工业物联网环境的安全隐患和工业物联网的体系架构
工业物联网环境的安全隐患
不久之前,一款可以上网的工业闭路电视系统上线,短短三分钟内,摄像头就开始收到恶意的流量请求。一个系统被放置在巨大的互联网上,在三分钟内就开始受到攻击。
毫无疑问,一个智能的、联网的制造企业可以通过筛选新类型的信息来进行数字化转型,从而引入工业物联网(IIoT)环境,从而提高协作水平、运营质量、敏捷性、生产率和盈利能力。
虽然完全和纯粹地采用物联网可能在多年内不会全面出现,但数字化转型的过程正在发生,制造商需要思考他们将如何保护自己的企业。
“当我们开始谈论IIoT是否即将到来时,事实是它已经存在了,”施耐德电气(SchneiderElectric)的主题问题专家和网络安全技术销售负责人约书亚·卡尔森(Joshua Carlson)说。“物联网行业到底意味着什么?”这意味着它有一个IP栈,一个以太网端口和一个Wi-Fi卡。我们建造这些设备的时间很长,人们使用它们的时间也很长。我们现在更多看到的是使用公共基础设施或通用的基础设施与这些设备进行通信。
为了提高生产率并在新兴的全球格局中获得竞争优势,制造商需要应用更智能、更互联的技术。智能技术可以从新的来源获得重要数据,从而增加对这一过程的了解。
安全隐患
相关研究人员说,甚至连杀毒软件都缺乏这样的基本防护措施,杀毒软件不能防止攻击者在破坏装配线、混合罐和高炉等物理过程之前,悄悄地进行侦察。
报告发现,控制网络很容易成为目标:
•3个工业站点中有1个连接到公共互联网
•四分之三的网站都有遗留的Windows系统,微软不再为其提供安全补丁
•60%的人使用明文密码穿越OT网络
•50%的工业站点不运行任何防病毒保护
•82%运行远程管理协议(RDP、VNC、SSH等),使执行网络侦察更容易
施耐德电气(Schneider Electric)能源部门网络安全项目经理亚当•高奇(AdamGauci)表示:“IIoT完全是关于接入管理的。”“制造商必须对连接到网络的设备有一个准确的了解,并有办法监控它们。”他们需要能够识别新的漏洞何时出现。这是一个过程,一个管理新设备上线的系统。
从安全角度来看,挑战在于理解能力的回报与安全风险。
“我们只是代入设备和最好的希望,希望厂家有保护装置的方法,它不会伤害我,我们把它下一步,我们看到人们把它下一步,”杰伊·阿卜杜拉说,施耐德电气全球总监、网络安全解决方案。“我们的建议是继续孤立你们。是的,这个设备可以连接到互联网,但它不需要访问所有东西。找出它是如何工作的,找出最少需要的端口和协议,来源和定义,并过滤流量,因为你可以拿出绝大多数恶意流量试图闯入系统,通过创建非常简单的防火墙规则和保护他们。
闭路电视系统
当你看到网络连接的提升,而不是安全的提升时,风险/回报分析就会起作用。2016年,一份报告发现,据报道,IIoT技术在上线360秒内被黑客攻击。
要详细说明这篇报道,只需回到Abdallah的央视例子。
Abdallah说:“我们做过一次测试,我们在测试实验室里安装了一个分段的网络,我们还接入了互联网工业闭路电视系统。”“我们想看看我们是否能保持现状,恶意流量要多久才能开始进入我们的网站。”花了三分钟。在三分钟内,这个摄像头就被恶意的交通请求攻击了。现实情况是,在某个时候它会被破解,你可能会说它只是一个摄像头,但它与什么有关呢?它还能看到植物的哪些其他部分?它提供给哪些数据库?这些数据库安全吗?这就是为什么我们不得不抛出许多不同的基于网络的解决方案来保护物联网设备,以确保最低的流量要求允许进出。
基本的保护措施
这意味着在向更加数字化的环境转变的过程中,制造商需要确保一个安全的设备和安全的网络。
卡尔森说:“要确保你使用的是一种安全的产品,它使用安全的协议和安全的认证,它们经过了测试,经过了检验,而且是真实的,制造这种产品的厂商在这背后有良好的开发实践。”如果在产品中发现了漏洞,确保他们有一个漏洞管理过程可以解决这个问题。最糟糕的是,你把所有这些美妙的IIoT设备放在那里,它们很容易受到简单类型的攻击。第二件事是确保他们自己使用安全网络。你有安全参数,说这是吸引周围的栅栏,我知道什么协议和系统和应用程序会在那里,我有态势感知和能见度知道别的正在经历不应该。
这可能创造一个安全的数字世界。
(文/ 健信RTSEC)
工业物联网的体系架构
典型的物联网系统架构共有3个层次。一是感知层,即利用射频识别(radio frequency identification, RFID)、传感器、二维码等随时随地获取物体的信息;二是网络层,通过电信网络与互联网的融合,将物体的信息实时准确地传递出去;三是应用层,把感知层得到的信息进行处理,实现智能化识别、定位、跟踪、监控和管理等实际应用。
在工业环境的应用中,工业物联网面临着与传统的物联网系统架构两个主要的不同点:一是在感知层中,大多数工业控制指令的下发以及传感器数据的上传需要有实时性的要求。在传统的物联网架构中,数据需要经由网络层传送至应用层,由应用层经过处理后再进行决策,对于下发的控制指令,需要再次经过网络层传送至感知层进行指令执行过程。由于网络层通常采用的是以太网或者电信网,这些网络缺乏实时传输保障,在高速率数据采集或者进行实时控制的工业应用场合下,传统的物联网架构并不适用。
二是在现有的工业系统中,不同的企业有属于自己的一套数据采集与监视控制系统(supervisory control and data acquisition,SCADA,在工厂范围内实施数据的采集与监视控制。SCADA系统在某些功能上会与物联网的应用层产生重叠,如何把现有的SCADA系统与物联网技术进行融合,例如哪些数据需要通过网络层传送至应用层进行数据分析;哪些数据需要保存在SCADA的本地数据库中;哪些数据不应该送达应用层,它们往往会涉及到部分传感器的关键数据或者系统的关键信息,只由工厂内部进行处理。
工业物联网的系统架构需要在传统的物联网架构的基础上增加现场管理层。其作用类似于一个应用子层,可以在较低层次进行数据的预处理,是实现工业应用中的实时控制、实时报警以及数据的实时记录等功能所不可或缺的层次,如图1所示。
图1 工业物联网体系架构
1. 感知层
感知层的主要功能是识别物体,采集信息和自动控制,是物联网识别物体、采集信息的来源;它由数据采集子层、短距离通信技术和协同信息处理子层组成。数据采集子层通过各种类型的传感器获取物理世界中发生的物理事件和数据信息,例如各种物理量、标识、音视频多媒体数据。物联网的数据采集涉及传感器、RFID、多媒体信息采集、二维码和实时定位等技术。
短距离通信技术和协同信息处理子层将采集到的数据在局部范围内进行协同处理,以提高信息的精度,降低信息冗余度,并通过具有自组织能力的短距离传感网接入广域承载网络。感知层中间件技术旨在解决感知层数据与多种应用平台间的兼容性问题,包括代码管理、服务管理、状态管理、设备管理、时间同步、定位等。在有些应用中还需要通过执行器或其他智能终端对感知结果做出反应,实现智能控制。该部分除RFID、短距离通信、工业总线等技术较为成熟外,尚需研制大量的物联网特有的技术标准。
感知层由现场设备和控制设备组成,主要进行工业机器信息的感知以及控制指令的下发。现场设备主要包括温度传感器、湿度传感器、压力传感器、RFID、电动阀门、变送器等,这些设备直接与工业机器相连,担当着感知控制过程的末稍机构。控制设备主要指PLC等控制器,在工业系统中,PLC等控制器用于实现较底层的高速实时的控制功能,对于工业控制尤为重要。控制设备与现场设备组成了现场总线控制网络,如常用的CAN总线网络、Profibus 总线网络等。值得一提的是,工业无线传感器网络WISN作为物联网技术的重要组成部分,通过网关可与现有的现场总线网络并存。WISN以其高可靠、低成本、易扩展等优势被广泛应用于感知层的实现中,在环境数据感知、工业过程控制等领域发挥着巨大作用。
2. 现场管理层
现场管理层主要指工厂的本地调度管理中心,即如上文所述的SCADA系统。调度管理中心充当着工业系统的本地管理者以及工业数据对外接口提供者的角色,一般包括工业数据库服务器、监控服务器、文件服务器以及Web网络服务器等设备。现场管理层作为区别于传统物联网系统架构的一个层次,在工业物联网系统中起着重要作用。
现场管理层融合了现有的工业监控系统,它的存在使得来自感知层的部分关键工业数据能得到及时的记录与处理,对于一些对实时性有要求的较底层的过程控制指令,它能快速响应,及时做出控制决策。另一方面,现场管理层起到了对外提供数据接口的作用,通过数据库服务器以及Web网络服务器,调度管理中心可以把来自于工厂内部的数据通过网络层发布到应用层,应用层可以透明访问到不同工业机器上的感知信息,对进一步的数据分析工作起到了重要作用。
3. 网络层
网络层由互联网、电信网等组成,负责信息传递、路由和控制。网络层将来自感知层的各类信息通过基础承载网络传输到应用层,包括移动通信网、互联网、卫星网、广电网、行业专网,及形成的融合网络等。根据应用需求,可作为透传的网络层,也可升级以满足未来不同内容传输的要求。
经过十余年的快速发展,移动通信、互联网等技术已比较成熟,在物联网的早期阶段基本能够满足物联网中数据传输的需要。网络层主要关注来自于感知层的、经过初步处理的数据经由各类网络的传输问题。这涉及到智能路由器,不同网络传输协议的互通、自组织通信等多种网络技术。其中,全局范围内的标识解析将在该层完成。该部分除全局标识解析外,其他技术较为成熟,以采用现有标准为主。
4. 应用层
应用层实现所感知信息的应用服务,包括信息处理、海量数据存储、数据挖掘与分析、人工智能等技术。
应用层是工业物联网的最终价值体现者。应用层针对工业应用的需求,与行业专业技术深度融合,利用大数据处理技术对来自于感知层的数据进行分析,主要包括对生产流程的监视、对工业机器运行状况的跟踪、记录等,最终产生对企业、行业发展有指导意义的结果,如优化生产流程、指导生产管理、提高经营效率、预测行业发展等,实现广泛的智能化。不同的企业之间更能互相共享大数据的分析处理结果,对于促进企业间协同生产整体生产力有着巨大作用。
应用层主要包括服务支撑层和应用子集层。物联网的核心功能是对信息资源进行采集、开发和利用,因此这部分内容十分重要。服务支撑层的主要功能是根据底层采集的数据,形成与业务需求相适应、实时更新的动态数据资源库。该部分将采用元数据注册、发现元数据、信息资源目录、互操作元模型、分类编码、并行计算、数据挖掘、数据收割、智能搜索等各项技术,亟需重点研制物联网数据模型、元数据、本体、服务等标准,开展物联网数据体系结构、信息资源规划、信息资源库设计和维护等技术;各个业务场景可以在此基础上,根据业务需求特点,开展相应的数据资源管理。
业务体系结构层的主要功能是根据物联网业务需求,采用建模、企业体系结构、SOA等设计方法,开展物联网业务体系结构、应用体系结构、IT体系结构、数据体系结构、技术参考模型、业务操作视图设计。物联网涉及面广,包含多种业务需求、运营模式、应用系统、技术体制、信息需求、产品形态均不同的应用系统,因此必须统一、系统的业务体系结构,才能够满足物联网全面实时感知、多目标业务、异构技术体制融合等需求。各业务应用领域可以对业务类型进行细分,包括绿色农业、工业监控、公共安全、城市管理、远程医疗、智能家居、智能交通和环境监测等各类不同的业务服务,根据业务需求不同,对业务、服务、数据资源、共性支撑、网络和感知层的各项技术进行裁剪,形成不同的解决方案,该部分可以承担一部分呈现和人机交互功能。
应用层将为各类业务提供统一的信息资源支撑,通过建立、实时更新可重复使用的信息资源库和应用服务资源库,使得各类业务服务根据用户的需求随需组合,使得物联网的应用系统对于业务的适应能力明显提高。该层能够提升对应用系统资源的重用度,为快速构建新的物联网应用奠定基础,满足在物联网环境中复杂多变的网络资源应用需求和服务。该部分内容涉及数据资源、体系结构、业务流程类领域,是物联网能否发挥作用的关键,可采用的通用信息技术标准不多,因此尚需研制大量的标准。
除此之外,物联网还需要信息安全、物联网管理、服务质量管理等公共技术支撑,以采用现有标准为主。在各层之间,信息不是单向传递的,是有交互、控制等,所传递的信息多种多样,其中最为关键的是围绕物品信息,完成海量数据采集、标识解析、传输、智能处理等各个环节,与各业务领域应用融合,完成各业务功能。因此,物联网的系统架构和标准体系是一个紧密关联的整体,引领了物联网研究的方向和领域。
文/ 《工业物联网技术及应用》(作者:尹周平等)
参考来源:
https://mp.weixin.qq.com/s/RBHLy3iKQqiS5oXy1KXlCg
https://mp.weixin.qq.com/s/9XJon5yu6kOl19oJDN9zMA
