1.6.3 网络层的安全挑战

工业互联网的发展使得工厂内部网络呈现出IP化、无线化、组网方式灵活化与全局化的特点，工厂外网呈现出信息网络与控制网络逐渐融合、企业专网与互联网逐渐融合以及产品服务日益互联网化的特点。这就造成了传统互联网中的网络安全问题开始向工业互联网蔓延。网络层的安全风险具体表现为以下几个方面：工业互联协议由专有协议向以太网/IP转变，导致攻击门槛大大降低；工厂现有10M/100M工业以太网交换机性能较低，难以抵抗日益严重的DDoS攻击；工厂网络互联、生产、运营逐渐由静态转变为动态，安全策略面临严峻挑战等。此外，随着工厂业务的拓展和新技术的不断应用，IPv6、5G、SDN、标识解析系统等新技术逐渐引入，工厂内外网互联互通进一步深化，会带来更多的安全风险。

同时，工厂内无线网络成为有线网络的重要补充，无线技术逐步向工业领域渗透。目前，无线技术主要用于信息的采集、非实时控制和工厂内部信息化等场景，WiFi、ZigBee、2G、3G/LTE、面向工业过程自动化的无线网络WIA-PA、WirelessHART及ISA100.11a等技术已在工厂内使用。无线网络本身就存在固有的脆弱性，而且无线技术的应用需要满足工厂实时性和可靠性要求，难以实现复杂的安全机制，因此极易受到非法入侵、信息泄露、拒绝服务等攻击。

为追求更高的生产效率，工业互联网开始承担从生产需求起至产品交付乃至运维的“端到端”的服务。比如大规模个人定制的服装行业，个性化定制的家电行业已经开始实现从由生产需求起至产品交付“端到端”的生产服务模式。工业网络灵活组网的需求使网络拓扑的变化更加复杂，导致传统的基于静态防护策略和安全域的防护效果下降。工业生产网络对信息交互实时性、可靠性的要求，难以接受复杂的安全机制，极易受到攻击。“端到端”的生产模式、无人化生产发展趋势使得工业互联网安全防护的边界空前扩张，对安全防护机制的要求空前提高。

工业互联网网络IP化和无线化的发展导致很多工业现场层网络协议向IP转变，无线的引入在带来便捷的同时也将网络边界变得模糊不清，这些都使传统企业网的安全风险直接平移到工业互联网中，但是同时受限于工业互联网的特殊性，又不能将企业网成熟的网络安全方案应用其中，必须经过相应的改变来适应工业互联网场景。