赵申 陈魏魏 刘振
摘要:分析工业互联网环境下网络安全技术,并提出具体的应对挑战的策略。介绍工业互联网技术的发展进程,工业互联网是工业控制系统(ICS)与信息技术(IT)的融合,将传感器、设备、网络和系统连接在一起,增加了网络攻击的目标和安全隐患。从技术角度入手,探讨区块链技术、5G技术、人工智能技术等安全技术在安全防护领域的具体应用。未来应提升工业互联网的安全等级,配置更有效的安全网络,应对技术挑战。
关键词:工业互联网;安全防护;区块链技术;安全管理
一、前言
工业互联网涉及各种各样的硬件设备、传感器、控制器等,这些设备通常具有不同的操作系统和软件,对实时性和可靠性有高要求,现有的安全防护网络很难同时兼顾工业互联网的效率要求和安全要求[1]。与传统的信息技术网络相比,工业互联网领域尚没有完全统一的安全标准和规范,导致了安全技术和解决方案的多样性和不一致性,也增加了网络安全领域的技术挑战。只有综合现有的技术基础,在满足工业互联网数据使用需求的基础之上,不断对安全防护手段进行升级,才能真正形成有效的防护。
二、工业互联网的技术发展及其在安全领域面临的挑战
(一)工业互联网的发展历程
我国工业互联网虽然起步稍晚,但是进展较快,目前在工业互联网的框架标准、安全国际合作等方面已经基本达到与发达国家同步的水平。2016年,工信部发布了工业互联网体系架构1.0,联合各头部单位对于工业互联网的体系进行了系统性的规划和设计。2019年发布了2.0版本,2021年发布了3.0版本,伴随着技术的不断升级、标准化框架的不断更新,我国工业互联网体系逐步走向完善。工业互联网的发展目前可以概括为网络体系构建、平台体系构建、安全体系构建和应用体系构建。其中,安全体系是工业互联网的应用保障,尤其是在当前国际形势复杂化的背景之下,工业互联网的信息安全被各个层面普遍重视[2]。国家先后发布《工业互联网安全标准体系》《工业互联网平台安全防护要求》等系统规定,并在数字控制、商用密码、平台架构、数据使用等领域编制安全管理细则,提高管理的针对性和有效性,为技术的使用提供依据和支撑。
(二)工业互联网面临的安全挑战
1.工业领域软件硬件自主研发程度不足
目前相较于西方发达国家,我国在科技领域软件硬件的研发上仍然处于相对落后的状态,尤其是与安全防护有关的精密技术和先进设备仍然不足,难以支持工业互联网的数据采集安全管理、数据分析和数据优化,不仅制约了工业互联网的广泛应用,也留下了明显的安全隐患。目前我国工业互联网所使用的软硬件仍有很大部分是应用国际已有软硬件进行二次开发,缺乏核心专利和核心技术,国内企业仅有少数龙头愿意投入大量资金进行技术研发,大部分企业主要是使用已有的成果,并不愿意积极投入资本进行研发,在市场当中缺乏相关的投资环境。
由于核心技术的缺失,当前我国工业互联网的自主发展受到了不同程度的限制,威胁了互联网的数据安全。从操作系统层面上来看,国内的工业设备大多数是使用微软系统、Unix系统以及Linux作为基础操作系统,这些系统的核心技术均属于国外企业,存在不同程度的安全风险。从部署情况来看,大多数工业互联网的部署均要应用到物联网、以太网和移动网络,再加上操作系统等核心技术属于国外的先天不足,当前的安全防护难度较大,整体成本也较高,总体形势不容乐观[3]。
2.工业园区云设施发展程度参差不齐
当前我国大部分的工厂实际上信息化程度仍然不高,据2023年企业设备数字化率和数字化设备联网率统计结果来看,这两项数据分别为52%和49%。然而,在向数字安全等方向构建的过程中,不仅会需要大量的资金,同时也需要充足的人力和设备资源,这使得很多工厂在成本方面难以承受。企业对于信息安全化的途径虽然有热情,但是由于缺乏安全建设、运维的权威标准,企业对信息化投资安全较为担忧。还有一些企业盲目地投入到了信息安全化的建设当中,但是没有起到较好的实际效果,不仅增加了管理成本、浪费了资金,也使整个环境陷入了一种谨慎观望的态势,同时从工业园区云设施的发展情况来看,构建园区云是智慧园区发展的整体趋势,也是加强网络防护的重要物质基础,但是当前工业园区云的建设也涉及一系列的投资主体问题、安全技术问题、标准化建设问题以及企业参与程度不高的问题[4]。
目前,工业互联网平台缺少统一的管理,很多地区并没有建立起统一的工业互联网的架构。国内有影响力的工业互联网平台已经超过150个,处于蓬勃发展的状态,但这些平台分散发展,缺乏统一标准,缺乏共享机制,每一个工业互联网平台实际上就相当于一个独立的互联网平台,形成了信息的孤岛。信息的孤岛也是安全的孤岛,各个平台之间存在的信息壁垒和技术壁垒使得统一的安全监管变得尤为困难。
三、工业互联网环境下网络安全的技术发展方向
(一)加强软件领域的自主技术研发
1.工业蜜罐技术的应用
工业蜜罐技术用于监测和防御网络攻击,在工控系统或工业网络中部署蜜罐设备,可以吸引攻击者进入虚假的系统环境,提供假的攻击目标,从而诱使攻击者暴露其攻击行为,帮助工业网络管理员及时发现和应对攻击,从而保护真实的工控系统和网络安全。
Web Server和Workstation作为工业蜜罐系统的威胁管理系统,能够对感知传感器上传的内容进行防护审计,并用于后续的工业系统升级,传感器本身极具扩展性,能够对于获得的仿真数据进行海量加工和处理,有效识别系统当中的各个干扰信息,把握攻击流量,对攻击行为展开实时分析。Media PC对这些可疑内容进行分析,查找识别安全威胁,判断出攻击事件,并发出实时警告。工业蜜罐技术整体基于K8s+docker+VM等虚拟化技术,结合SDN技术,相关架构能够有效识别工业网络当中的用户特点,按照不同业务的网络类型进行部署。在工业蜜罐的应用中,Kubernetes能够掌控众多的Docker实例,Docker的容器化技术供给了一种轻量化的虚拟环境,让工业蜜罐得以迅速搭建和克隆。这些建立的功能复制了工业自动化环境中的要素,例如PLC(程序化逻辑控制单元)、HMI(交互式操作界面)等。Docker的隔离特性和携带便捷性保障了诱饵系统的稳固性与同质性。模拟器技术,例如VMware或Hyper-V能够被应用于构建更加精细的工业蜜罐。这类系统有能力仿真整个产业网络的结构。工业控制系统的模拟环境提供了更高级别的独立性,允许在不干扰主机系统的前提下执行多种操作系统和应用软件。结合软件定义网络(SDN)的技术手段,工业诱饵系统的网络布局得以更为机动地实施设定与操控。SDN授权网络管理员利用软件来指挥网络的活动涵盖数据流向导引、防护规则以及网络划分。在工业蜜罐网络布局中,软件定义网络(SDN)能够以高度的不稳定性重新配置数据流,诱导恶意数据流向虚假的目标,而此举同时维护了实际产业网络的防护完整性。在迷惑攻击者的同时也能够对蜜罐获取的攻击行为日志进行集中分析,为企业提供攻击者画像,方便进行溯源查找,形成攻击报告和威胁情报共享[5]。
通过在工业互联网环境中设立蜜罐,可以吸引恶意软件攻击并收集有关恶意软件的行为、特征和漏洞利用信息,用于恶意软件的分析和正常软件的漏洞修补,提高工业系统的安全性。蜜罐能够实现仿真分析,通过MySQL访问,集成系统服务,在工业场景当中实现有效的远程装置交互,对工业系统进行灵活的调度和分析。当前的蜜罐防护系统一般开放102端口,配置St Louis修改,针对104仿真协议进行数据交换,能够对各项设备进行实时遥控、遥信等翻译和记录。蜜罐技术针对程序的仿真,主要是通过建立联系、输入寄存器、读写单个保存寄存器保障蜜罐的高仿真度和诱捕能力,能够对一系列的攻击进行自主定位,从而对热点漏洞起到有效的防护作用。
2.数字孪生技术的应用
数字孪生技术通过数学化的方式对物理实体进行还原形成虚拟数字的多重模型,该方法具有集成多尺度、多学科、多物理量的优势,能够充分利用当前的物联网传感技术、物理模型运行技术、数据历史追踪技术实现全过程的仿真分析。总的来看,这种方法是一种在线物理实体全生命周期运行状态的模拟过程,具备良好的扩展性能,适用于多种理论体系和框架的分析,目前被一定程度上应用在航天航空产品设计和工程建设等领域。
该平台应用的优势和关键点在于通过基础工业数据库和科学计算库的联合形成模拟计算平台,发布模拟模块对于仿真场景进行实时构建和监控,该系统通过推出可互换的模拟组件参与者得以迅速构建出满足其特殊要求的虚拟环境。这些情境适用于多种用途,例如提升工艺流程、排查故障、进行安全鉴定等。该系统还配备了一系列综合监测设备,使得使用者能够即时监控并审视模拟环境的执行状况,从而迅速识别任何潜在的障碍并作出相应的改正。该系统亦展现出极高的扩展性与携带性。依托于容器技术与虚拟化手段,该系统在多样的计算生态中得到应用,涵盖且不限于实体服务器、云端服务器、边际计算装置等,导致了模拟计算环境得以灵活配置及扩充以便适应工业需求的持续变化。在防护性质上,此系统实施了众多保障手段,也配备了高效的日志追踪与审查能力,有助于使用者追溯并评估可能存在的安保风险,提高工业互联网的应急响应能力,一旦系统当中出现异常攻击,就可以快速定位和诊断并跟进解决,从而提高工业企业应对突发状况的能力,防止安全事件的危害进一步扩大,同时这种优化算法的平台还能够有效弥补人工干预的不足,避免问题汇报出错,减少费时费力的数据生成。完善的技术应用还能够实现自动化检测和安全漏洞的排除,进一步加快工作流程,提高生产效率。
3.区块链技术的有效应用
区块链技术本身就具备分布式数据存储的特点,在数据网络当中能够实现点对点数据传输,保障工业互联网当中参与的工业企业能够利用区块链技术达成共识,同时在数据传输方面利用加密算法以及创新的应用模式,实现数据的透明管理和去中心化管理,这种传输的信息不可被篡改,能够集体进行维护,在现有的工业网络环境之下,安全、高效、可信度高,能够实现机构与机构、人与人、设备与设备之间的协同管理,从而降低安全风险。区块链技术符合工业互联网的场景需求,能够为构建数据网络资源优化业务流程,提高协同效率,提供有效的自由流转和精准分析。工业互联网需要了解生产全要素,实现协同制造,就需要依托技术的升级,利用区块链的分布式网络技术和共识机制,进一步提高网络构建的安全性。除此之外,区块链技术的应用还有助于抢占新一代信息技术的主导权,是我国与发达国家在网络安全方面进行竞争,抢占战略制高点的一个竞争追逐期。区块链技术的应用有助于打造自主先进的技术体系,实现工业互联网安全产业的协同创新,为安全注入新动能,是在西方软件、硬件形成规模应用优势的基础之下,实现安全突破的一个重要尝试。区块链技术提供了一种在不可信网络中进行信息与价值传递交换的可信通道,因此,也是在现有的工业网络环境背景之下解决安全问题较为重要的尝试和思路[6]。
工业互联网数据当中的Iass层和Pass层,需要通过区块链的数据包传输安全协议(DTLS)进行保护。该技术方法可以突破多路广播限制,向客户端口负责,通过加密和签名格式对数据进行传输,还能够利用共享数据模型,将物联网设备上传的数据信息传输到区块链共享中心当中,解决传统结构的信任难题。在通用动力设备、高耗能设备等设备管理场景之下,区块链技术提供的主动网络测量方法,可以实现对资源的主动对接,基于双向主动测量协议(TWAMP)避免额外流量对于当前通信造成的影响。
Composer模块化架构用于构建和管理区块链网络中的应用程序,提供了一种简化区块链开发过程的方式,使开发人员能够快速构建和部署智能合约和区块链解决方案。允许开发人员使用特定的编程语言,如Solidity编写智能合约。这些智能合约可以实现资产转移、数据查询和交易验证等功能。基于这种访问架构,管理人员可以实现文件集分析、控制语言查找以及通信的有效控制。在现有的数据集合当中,参与者、资产、事件可以统筹在一起,对于model模块的运行进行设置。参与者在了解终端设备数据以及历史数据的基础之上,可以通过智能合约和控制文件访问管理工业互联网当中的数据资产。事物的提交表示区块链的预先定义条件处于被更改的状态,在区块链技术之下,事件是系统中参与者所触发的行为。访问控制语言定义了访问控制的策略,通过ACL模块展现了不同事务的处理集合以及满足的条件,在获得相关的许可之后,将自动调用事务处理函数完成对于查询策略的修改。ACL模块通常由不同的集合来定义参与者集合、资源集合、行为集合、条件集合和操作集合,在 mode文件当中对不同的数据行为创建读取、更新、删除,形成一个crud模块对于访问角色进行核心控制,同时事务处理函数也是JavaScript文件的一部分,可以利用终端设备的有效管理,管理员使用自己的数字签证对文件设置的情况进行签名,做好数据的标记和识别,分配到区块链中各个peer节点[7]。
(二)加强工业园区云建设与云管理
在工业园区云建设和云管理方面,需要进一步推进强基计划,引导企业加强核心技术的研发,尤其是加强基础科学教育,形成产学研一体化的基地建设格局。在当前越来越激烈的全球化背景之下,夯实基础学科教育是解决数字安全问题的关键。我国在2020年开展强基计划,全国已经有39家试点高校参与,在此基础上,数百个产业园区加入其中,未来还应该持续鼓励这些企业进行关键核心网络技术的研发,引导企业进入到强基计划当中,培养出专业的互联网安全管理人才。同时,国家还需要制定工业互联网成熟度的发展指引,使得工业互联网的受益方能够不断扩大。政府和行业协会牵头,制定成熟的发展指引,使得企业能够进入到良性发展循环当中,避免盲目激进式的转变。
四、结语
综上所述,工业互联网环境之下,网络安全技术受到了诸多的挑战,尤其是通信协议挑战、基础物理层面的挑战,未来要想应对这些挑战,就需要进一步推进强基计划,引导企业加强核心技术的研发,并且在通信协议层面建立完善的架构,提升成熟度。政府出面牵头建设统一运营管理平台,加强云园区的管理和云计算的落实,通过区块链技术、蜜罐技术等一系列网络安全技术的具体应用,实现工业互联网的管理升级。
参考文献
[1]工业互联网安全防护探索与实践[J].网络安全和信息化,2024(01):43.
[2]刘伟,彭万立,李浩.湖北省无线电监测中心完成中国5G+工业互联网大会无线电安全保障任务[J].中国无线电,2023(12):8.
[3]王文君,郑力达,李明蕊,等.蜜罐威胁诱捕技术在工业互联网的安全实践[J].网络空间安全,2023,14(06):59-62.
[4]张贺丰,林杰,王文赫,等.面向工业互联网低频射频识别技术的高安全设计[J].仪表技术与传感器,2023(12):79-83.
[5]张陆洋,连瑾,袁雅芬.基于联邦学习的工业互联网平台研究[J].现代工业经济和信息化,2023,13(11):75-78.
[6]高旋,胡钢,陈超,等.基于区块链的工业互联网平台安全管理方法[J].工业控制计算机,2023,36(11):134-136.
[7]刘文军,陈晨,狄航.一种面向标识公共递归解析节点的数据安全加固策略[J].信息通信技术与政策,2023,49(11):18-24.
作者单位:上海电气集团数字科技有限公司
■ 责任编辑:王颖振、郑凯津