工業(yè)互聯(lián)網(wǎng)

IndustrialInternet01第八章工業(yè)互聯(lián)網(wǎng)安全——課時(shí)安排本次課時(shí)任務(wù)時(shí)間80分鐘（2課時(shí)）主要學(xué)習(xí)內(nèi)容工業(yè)數(shù)據(jù)安全（0.5課時(shí)）；工業(yè)網(wǎng)絡(luò)安全（0.5課時(shí)）；工業(yè)應(yīng)用安全（0.5課時(shí)）；工業(yè)互聯(lián)網(wǎng)安全架構(gòu)（0.5課時(shí)）。主要目標(biāo)了解工業(yè)互聯(lián)網(wǎng)安全的背景與發(fā)展歷程；了解工業(yè)中常見(jiàn)的安全保障方式。2工業(yè)互聯(lián)網(wǎng)架構(gòu)回顧工業(yè)互聯(lián)網(wǎng)2設(shè)備音頻；設(shè)備輻射；……訂單信息;客戶需求變更；……機(jī)器觸感；機(jī)器溫度；……信息感知產(chǎn)品位置；機(jī)器人位置；人的位置；……視覺(jué)傳感器（攝像頭）溫度傳感器紅外傳感器壓力傳感器煙霧傳感器……數(shù)據(jù)傳輸藍(lán)牙通信蜂窩通信有線通信以太網(wǎng)衛(wèi)星通信……數(shù)據(jù)處理機(jī)器學(xué)習(xí)數(shù)據(jù)挖掘數(shù)據(jù)融合人工智能大數(shù)據(jù)……決策應(yīng)用服務(wù)安全管理……平臺(tái)層全過(guò)程都需要安全保證第八章工業(yè)互聯(lián)網(wǎng)安全38.1工業(yè)數(shù)據(jù)安全4第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全工業(yè)數(shù)據(jù)安全概念工業(yè)數(shù)據(jù)作為新型生產(chǎn)要素，是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ)，已快速融入生產(chǎn)、分配、流通等各環(huán)節(jié)，保障數(shù)據(jù)安全，事關(guān)國(guó)家安全大局。加快提升工業(yè)領(lǐng)域數(shù)據(jù)安全保護(hù)能力，可以助力工業(yè)高質(zhì)量發(fā)展，夯實(shí)新型工業(yè)化發(fā)展的安全基石。5第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全節(jié)點(diǎn)認(rèn)證技術(shù)節(jié)點(diǎn)認(rèn)證技術(shù)是一種用于驗(yàn)證和授權(quán)參與區(qū)塊鏈網(wǎng)絡(luò)的節(jié)點(diǎn)身份的技術(shù)。它確保只有經(jīng)過(guò)驗(yàn)證的節(jié)點(diǎn)才能參與到網(wǎng)絡(luò)中，從而保障網(wǎng)絡(luò)的安全性和可靠性。常見(jiàn)的節(jié)點(diǎn)認(rèn)證技術(shù)包括ProofofWork（工作量證明）和ProofofStake（權(quán)益證明）。6第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全ProofofWork工作量證明（PoW）通過(guò)計(jì)算一個(gè)數(shù)值(nonce)，使得拼揍上交易數(shù)據(jù)后內(nèi)容的Hash值滿足規(guī)定的上限。在了解pow共識(shí)機(jī)制前，我們先了解下比特幣區(qū)塊的結(jié)構(gòu)，下圖是比特幣區(qū)塊的結(jié)構(gòu)圖：7第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全ProofofWork基于比特幣的PoW機(jī)制，以比特幣工作量證明（PoW）證明的流程主要經(jīng)歷三步：1.生成Merkle根哈希2.組裝區(qū)塊頭3.計(jì)算出工作量證明的輸出8第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全ProofofStake在2011年，在一個(gè)比特幣論壇中一位名為QuantumMechanic的用戶提出一項(xiàng)技術(shù)，他稱之為"權(quán)益證明(proof-of-stake)"?；A(chǔ)概念是，讓每個(gè)人互相競(jìng)爭(zhēng)挖礦是很浪費(fèi)的。因此相反的是，權(quán)益證明通過(guò)選舉的形式，其中任意節(jié)點(diǎn)被隨機(jī)選擇來(lái)驗(yàn)證下一個(gè)區(qū)塊。9第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全ProofofStake與工作量證明相比，權(quán)益證明具有以下優(yōu)勢(shì):1、能效更高–無(wú)需在工作量證明計(jì)算中使用大量能源2、門(mén)檻更低、硬件要求下降–無(wú)需購(gòu)買(mǎi)高性能硬件以便獲得創(chuàng)建新區(qū)塊的機(jī)會(huì)3、中心化風(fēng)險(xiǎn)降低–權(quán)益證明應(yīng)該可以增加保護(hù)網(wǎng)絡(luò)安全的節(jié)點(diǎn)10第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是一種保護(hù)數(shù)據(jù)安全的方法，通過(guò)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，使其在未經(jīng)授權(quán)的情況下變得不可讀或不可理解。這些技術(shù)通常涉及使用密鑰來(lái)加密和解密數(shù)據(jù)。常見(jiàn)的數(shù)據(jù)加密技術(shù)包括對(duì)稱加密、哈希函數(shù)、數(shù)字簽名。11第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全對(duì)稱加密對(duì)稱加密采用單鑰密碼系統(tǒng)的加密方法，同一個(gè)密鑰用來(lái)加密和解密，常見(jiàn)的對(duì)稱加密算法有DES，3DES，AES，RC2，RC4，RC5等。工作過(guò)程如下所示：流程看起來(lái)很簡(jiǎn)單，但是發(fā)送方和接收方都得保管好密鑰，如果密鑰被別人知道了，那么數(shù)據(jù)傳輸也就不安全了。12第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全哈希函數(shù)哈希（Hash）算法，即散列函數(shù)。它是一種單向密碼體制，即它是一個(gè)從明文到密文的不可逆的映射，只有加密過(guò)程，沒(méi)有解密過(guò)程。13第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全數(shù)字簽名數(shù)字簽名（又稱公鑰數(shù)字簽名）是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，它是一種類似寫(xiě)在紙上的普通的物理簽名，但是在使用了公鑰加密領(lǐng)域的技術(shù)來(lái)實(shí)現(xiàn)的，用于鑒別數(shù)字信息的方法。14第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全差分隱私技術(shù)差分隱私是一種隱私保護(hù)技術(shù)，旨在允許對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，同時(shí)保護(hù)個(gè)體的隱私。其核心思想是在對(duì)數(shù)據(jù)進(jìn)行分析之前，向數(shù)據(jù)中添加控制的噪聲，以混淆個(gè)體數(shù)據(jù)的貢獻(xiàn)，從而防止針對(duì)個(gè)別數(shù)據(jù)的推斷攻擊。該技術(shù)主要分為兩種：局部差分隱私、全局差分隱私。15第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全局部差分隱私局部差分隱私旨在保護(hù)個(gè)體的隱私，同時(shí)允許對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。每個(gè)個(gè)體在本地對(duì)數(shù)據(jù)進(jìn)行噪聲處理，然后再上傳至數(shù)據(jù)處理中心。這樣可以確保個(gè)體數(shù)據(jù)的隱私，因?yàn)閿?shù)據(jù)處理中心無(wú)法得知具體個(gè)體的信息。16第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)數(shù)據(jù)安全全局差分隱私全局差分隱私旨在保護(hù)整個(gè)數(shù)據(jù)集的隱私，同時(shí)允許對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。在全局差分隱私中，數(shù)據(jù)處理中心直接在原始數(shù)據(jù)上施加噪聲，然后進(jìn)行分析。這種方法不會(huì)泄露個(gè)體的具體信息，因?yàn)樗袀€(gè)體的數(shù)據(jù)都被噪聲化處理。第八章工業(yè)互聯(lián)網(wǎng)安全178.2工業(yè)網(wǎng)絡(luò)安全18第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全工業(yè)網(wǎng)絡(luò)安全概念工業(yè)網(wǎng)絡(luò)安全是指保護(hù)工業(yè)控制系統(tǒng)（ICS）和操作技術(shù)（OT）網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)的一系列措施和技術(shù)。它主要關(guān)注于保護(hù)工業(yè)設(shè)施、制造設(shè)備、傳感器、控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施，以確保其正常運(yùn)行、數(shù)據(jù)完整性和生產(chǎn)安全。19第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)脆弱性指的是網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)設(shè)備中存在的漏洞、缺陷或錯(cuò)誤，可能被攻擊者利用以進(jìn)行未經(jīng)授權(quán)的訪問(wèn)、數(shù)據(jù)泄露或其他惡意活動(dòng)。網(wǎng)絡(luò)脆弱性可以是軟件漏洞、配置錯(cuò)誤、弱密碼、未經(jīng)授權(quán)的訪問(wèn)等問(wèn)題，它們可能會(huì)導(dǎo)致安全事件和數(shù)據(jù)泄露。20第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全網(wǎng)絡(luò)結(jié)構(gòu)強(qiáng)韌性

21第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全網(wǎng)絡(luò)脆弱性組成系統(tǒng)的個(gè)體不同，個(gè)體的屬性差異越大，系統(tǒng)的異質(zhì)程度越高。個(gè)體間的作用關(guān)系不同，作用關(guān)系的屬性差異越大，系統(tǒng)的異質(zhì)程度越高。具有不同屬性節(jié)點(diǎn)（通訊、輸電）的電網(wǎng)系統(tǒng)通訊節(jié)點(diǎn)輸電節(jié)點(diǎn)22第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全網(wǎng)絡(luò)魯棒性網(wǎng)絡(luò)魯棒性指的是網(wǎng)絡(luò)系統(tǒng)對(duì)于各種威脅和攻擊的抵抗能力，即網(wǎng)絡(luò)系統(tǒng)在受到攻擊或發(fā)生故障時(shí)仍能保持正常運(yùn)行和提供服務(wù)的能力。網(wǎng)絡(luò)魯棒性包括網(wǎng)絡(luò)系統(tǒng)的彈性、容錯(cuò)性和恢復(fù)能力，它們可以幫助網(wǎng)絡(luò)系統(tǒng)應(yīng)對(duì)各種挑戰(zhàn)和威脅，保障網(wǎng)絡(luò)的穩(wěn)定性和可用性。23第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全傳輸過(guò)程認(rèn)證技術(shù)傳輸過(guò)程認(rèn)證技術(shù)是一種用于驗(yàn)證數(shù)據(jù)在傳輸過(guò)程中的完整性和真實(shí)性的技術(shù)。它確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改、竊聽(tīng)或偽造，從而保護(hù)通信的安全性。常見(jiàn)的傳輸過(guò)程認(rèn)證技術(shù)包括：消息認(rèn)證碼（MAC）、數(shù)字證書(shū)和安全通信協(xié)議（SSL）。24第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全MAC

MAC是一種基于密鑰的認(rèn)證技術(shù)，用于驗(yàn)證消息的完整性和真實(shí)性。它通過(guò)對(duì)消息和密鑰進(jìn)行哈?；蚣用苓\(yùn)算生成一個(gè)固定長(zhǎng)度的認(rèn)證標(biāo)簽，接收方使用相同的密鑰來(lái)驗(yàn)證認(rèn)證標(biāo)簽。25第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全SSL

SSL（SecureSocketsLayer）是一種用于保護(hù)網(wǎng)絡(luò)通信安全的加密協(xié)議。它建立在傳輸層（TransportLayer）之上，用于在客戶端和服務(wù)器之間創(chuàng)建加密連接，確保數(shù)據(jù)在傳輸過(guò)程中的保密性和完整性。SSL的主要功能包括：加密通信、身份認(rèn)證、數(shù)據(jù)完整性。26第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全密鑰協(xié)商技術(shù)密鑰協(xié)商技術(shù)是指在通信雙方之間安全地協(xié)商出共享密鑰的技術(shù)，以便用于后續(xù)的加密通信。這些技術(shù)確保在不安全的通信環(huán)境中，雙方可以生成一個(gè)共同的密鑰，而無(wú)需直接傳輸該密鑰。以下是一些常見(jiàn)的密鑰協(xié)商技術(shù)：RSA密鑰交換、Diffie-Hellman密鑰交換（Diffie-HellmanKeyExchange，DH）。27第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全RSA密鑰交換

RSA密鑰交換是一種使用RSA算法來(lái)安全地交換密鑰的技術(shù)。盡管RSA主要用于加密和數(shù)字簽名，但它也可以用于密鑰交換，以便雙方能夠安全地協(xié)商一個(gè)對(duì)稱密鑰，用于后續(xù)的加密通信。28第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全Diffie-Hellman密鑰交換Diffie-Hellman密鑰交換是一種公鑰交換協(xié)議，允許兩方在不安全的通信通道上安全地協(xié)商出一個(gè)共享密鑰。該共享密鑰隨后可以用于加密后續(xù)的通信內(nèi)容，確保數(shù)據(jù)的機(jī)密性和完整性。。29第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全路由計(jì)算路由計(jì)算是網(wǎng)絡(luò)中決定數(shù)據(jù)包從源節(jié)點(diǎn)到達(dá)目標(biāo)節(jié)點(diǎn)所經(jīng)過(guò)的路徑的過(guò)程。這個(gè)過(guò)程涉及使用各種算法和協(xié)議來(lái)計(jì)算最佳路徑，以確保數(shù)據(jù)包能夠高效、可靠地傳輸。路由算法可以分為兩大類：靜態(tài)路由算法和動(dòng)態(tài)路由算法。30第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全靜態(tài)路由算法靜態(tài)路由算法（StaticRoutingAlgorithm）是一種手動(dòng)配置路由的方式，適用于網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)固定和小規(guī)模網(wǎng)絡(luò)。靜態(tài)路由算法由網(wǎng)絡(luò)管理員手動(dòng)設(shè)置路由條目，每個(gè)路由器在其路由表中預(yù)先配置到達(dá)各個(gè)網(wǎng)絡(luò)的路徑。這些路由條目不會(huì)自動(dòng)根據(jù)網(wǎng)絡(luò)拓?fù)渥兓M(jìn)行調(diào)整。31第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)網(wǎng)絡(luò)安全動(dòng)態(tài)路由算法動(dòng)態(tài)路由算法（DynamicRoutingAlgorithm）是一種根據(jù)網(wǎng)絡(luò)拓?fù)浜吐酚善髦g的通信動(dòng)態(tài)調(diào)整路由表的方式。與靜態(tài)路由相比，動(dòng)態(tài)路由算法能夠自動(dòng)感知網(wǎng)絡(luò)拓?fù)涞淖兓?，并?jù)此更新路由信息，以確保數(shù)據(jù)包能夠以最佳路徑傳輸?shù)侥康牡?。第八章工業(yè)互聯(lián)網(wǎng)安全328.3工業(yè)應(yīng)用安全33第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全工業(yè)應(yīng)用安全概念工業(yè)應(yīng)用安全是指工業(yè)互聯(lián)網(wǎng)平臺(tái)安全和工業(yè)應(yīng)用軟件安全。指支撐工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)行的應(yīng)用軟件及平臺(tái)的安全，包括各類移動(dòng)應(yīng)用。34第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全設(shè)備指紋設(shè)備指紋包括一些固有的、較難篡改的、唯一的設(shè)備標(biāo)識(shí)。比如設(shè)備的硬件ID，像手機(jī)在生產(chǎn)過(guò)程中都會(huì)被賦予一個(gè)唯一的IMEI(InternationalMobileEquipmentIdentity)編號(hào)，用于唯一標(biāo)識(shí)該臺(tái)設(shè)備。它的基本功能就是為互聯(lián)網(wǎng)上每個(gè)設(shè)備生成唯一且穩(wěn)定的標(biāo)識(shí)。35第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全設(shè)備指紋工作流程：36第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全設(shè)備指紋

指紋技術(shù)主要分主動(dòng)式和被動(dòng)式兩種。主動(dòng)式設(shè)備指紋識(shí)別技術(shù)需要主動(dòng)的得到設(shè)備的配合獲取相應(yīng)的信息，由于近年來(lái)各國(guó)用戶隱私標(biāo)準(zhǔn)愈加嚴(yán)格，再加上需要得到設(shè)備的配合，純粹主動(dòng)式設(shè)備指紋識(shí)別技術(shù)的應(yīng)用場(chǎng)景越來(lái)越受限。

被動(dòng)式設(shè)備指紋識(shí)別技術(shù)則堅(jiān)持在不主動(dòng)獲取終端設(shè)備信息情況下，就達(dá)到識(shí)別準(zhǔn)確設(shè)備的目的。相較于主動(dòng)式，被動(dòng)式設(shè)備指紋識(shí)別技術(shù)的準(zhǔn)確率受到技術(shù)壁壘的限制，較難提高，只有少數(shù)公司在這項(xiàng)技術(shù)上得到業(yè)內(nèi)專家及企業(yè)的認(rèn)可。37第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全設(shè)備指紋

在實(shí)際應(yīng)用中，除了主動(dòng)式和被動(dòng)式，還有第三種設(shè)備指紋技術(shù)，那就是混合式設(shè)備指紋識(shí)別技術(shù)。

混合式設(shè)備指紋技術(shù)指將主動(dòng)式和被動(dòng)式設(shè)備指紋技術(shù)整合在同一個(gè)設(shè)備識(shí)別與跟蹤的架構(gòu)中，將主動(dòng)式設(shè)備指紋技術(shù)在客戶端生成的設(shè)備標(biāo)識(shí)符，與被動(dòng)式設(shè)備指紋技術(shù)在服務(wù)器端收集的、協(xié)議棧相關(guān)的特征信息對(duì)應(yīng)起來(lái)，使得所有的設(shè)備都有一個(gè)唯一的設(shè)備識(shí)別ID?；旌鲜皆O(shè)備指紋技術(shù)融合了主動(dòng)式和被動(dòng)式設(shè)備指紋技術(shù)各自的優(yōu)點(diǎn)，在準(zhǔn)確識(shí)別設(shè)備的同時(shí)，擴(kuò)大了設(shè)備指紋技術(shù)的適用范圍。38第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全數(shù)字水印

數(shù)字水?。―igitalWatermarking）指把一些標(biāo)識(shí)信息（即數(shù)字水?。┲苯忧度霐?shù)字載體當(dāng)中或是間接表示（修改特定區(qū)域的結(jié)構(gòu)），且不影響原載體的使用價(jià)值，也不容易被探知和再次修改。數(shù)字水印可以被生產(chǎn)方識(shí)別和辨認(rèn)，通過(guò)隱藏在載體中的信息，可以達(dá)到確認(rèn)內(nèi)容創(chuàng)建者、購(gòu)買(mǎi)者、傳送隱秘信息或者判斷載體是否被篡改等目的。39第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全數(shù)字水印

數(shù)字水印框架：40第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全數(shù)字水印

數(shù)字水印特點(diǎn)：（1）魯棒性：數(shù)字水印必須難以被除去，試圖除去或破壞數(shù)字水印應(yīng)導(dǎo)致水印文本嚴(yán)重降質(zhì)而不可用；（2）隱蔽性:數(shù)字水印應(yīng)是不可見(jiàn)的，即水印的存在不應(yīng)明顯干擾被保護(hù)的數(shù)據(jù)，不影響被保護(hù)數(shù)據(jù)的正常使用；（3）安全性:數(shù)字水印中的信息應(yīng)是安全的，難以被篡改或偽造，只有授權(quán)方可以進(jìn)行水印的檢測(cè)；（4）盲檢測(cè)性:水印檢測(cè)過(guò)程不需要原始的、未嵌人水印的載體信息。這一方面簡(jiǎn)化了水印的檢測(cè)，另一方面則是為了加強(qiáng)水印的安全性。41第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全防火墻和安全威脅識(shí)別技術(shù)

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。換句話說(shuō)，防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過(guò)相關(guān)的安全策略來(lái)控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。42第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全防火墻和安全威脅識(shí)別技術(shù)

網(wǎng)絡(luò)攻擊一般分為拒絕服務(wù)型攻擊、掃描窺探攻擊和畸形報(bào)文攻擊三大類。

拒絕服務(wù)型DoS（DenialofService）攻擊是使用大量的數(shù)據(jù)包攻擊系統(tǒng)，使系統(tǒng)無(wú)法接受正常用戶需求，或者主機(jī)掛起不能正常工作。主要DoS攻擊有SYNFlood、Fraggle等。

43第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全防火墻和安全威脅識(shí)別技術(shù)

掃描窺探攻擊是利用ping掃描（包括ICMP和TCP）來(lái)標(biāo)識(shí)網(wǎng)絡(luò)上存活著的系統(tǒng)，從而準(zhǔn)確地指出潛在的目標(biāo)。利用TCP和UDP等進(jìn)行端口掃描，就能檢測(cè)出操作系統(tǒng)的種類和潛在的服務(wù)種類。

44第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全防火墻和安全威脅識(shí)別技術(shù)

畸形報(bào)文攻擊是通過(guò)向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的IP包時(shí)會(huì)出現(xiàn)崩潰，給目標(biāo)系統(tǒng)帶來(lái)?yè)p失。主要的畸形報(bào)文攻擊有PingofDeath、Teardrop等。

45第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全防火墻和安全威脅識(shí)別技術(shù)

完全內(nèi)容檢測(cè)（深度包檢測(cè)）可以看做是IDS(入侵檢測(cè))和IPS(入侵防御)技術(shù)的結(jié)合。下圖是完全內(nèi)容檢測(cè)防火墻的技術(shù)原理。46第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全入侵檢測(cè)技術(shù)

入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性，完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)（MisuseDetection）或異常檢測(cè)（AnomalyDetection）的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。

入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn)題：·如何充分并可靠地提取描述行為特征的數(shù)據(jù)?！と绾胃鶕?jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。47第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全入侵檢測(cè)技術(shù)

入侵檢測(cè)原理框圖：48第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全入侵檢測(cè)技術(shù)

從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)應(yīng)包括數(shù)據(jù)提取，入侵分析，響應(yīng)處理和遠(yuǎn)程管理四大部分，另外還可能結(jié)合安全知識(shí)庫(kù)，數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的安全檢測(cè)及數(shù)據(jù)分析功能。49第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全入侵檢測(cè)技術(shù)

根據(jù)任務(wù)屬性的不同，入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)可分為兩個(gè)部分：中心檢測(cè)平臺(tái)和代理服務(wù)器。中心檢測(cè)平臺(tái)和代理服務(wù)器之間通過(guò)安全的遠(yuǎn)程過(guò)程調(diào)用（RemoteProcedureCall，RPC）進(jìn)行通信。50第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全生物認(rèn)證技術(shù)

生物認(rèn)證技術(shù)是指自動(dòng)使用生物學(xué)或行為學(xué)特征決定或驗(yàn)證個(gè)體身份的技術(shù)。主要分為生理特征和行為特征兩類，其中生理特征是先天具有的，包括手形、指紋、臉形、虹膜、視網(wǎng)膜、脈搏、耳廓等；行為特征是后天形成的，包括簽字、語(yǔ)音、步頻、按鍵力度等。51第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全生物認(rèn)證技術(shù)——指紋識(shí)別

指紋識(shí)別是最古老的生物特征識(shí)別，其概念被大眾所熟悉，所以現(xiàn)代指紋識(shí)別技術(shù)容易被人接受，只需要少量指導(dǎo)便可實(shí)現(xiàn)輕松采集。此外，指紋特征占據(jù)的存儲(chǔ)空間較小，設(shè)備輕巧，易于和移動(dòng)設(shè)備結(jié)合。但是，由于指紋是暴露在外面的表皮紋理，其結(jié)構(gòu)信息會(huì)受到灰塵、油、水等環(huán)境因素的影響；斷紋、無(wú)指紋以及脫皮和傷痕等問(wèn)題影響圖像采集質(zhì)量，導(dǎo)致指紋識(shí)別困難。52第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全生物認(rèn)證技術(shù)——虹膜識(shí)別

虹膜和指紋有相同的特性：獨(dú)一無(wú)二，私人專享，且不易隨時(shí)間而大幅改變。所以，這就成為了虹膜識(shí)別的依據(jù)。但是目前為止虹膜識(shí)別還沒(méi)有普及，因?yàn)楹缒ぷR(shí)別需要龐大的分析系統(tǒng)和計(jì)算系統(tǒng)附著于攝像頭之后，而且設(shè)備的造價(jià)很昂貴。這就注定現(xiàn)階段的虹膜是無(wú)法運(yùn)用于手機(jī)等小型電子設(shè)備上的。另外，目前的虹膜技術(shù)對(duì)黃種人的虹膜識(shí)別還存在一定的精度誤差。53第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全生物認(rèn)證技術(shù)——人臉識(shí)別

人臉識(shí)別，是基于人的臉部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)。用攝像技術(shù)/掃描技術(shù)采集含有人臉的圖像或視頻流，并自動(dòng)在圖像中檢測(cè)和跟蹤人臉，進(jìn)而對(duì)檢測(cè)到的人臉進(jìn)行臉部的一系列相關(guān)技術(shù)，通常也叫做人像識(shí)別、面部識(shí)別。

缺點(diǎn)：人類臉部存在相似性，很難做到精準(zhǔn)識(shí)別；光線、化妝、整容等仍然會(huì)影響人臉整體識(shí)別結(jié)果；人臉存在易變性，表情、年齡、角度等使人臉的外形很不穩(wěn)定。54第八章工業(yè)互聯(lián)網(wǎng)安全—工業(yè)應(yīng)用安全生物認(rèn)證技術(shù)——聲紋識(shí)別

聲紋識(shí)別就是把聲信號(hào)轉(zhuǎn)換成電信號(hào)，再用計(jì)算機(jī)進(jìn)行識(shí)別。其優(yōu)勢(shì)主要在于適合遠(yuǎn)程身份確認(rèn)，只需要一個(gè)麥克風(fēng)或電話、手機(jī)就可以通過(guò)網(wǎng)路(通訊網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò))實(shí)現(xiàn)遠(yuǎn)程登錄。

缺點(diǎn)：同一個(gè)人的聲音具有易變性，易受身體狀況、年齡、情緒等的影響；不同的麥克風(fēng)和信道對(duì)識(shí)別性能有影響；環(huán)境噪音對(duì)識(shí)別有干擾；混合說(shuō)話人的情形下人的聲紋特征不易提取。第八章工業(yè)互聯(lián)網(wǎng)安全558.4工業(yè)互聯(lián)網(wǎng)安全架構(gòu)56第八章工業(yè)互聯(lián)網(wǎng)安全工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)2020年我國(guó)工業(yè)互聯(lián)網(wǎng)持續(xù)遭受來(lái)自境外的網(wǎng)絡(luò)攻擊，平均攻擊次數(shù)達(dá)121次/日，比2019年提升了43%。工業(yè)云平臺(tái)、工業(yè)控制系統(tǒng)承載著大量接入設(shè)備、業(yè)務(wù)系統(tǒng)，擁有重要敏感數(shù)據(jù)，成為網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象。網(wǎng)絡(luò)攻擊將導(dǎo)致工業(yè)控制系統(tǒng)中斷，重要數(shù)據(jù)泄露，甚至停工停產(chǎn)等嚴(yán)重后果。ICS網(wǎng)絡(luò)面臨嚴(yán)峻安全挑戰(zhàn)I-Internet(工業(yè)互聯(lián)網(wǎng))工業(yè)以太網(wǎng)逐步替代現(xiàn)場(chǎng)總線IP技術(shù)由IT網(wǎng)向OT網(wǎng)延伸IoT(物聯(lián)網(wǎng))WIFI,WSN,NB-IoT,LoRa

輕量級(jí)協(xié)議、無(wú)加密ICS系統(tǒng)特點(diǎn)傳統(tǒng)IT系統(tǒng)特點(diǎn)嚴(yán)格保證可用性保護(hù)邊緣客戶端和中央服務(wù)器15-20年生存期，24/7/365實(shí)時(shí)系統(tǒng)系統(tǒng)設(shè)計(jì)為支持預(yù)期工業(yè)過(guò)程，無(wú)足夠資源支持附加功能部件升級(jí)需嚴(yán)格測(cè)試，不能接受突然停機(jī)、主動(dòng)的離線升級(jí)可用性缺陷往往可以容忍保護(hù)IT資產(chǎn)及存儲(chǔ)或傳輸?shù)男畔?-5年生存期，非實(shí)時(shí)系統(tǒng)系統(tǒng)設(shè)計(jì)擁有足夠資源支持和附加功能部件升級(jí)方便，補(bǔ)丁和漏洞庫(kù)可在線更新，偶爾停機(jī)可接受第八章工業(yè)互聯(lián)網(wǎng)安全工業(yè)互聯(lián)網(wǎng)安全面臨威脅概況管理端攻擊者生產(chǎn)端設(shè)備供應(yīng)商消費(fèi)端研發(fā)端工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和技術(shù)匱乏、產(chǎn)業(yè)支撐能力不足威脅一威脅三威脅二公開(kāi)協(xié)議、標(biāo)準(zhǔn)化技術(shù)架構(gòu)第八章工業(yè)互聯(lián)網(wǎng)安全工業(yè)互聯(lián)網(wǎng)安全關(guān)注重點(diǎn)工廠外網(wǎng)定制業(yè)務(wù)產(chǎn)品業(yè)務(wù)協(xié)同業(yè)務(wù)工業(yè)互聯(lián)網(wǎng)平臺(tái)（公有云，大數(shù)據(jù)分析）PLM產(chǎn)品生命和周期管理MES制造執(zhí)行系統(tǒng)APSPDMCRMERPSCM工業(yè)互聯(lián)網(wǎng)平臺(tái)（私有云，數(shù)據(jù)集成運(yùn)用）SCADADCS/FCSPLC智能傳感器工業(yè)機(jī)器人智能儀表智能產(chǎn)品工廠內(nèi)網(wǎng)…….…….5.設(shè)備安全2.應(yīng)用安全3.控制安全1.數(shù)據(jù)安全4.網(wǎng)絡(luò)安全HMI第八章工業(yè)互聯(lián)網(wǎng)安全工業(yè)互聯(lián)網(wǎng)安全進(jìn)展（一）出臺(tái)安全框架或文件指南為工業(yè)企業(yè)安全部署提供指導(dǎo)美國(guó)IIC《工業(yè)互聯(lián)網(wǎng)安全框架》（IISF）從實(shí)施角度出發(fā)，以安全模型和策略作為總體指導(dǎo)，部署通信、端點(diǎn)、數(shù)據(jù)、配置管理、監(jiān)測(cè)分析等方面的安全措施。工業(yè)互聯(lián)網(wǎng)可信框架IIC大力推廣可信的概念，在工業(yè)互聯(lián)網(wǎng)可信白皮書(shū)的基礎(chǔ)上，結(jié)合已有的工作構(gòu)建工業(yè)互聯(lián)網(wǎng)可信框架。中國(guó)國(guó)家工業(yè)信息安全發(fā)展研究中心會(huì)同工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟，聯(lián)合相關(guān)企事業(yè)單位，共同研究編寫(xiě)的《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全白皮書(shū)（2020）》重磅發(fā)布。德國(guó)工業(yè)4.0德國(guó)工業(yè)4.0出版了《工業(yè)4.0的IT安全》、《安全身份標(biāo)識(shí)》、《跨企業(yè)安全通信》等指導(dǎo)性文件，指導(dǎo)企業(yè)進(jìn)行安全部署于實(shí)施。工業(yè)4.0的IT安全安全身份標(biāo)識(shí)跨企業(yè)安全通信第八章工業(yè)互聯(lián)網(wǎng)安全工業(yè)互聯(lián)網(wǎng)安全進(jìn)展（二）持續(xù)提升工業(yè)互聯(lián)網(wǎng)安全技術(shù)能力建設(shè)通訊和傳輸保護(hù)接入認(rèn)證授權(quán)邊界隔離網(wǎng)絡(luò)安全控制安全控制協(xié)議安全機(jī)制指令安全審計(jì)控制軟件安全加固設(shè)備安全設(shè)備身份鑒別與訪問(wèn)控制漏洞修復(fù)固件安全增強(qiáng)邊緣安全防護(hù)系統(tǒng)數(shù)據(jù)防泄漏數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)加密數(shù)據(jù)安全應(yīng)用安全用戶授權(quán)和管理代碼安全虛擬化安全網(wǎng)絡(luò)安全設(shè)備