李 洹
(新乡职业技术学院,河南 新乡 453006)
近年来,工业物联网的发展已经受到研究人员的广泛关注,对于提升工业产品的生产效率有着明显效果。其改变了传统的数据传输模式,实现了成本更低的数据通信,同时通过传感器实现了设备之间的数据共享。
工业物联网是多种复杂技术的大融合,主要可以分为感知层、网络层、应用层[1]。工业物联网具体架构如图1所示。
图1 工业物联网架构
感知层也称数据采集层,位于最底层,主要通过各种各样的传感器来收集底层数据。网络层也称数据传输层,位于中间层,主要使用各种通信技术来对感知层收集到的数据进行传输。应用层也称数据处理层,主要用于处理中间层传输过来的各种数据,根据这些数据可以及时做出各种决策,指导工业生产的全过程。
工业物联网中的信息主要来自工业控制系统的感知层,包括设备的运行参数和监控数据等。在当前的工业物联网系统中,所采集到的数据并不是直接供客户端使用,而是用在工业控制系统中,工业控制系统根据这些数据来判断设备是否正常工作。一般情况下,所采集的数据主要是控制设备的数据和现场工作设备的数据。控制设备主要以可编程逻辑控制器(Programmable Logic Controller,PLC)等为主,负责对各种工控设备下发控制指令。
网络层主要是将传感网络、移动网络和互联网进行高度融合,所采用的技术标准也都不同,其中无线通信技术主要用到了Wi-Fi、蓝牙技术、无线射频识别(Radio Frequency Identification,RFID)技术以及ZigBee技术等,同时还有以消息队列遥测传输外文 名(Message Queuing Telemetry Transport,MQTT)为代表的各类物联网通信协议。
应用层主要以通信服务器、历史数据服务器以及远程监控端为主,在工业系统软件和平台的帮助下,最终在数据分析中心实现数据汇总处理。
2.1 国内外工业物联网信息安全的研究现状
随着“工业4.0”和“中国制造2025”战略规划的提出,关于工业物联网方面的研究越来越多,特别是工业物联网信息安全已经成为工业领域重点关注对象。
近年来,国内外学者或企业研究最多的是工业物联网的安全和隐私问题,有学者提出了关于工业物联网的系统风险评估方法、异常流量的检测机制以及基于IEEE 21451的无线工业物联网安全高效访问策略。除此以外,一些涉及数据安全的厂商纷纷投入到物联网信息安全方面的研究,不仅提出了一些接入认证技术、信息加密技术以及嵌入式技术,还在硬件方面添加了可信证书、设备密钥等。针对当前工业物联网面临的问题,分析其问题的来源,建立基于工业物联网信息安全的防护体系。目前,国内外的研究主要以标准制定、网络架构构建以及安全技术开发为中心来进行工业物联网信息安全研究,仍需要进一步深入探索[2]。
2.2 工业物联网信息安全面临的主要问题
工业物联网发展到现在,在信息安全方面主要面临以下2个方面的问题。
一方面是来自网络外部的攻击问题。由于部署工业物联网的企业一般都是大型企业,具有较大的经济价值和社会价值,因此这些大型企业很容易成为黑客攻击的目标。黑客攻击后,企业就有可能会出现网络瘫痪、数据泄露等问题。关于这类受到黑客攻击的问题,一般都要从工业物联网的整体架构考虑,以建立安全防护体系为主,同时还要升级完善契合企业实际的安全防护技术[3]。
另一方面是工业物联网中设备自身物理安全和环境安全问题。很多工业物联网设备的部署都会受到环境影响,如强磁干扰、高温潮湿的影响等,对此需要选择抗干扰性较强的设备[4]。同时,在工业物联网设备部署前需要合理选址,避免对设备运行造成影响。
3.1 数据采集层
目前,工业物联网数据采集层主要涉及信息识别、采集与控制。信息采集主要通过各种传感器、RFID装置以及智能设备终端完成,其面临的主要问题是物联网设备终端安全问题。例如,黑客通过暴力字典等攻击模式直接控制一些终端设备,进而侵入到工业物联网的内部网络进行非法的行为或恶意攻击,从而监听、篡改、伪造设备的数据或指令等[5]。僵尸网络病毒是工业物联网数据采集层所面临的最大安全问题,此病毒主要针对工业物联网终端设备自身脆弱性和终端设备之间互联性的特点,利用自动化脚本指令来破解终端设备的账户和密码,从而修改终端设备的软硬件配置信息,最终将这些终端设备变成僵尸节点。攻击者会不断破解更多的终端设备,从而组建一个庞大的僵尸网络,利用这个僵尸网络向其他物联网设备发起分布式拒绝服务攻击(Distributed Denial of Service,DDoS)、暴力破解攻击等,最终造成严重危害[6]。对于该问题,在日常维护中可以消除或阻断不必要的服务,同时消除一些默认的证书,以安全的密码取而代之,从而阻断与外部端点的意外连接,避免受到病毒攻击。从长远角度来看,需要构建完善的防护体系,借助相关的工具软件来及时修复适应型病毒可利用的漏洞。
3.2 数据传输层
对于物联网而言,数据传输层的通信协议目前存在着一定的安全漏洞。由于物联网所采用的数据通信设备不同,其所采用的通信协议也没有统一标准,各个厂家有着不同于其他厂家的标准,采用的加密措施也各不相同[7]。部分物联网产品采用的是简单的明文传输方式,攻击者采用网络嗅探等方法都可以直接拦截到通信数据,并且还可能入侵到物联网系统的局域网中,利用中间攻击者发送错误的控制指令,影响工业设备的正常运转[8]。基于此,必须采用双向验证连接方式,阻止不法终端的恶意连接。与此同时,对通信进行双向加密,保护敏感信息,避免信息在传输过程中被窃取、篡改。
3.3 数据处理层
工业物联网的数据处理层主要用来对数据进行存储、分析以及计算等处理,一般由数据库服务器、通信服务器以及远程监控服务器等组成。数据库服务器是数据处理层的信息中心,存储着大量的信息资源。工业物联网系统网关的后级就是终端设备,这些终端无法直接对外提供服务,系统管理员可以通过通信服务器实现对终端设备的控制。通信服务器需要时刻保持开启状态,如果缺乏足够的安全防护措施,就会成为易被攻击的对象[9]。针对此类问题,需要提升操作系统的安全性,防止非法权限得到升级。与此同时,利用防火墙技术阻断意外的外部访问或连接,如果进行系统更新必须要经授权,防止恶意修改行为发生[10]。
综上所述,为了保护工业物联网的信息安全,需要从安全设计方面入手,如遵循安全的软件开发方法、选择明智的开源软件、构建多层次的安全防护方法以及集成或改进现有的安全防护技术等。除此之外,针对工业物联网的不同层次采取不同的安全防护措施。对于数据采集层,要对网络病毒的攻击原理进行深入分析,从而防范病毒的端口扫描、暴力字典破解;
对于数据传输层,通过对通信过程进行加密实现数据加密传输,同时对使用MQTT协议接入的终端设备进行身份认证;
对于数据处理层,采用MQTT协议深度包检测防火墙对MQTT代理服务器进行防护,针对具有明显异常特征或不符合MQTT协议规定的通信流量进行分析并控制其访问请求。除此之外,优化完善信息安全防护体系,有效识别一些构造精良的伪造数据包,以免受到其发起的高级持续攻击,一旦发现异常立即警报,有效保护信息安全。