肖永生
安徽修武工业技术有限公司 安徽省 合肥市 230088
摘要:工业互联网平台中的连接与信息安全有着非常密切的关系,连接越多,关系越复杂,信息安全的潜在问题也就越严重。本文对连接两端的数据和网络环境进行了分析,研究了数据在受到各种非正常改变时可能带来的风险问题。数据即使内容没有被改变,但是只要被非法访问或时序出现偏移,同样也会给工业互联网带来灾难性的影响。为了防止非法数据入侵,必须增强工业互联网信息安全方面的感知能力,使之具有足够强大的免疫功能。这就需要在工业互联网平台中建立一种数据行为的侦测机制,可以通过逻辑计算或机器学习的方法实现这种机制。
关键词:工业互联网;连接;安全
引言
工业互联网的网络体系将连接对象延伸到机器设备、工业产品和工业服务中,可以实现人、机器、车间、企业等主体,以及设计、研发、生产、管理、服务等产业链各环节的全要素的泛在互联及数据的顺畅流通,形成了工业智能化的“血液循环系统”。工业互联网平台是工业互联网三大核心要素之一的智能决策的承载者,是工业全要素链接的枢纽与工业资源配置的核心,在工业互联网体系架构中具有至关重要的地位。目前工业互联网平台的发展正处于规模化扩张期,以美、德为代表的世界主要国家纷纷将工业互联网平台作为战略重点,各国领军企业通过发展工业互联网平台,不断巩固和强化他们在制造业的地位。
1工业互联网的连接特性
工业互联网是由大规模节点相互“连接”组成的数字化大系统,其特征是连接节点数量多且分布广泛。边缘层由工业终端设备和边缘网关设备共同组成。作为边缘层的集群节点,网关设备可连接多个工业设备或系统,如有必要还可以与其它网络建立桥接通信关系。除了工业网络数据包抓取和特定通讯协议解析的功能外,网关设备还可能包含边缘计算环境。网络层由互联网基础设施构成,它的作用是在边缘层和云平台之间建立数据流和控制流。平台层由云计算环境构成,是工业大数据存储、管理和计算的中心。应用层主要由人机交互的可视化应用终端构成,可输入工业用户的需求,并显示工业应用的计算结果。工业互联网的4个层级包含多条连接通道。这些通道承担着边缘数据采集、云控制、人机交互,以及工业互联网与其他第三方系统API通信的重要任务。就单个通道而言,它可能承接两个端点的数据传输任务,也可能穿越不同层级的多个中间节点,经过单向和双向的数据传输,形成数据链路或回路。不同节点通过连接通道形成的依存关系,构成了交错复杂的数据网络。理论上工业互联网上每个连接通道都应得到安全保护,否则只要有一个环节出问题,就容易导致整个工业互联网受到冲击。工业互联网的连接本质上由3种元素组成,即端点(节点)、连接通道和数据流。典型的连接至少包含2个以上端点,1条单项或双向的连接通道,1条以上数据流。表1列出了工业互联网系统最常见的5类端点,以及典型的连接通道和网络通信协议。其中,代表性的直连链路有5种(链路1~5)。以A、B两类端点所处的边缘层数据链路为例,链路1的数据源由工业设备(如温度传感器)的通讯模块发出,采用特定工业网络协议(如ModbusTCP)传输至边缘网关,边缘网关捕获数据包后对特定通讯进行解析,把采集到的数据存入指定的缓存区域,而后可通过链路2的互联网通信接口和MQTT等协议发送到云端的缓存区域,从而形成串联数据链。
2工业互联网安全
2.1采用整体防御的策略
由于工业互联网具备开放性特点,因此网络攻击源于各层面和各环节,无法针对某个特殊点进行防护,因此必须建立整体防御机制,以此减少攻击行为与入侵事件。第一,采用持续响应措施。建立相应措施时,首先应当满足应急响应需求。
当工业互联网遭到破坏影响时,应当满足持续监测与修复要求,建立联合防御与多点防御,以此满足响应需求。第二,基于数据实行整体防御。建立安全数据仓库,结合云端威胁情报,以此检测和防御已知威胁、高级威胁与各类型攻击,同时可实现过程回溯。第三,组建安全防护团队。成立安全运维中心,优化组织流程,充实人员结构,全面落实工业互联网安全防护职责。例如,在应用整体防御策略时,可以建立自适应防护架构,为工业互联网用户解决各类安全问题。系统组成包括六个过程闭环,技术人员需要参与到全过程中。第一,信息感知。在工业互联网中,信息感知属于重要内容,能够对工业现场的温度物理量、摩擦力物理量与压力,物理量实行数字化感知和存储,确保工业现场分析和预防异常情况时,能够参考准确数据。第二,数据汇集。主要是汇集分布式数控、数控系统、系统运行期间产生的信息。该过程并非单一采集数据,而是实践全生命周期信息数据的同步化收集、管理与存储,为后续工作提供参考依据。对于网络层来说,可以有效监听和存储全网流量,为工业互联网建立安全数据仓库。第三,转化分析。该环节主要是提取和筛选数据特征,可以将数据转化为信息,以此提升信息安全性。信息涉及到内容与情境,内容主要是工业互联网中的设备信号处理结果、监测传输特性与健康情况。情境主要是设备运行状态、人员操作信息、维护管控记录与生产任务目标,可以分析计算单个设备与网络数据。第四,网络融合。关联融合工业互联网中的设备集群与跨域运维,结合环境、操作与机理等内容,通过大数据技术分析横向数据,借助群体经验预测设备运行安全性,确保实体网络与虚拟网络的相互映射,合理应用综合模型。此外,联合历史情况分析网络异常状态。第五,认知预测。技术人员在网络层能够认知工业互联网背景与异常问题,以此确保机械安全,通过大数据可视化平台找寻安全隐患。第六,相应决策。按照认知结果,准确识别和确认事件,启动相关策略,隔离搜索系统或异常账户。
2.2数据安全实现
工业互联网相关的数据按照其属性或特征,可以分为四大类:设备数据、业务系统数据、知识库数据、用户个人数据。根据数据敏感程度的不同,可将工业互联网数据分为一般数据、重要数据和敏感数据三种。工业互联网数据涉及数据采集、传输、存储、处理等各个环节。随着工厂数据由少量、单一、单向向大量、多维、双向转变,工业互联网数据体量不断增大、种类不断增多、结构日趋复杂,并出现数据在工厂内部与外部网络之间的双向流动共享。由此带来的安全风险主要包括数据泄露、非授权分析、用户个人信息泄露等。对于工业互联网的数据安全防护,应采取明示用途、数据加密、访问控制、业务隔离、接入认证、数据脱敏等多种防护措施,覆盖包括数据收集、传输、存储、处理等在内的全生命周期的各个环节。
2.3合理划分安全域
安全域划分属于安全隔离的基础措施,可以有效承载防火墙与网络隔离等安全部署。同一个安全区域内,设备与子网安全保护需求基本相同,互信关系高,且边界安全访问控制策略基本一致。在隔离安全区域和网络安全区域时,主要采用安全网关、VPN+VLAN进行隔离。
结语
当前随着国家新基建战略的推进,智能制造工业互联网业态发展已成为新蓝海,安全能力建设是工业互联网稳步发展的重中之重,工业互联网连接了虚拟世界和物理世界,实现了人、机、料、法、环的统筹调配,可影响企业的安全生产,因此,智能制造工业互联网平台建设要以安全性作为首要考虑因素。
参考文献
[1]王晨,宋亮,李少昆.工业互联网平台:发展趋势与挑战.中国工程科学,2018,20(2):15-19
[2]王晨,郭朝晖,王建民.工业大数据及其技术挑战.电信网技术,2017(8):1-4
[3]刘阳,韩天宇,谢滨,等.基于工业互联网标识解析体系的数据共享机制.计算机集成制造系统,2019,25(12):3032-3042