引言
工业物联网(IIoT)将具有感知、监控能力的各类采集、控制传感器或控制器,以及移动通信、智能分析等技术不断融入到工业生产过程各个环节,从而大幅提高制造效率,改善产品质量,降低产品成本和资源消耗,最终实现将传统工业提升到智能化的新阶段。
>
2015年7月
>
2017年11月
>
2019年10月
《"十四五"国家信息化规划》提出,到2025年,以5G、物联网、云计算、工业互联网等为代表的数字基础设施能力达到国际先进水平。中国正大力推动物联网与其他新一代信息技术加速集成和融合,物联网连接规模和应用持续增长。
物联网蓬勃发展,安全隐患
悄然而生
感知层是物联网络的最底层,负责对物的感知,依托传感和采集技术,做到识别物体、采集信息;网络层建立在蜂窝网络、光纤宽带等运营商基础设施上,提供数据的编码、认证和传输;应用层是物联网发展的根本目标,利用经过分析处理的感知数据为用户提供丰富的特定服务,实现监控、查询、控制、扫描等业务能力。
物联网典型网络结构中,应用层安全问题与已有安全产品契合度较高,安全建设相对成熟。但由于物联设备的大量接入,业务网络快速丰富的同时,网络层和感知层的安全建设出现了大量空白,尤其在感知层与上层相连的边界上,缺少必要的安全措施,导致物联网安全事件频发。据国家互联网应急中心、艾瑞咨询研究院统计,中国物联网智能设备被控数量与漏洞数量居高不下,物联网设备的广泛分布,使网络空间的覆盖面积大大延伸,被控设备与其漏洞带来的风险范围同步扩大,使得边界防护的重要性不言而喻。
物联网网络的需要
需要1:解决终端违规接入的风险
需要2:解决终端违规通信的风险
接入传感网络的终端设备,其业务通信的需求是将原始数据发送至应用层服务器,没有与应用层其他设备通信的需要,但由于边界上缺少访问控制措施,往往导致大量传感器终端被控后,可以随意访问应用系统。
需要3:解决非法指令传输的风险
工业物联网中,完成数据采集和自动化控制所使用的通信协议往往是工业协议,工业协议控制指令将控制下位机完成既定的工作任务,如果出现非法控制指令,将导致自动化设备工作异常,业务受损,且由于物联网设备分布广泛的特性,定位维修将耗费大量的时间和精力。
需要4:解决更频繁的网络攻击风险
2022年3月,美国国家安全局针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台被曝光,其技术上已完全实现工程化、自动化、人工智能化,可对互联网上的目标进行无差别自动化的攻击劫持,公网环境的安全性受到极大挑战。物联网网络层基础设施多为蜂窝网络,要求感知层传感器接入互联网,相比封闭的局域网工业企业更容易受到网络攻击的侵扰,例如各类常见的网络扫描、DDoS攻击、畸形报文攻击等。
需要5:解决数据传输过程中发生泄漏的风险
2020年底,上海某信息科技公司非法采集高铁信号数据,包括物联网、蜂窝网络和GSM-R等轨道使用的频谱数据,后被上海市国家安全局抓获,犯罪嫌疑人采集信号所用的设备普通易购,并非专用的间谍器材,仅有天线、SDR设备、笔记本电脑和移动硬盘,幸而铁路无线数据都已经过加密处理,并未造成严重事故。从此次事件中可看出物联网信号被非法采集的成本极低,容易造成数据泄露。
需要6:满足远程无线通信的需要
据IDC咨询预测,通过蜂窝网络连接的物联网设备数量占总规模的三分之一。在工业领域,存在大量难以部署有线网络的监测站、制造站,此类站点均存在蜂窝网络通信的需求。
需要7:满足对通信高可靠性的需要
对于工业场景而言,通信的可靠性是十分重要的,大量在物理距离上分布广泛的物联网边缘节点维护成本高,无法在通信异常时直接对设备进行调试,而通信的中断将对业务造成负面的影响。
需要8:满足分散场站互联互通的需要
对于智能制造等需要多个工厂配合完成最终产成品制造的行业而言,其已经经过了自动化、数字化阶段,跨业务间的数据共享成为新的需要,因此多场站之间需要先完成网络化转型,进而进行智能化转型,由此出现的各场站网络互联互通需求日渐强烈。
图 4 物联网网络的痛点需求
工业物联安全问题解决之道
威努特物联网安全接入网关
能力1:访问控制与接入控制
物联网网络感知层存在大量传感器和感知设备,由于物联网网络在物理距离上较为分散,违规接入造成的异常访问较难管控,物联网安全接入网关具备访问控制和接入控制能力,有效防止私接冒接问题。
能力2:网络攻击防护
公网上存在大量自动化的网络攻击,攻击类型虽然常见,但因其攻击频率高,容易对业务正常运行产生负面影响,物联网安全接入网关支持攻击防护能力,针对各类网络攻击、非法指令传输,都能做到有效防护。
能力3:无线通信
物联网网络感知层传感器分布广泛,在部分地区存在有线网络难以覆盖的问题,物联网安全接入网关支持4G全网通接入运营商网络,解决有线网络覆盖不足的问题。
能力4:通信链路可靠传输
物联网安全接入网关支持固网宽带与无线4G通信能力,为提高通信的可靠性,物联网安全接入网关支持将有线链路与无线链路进行热备,保障数据传输的高可靠性。
能力5:公网构建虚拟专网
智慧系统的构建首先需要做到网络化,之后才能实现智能化,因此物联网网络互联互通是一大痛点需求,物联网安全接入网关支持组建虚拟专网,解决业务网络在公网上组网困难的问题。
能力6:数据传输加密
物联网网络传感数据为上层应用提供了大量原始数据,满足了智慧系统构建的同时,也存在数据泄露的风险,物联网安全接入网关支持数据传输加密,满足业务数据高保密性要求。
威努特物联网安全接入网关功能全面、易于部署,在市政热力、市政水务、环境监测、视频防护、风电光伏、电力配网、智慧城市等场景中均可应用,以有效的技术手段、完善的安全能力,帮助用户构建安全可靠的物联网系统。
结语