，美國(guó)非常注重工業(yè)互聯(lián)網(wǎng)平臺(tái)相關(guān)的物聯(lián)網(wǎng)、大數(shù)據(jù)、工業(yè)控制系統(tǒng)的安全保障工作，相關(guān)聯(lián)盟、組織專門(mén)針對(duì)工業(yè)互聯(lián)網(wǎng)安全發(fā)聲—相關(guān)部門(mén)應(yīng)制定政策、法規(guī)，保障工業(yè)互聯(lián)網(wǎng)平臺(tái)安全[2]。德國(guó)基于國(guó)家層面，全面實(shí)施“工業(yè)4.0”戰(zhàn)略，并發(fā)布了《工業(yè)4.0戰(zhàn)略計(jì)劃實(shí)施框架》等文件，對(duì)保障智能制造安全具有重要意義，且從數(shù)據(jù)信息保護(hù)、完善安全保障架構(gòu)以及組織工作人員進(jìn)行安全技能知識(shí)培訓(xùn)等著手，重點(diǎn)針對(duì)“工業(yè)4.0安全保障”制定了相關(guān)措施[3]。

我國(guó)對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)的建設(shè)以及安全保障工作的開(kāi)展同樣重視，自《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》正式頒布以來(lái)，專門(mén)針對(duì)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)問(wèn)題作出指示，以全方位落實(shí)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全標(biāo)準(zhǔn)化建設(shè)工作。《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全要求及評(píng)估規(guī)范》進(jìn)一步指出了各層次安全管理以及技術(shù)防護(hù)要求[4]。

2評(píng)估標(biāo)準(zhǔn)及框架

工業(yè)互聯(lián)網(wǎng)平臺(tái)安全評(píng)估主要是指對(duì)邊緣層、工業(yè)IaaS層、工業(yè)PaaS層、工業(yè)SaaS層等進(jìn)行綜合評(píng)判，并依據(jù)相關(guān)標(biāo)準(zhǔn)對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)服務(wù)商是否達(dá)到一般安全能力或增強(qiáng)安全能力進(jìn)行評(píng)估，評(píng)估框架如圖1所示。評(píng)估依據(jù)主要為《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全評(píng)估報(bào)告規(guī)范》和與委托方簽定的業(yè)務(wù)約定書(shū)。

邊緣層安全即工業(yè)互聯(lián)網(wǎng)平臺(tái)和工業(yè)企業(yè)接入環(huán)節(jié)中協(xié)議轉(zhuǎn)換、數(shù)據(jù)采集的安全，主要包括邊界防護(hù)、訪問(wèn)控制、入侵防范等;工業(yè)IaaS層安全即工業(yè)互聯(lián)網(wǎng)平臺(tái)云基礎(chǔ)相關(guān)設(shè)施的安全，以虛擬技術(shù)處理、存儲(chǔ)網(wǎng)絡(luò)提供的基本計(jì)算資源，用戶可完成軟件（操作系統(tǒng)和應(yīng)用程序）部署與運(yùn)行;工業(yè)PaaS層安全主要包括微接口服務(wù)安全、容器安全、信息保護(hù)、惡意代碼防范、身份鑒別等[5];工業(yè)SaaS層安全主要包括資源管理、訪問(wèn)控制、安全審計(jì)等。

3建議

針對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)上嚴(yán)峻的安全問(wèn)題，應(yīng)基于平臺(tái)安全防護(hù)技術(shù)體系、安全管理體系展開(kāi)分析，且采取針對(duì)性措施。

（1）建構(gòu)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全管理體系，完善相關(guān)政策、制度。相關(guān)部門(mén)須根據(jù)實(shí)際情況編寫(xiě)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)指南、安全工作指導(dǎo)性意見(jiàn)等，對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全主體責(zé)任以及安全防護(hù)要求予以明確，為開(kāi)展平臺(tái)安全維護(hù)工作提供法規(guī)支持[6]。同時(shí)，應(yīng)制定工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系，發(fā)布工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)指南，把工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)、管理、測(cè)試、評(píng)估等標(biāo)準(zhǔn)立項(xiàng)和研究提上日程，保證操作流程規(guī)范化。此外，應(yīng)重點(diǎn)針對(duì)工業(yè)IaaS層、APP、工業(yè)PaaS層等制定安全保障技術(shù)測(cè)試規(guī)范，由專門(mén)人員進(jìn)行示范、講解，保證相關(guān)規(guī)范落地。

（2）提高安全技術(shù)防護(hù)能力。在充分認(rèn)識(shí)安全防護(hù)保障措施的重要性的基礎(chǔ)上，全方位提升安全技術(shù)防護(hù)能力，增強(qiáng)設(shè)備以及系統(tǒng)安全接入能力，提高運(yùn)行安全態(tài)勢(shì)感知能力，配備完善的安全運(yùn)行監(jiān)測(cè)設(shè)備，且將其合理布置于平臺(tái)內(nèi)部、網(wǎng)絡(luò)出入口等，全面掌控平臺(tái)側(cè)安全態(tài)勢(shì)，使得安全防護(hù)能力與水平不斷提升。并且，應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)設(shè)備、架構(gòu)、安全風(fēng)險(xiǎn)種類等展開(kāi)分析，因工業(yè)互聯(lián)網(wǎng)平臺(tái)用戶種類相當(dāng)多，數(shù)量龐大，所以安全保障難度增加，有必要結(jié)合工業(yè)互聯(lián)網(wǎng)平臺(tái)以及工業(yè)企業(yè)風(fēng)險(xiǎn)彼此滲透、數(shù)據(jù)篡改、信息泄露等可能出現(xiàn)的安全風(fēng)險(xiǎn)，提出對(duì)應(yīng)的防護(hù)要求。此外，定期組織網(wǎng)絡(luò)管理員展開(kāi)網(wǎng)絡(luò)安全知識(shí)培訓(xùn)、學(xué)習(xí)，使其掌握更加專業(yè)、新穎的網(wǎng)絡(luò)安全保障知識(shí)，不斷提高網(wǎng)絡(luò)安全防護(hù)技能，并能在遇到網(wǎng)絡(luò)攻擊時(shí)合理應(yīng)用相關(guān)技能。同時(shí)，應(yīng)加強(qiáng)其職業(yè)道德素養(yǎng)培育，宣傳、講解法律知識(shí)，不斷提高其法律意識(shí)，從思想上認(rèn)識(shí)到做好網(wǎng)絡(luò)安全保障的重要性，并能夠在崗位上踏實(shí)干好本職工作。對(duì)于需要在網(wǎng)絡(luò)上進(jìn)行本地或遠(yuǎn)程操作的各項(xiàng)事務(wù)，均應(yīng)再三確認(rèn)對(duì)應(yīng)的服務(wù)器是否完整記錄，將網(wǎng)絡(luò)安全維護(hù)工作提上日程[7]。明確“擁有網(wǎng)絡(luò)設(shè)備操作權(quán)限”“擁有設(shè)備登錄權(quán)限”，并可追蹤、調(diào)查登陸者使用計(jì)算機(jī)的操作行為，即可有效保障網(wǎng)絡(luò)設(shè)備安全。

（3）嚴(yán)限網(wǎng)絡(luò)設(shè)備訪問(wèn)并將無(wú)關(guān)服務(wù)關(guān)閉。工業(yè)互聯(lián)網(wǎng)平臺(tái)的網(wǎng)絡(luò)設(shè)備在運(yùn)行期間，應(yīng)重點(diǎn)針對(duì)常用的設(shè)備（如主機(jī)等）予以權(quán)限限制，在ACL應(yīng)用下要求不可進(jìn)行Ping相關(guān)接口使用，并根據(jù)業(yè)務(wù)開(kāi)展的具體情況，關(guān)閉無(wú)關(guān)服務(wù)，包括BOOTP，ICMP，DNS，F(xiàn)inger，HITP，ARP-Proxy，WINS等風(fēng)險(xiǎn)高同時(shí)與日常工作無(wú)關(guān)聯(lián)服務(wù)項(xiàng)目以及在當(dāng)前時(shí)間段內(nèi)用不上的接口?；ヂ?lián)網(wǎng)平臺(tái)具有極強(qiáng)的復(fù)雜性，其在具體運(yùn)行期間應(yīng)使安全性得到保障，采取有效合理的網(wǎng)絡(luò)設(shè)備安全技術(shù)或方法來(lái)讓安全性得到保障。

（4）端到端加密且做到精細(xì)化授權(quán)的數(shù)據(jù)防護(hù)。工業(yè)生產(chǎn)期間會(huì)有大量工業(yè)數(shù)據(jù)出現(xiàn)，如開(kāi)發(fā)測(cè)試、控制信息、研發(fā)設(shè)計(jì)、工藝參數(shù)、系統(tǒng)設(shè)備資產(chǎn)信息等，平臺(tái)不同應(yīng)用間包含大量數(shù)據(jù)共享以及協(xié)同處理需求，SD-NaaS平臺(tái)提供了更加可行、有效的端到端數(shù)據(jù)安全保護(hù)法，經(jīng)信任監(jiān)測(cè)對(duì)安全等級(jí)展開(kāi)全方位評(píng)估，構(gòu)建安全加密隧道，提升數(shù)據(jù)的安全性。并且，針對(duì)成本自動(dòng)核算系統(tǒng)、生產(chǎn)質(zhì)量控制系統(tǒng)等不同工業(yè)系統(tǒng)彼此間API交互以及數(shù)據(jù)庫(kù)調(diào)用等行為，SD-NaaS平臺(tái)真正做到了細(xì)顆粒度的操作權(quán)限控制，完成了一切“增刪改查”等流程的行為審計(jì)。

（5）設(shè)置最小權(quán)限且動(dòng)態(tài)授權(quán)的工業(yè)安全控制。面對(duì)工業(yè)互聯(lián)網(wǎng)背景下工控網(wǎng)絡(luò)可能出現(xiàn)的安全隱患，SD-NaaS零信任網(wǎng)絡(luò)平臺(tái)制定了全新的控制權(quán)限分配機(jī)制，遵循最小化權(quán)限、動(dòng)態(tài)授權(quán)理念，控制權(quán)限的評(píng)估也不局限單一的靜態(tài)規(guī)則（靜態(tài)權(quán)限策略、IP黑白名單等），主要針對(duì)工程師、工控管理員、操作員等不同身份與信任等級(jí)，控制服務(wù)器、測(cè)量?jī)x表等各終端安全策略，各個(gè)工控指令權(quán)限，依照大數(shù)據(jù)安全分析展開(kāi)動(dòng)態(tài)授權(quán)與評(píng)估，確保工業(yè)邊界最小授權(quán)得以實(shí)現(xiàn)，讓訪問(wèn)控制過(guò)程更加精準(zhǔn)化，讓工業(yè)控制網(wǎng)路基的安全性得以提高，以免遭受未知漏洞的影響，并且能夠預(yù)防人為失誤誘發(fā)的嚴(yán)重危害。

（6）經(jīng)應(yīng)用隱藏與代理訪問(wèn)的應(yīng)用防護(hù)。SD-NaaS平臺(tái)能夠經(jīng)SDP安全網(wǎng)關(guān)以及MSG微分段技術(shù)來(lái)確保工業(yè)互聯(lián)網(wǎng)平臺(tái)應(yīng)用隱身以及安全訪問(wèn)代理得以實(shí)現(xiàn)，對(duì)平臺(tái)網(wǎng)絡(luò)邊界與暴露面展開(kāi)合理管理，且從采購(gòu)、工程師、供應(yīng)鏈、操作員等多元身份展開(kāi)最細(xì)顆粒度的動(dòng)態(tài)授權(quán)（包括進(jìn)銷存管理、生產(chǎn)數(shù)據(jù)等），不放過(guò)任何一個(gè)訪問(wèn)行為，打造全天候應(yīng)用安全防護(hù)體系。

4結(jié)束語(yǔ)

工業(yè)互聯(lián)網(wǎng)把傳統(tǒng)制造業(yè)和信息技術(shù)充分結(jié)合，做到人、物、機(jī)的融合互聯(lián)，打造全新生產(chǎn)制造以及服務(wù)體系，5G在新基建中發(fā)揮了領(lǐng)頭羊作用，使得工業(yè)互聯(lián)網(wǎng)、產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)揮出了更大的作用，對(duì)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)有利。對(duì)工業(yè)互聯(lián)網(wǎng)進(jìn)行投資以及建設(shè)可讓我國(guó)智能制造步伐加快，確保生產(chǎn)力得到解放，確保經(jīng)濟(jì)發(fā)展獲得新動(dòng)能。

工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全建設(shè)不但能確保工業(yè)互聯(lián)網(wǎng)平臺(tái)得到良好發(fā)展，并且對(duì)整個(gè)工業(yè)互聯(lián)網(wǎng)行業(yè)的全面發(fā)展有利?；趪?guó)家層面，要使我國(guó)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保障能力不斷增強(qiáng)，還應(yīng)明確平臺(tái)處于不同安全層級(jí)可能面臨的安全風(fēng)險(xiǎn)，并構(gòu)建安全管理體系，從而提高安全防護(hù)能力。只有制定合理的安全防護(hù)措施，才能不斷提高工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全防護(hù)能力以及水平。同時(shí)，相關(guān)部門(mén)要盡快制定合適的標(biāo)準(zhǔn)，以為工業(yè)互聯(lián)網(wǎng)平臺(tái)服務(wù)。

參考文獻(xiàn)：

[1]何小龍，李君，周勇，等.工業(yè)互聯(lián)網(wǎng)平臺(tái)應(yīng)用現(xiàn)狀及發(fā)展對(duì)策[J].科技管理研究，2021，41（10）：132-137.

[2]趙越.工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)體系分析與研究[J].長(zhǎng)江信息通信，2021，34（6）：132-134.

[3]朱光亮.工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)體系研究[J].無(wú)線互聯(lián)科技，2021，18（19）：12-13.

[4]王沖華，李俊，陳雪鴻.工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2019（9）：6-10.

[5]宋新遠(yuǎn).基于5G技術(shù)的工業(yè)互聯(lián)網(wǎng)平臺(tái)安全性問(wèn)題分析[J].江蘇通信，2021，37（4）：117-118.

[6]何小龍，柳彩云，李俊，等.《密碼法》背景下工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)保護(hù)研究[J].中國(guó)信息安全，2020（4）：75-77.

[7]樊佩茹，王沖華.數(shù)據(jù)安全視角下工業(yè)互聯(lián)網(wǎng)平臺(tái)的攻擊與防護(hù)[J].網(wǎng)絡(luò)空間安全，2020，11（2）：75-80.

作者簡(jiǎn)介：

李春俠（1975—），本科，中職會(huì)計(jì)師，研究方向：企業(yè)管理及科研管理。