摘 要:隨著互聯網和傳統工業的深度融合,今天的工業互聯網已經覆蓋而不局限于住宅供暖、國家電氣、車輛制造、石油勘探、化工制造等方面。工業互聯網的新元素智能機器、高級分析、工作人員的涌現,也給工業網絡平臺終端帶來了終端安全問題、控制安全問題、業務安全問題等新的安全威脅。本文從技術和人為兩個方面提出針對安全漏洞的解決辦法,闡述工業互聯網在局域網中的安全發展趨勢。
關鍵詞:工業互聯網;局域網;網絡安全;防范
作為工業互聯網的支撐,互聯網極大地拓展了網絡空間的應用范圍和領域,但是工業化和信息化的領域越來越變得重合,工業控制系統不再是一個密封的狀態,增加了設備、控制、網絡等方面受到損害的風險。盡管工業互聯網在上述新興行業有著巨大的應用前景,但由于工業互聯網固有的網絡廣泛開放和移動終端資源的局限性以及對網絡拓撲動態變化的限制,使得新興工業互聯網網絡不僅面臨著更大的網絡安全威脅和用戶隱私泄露風險,也給工業互聯網網絡安全和用戶隱私保護方案的設計增加了很多障礙。
一、工業互聯網中局域網網絡安全的相關概念
(1)局域網(al area network,LAN),主要是指由各種計算機、外部設備和數據庫組成的計算機通信網絡,這些計算機和數據庫在當地的地理范圍內相互連接,覆蓋范圍一般是幾千米之內,如學校、工廠和企業機構。
(2)工業互聯網一般以一個工廠或者企業為基礎建構為工業局域網或者企業局域網,這相當于是一個“內網”,網內可以實現用戶的數據共享和分布處理。為工業局域網內部用戶提供數據共享是建設工業局域網的初衷,也是局域網最鮮明的特色。近年來網絡硬件設備的更新換代為互聯網行業飛速發展提供了硬件保障,但是飛速發展也給工業帶來許多安全挑戰。
(3)工業互聯網網絡安全通俗來講就是保護用戶的軟件、硬件和系統的數據不因受到非法攻擊而受到更改、破壞和泄露,同時為用戶網絡連接和日常辦公操作連續穩定地進行。
目前國內對工業互聯網的研究方向大多集中在網絡通信協議和路由算法的設計上,忽視了新興場景下的工業安全和數據隱私保護的研究,這導致了工業互聯網在當前新興工業領域的發展進入瓶頸期。
二、工業互聯網在局域網中的連接方式
局域網在工業領域一般分為有線連接和無線連接。
(1)有線連接。因為局域網的覆蓋范圍在幾千米之內,距離相對來說比較短,所以使用銅線很適合作為傳輸介質,但是也有一部分局域網采用光纖作為傳輸介質。有線局域網的基礎采用點對點鏈路的拓撲結構,局域網交換機是有線局域網的核心。采用有線連接的工業局域網,在數據傳輸、分布處理、共享打印等諸多方面均由于無線局域網,這是有線連接的本質特色。
(2)無線連接。由于許多工業場地不適合用傳輸介質連接工業局域網,例如化工工廠、石油平臺等,往往可以采用簡單的WiFi,只需要一個路由器,就可以搭建一個無線工業局域網。中等規模的工廠可以通過利用多個路由器和交換機搭配來完成工業局域網建構,大規模的工廠則需要中心化的無線控制器來控制大量的工廠終端。無線局域網由于可以實現在無法鋪設傳輸介質的領域實現傳輸,省時省力,在工業方面的應用更加廣泛,例如在化工工廠通過無線定位可以知道化工原料的具體位置。
三、工業互聯網網絡安全漏洞
(1)技術層面。①工業局域網服務器防護能力低。工業數據可以在工業局域網中快速、高效的傳遞,這是用戶高效工作的保障,但是當工業局域網受到病毒攻擊時,給用戶帶來的威脅也是非常大的。局域網的數據傳遞速度是非常快的,同樣傳遞病毒的速度也很快,一旦工業局域網中一臺計算機終端受到病毒感染,如果沒有強力的服務器防護能力,其他電腦也會很快感染,造成數據丟失、修改和破壞。防火墻往往被安裝在工業內部網和外部網之間,對外網的病毒有很大程度的阻斷作用,但是對內網也就是工業局域網內部網絡卻不會起到作用。因此當問題出現在內部網絡的時候,將會造成工業損失。②工業數據安全性不強。近些年來計算機病毒類型層出不窮,主要目的大都是為了獲取用戶數據來牟利,工業數據的價值更在個人數據之上,所以在工業局域網中需要防范外部病毒攻擊。安裝一些殺毒軟件是保障工業互聯網正常運行的有力手段,可以有效減少病毒入侵現象。病毒具有不可預見性,殺毒軟件永遠落后于病毒產生速度。殺毒軟件不可能對所有病毒都有抵抗性,國內比較好的殺毒軟件庫,比如360殺毒軟件,都是發現新病毒之后加入病毒庫,下次再遇到具有相同屬性的病毒就有了病毒預警和解決辦法,所以管理人員需要及時更新殺毒軟件,防范是最重要的工作。③內部操作不當。局域網用戶在使用外部移動存儲設備進行數據傳輸時,病毒可以在恰當的時機進入工業局域網并自發復制傳染,給工業互聯網中的工業數據帶來隱患。提高工業網絡用戶的安全意識,避免擅自將已經接入外網的設備直接接入內網,或者在內外網切換時都進行安全檢測,可以有效避免木馬病毒進入工業局域網。
(2)人為層面。①企業領導對工業互聯網安全重視程度不夠。工業局域網安全問題出現的一個重要原因是企業領導者缺乏前瞻意識,沒有意識到當今社會已經經歷了四次信息革命,是一個包容的信息社會。信息是21世紀討論的永恒主題,對于工業領域來說更是這樣,保障工業數據安全不僅可以保證企業的收入穩定,更是大國之間博弈的重要籌碼。②缺乏專業技術人才,工業數據安全得不到保障。相對于工業互聯網日新月異的發展速度,網絡安全人才的培養相對滯后,對網絡安全人才的要求也越來越多,不僅需要對網絡安全有精深的專業認識,還需要對工業互聯網可能遇到的威脅有敏感的嗅覺。
四、安全漏洞解決措施
(1)技術層面。①網絡拓撲結構安全防范技術。在設置工業局域網時第一步就是選擇合適網絡拓撲結構,合適的網絡拓撲結構不僅可以節省系統資源降低數據鏈路冗余,更重要的時有利于工業互聯網網絡安全控制。但是網絡環境(如噪聲,溫濕度等)、局域網通信量、局域網設備配置情況、網絡管理與維護等因素都會影響到網絡拓撲結構的選擇,在后期企業需要對網絡結構進行分析,及時對網絡結構進行科學優化,以便對現有框架內的資源進行最大化合理利用。優化過程中由于拓撲結構可能發生改變,所以需要充分考慮優化后防火墻的設置位置以及入侵檢測監控的合理使用。②防火墻技術。防火墻技術是在網絡安全與隱私保護方面扮演的角色越來越重要。防火墻大量應用于工業局域網與外部網之間,每當外部訪問者進入,防火墻通過對信息流量數據的檢測,可以及時反饋給用戶。防火墻相當于一個警報,如果有在用戶設定的安全策略之外的數據進入,防火墻可以對數據進行過濾,符合安全策略的數據進入,不符合安全策略的數據不能通過防火墻而排除在外,充分保障工業局域網網絡安全。在工業領域,內部工業終端可以通過交換機連接在一起,形成一個相對安全的局域網(內部網),在與外網的連接上設置防火墻,就可以對局域網中諸多工業機器進行防護,比對每一臺計算機分別進行安全管理效率高而操作管理方便。另外,在工業局域網內部,可以將更為重要的網段用防火墻進行隔離,防止局部安全問題蔓延到整個網絡,減少一些損失,實現對工業局域網分級管理。③入侵檢測技術。作為對防火墻技術的重要補充,當病毒沒有被防火墻攔截,攻擊工業內部網絡,入侵檢測將作為第二道防線對病毒進行阻斷,所以入侵檢測技術跟防火墻技術同樣重要,都是保護工業網絡外部隱形的護盾。入侵檢測技術是入侵檢測系統的核心,如果把內部工業局域網看作一間房子的話,與防火墻的外圍防護相比,它更像是一個攝像頭,時時刻刻對可疑傳輸進行監控,一旦發現可疑行為,入侵檢測系統會將會報告給用戶或者主動采取反制措施。大多數的網絡安全設備都是重在防控,入侵檢測系統還是一種主動的安全防護設備。在工業領域中,入侵檢測系統的切斷網絡和有效預警等措施可以提高工業數據在局域網中的安全性。
