工业互联网安全风险分析及对策

余明明

(上海航空工业(集团)有限公司,上海 201210)

伴随互联网各种技术的融合创新,技术红利在当下互联网迸发,极大促进了互联网平台的发展,各行各业以互联网为平台,建立了互联网+的经济模式,实现了行业的蓬勃发展,带来了国民经济的迅猛增长,改变了我国人民生活方式和思维方式。但是互联网的发展也带来了更多的安全风险因素,为此,在工业互联网中,必须要加强安全风险的分析与管控。

1 工业互联网发展状况

工业互联网是指借助互联网和物联网等技术将工业设备、产品和服务连接起来并对数据进行采集、传输、分析和使用,建立工业互联网系统,提高工业生产效率,升级产业结构,并依托工业互联网体系保障工业发展安全,统筹调动资源,杜绝安全隐患,降低经济损失。工业互联网起源于20世纪,以美国英特尔、电话电报等五家公司的建立为标志,在此之后,被多个国家所接受,成为提高工业部门发展水平,为工业智能化打下基础的一项重要举措。工业互联网作为一种新型的工业信息系统,主要由边缘、平台和应用三个部分组成,所谓边缘指利用传感器采集工业设备中的各项数据并进行处理,保证信息的真实性和完整性,为后期决策提供较为充分的信息依据[1]。而所谓的平台是指通过开发工作软件的方式为用户提供服务,旨在帮助用户完成创建、测试和应用等功能,最大程度提高工作效率,实现资源的最大化配置。所谓应用特指软件服务层,意思是用户可以在平台上调用不同领域内的软件,协助实际工作的开展。回顾自身,在发达国家率先开始工业互联网建设之后,我国也开始了自己的工业互联网建设之路,但总的来看,我国工业互联网建设还处于初级阶段,发展虽比较稳健,但安全性不够,对于网络攻击防御力不足,一旦受到攻击,不仅未能及时察觉并作出拦截,反而还成立数据泄露的端口,给行业发展带来极大的挑战,同时也波及了我国国民经济的增长。

2 工业互联网安全风险重难点

2.1 联网工业设备漏洞较多

伴随数据化时代的到来,物联网日益成为现实,万物皆媒成为当下工业部门的一种发展趋势,许多工业设备都内置了信息接收与传输装置,并借助4G或5G网络实现信息的实时共享传输,许多信息在借助互联网平台进行整合,为工业部门工作提供庞大的信息支撑。然而由于我国工业互联网系统尤其是设备未采取有效的安全防护措施,安全防护水平较低,并随着各种智能设备的广泛应用,这种漏洞所造成的安全隐患极其巨大。换句话说,由于我国工业设备和工控系统的不设防,网络攻击可以直接通过工控系统直达工业设备,造成工业设备运作的瘫痪,其波及范围之大,影响程度之深远甚于过去。事实上,我们不难发现,工业互联网以数据、安全和网络为特征,其中数据作为实际工作开展的重要依据,对工业部门无疑具有极其高的资产价值,这也使得工业基础设施和重要信息系统成为网络攻击的首要目标,再加上企业对工业互联网信息系统的保护意识不足,相关措施未能落实到位,造成了部分企业自身工业互联网重要基础信息泄露,甚至黑客反向追踪用户数据,带来用户数据的泄露,影响企业乃至部门的形象,加剧人们对相关行业的不信任感[2]。

2.2 企业网络安全防护能力较低

传统工业模式下,数据信息的记录都是采用人工手动记录,效率虽较为低下,但却不会与网络相连接,相对就较为安全,而工业互联网下,智能化成为常态,数据通过相应的机制实现自动记录,实时更新,相对人工效率更快,数据相应更完整,但工业互联网由于与互联网相连接,在企业工业互联网安全防护能力较低的情况下更容易遗留安全隐患,成为黑客攻击的主要途径。造成这一原因,归根到底还是企业对数据安全重视不够,未能及时发现数据系统的安全漏洞并作出修复,甚至有部分企业为求经济效益,在安全防护方面投入不足,工业软件与低配硬件难以适用,软硬件无法实现自动更新,及时排查安全漏洞。另外,现有安全软件无法契合工业部门内不同企业的需要,无法根据工业场景作出更多元化的选择,采取针对性不同的安全措施也是企业网络防护能力较为低下的一个原因。此外企业内部信息安全部门乃至人才队伍的建立较为迟缓,专业人才短缺也导致了部门企业在工业互联网安全建设方面有心无力[3]。

2.3 互联网自身安全风险大

工业作为一个庞大复杂,涉及因素较多,影响较为广泛的部门,其数据之海量,工作量之庞大,生产周期之长,不是一个企业能简单处理的,数据化技术帮助我们进行数据的采集、整理和处理、分析,并借助互联网平台进行调用、更新和整合,降低人工工作量,提高生产效率,简化生产流程,提高决策的精准性,这无疑是一件好事,但由于我国互联网发展速度较快,发展相对较为粗放,许多方面并不尽如人意,尤其是在网络安全性上,网络开放程度较高,隐蔽性较好,造成了工业互联网受互联网本身的安全性影响,黑客攻击、网络犯罪和数据泄露层出不穷,有关部门想要追究相关人员刑事责任难度较大,成本较高,网络犯罪气焰日盛,工业互联网建设受阻,技术红利未能充分发挥[4]。

3 工业互联网安全建设举措

3.1 提高工业设备安全性

工业设备作为重要的实施单元,掌控着大量工业基础信息,是工业部门的重要命脉。当前由于智能机器的广泛应用, 自动化数据技术全面代替人工,实现了数据的自动化采集,但由于相关安全防护意识不到位,保护机制尚未建立,由设备数据泄露所带的问题也正在凸显,最为显著的例子就是伊朗在震网病毒下导致上千台离心机遭到破坏,并由此蒙受了巨大的经济损失,究其根源,这场事故发生的原因还是伊朗相关企业对基础工业设备安全防护不足,为黑客留下了安全漏洞,无独有偶,2015年乌克兰也遭遇了类似攻击,造成了乌克兰境内发电厂大规模停电,给居民生活和企业生产带来了消极影响。为此相关部门必须重视工业设备尤其是现场设备的安全性,对工业设备和相应的工控系统进行安全管理,为各设备制定相应的身份信息,制定相应的链接请求,拒绝陌生设备的链接并将其他链接端口关闭,提升其安全性。同时派遣专业人员进行管理并不断加强其加密技术,严格按照身份给予相应权限,保证操作者身份标识的唯一性,保证设备的独立运作,提高工业和互联网的融合水平。

3.2 提高企业网络安全防护能力

数据化时代,所有的人和物都以潜在的方式被量化成具体的数据,伴随数据化水平的提高,大量数据被集中在一些重要的部门和企业内,成为企业生存和发展的重要资产,是企业经济效益的另一种体现,然而,近年来由于企业网络安全意识薄弱,一些重要企业被爆出了用户数据泄露的丑闻,不仅直接影响了企业的经济效益,还给企业通过长期努力建立的良好形象蒙上了一层阴影,滋生了用户对企业的不信任,影响了行业发展环境。面对这一问题,企业必须意识到数据化时代下,对数据进行安全防护的重要性,通过吸纳优秀的信息安全人员,组成人才队伍,建立相应的数据安全防护机制,定期对企业内部数据安全漏洞进行排查,对于无法识别身份和安全性的行为及时作出警告,并反向追踪其路由器地址,并在相关部门进行备案,降低企业信息泄露的风险[5]。

3.3 建立健全工业互联网安全发展环境

工业互联网顾名思义就是将工业部门与互联网相结合,提高工作效率,实现资源最大最优化配置,然而由于我国互联网安全性较低,隐蔽性较强,遭受不明黑客攻击的风险较大,因而工业互联网往往面临着一系列安全问题,未能实现更深层次的发展,普及率和接受度较差,工业结构优化升级受阻。面对这一问题,企业作为工业互联网主体,必须深刻认识到我国互联网环境的复杂,并根据自身发展情况建立自身区域网或者是内网,对进入内部往来的路由器进行筛查,使只有获得权限或符合系统条件的人员才可以进入内网,从而断开与互联网的连接,降低通过互联网对企业的网络攻击,确保企业数据存储和移动安全。除此之外,在数据传输时企业可以通过相应的加密技术对传输的数据进行加密保护,使其即使被截获也无法被识别,并借助相应的技术进行反向跟踪记录,追查IP地址,排查安全隐患。另外企业也应加强对数据的备份工作,减少由于数据被清洗而带来的经济损失[6]。

3.4 实现安全防护上的供需有效对接

工业互联网,互联网是关键,由于我国互联网环境的混杂和企业需求不同,再加上除一些有实力的大企业外,部分工业部门内的中小企业很难通过激励机制吸引本就为数不多的优秀信息安全防护人员,因而根据自身实际情况再结合自身所需,选择性价比不错的信息防护软件无疑是大多数中小企业的最佳选择。为此,企业必须结合自身经济实力,考虑其主要需求,选择最适合自己的安全防护软件。同时软件制造商也应强化需求意识,加强安全产品与工业场景的融合,实现软件供求和企业需求的有效对接,开发满足企业针对性需求的安全产品,提高自身供给能力,并通过借鉴国外优秀安全产品,组织人员开展优秀安全产品的研发,推动我国工业互联网安全防护能力的提升,实现工业互联网的繁荣发展。

4 结语

我国一直将工业作为我国经济发展的主要方向,并将其置于国民经济的重要位置,在相关政策的倾斜下,我国工业也获得了突飞猛进的发展,而在互联网出现后,以互联网技术为支撑,我国迎来了工业互联网时代,相关技术研发不断涌现,产业结构也带到了优化和升级,工业良性创新生态初具雏形。然而由于发展方式、模式和意识未能适应互联网发展速度,工业互联网发展受限,技术红利未能充分发挥。面对这一问题,工业部门增强互联网安全及风险意识,针对互联网目前遇到的安全问题及重难点,给出相应的机制和解决措施,尤为迫切。为此工业部门必须制定部门安全标准,敦促相关企业实现互联网工业安全的防护,制定更多更具体、更具有实施性的行为举措,确保工业互联网能够实现健康发展。