摘 要 基于工业互联网安全防护体系设计，实现面向工业互联网应用行业及企业的从前端数据加密、信息可靠传输，到后端的数据落盘加密、数据分析处理，再到设备异常和故障监控、安全事件及行为分析，并可实现多维度报警分析功能的加密管控服务系统。

关键词 安全防护;网络通信;数据安全

引言

工业互联网包括网络、平台、安全三大体系[1]。而传统互联网的网络层级较少，基于TCP/IP的通信协议安全机制也较为完善。而工业互联网是基于泛在连接的复杂网络，运行着超过1000种缺乏安全机制的工业控制、现场总线、工业通信等协议[2]，且不同企业接口不一、较为封闭等特点加大了安全协议分析的难度。而安全而高效的传感器及相关应用将是实现工业互联网的核心基础。

目前存在的主要问题：

（1）工业互联网缺乏安全机制的协议种类繁多，互通难度大;

（2）工业互联网数据种类多样，缺乏防护重点;

（3）工业互联网安全需构建全新的身份信任体系。

本系统基于工业互联网安全防护体系设计，围绕工业互联网体系安全的五大重点方向：设备安全、控制安全、網络安全、应用安全和数据安全[3]，突破轻量级加密算法研究、基于国密算法的多类加密模块研制、加密存储硬件研制、分布式文件系统开发、全局统一管控平台开发等关键技术，实现面向工业互联网应用行业及企业的从前端采集数据加密、信息可靠传输认证，到后端申威平台实现数据分析处理，再到设备异常和故障监控、安全事件及行为分析，并面向用户实现多维度报警分析功能的加密管控服务系统。

针对加密管控服务系统本身特色，数据处理上采用“国产化设备+国产化软件生态”为主，加密手段上通过“定制前端数据加密模块+网络设备+身份认证系统”的解决方案来满足对数据安全传输和认证的需求，用户终端采用“自主可控软件平台+KEY”尽量满足对存储系统安全、可扩展、高效低能耗、高安全性的需求。

前端数据采集加密，采取定制化的密码加密模块应用在工控设备终端，通过专用数据接口与工控终端相连，用于终端设备的身份认证、数据传输加密、完整性保护等。考虑到终端的低功耗、资源受限等特点，定制密码加密模块从算法到硬件实现，按照轻量级的要求设计。

传输过程中采取支持基于国密算法的IPSec安全通信，速率不低于20Gbps，单控制卡存储容量达到TB级，通过万兆高速以太网和安全加密通道构建分布式计算存储系统。数据从前端加密系统汇聚到数据汇聚认证系统之后，在安全网关设备层实现加解密闭环，实现身份认证和数据机密性保护。数据汇聚认证系统主要通过数据接入网关、身份认证系统、服务器密码机等密码设备，实现网络隔离、接入认证、数据保护等安全功能。

存储节点全自主可控设计，采用自研国产申威1621处理器平台。

集中管控系统采用B/S架构，其中服务器端运行在国产化硬件环境之上，客户端通过浏览器等进行平台使用，实现远程调试、实时监控、报警管理、运维管理、异常处理、能耗管理、设备管理等各类应用，以提高工业互联网平台的安全性、可靠性和可用性。

基于以上设计原则，实现前端数据加密、数据汇聚认证，实现数据处理，集中管控服务。

前端数据加密系统，部署在各工业互联网终端，实现对工业互联网数据的机密性和完整性保护。加密系统通过如轻量级的认证协议以及数据传输协议，防止非法接入、非授权使用、泄露、篡改、假冒或重放、中间人攻击等，保护终端系统的机密性、完整性、可用性。

数据汇聚认证系统在实现最基本的数据传输和汇聚的功能之外，主要实现用户身份认证、重认证处理、认证信息传递、访问控制、访问行为审计。

数据处理系统主要完成对数据的采集、存储、检索、加工、变换和传输。数据处理的基本目的是从大量的、杂乱无章的、难以理解的数据中抽取并推导出对于特定的群体来说有价值、有意义的数据。

集中管控系统，可根据预先定义的数据模型，按照不同层次的不同检测规则给出实时显示和历史数据查询，能够实时监测与管理设备运行的能耗，并进行能耗分析和优化建议。可实现对设备的运行维护进行管理，记录每次设备维修和维护的情况和问题，提供实时数据与特征数据之间的相似度，给出故障或异常的相似度建议，根据预设的固定阈值、动态阈值、实时数据与模型预测的差值等策略进行异常报警，支持多种报警方式。

结束语

通过系统的实现，解决部分前端数据传送的加密保护，能安全地实现多种通信技术标准的互联互通，完整、高效、低成本把多种协议并存的异构设备连接起来、把数据汇集起来，实现在边缘或云端计算，有效地保障工业互联网异构互联。从而有利于开展工业互联网安全防护工作，提升安全防护能力，推动其健康发展[4]。

参考文献

[1]刘廉如，张尼，张忠平.工业互联网安全框架研究[ED/OL].https：//wenku.baidu.com/view/3468ee5eaa956bec0975f46527d3240c8447a1ff.html，2020-1-25.

[2] 佚名.工业互联网安全技术的思考[ED/OL].https：//www.sohu.com/a/378645337_120012740，2020-3-9.

[3] 佚名.2018年工业互联网构成要素及工业互联网体系架构分析[ED/OL].http：//free.chinabaogao.com/it/201803/03532295r018.html，2018-3-5.

[4] 佚名.浅谈工业互联网安全技术保障体系[ED/OL].https：//wenku.baidu.com/view/11b393bdacaad1f34693daef5ef7ba0d4a736de5.html？fr=search，2020-5-28.

作者简介

汪姗姗（1985-），女，湖南人;学历：本科，职称：高级工程师，现就职单位：慧镕电子系统工程股份有限公司，研究方向：数据安全。