今日頭條
官方微信
官方抖音
資訊頻道
1 工業4.0與“中國制造2025”
1.1 工業4.0
(1)“工業4.0”的概念
工業4.0是繼機械化、電氣化和信息技術之后,以智能制造為主導的第四次工業革命或革命性的生產方式。主要是指基于信息物理系統CPS(Cyber-Physical System)相融合的技術,將制造業向智能化轉型,最終建立一個高度靈活的個性化和數字化的產品與服務生產模式。
(2)工業4.0的核心是三大集成
橫向集成:即供應鏈的整合,通過價值鏈及網絡實現企業間橫向集成,包括零部件的供應商和下游的銷售商、維護商和服務商的整合。
縱向集成:即網絡化制造的整合,企業內部靈活且可重新組合的網絡化制造體系縱向集成,包括底層的現場層、控制層、過程管理層、工廠管理層及企業資源計劃ERP層,將訂單、排產、排程,裝配和加工整合,實現企業上下互聯互通,建立企業內部靈活且可重新組合的網絡化指導體系的縱向集成。
端到端集成:貫穿整個價值鏈的端到端的工程數字化集成,從研發到需求、計劃、排產、制造、交貨,全價值鏈實現數字化的集成,包含眾包設計和客戶設計。
圖1 工業4.0的核心“三大集成”
1.2 “中國制造2025”
(1)“中國制造2025”的特點
業務創新:基于兩化深度融合及物聯網技術,企業在“質量為先”的前提下,推行“業務創新”。
結構優化:堅持把結構調整作為建設制造強國的關鍵環節,改造提升傳統產業,推動生產型制造向服務型制造轉變。
綠色發展:全面推行清潔生產,發展循環經濟,提高資源回收利用效率,構建綠色制造體系。
(2)“中國制造2025”核心動力是十大重點領域
“中國制造2025”的核心動力是五大工程和十大重點領域,十大重點領域分別是:新一代信息技術、高檔數控機床和機器人、航空航天裝備、海洋工程裝備及高科技船舶、先進軌道交通裝備、節能與新能源汽車、電力裝備、新材料、生物醫藥及高性能醫療器械、農業機械裝備,如圖2所示。十大重點領域又分為23個重點方向,其中新一代信息技術中4個新的重點發展方向是:集成電路及專用設備、信息通信設備、操作系統與工業軟件及智能制造核心信息設備。
圖2 “中國制造2025”圖解
2 智能制造工控系統信息安全問題
2.1 智能制造的定義
工信部印發的《2015年智能制造試點示范專項行動實施方案》中給出的智能制造的定義是:基于新一代信息技術,貫穿設計、生產、管理、服務等制造活動各個環節,具有信息深度感知、智慧優化自決策、精準控制自執行等功能的先進制造過程、系統與模式的總稱。具有以智能工廠為載體,以關鍵制造環節智能化為核心,以端到端數據流為基礎、以網絡互連為支撐等特性,可有效縮短產品研制周期、降低運營成本、提高生產效率、提升產品質量、降低資源能源消耗。
2.2 智能制造系統與信息安全
智能制造系統(Intelligent Manufacturing System,IMS)是一種由智能機器和人類專家共同組成的人機一體化系統。智能制造系統是智能技術集成應用的環境,其核心是大規模信息處理、識別、分析、決策等工業控制系統(含工業軟件)技術的研發和應用。典型的智能制造系統整體方案架構分為五層,如圖3所示。包括:
(1)現場物理層:關注產品實現過程,提高設備利用率。
(2)業務現場層:關注執行響應,提高精益效率。
(3)集成運營層:關注業務流程,提高運營效率。
(4)用戶接觸層:創建用戶觸點,打造卓越體驗。
(5)全集團:關注戰略績效,提升品牌價值。
智能制造系統實現制造企業縱向及橫向信息集成,系統間/模塊間信息的交互存在大量信息安全隱患。數據和服務的安全可靠是智能制造企業的首要訴求,信息安全對于制造企業尤為重要。
隨著國家推進智能制造發展戰略,制造企業將更多考慮部署智能制造系統,這將對工控系統信息安全防護提出要求,并帶來巨大的信息安全解決方案的市場需求。
圖3 智能制造系統整體方案架構示意圖
2.3 工業控制系統信息安全問題
2.3.1 工控系統信息安全問題
在智能制造系統的工控系統典型架構及需求的基礎上,當前面臨的信息安全問題在形式上主要體現在四個方面:
(1)工控系統復雜化、IT化和通用化趨勢加劇信息安全隱患
管控一體化,與IT系統及互聯網連通;
采用通用軟件、通用硬件和通用協議;
廠商為了加快產品推廣而將協議規范公布出來。
(2)工業控制系統信息安全標準規范體系尚未建立起來
企業建設時無設計標準可依;
建成后無信息安全驗收標準可依;
缺乏工業控制系統信息安全測評標準。
(3)工業控制系統信息安全測評體系不健全
缺乏專門的工業控制系統信息安全檢測機構;
求助國外甚至需要提供源代碼。
(4)缺少工業控制系統信息安全防護產品和方案
在智能制造體系下,工業控制系統與信息系統高度集成,打破了工控系統的封閉環境,具體表現是:工業控制系統呈現開放性,基于PC架構的計算機應用的普及,Windows平臺的廣泛應用,基于IEEE802.3的工業以太網普及,大量采用TCP(UDP)/IP網絡協議,各種工控協議交互和兼容。
工控系統信息安全標準體系尚不健全,國家注意到這一問題,正在加緊制定相關標準。當前我國工控系統信息安全標準正在編制的情況如下:
《工業控制系統信息安全》GB/T 30976-2014;
工業控制系統信息安全等級保護系列標準(在編);
信息安全技術——工業控制系統專用防火墻技術要求(國標在編);
信息安全技術——工業控制網絡安全隔離與信息交換系統安全技術要求(國標申報);
信息安全技術——工業控制系統邊界安全專用網關產品安全技術要求(行標在編)……
2.3.2 工控系統可能遇到的信息安全問題
工控系統可能遇到的信息安全問題包括:暴露于能被輕松訪問的網絡上;互聯性增加,導致的系統開放接口增多;采用OPC協議的隱患以及網被廣泛應用;組網復雜,攻擊隱患多;普遍采用國外廠商的系統和技術;特殊的工控協議,種類繁多;為了便于管理,去掉安全加固環節;數據的實時性、可靠性要求高;通用技術被大規模采用;工業協議缺少安全審計和權限校驗;默認的用戶名和密碼;DCS系統沒有安全防護;未限制移動介質的使用;采用WINDOWS平臺;自動化和信息化程度的提高;項目的實施和維護過程,安全方面沒有監督;更新滯后,操作系統軟件基本沒有升級補丁和漏洞修復;未安裝桌面安全軟件或不升級;缺乏信息安全管理意識,存在管理的漏洞;存在進入機房的可能性;安全的管理和責任不確定性;缺少信息安全的培訓。
3 工控系統全生命周期信息安全保障對策
3.1 信息安全貫穿工控系統全生命周期
工控系統全生命周期包括設計、驗證、建設、驗收、運維和退役等階段,在每個階段都存在信息安全問題需要做信息安全防護工作,如圖4所示。
設計階段包括:信息安全咨詢服務、信息安全方案設計、信息安全方案評審、信息安全培訓服務;
驗證階段包括:產品定制測試、產品選型測試、設計方案驗證;
建設階段包括:集成測試,過程監理,協議一致性測試;
驗收階段包括:信息安全驗收測試,安全等級評估,信息安全保障能力評估,信息安全風險評估;
運維階段包括:運維測試,升級檢測,旁路監測,安全預警;
退役階段包括:數據備份,數據銷毀。
圖4 工控系統信息安全保障支持和服務內容
3.2 工控系統信息安全保障策略
針對工控系統全生命周期各階段的信息安全保障策略是:
(1)在設計階段即融入信息安全防護,包括:安全咨詢、方案設計、評審、培訓等,屬于信息安全頂層設計。
(2)在驗證階段中,產品選型測試、定制測試包括信息系統IT產品、工業控制設備產品、信息系統安全防護產品和控制系統安全防護產品的安全功能測試和防護能力測試,設計方案驗證等,通過數字仿真或半實物仿真方式模擬系統的行為,來驗證安全設計方案的合理性和可行性。
(3)在建設和驗收階段,通過集成測試、協議一致性測試和過程監理,保障系統集成過程中的信息安全和系統建設質量。
(4)在智能制造系統交付后,經過信息安全驗收測試、風險評估、安全等級評估、信息安全保障能力評估后可上線運行。
(5)在智能制造系統運行維護過程中需持續關注信息安全問題,安全系統的例行維護、過程審計、升級維護后的安全檢測以及運行過程中的旁路監測和安全預警。
(6)在智能制造系統退役階段需關注系統數據的備份與銷毀問題。
3.3 貫穿工控系統全生命周期提供的信息安全服務
工業控制系統信息安全技術國家工程實驗室自主研發評測認證工具及服務產品,提供基本支撐、資質、人才、設備等,其工控系統全生命周期信息安全服務包括:
(1)檢測認證:提供標桿級的檢測認證業務。
(2)安全咨詢:針對增量市場提供安全咨詢業務。
(3)安全評估:針對存量市場開展安全評估業務。
(4)安全培訓:建立標桿培訓體系,不但是對提高意識的培訓,還有管理方面的培訓,培養復合型人才。
3.4 安全保障對策
建立安全監測與攻防研究服務體系,實現集攻防對抗研究、模擬仿真測試環境建設的安全測評、重點問題監控與預警推送的監測預警三位一體的深度防御體系,保障智能制造體系下的工控系統安全運行。
(文章整理自許鳳凱在“2015第四屆工業控制系統信息安全峰會”第四站上的報告)
作者簡介
許鳳凱,博士,高級分析師,現任中國電子第六研究所工業控制系統信息安全技術國家工程實驗室工業控制系統安全檢測中心副主任兼技術總監。
北京市公安局海淀分局備案號:11010802023656號