进入21世纪以来,世界经济出现了新的局面,增速缓慢、竞争加剧。为了摆脱危机和取得可持续发展,世界各国都在加快新技术整合与行业革命、战略转型。从全球看,国际一些较发达国家新一轮科技革命和产业变革蓄势待发,以信息技术与制造技术的深度融合为新一轮科技革命和产业变革的主要特征。其趋势和核心就是制造业的数字化、网络化和智能化。发达国家都在研究、谋划、部署,对高端制造业进行再调整再布局,以打造国家制造业竞争新优势,抢占新一轮发展的制高点。
1 科技与产业技术革命下的新业态
以信息技术和制造技术深度融合为特征的新一轮科技与产业革命,已从全球范围内展开。德国正致力成为工业4.0标准的制定者和推广者。另外,类似的战略还有美国的“工业互联网”以及“先进制造业国家战略计划”,日本的“科技工业联盟”,英国的“工业2050战略”,中国的“互联网+”、“中国制造2025”等。
图1 智能工厂的架构
德国工业4.0是德国基于当前自动化的基础上,实现数字化、网络化、智能化、社会化的生产模式,是一种非常先进、理想化的智能制造模式。
从图1中我们可以看到,在物联网与务(服务)联网的基础上,以智能生产为主线,分别实现智能物料、智能工厂、智能产品,工业4.0涵盖的范围非常广,可以说这是一种远景规划。
以美国“先进制造业国家战略计划”为代表的下一轮变革,依托先进的系统监控和信息技术,工作能力大大提高,实时数据处理的规模得以明显提升,高频率的实时数据为系统操作提供全新视野。另外, 机器分析则为分析流程开辟新维度,各种物理方式之结合、行业特定领域的专业知识、信息流的自动化与预测能力相互结合,可与现有的整套“大数据”工具联手合作。最终,工业互联网将涵盖传统方式与新的混合方式,通过先进的特定行业分析,充分利用历史与实时数据。
美国是典型的自上而下的战略,即从互联网,从信息化下延至设备,与德国自下而上的方式是相反的,但都是充分发挥自己之长,借鉴对方之优点,补己之短。德美的战略目标都是确保“国家制造业的未来”。
2010年,中国成为世界第一制造业大国。这是中国在时隔150年之后,重又夺回了全球制造业第一大国的位置。2012年,中国制造业的增加值已经达到了2.08万亿美元,超过美国,成为全球制造大国,也远远超过日本、德国。但却没有一大批具有国际竞争力的骨干企业,产业发展尚有一批重大技术、装备亟待突破。2013年1月,中国工程院启动并开展“制造强国战略研究”咨询项目,2015年,李克强总理正式提出了“互联网+”、“中国制造2025”的概念,依靠制造业振兴经济、成为工业强国。
作为制造大国,在目前这种国际经济技术新一轮革命的大背景以及国内“三期交叠”( 即经济增速换挡期、结构调整阵痛期、前期刺激政策消化期)的严峻形势下,中国政府高瞻远瞩,陆续制订了“两化深度融合”、“中国制造2025”等国家战略以及“互联网+”行动计划,希望借鉴德国工业4.0的思路,制订适合中国国情的国家发展战略,实现中国制造由大到强的战略转变。
“互联网+”动力之源主要分为三个方面,如图2所示。
图2“互联网 +”动力之源
“互联网+”行动计划,以推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场。国家已设立400亿元新兴产业创业投资引导基金,要整合筹措更多资金,为产业创新加油助力。
基于整合后的云服务、互联网,以及端到端的全新的基础设施生态链,并在信息技术上的不断突破,最大程度地释放数据的流动性与使用共享数据、共享经济、网络协同、众包合作,大规模社会化分工协作,最终提升经济社会运行的效率。
“中国制造2025”是通过互联网、移动互联网、物联网、云计算、大数据、3D打印等技术,与智能机器人、智能设备等相结合,进行异地协同设计、异地协同制造的新型商业模式,以整合各种资源,满足个性化的需求。如图3所示。这种制造业的变革将会渗透到人类社会。“中国制造2015”以加快新一代信息技术与制造业深度融合为主线,以智能制造为主攻方向,重点发展新一代信息技术、高档数控机床和机器人、航空航天装备、海洋工程装备及高技术船舶、先进轨道交通装备、节能与新能源汽车、电力装备、农业机械装备、新材料、生物医药及高性能医疗器械10大领域。并“在重点领域试点建设智能工厂/数字化车间,加快人机智能交互、工业机器人、智能物流管理、增材制造等技术和装备在生产过程中的应用,促进制造工艺的仿真优化、数字化控制、状态信息实时监测和自适应控制”。
图3“互联网 +”新型商业模式
“中国制造2025”已经正式成为中国与德国工业4.0遥相呼应的国家级战略,成为中国制造业发展的纲领性文件,成为企业制订自身中长期发展的重要依据。
随着信息技术不断取得新的突破,推动产业转型的新一代信息技术主要包括社交媒体技术、移动互联网和物联网技术、云计算技术以及大数据与先进分析技术。借助大数据分析、云计算、3D打印、机器人、信息物理系统等先进技术,实现全球制造、柔性制造、绿色制造、智能制造、服务型制造等以确保国家制造业的未来。“以工业化带动信息化,以信息化促进工业化”,通过信息与物理设备相融合、大数据分析等技术手段,实现信息的采集、分析、优化,从而提升企业的竞争力。在制造业领域,很多机器上都安装了一个或多个微处理器来采集生产数据,无处不在的传感器和微处理器,形成了庞大的数据来源,其规模已经超出了传统意义上的认知,常规的数据库技术已难以完成捕捉、存储、管理和分析这种大规模的数据集合。大数据技术是从各种类型的数据中,采用新处理模式快速获得有价值信息,从而实现深度理解、洞察发现与精准决策。其给制造业带来的益处包括优化流程、降低成本与提升运营效率。
对于中国广大制造型企业来讲,在竞争激烈、成本飙升的经济转型期,借鉴大数据等先进理念,充分挖掘企业内部潜力,对各类数据进行及时采集、科学分析,用量化、准确的决策支持实现企业的精细化、透明化管理,将是企业从粗放管理成功转型的一条有效途径。
2 新业态下面临的问题机遇
我国工业制造业大而不强主要表现在自主创新能力不强、产品质量问题较突出、资源效率利用较低,能耗较高,污染较严重,产业结构不是很合理,低端产品产能严重过剩,高端产品能力比较差。
(1)目前现阶段面临的主要问题有如下几个方面。
·面临人才需求的挑战,如图4所示。
图4 人才需求的挑战
·面临新的生产架构调整,如图5所示。
图5 新的生产架构调整
·在新的生产架构价值链与安全的思考,如图6所示。
图6 新的生产架构价值链与安全的思考
(2)随着工业化与信息化不断深入融合,信息化带动工业化、以工业化促进信息化,在新型工业化道路上,涉及国计民生的关键基础设施越来越多地依靠工业控制系统来实现自动化作业,目前需要解决的的四大难题如下。
·标准化问题
新的业态形势,行业两化融合建设过程中相关工作中缺少可以参考落地的标准化文件,需尽快制定出台。另外一些国际标准、国家标准以及行业相关标准文件的可落地性补充改善。
·通信基础设施建设
以工业互联网、工业大数据等技术的通信基础设施的建设需要尽快完善。
·复杂的系统管理
对于目前传统制造系统头绪繁杂,系统管理复杂困难。需要形成纵横一体化管理模式:即纵向垂直一体化管理、横向一体化管理。
·网络安全问题
随着两化融合,信息技术的应用中信息安全风险及威胁会不断扩大。
3 未来工控系统信息安全严峻形势
在信息化和工业化的融合交互过程中,现代工控系统大量采用通用协议、硬件和软件,形成控制网络,其信息安全风险和威胁不断扩大。信息安全的问题主要体现在如下几个方面:
(1)异地协同过程中网络威胁
工业产品异地设计、异地生产、异地加工,工业网络与互联网互连互通,传统IT网络威胁渗透至工控网。网络的互联互通为黑客行动扩展的广阔舞台,非法商业黑客行为市场巨大。
(2)精密设备及系统自身存在安全漏洞
精密制造中核心数控系统目前无法自主开发,其系统漏洞难以预知。工业系统的脆弱性暴露无遗。
(3)工控设备自身脆弱性
大量工控设备暴露在互联网中,而网络攻击的门槛目前也越来越低,未来工业网络受到攻击的频率将大大增加,且危害越来越大。
(4)工业网络协议问题
通用的工业网络协议问题。针对工业机器人而言,大批工厂引进国外的机器人,很多机器人都是可以联网的,我们就需要了解其中的网络通信协议、数据传输格式,也需要对机器人底层系统进行检测,是否存在漏洞等,避免数据发送给情报机构,或者数据保存在某个不知道的地方。
(5)运维审计问题
远程运维是未来的趋势,运维为制造业控制系统安全带来安全隐患。第三方人员(尤其是远程的国外运维人员)在远程维护高精类机床设备时可能会有相关生产数据的信息泄密,直接影响着企业声誉,国家命脉。
(6)恶意代码问题
未对工业控制网络区域间进行隔离、恶意代码监测、异常监测、访问控制等一系列的防护措施,很容易发生病毒或攻击,影响全部车间甚至整个企业。
(7)工控系统操作站主机脆弱性
工业控制系统主机大都采用Windows系统,老旧的没有维护的xp系统普遍存在,且系统更新不及时。
(8)内部人员操作审计问题
对人员的操作未进行审计记录,一旦发生安全事件很难取证。
(9)设备及日志管理缺失
未对设备及日志进行统一管理,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。没有网络资源的利用率,业务网络状态需要的可视化分析。
(10)应急响应机制
未对工业控制系统建立统一的应急响应机制,使得发生问题后不能在最短时间内响应处理。一旦系统被入侵,无从着手解决问题。缺乏统一有效的信息安全监控工具,对工业控制系统中的网络设备、服务器、数据库等进行有效安全监控和管理,在工业控制系统和控制网络的设备出现故障时,不能提供及时的预警和故障定位,造成排障时间较长。
为此,开展工控系统信息安全管理,已成为推进产业转型升级,实现工业化和信息化深度融合的必然要求。建立纵贯信息化与工业化,针对工业控制系统中部分核心环节如PLC、现场总线、实时操作系统、实时数据库、标准架构、安全认证等,实现自主可控控制系统技术和产品体系,形成从芯片、硬件到软件应用的完整解决方案,推动我国工业向数字化、智能化的加速发展,是实现“中国制造2025”必须要完成的目标。
4 工控信息安全整体保障体系构建
工控信息安全整体保障体系着眼于信息互联网络全局,覆盖各个重点行业工控系统信息安全管理。基于云架构的安全设计,通过各网络信息安全引擎实时采集局域网、广域网以及各种云数据中心内的各种情报信息,对信息进行分析并将分析结果上传私有云端综合信息安全管理中心,运用大数据安全分析、数据中心安全技术、私有云安全技术、云数据存储分析、以及“互联网+”信息安全产品的先进技术理念,对安全事件热点分布分析、事件波动地址态势分析、威胁态势分析。
通过采集信息分析结论对安全事件态势进行预警,使用户及时了解外部网络威胁及自身网络及设备安全现状。私有云端信息安全管理中心自动给各网络节点信息安全中心或终端信息安全防护平台下发安全防护策略,进行安全加固、及时防御。建立一个全新的动态的基于云架构的、集防护监测于一体的信息安全保障体系。
同时该体系还支持云端策略备份,终端修复功能。真正实现对整个工控系统的动态监控、协同防御、策略云备份与自我修复。
云架构模式下的安全设计,融合了互联网的安全属性、虚拟化架构安全属性、大数据安全属性、以及自动化系统安全属性等,需要以大数据技术以及设备和数据的管理为支撑,采用应用安全、安全数据采集和存储、安全事件防护及响应措施等技术。
基于云架构安全设计具有四个基本特征:可见、可信、可靠、可控。如图7所示。
图7 基于云架构安全设计的特征
可见:资产可见、资源使用可见、网络拓扑可见、网络连接可见。
可信:对网络行为、云环境安全态势、审计的结果的展现以及基于大数据分析的事件追溯。
可靠:云端备份、终端复活,为业务安全及持续运行提供保障。
可控:部署安全设备实现边界防控、智能决策、提供防控策略。
(1)工业网络边界安全防护
工业防火墙作为主要的边界防护领域防护产品,支持虚拟安全分区,并针对不同安全分区采用不同的防护策略。支持工业协议深度检测,基于XML可扩展自定义的工业协议深度解析。工控防火墙协议支持覆盖主流行业工业协议。如工业上最常见的Modbus、OPC等协议,支持常用工控场景的防护模型,针对工控协议进行DPI深度检测,及时进行访问控制,支持工业VPN及串行及总线协议的防护,保护网络边界的安全。
部署与各行业工控网络节点的防火墙设备能通过信息安全管理中心动态感知外部网络威胁以及防护策略建议,智能决策,并自动进行协议过滤、防护策略配置。并将内部防护结果信息反馈给节点信息安全管理中心。
另外对于安全级别要求较高的领域,要使用工业安全的数据隔离交换设备,如单向工业网闸产品。
(2) 工业异常检测
工业异常检测系统,结合一些传统热点技术,包括大数据分析、流量可视化和全入侵链检测与审计等形成了工业领域的安全解决方案。旁路部署不直接影响工业网络的稳定性和实时性,在工业系统网络中的实时网络监控、数据可视化和态势感知,在不牺牲工业系统生产能力和传输性能的前提下,发现控制系统的异常行为。异常检测要集合包检查,流检测,入侵检测,病毒检测,业务异常检测等功能。
异常检测系统,将本地网络异常情况进行检测分析,并可将检测结果上传给节点或私有云端信息安全管理中心,进行综合分析。同时通过信息安全管理中心动态获取协议新漏洞、检测策略等,进行智能决策,自动更新异常检测策略。
(3)工业漏扫
工业漏洞扫描系统,基于对网络内的设备,通过讯问的方式获取到设备的类型和型号,然后加载针对特定工业设备的漏扫模型,最后有针对性的进行漏洞扫描。以柔性的方式对漏洞和系统、协议、网络的脆弱性进行扫描。
将本地网络漏洞情况进行扫描分析,并可将结果通过互联网上传给节点或私有云端信息安全管理中心,进行综合分析。同时可以通过信息安全管理系统获取系统漏洞,上报新发现的漏洞信息,实时更新漏洞扫描产品漏洞库,进行智能决策,自动更新漏扫策略。
(4)恶意代码防护
工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。在两网融合的大背景下,对于来自于管理网的网络风暴、ARP攻击、拒绝式服务攻击等。恶意代码防护安全产品根据自身或者信息安全中心提供恶意代码防护策略,提供有效的安全措施进行过滤阻断,保障数控代码传输安全,防止渗透行为的发生扩散。同时将恶意代码防护信息情况实时同步给信息安全中心进行态势分析。
(5)无线安全防护
无线安全产品应具备无线入侵检测功能,发掘先进制造系统潜在的无线安全问题。对流氓AP、无线扫描、无线欺骗、DoS、破解等无线攻击进行检测,不间断地保障工业企业内无线网络安全。通过信息安全管理中心与其他安全产品配合形成多维立体动态监测防护。
作者简介
孙志华(1981-),男,河北衡水人,毕业于北京理工大学通信工程专业,现就职于启明星辰信息技术集团股份有限公司,在工控安全小组担任资深顾问。具有多年网络安全解决方案及产品研发设计经验,熟悉国内外信息安全政策法规、行业规范及标准和安全技术,主持多个研发设计项目,拥有丰富的项目管理、组织与实施经验。目前在启明星辰工控安全团队,主攻研究工业控制系统安全防护体系,了解国家信息安全及工业行业形势,走访调研工控企业用户现场环境,融合传统的信息安全理念与工业控制系统,为不同行业客户提供具有行业特色的工控信息安全整体解决方案。
摘自《工业控制系统信息安全专刊(第二辑)》
