区块链技术结合工业互联网安全场景,能够从保障控制层整体通信安全、支撑跨区域可信协作联动、实现实时高效审计监管、促进安全事件快速整体响应几个方面提升工业互联网安全技术能力。
2.1 保障控制层整体通信安全
控制层通信安全首先是资产身份安全。每个接入工业互联网控制层的资产都可以用区块链的形式存储其唯一可信的身份标识,并对其注册状态、属性数据、健康状况进行查询和更新。
其次是将控制层通信协议使用区块链进行登记。现有工业控制协议从三个层面上缺乏有效的安全技术:无会话、无身份认证、无加密。而区块链的加入能有效解决以上三个主要问题,使得控制层通信更加安全可靠。
区块链的共识机制也使得控制层中传输的数据本身具有了不可篡改和透明的特性,一旦發生单个节点的内容被篡改,刷新数据时就会立刻发现并予以告警或进行应急处置。
2.2 支持跨区域可信协作联动
区块链在工业互联网中发挥的最重要作用之一,就是使不同网络域之间共享数据时能够实现真正的可信。利用区块链的智能合约功能实现工业互联网信息的多方共识验证,提升区域协作联动与可信生产的能力。在可信协作联动的基础上,工业企业能够进一步实现跨域、跨平台甚至跨行业的数据互联互通,但同时也能保证数据的权属与隐私。
2.3 實现实时高效审计监管
目前,在工业互联网各层的审计监管中主要分为网络审计、主机审计、数据库审计等。网络审计主要以旁路接入的形式对本网段内的网络通信流量进行识别和分析,定位安全威胁;主机审计和数据库审计分别是针对主机运行环境和数据库配置等进行审计的技术手段。因为网络、主机、数据库本身运行机制和审计方法不同,只能用三种不同的技术手段进行审计监管。
区块链的加成使得网络通信、主机、数据库可以进行同样格式的标识登记,同时,因为所有的标识数据在任意一个节点中都完整保存,所以对任意节点进行一次审计都可以完整覆盖网络通信、主机和数据库,大大提高审计效率。
2.4 促进安全事件快速整体响应
依托区块链进行安全信息和事件的登记上链,有利于安全数据跨域分析、事件关联分析、时间关联分析,从而进一步编制更加完整的工业互联网安全威胁的特征库,在边缘层、平台层、应用层落地一体化的安全响应策略。
(1)区块链增强工业互联网数据确权可信性
数据确权是工业互联网数据应用的重要内容,以互联网为基础的信息网络不能定义数据的权属关系,阻碍了数据向数字资产转化。
通过“区块链+工业互联网”的融合发展模式,运用数字签名等技术,能在数据所有方和使用方之间搭建一个可信、透明、可追溯的数据权属证据链,将数据所有权和数据使用权分离,实现“数据链下”“索引链上”,有效地解决数据确权问题。在满足使用方对工业产品、操作流程、管理事项等数据使用需求的同时,不直接对数据进行拷贝、传输,保障了数据拥有方对数据的唯一权属,把数据变成受保护的数字资产,作为价值物在数据管理体系下进行记录和流动。
(2)区块链保障工业互联网数据流通可靠性
区块链共享账本、智能合约、时间戳技术与工业互联网融合发展,有利于推动数据资源向生产要素的形态演进,在确权基础上加速数据共享、流动。
一是通过共享账本多方参与者可基于链上同步数据进行协同验证、保存,实现数据交易、交换透明化。二是通过建立智能合约,推动工业互联网平台数据和机理模型交易契约规则的维护和履行,提升交易的自动化、智能化水平,降低交易信用成本。三是通过区块链时间戳,形成区块按照时间顺序依次连接的链条,辅助数据和机理模型交易问题溯源查询和追责,提高数据流动可追溯性。
(3)区块链提升工业互联网数据安全性
区块链加密技术、冗余存储和匿名隐私保护技术与工业互联网深度融合,有利于提升工业互联网数据的安全性、可靠性。
一是通过哈希函数、非对称加密、多方共识验证等技术手段,可保证链上交易信息、工业数据索引不被篡改,有效解决传统的工业信息化传递过程中,由于缺乏防火墙应用、数据保护措施、设备安全策略等出现的数据文件失窃和篡改问题。二是基于区块链的冗余数据存储技术有利于降低部分节点损坏导致完整数据无法恢复的风险,有效解决传统工业设备的操作、生产和维护记录存储在单独的系统中,节点损坏会造成数据丢失的问题。三是基于区块链的匿名隐私保护技术,可降低企业数据丢失带来的商业风险。
