整体方案设计
通过前述章节对工业物联网应用层、网络层、感知层的安全威胁进行全面的分析,以及梳理出各个层次包括身份鉴别、访问控制、安全审计、入侵防范、通信完整性、保密性等多个方面的综合安全需求,据此设计工业物联网网络安全整体解决方案,实现由端至云覆盖应用、网络、感知各层次的安全防护保障体系。
图 1 工业物联网网络安全整体解决方案
方案整体由安全技术防护和安全服务保障两大部分组成:安全技术措施依据各层次业务特点、安全需求特点精确部署。
工业物联网感知层各类设备分布范围广,面临物理攻击、伪造、仿冒等多种类型安全威胁,在感知层部署物联网安全接入与防护措施,提供访问控制、安全认证与准入、数据传输加密等安全能力,确保感知层物联网设备的安全性及可视化管理。
工业物联网网络层是汇集各类感知终端传输数据的通道,各类异常行为、拒绝服务攻击、中间人攻击对网络层的安全性构成了极大的威胁,通过在网络层部署安全异常检测系统和数据流安全分析系统实时监测网络层入侵攻击以及流行为异常等网络层威胁。
工业物联网应用层包含云平台和各类应用系统,是工业物联网的业务核心,各类虚拟化应用、大数据分析、移动应用、Web 应用都在该层实现。在应用层的主要以云安全防护为基础,云数据加密为保障,通过工业物联网安全态势感知平台实现整体安全的监测、管理、控制和运营,将网络安全的感知和防护范围扩大到整个工业物联网的每个环节,有效构建工业物联网安全运营体系。
工业物联网的行业应用范围非常广泛,这里选取了典型的仓储物流应用场景,根据其场景业务特点,分析了各个场景中的安全问题和需求,将工业物联网网络安全解决方案在场景中的应用进行了详细阐述。
仓储物流场景
仓库是现代物流的一个重要组成部分,在物流系统中起着至关重要的作用,高效率的仓库可以有效加快物资流动的速度,降低物流成本,保障各项生产的顺利进行,并可以实现对资源的有效控制和管理。仓库的发展经历了不同的历史时期和阶段,从原始的人工仓库到目前互联网时代的智能仓库,通过互联网、物联网等各类新兴技术的应用实现对仓库效率的大幅度提升。
随着仓储物流行业的快速发展,物流仓库实体平台与“互联网+物流”的网络化平台的结合及其跨区域整合将进一步加强,使用智能技术驱动物流仓库创新,颠覆传统物流模式,利用机器人和物联网技术相结合,将仓库建设成为智能、高效的智慧仓库系统是目前物流仓库的主要发展趋势。
智慧物流仓库的建设,可根据物流仓库的实际需求以及已有的信息化平台,通过增加硬件设施和深化信息调度,实现仓储管理信息化、自动化、智能化、标准化、可视化。以信息系统平台和硬件设施为支撑,以成品出入库和物料搬运为主体业务,打造物流仓库的智慧管理,将仓储、搬运、信息、人员等资源柔性调度,实现智能化。结合智慧物流系统(IWMS)实现“智能物流”,通过互联网、云计算、物联网技术的运用,整合物流仓库资源,从而构建智能化的柔性物流仓库体系。
目前,物联网技术广泛应用于智慧仓库的建设中,包括:
a) 仓库物资管理系统中对货物和货架的管理和识别及定位;
b) 仓库环境系统中,温度、湿度、压力、雨水、光线等传感器的应用;
c) 仓库安防系统中,门禁、视频、红外、电磁、告警等传感器和终端的应用;
d) 仓库消防系统中,烟雾、喷淋、火灾告警等传感器的应用;
e) AGV 车辆、堆垛机器人、智能叉车等货物分拣设备的应用;
f) 仓库内移动终端设备(笔记本电脑、手机、平板设备、手持终端)的使用。
图 2 智能仓库示
安全性分析
在智慧仓储的场景中,物联网的应用主要包括平台层的物资管理系统,网络层的 WiFi、ZigBee、4G-LTE 等组网技术,感知层的各类传感器、智能终端以及机器人等操作设备,其网络结构如下图所示:
图 3 典型智慧仓储网络结构示意图
在此场景下,其网络安全需求主要从以下几个方面进行分析:
第一,从攻击面来看,由于智慧仓储集成了众多物联网设备,这些设备用途广泛,有智能设备也有非智能设备,但其基本都以无线方式接入到网络中,并将数据汇总到云平台的各个应用系统,因此,这类泛无线连接场景下,其攻击面非常广泛,攻击者不仅可以通过无线网络发起攻击,也可以通过仿冒或替换物联网设备的方式进行攻击,攻击路径众多,对物联网网络安全的防护范围和防护粒度提出了挑战。
第二,从网络安全防护对象来看,智慧仓储管理系统是保障物流系统稳定运行的重要系统,一旦系统遭受攻击,不仅影响物流系统的正常运行,也可能影响到企业或者行业的商业利益,严重的甚至对军事安全或国家安全构成威胁;而系统中的仓储数据也具有非常重要的价值,一旦泄露或者遭受破坏,后果也非常严重;此外,还需要防止物联网被“僵尸化”,避免成为攻击跳板。
因此,智慧仓储的物联网网络安全防护应是能够覆盖端侧、网络和云平台的体系化防护部署,不仅需要对各类物联网终端设备进行防护,也要在云端实现整体安全态势的监测和管控。
解决方案的应用
根据对智慧仓储物联网的安全性分析,工业物联网网络安全解决方案在该场景中的应用设计如下图所示:
图 4 智慧仓储物联网安全防护示意图
该方案在防护范围和防护粒度上能够满足智慧仓储物联网的安全防护需求,无需对现有物联网网络架构进行大范围调整,可移植性较高,能够实现从端到云的一体化安全防护。对于端侧的安全防护,由于设备层中的物联网设备均为非智能设备或哑终端,基本不具备安全防护措施的部署条件。
因此,从接入层入手,通过在无线接入网关嵌入安全模块,实现与工业物联网安全接入管理平台的安全认证和连接,对物联网设备的传输数据进行加密,确保传输数据的保密性和完整性;而在接入层和汇聚层之间,通过部署工业物联网安全防护网关,则可实现对所有接入设备的认证和准入,以及对设备状态的安全监控,及时阻断非法和异常行为,可有效防止设备仿冒和替换、僵尸网络、物联网拒绝服务等安全威胁。
而在网络汇聚层,通过部署网络异常监测系统和数据流分析系统,可实现对网络入侵行为、异常流量、恶意代码等安全威胁的监测和告警,保障核心网络的安全稳定运行。最后在应用层,主要从云基础安全防护、云数据安全和安全态势感知这三个层面入手,实现物联网全网安全态势的准确感知、实时监测和有效管控,从而切实保障整个平台的安全稳定运行。