1 引言
制造業是立國之本,為把我國建設成為引領世界制造業發展的制造強國,2015年5月8日國務院發布了我國實施制造強國戰略第一個十年的行動綱領——《中國制造2025》,提出要加快推動新一代信息技術與制造技術融合發展。同年7月4日,國務院發布了《關于積極推進“互聯網+”行動的指導意見》,提出要推動互聯網與制造業融合,提升制造業數字化、網絡化、智能化水平。在這種背景下,“互聯網+制造業”將成為我國制造業轉型升級的有力武器。同時,信息安全風險將是“互聯網+制造業”發展過程中越來越需要重視的問題。
2 “互聯網+制造業”:制造業的數字化和網絡化浪潮
當前,以數字化制造、3D打印等為代表的先進制造技術和以物聯網、云計算等為代表的信息技術正推動著全球新一輪科技創新,也推動了“互聯風+制造業”的數字化和網絡化浪潮。制造業正邁入工業互聯時代,主要體現在:
(1)數字化技術的創新擴大了制造業的互聯范圍。數字化技術使生產環節和制造系統的標準化互聯互通與集成更容易實現。首先,數字化設計技術(CAD、CAM、CAE、3D掃描)實現了制造設計的并行化和研發的網絡協同,并開始具備與數字制造資源聯接的能力,如Autodesk公司的123D設計軟件已經有了云端處理和本地或在線打印制造功能;其次,數字化生產制造技術(3D打印、數控機床、工業機器人、PLC、DCS、SCADA)正朝著通用化的方向發展,實現了生產系統與研發及生產管理系統的信息化對接,例如近些年發布的工業控制器開始兼容開放化的TCP/IP以太網協議;最后,數字化管理技術(ERP、CIMS、MES、PLM、PDM)建立于傳統的軟硬件基礎環境,為自下而上或自上而下的人、機、系統和數據深度互聯集成提供了技術基礎。
(2)網絡化技術的進步推動了制造業互聯的泛在化。物聯網、互聯網、云計算、大數據、工業以太網等信息技術的進步和突破在大幅降低了信息使用成本的同時也不斷提升了它們在制造業領域的服務能力,促進了生產制造活動的各業務環節及涉及的人、機、系統和數據在網絡空間內的互聯。第一,生產工具、被控對象、傳感器等設備橫向互聯形成“制造網絡互聯”,例如流程工業中的工業控制網絡和離散工業中的網絡化制造系統;第二,全生命周期的生產制造業務過程通過高度網絡化和信息化的系統縱向連接,形成“業務網絡互聯”;第三,個人或企業生產者之間通過云平臺或協同制造平臺連接在一起,構成生產者之間的產業鏈分配和生產制造活動協同的“產業網絡互聯”,例如F-35戰機在研制過程中建立了全球30多個國家和50多家公司參與研制的數字化互聯協同環境,大大縮短了設計和制造時間。
3 “互聯網+制造業”面臨嚴峻的信息安全挑戰
根據美國工業控制系統網絡應急響應小組(ICS-CERT)的統計,近年來發生在制造業領域的信息安全事件數量不斷攀升,如表1所示。
表1 美ICS-CERT響應的工業控制系統信息安全事件
在“互聯網+制造業”數字化和網絡化浪潮疊加下,制造業的控制權限不斷上移,網絡邊界明顯擴大,面臨著更加嚴峻的信息安全風險和威脅。
(1)傳統的工業控制系統信息安全問題不容忽視。保密性、完整性和可用性安全問題仍然存在于工業控制設備和數字化制造工具、生產制造和管理網絡、操作系統、控制軟件環境和數字化設計軟件中,工業控制產品安全漏洞的不斷增加為網絡攻擊提供了大量機會。2013年,美國ICS-CERT共統計的177個工業控制器或工業軟件相關漏洞中,有87%的漏洞可以被黑客遠程利用。在數字化和網絡化浪潮下,這些漏洞的潛在風險威脅正不斷加大。
(2)開放化、標準化的技術和協議降低了入侵攻擊的難度。為適應工業互聯的趨勢,工業生產供應商已經開放原有未考慮過安全機制的專用協議,并開始推廣基于TCP/IP的通用高速工業以太網協議;相關的開發軟件和操作系統也開始使用便宜且標準化的技術,現場工程師站和操作站大部分安裝的是Windows或Unix這類操作系統。開放化、標準化的技術和協議擁有眾所周知的漏洞,攻擊者能夠獲取公開的漏洞和利用代碼,從而發動攻擊。2010年對伊朗核電站進行攻擊的“震網”病毒正是利用了微軟Windows操作系統的多個漏洞從而實現了在工程師站和操作站之間的不斷傳播。
(3)深度的網絡化和集成化為攻擊者提供了更多攻擊路徑。生產制造相關的業務信息系統深度互聯和集成在一起,越來越多的生產組件和服務可以直接通過網絡訪問,大大增加了攻擊點、攻擊面和信任網絡邊界,從研發端、管理端、生產端甚至是消費端,都可以實現對生產網絡的入侵,攻擊者無需到現場即可通過高級持續性威脅(APT)等攻擊方式實現對生產制造系統的攻擊。
2011年5月,軍工制造業巨頭洛克希德·馬丁公司的信息系統遭到黑客攻擊,不得不關閉遠程應用和服務,并花費了數周時間來重置密鑰,嚴重影響了企業的生產活動。
(4)新興信息技術帶來的安全威脅非常嚴峻。物聯網、云計算和大數據等新興信息技術在“互聯網+制造業”中的廣泛應用也帶來了敏感數據的隱私、存儲等新的信息安全問題,而這些新興信息技術的安全理論、防護體系仍然在研究之中,且這些新興技術的核心基本掌握在發達國家手中,這些國家的工業界或IT界巨頭正試圖以“大數據分析提高生產力”等愿景來勸說全球企業將工業大數據上傳至它們所掌控的工業云端,這種掌控能力很容易轉化為對現實世界的各種入侵和攻擊能力。
(5)需警惕制造業成為未來網絡攻擊的重點對象。當前,全球網絡空間呈現出越來越明顯的政治化、軍事化趨勢,網絡安全與其它傳統安全也越來越緊密的相互交織和相互滲透。極端恐怖組織ISIS在信息技術領域招兵買馬,并試圖通過黑市獲取網絡武器來提升網絡空間作戰能力,意圖通過網絡攻擊來配合其實現政治目的。當前以制造業為代表的工業控制系統安全防護能力仍然薄弱,制造業作為國民經濟的主體,需警惕其成為敵對國家或非國家行為體重點關注的網絡安全目標。
4 應重視并加強我國制造業的信息安全保障
脫離了信息安全,“互聯網+制造業”則是空中樓閣。在我國“互聯網+制造業”大踏步邁進的過程中,重視信息安全會讓中國制造的實施更加穩健。《中國制造2025》中提出“加強智能制造工業控制系統網絡安全保障能力建設,健全綜合保障體系”?!秶鴦赵宏P于積極推進“互聯網+”行動的指導意見》中也提出“建設完善網絡安全監測評估、監督管理、標準認證和創新能力體系”。我國要緊緊圍繞工業控制系統信息安全保障工作,充分重視制造業的信息安全問題,組織開展新技術革命下制造業發展態勢和安全保障的前瞻性研究,做好關鍵制造領域信息安全保障的頂層設計,推動關鍵制造領域的網絡安全檢查和安全監測,促進工業信息安全產業的壯大成熟,建立制造業軟硬件產品的網絡安全審查機制,不斷提升我國制造業“漏洞可發現、風險可防范、產品可替換” 的信息安全保障能力。
作者簡介
李?。?986-),男,江西人,工學博士,現任工業和信息化部電子科學技術情報研究所工控安全實驗室負責人,主要研究方向包括工業控制系統信息安全情報跟蹤、在線監測和風險分析。
摘自《工業控制系統信息安全??ǖ诙嫞?/span>