宋振鹏

摘要：伴随着新一代信息技术与工业领域加速渗透融合，工业企业经历了从单台制造、机电一体化、产供销信息化、MES、ERP等数字化的多个关键阶段，部分企业工业转型征途已进入智能化时代。近几年，物联网、5G技术飞速发展，推动按需制造、社会化协作为目标的工业互联网成为行业方向和焦点。

关键词：工业互联网;安全;建设

引言

随着新一代信息技术、工业系统和互联网的一体化发展，生产模式、生产要素发生重大变革，推动着智能化制造、平台化设计和数字化管理等新模式涌现，催生出了信息化和工业化融合的工业新业态。在工业互联网时代，IT和OT融合不断加深，形成了相互开放的工业设施环境和互联网设施环境，互联网安全风险与工业安全风险相互渗透，工业互联网安全面临着众多挑战。工业互联网安全风险形式复杂，如果未能及时做好防范和应对，将会给制造、装备、能源等传统工业领域带来严重冲击，乃至影响国民经济。

1工业互联网安全建设价值

工业互联网应用新一代信息通信技术，建设连接工业全要素全产业链的网络，实现海量工业数据的实时采集、广泛流转和精准分析，支撑业务科学决策，高效配置制造资源，推动上下游产业联动。工业互联网平台提供数据存储、管理、呈现、分析、建模及应用开发环境，汇聚生产制造企业、产业链上下游以及第三方设计开发单位。工业互联网的健康发展，对我国制造业数字化转型升级，提升国际竞争力极具战略意义，将极大赋能产业融合和经济结构优化，提升资源配置效率，助推我国从制造业大国向制造业强国迈进。工业互联网网络基础、平台中枢、数据要素的安全保障要求更高，是需要更加体系化、系统化、全局化推进的复杂系统工程。工业互联网平台为数据提供自由流转支撑，是链接工业全要素、全产业链的枢纽，是推动制造资源高效配置的核心。

2工业互联网信息安全所面临的挑战

2.1风险蔓延快

在工业互联网中，产品全生命周期和产业链的各个环节都是紧密相连，一环扣一环的。并且其中的数据信息也都是基于互联网下的互联互通，信息高度渗透融合。因此一旦产品全生命周期和产业链中某一个环节被攻破或某个设备携带了病毒，会导致风险迅速蔓延至整个工厂，甚至产业链，造成工业互联网处于易受攻击的高风险状态。同时设备/系统间的互联使大量生产装备和产品直接暴露在网络攻击之下，这给互联网黑客提供了更多可以攻击的机会。

2.2网络安全

网络安全指工厂内部和外部网络以及标识网络的安全，包括工厂网络的通信主体、通信路径和传输介质，以及标识身份、标识数据和标识行为的安全。一方面，工厂网络容易被基于TCP/IP协议的手段攻击，传统静态防护机制无法灵活、动态地保护组网后的复杂网络结构。同时，标识解析系统在标识注册、标识解析等过程中存在着身份失信、非法操作和信息泄露的风险。对于网络安全风险，考虑简化网络结构、通信协议加密和网络设备认证等方案。在标识解析系统方面，可以引入标识身份认证，以保证标识身份的真实性;通过标识数据加密来防止数据传输时暴露;借助标识行为授权机制防范异常的解析行为或篡改行为。

2.3控制安全问题

工业企业有2种途径来实现统一生产设备控制，以提高工业生产效率。一是通过私有云平台。二是通过第三方提供辅助系统。并且，智能制造、智能生产、智能工厂和智能电网等场景应用的广泛使用，也体现了控制功能在工业互联网中的重要程度。但统一控制生产设备的同时也会带来很多信息安全风险。例如操作不当导致的信息泄露和丢失。

3工业互联网安全建设思路

3.1终端设备的管理

对于工业互联网终端设备的管理， 被授权的管理员使用自己的数字证书进行身份验证， 然后管理员可以修改对被授权的特定设备或设备组在区块链网络中的设备配置文件， 最后管理员使用自己的数字证书对修改的配置文件进行签名， 以便标识和安全审计. 修改后的配置文件经过语法验证来验证新配置文件的正确性， 以此尽量减少因为人为因素导致终端设备宕机故障的发生. 通过语义验证后， 新的设备配置文件信息经过加密会被分发到区块链网络中各个peer节点，并通知所有被管理的终端设备， 终端设备检查新的配置文件更改是否影响其配置， 对产生影响的设备， 通过设备自身私钥下载区块链网络中新的设备配置文件进行更新， 并应用修改后的配置文件.

3.2严格控制上网行为

对上网行为进行严格控制可以有效降低网络危害，保证信息资源安全。具体来说需要对网络访问权限进行明确和限制，对信息资源进行分级，不同等级职工赋予不同的访问权限，越重要的信息资源访问权限相对较高，访问人数相对较少;访问信息资源库时，除用户名和密码外，还需要在电脑中插入物理密钥，从而有效提升信息资源的网络安全性。对网络资源访问信息，如访问人、时间、内容、权限等进行记录并不容如何人修改，设置网络服务器紧急关闭保护措施，做到全流程留痕，避免非法人员的恶意访问。

3.3访问控制

在工业互联网平台中，应对共享资源拟定访问控制机制，可采用URL访问控制策略和ABE技术等。应依据强制访问控制策略为各个应用分配不同的安全等级，根据不同的等级制定不同层次的安全控制机制，防止越权访问。通过防火墙把外网与工业应用系统服务器隔离开来，只开放工业应用需要的几个业务端口，任何客户端在请求工业应用服务之前必须出示登录用户的授权凭据给服务器模块，授权凭据通过PKI来管理。在平台中部署访问控制信息完整性保护系统，搜集平台网络边界的访问控制信息，调用服务器密码机使用SM3算法对访问控制信息进行完整性计算，并将计算的值导入完整性保护系统，实现对边界访问控制信息的完整性保护。

3.4数据安全管理

数据安全指研发设计、工业生产、营销销售、物流发货等各环节数据的安全。工业互联网环境下的工业数据展现出容量大、来源广和格式不统一的特征，并在工厂内外以及工业领域和互联网领域间双向传递和流通。加之工业领域流程繁杂，业务壁垒多，不同信息化系统之间的数据难以兼容，且数据的流动方向不易追踪，导致数据保护困难，存在被泄露、截获和篡改的风险。对于数据安全风险，在数据采集时进行识别、解析和清洗，在数據存储时判别数据敏感等级并实施一定程度的加密，在数据传输时对数据进行签名和验证，实现对数据流向的动态管控，保障数据全生命周期安全。

3.5认证服务

为了实现工业互联网平台的真实性，在平台中可部署智能密码钥匙、动态令牌卡等密码产品，并配置用户在远程登录设备时使用国产密码算法作为传输协议。结合用户口令、生物特征等技术对用户远程登录进行身份鉴别，防止非法访问和中间人攻击。用户可通过https登录工业互联网平台管理虚拟资源，用户与工业互联网平台基于证书进行双向的身份鉴别。应对用户设置锁定机制，当用户连续尝试认证失败次数累计达到上限时，则锁定其帐号。

结束语

在未来的工作中， 我们将继续通过区块链技术进行访问控制管理的研究来集成逻辑和物理的访问控制，并采用可靠的方法分析安全方面的问题以及使用新技术来消除可能会被利用的漏洞。

参考文献

[1]邓聪.工业互联网发展步入快车道[N].人民邮电，2019-12-22（001）.

[2].统筹发展监管安全促进通信业高质量发展[N].人民邮电，2019-12-22（010）.

[3].着力构建高速安全的信息网络体系[N].人民邮电，2019-12-22（014）.

[4].我国工业互联网亟需突破十大关键核心技术[J].现代制造技术与装备，2019（12）：3.

[5]王晟，赵建福，乔辰龙.从传统企业网到工业互联网的安全防护研究[J].电信工程技术与标准化，2019，32（12）：65-69.