新基建提速工業(yè)互聯(lián)網(wǎng)，工業(yè)互聯(lián)網(wǎng)安全如何保障?

　　4月20日，國家發(fā)改委明確新基建范圍，新基礎設施涵蓋5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等通信網(wǎng)絡基礎設施，其中工業(yè)互聯(lián)網(wǎng)作為數(shù)字化基建之一，融合云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、5G通信、邊緣計算等新一代信息通信技術，多元技術融合也帶來隱患，工業(yè)互聯(lián)網(wǎng)從平臺到具體應用都離不開安全保障。新基建帶來新的發(fā)展機遇，也對網(wǎng)絡空間安全帶來全新挑戰(zhàn)。

　　新基建提速下，工業(yè)互聯(lián)網(wǎng)安全應如何保障?

　　安全問題頻發(fā)，工業(yè)互聯(lián)網(wǎng)安全面臨挑戰(zhàn)

　　新技術催生“人-機-物”全面互聯(lián)，網(wǎng)絡世界與物理世界的邊界被打破，傳統(tǒng)工業(yè)不斷引入新技術，網(wǎng)絡攻擊也能對現(xiàn)實世界造成傷害，安全邊界在不斷延伸。

　　制造業(yè)轉型升級時，工業(yè)設備廣泛連接網(wǎng)絡以協(xié)調制造，工藝參數(shù)、產(chǎn)能信息等關鍵數(shù)據(jù)向云平臺匯聚，工業(yè)互聯(lián)網(wǎng)成為網(wǎng)絡攻擊的重點目標，企業(yè)受攻擊風險進一步增大。

　　全球工業(yè)領域安全事件頻繁發(fā)生，后果愈加嚴重。國家工信安全中心統(tǒng)計，2017-2019年，工業(yè)領域公開報道的勒索病毒攻擊事件22起，制造業(yè)是被攻擊重點，涉及多國知名化工、食品、汽車制造企業(yè)，直接造成了系統(tǒng)癱瘓、生產(chǎn)停滯、運營中斷等嚴重后果。

　　“工業(yè)互聯(lián)網(wǎng)能夠實現(xiàn)全系統(tǒng)、全產(chǎn)業(yè)鏈以及產(chǎn)品全生命周期的互聯(lián)互通。工業(yè)互聯(lián)網(wǎng)相對消費互聯(lián)網(wǎng)而言會更復雜，應用場景更多，海量設備、系統(tǒng)、生產(chǎn)服務都應用在工業(yè)互聯(lián)網(wǎng)全環(huán)節(jié)，當病毒等軟件安全風險向工業(yè)互聯(lián)網(wǎng)領域滲透，一個環(huán)節(jié)出現(xiàn)漏洞會影響到企業(yè)的全流程發(fā)展。”樹根互聯(lián)宋奎表示。

　　工業(yè)互聯(lián)網(wǎng)打破傳統(tǒng)網(wǎng)絡安全界限，企業(yè)IT和OT得到融合，工業(yè)網(wǎng)絡、管理網(wǎng)絡與互聯(lián)網(wǎng)相互連接，大量工業(yè)互聯(lián)網(wǎng)資產(chǎn)在公網(wǎng)暴露，大量威脅從外網(wǎng)向工業(yè)內網(wǎng)延伸滲透。

　　而內部風險同樣嚴重，與傳統(tǒng)網(wǎng)絡安全相比，工控軟件和設備更關注系統(tǒng)的實時性與業(yè)務連續(xù)性，內存和處理能力有限，網(wǎng)絡安全防護設計能力不足，安全問題大多被忽略。

　　宋奎告訴億歐：“工業(yè)互聯(lián)網(wǎng)平臺在2017年開始大規(guī)模出現(xiàn)，因早期技術限制，安全問題時有發(fā)生。在等保1.0時期，未涵蓋邊緣側安全要求，彼時數(shù)據(jù)的篡改、挪用無法被監(jiān)控。”

　　工業(yè)互聯(lián)網(wǎng)安全意義重大。新基建下的工業(yè)互聯(lián)網(wǎng)被明確為國家的信息基礎設施的重要支撐，安全可控的工業(yè)互聯(lián)網(wǎng)平臺是保證生產(chǎn)落實的前提，平臺安全是產(chǎn)業(yè)安全和國家安全的重要基礎。

　　“企業(yè)層面，工業(yè)互聯(lián)網(wǎng)直接連接工業(yè)設備，一旦發(fā)生入侵等安全事故，會對人身、企業(yè)、生產(chǎn)安全造成直接損害。早期工業(yè)設備一般是啞設備和非智能設備，其基本的安全防護能力較弱。”宋奎強調。

　　除了設備，針對協(xié)議、硬件和應用的工業(yè)控制系統(tǒng)的攻擊行為愈發(fā)普遍，安全問題亟待解決。

　　技術賦能商的工業(yè)互聯(lián)網(wǎng)安全路徑

　　工業(yè)互聯(lián)網(wǎng)2.0中，網(wǎng)絡、數(shù)據(jù)和安全是工業(yè)互聯(lián)網(wǎng)體系架構的三大核心。網(wǎng)絡是基礎、數(shù)據(jù)是核心、安全是保障。在安全層面，涉及邊緣層面如何解決網(wǎng)絡安全、控制安全、設備安全問題。

　　樹根互聯(lián)從邊緣、控制、網(wǎng)絡三方面保障工業(yè)互聯(lián)網(wǎng)安全。

　　邊緣設備是連接工業(yè)設備和云端的橋梁，也是工業(yè)互聯(lián)網(wǎng)鏈條中的重點保護對象，設備和云端會建立雙向認證機制，保障設備接入安全、傳輸安全。

　　在控制方面，從云端與終端兩個方向防御。在云端，平臺對邊緣側下發(fā)指令，在云端嚴格控制下發(fā)權限，并進行身份校驗。在終端，設備利用AI技術獲得自我學習能力，對云端下發(fā)的指令進行安全分析。例如，在工廠工作區(qū)域內，一旦工人脫離安全區(qū)，設備是否接受停車指令，終端設備能自主判斷。

　　在網(wǎng)絡方面，通過場內網(wǎng)關保障網(wǎng)絡安全。

　　此外5G、區(qū)塊鏈等新技術也應用到工業(yè)互聯(lián)網(wǎng)安全。宋奎表示，5G將從兩方面改變工業(yè)互聯(lián)網(wǎng)安全生態(tài)。

　　一方面，5G速度更快，邊緣側的應用可放至云端。5G對用戶的唯一標識性符合更高的隱私安全;對歸屬地網(wǎng)絡的控制，降低了漫游區(qū)的欺騙風險;加密數(shù)據(jù)量大，其對主機的傳輸速度要求更高，5G能承載安全加密后的數(shù)據(jù)。

　　另一方面，5G相對4G、3G時延更低，可增強運營商的優(yōu)勢，防御網(wǎng)絡攻擊。在工業(yè)互聯(lián)網(wǎng)時效性要求較高的場景，邊緣側時效性要求較高，5G低時延特點發(fā)揮作用，工廠設備故障后及時停機，能夠大大降低業(yè)務延遲。

　　例如三一重工遠程遙控落地，5G讓遠程遙控突破了信號傳輸?shù)钠款i，借助5G網(wǎng)絡，異地挖掘機獲得指令，挖掘機能迅速精準地完成挖掘、回轉、裝車等遠程無人動作。

　　除5G外，樹根互聯(lián)將區(qū)塊鏈運用在工業(yè)互聯(lián)網(wǎng)安全領域。國家的工業(yè)互聯(lián)網(wǎng)標識體系將所有設備標識，樹根互聯(lián)利用區(qū)塊鏈技術，將設備信息在可信標識管理存證，解決終端設備身份問題，保證設備唯一性，助力安全傳輸。

　　樹根互聯(lián)已經(jīng)具備工業(yè)區(qū)塊鏈的服務能力，利用區(qū)塊鏈標識解析落地產(chǎn)品，包括安全威脅平臺、生態(tài)體系安全監(jiān)控、外圍端到端的運維監(jiān)控和管理，共同保障供應互聯(lián)網(wǎng)安全。

　　4月初，長沙經(jīng)開區(qū)與三一汽車、樹根互聯(lián)簽訂戰(zhàn)略合作框架協(xié)議，以三一云谷為載體，共建星沙區(qū)塊鏈產(chǎn)業(yè)園，爭取5年內形成千億級數(shù)字經(jīng)濟產(chǎn)業(yè)鏈，打造以區(qū)塊鏈技術為特色的綜合性數(shù)字經(jīng)濟產(chǎn)業(yè)示范區(qū)。

　　制造商的工業(yè)互聯(lián)網(wǎng)安全探索

　　除了行業(yè)技術推動，國家也出臺一系列安全標準，在國家政策、業(yè)界標準不斷完善的前提下，美的根據(jù)工業(yè)互聯(lián)網(wǎng)生產(chǎn)安全標準，從三個維度建設安全架構。

　　美的信息安全負責人朱治國介紹：“第一個大的方面是整個安全管理制度，第二是技術落地解決方案，從底層物理層到上層數(shù)據(jù)層、應用層的技術縱深防御解決方案，第三是管理體系建立后的運行過程監(jiān)測、安全實時探測。美的從三大維度構建起美的工業(yè)互聯(lián)網(wǎng)安全體系。”

　　美的充分考慮各層級數(shù)據(jù)安全，形成IaaS、PaaS、SaaS層的數(shù)據(jù)到應用的全鏈路安全，并在數(shù)據(jù)采集、傳輸及存儲過程中都采用了加密方案。

　　美的在網(wǎng)絡架構上實現(xiàn)了IT/OT網(wǎng)絡區(qū)分，通過辦公、MES、生產(chǎn)網(wǎng)隔離，終端標準化，設備白名單接入，部署工業(yè)級防火墻、入侵防御系統(tǒng)等一系列安全措施，保障內網(wǎng)純凈，全網(wǎng)實現(xiàn)了網(wǎng)絡準入控制，以及業(yè)務的專網(wǎng)專用。

　　在每一層級傳輸鏈路、網(wǎng)絡匯聚及邊緣節(jié)點上，美的部署網(wǎng)絡探針，實時監(jiān)測流量情況。后臺安全大數(shù)據(jù)分析平臺實時態(tài)勢感知，匯聚全域流量，實時監(jiān)測與告警。

　　美的工業(yè)互聯(lián)集成負責人王軍補充道：“數(shù)據(jù)采集源頭是設備，工廠里有一部分設備是老設備，不具備加密接口。為保證數(shù)據(jù)源安全，核心做法是把數(shù)據(jù)采集工作放到邊緣層，在靠近設備的地方采集數(shù)據(jù)。利用智能網(wǎng)關就近連接設備，一旦設備數(shù)據(jù)進入網(wǎng)關就是安全的;在智能網(wǎng)關到云端平臺之間，所有鏈路都是受控的。”

　　美的旗下美云智數(shù)擁有多個系列、不同配置和功能的智能網(wǎng)關產(chǎn)品，支持大多數(shù)常見的工業(yè)通信接口和協(xié)議，通過智能網(wǎng)關，能夠解決不同設備的連接問題，保障數(shù)據(jù)傳輸安全。

　　值得一提的是，工業(yè)互聯(lián)網(wǎng)通信標準化也是美的未來想要發(fā)力的方向。

　　“早期設備是單機操作，設備功能點多面廣，數(shù)據(jù)采集解決方案、協(xié)議也不一樣。多樣的協(xié)議給流量檢測，入侵檢測帶來極大困難。在未來，標準化的通信協(xié)議能解決此問題，這也是美的未來發(fā)力的一個重要方向。”美的IT總監(jiān)周曉玲表示。

　　新基建下，工業(yè)互聯(lián)網(wǎng)發(fā)展提速，安全問題尤為重要。數(shù)字化時代，技術賦能商與制造企業(yè)從不同角度出發(fā)，擁抱新技術，保障工業(yè)互聯(lián)網(wǎng)安全，加速企業(yè)數(shù)字化轉型。