工業物聯網環境的安全隱患和工業物聯網的體系架構

工業物聯網環境的安全隱患

不久之前，一款可以上網的工業閉路電視系統上線，短短三分鐘內，攝像頭就開始收到惡意的流量請求。一個系統被放置在巨大的互聯網上，在三分鐘內就開始受到攻擊。

毫無疑問，一個智能的、聯網的制造企業可以通過篩選新類型的信息來進行數字化轉型，從而引入工業物聯網(IIoT)環境，從而提高協作水平、運營質量、敏捷性、生產率和盈利能力。

雖然完全和純粹地采用物聯網可能在多年內不會全面出現，但數字化轉型的過程正在發生，制造商需要思考他們將如何保護自己的企業。

“當我們開始談論IIoT是否即將到來時，事實是它已經存在了，”施耐德電氣(SchneiderElectric)的主題問題專家和網絡安全技術銷售負責人約書亞·卡爾森(Joshua Carlson)說?！拔锫摼W行業到底意味著什么?”這意味著它有一個IP棧，一個以太網端口和一個Wi-Fi卡。我們建造這些設備的時間很長，人們使用它們的時間也很長。我們現在更多看到的是使用公共基礎設施或通用的基礎設施與這些設備進行通信。

為了提高生產率并在新興的全球格局中獲得競爭優勢，制造商需要應用更智能、更互聯的技術。智能技術可以從新的來源獲得重要數據，從而增加對這一過程的了解。

安全隱患

相關研究人員說，甚至連殺毒軟件都缺乏這樣的基本防護措施，殺毒軟件不能防止攻擊者在破壞裝配線、混合罐和高爐等物理過程之前，悄悄地進行偵察。

報告發現，控制網絡很容易成為目標:

?3個工業站點中有1個連接到公共互聯網

?四分之三的網站都有遺留的Windows系統，微軟不再為其提供安全補丁

?60%的人使用明文密碼穿越OT網絡

?50%的工業站點不運行任何防病毒保護

?82%運行遠程管理協議(RDP、VNC、SSH等)，使執行網絡偵察更容易

施耐德電氣(Schneider Electric)能源部門網絡安全項目經理亞當?高奇(AdamGauci)表示:“IIoT完全是關于接入管理的?！薄爸圃焐瘫仨殞B接到網絡的設備有一個準確的了解，并有辦法監控它們?！彼麄冃枰軌蜃R別新的漏洞何時出現。這是一個過程，一個管理新設備上線的系統。

從安全角度來看，挑戰在于理解能力的回報與安全風險。

“我們只是代入設備和最好的希望,希望廠家有保護裝置的方法,它不會傷害我,我們把它下一步,我們看到人們把它下一步,”杰伊·阿卜杜拉說,施耐德電氣全球總監、網絡安全解決方案?！拔覀兊慕ㄗh是繼續孤立你們。是的，這個設備可以連接到互聯網，但它不需要訪問所有東西。找出它是如何工作的，找出最少需要的端口和協議，來源和定義，并過濾流量，因為你可以拿出絕大多數惡意流量試圖闖入系統，通過創建非常簡單的防火墻規則和保護他們。

閉路電視系統

當你看到網絡連接的提升，而不是安全的提升時，風險/回報分析就會起作用。2016年，一份報告發現，據報道，IIoT技術在上線360秒內被黑客攻擊。

要詳細說明這篇報道，只需回到Abdallah的央視例子。

Abdallah說:“我們做過一次測試，我們在測試實驗室里安裝了一個分段的網絡，我們還接入了互聯網工業閉路電視系統。”“我們想看看我們是否能保持現狀，惡意流量要多久才能開始進入我們的網站。”花了三分鐘。在三分鐘內，這個攝像頭就被惡意的交通請求攻擊了?，F實情況是，在某個時候它會被破解，你可能會說它只是一個攝像頭，但它與什么有關呢?它還能看到植物的哪些其他部分?它提供給哪些數據庫?這些數據庫安全嗎?這就是為什么我們不得不拋出許多不同的基于網絡的解決方案來保護物聯網設備，以確保最低的流量要求允許進出。

基本的保護措施

這意味著在向更加數字化的環境轉變的過程中，制造商需要確保一個安全的設備和安全的網絡。

卡爾森說:“要確保你使用的是一種安全的產品，它使用安全的協議和安全的認證，它們經過了測試，經過了檢驗，而且是真實的，制造這種產品的廠商在這背后有良好的開發實踐?！比绻诋a品中發現了漏洞，確保他們有一個漏洞管理過程可以解決這個問題。最糟糕的是，你把所有這些美妙的IIoT設備放在那里，它們很容易受到簡單類型的攻擊。第二件事是確保他們自己使用安全網絡。你有安全參數,說這是吸引周圍的柵欄,我知道什么協議和系統和應用程序會在那里,我有態勢感知和能見度知道別的正在經歷不應該。

這可能創造一個安全的數字世界。

（文/? 健信RTSEC）

工業物聯網的體系架構

典型的物聯網系統架構共有3個層次。一是感知層，即利用射頻識別(radio frequency identification, RFID)、傳感器、二維碼等隨時隨地獲取物體的信息；二是網絡層，通過電信網絡與互聯網的融合，將物體的信息實時準確地傳遞出去；三是應用層，把感知層得到的信息進行處理，實現智能化識別、定位、跟蹤、監控和管理等實際應用。

在工業環境的應用中，工業物聯網面臨著與傳統的物聯網系統架構兩個主要的不同點：一是在感知層中，大多數工業控制指令的下發以及傳感器數據的上傳需要有實時性的要求。在傳統的物聯網架構中，數據需要經由網絡層傳送至應用層，由應用層經過處理后再進行決策，對于下發的控制指令，需要再次經過網絡層傳送至感知層進行指令執行過程。由于網絡層通常采用的是以太網或者電信網，這些網絡缺乏實時傳輸保障，在高速率數據采集或者進行實時控制的工業應用場合下，傳統的物聯網架構并不適用。

二是在現有的工業系統中，不同的企業有屬于自己的一套數據采集與監視控制系統(supervisory control and data acquisition，SCADA，在工廠范圍內實施數據的采集與監視控制。SCADA系統在某些功能上會與物聯網的應用層產生重疊，如何把現有的SCADA系統與物聯網技術進行融合，例如哪些數據需要通過網絡層傳送至應用層進行數據分析;哪些數據需要保存在SCADA的本地數據庫中;哪些數據不應該送達應用層，它們往往會涉及到部分傳感器的關鍵數據或者系統的關鍵信息，只由工廠內部進行處理。

工業物聯網的系統架構需要在傳統的物聯網架構的基礎上增加現場管理層。其作用類似于一個應用子層，可以在較低層次進行數據的預處理，是實現工業應用中的實時控制、實時報警以及數據的實時記錄等功能所不可或缺的層次，如圖1所示。

圖1 工業物聯網體系架構

1. 感知層

感知層的主要功能是識別物體，采集信息和自動控制，是物聯網識別物體、采集信息的來源;它由數據采集子層、短距離通信技術和協同信息處理子層組成。數據采集子層通過各種類型的傳感器獲取物理世界中發生的物理事件和數據信息，例如各種物理量、標識、音視頻多媒體數據。物聯網的數據采集涉及傳感器、RFID、多媒體信息采集、二維碼和實時定位等技術。

短距離通信技術和協同信息處理子層將采集到的數據在局部范圍內進行協同處理，以提高信息的精度，降低信息冗余度，并通過具有自組織能力的短距離傳感網接入廣域承載網絡。感知層中間件技術旨在解決感知層數據與多種應用平臺間的兼容性問題，包括代碼管理、服務管理、狀態管理、設備管理、時間同步、定位等。在有些應用中還需要通過執行器或其他智能終端對感知結果做出反應，實現智能控制。該部分除RFID、短距離通信、工業總線等技術較為成熟外，尚需研制大量的物聯網特有的技術標準。

感知層由現場設備和控制設備組成，主要進行工業機器信息的感知以及控制指令的下發?，F場設備主要包括溫度傳感器、濕度傳感器、壓力傳感器、RFID、電動閥門、變送器等，這些設備直接與工業機器相連，擔當著感知控制過程的末稍機構?？刂圃O備主要指PLC等控制器，在工業系統中，PLC等控制器用于實現較底層的高速實時的控制功能，對于工業控制尤為重要。控制設備與現場設備組成了現場總線控制網絡，如常用的CAN總線網絡、Profibus 總線網絡等。值得一提的是，工業無線傳感器網絡WISN作為物聯網技術的重要組成部分，通過網關可與現有的現場總線網絡并存。WISN以其高可靠、低成本、易擴展等優勢被廣泛應用于感知層的實現中，在環境數據感知、工業過程控制等領域發揮著巨大作用。

2. 現場管理層

現場管理層主要指工廠的本地調度管理中心，即如上文所述的SCADA系統。調度管理中心充當著工業系統的本地管理者以及工業數據對外接口提供者的角色，一般包括工業數據庫服務器、監控服務器、文件服務器以及Web網絡服務器等設備?，F場管理層作為區別于傳統物聯網系統架構的一個層次，在工業物聯網系統中起著重要作用。

現場管理層融合了現有的工業監控系統，它的存在使得來自感知層的部分關鍵工業數據能得到及時的記錄與處理，對于一些對實時性有要求的較底層的過程控制指令，它能快速響應，及時做出控制決策。另一方面，現場管理層起到了對外提供數據接口的作用，通過數據庫服務器以及Web網絡服務器，調度管理中心可以把來自于工廠內部的數據通過網絡層發布到應用層，應用層可以透明訪問到不同工業機器上的感知信息，對進一步的數據分析工作起到了重要作用。

3. 網絡層

網絡層由互聯網、電信網等組成，負責信息傳遞、路由和控制。網絡層將來自感知層的各類信息通過基礎承載網絡傳輸到應用層，包括移動通信網、互聯網、衛星網、廣電網、行業專網，及形成的融合網絡等。根據應用需求，可作為透傳的網絡層，也可升級以滿足未來不同內容傳輸的要求。

經過十余年的快速發展，移動通信、互聯網等技術已比較成熟，在物聯網的早期階段基本能夠滿足物聯網中數據傳輸的需要。網絡層主要關注來自于感知層的、經過初步處理的數據經由各類網絡的傳輸問題。這涉及到智能路由器，不同網絡傳輸協議的互通、自組織通信等多種網絡技術。其中，全局范圍內的標識解析將在該層完成。該部分除全局標識解析外，其他技術較為成熟，以采用現有標準為主。

4. 應用層

應用層實現所感知信息的應用服務，包括信息處理、海量數據存儲、數據挖掘與分析、人工智能等技術。

應用層是工業物聯網的最終價值體現者。應用層針對工業應用的需求，與行業專業技術深度融合，利用大數據處理技術對來自于感知層的數據進行分析，主要包括對生產流程的監視、對工業機器運行狀況的跟蹤、記錄等，最終產生對企業、行業發展有指導意義的結果，如優化生產流程、指導生產管理、提高經營效率、預測行業發展等，實現廣泛的智能化。不同的企業之間更能互相共享大數據的分析處理結果，對于促進企業間協同生產整體生產力有著巨大作用。

應用層主要包括服務支撐層和應用子集層。物聯網的核心功能是對信息資源進行采集、開發和利用，因此這部分內容十分重要。服務支撐層的主要功能是根據底層采集的數據，形成與業務需求相適應、實時更新的動態數據資源庫。該部分將采用元數據注冊、發現元數據、信息資源目錄、互操作元模型、分類編碼、并行計算、數據挖掘、數據收割、智能搜索等各項技術，亟需重點研制物聯網數據模型、元數據、本體、服務等標準，開展物聯網數據體系結構、信息資源規劃、信息資源庫設計和維護等技術;各個業務場景可以在此基礎上，根據業務需求特點，開展相應的數據資源管理。

業務體系結構層的主要功能是根據物聯網業務需求，采用建模、企業體系結構、SOA等設計方法，開展物聯網業務體系結構、應用體系結構、IT體系結構、數據體系結構、技術參考模型、業務操作視圖設計。物聯網涉及面廣，包含多種業務需求、運營模式、應用系統、技術體制、信息需求、產品形態均不同的應用系統，因此必須統一、系統的業務體系結構，才能夠滿足物聯網全面實時感知、多目標業務、異構技術體制融合等需求。各業務應用領域可以對業務類型進行細分，包括綠色農業、工業監控、公共安全、城市管理、遠程醫療、智能家居、智能交通和環境監測等各類不同的業務服務，根據業務需求不同，對業務、服務、數據資源、共性支撐、網絡和感知層的各項技術進行裁剪，形成不同的解決方案，該部分可以承擔一部分呈現和人機交互功能。

應用層將為各類業務提供統一的信息資源支撐，通過建立、實時更新可重復使用的信息資源庫和應用服務資源庫，使得各類業務服務根據用戶的需求隨需組合，使得物聯網的應用系統對于業務的適應能力明顯提高。該層能夠提升對應用系統資源的重用度，為快速構建新的物聯網應用奠定基礎，滿足在物聯網環境中復雜多變的網絡資源應用需求和服務。該部分內容涉及數據資源、體系結構、業務流程類領域，是物聯網能否發揮作用的關鍵，可采用的通用信息技術標準不多，因此尚需研制大量的標準。

除此之外，物聯網還需要信息安全、物聯網管理、服務質量管理等公共技術支撐，以采用現有標準為主。在各層之間，信息不是單向傳遞的，是有交互、控制等，所傳遞的信息多種多樣，其中最為關鍵的是圍繞物品信息，完成海量數據采集、標識解析、傳輸、智能處理等各個環節，與各業務領域應用融合，完成各業務功能。因此，物聯網的系統架構和標準體系是一個緊密關聯的整體，引領了物聯網研究的方向和領域。

文/ 《工業物聯網技術及應用》(作者：尹周平等)

參考來源：

https://mp.weixin.qq.com/s/RBHLy3iKQqiS5oXy1KXlCg

https://mp.weixin.qq.com/s/9XJon5yu6kOl19oJDN9zMA