工业互联网网络安全技术浅析 - 网站源码_资源分享

全文：轻工业互联网的相连冲破了传统轻工业相对半封闭可靠的生产环境，特别针对他们辨识的轻工业互联网中的重要信息安全可靠安全隐患，他们对互联网隔绝控制技术、侵略检验控制技术、交换机电脑病原体控制技术、重要信息安全可靠传输控制技术在轻工业互联网中的应用进行了科学研究。

序言

在“新基础建设”的背景下，互联网化驱动力的轻工业互联网控制技术快速了重要信息内部空间与力学内部空间的结合，“按键滑鼠”与“强国秘色”之间介面的逐步冲破将引致轻工业互联网曝露在互联网“阵地”反击下，无可避免的正式成为蓄意政治势力攻击毁坏的重中之重目标，比藏西县，轻工业重要信息安全可靠有鉴于，轻工业安全可靠该事件多发。

自2010年土耳其核电厂StuxnetWannacry病原体反击该事件起，特别针对轻工业互联网的反击该事件越发频密，如2015年白俄罗斯电业遭骇客反击，引致大规模停水；2017年美国水务公司遭遇骇客侵略，引致大量使用者重要信息外泄；2017年的“Thangorodrim”敲诈感染全球数十个国家和地区；近日厄瓜多尔一大型大坝系统遭“骇客反击”，影响 21个州的供电系统该事件。工业重要信息安全可靠早已正式成为了全球性痛点，没有安全可靠保证的轻工业互联网，其先期的产业发展将举步维艰。加强轻工业重要信息安全可靠关键控制技术科学研究，推进轻工业重要信息安全可靠控制技术产业发展早已迫在眉睫。

轻工业互联网数据库系统

轻工业互联网管理体系包涵互联网、平台、安全可靠三大功能管理体系，实现人、机、物全面数据服务的新式互联网，图1右图为轻工业互联网数据库系统示意。

图1 轻工业互联网数据库系统

互联网。互联网是轻工业互联网的基础，实现轻工业管理体系内各系统、产业链、价值链泛在数据服务。

平台。平台是轻工业互联网的核心，构建基于海量数据采集、汇聚、分析的平台能力。

安全可靠。安全可靠是轻工业互联网的保证，通过构建涵盖轻工业全系统的安全可靠防护管理体系，增强设备、互联网、控制、应用和数据的安全可靠保证能力，辨识和抵御安全可靠威胁，化解各种安全可靠风险，构建轻工业智能化产业发展的安全可靠可靠环境。

轻工业互联网的安全可靠管理体系架构

轻工业互联网的安全可靠与传统重要信息安全可靠及生产力学安全可靠有根本性的区别，轻工业互联网复杂的安全可靠挑战，需要一套管理体系化的安全可靠方案来应对，图2右图为我国当前主流的轻工业重要信息安全可靠管理体系架构示意。

图2 轻工业重要信息安全可靠框架左图

安全可靠框架充分借鉴传统重要信息安全可靠框架和国外成功实践，包涵了防护对象、防护措施及防护管理3个部分，3个部分相辅相成、互为补充，形成一个完整、动态、持续的防护管理体系。

轻工业互联网的重要信息安全可靠安全隐患分析

轻工业互联网子系统按照功能分为车间、企业、产业、平台等模块。各模块具有大规模相连、设备多样性、系统接口多等特征，其安全可靠风险安全隐患主要表现在威胁对象广、危险类型多、安全可靠风险因素多、反击模式复杂几个方面。

按照安全可靠框架的防护对象，轻工业互联网的安全可靠工作主要聚焦在设备、控制、互联网、应用和数据五大领域，本文主要对轻工业互联网中的重要信息安全可靠领域的关键控制技术进行科学研究。

轻工业互联网领域中的重要信息安全可靠主要指工厂内部互联网和工厂外部互联网的安全可靠，其互联网示意如图3右图。

图3 轻工业互联网互联网左图

根据对轻工业互联网的互联网架构及重要信息安全可靠相关工作内容的分解与分析，轻工业互联网互联网主要存在如下的安全可靠风险。

工厂原有的内部互联网为半封闭互联网，原生产区域及各个设备之间未做严格的权限管控及区域隔绝，在接入互联网后，带来反击风险。

轻工业互联网包涵了IT、CT、OT相关的控制技术，其安全可靠管理体系所涉及到工业互联网的反击形态、反击手段还未被完全掌握，基于现有的防火墙控制技术很难精确地定位与应对。

目前部分工控系统仍然使用微软 Windows 系统，由于原有的半封闭互联网特性引致其部分系统存在长期未升级、版本停止服务、安全可靠漏洞无法修复等风险。

轻工业互联网的互联网中传输大量的OT侧的控制数据，如果该类数据被劫持或者破解，将会给生产带来极大毁坏的风险。

轻工业互联网重要信息安全可靠防护控制技术

根据对轻工业互联网面临的重要信息安全可靠风险的分析，建议将互联网隔绝控制技术、侵略检验控制技术、交换机电脑病原体控制技术、数据加密控制技术应用于轻工业互联网的重要信息安全可靠管控工作中，应对其安全可靠风险，控制技术应用示意如图4右图。

图4 轻工业互联网重要信息安全可靠控制技术应用左图

4.1 互联网隔绝控制技术

互联网隔绝可以有效防止互联网重要信息无序流转，根据系统安全可靠等级的不同，分区域、分设备、分使用者多维度隔绝，当前主要有力学隔绝、协议隔绝和应用隔绝3种隔绝控制技术。

力学隔绝。力学隔绝控制技术主要在OT区域实施，可以通过网络规划完全地力学隔绝，也可以使用网闸控制技术来完成力学隔绝。

协议隔绝。该类隔绝控制技术依靠TCP/IP协议原理实现，如基于二层的MAC地址访问控制控制技术，基于VLAN的广播域控制控制技术，基于隧道协议（IPSec、GRE等）的VPN控制技术。

应用隔绝。该控制技术主要指在轻工业互联网的云平台的SDN的互联网环境中，如容器、虚拟机、沙箱虚拟化隔绝控制技术等。

4.2 侵略检验控制技术

侵检验控制技术（IDS）相对于防火墙的静态防御控制技术，是一种主动保护自己免受反击的一种重要信息安全可靠控制技术，其提供了动态防御能力，整体提升了重要信息安全可靠防护管理体系。

在轻工业互联网中，很多轻工业控制设备在设计之初就未考虑过自己会曝露在轻工业互联网上，缺乏防护设计，存在很大的漏洞安全隐患，一旦在线运行极易被反击，直接威胁重要信息安全可靠。同时重要信息安全可靠方面，因轻工业互联网产业发展产生的数据采集、汇聚，也会引致和增加数据被外泄、被敲诈反击和被滥用的风险。轻工业互联网中设备众多、互联网通信复杂，很难全面掌握互联网中所必须的业务通信需求，防火墙的静态配置控制技术无法全面解决其安全可靠风险，侵略检验控制技术将作为防火墙控制技术的有效补充，整体提升轻工业互联网的安全可靠。

侵略检验控制技术对互联网进行检验，提供对内部反击、外部反击和误操作的实时监控，对重要信息安全可靠提供动态保护，其具有事前警告、事中防御、事后取证的特点，很好地弥补了防火墙只能作为静态防御的不足。对缓冲区溢出、SQL 注入、暴力猜测、DOS 反击、扫描探测、木马后门等各类骇客攻击和蓄意流量进行实时检验及报警。

侵略检验系统的部署如图5右图。

图5侵略检验部署左图

部署方式采用旁路方式，从防火墙上进行流量镜像到IDS设备，这样可以使用防火墙与IDS进行联动配置，提高系统整体安全可靠。

4.3 交换机式电脑病原体控制技术

传统的主机侧的电脑病原体系统如果在轻工业互联网上实施需要部署在每一台工控设备即服务器上，由于轻工业系统对软件的兼容性、可靠性、稳定性要求非常高，其电脑病原体产品必须经过严格的测试后才能安装，因此带来适配周期长、测试样例复杂、改造成本高等诸多难以短时解决的困难，如果采用交换机式电脑病原体控制技术就能能够很好地规避轻工业互联网中电脑病原体软件部署困难的问题，交换机电脑病原体示例如图6右图。

图6 交换机电脑病原体左图

交换机电脑病原体控制技术依靠病原体特征码匹配，在交换机处将数据包还原成文件进行病原体处理。该种方案将原有的分布式的主机查杀毒方式转变为集中式的交换机病原体防范，对于原有轻工业互联网因设备老旧，系统版本厂家早已停止服务无法适配病原体软件，软件因病原体软件兼容性带来的附加改造成本均能得到很好的改善，既降低了电脑病原体方案的控制技术实现，同时也降低了电脑病原体系统实施的成本。

在轻工业互联网的系统中，电脑病原体交换机的部署方式主要有如下3种。

透明模式。该模式部署简单，所有流量均进行病原体查杀，但存在单点安全隐患。

旁路代理模式。只特别针对引入特定协议的流量进行病原体查杀，合理配置下，成本于收益最佳。

旁路模式。与旁路代理模式一致，该模式只做检验，不做病原体查收，该模式更多作为已有的主机侧病原体的补充方式。

4.4 重要信息安全可靠传输控制技术：

表1 隧道协议对比表