智能制造工控网络安全防护体系发展概述

李㊀刚ꎬ郑美红

(连云港杰瑞深软科技有限公司ꎬ江苏连云港２２２０００)

摘㊀要:随着国家战略部署高效推进ꎬ工业信息安全应用已成为其重要支撑ꎬ构建面向智能工厂工业网络安全防护体系已迫在眉睫ꎮ针对典型业务场景ꎬ围绕制造流程ꎬ进行分层级安全防护ꎬ形成全覆盖的工控安全防护网ꎬ完成多手段工控安全直接防护ꎬ同时结合大数据分析ꎬ动态分析网络安全态势ꎬ做好安全预警ꎬ实现间接防护ꎬ最终建成自感知㊁自调整工业网络安全防护体系ꎬ促进智能制造产业可靠发展ꎮ

关键词:智能制造ꎻ工控网络ꎻ工控安全

中图分类号:ＴＰ３９３㊀㊀㊀㊀㊀㊀文献标识码:Ａ㊀㊀㊀㊀㊀㊀ＤＯＩ:１０.１９３５８/ｊ.ｉｓｓｎ.２０９６￣５１３３.２０１９.０６.００２

引用格式:李刚ꎬ郑美红.智能制造工控网络安全防护体系发展概述[Ｊ].信息技术与网络安全ꎬ２０１９ꎬ３８(６):６￣１０.

Ｂｒｉｅｆｓｕｍｍａｒｙｏｆｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎｓｙｓｔｅｍｆｏｒｉｎｄｕｓｔｒｉａｌ

ｃｏｎｔｒｏｌｎｅｔｗｏｒｋｏｆｉｎｔｅｌｌｉｇｅｎｔｍａｎｕｆａｃｔｕｒｉｎｇ

ＬｉＧａｎｇꎬＺｈｅｎｇＭｅｉｈｏｎｇ

(ＬｉａｎｙｕｎｇａｎｇＪａｒｉＤｅｅｐ￣ＳｏｆｔｗａｒｅＴｅｃｈｎｏｌｏｇｙＬｉｍｉｔｅｄＣｏｍｐａｎｙꎬＬｉａｎｙｕｎｇａｎｇ２２２０００ꎬＣｈｉｎａ)

Ａｂｓｔｒａｃｔ:ＷｉｔｈｔｈｅｈｉｇｈｅｆｆｉｃｉｅｎｃｙｏｆｓｔｒａｔｅｇｉｃｄｅｐｌｏｙｍｅｎｔｏｆＣｈｉｎａｍａｎｕｆａｃｔｕｒｉｎｇꎬｔｈｅａｐｐｌｉｃａｔｉｏｎｏｆｉｎｄｕｓｔｒｉａｌｓｅｃｕｒｉｔｙｈａｓｂｅｃｏｍｅａｎｉｍｐｏｒｔａｎｔｓｕｐｐｏｒｔꎬｉｔ ｓｕｒｇｅｎｔｔｏｂｕｉｌｄｉｎｄｕｓｔｒｉａｌｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎｓｙｓｔｅｍｆｏｒｓｍａｒｔｆａｃｔｏｒｉｅｓ.Ｔｈｉｓｐａｐｅｒａｉｍｓａｔｔｈｅｔｙｐｉｃａｌｂｕｓｉｎｅｓｓｓｃｅｎｅꎬｅｓｐｅｃｉａｌｌｙｉｎｔｈｅｍａｎｕｆａｃｔｕｒｉｎｇｐｒｏｃｅｓｓꎬｐｒｏｐｏｓｅｓｔｏｃａｒｒｙｏｕｔｈｉｅｒａｒｃｈｉｃａｌｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎａｎｄｆｏｒｍｓａｆｕｌｌ￣ｃｏｖｅｒａｇｅｉｎｄｕｓｔｒｉａｌｃｏｎｔｒｏｌｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎｎｅｔｗｏｒｋꎬｓｏａｓｔｏｃｏｍｐｌｅｔｅｔｈｅｄｉｒｅｃｔｐｒｏｔｅｃｔｉｏｎｏｆｉｎｄｕｓｔｒｉａｌｃｏｎｔｒｏｌｓｅｃｕｒｉｔｙｂｙｍｕｌｔｉｐｌｅｍｅａｎｓ.Ａｔｔｈｅｓａｍｅｔｉｍｅꎬｔｈｉｓｐａｐｅｒａｌｓｏｕｓｅｓｂｉｇｄａｔａａｎａｌｙｓｉｓｍｅｔｈｏｄｓｔｏａｎａｌｙｚｅｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎａｎｄｐｒｏｖｉｄｅｓｅｃｕｒｉｔｙｗａｒｎｉｎｇꎬａｃｈｉｅ￣ｖｉｎｇｉｎｄｉｒｅｃｔｐｒｏｔｅｃｔｉｏｎ.Ｆｉｎａｌｌｙꎬｔｈｉｓｐａｐｅｒｃｏｎｓｔｒｕｃｔｓｓｅｌｆ￣ｐｅｒｃｅｉｖｅｄａｎｄｓｅｌｆ￣ａｄｊｕｓｔｅｄｉｎｄｕｓｔｒｉａｌｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎｓｙｓｔｅｍｓꎬｗｈｉｃｈｗｉｌｌｐｒｏｍｏｔｅｔｈｅｒｅｌｉａｂｌｅｄｅｖｅｌｏｐｍｅｎｔｏｆｔｈｅｓｍａｒｔｍａｎｕｆａｃｔｕｒｉｎｇｉｎｄｕｓｔｒｙ.

Ｋｅｙｗｏｒｄｓ:ｉｎｔｅｌｌｉｇｅｎｔｍａｎｕｆａｃｔｕｒｉｎｇꎻｉｎｄｕｓｔｒｉａｌｎｅｔꎻｉｎｄｕｓｔｒｉａｌｓｅｃｕｒｉｔｙ

０㊀引言

工业４.０正影响着全球制造业发展模式ꎬ带来竞争新格局ꎮ随着产业发展以及工业化与信息化的深度融合ꎬ智能制造发展也存在一些制约因素ꎬ例如信息化程度的提升面临着设备㊁数据㊁控制㊁网络㊁应用等方面的安全挑战ꎮ同时ꎬ工业控制系统的软硬件核心设备安全可靠水平低下ꎬ安全防护能力体系尚待完善等ꎬ将对智能制造工控网络安全提出更高的要求ꎮ本文面对智能工厂应用环境ꎬ参照工业网络安全合规标准和国内外的最佳实践ꎬ通过常态化的工业网络安全评估ꎬ分析安全状况和防护水平ꎬ找到与合规基准的差距ꎬ构建工控网络安全防护体系ꎬ有针对性地采取安全防护措施ꎬ提升智能工厂网络安全防护能力ꎬ促进我国智能制造产业发展[１￣３]１㊀智能制造领域工控网络安全风险分析

随着智能制造信息化程度的提高ꎬ网络安全风险越来越大ꎬ从数据㊁设备㊁控制㊁应用等方面存在安全隐患ꎬ宏观层面存在几个方面问题:一是在应用平台中存在共享资源㊁非授权访问ꎻ二是传统静态防护策略和安全域划分方法不能满足工业企业网络复杂多变㊁灵活组网的需求ꎻ三是传统工业环境下工业企业内部平台㊁工业通信协议㊁工业设备和系统在设计之初并未过多地考虑安全问题ꎻ四是由于我国工业设备安全可靠仍处于较低水平ꎬ智能制造设备安全形势严峻ꎻ五是智能制造数据种类和保护需求多样ꎬ设备间数据交互频繁ꎬ且缺乏统一监管ꎬ数据存在被窃取或滥用的风险[４]ꎮ

具体风险隐患表现在以下几个方面:智能制造配套装备有别于传统制造装备ꎬ不仅在物理特性做了安全处理ꎬ同时由于集成了嵌入式操作系统㊁控制系统等应用功能单元ꎬ容易受到网络攻击ꎬ部分操作系统可能存在漏洞ꎬ也会导致被植入木马病毒ꎬ带来不可估量的影响ꎮ在ＤＣＳ㊁ＰＬＣ等工业控制设备上ꎬ安全防护能力也存在较大不足ꎬ较多应用场景中ꎬ互联网络和物联网络未进行隔离处理ꎬ物联网络可信程度不高ꎬ网络威胁可从工厂外直接进入到工厂内ꎬ且部分认证和授权的管控安全功能不完善或被舍弃等情况也存在[５￣６]ꎮ(２)通信网络方面ꎮ

智能工厂网络ＩＰ化和无线化应用较为普及ꎬ带来安全隐患日益增大ꎮＩＰ化方面ꎬ由于针对ＴＣＰ/ＩＰ协议攻击和破坏的方法多样及成熟ꎬ可直接对智能工厂网络产生威胁ꎻ无线化方面ꎬ由于智能工厂部分前端终端及应用装备配备无线功能ꎬ工厂现场有较为复杂的无线传感网络ꎬ这对工厂现场ＡＧＶ小车㊁数控设备㊁配件组装系统㊁仓储物流单元等应用带来了较大的安全隐患ꎬ容易受到非法入侵㊁非法控制㊁信息泄露㊁错误操作等威胁ꎮ

(３)管理软件数据应用方面ꎮ

智能制造服务化的延伸ꎬ将生产制造执行系统㊁生产资源管理系统㊁产品全生命周期管理系统与车间的生产制造装备进行集成ꎬ形成辅助管理㊁数据报表㊁现场管理㊁远程支持等功能ꎬ并搭建全集成自动化软件平台ꎬ将这些功能进行深度集成ꎬ实现机械和电气的横向集成ꎬ传动㊁控制到制造执行系统的纵向集成ꎮ由于管理应用及数据应用覆盖整个制造生命周期ꎬ对工控网络安全提出了更高要求ꎮ应用软件将持续受到病毒㊁木马等威胁ꎬ如上位机漏洞等ꎬ从数据应用来说ꎬ数据体量大㊁维度多㊁结构复杂带来了数据防护难度增大ꎬ容易造成生产数据泄露㊁篡改等ꎮ

综上所述ꎬ根据智能制造业务流程特点ꎬ在设备应用㊁通信网络㊁管理软件和数据应用方面都存在一定的安全风险ꎬ需要从整体上考虑ꎬ建立一套适应智能制造领域新特点的工控网络安全防护体系[７]ꎮ

２㊀智能制造领域工控网络安全体系框架

智能工厂作为智能制造典型应用ꎬ将以它为例ꎬ研究智能制造工控网络安全防护体系ꎬ主要从直接防护和间接防护两个角度分析ꎮ直接防护将结合等保２.０合规性要求㊁制造全生命周期覆盖㊁风

险防护历史经验等方面ꎬ搭建体系化防护框架ꎬ重

点解决设备应用㊁通信网络应用㊁管理软件及数据

应用几方面问题[８]ꎮ同时ꎬ由于智能工厂组网灵活ꎬ工业数据量大且动态变化复杂ꎬ还要辅以其他

防护手段ꎬ做到间接防护ꎬ实现动态化的防护策略ꎬ

构建基于安全数据的安全综合管控平台ꎬ进行大数

据分析ꎬ达到整体安全态势监测与变化分析ꎬ做到

及时预警和防护协同ꎬ提高智能工厂工业控制网络

安全水平ꎮ智能制造工控网络安全框架如图１

所示ꎮ

图１㊀智能制造工控网络安全框架

２.１㊀直接安全防护

智能工厂工控网络直接安全防护将从设备层㊁

通信层㊁应用层各层边界安防进行重点防护ꎬ其安

全防护体系架构如图２所示ꎮ

图２㊀直接安全防护总体框架图

２.１.１㊀设备层安全

面向设备层ꎬ将通过身份认证㊁权限管理㊁访问

控制来对现场设备层㊁控制层㊁监控层安全防护ꎮ

构建一套设备层安全防护体系ꎬ首先完成数据审

计ꎬ数据完整性审计贯穿现场控制层到现场操作

层ꎬ用以保证传输过程㊁执行过实可靠ꎮ然后

针对终端安全ꎬ部署基于白名单安全管控的上位

机㊁工程师站㊁服务器等ꎬ以及部署全覆盖安全ＰＬＣ

等ꎬ做到对工业数据监测和防护ꎻ同时ꎬ采用安全检测评估经验和成熟技术对工控设备进行定期的安全检查ꎬ查找㊁修补漏洞ꎬ结合智能安全防护终端ꎬ实现智能化的串口㊁网口数据审查ꎬ阻止非法数据传输ꎻ对于终端ꎬ通过建立完善的终端安全防护体系ꎬ包含防病毒㊁身份鉴别㊁标准化管控㊁日志审计ꎬ确保操作系统的安全性ꎬ防止工控系统外部和内部的非法操作ꎬ做到监测预警ꎬ主动防御ꎮ该防

护体系的构建包含了身份验证㊁病毒监测防护㊁日志审计㊁智能化管控等具体应用ꎬ保障了操作系统㊁工控系统的整体性安全ꎮ能够实现主动防御ꎬ提高工控网络设备的安全ꎬ设备层安全体系架构如图３所示ꎮ

图３㊀设备层安全体系框架图

２.１.２㊀通信网络层安全

智能工厂通信网络层安全将从网络边界安全防护考虑ꎬ根据不同层级及业务需求划分安全域ꎮ针对安全域ꎬ部署工控网络检测㊁隔离㊁防护系统ꎬ具体可用工业防火墙进行逻辑隔离ꎬ对数据进行合法合规审查ꎬ以此降低误操作㊁病毒攻击等威胁行为ꎻ可用工控安全监控审计系统进行网络节点审查ꎬ实现对工业控制系统以及与其他信息应用系统间的传输数据监测ꎬ完成网络攻击行为实时监控与检测分析ꎬ达到设备应用安全中工控层与设备层交互业务的审计和预警ꎮ在无线应用防护层面ꎬ部署实时监测控制器ꎬ做到对抗无线干扰㊁控制合法连接㊁精确定位攻击源ꎬ同时加强密码管理ꎬ降低信息窃取风险ꎮ通信网络层安全框架如图４所示ꎮ

２.１.３㊀数据应用层安全

数据应用主要集中在管理应用软件方面ꎬ管理

图４㊀通信网络层安全框架图

应用软件开发存在开放㊁通用等特征ꎬ容易产生安全漏洞ꎬ存在一定的安全隐患ꎮ针对此情况ꎬ首先完成标准化规范相关工作ꎬ制定应用标准㊁应用开发环境等ꎻ然后对工业应用数据进行安全分析ꎬ做到对工业软件漏洞实时监测ꎬ及时做好补丁漏洞修复㊁病毒清理等ꎻ同时为提高数据本身安全性ꎬ做好应用数据(特别是生产数据㊁操作指令㊁设备运行数据等)及时存储备份工作ꎻ对于数据报文中的控制系统所涉参数及操作指令做好认证和相关通信加密工作ꎻ最后ꎬ加强数据安全分析工作ꎬ合理利用实时监控数据ꎬ做好运维工作ꎬ提高智能工厂工业控制网络安全性能ꎮ数据应用安全框图如图５所示ꎮ

图５㊀数据应用层安全框架图

２.２㊀间接安全防护

直接安全防护已从智能制造不同层级部署了工控安全防护系统ꎬ贯彻了生产制造全生命周期ꎬ在此基础上ꎬ最大效能地对工业数据进行安全分析ꎬ打破传统的重点依托物理防护方式ꎬ做到提前预警㊁及时防护ꎬ需要通过统一安全综合管控平台来实现间接安全防护ꎬ进而更全面地提升智能制造工业控制网络安全ꎮ该平台的建立ꎬ旨在网络安全威胁发生时提前感知ꎬ形成应对策略ꎬ并实现与工控安全设备联动ꎬ建立动态调整机制ꎬ进而保障智能工厂制造过程稳定进行ꎮ

具体应用来说ꎬ该综合管控平台首先完成设备㊁工控系统㊁功能传感器等数据采集与实时监控ꎬ其次结合大数据分析方法ꎬ对数据安全进行隐患排查ꎬ及做好源头追溯ꎬ做好主动防御ꎬ提高系统整体安全性能ꎬ保障工控网络可靠运行ꎮ

在攻击路径大数据应用分析方面ꎬ黑客在选择病毒攻击时ꎬ会有选择地确定主要攻击路线ꎬ针对此类情况ꎬ查找历史数据及案例库ꎬ运用人工神经网络算法ꎬ构建路径选择与攻击目标数学模型ꎬ确定大概率攻击路径ꎬ根据分析结果ꎬ做出有效防护ꎬ避免后续破坏行为ꎬ进而影响工控网络安全ꎻ同时ꎬ加强路径攻击监测ꎬ提供合理有效的监测数据用于路线评估ꎬ进而提高后台自优化能力ꎬ通过动态调测测量提升网络系统安全等级ꎬ实现最佳管控ꎮ

在控制源检测大数据应用方面ꎬ通过大数据分析ꎬ找出入侵源与控制主机的关系ꎬ确定数据采集环节风险隐患ꎬ搭建在线网络安全评估系统ꎬ及时做好病毒入侵预防工作ꎻ同时ꎬ以多种监测方式用于工控系统安全控制监测ꎬ应用数据分析结果ꎬ完善前期安全风险评估系统ꎬ避免系统内部病毒入侵带来的安全事故ꎬ加强控制源监测ꎬ并通过攻击模拟ꎬ增加工控安全应对策略数据库内容ꎬ提高在线安全评估系统防御的准确性ꎬ进而更好地保障整个工控系统安全稳定运行ꎮ

通过大数据分析挖掘等相关技术的应用ꎬ该综合管控平台实现工控网络安全态势分析㊁全局预警及辅助决策ꎬ逐步达到智能工厂工控网络自感知㊁自分析㊁自决策㊁自干预ꎮ间接安全防护体系框架如图６所示ꎮ

图６㊀间接安全防护框架体系图

３㊀直间接全方位工控网络安全防护

在工业智能化发展过程中ꎬ工业信息安全体系防护能力已经成为国家发展战略的重要支撑ꎮ本文提出的直间接全方位工控网络安全防护体系不仅构建了智能制造领域基础安全防护体系ꎬ还通过间接防护的方式ꎬ实现了整体态势感知与及时响应ꎬ做到了及时预警和自执行等功能ꎬ这将给智能工厂企业提供一个更加可靠的网络环境ꎬ也将推进企业智能制造良性发展ꎬ提高生产制造效率ꎬ促进行业可持续发展ꎮ

４㊀结论

智能制造工控网络安全作为制造企业提质增效的辅助手段ꎬ越来越得到重视ꎬ本文结合智能制造工程实际需求及长远规划ꎬ提出了一种直间接全方位工控网络安全防护框架体系ꎬ保障智能工厂网络信息安全ꎮ后期工作将针对各防护手段进行进一步研究ꎬ提高安全防护技术水平ꎬ进一步完善安全框架体系ꎬ提高智能制造领域工业控制网络安全

整体技术水平ꎮ

参考文献

[１]信息安全技术 网络安全等级保护定级指南[Ｍ].北京:中国标准出版社ꎬ２０１７.

[２]周峰ꎬ邵枝华ꎬ陈渌萍.智能制造系统安全风险分析[Ｊ].

电子科学技术ꎬ２０１７ꎬ４(２):４５￣５１.

[３]吴吉庆ꎬ韦有双.智能制造带来的工业信息安全思考[Ｊ].

工业控制系统及信息安全ꎬ２０１８ꎬ３７(３):２４￣２７. [４]刘晓曼ꎬ于广琛ꎬ吴雨霖.工控系统典型安全标准解读与思考[Ｊ].信息通信技术与ꎬ２０１９ꎬ２(２):４０￣４４. [５]杨虎.工业控制网络的安全防护措施[Ｊ].科技与创新ꎬ２０１９(４):１１２￣１１３.

[６]闫飞.工业控制系统终端设备信息安全防护体系研究[Ｊ].仪器仪表用户ꎬ２０１９ꎬ２６(１):８０￣８２.[７]彭勇ꎬ江常青ꎬ谢丰ꎬ等.工业控制系统信息安全研究进展[Ｊ].清华大学学报(自然科学版)ꎬ２０１２ꎬ５２(１０):１３９６￣１４０８.

[８]李家玮ꎬ郝焊勇ꎬ李宁辉ꎬ等.工业控制系统信息安全防护[Ｊ].中国电力ꎬ２０１５ꎬ４８(１０):１３９￣１４４.

(收稿日期:２０１９￣０３￣１５)

作者简介:

李刚(１９８７－)ꎬ通信作者ꎬ男ꎬ硕士研究生ꎬ工程师ꎬ主要研究方向:智能制造㊁工业互联网领域ꎮＥ￣ｍａｉｌ:ｔｕｒｏｌｅｅ＠１３９.ｃｏｍꎮ

郑美红(１９７６－)ꎬ女ꎬ硕士研究生ꎬ高级工程师ꎬ主要研究方向:工业控制㊁基础信息化领域ꎮ

(上接第５页)

作者简介:

张宏斌(１９８９－)ꎬ男ꎬ硕士ꎬ工程师ꎬ主要研究方向:网络安全ꎮ

王晓磊(１９８８－)ꎬ男ꎬ本科ꎬ工程师ꎬ主要研究方向:工业信息安全ꎮ

赵云龙(１９８２－)ꎬ男ꎬ硕士ꎬ工程师ꎬ主要研究方向:工业控制安全ꎮ