李瑞 榮雅雯

1.山東省濱海公安局網(wǎng)安支隊；2.山東省濱海公安局濱東分局

隨著工業(yè)信息化的發(fā)展，以低時延、高可靠、覆蓋范圍廣的核心網(wǎng)絡，對我國的工業(yè)、經(jīng)濟發(fā)展產(chǎn)生深遠的影響，但也必然帶來了一些不容忽視的安全隱患。在工業(yè)網(wǎng)絡發(fā)展背景下，傳統(tǒng)的網(wǎng)絡安全技術已經(jīng)很難滿足新的防護要求，因此必須建立起一種新的、全面的、主動協(xié)同的網(wǎng)絡安全保障系統(tǒng)。

數(shù)據(jù)是我國重要的戰(zhàn)略性基礎資源，對我國的生產(chǎn)、流通、分配和消費都有著深刻的影響。2022年4月，中共中央、國務院發(fā)布了《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》、《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》等政策文件，都對加強工業(yè)信息安全的各項規(guī)定進行了闡述。《數(shù)據(jù)安全法（征求意見稿）》在2020版中也被列入了《中華人民共和國政府信息安全戰(zhàn)略》，更是表明了我國工業(yè)信息安全的一個發(fā)展戰(zhàn)略方向。作為“血液”的工業(yè)網(wǎng)絡數(shù)據(jù)，其安全性，是工業(yè)互聯(lián)網(wǎng)健康發(fā)展的關鍵。

1 工業(yè)互聯(lián)網(wǎng)的安全威脅

由于大量的生產(chǎn)組件和服務與因特網(wǎng)的連接，使得研發(fā)、生產(chǎn)、管理、服務等諸多方面都將受到多途徑的網(wǎng)絡襲擊和病毒侵襲。一旦受到攻擊，會導致生產(chǎn)管理服務的中斷、系統(tǒng)及業(yè)務的崩潰，而一旦無法解決木馬病毒、服務襲擊及有組織的攻擊，就會危及到公司的正常運營，進而會導致生產(chǎn)事故和人員傷亡。由于工業(yè)網(wǎng)絡涉及各種資料類型以及相關保護要求，所以數(shù)據(jù)的流向與途徑要更加地復雜化。產(chǎn)品的制造、生產(chǎn)、營銷、維護等方面的大量數(shù)據(jù)，僅僅依靠單點、分散式的安保手段已經(jīng)很難起到很好的防御作用。如果核心技術、產(chǎn)品參數(shù)、客戶信息等關鍵工業(yè)資料被盜用、篡改或流出國外，對于公司的運營和發(fā)展將會造成極大的影響。

2 政府防控

2.1 構建安全政策體系

（1）是按照《國務院關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》和《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》的要求，加快建立多部門協(xié)同推進、政府監(jiān)管、企業(yè)主責的安全管理格局，明確由各地通信管理局加強工業(yè)互聯(lián)網(wǎng)平臺安全監(jiān)管，并對聯(lián)網(wǎng)設備、系統(tǒng)進行安全監(jiān)管[1]。（2）是下發(fā)《關于開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理試點工作的通知》，并提出了實施分類分級管理的意見。（3）是大力推進《工業(yè)互聯(lián)網(wǎng)平臺企業(yè)網(wǎng)絡安全防護規(guī)范》、《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護規(guī)范》等四個國家標準的制定，并在此基礎上，大力發(fā)展30多個行業(yè)標準，包括安全防護、安全評估、安全測試等。

2.2 推進安全管理工作

（1）是要以法治為先，以立法為導，積極認知《數(shù)據(jù)安全法》等相關法，為數(shù)字信息安全的立法奠定堅實的法律依據(jù)。（2）是印發(fā)了《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設指南》等相關文件。（3）是發(fā)布了《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡數(shù)據(jù)安全合規(guī)性評估要點（2020年）》，制定了規(guī)范的指導意見。對主要網(wǎng)絡公司進行數(shù)據(jù)分類分級、重要數(shù)據(jù)識別和數(shù)據(jù)安全評估等技術規(guī)范的制定，并對關鍵網(wǎng)絡公司進行數(shù)據(jù)安全管理的評估。

3 模式防控

在工業(yè)網(wǎng)絡中，必須遵循“協(xié)同、綜合、主動、動態(tài)”的思想，加強網(wǎng)絡各方控制保護能力，在認知安全威脅的情況下，主動采取應用，從而真正實現(xiàn)一種工業(yè)網(wǎng)絡的良好生態(tài)模式，并且讓企業(yè)的發(fā)展突破為透過邊緣化的云安全保護新機制，包括設備控制、通信策略、端點分析，并且能夠充分的實現(xiàn)安全保障機制下的管理與監(jiān)控模式。

（1）端口。主要有端點的實體防護、受信任的終端基礎防護、終端識別防護、終端完整性防護、終端接入控制、終端安全性設定與管理、終端監(jiān)控、終端資料、終端模型及安全性策略等。（2）連通信。主要有通訊的實體安全性、終端防護、密碼防護、信息流防護、網(wǎng)絡配置管理、網(wǎng)絡監(jiān)控、動態(tài)防護、通訊聯(lián)絡防護等。（3）安全監(jiān)測。從終端和通信網(wǎng)絡中獲取整個網(wǎng)絡的狀態(tài)信息，并對其進行分析，從而發(fā)現(xiàn)存在的安全違規(guī)行為和潛在的系統(tǒng)威脅。（4）配置管理。安全性操作、終端標識、終端組態(tài)、通訊組態(tài)、安全性模式改變、組態(tài)資料防護、更改管理的安全性模式及策略。（5）數(shù)據(jù)。負責端點數(shù)據(jù)、通訊數(shù)據(jù)、配置數(shù)據(jù)、監(jiān)控數(shù)據(jù)等的技術保護。（6）模型策略。系統(tǒng)威脅分析、系統(tǒng)安全性指標、安全性戰(zhàn)略、模式、資料防護、終端安全性、通訊連線安全性、監(jiān)控與剖析安全性政策、組態(tài)及管理等。

4 技術防控

安全防控是工業(yè)互聯(lián)網(wǎng)三大體系之一，它為確保整個工業(yè)互聯(lián)網(wǎng)系統(tǒng)的穩(wěn)定運轉提供了有力的支持。從整體安全防護的角度出發(fā)，對邊緣、基礎裝置，應用化地進行安全篩選，通過邊界警報、數(shù)據(jù)審計、自動感應、模糊處理等安全機制的有效管理技術，實現(xiàn)了工業(yè)的安全保障，從而在整個環(huán)境中，實現(xiàn)行為機制一體化的安全保障突破[2]。

（1）安全監(jiān)測?；谶吔缇o急處理、協(xié)議呼叫、數(shù)據(jù)自動感應等技術，對多個工業(yè)網(wǎng)絡區(qū)域等進行入侵監(jiān)測，并記錄病毒類型、查詢地址來源、侵襲途徑等。（2）通報報警。對于外界的監(jiān)控網(wǎng)絡化侵襲，透過協(xié)議行為日志等的追蹤，及時發(fā)布預警，并依據(jù)危險等級，進行相應的緊急響應。（3）應急處置。緊急防護，利用整個階段環(huán)境的安全機制進行緊急的全方面“環(huán)境殺毒”，不僅包括單一的病毒防護，數(shù)據(jù)泄露，更重要的是加強邊界性的“大環(huán)境查殺警報”，隨時“大查殺”在利用云安全保護機制，將安全危害最大化的消滅。（4）追蹤溯源。利用大數(shù)據(jù)信息化追蹤，對攻擊的發(fā)生地點進行了探索，對侵襲的整個過程進行云端記錄總結、實踐剖析，了解了攻擊的整體流程，然后快速提出應對措施，以便更好地保障今后的工業(yè)信息網(wǎng)絡安全。（5）恢復狀態(tài)。針對遭受攻擊的云平臺底層架構、虛擬主機、資料庫、控制主機、控制網(wǎng)絡、現(xiàn)場裝置等進行數(shù)據(jù)的備份、重啟以及相關軟件的調試，以及在確保安全的情況下開展產(chǎn)業(yè)互聯(lián)網(wǎng)的業(yè)務。（6）工作檢查。要讓工業(yè)信息安全的傳輸與應用，在監(jiān)管控制完成以后，必須要將多元區(qū)域中的每一部分進行監(jiān)測，包括辦公、監(jiān)控等，以確保正確安全機制能夠進行下去。

5 政策防控

（1）做好工業(yè)信息體系規(guī)劃。根據(jù)當前的工業(yè)互聯(lián)網(wǎng)安全形勢，對于安全防護的綜合、協(xié)同、主動、動態(tài)化的硬性需要足夠的重視，另外，從云平臺、邊緣層、工控設備等多層入手，加強化技術防護和安全防護的結合，制定云基礎設施、平臺基礎能力、基礎應用能力的安全防護策略和互聯(lián)網(wǎng)應用可靠等的必要措施方向[3]。（2）深入企業(yè)管理機制。企業(yè)要強化對工業(yè)網(wǎng)絡的安全保護的相關管理規(guī)范，并對各個單位的安全要求和工作職責進行清晰的界定。加強對現(xiàn)場的安全監(jiān)管，并對存在的問題進行整改。根據(jù)具體的需求，采購專用的軟件和服務，進行風險評估、預警和緊急事件的模擬，做好數(shù)據(jù)備份、加密保護、訪問控制和身份識別等工作。（3）加強安全防護技術。對企業(yè)的互聯(lián)網(wǎng)架構有清晰的認知，構建安全監(jiān)測風險預警平臺、攻防技術演練平臺、安全標準技術檢測和驗證平臺，以加強緊急處理侵襲的應對能力，強化專業(yè)技術人員的培養(yǎng)，建立良好的協(xié)作關系，共同創(chuàng)造一個相對安全的工作氛圍。

6 工業(yè)互聯(lián)網(wǎng)平臺案例

（1）GE——Predix云平臺。美國通用電氣公司(GE)是世界上最大的提供技術和服務業(yè)務的跨國公司。為使各裝置能夠可靠地與大量計算機進行連接，并進行分析， GE在2013年推出 Predix軟件平臺，用于將不同的工業(yè)資源裝置之間進行互聯(lián)，并將其與云端進行互聯(lián)，同時還可以為企業(yè)的資源績效管理（APM）運行最優(yōu)的業(yè)務。通用電氣公司的APM體系旨在提高通用電氣公司的財務管理能力，并且已經(jīng)在公司的業(yè)務中使用了數(shù)年，是一套整合了云端與物聯(lián)網(wǎng)技術的完整解決方案。2015年8月5日，通用電氣公司推出了專門針對工業(yè)數(shù)據(jù)分析的云計算業(yè)務—— Predix云，它可以將不同的工業(yè)設備連接起來，讓不同的客戶快速獲取、分析海量的工業(yè)信息，從而為各個行業(yè)提供自己的網(wǎng)絡應用。

（2）西門子-Mindsphere云平臺。西門子在世界范圍內的電子和電力工程行業(yè)處于領導地位，其業(yè)務包括工業(yè)、能源、基礎設施、城市和醫(yī)療。西門子公司于2016發(fā)布MindSphere。它可以將傳感器、控制器以及各種工業(yè)生產(chǎn)現(xiàn)場的各種工業(yè)生產(chǎn)數(shù)據(jù)，通過安全信道實時傳送至云端中，為企業(yè)在云端中實現(xiàn)大數(shù)據(jù)分析挖掘、工業(yè)App開發(fā)和智能化應用。MindSphere的開發(fā)平臺由三層組成：邊緣連接層、開發(fā)運營層和應用層。在此基礎上，由邊緣連接部向云端平臺傳送資料，由系統(tǒng)的開發(fā)運行端向使用者進行數(shù)據(jù)的解析，并結合了系統(tǒng)的應用程序和軟件的發(fā)展，而在系統(tǒng)的底層，則是整合了業(yè)界的實踐與資料的分析成果。MindSphere的應用程序已經(jīng)在北美及歐洲超過100個公司進行了測試，并在2017漢諾威展覽會上與埃森哲、Evosoft、SAP、微軟、亞馬遜、Bluvision等公司進行了大量的微型應用。

（3）亞馬遜——AWSloT云平臺。亞馬遜公司Amazon Web Services（AWS）推出AWS IoT物聯(lián)網(wǎng)云計算平臺，將AWS集成，目的是讓制造商用戶的硬件和軟件更容易地與AWS系統(tǒng)進行交互。AWSIoT可以為數(shù)以百萬計的裝置提供數(shù)以百萬計的信息，同時也可以把它們安全、可靠的送到AWS的終端結點和其他裝置。

（4）施耐德——EcoStruxure平臺。EcoStruxure由三個層次組成。第一個層次是相互聯(lián)系的產(chǎn)品，包括斷路器、驅動器、不間斷電源、繼電器、儀器和傳感器。第二個層次是邊界的調節(jié)，在邊框控制層面上實現(xiàn)任務操作、設計任務、指令和監(jiān)控，從而減少了復雜的工作流程。第三層是應用、分析和服務，一個程序把設備系統(tǒng)和控制器，經(jīng)由驅動器或者免費的協(xié)定進行合作化。分析法是以操作人員的體驗為基礎，以建立戰(zhàn)略，提高企業(yè)的經(jīng)營管理水平，服務是指以可視的人機界面來完成對企業(yè)的控制與管理。EcoStruxure平臺在每個級別都有一個內部的Web安全技術，可以實時在云計算上進行配置。EcoStruxure平臺已經(jīng)與9000家的系統(tǒng)集成機構合作。該系統(tǒng)主要面向六個方面：樓宇、資訊科技、工廠、配電、電網(wǎng)及機器。

（5）航天科工——云網(wǎng)INDICS平臺。INDICS系統(tǒng)在IaaS層次建立了自己的數(shù)據(jù)中心，在DaaS層次為企業(yè)提供了大量的云端數(shù)據(jù)分析和服務，PaaS層次則提供了工業(yè)服務引擎、軟件定義的流程引擎、大數(shù)據(jù)分析引擎、仿真引擎、 AI引擎等云端工業(yè) PaaS服務；面向開發(fā)者的公用服務模塊和超過200個的API界面，為各種工業(yè)領域的應用開發(fā)和迭代服務奠定了堅實的基礎。INDICS公司為客戶開發(fā)了智能IOT和INDICS-OpenAPI接口，為企業(yè)的應用提供了強大的技術支撐，該平臺向社會開放自主研發(fā)和眾研應用App 500多個，覆蓋智能研發(fā)、智能制造、智能服務、智慧企業(yè)、生態(tài)應用等工業(yè)鏈。

（6）和利時——HiaCloud平臺。和利時是集自主研發(fā)、制造、服務于一體的PLC、DCS、SCADA產(chǎn)品的企業(yè)。和利時在2017推出HiaCloud平臺，提供了一個完整的數(shù)據(jù)匯集、生產(chǎn)運營管理以及App的革新。HiaCloud的開發(fā)主要包括工業(yè)現(xiàn)場層、工業(yè)PaaS和工業(yè)SaaS的智能化應用層。在工業(yè)領域，可以為企業(yè)進行各種數(shù)據(jù)的采集和局部的應用。在工業(yè) PaaS平臺層中，包含了底層環(huán)境的數(shù)據(jù)服務，以及基于業(yè)務的服務。工業(yè)SaaS的智慧應用是一種以企業(yè)PaaS為基礎，以各種不同的行業(yè)App為基礎，涵蓋企業(yè)資源和業(yè)務的最佳化智慧效果。HiaCloud平臺提供公有云，私有云和混合云的部署。

（7）華為——OceanConnect IoT平臺。華為企業(yè)公布的OceanConnect IoT技術平臺分為水平和垂直兩個方向。從垂直方向看，它分為三個層面：連接管理層、設備管理層和應用支撐。連接管理系統(tǒng)提供SIM卡生命周期管理、記賬、統(tǒng)計、企業(yè)門戶等功能，設備管理提供設備連接、數(shù)據(jù)采集與存儲、設備維護等功能，同時具備了數(shù)據(jù)處理、規(guī)范生成、商業(yè)組織設計等方面的能力。

橫向上，采用與該系統(tǒng)相連的IoT代理，通過網(wǎng)關連接到每一個工業(yè)互聯(lián)網(wǎng)設備，能夠進行充分的實時邊界運算。OceanConnect IoT平臺目前已覆蓋公共事業(yè)，且目前已有多項已有的成熟的解決方案，如：車輛網(wǎng)絡、石油能源、生產(chǎn)設備管理、智慧家庭等。平臺應用實例：汽車網(wǎng)絡驅動汽車廠商向服務商轉變，一汽公司利用華為OceanConnect IoT技術，對數(shù)億汽車進行高效管理，同時對上百萬汽車進行實時數(shù)據(jù)分析。

7 結語

隨著互聯(lián)網(wǎng)時代的日新月異，各大企業(yè)加速了數(shù)字化的進程，工業(yè)網(wǎng)絡的迅猛發(fā)展為后危機時期的新的經(jīng)濟發(fā)展注入了新的動力。在工業(yè)信息化建設中，企業(yè)的安全保護工作具有十分關鍵的意義。安全保護性能的優(yōu)劣將直接關系到網(wǎng)絡的穩(wěn)定、數(shù)據(jù)的可靠度以及網(wǎng)絡的應用。因此，要加強對工業(yè)互聯(lián)網(wǎng)的保護，必須根據(jù)自身的具體情況，運用多種技術與經(jīng)營手段，構建三維、四維、甚至五維、集成、可控全新工業(yè)信息化網(wǎng)絡安全保障體系。另外，工業(yè)信息化的加密保障機制，是實現(xiàn)以工業(yè)網(wǎng)絡為基礎的企業(yè)實現(xiàn)全方位轉變的先決條件，同時，也是公司在市場中的平穩(wěn)運作和安全運營的重要保證。但是，現(xiàn)階段，我們的理論認知還比較欠缺，技術能力還比較生疏，監(jiān)管還不夠嚴密，即當前國內的工業(yè)網(wǎng)絡信息化建設尚處在初級水平，因此，仍需鼓足干勁的建設。

引用

[1] 張雪瑩,楊帥鋒,王沖華,等.工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級防護框架研究[J].信息技術與網(wǎng)絡安全,2021(1):2-9.

[2] 董悅,李藝,秦國英,等.工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全技術研究[J].信息通信技術與政策,2020(10):38-41.

[3] 張雪瑩,陳雪鴻,楊帥鋒.工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標準體系研究[J].網(wǎng)絡空間安全,2019(10):86-92.