工業(yè)互聯網的安全研究與實踐

摘要：當前社會已經進入網絡信息時代，互聯網使用范圍不斷擴展，工業(yè)互聯網應用體系設計和應用對于工業(yè)發(fā)展意義重大，應注重其安全性提升，在保證功能正常發(fā)揮的基礎之上，盡量降低其安全風險，實現高效性、優(yōu)質性、安全性的應用目標。本文在研究中，分析工業(yè)互聯網安全風險，探究工業(yè)互聯網的安全技術，并以改進ECC和AES技術為例進行詳細介紹，為工業(yè)互聯網的安全管理提供有益借鑒。

關鍵詞：工業(yè)互聯網;安全管理;改進ECC和AES技術

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）10-0034-02

工業(yè)互聯網在應用過程中存在安全風險，在一定程度上影響其使用效果，損害使用方法及相關方利益，不利于工業(yè)互聯網的應用拓展，因此，應在有關方面加強研究投入，增強其安全性[1]。在這一過程中，應注重技術創(chuàng)新，體現工業(yè)互聯網安全管理的優(yōu)質高效。

1 工業(yè)互聯網安全風險

（1） 智能設備安全問題

傳統工業(yè)生產，機械設備屬于關鍵所在，與外部網絡體系之間聯系較小，所以，在網絡攻擊防范方面能力薄弱。而當前的工業(yè)互聯網在高度智能化、軟件應用等方面特征明顯，具有較強的感知、決策和控制能力，致使其受到攻擊的風險加大[2]。工信部統計數據顯示，我國工業(yè)互聯網在木馬病毒感染和擴散方面，呈現指數級別的快速增長趨勢，軟件密碼和程序被私自盜改的風險不斷提升。例如，2010的“震網”病毒侵入工業(yè)互聯網，篡改PLC程序代碼，摧毀了伊朗濃縮鈾工廠五分之一的離心機。

（2） 網絡安全風險問題

工業(yè)互聯網使用TCP/IP等協議，具有公開和透明的特點，容易遭受網絡黑客和犯罪分子的攻擊，加之其在有關方面的攻擊手段日漸成熟，從而加大問題發(fā)生概率[3]。除此以外，為了增強工業(yè)互聯網的服務能力，其內部網絡與外部網絡之間已經建立連接關系，在一定程度上增加了網絡拓撲架構的復雜性和變化性，原有的網絡安全區(qū)域劃分方法和防護策略已經難以滿足需求，急需改進和提升。與此同時，工業(yè)互聯網對無線通信技術方面的應用不斷增加，為了實現信息的實時傳輸，需要安全技術具有較強的兼容性和適應性，否則容易受到外部非法入侵，因此，當前有關方面技術急需改進。

（3） 控制方面安全問題

傳統工業(yè)必須對控制過程的功能安全提高關注度，具體控制軟件注重信息技術和運營技術的隔離，并保證其具有可行性。但在工業(yè)互聯網控制系統之中，在可靠性和實時性方面要求較高，而一些與之相關的認證、授權、加密等安全調整信息和功能建設滯后，導致網絡攻擊風險由工廠外部進入內部網絡，增加了控制安全風險[4]。

（4） 數據安全風險問題

伴隨發(fā)展所需，工業(yè)互聯網業(yè)務結構復雜性不斷提升，對數據的依賴性不斷增加，且有關方面的要求不斷提升，在一定程度上增加了數據信息的采集、存儲、使用等風險。經過總結，在數據方面存在種類多、數量大、數據流方向和路徑復雜的特點。同時，還會涉及數據個性化定制、產品服務延伸等問題，從而對大量用戶隱私數據需求量不斷增加，導致客戶隱私數據保護難度增加。

（5） 應用安全問題

工業(yè)互聯網已經呈商業(yè)化運營態(tài)勢，其在運營模式、業(yè)態(tài)等方面不斷創(chuàng)新，在一定程度上增加了工業(yè)應用種類和程序的復雜性，致使其面臨木馬病毒感染、網絡攻擊等方面的威脅不斷增加。在這一趨勢下，安全管理方面的需求不斷提高。因此，在安全防范能力方面提出較高要求，需要加強安全管理投入。

2 工業(yè)互聯網的安全技術

根據上述互聯網安全問題，進行技術研究與創(chuàng)新，提升工業(yè)互聯網安全防護能力，具體技術如下所示。

（1） 設備安全管理技術

在實踐過程中，根據邊緣層接入的各類工業(yè)互聯網設備，在對其進行安全防護時，可以加固操作系統，并制定相應安全策略，加強對設備訪問，對每種設備身份詳細了解，加強認證，提高安全管理能力。在有關方面，設備選擇應以“最小安裝”為原則，只需安裝必要的組件以及驅動程序，對于與之不相關的系統服務、默認共享、端口等，執(zhí)行關閉即可。與此同時，在這一過程中使用的計算機等關鍵設備，采取獨立的安全芯片、密鑰分配、加密技術、入侵檢測等。尤其是在運維用戶身份標識方面，應體現復雜性和唯一性，按期對其更新，不同身份所分配的賬戶和權限也要體現差異性。

（2） 網絡安全管理技術

在工業(yè)互聯網網絡安全管理方面，可以通過區(qū)域劃分、邊界隔離、鏈路防護等實現，具體技術應用如下所示。

其一，合理進行區(qū)域劃分。工業(yè)互聯網在組網方面具有靈活性的特點，可以按照實際需求和功能設置，將網絡結構劃分為設備層、控制層、管理層。以西門子為例，設備層總線為AS-i，與各類傳感器和執(zhí)行器相連接，并與控制層中的職能設備之間實現數據交流。PROFIBUS屬于控制層總線，能夠對設備運行進行實時監(jiān)控。PROFINET屬于管理層總線，可以管理并分析來自控制層的生產數據;其二，邊界隔離設置。在工業(yè)互聯網結構每個層次之間設置隔離手段，并在管理層通向互聯網的出口位置建立防火墻，不符合相關規(guī)則的網絡數據不允許進入互聯網。在這一環(huán)節(jié)，管理層只負責來自控制層的數據處理，具有實時性特點，在管理層與控制層之間設置單向數據傳輸裝置，只有從控制層流向管理層的數據才可通過，降低從管理層向控制層攻擊網絡的可能性;其三，鏈路防護策略。為了加強網絡安全防護，可以設置虛擬專用網絡（Virtual Private Network，VPN） 等安全傳輸渠道，加強數據鏈路安全防護能力。在具體操作時，對于控制層與管理層、管理層設備之間的數據鏈路，可以通過加密增強安全防護能力。也可以在這一環(huán)節(jié)設置遠程接入服務器，通過VPN通道接入網絡。

（3） 網絡控制安全技術3C3856F5-4A1B-4580-992C-7E936364FE17

在工業(yè)互聯網安全控制技術方面，應設置相應的控制系統。在控制系統構成方面，需要對身份鑒別、訪問控制、客體重用、隱蔽信道分析、可信路徑等加強對操作行為的控制。在這一過程中，需要通過安全審計技術對所有數據流量進行全面分析和檢測，對于難以確定是否正常的操作行為，定位為存在異常行為風險的行為，進行預警。對于確定異常行為或攻擊行為，將會分析其IP、域名等信息，得出攻擊者訪問數據，實施溯源分析。在系統中，通信內容簡單，只需一個完整的審計技術流程便可完成各類通信行為的檢查。在系統中，通信協議多為明文模式，白名單規(guī)則匹配技術屬于主流技術。

（4） 應用安全管理技術

工業(yè)互聯網應用安全管理過程中，主要包括互聯網平臺和程序的訪問控制、攻擊防范。在平臺的每一層，采取訪問控制授權、安全防護等措施。具體的技術主要包括硬件加固、安全審計、數據保護、網絡隔離、訪問管控、身份檢驗、風險追蹤、行為管控等技術。在實踐過程中，主要包括SaaS層、PaaS層、laaS層。以PaaS層為例，可以保證平臺軟件包安全，可以使用代碼安全評估技術，在平臺應用上線之前，實施代碼安全評估，及時發(fā)現并解決問題。

（5） 數據安全管理技術

在數據安全管理方面，工業(yè)互聯網平臺能夠提供數據脫敏和去標識化的工具及服務組件技術。針對相應的數據，在功能方面，應具有本地數據備份、恢復、銷毀等功能。與此同時，還要給予用戶在密碼算法、強度、方式參數設計等方面的選擇機會，可以實施磁盤保護和數據碎片化存儲，防止數據被偷盜和丟失。在數據加密方面，設置保密性保護機制，其與密碼技術相匹配，在其支持下運行。對于相關方面的運營商，如果未經授權訪問，則不允許使用用戶個人信息，且一些重要的工業(yè)數據信息不允許存儲在境外，杜絕跨境維護的實施。除此以外，本文認為，有關方面應設置針對性的法律體系，通過法律法規(guī)的完善和實施，強化約束力，盡量降低數據安全方面的風險。

3 工業(yè)互聯網安全技術應用實踐

通過上述研究可知，工業(yè)互聯網安全技術對于數據安全管理方面較為重視，且對數據信息的依賴性較大。為了加強互聯網安全管理效果，本文以邊緣數據保護技術為例，進行詳細說明。常用的邊緣數據保護技術主要為對稱密碼技術（DES/3DES/AES） 、非對稱密碼技術（RSA/ECC） 、哈希函數（MD5/SHA-1/SHA-256/SM3） 、混合加密技術（AES+RSA/AES+ECC） 。本文選擇改進ECC和AES算法的緩和加密算法，強化數據加密安全保護效果。

（1） 改進ECC和AES技術介紹

在具體實施時，對于改進ECC技術，主要通過改進算法實現數字簽名。在工業(yè)互聯網中，邊緣端的網絡資源有限，應加強安全管理。在改進ECC算法時，可以基于去除模擬操作、雙密鑰數字簽名等設置雙私鑰和雙基點的改進方案，在簽名和驗證環(huán)節(jié)，加入隨機數并去除模擬操作，完成改進。具體的改進過程如圖1所示。使用公鑰體制進行密鑰的管理和生成，提升方案安全性和有效性。AES算法，則主要對配置文件數據和簽名實施加密。為了適應數據量龐大、實時性要求較高的需求，使用AES算法對原始數據和消息摘要實施加密，實現快速加密。

（2） 混合加密技術設計

基于改進ECC和AEC的混合加密技術，具體實施步驟如下：第一步，通過SHA-1哈希算法形成消息摘要H，通過改進的ECC數字簽名算法進行數據加密，生成數字簽名s1和s2，、驗證值x;第二步，進行明文M、數字簽名s1和s2以及x拼接在一起，通過AES算法對其加密，生成密文C;第三步，使用ECC算法對密鑰kB進行加密處理，產生密鑰密文kBe，并將密文C和kBe輸送至接收端;第四步，ECC私鑰對接收到的密文kBe進行解密，得到與之對應的密鑰kB，通過AES算法解密密文C，獲取明文M、簽名s1和s2以及x;第五步，對于明文M驗證，具體工具為SHA-1。而在驗證簽名方面，則通過改進ECC實現，只有驗證成功后，明文M才可使用。

（3） 效果驗證

根據上述的方法，得出數字簽名時間對比分結果如表1所示。在安全等級相同的情況下，ECC密鑰長度最短、加密速度快、便于存儲。除此以外，改進后的ECC算法安全性建立在ECDLP難解性之上，且對于ECC離散對數的最佳算法為Pollard-ρ因子分解算法，用于離散對數的攻擊不可用于ECDLP，從而增加全性。尤其是改進后的混合加密技術時間更短，更具有合理性和安全性。

4 結束語

綜上所述，工業(yè)互聯網正處于快速發(fā)展階段，為了保證其運行安全，應加強相關方面技術使用和策略創(chuàng)新，降低安全風險，為工業(yè)發(fā)展提供有力支持。在這一過程中，應加強設備安全管理、網絡安全管理、網絡控制安全管理、應用安全管理、數據安全管理，強化全管理效果和能力。

參考文獻：

[1] 閆寒，李端.工業(yè)互聯網安全風險分析及對策研究[J].網絡空間安全，2020，11（2）：81-87.

[2] 褚健.工業(yè)互聯網時代工廠安全生產的思考與實踐[J].科技導報，2019，37（12）：92-96.

[3] 王秋華，吳國華，魏東曉，等.工業(yè)互聯網安全產業(yè)發(fā)展態(tài)勢及路徑研究[J].中國工程科學，2021，23（2）：46-55.

[4] 王沖華，李俊，陳雪鴻.工業(yè)互聯網平臺安全防護體系研究[J].信息網絡安全，2019（9）：6-10.

[5] 汪允敏，李揮，王菡，等.區(qū)塊鏈在工業(yè)互聯網標識數據管理策略研究[J].計算機工程與應用，2020，56（7）：1-7.

【通聯編輯：唐一東】

收稿日期：2021-12-15

作者簡介：戰(zhàn)瑩，女，黑龍江大慶人，中級工程師，工學學士，現從事信息安全、網絡運行維護等工作。3C3856F5-4A1B-4580-992C-7E936364FE17