谢振勇 曾湘峰 周子琼 胡强
摘 要:隨着新一代信息技术的快速发展,大数据技术在各行各业的应用越来越广泛。同时,如何确保网络安全也成为了研究热点。大数据技术为数据的分析带来了新的思路和价值,甚至可以驱动制造业的转型升级,但大数据时代背景下,相关从业人员需要对网络数据安全问题给予足够重视。本文通过对大数据时代下的网络数据安全问题进行研究探索,结合制造业案例分析网络安全策略,尝试给出高度可执行的网络信息安全优化策略,助力大数据时代安全可靠发展。
关键词:大数据时代;网络安全;信息安全
引言
大数据技术不断成熟背景下,不仅各个行业的生产经营方式发生了重大变化,人民群众的生活习惯也出现了很大转变。在充分肯定大数据技术为人类社会发展所带来的便利的同时,也要清醒地意识到大数据技术中隐含的网络数据安全问题。伊朗核技术研发过程遭遇病毒攻击、美国石油管道遭受勒索病毒威胁等严重事故也时刻警醒我们网络安全的重要性。本文针对大数据背景下出现的一系列网络安全问题进行深入分析,并结合实际情况制定高效的网络信息安全防护措施,推动大数据在制造业等各领域的应用,更好的发挥大数据的价值,建设一个稳定、安全、高效的工业互联网空间。
一、大数据时代概述
基于大数据技术,人们能够深入挖掘数据的深层价值,工业4.0、智能制造、5G以及人工智能深度学习技术等都与大数据技术存在密切关联。从宏观层面来看,所谓的大数据技术就是对规模体量庞大、数据结构复杂的数据集合进行高效精准处理的一项技术[1]。大数据技术可以对人们使用移动互联网或开展互联网活动过程中所产生的海量数据进行实时收集与计算,为各个行业的发展提供数据基础。与传统信息数据处理技术相比,大数据技术具有以下三个典型特征。
①数据规模庞大。伴随着数字化技术和网络规模的不断迭代,数据总量呈爆炸式增长趋势。不论是互联网还是工业互联网,每天数据规模远超GB级以及TB级,达到PB级、ZB级甚至是EB级。
②数据类型复杂。与传统的数据信息库相比,大数据技术所使用的数据库具有很强的包容性,能够存储多种类型数据。不仅可以存储传统的二维文字数据,还可以存储诸如图片、视频、音频等非文字数据。此外,对于呈现出非结构化特点的GPS数据以及各类传感器传输数据,大数据库也能对其进行妥善地保存与处理。大数据库中80%左右的数据为非结构性数据,传统信息数据计算方式无法对这些非结构性数据进行有效处理,只有利用大数据技术,才能真正体现这些非结构性数据的价值。
③计算效率高。与传统意义上的数据库计算框架相比,大数据技术计算方式十分独特。实际计算过程中大数据技术以Hadoop框架为基础,这是一种基于云计算技术而逐步形成的数据计算框架[2]。大数据技术首先对庞大的数据信息进行筛选,自动过滤无效数据以及缺乏计算价值的数据,通过这种方式提升数据处理效率。此外,借助大数据技术自身强大的存储能力创建分布式运行框架,以数据流的形式对数据进行高效运算与处理。
二、大数据时代下网络信息安全问题现状探讨
(一)用户风险
如今,在大数据环境下网络软件用户面临的风险主要来自网络软件欺诈。在大数据环境下,网络交易和物理交易之间存在明显的区别。欺诈活动通常是通过使用网络的交易功能来进行的。受限于互联网特性,网络软件无法克服网络交易模式自身的局限性。在网络软件交易时,经常会出现诸如用户被骗等问题。从宏观层面来看,用户风险主要表现在两个方面。一方面,不法人员在用户进行网络交易过程中经常欺诈性地使用商家信息来诱骗用户进行支付,甚至利用商家信息进行洗钱行为。另一方面,用户在所有这三种付款过程中都缺乏交易路径安全。由于用户疏忽或者被不法分子有意误导打开未经授权的链接,这些链接中含有木马病毒或者将用户引入钓鱼网站,进而导致财产被盗或受到攻击[3]。
(二)运营风险
目前,大多数网络软件的操作风险管理和控制处于总体良好的状态,处于激烈竞争中的网络软件开发企业为了扩展利润空间,提升自身在市场竞争中的竞争力,运营商针对支付服务以及支付结算主动对金融机构进行授权,而授权内容中就包括了用户安全信息以及个人身份信息等敏感内容。此外,网络软件将依据用户在服务区后端生成的大数据来抓取用户个人信息或者企业商业信息。这种背景下,用户或企业信息通过互联网平台泄漏的案例屡见不鲜,不仅严重侵犯了用户的隐私权,甚至给公司和个人带来了严重的经济损失。
(三)遭到恶意攻击风险
随着云计算、AI等技术的飞速发展,数据上云、万物互联成为发展趋势,传统IT和OT网络深度融合,企业级数据平台与互联网打通,甚至全部部署在云平台上,借助互联网技术进行大数据分析。这在某种程度上,也为黑客提供了更有利的攻击机会。一方面,大数据安全性仍然存在提升空间,且大数据技术自身的安全防护系统就存在某些缺陷。此外,大数据技术的出现打破了原始数据界限,使原始的防护栅无法满足网络信息安全需求。生成密钥、存储和管理以及API访问控制方面的缺陷会导致数据存在泄漏风险[4]。而且随着数据价值的快速增长,大数据作为一种包含大量价值的可持续攻击目标,很可能在提取过程中长期受到藏匿于大数据系统框架中的黑客程序的攻击,黑客以及不法分子通过攻击大数据库可以获得长期的非法收益。另一方面,黑客以及不法分子还可以使用黑客技术反向攻击大数据库,并从大数据技术的发展中获得有价值的数据。
三、网络信息安全优化策略探讨
本文倾向于探讨制造业的网络安全策略,为便于讨论,以建设光伏电池制造车间网络信息安全结构为例,介绍如何构建车间工业互联网信息安全框架。
(一)车间网络框架介绍
为建设光伏电池制造智能车间,需要先构建的车间工业互联网,该网络架构主要由两个层级构成,第一个层级为OT网络,第二个层级为IT网络。前者运用现场总线、以太网以及无线网络对底层数据进行采集工作,后者基于IP网络框架,借助防火墙以及网关与OT网络进行连接,并在此基础上实现工业网络与外部互联网的安全隔离(如图1所示)。
(二)工业网络框架设计
网络根据功能和应用划分为四个子网,分别为:生产数据网、生产管理网、视频系统网、数据中心网。
①生产数据网
生产数据网主要用于生产相关系统的数据汇聚和传输,所涉及的系统主要由各生产装置的PLC采集系统。生产数据网主要分布于车间,核心位于中心机房。通过防火墙于上层路由交换机连接。由上层交换机负责数据的转发和访问。
交换机通过防火墙上联到上层的路由交换机,防火墙通过IP、端口、服务类型等依据决定访问权限的数据流向,以保证生产网数据的安全性和访问的局限性。
②生产管理网
生产管理网主要用于MES系统、管理看板、能源管理系统,并连接车间无线网络,包括:生产管理网主要分布于生产车间内,接入点位于各车间的调度室。核心层设置在中控室中央机房,和上层交换机连接,由上层交换机负责路由转发,数据访问权限以及外网访问控制。考虑路由的重复性,和生产网采用相同的星形拓扑结构,以保证网络连接的冗余保护。
③视频系统网
视频网主要负责传输各装置的生产视频系统和各装置安保视频系统。由于视频系统网络具有流量大,点数多的特殊性,在系统设计中采用星形拓扑结构。
④数据中心网
由于数据中心的特殊性,必须要保证企业数据的高安全级别,以及数据访问的高速和冗余性,采用设备和线路的双冗余结构,网络采用两层构架。数据中心网的所有设备均放置在中央机房内,核心采用双热备冗余交换机,汇聚层按功能分为业务网络区,存储网络区和网络管理区。核心交换机通过防火墙和上层路由核心交换机形成互联,由路由核心交换机设置数据访问的权限和策略。
(三)网络信息安全防护框架设计
按照“风险评估至上,安全分区基础,功能安全集成,完善纵深防线”的标准,积极开展网络安全防护体现建设,光伏电池工业互联网平台信息安全总体架构如图2所示。
系统建设遵循平台统一的安全架构,并对涉及到的信息安全进行补充完善。按照国家以及信息安全等级保护二级相关要求,根据对系统现状以及需求的分析,将从主机、网络、应用、数据以及审计等方面来保证系统的安全。
网络安全主要是为应用划分独立的安全域,制定并配置合理适当的安全策略,对网络边界完整性和攻击进行检测,在网络层面保护系统安全。
主机安全防护将对服务器主机操作系统、数据库及中间件进行安全加固,保障系统服务器基础环境的安全。
应用安全方面,将利用统一身份管理,为用户登录提供身份统一管理认证服务;在业务操作中,通过日志记录方式实现信息保护;通过启用应用的SSL功能来实现客户端与服务端之间的通信安全。
数据安全方面将做好数据库管理员及应用用户的访问权限控制,及时对数据进行备份,确保数据的可靠性和高可用性。
审计安全主要做好系统重要业务操作和重要内容访问的记录,以便事后追踪,同时做好日志输出,为以后接入企业统一的日志审计平台做好准备。
(四)网络安全重点防护策略
①安全技术。在本案例中,利用安全协议以及安全防护硬件对工业互联网进行物理隔离;使用协议包检测技术对应用层产生的流量数据进行检测与管理;使用访问管控技术,阻挡外部IP进入工业互联网内部,对访问用户进行严格管控;使用防火墙为工业互联网提供安全防护屏障,避免工业互联网受到不法分子的恶意攻击。
②安全保護措施。为访问设备(例如工业控制器、智能仪表、服务器等)以及现场指示器(例如兼容性和安全性)评级。采用安全开关仅允许工业控制协议的通信。对访问工业互联网的IP进行严格控制,提升账户管理效率。此外,对于工厂内部员工对于工业互联网的访问也要进行严格管控,切实保障工业互联网信息安全。设计人员在工业互联网内部设计了安全保护网关,将工业标准协议与外部网络环境进行隔离,借助这种方式达到边区防护目的[7]。同时还设计了安全审计体系,围绕数据库、安全设备、计算机主机等进行全面的安全审计,同时对企业制定的安全管理制度进行优化,针对生产日志管理、安全配置管理等工作进行具体规定,提升安全管理工作的针对性。
③数字化车间网络安全防护。基于工业互联网网关、防火墙以及工业互联网安全管理平台,结合特定领域和层次隔离以及边界保护思想,组建数字化车间网络安全防护系统。该系统分为设备安全管理模块,设备安全控制模块,设备安全操作模块,企业经营模块以及信息互连模块。在各个级别之间布置软件系统和硬件设备,通过这种方式确保工业互联网安全。设备管理模块与控制模块通过物理连接/协议实现数据实时传输。采集软件或PLC设备从仪表中收集工业生产相关数据,并借助PFC通信网关在上层SCADA系统中收集实时数据。在操作模块与管理模块之间安装PSL工业安全隔离网关以及HC-ISG工业防火墙。工业隔离网关的主要作用在于处理控制网络如何安全连接信息网络,以及管理工业互联网内部各个工作区域间安全保护问题,并为数据的实时传输提供“安全通道”[8]。此外,工业防火墙可以帮助用户过滤和防御病毒,并抵御黑客攻击和其他不法分子针对工业互联网所进行的网络攻击,避免由于工业互联网受到网络攻击而影响正常的工业生产。
本工程中,设计使用通过搭建ISC平台实现数字化车间网络安全防护,在ISC平台的统一控制下,能够对车间生产设备进行远程监控,对生产过程进行集中化管控,并借助大数据技术对生产和设备进行精准分析,更好的辅助生产决策(如图3所示)。
四、结束语
伴随着大数据技术的不断革新,互联网安全问题变得越发尖锐,无论是工业生产还是人民群众的日常生活都离不开互联网。因此,如何研究基于大数据技术所出现的网络信息安全问题变得异常重要,本文简要分析了大数据背景下的网络信息安全问题,并结合光伏电池制造车间实际情况,介绍了在工业互联网背景下,如何构建高效的网络信息安全防护体系,为后续制造业数字化车间建设及工业互联网平台设计提供参考。
参考文献:
[1]帅畅.大数据时代网络信息安全及防护探讨[J].数字通信世界,2021(04):116-117.
[2]郭星.大数据背景下计算机网络安全及防护技术[J].中国新通信,2021,23(06):143-144.
[3]张璐明.大数据时代计算机网络信息安全及防护策略分析[J].网络安全技术与应用,2021(03):153-155.
[4]原莉,白雪冰.网络安全分析中的大数据技术应用[J].电子技术与软件工程,2021(04):250-251.
[5]辛培成.大数据时代计算机网络信息安全及防护策略研究[J].中国新通信,2021,23(03):131-132.
[6]巩宁波.大数据背景下的计算机网络信息安全及防护措施[J].数字通信世界,2021(02):51-52+60.
[7]郭小娟.大数据背景下的计算机网络信息安全及防护措施[J].信息记录材料,2021,22(02):217-218.
[8]邓志东.基于大数據背景的计算机信息安全及防护策略[J].电子技术与软件工程,2020(23):246-247.
作者简介:
谢振勇(1988.10—),男,湖南涟源人,毕业于北京理工大学,硕士,工程师,湖南红太阳光电科技有限公司智能制造主管,研究方向:光伏电池智能装备、车间自动化和车间数字化研究。