王濤

摘要：隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，物聯(lián)網(wǎng)在工業(yè)領(lǐng)域的應用也曰益廣泛，但物聯(lián)網(wǎng)的安全隱患為其在工業(yè)領(lǐng)域的應用提出了新的挑戰(zhàn)。本文通過建立工業(yè)物聯(lián)網(wǎng)的多層體系架構(gòu)，詳細介紹了整體架構(gòu)的設(shè)計原則和感知層、網(wǎng)絡(luò)層、平臺層、應用層四部分的設(shè)計方案，同時對工業(yè)物聯(lián)網(wǎng)安全防護的相關(guān)技術(shù)進行了初步探討。

關(guān)鍵詞：工業(yè)物聯(lián)網(wǎng);感知層;網(wǎng)絡(luò)層;平臺層;應用層

【中圖分類號】TP309

【文獻標識碼】A

【文章編號】2236-1879（2018）13-0250-01

在物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)深度融合的趨勢下，物聯(lián)網(wǎng)的安全備受關(guān)注，物聯(lián)網(wǎng)安全是首要考慮的問題。物聯(lián)網(wǎng)的多源異構(gòu)性、開放性、泛在性使其面臨巨大的安全威脅。與傳統(tǒng)安全領(lǐng)域威脅不同的是，物聯(lián)網(wǎng)是與實際物體產(chǎn)生關(guān)聯(lián)的，如果物聯(lián)網(wǎng)安全受到威脅，損失的可能不僅僅是信息資料，更有可能影響到人身安全或者生產(chǎn)設(shè)備運行安全。在此，我們提出一種基于四層架構(gòu)的工業(yè)物聯(lián)網(wǎng)安全體系架構(gòu)。

1設(shè)計原則

1.1由于物聯(lián)網(wǎng)終端和網(wǎng)端節(jié)點可能處于無人值守的環(huán)境中，物聯(lián)網(wǎng)終端的本地安全相較于現(xiàn)有通信網(wǎng)絡(luò)終端的安全問題更加巨大，因此需要高度重視物聯(lián)網(wǎng)終端和網(wǎng)端節(jié)點的安全性。

1.2物聯(lián)網(wǎng)具有節(jié)點數(shù)量巨大、終端節(jié)點組群化、低移動性等特點，而且物聯(lián)網(wǎng)終端運行環(huán)境復雜，需要構(gòu)建更加符合物聯(lián)網(wǎng)特性的、穩(wěn)定可靠的體系架構(gòu)。

2安全體系架構(gòu)整體設(shè)計

2.1感知層安全.感知層安全的設(shè)計中需要考慮物聯(lián)網(wǎng)設(shè)備的計算能力、通信能力、存儲能力等限制，不能直接在物理設(shè)備上應用復雜的安全技術(shù)，可采取的防護技術(shù)和措施如下：

2.1.1物理安全：采取防水、防塵、防震、防電磁干擾、防盜竊、防破壞等措施。

2.1.2接入安全：通過易集成的安全應用插件進行終端異常分析和加密通信，實現(xiàn)終端入侵防護，從而防止終端成為跳板，攻擊關(guān)鍵網(wǎng)絡(luò)節(jié)點。

2.1.3硬件安全：確保芯片內(nèi)系統(tǒng)程序、終端參數(shù)、安全數(shù)據(jù)和用戶數(shù)據(jù)不被篡改或非法獲取。將身份識別、認證過程“固化”到硬件中，以硬件來生成、存儲和管理密鑰，并把加密算法、密鑰及其他敏感數(shù)據(jù)存放于安全存儲器中，增強物聯(lián)網(wǎng)終端的硬件安全防護。

2.1.4操作系統(tǒng)安全：使用輕量級安全操作系統(tǒng)，實現(xiàn)操作系統(tǒng)對系統(tǒng)資源調(diào)用的監(jiān)控、保護、提醒，確保系統(tǒng)行為總是在受控的狀態(tài)下，防止出現(xiàn)用戶在不知情情況下執(zhí)行某種程序。

2.1.5應用安全：對要安裝在其上的應用軟件進行來源識別，對已經(jīng)安裝在其上的應用軟件進行敏感行為的控制，確保預置在終端中的應用軟件無未經(jīng)授權(quán)的修改、刪除、竊取用戶數(shù)據(jù)等行為。

2.2網(wǎng)絡(luò)層安全。傳統(tǒng)網(wǎng)絡(luò)層安全機制大部分依然適用于工業(yè)物聯(lián)網(wǎng)，此外還要基于物聯(lián)網(wǎng)網(wǎng)絡(luò)層特征，采取特殊防護機制。主要防護技術(shù)和措施如下：

2.2.1通用網(wǎng)絡(luò)防護：包括網(wǎng)絡(luò)結(jié)構(gòu)安全，合理劃分網(wǎng)絡(luò)安全域，加強安全邊界隔離，避免安全問題的擴散。部署網(wǎng)絡(luò)邊界部署防火墻，制定訪問規(guī)則，訪問控制策略，實現(xiàn)系統(tǒng)內(nèi)外網(wǎng)邊界的訪問控制。

2.2.2網(wǎng)絡(luò)入侵防護：部署入侵監(jiān)測設(shè)備，對網(wǎng)絡(luò)攻擊進行監(jiān)控和報警，具備端口掃描、暴力破解、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲、病毒、木馬、IP重用防護、DDoS等攻擊的監(jiān)控檢測能力。

2.2.3網(wǎng)絡(luò)安全審計：部署統(tǒng)一日志管理系統(tǒng)或安全管理平臺，對網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志審計。

2.2.4接人防護：防火墻/網(wǎng)關(guān)要求能處理百萬并發(fā)連接，支持海量接入的加密能力;實現(xiàn)白名單過濾技術(shù)，包括自定義協(xié)議能力;提供對終端資源消耗攻擊和基于多行業(yè)應用流量攻擊特征的自動防護;網(wǎng)絡(luò)安全產(chǎn)品還需要提供基于物聯(lián)網(wǎng)特征的病毒和高級威脅的防護功能。

2.2.5加密傳輸：工業(yè)物聯(lián)網(wǎng)需要充分利用無線移動通信的物理層傳輸特性，通過認證、加密和安全傳輸?shù)燃夹g(shù)的應用，在保證用戶通信傳輸質(zhì)量的同時，防止未知位置的竊聽和增加中間人攻擊的難度。終端和網(wǎng)絡(luò)基于無線標準進行雙向認證，確保經(jīng)過驗證的合法的終端接入網(wǎng)絡(luò)，在終端和網(wǎng)絡(luò)之間建立安全通道，對終端數(shù)據(jù)提供加密和完整性保護，防止信息泄露、通信內(nèi)容被篡改和竊聽。

2.3平臺層安全。平臺層安全主要保障信息和數(shù)據(jù)在計算和存儲的安全，云平臺必須采取適當?shù)陌踩呗詠肀ＷC工業(yè)物聯(lián)網(wǎng)中數(shù)據(jù)的完整性、保密性和不可抵賴性，此外還要保障接入安全及API安全。

2.3.1平臺基礎(chǔ)環(huán)境安全。保證平臺數(shù)據(jù)計算與運行環(huán)境的安全，特別是基于虛擬化技術(shù)的云計算安全，重點應考慮虛擬化管理程序安全和虛擬服務(wù)器安全，虛擬機管理程序（VMM）安全。對于VMM的安全防護手段主要是VMM的安全部署和安全配置，在VMM部署時采用強口令字進行權(quán)限甄別，做好物理訪問控制和網(wǎng)絡(luò)訪問控制，防止非授權(quán)人員訪問VMM，啟用VMM中的安全選項等。

2.3.2數(shù)據(jù)安全數(shù)據(jù)安全隔離可以根據(jù)應用的需求，采用物理隔離、虛擬化等方案實現(xiàn)不同用戶之間數(shù)據(jù)和配置信息的安全隔離，以保護每個用戶數(shù)據(jù)的安全與隱私，

2.3.3接入安全。對所有接入設(shè)備提供設(shè)備與平臺采用雙向驗證，進行證書授權(quán)認證及權(quán)限管理，確保接入的終端設(shè)備與傳輸?shù)男畔踩煽?。消息傳輸使用加密傳輸，確保鏈路上傳輸消息的安全可靠性和數(shù)據(jù)完整性，保障用戶信息安全。接入設(shè)備使用Wi-Fi連接的情況下，采用安全協(xié)議，如WAP2，禁用不安全協(xié)議，如WPA和TKIP。

2.3.4API安全。加強API調(diào)用的訪問控制，防止未授權(quán)訪問，調(diào)用前進行用戶鑒別和鑒權(quán)，驗證用戶憑據(jù)，對請求做身份認證，并且防止篡改，重放攻擊，對敏感的數(shù)據(jù)做加密，防范數(shù)據(jù)被篡改。做好API過載保護，實現(xiàn)不同服務(wù)等級用戶間業(yè)務(wù)的公平性和系統(tǒng)整體處理能力的最優(yōu)化，并對API的調(diào)用進行日志記錄。

3結(jié)束語

工業(yè)物聯(lián)網(wǎng)作為一種新興的技術(shù)與概念，在制造業(yè)有著極其廣闊的應用和不可比擬的優(yōu)勢。本文針對工業(yè)物聯(lián)網(wǎng)安全問題，以提升物聯(lián)網(wǎng)安全總體防護水平為實施目標，給出一種工業(yè)物聯(lián)網(wǎng)安全體系架構(gòu)，為它的可持續(xù)發(fā)展提供全面的安全解決方案，在工業(yè)物聯(lián)網(wǎng)今后的發(fā)展和應用過程中，需要不斷借鑒、吸收國內(nèi)外先進的技術(shù)理念，使其安全防護措施能夠得到不斷完善。

參考文獻

[1]臧勁松，物聯(lián)網(wǎng)安全性能分析[J].計算機安全，2010（6）：51-52.

[2]李士寧，工業(yè)物聯(lián)網(wǎng)技術(shù)及應用概述[J].電信網(wǎng)技術(shù)，2014（3）：26-31.

[3]宋慧欣.破解“工業(yè)控制系統(tǒng)信息安全”迷局[J].自動化博覽，2012（7）：30-35.