摘 要：隨著互聯(lián)網(wǎng)和傳統(tǒng)工業(yè)的深度融合，今天的工業(yè)互聯(lián)網(wǎng)已經(jīng)覆蓋而不局限于住宅供暖、國家電氣、車輛制造、石油勘探、化工制造等方面。工業(yè)互聯(lián)網(wǎng)的新元素智能機(jī)器、高級(jí)分析、工作人員的涌現(xiàn)，也給工業(yè)網(wǎng)絡(luò)平臺(tái)終端帶來了終端安全問題、控制安全問題、業(yè)務(wù)安全問題等新的安全威脅。本文從技術(shù)和人為兩個(gè)方面提出針對(duì)安全漏洞的解決辦法，闡述工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的安全發(fā)展趨勢(shì)。

　　關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng);局域網(wǎng);網(wǎng)絡(luò)安全;防范

　　作為工業(yè)互聯(lián)網(wǎng)的支撐，互聯(lián)網(wǎng)極大地拓展了網(wǎng)絡(luò)空間的應(yīng)用范圍和領(lǐng)域，但是工業(yè)化和信息化的領(lǐng)域越來越變得重合，工業(yè)控制系統(tǒng)不再是一個(gè)密封的狀態(tài)，增加了設(shè)備、控制、網(wǎng)絡(luò)等方面受到損害的風(fēng)險(xiǎn)。盡管工業(yè)互聯(lián)網(wǎng)在上述新興行業(yè)有著巨大的應(yīng)用前景，但由于工業(yè)互聯(lián)網(wǎng)固有的網(wǎng)絡(luò)廣泛開放和移動(dòng)終端資源的局限性以及對(duì)網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化的限制，使得新興工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)不僅面臨著更大的網(wǎng)絡(luò)安全威脅和用戶隱私泄露風(fēng)險(xiǎn)，也給工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和用戶隱私保護(hù)方案的設(shè)計(jì)增加了很多障礙。

　　一、工業(yè)互聯(lián)網(wǎng)中局域網(wǎng)網(wǎng)絡(luò)安全的相關(guān)概念

　　(1)局域網(wǎng)(al area network，LAN)，主要是指由各種計(jì)算機(jī)、外部設(shè)備和數(shù)據(jù)庫組成的計(jì)算機(jī)通信網(wǎng)絡(luò)，這些計(jì)算機(jī)和數(shù)據(jù)庫在當(dāng)?shù)氐牡乩矸秶鷥?nèi)相互連接，覆蓋范圍一般是幾千米之內(nèi)，如學(xué)校、工廠和企業(yè)機(jī)構(gòu)。

　　(2)工業(yè)互聯(lián)網(wǎng)一般以一個(gè)工廠或者企業(yè)為基礎(chǔ)建構(gòu)為工業(yè)局域網(wǎng)或者企業(yè)局域網(wǎng)，這相當(dāng)于是一個(gè)“內(nèi)網(wǎng)”，網(wǎng)內(nèi)可以實(shí)現(xiàn)用戶的數(shù)據(jù)共享和分布處理。為工業(yè)局域網(wǎng)內(nèi)部用戶提供數(shù)據(jù)共享是建設(shè)工業(yè)局域網(wǎng)的初衷，也是局域網(wǎng)最鮮明的特色。近年來網(wǎng)絡(luò)硬件設(shè)備的更新?lián)Q代為互聯(lián)網(wǎng)行業(yè)飛速發(fā)展提供了硬件保障，但是飛速發(fā)展也給工業(yè)帶來許多安全挑戰(zhàn)。

　　(3)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全通俗來講就是保護(hù)用戶的軟件、硬件和系統(tǒng)的數(shù)據(jù)不因受到非法攻擊而受到更改、破壞和泄露，同時(shí)為用戶網(wǎng)絡(luò)連接和日常辦公操作連續(xù)穩(wěn)定地進(jìn)行。

　　目前國內(nèi)對(duì)工業(yè)互聯(lián)網(wǎng)的研究方向大多集中在網(wǎng)絡(luò)通信協(xié)議和路由算法的設(shè)計(jì)上，忽視了新興場(chǎng)景下的工業(yè)安全和數(shù)據(jù)隱私保護(hù)的研究，這導(dǎo)致了工業(yè)互聯(lián)網(wǎng)在當(dāng)前新興工業(yè)領(lǐng)域的發(fā)展進(jìn)入瓶頸期。

　　二、工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的連接方式

　　局域網(wǎng)在工業(yè)領(lǐng)域一般分為有線連接和無線連接。

　　(1)有線連接。因?yàn)榫钟蚓W(wǎng)的覆蓋范圍在幾千米之內(nèi)，距離相對(duì)來說比較短，所以使用銅線很適合作為傳輸介質(zhì)，但是也有一部分局域網(wǎng)采用光纖作為傳輸介質(zhì)。有線局域網(wǎng)的基礎(chǔ)采用點(diǎn)對(duì)點(diǎn)鏈路的拓?fù)浣Y(jié)構(gòu)，局域網(wǎng)交換機(jī)是有線局域網(wǎng)的核心。采用有線連接的工業(yè)局域網(wǎng)，在數(shù)據(jù)傳輸、分布處理、共享打印等諸多方面均由于無線局域網(wǎng)，這是有線連接的本質(zhì)特色。

　　(2)無線連接。由于許多工業(yè)場(chǎng)地不適合用傳輸介質(zhì)連接工業(yè)局域網(wǎng)，例如化工工廠、石油平臺(tái)等，往往可以采用簡(jiǎn)單的WiFi，只需要一個(gè)路由器，就可以搭建一個(gè)無線工業(yè)局域網(wǎng)。中等規(guī)模的工廠可以通過利用多個(gè)路由器和交換機(jī)搭配來完成工業(yè)局域網(wǎng)建構(gòu)，大規(guī)模的工廠則需要中心化的無線控制器來控制大量的工廠終端。無線局域網(wǎng)由于可以實(shí)現(xiàn)在無法鋪設(shè)傳輸介質(zhì)的領(lǐng)域?qū)崿F(xiàn)傳輸，省時(shí)省力，在工業(yè)方面的應(yīng)用更加廣泛，例如在化工工廠通過無線定位可以知道化工原料的具體位置。

　　三、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全漏洞

　　(1)技術(shù)層面。①工業(yè)局域網(wǎng)服務(wù)器防護(hù)能力低。工業(yè)數(shù)據(jù)可以在工業(yè)局域網(wǎng)中快速、高效的傳遞，這是用戶高效工作的保障，但是當(dāng)工業(yè)局域網(wǎng)受到病毒攻擊時(shí)，給用戶帶來的威脅也是非常大的。局域網(wǎng)的數(shù)據(jù)傳遞速度是非常快的，同樣傳遞病毒的速度也很快，一旦工業(yè)局域網(wǎng)中一臺(tái)計(jì)算機(jī)終端受到病毒感染，如果沒有強(qiáng)力的服務(wù)器防護(hù)能力，其他電腦也會(huì)很快感染，造成數(shù)據(jù)丟失、修改和破壞。防火墻往往被安裝在工業(yè)內(nèi)部網(wǎng)和外部網(wǎng)之間，對(duì)外網(wǎng)的病毒有很大程度的阻斷作用，但是對(duì)內(nèi)網(wǎng)也就是工業(yè)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)卻不會(huì)起到作用。因此當(dāng)問題出現(xiàn)在內(nèi)部網(wǎng)絡(luò)的時(shí)候，將會(huì)造成工業(yè)損失。②工業(yè)數(shù)據(jù)安全性不強(qiáng)。近些年來計(jì)算機(jī)病毒類型層出不窮，主要目的大都是為了獲取用戶數(shù)據(jù)來牟利，工業(yè)數(shù)據(jù)的價(jià)值更在個(gè)人數(shù)據(jù)之上，所以在工業(yè)局域網(wǎng)中需要防范外部病毒攻擊。安裝一些殺毒軟件是保障工業(yè)互聯(lián)網(wǎng)正常運(yùn)行的有力手段，可以有效減少病毒入侵現(xiàn)象。病毒具有不可預(yù)見性，殺毒軟件永遠(yuǎn)落后于病毒產(chǎn)生速度。殺毒軟件不可能對(duì)所有病毒都有抵抗性，國內(nèi)比較好的殺毒軟件庫，比如360殺毒軟件，都是發(fā)現(xiàn)新病毒之后加入病毒庫，下次再遇到具有相同屬性的病毒就有了病毒預(yù)警和解決辦法，所以管理人員需要及時(shí)更新殺毒軟件，防范是最重要的工作。③內(nèi)部操作不當(dāng)。局域網(wǎng)用戶在使用外部移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)傳輸時(shí)，病毒可以在恰當(dāng)?shù)臅r(shí)機(jī)進(jìn)入工業(yè)局域網(wǎng)并自發(fā)復(fù)制傳染，給工業(yè)互聯(lián)網(wǎng)中的工業(yè)數(shù)據(jù)帶來隱患。提高工業(yè)網(wǎng)絡(luò)用戶的安全意識(shí)，避免擅自將已經(jīng)接入外網(wǎng)的設(shè)備直接接入內(nèi)網(wǎng)，或者在內(nèi)外網(wǎng)切換時(shí)都進(jìn)行安全檢測(cè)，可以有效避免木馬病毒進(jìn)入工業(yè)局域網(wǎng)。

　　(2)人為層面。①企業(yè)領(lǐng)導(dǎo)對(duì)工業(yè)互聯(lián)網(wǎng)安全重視程度不夠。工業(yè)局域網(wǎng)安全問題出現(xiàn)的一個(gè)重要原因是企業(yè)領(lǐng)導(dǎo)者缺乏前瞻意識(shí)，沒有意識(shí)到當(dāng)今社會(huì)已經(jīng)經(jīng)歷了四次信息革命，是一個(gè)包容的信息社會(huì)。信息是21世紀(jì)討論的永恒主題，對(duì)于工業(yè)領(lǐng)域來說更是這樣，保障工業(yè)數(shù)據(jù)安全不僅可以保證企業(yè)的收入穩(wěn)定，更是大國之間博弈的重要籌碼。②缺乏專業(yè)技術(shù)人才，工業(yè)數(shù)據(jù)安全得不到保障。相對(duì)于工業(yè)互聯(lián)網(wǎng)日新月異的發(fā)展速度，網(wǎng)絡(luò)安全人才的培養(yǎng)相對(duì)滯后，對(duì)網(wǎng)絡(luò)安全人才的要求也越來越多，不僅需要對(duì)網(wǎng)絡(luò)安全有精深的專業(yè)認(rèn)識(shí)，還需要對(duì)工業(yè)互聯(lián)網(wǎng)可能遇到的威脅有敏感的嗅覺。

　　四、安全漏洞解決措施

　　(1)技術(shù)層面。①網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全防范技術(shù)。在設(shè)置工業(yè)局域網(wǎng)時(shí)第一步就是選擇合適網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，合適的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不僅可以節(jié)省系統(tǒng)資源降低數(shù)據(jù)鏈路冗余，更重要的時(shí)有利于工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全控制。但是網(wǎng)絡(luò)環(huán)境(如噪聲，溫濕度等)、局域網(wǎng)通信量、局域網(wǎng)設(shè)備配置情況、網(wǎng)絡(luò)管理與維護(hù)等因素都會(huì)影響到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇，在后期企業(yè)需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析，及時(shí)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行科學(xué)優(yōu)化，以便對(duì)現(xiàn)有框架內(nèi)的資源進(jìn)行最大化合理利用。優(yōu)化過程中由于拓?fù)浣Y(jié)構(gòu)可能發(fā)生改變，所以需要充分考慮優(yōu)化后防火墻的設(shè)置位置以及入侵檢測(cè)監(jiān)控的合理使用。②防火墻技術(shù)。防火墻技術(shù)是在網(wǎng)絡(luò)安全與隱私保護(hù)方面扮演的角色越來越重要。防火墻大量應(yīng)用于工業(yè)局域網(wǎng)與外部網(wǎng)之間，每當(dāng)外部訪問者進(jìn)入，防火墻通過對(duì)信息流量數(shù)據(jù)的檢測(cè)，可以及時(shí)反饋給用戶。防火墻相當(dāng)于一個(gè)警報(bào)，如果有在用戶設(shè)定的安全策略之外的數(shù)據(jù)進(jìn)入，防火墻可以對(duì)數(shù)據(jù)進(jìn)行過濾，符合安全策略的數(shù)據(jù)進(jìn)入，不符合安全策略的數(shù)據(jù)不能通過防火墻而排除在外，充分保障工業(yè)局域網(wǎng)網(wǎng)絡(luò)安全。在工業(yè)領(lǐng)域，內(nèi)部工業(yè)終端可以通過交換機(jī)連接在一起，形成一個(gè)相對(duì)安全的局域網(wǎng)(內(nèi)部網(wǎng))，在與外網(wǎng)的連接上設(shè)置防火墻，就可以對(duì)局域網(wǎng)中諸多工業(yè)機(jī)器進(jìn)行防護(hù)，比對(duì)每一臺(tái)計(jì)算機(jī)分別進(jìn)行安全管理效率高而操作管理方便。另外，在工業(yè)局域網(wǎng)內(nèi)部，可以將更為重要的網(wǎng)段用防火墻進(jìn)行隔離，防止局部安全問題蔓延到整個(gè)網(wǎng)絡(luò)，減少一些損失，實(shí)現(xiàn)對(duì)工業(yè)局域網(wǎng)分級(jí)管理。③入侵檢測(cè)技術(shù)。作為對(duì)防火墻技術(shù)的重要補(bǔ)充，當(dāng)病毒沒有被防火墻攔截，攻擊工業(yè)內(nèi)部網(wǎng)絡(luò)，入侵檢測(cè)將作為第二道防線對(duì)病毒進(jìn)行阻斷，所以入侵檢測(cè)技術(shù)跟防火墻技術(shù)同樣重要，都是保護(hù)工業(yè)網(wǎng)絡(luò)外部隱形的護(hù)盾。入侵檢測(cè)技術(shù)是入侵檢測(cè)系統(tǒng)的核心，如果把內(nèi)部工業(yè)局域網(wǎng)看作一間房子的話，與防火墻的外圍防護(hù)相比，它更像是一個(gè)攝像頭，時(shí)時(shí)刻刻對(duì)可疑傳輸進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)可疑行為，入侵檢測(cè)系統(tǒng)會(huì)將會(huì)報(bào)告給用戶或者主動(dòng)采取反制措施。大多數(shù)的網(wǎng)絡(luò)安全設(shè)備都是重在防控，入侵檢測(cè)系統(tǒng)還是一種主動(dòng)的安全防護(hù)設(shè)備。在工業(yè)領(lǐng)域中，入侵檢測(cè)系統(tǒng)的切斷網(wǎng)絡(luò)和有效預(yù)警等措施可以提高工業(yè)數(shù)據(jù)在局域網(wǎng)中的安全性。

　　推薦閱讀：工業(yè)互聯(lián)網(wǎng)平臺(tái)賦能石化行業(yè)數(shù)字化轉(zhuǎn)型方法論