今日頭條
官方微信
官方抖音
資訊頻道
1 工業(yè)4.0與“中國制造2025”
1.1 工業(yè)4.0
(1)“工業(yè)4.0”的概念
工業(yè)4.0是繼機(jī)械化、電氣化和信息技術(shù)之后,以智能制造為主導(dǎo)的第四次工業(yè)革命或革命性的生產(chǎn)方式。主要是指基于信息物理系統(tǒng)CPS(Cyber-Physical System)相融合的技術(shù),將制造業(yè)向智能化轉(zhuǎn)型,最終建立一個(gè)高度靈活的個(gè)性化和數(shù)字化的產(chǎn)品與服務(wù)生產(chǎn)模式。
(2)工業(yè)4.0的核心是三大集成
橫向集成:即供應(yīng)鏈的整合,通過價(jià)值鏈及網(wǎng)絡(luò)實(shí)現(xiàn)企業(yè)間橫向集成,包括零部件的供應(yīng)商和下游的銷售商、維護(hù)商和服務(wù)商的整合。
縱向集成:即網(wǎng)絡(luò)化制造的整合,企業(yè)內(nèi)部靈活且可重新組合的網(wǎng)絡(luò)化制造體系縱向集成,包括底層的現(xiàn)場層、控制層、過程管理層、工廠管理層及企業(yè)資源計(jì)劃ERP層,將訂單、排產(chǎn)、排程,裝配和加工整合,實(shí)現(xiàn)企業(yè)上下互聯(lián)互通,建立企業(yè)內(nèi)部靈活且可重新組合的網(wǎng)絡(luò)化指導(dǎo)體系的縱向集成。
端到端集成:貫穿整個(gè)價(jià)值鏈的端到端的工程數(shù)字化集成,從研發(fā)到需求、計(jì)劃、排產(chǎn)、制造、交貨,全價(jià)值鏈實(shí)現(xiàn)數(shù)字化的集成,包含眾包設(shè)計(jì)和客戶設(shè)計(jì)。
圖1 工業(yè)4.0的核心“三大集成”
1.2 “中國制造2025”
(1)“中國制造2025”的特點(diǎn)
業(yè)務(wù)創(chuàng)新:基于兩化深度融合及物聯(lián)網(wǎng)技術(shù),企業(yè)在“質(zhì)量為先”的前提下,推行“業(yè)務(wù)創(chuàng)新”。
結(jié)構(gòu)優(yōu)化:堅(jiān)持把結(jié)構(gòu)調(diào)整作為建設(shè)制造強(qiáng)國的關(guān)鍵環(huán)節(jié),改造提升傳統(tǒng)產(chǎn)業(yè),推動(dòng)生產(chǎn)型制造向服務(wù)型制造轉(zhuǎn)變。
綠色發(fā)展:全面推行清潔生產(chǎn),發(fā)展循環(huán)經(jīng)濟(jì),提高資源回收利用效率,構(gòu)建綠色制造體系。
(2)“中國制造2025”核心動(dòng)力是十大重點(diǎn)領(lǐng)域
“中國制造2025”的核心動(dòng)力是五大工程和十大重點(diǎn)領(lǐng)域,十大重點(diǎn)領(lǐng)域分別是:新一代信息技術(shù)、高檔數(shù)控機(jī)床和機(jī)器人、航空航天裝備、海洋工程裝備及高科技船舶、先進(jìn)軌道交通裝備、節(jié)能與新能源汽車、電力裝備、新材料、生物醫(yī)藥及高性能醫(yī)療器械、農(nóng)業(yè)機(jī)械裝備,如圖2所示。十大重點(diǎn)領(lǐng)域又分為23個(gè)重點(diǎn)方向,其中新一代信息技術(shù)中4個(gè)新的重點(diǎn)發(fā)展方向是:集成電路及專用設(shè)備、信息通信設(shè)備、操作系統(tǒng)與工業(yè)軟件及智能制造核心信息設(shè)備。
圖2 “中國制造2025”圖解
2 智能制造工控系統(tǒng)信息安全問題
2.1 智能制造的定義
工信部印發(fā)的《2015年智能制造試點(diǎn)示范專項(xiàng)行動(dòng)實(shí)施方案》中給出的智能制造的定義是:基于新一代信息技術(shù),貫穿設(shè)計(jì)、生產(chǎn)、管理、服務(wù)等制造活動(dòng)各個(gè)環(huán)節(jié),具有信息深度感知、智慧優(yōu)化自決策、精準(zhǔn)控制自執(zhí)行等功能的先進(jìn)制造過程、系統(tǒng)與模式的總稱。具有以智能工廠為載體,以關(guān)鍵制造環(huán)節(jié)智能化為核心,以端到端數(shù)據(jù)流為基礎(chǔ)、以網(wǎng)絡(luò)互連為支撐等特性,可有效縮短產(chǎn)品研制周期、降低運(yùn)營成本、提高生產(chǎn)效率、提升產(chǎn)品質(zhì)量、降低資源能源消耗。
2.2 智能制造系統(tǒng)與信息安全
智能制造系統(tǒng)(Intelligent Manufacturing System,IMS)是一種由智能機(jī)器和人類專家共同組成的人機(jī)一體化系統(tǒng)。智能制造系統(tǒng)是智能技術(shù)集成應(yīng)用的環(huán)境,其核心是大規(guī)模信息處理、識別、分析、決策等工業(yè)控制系統(tǒng)(含工業(yè)軟件)技術(shù)的研發(fā)和應(yīng)用。典型的智能制造系統(tǒng)整體方案架構(gòu)分為五層,如圖3所示。包括:
(1)現(xiàn)場物理層:關(guān)注產(chǎn)品實(shí)現(xiàn)過程,提高設(shè)備利用率。
(2)業(yè)務(wù)現(xiàn)場層:關(guān)注執(zhí)行響應(yīng),提高精益效率。
(3)集成運(yùn)營層:關(guān)注業(yè)務(wù)流程,提高運(yùn)營效率。
(4)用戶接觸層:創(chuàng)建用戶觸點(diǎn),打造卓越體驗(yàn)。
(5)全集團(tuán):關(guān)注戰(zhàn)略績效,提升品牌價(jià)值。
智能制造系統(tǒng)實(shí)現(xiàn)制造企業(yè)縱向及橫向信息集成,系統(tǒng)間/模塊間信息的交互存在大量信息安全隱患。數(shù)據(jù)和服務(wù)的安全可靠是智能制造企業(yè)的首要訴求,信息安全對于制造企業(yè)尤為重要。
隨著國家推進(jìn)智能制造發(fā)展戰(zhàn)略,制造企業(yè)將更多考慮部署智能制造系統(tǒng),這將對工控系統(tǒng)信息安全防護(hù)提出要求,并帶來巨大的信息安全解決方案的市場需求。
圖3 智能制造系統(tǒng)整體方案架構(gòu)示意圖
2.3 工業(yè)控制系統(tǒng)信息安全問題
2.3.1 工控系統(tǒng)信息安全問題
在智能制造系統(tǒng)的工控系統(tǒng)典型架構(gòu)及需求的基礎(chǔ)上,當(dāng)前面臨的信息安全問題在形式上主要體現(xiàn)在四個(gè)方面:
(1)工控系統(tǒng)復(fù)雜化、IT化和通用化趨勢加劇信息安全隱患
管控一體化,與IT系統(tǒng)及互聯(lián)網(wǎng)連通;
采用通用軟件、通用硬件和通用協(xié)議;
廠商為了加快產(chǎn)品推廣而將協(xié)議規(guī)范公布出來。
(2)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)規(guī)范體系尚未建立起來
企業(yè)建設(shè)時(shí)無設(shè)計(jì)標(biāo)準(zhǔn)可依;
建成后無信息安全驗(yàn)收標(biāo)準(zhǔn)可依;
缺乏工業(yè)控制系統(tǒng)信息安全測評標(biāo)準(zhǔn)。
(3)工業(yè)控制系統(tǒng)信息安全測評體系不健全
缺乏專門的工業(yè)控制系統(tǒng)信息安全檢測機(jī)構(gòu);
求助國外甚至需要提供源代碼。
(4)缺少工業(yè)控制系統(tǒng)信息安全防護(hù)產(chǎn)品和方案
在智能制造體系下,工業(yè)控制系統(tǒng)與信息系統(tǒng)高度集成,打破了工控系統(tǒng)的封閉環(huán)境,具體表現(xiàn)是:工業(yè)控制系統(tǒng)呈現(xiàn)開放性,基于PC架構(gòu)的計(jì)算機(jī)應(yīng)用的普及,Windows平臺的廣泛應(yīng)用,基于IEEE802.3的工業(yè)以太網(wǎng)普及,大量采用TCP(UDP)/IP網(wǎng)絡(luò)協(xié)議,各種工控協(xié)議交互和兼容。
工控系統(tǒng)信息安全標(biāo)準(zhǔn)體系尚不健全,國家注意到這一問題,正在加緊制定相關(guān)標(biāo)準(zhǔn)。當(dāng)前我國工控系統(tǒng)信息安全標(biāo)準(zhǔn)正在編制的情況如下:
《工業(yè)控制系統(tǒng)信息安全》GB/T 30976-2014;
工業(yè)控制系統(tǒng)信息安全等級保護(hù)系列標(biāo)準(zhǔn)(在編);
信息安全技術(shù)——工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求(國標(biāo)在編);
信息安全技術(shù)——工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求(國標(biāo)申報(bào));
信息安全技術(shù)——工業(yè)控制系統(tǒng)邊界安全專用網(wǎng)關(guān)產(chǎn)品安全技術(shù)要求(行標(biāo)在編)……
2.3.2 工控系統(tǒng)可能遇到的信息安全問題
工控系統(tǒng)可能遇到的信息安全問題包括:暴露于能被輕松訪問的網(wǎng)絡(luò)上;互聯(lián)性增加,導(dǎo)致的系統(tǒng)開放接口增多;采用OPC協(xié)議的隱患以及網(wǎng)被廣泛應(yīng)用;組網(wǎng)復(fù)雜,攻擊隱患多;普遍采用國外廠商的系統(tǒng)和技術(shù);特殊的工控協(xié)議,種類繁多;為了便于管理,去掉安全加固環(huán)節(jié);數(shù)據(jù)的實(shí)時(shí)性、可靠性要求高;通用技術(shù)被大規(guī)模采用;工業(yè)協(xié)議缺少安全審計(jì)和權(quán)限校驗(yàn);默認(rèn)的用戶名和密碼;DCS系統(tǒng)沒有安全防護(hù);未限制移動(dòng)介質(zhì)的使用;采用WINDOWS平臺;自動(dòng)化和信息化程度的提高;項(xiàng)目的實(shí)施和維護(hù)過程,安全方面沒有監(jiān)督;更新滯后,操作系統(tǒng)軟件基本沒有升級補(bǔ)丁和漏洞修復(fù);未安裝桌面安全軟件或不升級;缺乏信息安全管理意識,存在管理的漏洞;存在進(jìn)入機(jī)房的可能性;安全的管理和責(zé)任不確定性;缺少信息安全的培訓(xùn)。
3 工控系統(tǒng)全生命周期信息安全保障對策
3.1 信息安全貫穿工控系統(tǒng)全生命周期
工控系統(tǒng)全生命周期包括設(shè)計(jì)、驗(yàn)證、建設(shè)、驗(yàn)收、運(yùn)維和退役等階段,在每個(gè)階段都存在信息安全問題需要做信息安全防護(hù)工作,如圖4所示。
設(shè)計(jì)階段包括:信息安全咨詢服務(wù)、信息安全方案設(shè)計(jì)、信息安全方案評審、信息安全培訓(xùn)服務(wù);
驗(yàn)證階段包括:產(chǎn)品定制測試、產(chǎn)品選型測試、設(shè)計(jì)方案驗(yàn)證;
建設(shè)階段包括:集成測試,過程監(jiān)理,協(xié)議一致性測試;
驗(yàn)收階段包括:信息安全驗(yàn)收測試,安全等級評估,信息安全保障能力評估,信息安全風(fēng)險(xiǎn)評估;
運(yùn)維階段包括:運(yùn)維測試,升級檢測,旁路監(jiān)測,安全預(yù)警;
退役階段包括:數(shù)據(jù)備份,數(shù)據(jù)銷毀。
圖4 工控系統(tǒng)信息安全保障支持和服務(wù)內(nèi)容
3.2 工控系統(tǒng)信息安全保障策略
針對工控系統(tǒng)全生命周期各階段的信息安全保障策略是:
(1)在設(shè)計(jì)階段即融入信息安全防護(hù),包括:安全咨詢、方案設(shè)計(jì)、評審、培訓(xùn)等,屬于信息安全頂層設(shè)計(jì)。
(2)在驗(yàn)證階段中,產(chǎn)品選型測試、定制測試包括信息系統(tǒng)IT產(chǎn)品、工業(yè)控制設(shè)備產(chǎn)品、信息系統(tǒng)安全防護(hù)產(chǎn)品和控制系統(tǒng)安全防護(hù)產(chǎn)品的安全功能測試和防護(hù)能力測試,設(shè)計(jì)方案驗(yàn)證等,通過數(shù)字仿真或半實(shí)物仿真方式模擬系統(tǒng)的行為,來驗(yàn)證安全設(shè)計(jì)方案的合理性和可行性。
(3)在建設(shè)和驗(yàn)收階段,通過集成測試、協(xié)議一致性測試和過程監(jiān)理,保障系統(tǒng)集成過程中的信息安全和系統(tǒng)建設(shè)質(zhì)量。
(4)在智能制造系統(tǒng)交付后,經(jīng)過信息安全驗(yàn)收測試、風(fēng)險(xiǎn)評估、安全等級評估、信息安全保障能力評估后可上線運(yùn)行。
(5)在智能制造系統(tǒng)運(yùn)行維護(hù)過程中需持續(xù)關(guān)注信息安全問題,安全系統(tǒng)的例行維護(hù)、過程審計(jì)、升級維護(hù)后的安全檢測以及運(yùn)行過程中的旁路監(jiān)測和安全預(yù)警。
(6)在智能制造系統(tǒng)退役階段需關(guān)注系統(tǒng)數(shù)據(jù)的備份與銷毀問題。
3.3 貫穿工控系統(tǒng)全生命周期提供的信息安全服務(wù)
工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗(yàn)室自主研發(fā)評測認(rèn)證工具及服務(wù)產(chǎn)品,提供基本支撐、資質(zhì)、人才、設(shè)備等,其工控系統(tǒng)全生命周期信息安全服務(wù)包括:
(1)檢測認(rèn)證:提供標(biāo)桿級的檢測認(rèn)證業(yè)務(wù)。
(2)安全咨詢:針對增量市場提供安全咨詢業(yè)務(wù)。
(3)安全評估:針對存量市場開展安全評估業(yè)務(wù)。
(4)安全培訓(xùn):建立標(biāo)桿培訓(xùn)體系,不但是對提高意識的培訓(xùn),還有管理方面的培訓(xùn),培養(yǎng)復(fù)合型人才。
3.4 安全保障對策
建立安全監(jiān)測與攻防研究服務(wù)體系,實(shí)現(xiàn)集攻防對抗研究、模擬仿真測試環(huán)境建設(shè)的安全測評、重點(diǎn)問題監(jiān)控與預(yù)警推送的監(jiān)測預(yù)警三位一體的深度防御體系,保障智能制造體系下的工控系統(tǒng)安全運(yùn)行。
(文章整理自許鳳凱在“2015第四屆工業(yè)控制系統(tǒng)信息安全峰會”第四站上的報(bào)告)
作者簡介
許鳳凱,博士,高級分析師,現(xiàn)任中國電子第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗(yàn)室工業(yè)控制系統(tǒng)安全檢測中心副主任兼技術(shù)總監(jiān)。
北京市公安局海淀分局備案號:11010802023656號