進入21世紀以來,世界經濟出現了新的局面,增速緩慢、競爭加劇。為了擺脫危機和取得可持續發展,世界各國都在加快新技術整合與行業革命、戰略轉型。從全球看,國際一些較發達國家新一輪科技革命和產業變革蓄勢待發,以信息技術與制造技術的深度融合為新一輪科技革命和產業變革的主要特征。其趨勢和核心就是制造業的數字化、網絡化和智能化。發達國家都在研究、謀劃、部署,對高端制造業進行再調整再布局,以打造國家制造業競爭新優勢,搶占新一輪發展的制高點。
1 科技與產業技術革命下的新業態
以信息技術和制造技術深度融合為特征的新一輪科技與產業革命,已從全球范圍內展開。德國正致力成為工業4.0標準的制定者和推廣者。另外,類似的戰略還有美國的“工業互聯網”以及“先進制造業國家戰略計劃”,日本的“科技工業聯盟”,英國的“工業2050戰略”,中國的“互聯網+”、“中國制造2025”等。
圖1 智能工廠的架構
德國工業4.0是德國基于當前自動化的基礎上,實現數字化、網絡化、智能化、社會化的生產模式,是一種非常先進、理想化的智能制造模式。
從圖1中我們可以看到,在物聯網與務(服務)聯網的基礎上,以智能生產為主線,分別實現智能物料、智能工廠、智能產品,工業4.0涵蓋的范圍非常廣,可以說這是一種遠景規劃。
以美國“先進制造業國家戰略計劃”為代表的下一輪變革,依托先進的系統監控和信息技術,工作能力大大提高,實時數據處理的規模得以明顯提升,高頻率的實時數據為系統操作提供全新視野。另外, 機器分析則為分析流程開辟新維度,各種物理方式之結合、行業特定領域的專業知識、信息流的自動化與預測能力相互結合,可與現有的整套“大數據”工具聯手合作。最終,工業互聯網將涵蓋傳統方式與新的混合方式,通過先進的特定行業分析,充分利用歷史與實時數據。
美國是典型的自上而下的戰略,即從互聯網,從信息化下延至設備,與德國自下而上的方式是相反的,但都是充分發揮自己之長,借鑒對方之優點,補己之短。德美的戰略目標都是確保“國家制造業的未來”。
2010年,中國成為世界第一制造業大國。這是中國在時隔150年之后,重又奪回了全球制造業第一大國的位置。2012年,中國制造業的增加值已經達到了2.08萬億美元,超過美國,成為全球制造大國,也遠遠超過日本、德國。但卻沒有一大批具有國際競爭力的骨干企業,產業發展尚有一批重大技術、裝備亟待突破。2013年1月,中國工程院啟動并開展“制造強國戰略研究”咨詢項目,2015年,李克強總理正式提出了“互聯網+”、“中國制造2025”的概念,依靠制造業振興經濟、成為工業強國。
作為制造大國,在目前這種國際經濟技術新一輪革命的大背景以及國內“三期交疊”( 即經濟增速換擋期、結構調整陣痛期、前期刺激政策消化期)的嚴峻形勢下,中國政府高瞻遠矚,陸續制訂了“兩化深度融合”、“中國制造2025”等國家戰略以及“互聯網+”行動計劃,希望借鑒德國工業4.0的思路,制訂適合中國國情的國家發展戰略,實現中國制造由大到強的戰略轉變。
“互聯網+”動力之源主要分為三個方面,如圖2所示。
圖2“互聯網 +”動力之源
“互聯網+”行動計劃,以推動移動互聯網、云計算、大數據、物聯網等與現代制造業結合,促進電子商務、工業互聯網和互聯網金融健康發展,引導互聯網企業拓展國際市場。國家已設立400億元新興產業創業投資引導基金,要整合籌措更多資金,為產業創新加油助力。
基于整合后的云服務、互聯網,以及端到端的全新的基礎設施生態鏈,并在信息技術上的不斷突破,最大程度地釋放數據的流動性與使用共享數據、共享經濟、網絡協同、眾包合作,大規模社會化分工協作,最終提升經濟社會運行的效率。
“中國制造2025”是通過互聯網、移動互聯網、物聯網、云計算、大數據、3D打印等技術,與智能機器人、智能設備等相結合,進行異地協同設計、異地協同制造的新型商業模式,以整合各種資源,滿足個性化的需求。如圖3所示。這種制造業的變革將會滲透到人類社會。“中國制造2015”以加快新一代信息技術與制造業深度融合為主線,以智能制造為主攻方向,重點發展新一代信息技術、高檔數控機床和機器人、航空航天裝備、海洋工程裝備及高技術船舶、先進軌道交通裝備、節能與新能源汽車、電力裝備、農業機械裝備、新材料、生物醫藥及高性能醫療器械10大領域。并“在重點領域試點建設智能工廠/數字化車間,加快人機智能交互、工業機器人、智能物流管理、增材制造等技術和裝備在生產過程中的應用,促進制造工藝的仿真優化、數字化控制、狀態信息實時監測和自適應控制”。
圖3“互聯網 +”新型商業模式
“中國制造2025”已經正式成為中國與德國工業4.0遙相呼應的國家級戰略,成為中國制造業發展的綱領性文件,成為企業制訂自身中長期發展的重要依據。
隨著信息技術不斷取得新的突破,推動產業轉型的新一代信息技術主要包括社交媒體技術、移動互聯網和物聯網技術、云計算技術以及大數據與先進分析技術。借助大數據分析、云計算、3D打印、機器人、信息物理系統等先進技術,實現全球制造、柔性制造、綠色制造、智能制造、服務型制造等以確保國家制造業的未來。“以工業化帶動信息化,以信息化促進工業化”,通過信息與物理設備相融合、大數據分析等技術手段,實現信息的采集、分析、優化,從而提升企業的競爭力。在制造業領域,很多機器上都安裝了一個或多個微處理器來采集生產數據,無處不在的傳感器和微處理器,形成了龐大的數據來源,其規模已經超出了傳統意義上的認知,常規的數據庫技術已難以完成捕捉、存儲、管理和分析這種大規模的數據集合。大數據技術是從各種類型的數據中,采用新處理模式快速獲得有價值信息,從而實現深度理解、洞察發現與精準決策。其給制造業帶來的益處包括優化流程、降低成本與提升運營效率。
對于中國廣大制造型企業來講,在競爭激烈、成本飆升的經濟轉型期,借鑒大數據等先進理念,充分挖掘企業內部潛力,對各類數據進行及時采集、科學分析,用量化、準確的決策支持實現企業的精細化、透明化管理,將是企業從粗放管理成功轉型的一條有效途徑。
2 新業態下面臨的問題機遇
我國工業制造業大而不強主要表現在自主創新能力不強、產品質量問題較突出、資源效率利用較低,能耗較高,污染較嚴重,產業結構不是很合理,低端產品產能嚴重過剩,高端產品能力比較差。
(1)目前現階段面臨的主要問題有如下幾個方面。
·面臨人才需求的挑戰,如圖4所示。
圖4 人才需求的挑戰
·面臨新的生產架構調整,如圖5所示。
圖5 新的生產架構調整
·在新的生產架構價值鏈與安全的思考,如圖6所示。
圖6 新的生產架構價值鏈與安全的思考
(2)隨著工業化與信息化不斷深入融合,信息化帶動工業化、以工業化促進信息化,在新型工業化道路上,涉及國計民生的關鍵基礎設施越來越多地依靠工業控制系統來實現自動化作業,目前需要解決的的四大難題如下。
·標準化問題
新的業態形勢,行業兩化融合建設過程中相關工作中缺少可以參考落地的標準化文件,需盡快制定出臺。另外一些國際標準、國家標準以及行業相關標準文件的可落地性補充改善。
·通信基礎設施建設
以工業互聯網、工業大數據等技術的通信基礎設施的建設需要盡快完善。
·復雜的系統管理
對于目前傳統制造系統頭緒繁雜,系統管理復雜困難。需要形成縱橫一體化管理模式:即縱向垂直一體化管理、橫向一體化管理。
·網絡安全問題
隨著兩化融合,信息技術的應用中信息安全風險及威脅會不斷擴大。
3 未來工控系統信息安全嚴峻形勢
在信息化和工業化的融合交互過程中,現代工控系統大量采用通用協議、硬件和軟件,形成控制網絡,其信息安全風險和威脅不斷擴大。信息安全的問題主要體現在如下幾個方面:
(1)異地協同過程中網絡威脅
工業產品異地設計、異地生產、異地加工,工業網絡與互聯網互連互通,傳統IT網絡威脅滲透至工控網。網絡的互聯互通為黑客行動擴展的廣闊舞臺,非法商業黑客行為市場巨大。
(2)精密設備及系統自身存在安全漏洞
精密制造中核心數控系統目前無法自主開發,其系統漏洞難以預知。工業系統的脆弱性暴露無遺。
(3)工控設備自身脆弱性
大量工控設備暴露在互聯網中,而網絡攻擊的門檻目前也越來越低,未來工業網絡受到攻擊的頻率將大大增加,且危害越來越大。
(4)工業網絡協議問題
通用的工業網絡協議問題。針對工業機器人而言,大批工廠引進國外的機器人,很多機器人都是可以聯網的,我們就需要了解其中的網絡通信協議、數據傳輸格式,也需要對機器人底層系統進行檢測,是否存在漏洞等,避免數據發送給情報機構,或者數據保存在某個不知道的地方。
(5)運維審計問題
遠程運維是未來的趨勢,運維為制造業控制系統安全帶來安全隱患。第三方人員(尤其是遠程的國外運維人員)在遠程維護高精類機床設備時可能會有相關生產數據的信息泄密,直接影響著企業聲譽,國家命脈。
(6)惡意代碼問題
未對工業控制網絡區域間進行隔離、惡意代碼監測、異常監測、訪問控制等一系列的防護措施,很容易發生病毒或攻擊,影響全部車間甚至整個企業。
(7)工控系統操作站主機脆弱性
工業控制系統主機大都采用Windows系統,老舊的沒有維護的xp系統普遍存在,且系統更新不及時。
(8)內部人員操作審計問題
對人員的操作未進行審計記錄,一旦發生安全事件很難取證。
(9)設備及日志管理缺失
未對設備及日志進行統一管理,使得相關工控系統事件不能統一收集、分析,不易關聯分析設備間的事件和日志,難于及時發現復雜的問題。沒有網絡資源的利用率,業務網絡狀態需要的可視化分析。
(10)應急響應機制
未對工業控制系統建立統一的應急響應機制,使得發生問題后不能在最短時間內響應處理。一旦系統被入侵,無從著手解決問題。缺乏統一有效的信息安全監控工具,對工業控制系統中的網絡設備、服務器、數據庫等進行有效安全監控和管理,在工業控制系統和控制網絡的設備出現故障時,不能提供及時的預警和故障定位,造成排障時間較長。
為此,開展工控系統信息安全管理,已成為推進產業轉型升級,實現工業化和信息化深度融合的必然要求。建立縱貫信息化與工業化,針對工業控制系統中部分核心環節如PLC、現場總線、實時操作系統、實時數據庫、標準架構、安全認證等,實現自主可控控制系統技術和產品體系,形成從芯片、硬件到軟件應用的完整解決方案,推動我國工業向數字化、智能化的加速發展,是實現“中國制造2025”必須要完成的目標。
4 工控信息安全整體保障體系構建
工控信息安全整體保障體系著眼于信息互聯網絡全局,覆蓋各個重點行業工控系統信息安全管理。基于云架構的安全設計,通過各網絡信息安全引擎實時采集局域網、廣域網以及各種云數據中心內的各種情報信息,對信息進行分析并將分析結果上傳私有云端綜合信息安全管理中心,運用大數據安全分析、數據中心安全技術、私有云安全技術、云數據存儲分析、以及“互聯網+”信息安全產品的先進技術理念,對安全事件熱點分布分析、事件波動地址態勢分析、威脅態勢分析。
通過采集信息分析結論對安全事件態勢進行預警,使用戶及時了解外部網絡威脅及自身網絡及設備安全現狀。私有云端信息安全管理中心自動給各網絡節點信息安全中心或終端信息安全防護平臺下發安全防護策略,進行安全加固、及時防御。建立一個全新的動態的基于云架構的、集防護監測于一體的信息安全保障體系。
同時該體系還支持云端策略備份,終端修復功能。真正實現對整個工控系統的動態監控、協同防御、策略云備份與自我修復。
云架構模式下的安全設計,融合了互聯網的安全屬性、虛擬化架構安全屬性、大數據安全屬性、以及自動化系統安全屬性等,需要以大數據技術以及設備和數據的管理為支撐,采用應用安全、安全數據采集和存儲、安全事件防護及響應措施等技術。
基于云架構安全設計具有四個基本特征:可見、可信、可靠、可控。如圖7所示。
圖7 基于云架構安全設計的特征
可見:資產可見、資源使用可見、網絡拓撲可見、網絡連接可見。
可信:對網絡行為、云環境安全態勢、審計的結果的展現以及基于大數據分析的事件追溯。
可靠:云端備份、終端復活,為業務安全及持續運行提供保障。
可控:部署安全設備實現邊界防控、智能決策、提供防控策略。
(1)工業網絡邊界安全防護
工業防火墻作為主要的邊界防護領域防護產品,支持虛擬安全分區,并針對不同安全分區采用不同的防護策略。支持工業協議深度檢測,基于XML可擴展自定義的工業協議深度解析。工控防火墻協議支持覆蓋主流行業工業協議。如工業上最常見的Modbus、OPC等協議,支持常用工控場景的防護模型,針對工控協議進行DPI深度檢測,及時進行訪問控制,支持工業VPN及串行及總線協議的防護,保護網絡邊界的安全。
部署與各行業工控網絡節點的防火墻設備能通過信息安全管理中心動態感知外部網絡威脅以及防護策略建議,智能決策,并自動進行協議過濾、防護策略配置。并將內部防護結果信息反饋給節點信息安全管理中心。
另外對于安全級別要求較高的領域,要使用工業安全的數據隔離交換設備,如單向工業網閘產品。
(2) 工業異常檢測
工業異常檢測系統,結合一些傳統熱點技術,包括大數據分析、流量可視化和全入侵鏈檢測與審計等形成了工業領域的安全解決方案。旁路部署不直接影響工業網絡的穩定性和實時性,在工業系統網絡中的實時網絡監控、數據可視化和態勢感知,在不犧牲工業系統生產能力和傳輸性能的前提下,發現控制系統的異常行為。異常檢測要集合包檢查,流檢測,入侵檢測,病毒檢測,業務異常檢測等功能。
異常檢測系統,將本地網絡異常情況進行檢測分析,并可將檢測結果上傳給節點或私有云端信息安全管理中心,進行綜合分析。同時通過信息安全管理中心動態獲取協議新漏洞、檢測策略等,進行智能決策,自動更新異常檢測策略。
(3)工業漏掃
工業漏洞掃描系統,基于對網絡內的設備,通過訊問的方式獲取到設備的類型和型號,然后加載針對特定工業設備的漏掃模型,最后有針對性的進行漏洞掃描。以柔性的方式對漏洞和系統、協議、網絡的脆弱性進行掃描。
將本地網絡漏洞情況進行掃描分析,并可將結果通過互聯網上傳給節點或私有云端信息安全管理中心,進行綜合分析。同時可以通過信息安全管理系統獲取系統漏洞,上報新發現的漏洞信息,實時更新漏洞掃描產品漏洞庫,進行智能決策,自動更新漏掃策略。
(4)惡意代碼防護
工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與互聯網等公共網絡連接,病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。在兩網融合的大背景下,對于來自于管理網的網絡風暴、ARP攻擊、拒絕式服務攻擊等。惡意代碼防護安全產品根據自身或者信息安全中心提供惡意代碼防護策略,提供有效的安全措施進行過濾阻斷,保障數控代碼傳輸安全,防止滲透行為的發生擴散。同時將惡意代碼防護信息情況實時同步給信息安全中心進行態勢分析。
(5)無線安全防護
無線安全產品應具備無線入侵檢測功能,發掘先進制造系統潛在的無線安全問題。對流氓AP、無線掃描、無線欺騙、DoS、破解等無線攻擊進行檢測,不間斷地保障工業企業內無線網絡安全。通過信息安全管理中心與其他安全產品配合形成多維立體動態監測防護。
作者簡介
孫志華(1981-),男,河北衡水人,畢業于北京理工大學通信工程專業,現就職于啟明星辰信息技術集團股份有限公司,在工控安全小組擔任資深顧問。具有多年網絡安全解決方案及產品研發設計經驗,熟悉國內外信息安全政策法規、行業規范及標準和安全技術,主持多個研發設計項目,擁有豐富的項目管理、組織與實施經驗。目前在啟明星辰工控安全團隊,主攻研究工業控制系統安全防護體系,了解國家信息安全及工業行業形勢,走訪調研工控企業用戶現場環境,融合傳統的信息安全理念與工業控制系統,為不同行業客戶提供具有行業特色的工控信息安全整體解決方案。
摘自《工業控制系統信息安全專刊(第二輯)》