今日頭條
官方微信
官方抖音
資訊頻道★申學軍甕福(集團)有限責任公司
★祖佳躍,張航云上廣濟(貴州)信息技術有限公司
摘要:智能制造是新一代信息技術與制造業融合而成的數字化、網絡化、智能化的生產模式,是中國實現高質量發展與產業升級的必經之路。然而,隨著智能制造網絡的變革,消費互聯網中的網絡威脅正向工業控制系統蔓延,工業網絡安全面臨新的挑戰。本文首先描述了我國制造業智能化轉型的整體發展現狀與未來發展趨勢,簡述對比了傳統工業網絡與智能制造網絡的區別,并結合工業網絡面臨的外部威脅和自身脆弱性,分析我國制造業智能化轉型過程中所面臨的網絡安全風險,最后給出智能制造背景下建設工業網絡安全體系的具體措施,為我國智能制造的網絡安全發展提供切實可行的建議。
關鍵詞:智能制造;工業網絡安全;新挑戰
1 引言
制造業是興國之基、強國之本,隨著云計算、大數據、5G、人工智能與物聯網等新興技術蓬勃發展,以及兩化融合進程的不斷推進,我國目前處于傳統的封閉制造向智能制造轉型的關鍵節點。智能制造的本質是信息技術與傳統工業的融合,通過互聯網完成制造過程中人員、設備、原料等關鍵要素的互聯互通,實現研發、生產、物流、銷售全流程的高效運行與智能決策。從傳統的冶金、化工行業,到代表國家整體工業實力的汽車行業,以及搶占未來發展先機的戰略性新興行業,都在積極引入智能制造技術,以降低整體成本和實現生產運營的柔性化、定制化。
智能制造技術有效提高了工業控制系統的網絡化、系統化和自動化程度,但融入互聯網后工業控制系統所面臨的網絡安全威脅也日益增加。傳統的工業控制系統由于其封閉性,在設計之初幾乎未考慮網絡安全防護問題,系統具有天然的脆弱性。此外,部分工業控制系統關系到我國關鍵基礎設施的安全,時刻面臨著來自組織級別甚至國家級別的安全威脅。特別是由于工業控制系統與現實物理環境具有密切關聯,一旦遭受攻擊將可能造成影響國計民生的安全事件。完善工業控制系統的網絡安全防護體系,已經成為亟待解決的問題。
2 智能制造發展現狀與趨勢
2.1 智能制造發展現狀
近年來,各國相繼發布制造業升級戰略,如德國“工業4.0”和美國“先進制造業國家戰略計劃”。我國以《中國制造2025》為總綱,相繼推出《智能制造裝備產業“十二五”發展規劃》、《“十四五”智能制造發展規劃》等方案,加速“中國制造”向“中國智造”升級轉型。
當前,我國已經具備深入發展智能制造的基礎條件,并取得了部分關鍵技術成果。自從“中國制造2025”戰略提出以來,依托規模巨大、門類齊全的制造業平臺,國內陸續涌現出了一大批優秀的工業互聯網廠商。他們率先在全球范圍內建立了當屬行業標桿的智能制造“燈塔工廠”,實現了制造企業端到端全價值鏈的數字化轉型,提高了我國制造業的數字化普及率。這些具備活躍創新能力的工業互聯網廠商,憑借工業機器人、新型感知元件、智能信息處理為代表的關鍵智能制造技術,為我國制造業邁向智能化奠定了良好的基礎。
然而與發達國家的智能制造綜合實力相比,我國依然存在不小差距。自2010年后,我國擁有了全球最齊全的工業體系,成為了“世界工廠”,但由于核心技術、關鍵設備和重要軟件高度依賴國外,缺乏對智能制造基礎理論和技術的深入研究,缺乏智能制造相關專業人才,培養體系建設滯后等原因,我國只能稱為制造大國而非制造強國。
2.2 智能制造發展趨勢
結合當前技術發展和我國智能制造發展規劃,未來智能制造將呈現以下發展趨勢:
(1)數字化。制造體系中的人、機、料、法、環、測等關鍵要素將全部實現數據化,工業大數據成為核心。在打通研發、生產、物流、營銷等系統之間的信息孤島后,企業管理層可通過科學的數據分析輔助進行智能決策。
(2)智能化。一方面是裝備智能化和產品智能化,具有感知、分析、決策等一體化功能的智能裝備和智能產品需求將會迅速提升。另一方面是生產智能化和管理智能化,智能算法和實時、準確、全面的數據將賦予生產系統強大的自動運營能力。
(3)服務化。傳統制造業在生產端實行流水線的單品種、大批量生產,在營銷端售出產品后即完成服務閉環。在智造時代,企業將通過智能制造技術開展定制化、網絡協同化的小批量多品種柔性生產,更快更好響應市場需求,同時轉變以往單純提供產品的運營模式,向產品全生命周期管理和綜合解決方案提供方的角色轉變。
(4)綠色化。低耗能高產出的生產模式是制造業的理想狀態,智能制造將通過精準統計和控制各生產工序的水、電、氣的能耗,以及監測污染物體的處理和排放全流程,保障制造體系的“綠色運行”。
3 智能制造所面臨的網絡安全風險
傳統的工業網絡示意如圖1所示。因傳統生產模式無需連接互聯網,以往的工業網絡與互聯網是物理隔離,入侵者要破壞工控網,只有通過U盤、光盤等設備擺渡病毒程序到工控網中,或者采取社會工程的手段發動APT(Advanced Persistent Threat)攻擊才具備可行性。
圖1 傳統工業網絡示意圖
智能制造融合了大數據、云計算、人工智能和物聯網等技術,將原本封閉的工業網絡與互聯網打通互聯,如圖2所示。這一變革雖然實現了生產制造的數智化和降本增效,也將互聯網環境中的網絡威脅問題帶入了工業控制系統中。智能制造的風險來自于其自身的系統脆弱性和外部高威脅性,這是造成工業網絡安全風險的兩個根本原因。
圖2 智能制造網絡示意圖
智能制造網絡的開放特性改變了傳統基于物理隔離、實體邊界的安全隔離方式,傳統制造業相對封閉的網絡環境也不再可信,造成了網絡入侵點增多、被攻擊面擴大的問題。從智能制造的系統架構來分析,其設備控制、平臺隔離、網絡特性、標示解析系統和數據保護等層面都存在安全風險。
(1)設備與網絡變革帶來的系統脆弱性風險。設備層面,智能制造生產系統集成了大量的智能傳感器、PLC、物聯設備、移動終端等工業設備,并通過邊緣計算單元進行海量數據傳輸,通信協議的機密性、完整性和真實性無法得到保障,相關安全措施部署強度不夠。網絡層面,智能制造的網絡特性正向IP化、結構扁平化發展,讓消費互聯網領域的傳統網絡風險向工業互聯網延伸,模糊泛化了智能制造工業網絡的安全邊界,使得工業控制系統各網絡間的安全隔離問題越發突出,網絡邊界防護安全建設面臨更大挑戰。
(2)工業互聯網標示解析系統的潛在風險。標示解析體系是工業互聯網的關鍵基礎網絡設施,它賦予了生產系統中的人員、設備、物料等要素唯一身份識別碼,是生產端與互聯網端通訊的神經中樞。一是由于標示解析系統為樹狀分層結構,包含國家頂級節點和現場終端多級設施,與互聯網呈開放式連接,各節點容易遭受DDOS(Distributed Denial of Service)等僵尸網絡攻擊,導致節點不可用并可對相關節點產生聯動影響,甚至癱瘓解析體系。二是工業互聯網中人員、設備、服務器等需要通過標示解析體系的身份認證后才能入網,在驗證標示源的真實性、不同層次節點的互信度、終端機與解析節點通信可靠性的過程中存在被入侵的可能性,標示解析體系面臨復雜的身份管理風險。三是標示解析系統的系統運營風險,物理環境、崗位管理、角色區分、操作控制、訪問授權等流程管理的安全措施缺乏,會對智能制造網絡安全產生負面影響。
(3)工業數據的量級與價值暴增帶來的安全風險。智能制造是基于數據流創造價值流的生產模式,海量的工業數據蘊藏著巨大的價值,工業大數據已經成為制造企業的關鍵生產要素和核心競爭力。從數據的全生命周期來看,智能制造網絡中的數據安全存在如下問題。一是在數據采集階段,由于通信協議和標準的不統一,難以對不同工業設備、終端和系統進行統一的全面防護,來自該數據源的數據質量無法得到保障。二是智能制造網絡中的工業數據要求低時延,在數據傳輸過程中不能使用傳統高強度、低實時性的加密驗證算法,此外工業數據會跨部門、跨系統傳輸,路徑復雜,數據被污染和竊取后難以追蹤溯源。三是當前大多數制造企業對工業數據的存儲、使用和銷毀的管理模式依然較為落后,未建立完善的數據分類分級管理制度,未落實授權訪問機制和防篡改、防竊取、防誤刪等技術手段,沒有規范完備的數據使用管理和銷毀機制。
4 智能制造環境中的信息安全防護體系建設
智能制造工業控制系統的網絡安全防護,需要基于其網絡特點從技術、制度、組織、人才等方面進行全面的防護體系建設。
4.1 加大工控系統內生安全技術自主研發力度
以身份認證為核心,通過權限管理和訪問控制來進行安全防護,控制外接元件不安全接口帶來的風險;明確智能工業網絡的安全邊界,根據業務和層級劃分不同的安全域,使用工業防火墻進行網絡隔離,降低系統被入侵后威脅迅速擴散的風險;研究新一代智能控制系統,開發高可靠性、高安全性,具備更復雜控制功能的工業控制系統;設計更高效率、更低延時和超低功耗的網絡架構,自主研發低時延的輕量級加密算法,在不影響工控系統實時性的前提下實現安全通信;對傳統工業通信協議進行逆向解析和深度監測,對無線傳輸部署實時監測設備,加強安全無線通信基礎研究,為未來5G全連接工廠的網絡安全保駕護航。
4.2 完善標識解析安全防護整體架構
產業界和學術界已提出標示解析風險分析模型和安全解析解決方案,但是仍無法應對越發嚴峻的網絡威脅。首先,需要社會各界群策群力,協同推進工業互聯網標識解析體系的生態建設,形成良性循環,促進產業良好、健康與平穩發展。其次,要以系統性思維全面布局,提前規劃,重視體系標準的研究和推廣,加快推進標識解析安全風險分析、標識解析節點接入認證、標識解析體系安全防護等研究工作,逐步使用國產化安全硬件、密碼算法替換現有方案,加快建設態勢感知平臺和完善風險預警機制,在標識解析體系建設初期整體把控風險。最后,定向研究標示解析安全核心技術和基礎原理,重點突破傳輸算法、隱私保護、加密認證、可信解析等技術難題。
4.3 加強工業領域的數據安全建設和新興技術研究
制造企業可參考工業互聯網數據安全防護框架和建設方案,完善企業的數據安全體系。在數據安全檢測、認證、評估的基礎上,建立數據全生命周期安全管理制度,針對不同級別數據,制定數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程,做好數據分類分級管理,開展數據安全風險監測,提升工業互聯網風險的實時監測、告警、處置能力。同時,追蹤工業數據安全技術發展趨勢,深入研究輕量級、密文操作、透明加密等工業互聯網數據加密技術,保障數據安全高效流轉。工業數據覆蓋設計、研發、制造、物流、營銷等產品全生命周期,可結合人工智能、機器學習等技術,開發可自動感知敏感數據、自動匹配規則和自動完成脫敏處理的一體化智能脫敏技術,對工業數據的開放共享具有重要意義;可信計算、多方計算、隱私保護、零身份信任架構,是保證數據不出本地和敏感數據不泄露的新興技術,可解決數據污染和數據竊取等問題。
4.4 制度上進行標準制定和政策引導
國家層面完善工業網絡安全防護體系建設的頂層設計和標準方案,明確相關管理部門的職責和落實制造企業的主體責任,同時加強政策引導和監督管理力度,更好地推動制造企業工業網絡安全能力建設。
4.5 組織上加強工業網絡安全的管理和意識教育
企業需要深刻意識到工業網絡安全的重要性,把工業網絡的安全要求融入企業生產經營的各個環節,針對企業自身所在的行業,建立符合國家標準要求的工業網絡安全管理制度,并定期開展培訓,提高員工安全意識。
4.6 加大對行業安全人才培養
智能制造融合了多種新興技術,但總體上離不開制造、信息和機械。工業控制系統的安全,正需要同時具備工業生產、信息安全和自動化技術知識背景的復合型人才,行業安全人才是推動智能制造安全發展的創新動力。
5 總結
在制造業一方面向新興市場國家外遷,一方面往發達國家回流的雙重擠壓之下,智能制造是維持我國工業競爭力,并力求占據產業鏈價值高地的關鍵舉措。由于智能制造工業控制系統的脆弱性和其物理特性,工控網絡在變革的同時也面臨錯綜復雜的安全風險。要實現安全與發展的統一協調,既需要在初始階段做好國家層面的頂層規劃和政策引導,也要加強關鍵基礎技術研究和產業人才培養,讓發展與安全互成“一體兩翼,雙輪驅動”之勢,為我國產業升級之路保駕護航。
作者簡介
申學軍(1973-),男,貴州貴陽人,大數據高級工程師,貴州省網絡安全專家組成員,畢業于重慶大學計算機科學與技術專業,1996年參加工作,至今一直從事工業控制系統集成、運維及工業數據安全研究。
祖佳躍(1996-),男,貴州人,工程師,本科,現就職于云上廣濟(貴州)信息技術有限公司,研究方向為工業網絡安全、數據安全。
張 航(1995-),男,貴州人,本科,現就職于云上廣濟(貴州)信息技術有限公司,研究方向為工業安全、數據安全。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號