工业互联网平台网络安全风险分析

1、工业互联网平台网络安全风险分析工业互联网快速发展，逐步渗透到经济社会生活的方方面面，实 现了全要素、全产业链、全生命周期的互联互通，其自身安全与否， 将直接影响到产业安全、经济安全、国家安全等诸多方面。工业互联 网安全是工业生产运行过程中的信息安全、功能安全与物理安全的统 称，涉及工业互联网领域各个环节，其核心任务就是要通过监测预警、 应急响应、检测评估、功能测试等手段确保工业互联网健康有序发展。 构建满足我国工业互联网发展需求的工业互联网安全框架可为相关 企业从实施层面提供理论指导，助力企业开展工业互联网安全防护体 系建设工作。1工业互联网平台安全风险分析边缘层安全边缘层安全是指工业互联网平

2、台与工业企业接入过 程中数据采集、协议转换、边缘计算的安全。由于智能传感器、边缘 网关等边缘终端设备计算资源有限，安全防护能力薄弱，工业互联网 平台在数据采集、转换、传输的过程中，数据被侦听、拦截、篡改、 丢失的安全风险很高，攻击者可利用边缘终端设备漏洞对平台实施入 侵或发起大规模网络攻击。设备安全所谓设备层的信息安全风险主要 针对智能设备和智能产品而言，如芯片、嵌入式操作系统、编码功能 等存在漏洞或缺陷。设备层的信息安全风险得不到治理，极可能会影 响整个工业互联网的正常运行，不仅威胁操作人员人身安全，还会造 成一定程度的经济损失，直接或间接限制了企业可持续发展，因此必 须要予以高度重视。平台

3、数据安全平台数据安全涉及接入平台、平台 运行、平台退出3个阶段中的数据安全。在接入平台阶段存在边缘层 接入以及工业APP接入平台过程中数据面临的侦听、拦截、篡改、丢 失、窃取等安全风险；平台运行阶段主要面临数据存储安全风险；平 台退出阶段涉及用户迁移平台或完全退出平台时数据泄露与备份的 安全风险。2工业互联网安全关键防范技术分析2.1加快提升工业互联网平台安全技术防护能力加强设备和系统安全接入能力。围绕访问认证、数据加密、权限 管理、日志审计等安全需求，突破设备特征智能提取、流量审计与清 洗、实时动态阻拦等关键技术，实现设备、系统安全接入平台。提升 平台运行安全态势感知能力。在平台内部、网络出

4、入口部署安全运行 监测设备，掌握平台侧安全态势。建设国家工业互联网平台安全监测 预警系统，汇聚行业、地方和企业平台态势感知数据，实时、动态监 测平台运行安全状态。建设工业应用服务安全检测手段。构建面向多 业务、全场景的工业互联网应用服务安全检测环境，开展检测工具研 发和测试验证平台建设，增强上线审核、运营监督、服务更新及下线评估等环节的风险防控能力。2.2网络安全网络安全主要是采取纵深防御策略，遵循区域划分、边界隔离、 链路防护、通信管控的原则，对工业互联网进行有针对性的安全防护。 区域划分。工业互联网组网比较灵活，按照功能业务的不同，一般将 网络结构划分为设备层、控制层、管理层3个层面。以西

5、门子为例子， AS-i是设备层总线，主要接入各类传感器或执行器等工业设备，并与 控制层中的智能控制设备进行数据交换；PROFIBUS是控制层总线， 实现对现场设备的运行状态进行监控；PROFINET是管理层总线，主 要用于对从控制层上报的生产数据进行分析与管理等。边界隔离。网 络结构各层之间采用隔离手段，管理层通往互联网的出口处部署防火 墙，只允许符合规则校验的网络数据通过该防火墙进出工业互联网。 管理层只对控制层上报的生产数据进行获取分析与实时管理，并不对 控制层设备进行操作，管理层与控制层之间部署单向数据传输装置， 只允许从控制层流向管理层的数据通过，从而阻断通过管理层向控制 层进行网络攻

6、击的可能性。2.3支持工业互联网安全科技创新加大对工业互联网安全技术研发和成果转化的支持力度，强化标识解析系统安全、平台安全、工业控制系统安全、数据安全、5G安 全等相关核心技术研究，加强攻击防护、漏洞挖掘、态势感知等安全 产品研发。支持通过众测众研等创新方式，聚集社会力量，提升漏洞 隐患发现技术能力。支持专业机构、高校、企业等联合建设工业互联 网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链 等新技术提升安全防护水平。2.4数据安全工业互联网平台提供数据脱敏和去标识化的工具或服务组件技 术。数据应具有本地数据备份、恢复、销毁等功能，支持用户对密码 算法、强度和方式参数的可选配置，

7、并提供磁盘保护方法或数据碎片 化存储措施，避免数据被窃取。数据采用密码技术支持的保密性保护 机制加密，运营商禁止未授权访问和非法使用用户个人信息，并禁止 重要工业数据存储于境外，以及限制跨国境的远程维护。在工业互联 网安全技术讨论的基础上，针对当前我国工业互联网产业发展需求， 总结出工业互联网信息安全标准体系。该工业互联网信息安全标准体 系具体包括总体防护要求、技术要求、管理要求、服务要求等四个方 面。总体防护要求包括安全架构与模型、身份鉴别、访问控制、安全 审计、入侵防范等基础共性技术，防护等级分为安全防护基本级要求、 安全防护增强级要求两个层次。技术要求及规范包括现场设备安全、 控制安全、

8、网络安全、应用安全、数据安全等五个方面，以满足平台 访问安全、应用安全和访问控制安全的管理要求，以及企业服务安全、 第三方服务安全、安全风险评估与测试等服务要求，为工业互联网的 设计、建设、运行维护过程中的安全提供参考依据。2.5引入区域链技术可以尝试将区域链技术引入到工业互联网系统中来，以其明显的 去中心化特点，来提升工业互联网的隐私性、信息安全性，并在区域 链强大的加密算法、共识机制、点对点传输、分布式数据存储等计算 机技术的应用下，来有效提升工业互联网安全问题的成功解决率。通 过数据库的构建来对工业互联网各类信息数据的完整性予以有效保 护；在数据验证中导入密码学原理，以此来切实提升数据的安全性， 保证数据不可被篡改；引入多私钥规则来进行网络权限管理，提升对 网络访问的权限控制，将企业外部人员杜绝在工业互联网的访问范围 之外。结语工业互联网平台安全建设是推进工业互联网平台与工业互联网 健康发展的必要保障，我国针对工业互联网平台安全的相关工作仍处 于摸索阶段，平台安全管理体系尚不健全、平台安全技术防护能力较 弱、平台数据安全风险隐患凸显等问题亟待解决。在国家层面，为了 加强我国工业互联网平台安全保障能力建设，亟需清晰认识工业互联 网平台在不同安全层级的安