智能制造帶來(lái)的工業(yè)信息安全思考

王樹(shù)軍

摘 要：智能制造下實(shí)現(xiàn)了數(shù)據(jù)全面互聯(lián)與大數(shù)據(jù)處理，但同時(shí)網(wǎng)絡(luò)環(huán)境給工業(yè)信息安全造成極大影響。文章通過(guò)對(duì)工業(yè)信息安全問(wèn)題進(jìn)行分析，探討智能制造下信息安全的防護(hù)措施。

關(guān)鍵詞：智能制造;工業(yè)信息;信息安全;安全防護(hù)

0引言

隨著我國(guó)經(jīng)濟(jì)社會(huì)的快速發(fā)展和科技水平的不斷提升，工業(yè)控制系統(tǒng)在我國(guó)工業(yè)企業(yè)中的應(yīng)用范圍進(jìn)一步擴(kuò)大，工業(yè)控制信息技術(shù)的發(fā)展不斷加快，不僅為提升整個(gè)工業(yè)領(lǐng)域的生產(chǎn)效益和經(jīng)濟(jì)效益做出了重要貢獻(xiàn)，更對(duì)提升工業(yè)運(yùn)營(yíng)管理的質(zhì)量有著不容忽視的積極作用。而在我國(guó)工業(yè)企業(yè)所采用控制系統(tǒng)性能不斷完善的同時(shí)，系統(tǒng)整體安全性標(biāo)準(zhǔn)也進(jìn)一步提高。

1智能制造技術(shù)的相關(guān)特征

第一，數(shù)據(jù)之間全面互聯(lián)。由于智能的主要來(lái)源在于數(shù)據(jù)，因此，只有實(shí)現(xiàn)產(chǎn)品整個(gè)生產(chǎn)制造流程活動(dòng)中的各種數(shù)據(jù)之間的互聯(lián)感知，才能打破生產(chǎn)過(guò)程中遇到的技術(shù)性壁壘，真正實(shí)現(xiàn)制造產(chǎn)業(yè)的智能化。第二，大數(shù)據(jù)的處理分析。產(chǎn)品在整個(gè)制造生命周期中不僅需要數(shù)據(jù)支持，而且還會(huì)在制造的過(guò)程中產(chǎn)生大量的數(shù)據(jù)。為了實(shí)現(xiàn)產(chǎn)品的研發(fā)創(chuàng)新、后臺(tái)運(yùn)維服務(wù)實(shí)時(shí)動(dòng)態(tài)預(yù)測(cè)、生產(chǎn)過(guò)程不斷優(yōu)化的目標(biāo)，就需要運(yùn)用智能制造技術(shù)來(lái)進(jìn)行大數(shù)據(jù)的處理分析工作，實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)生產(chǎn)。第三，物理信息空間融合。智能制造技術(shù)的應(yīng)用中，需要進(jìn)行物理信息空間的融合工作，即將生產(chǎn)制造過(guò)程中的各項(xiàng)數(shù)據(jù)同步到信息空間，通過(guò)科學(xué)分析和仿真制造過(guò)程來(lái)做出智能的決策，而后再將決策的結(jié)果同步到物理空間，從而保證能夠優(yōu)化控制各項(xiàng)制造流程以及服務(wù)，并合理分配資源，確保智能制造系統(tǒng)能夠高效平穩(wěn)運(yùn)行。第四，實(shí)現(xiàn)資源開(kāi)放共享。傳統(tǒng)的制造方式為集中統(tǒng)一經(jīng)營(yíng)，通過(guò)智能制造技術(shù)可以將社會(huì)資源進(jìn)行開(kāi)放共享，可以打破企業(yè)之間的壁壘，實(shí)現(xiàn)分散化經(jīng)營(yíng)，能夠充分利用社會(huì)上的優(yōu)質(zhì)資源進(jìn)行生產(chǎn)制造，最大程度上滿足顧客的個(gè)性化需求。

2智能制造帶來(lái)的工業(yè)信息安全現(xiàn)狀

2.1網(wǎng)絡(luò)空間威脅

根據(jù)業(yè)務(wù)發(fā)展與管理提升的需要，網(wǎng)絡(luò)空間與現(xiàn)實(shí)工業(yè)環(huán)境不斷融合，工業(yè)生產(chǎn)流程的網(wǎng)信能力不斷加強(qiáng)，網(wǎng)絡(luò)攻擊不僅危害網(wǎng)絡(luò)空間運(yùn)行秩序，而且可能對(duì)現(xiàn)實(shí)工業(yè)生產(chǎn)流程或設(shè)施造成巨大損害。然而，越來(lái)越多的工業(yè)系統(tǒng)暴露在互聯(lián)網(wǎng)上，雖然部分做了有限的安全隔離措施，但這種趨勢(shì)無(wú)疑使工業(yè)系統(tǒng)的防護(hù)變得更加復(fù)雜，其中包括各大國(guó)際主流品牌工業(yè)控制設(shè)備，覆蓋工業(yè)數(shù)據(jù)采集、控制、編譯執(zhí)行等重要系統(tǒng)，而這些系統(tǒng)廣泛應(yīng)用于工業(yè)制造、能源、水利、通信、醫(yī)療、市政等重要領(lǐng)域，信息安全風(fēng)險(xiǎn)已嚴(yán)重威脅到國(guó)家、人民現(xiàn)實(shí)生產(chǎn)和生活安全。

2.2工業(yè)控制系統(tǒng)漏洞

自從工業(yè)控制系統(tǒng)（ICS）問(wèn)世以來(lái)，工業(yè)控制采用專用的硬件、軟件和通信傳輸協(xié)議。工控系統(tǒng)的主流漏洞包括通信協(xié)議漏洞，即OPC和TCP/IP協(xié)議等通用協(xié)議越來(lái)越廣泛的應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中。還有操作系統(tǒng)漏洞，目前大多數(shù)工控系統(tǒng)的工程師站，操作員站主流的都是Windows的平臺(tái)，為了保證控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)確保系統(tǒng)的穩(wěn)定運(yùn)行，通常現(xiàn)場(chǎng)的工程師在系統(tǒng)穩(wěn)定運(yùn)行后不會(huì)對(duì)平臺(tái)安裝任何補(bǔ)丁，從而留下系統(tǒng)漏洞。還有包括安全策略和管理流程漏洞、殺毒軟件漏洞、應(yīng)用軟件漏洞等[1]。

2.3加密挖礦攻擊

惡意挖礦，即在用戶不知情或未經(jīng)允許的情況下，占用用戶終端設(shè)備的系統(tǒng)資源與網(wǎng)絡(luò)資源進(jìn)行挖礦，從而獲取虛擬幣牟利。其可以發(fā)生在用戶的個(gè)人電腦、企業(yè)網(wǎng)站或服務(wù)器、個(gè)人手機(jī)、網(wǎng)絡(luò)路由器。隨著近年來(lái)虛擬貨幣交易市場(chǎng)的發(fā)展，以及虛擬貨幣金錢價(jià)值的體現(xiàn)，惡意挖礦攻擊已經(jīng)成為影響最為廣泛的一類威脅攻擊，并影響著企業(yè)機(jī)構(gòu)與個(gè)人網(wǎng)民。

3智能制造帶來(lái)的工業(yè)信息安全管理措施

3.1入侵檢測(cè)防護(hù)介

當(dāng)前，入侵檢測(cè)和防護(hù)是工控系統(tǒng)穩(wěn)定運(yùn)行防護(hù)的兩個(gè)重要手段，在工控系統(tǒng)信息安全防護(hù)中起著重要的作用，它們對(duì)工控系統(tǒng)網(wǎng)絡(luò)傳輸和系統(tǒng)運(yùn)行過(guò)程中的黑客入侵行為進(jìn)行實(shí)時(shí)監(jiān)控，在發(fā)現(xiàn)可疑時(shí)發(fā)出警報(bào)或者觸發(fā)入侵反應(yīng)系統(tǒng)采取措施。由于與傳統(tǒng)IT系統(tǒng)有一定的區(qū)別，系統(tǒng)的功能和結(jié)構(gòu)相對(duì)固定，通信協(xié)議固定而有限，這使得開(kāi)發(fā)符合工業(yè)控制系統(tǒng)特點(diǎn)的入侵檢測(cè)和防護(hù)成為可能，尤其可以克服IT系統(tǒng)中基于異常行為的入侵檢測(cè)系統(tǒng)的誤報(bào)率高的缺點(diǎn)。入侵檢測(cè)是對(duì)入侵行為的發(fā)覺(jué)，并對(duì)此做出反應(yīng)的過(guò)程。通過(guò)對(duì)工控系統(tǒng)的設(shè)備或者網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)工業(yè)控制系統(tǒng)的設(shè)備或網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，根據(jù)分析和檢查的情況，做出相應(yīng)的響應(yīng)（告警、記錄、中止等）。入侵檢測(cè)在工業(yè)控制系統(tǒng)信息安全架構(gòu)中位于防護(hù)線之后，作為第二道防線，及時(shí)發(fā)現(xiàn)入侵和破壞，合理的彌補(bǔ)靜態(tài)防護(hù)技術(shù)的不足，降低工業(yè)控制系統(tǒng)安全事件帶來(lái)的損失。其分類分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以及基于應(yīng)用的入侵檢測(cè)系統(tǒng)[2]。

3.2漏洞掃描與漏洞挖掘技術(shù)

一般而言，漏洞掃描技術(shù)主要是基于完整的工業(yè)控制系統(tǒng)及工業(yè)控制網(wǎng)絡(luò)安全漏洞數(shù)據(jù)庫(kù)，根據(jù)高頻漏洞掃描引擎和檢測(cè)規(guī)則等自動(dòng)進(jìn)行匹配，以掃描出企業(yè)所用工業(yè)控制系統(tǒng)內(nèi)部關(guān)鍵設(shè)備、關(guān)鍵軟件和關(guān)鍵硬件等是否存在已知漏洞的方法。漏洞挖掘技術(shù)則可進(jìn)一步分為靜態(tài)分析漏洞挖掘方法和動(dòng)態(tài)分析漏洞挖掘方法兩大類。靜態(tài)分析漏洞挖掘方法在工業(yè)控制系統(tǒng)程序非運(yùn)行狀態(tài)下對(duì)漏洞進(jìn)行檢測(cè)和對(duì)比掃描，強(qiáng)化對(duì)靜態(tài)代碼審計(jì)、逆向分析和補(bǔ)丁等的對(duì)比研究，動(dòng)態(tài)分析漏洞挖掘技術(shù)則是在系統(tǒng)軟件運(yùn)行的情況下，對(duì)工業(yè)控制系統(tǒng)進(jìn)行程序格式、黑盒子測(cè)試等針對(duì)性的漏洞掃描，以此發(fā)現(xiàn)工業(yè)控制系統(tǒng)可能存在的信息安全隱患，保障工業(yè)控制信息系統(tǒng)的安全運(yùn)行。

3.3數(shù)據(jù)庫(kù)信息加密

數(shù)據(jù)信息加密是按照工廠的要求將敏感數(shù)據(jù)進(jìn)行加密，防止非法用戶采用其他手段獲取數(shù)據(jù)，這里采用了DES加密算法，對(duì)數(shù)據(jù)加密存儲(chǔ)。DES加密是典型的對(duì)稱加密算法，該算法是利用56+8奇偶校驗(yàn)位（第8，16，24，32，40，48，56，64），即64位的密鑰對(duì)以64位為單位的塊數(shù)據(jù)進(jìn)行加解密。在本地的MFC程序中對(duì)重要敏感數(shù)據(jù)加密，由于數(shù)據(jù)中還存在中文，為了防止加解密出現(xiàn)亂碼，因此需要借助BASE64進(jìn)行處理，在加密后的字節(jié)數(shù)組中通過(guò)BASE64加密一次，在進(jìn)行DES解密之前用BASE64解密，從而解決亂碼問(wèn)題。最高級(jí)權(quán)限用戶保留該密鑰，只有擁有該密鑰才能解密信息，從而防止數(shù)據(jù)管理人員直接接觸一些敏感信息[3]。

3.4訪問(wèn)控制與工業(yè)防火墻

在工業(yè)生產(chǎn)運(yùn)行中，不同安全等級(jí)的數(shù)據(jù)資源通常要在不同防護(hù)等級(jí)的網(wǎng)絡(luò)區(qū)域內(nèi)運(yùn)行，不同角色身份的管理人員同樣要按權(quán)限進(jìn)行資源訪問(wèn)，這就要求資源訪問(wèn)過(guò)程中需要進(jìn)行嚴(yán)格的訪問(wèn)控制。通過(guò)優(yōu)化訪問(wèn)控制策略及最小化應(yīng)用原則，可以最大限度地減少無(wú)效的數(shù)據(jù)訪問(wèn)，防止未被授權(quán)的人利用系統(tǒng)資源。采用工業(yè)防火墻可以對(duì)工業(yè)控制系統(tǒng)進(jìn)行動(dòng)態(tài)檢測(cè)及實(shí)時(shí)訪問(wèn)控制，支持并兼容各類工業(yè)控制協(xié)議并滿足系統(tǒng)較高的實(shí)時(shí)性與穩(wěn)定性需求。

4 結(jié)語(yǔ)

綜上所述，工業(yè)控制系統(tǒng)的發(fā)展趨勢(shì)將會(huì)是數(shù)字化、智能化、網(wǎng)絡(luò)化和人機(jī)交互人性化。同時(shí)將會(huì)有廣泛的網(wǎng)絡(luò)技術(shù)使用到PLC和數(shù)字系統(tǒng)控制中。工控系統(tǒng)信息安全產(chǎn)品將在信息安全與工業(yè)生產(chǎn)控制之間找到契合點(diǎn)，采用入侵檢測(cè)、漏洞掃描、數(shù)據(jù)庫(kù)加密、工業(yè)防火墻等方法保證工業(yè)信息安全。

參考文獻(xiàn)：

[1]賴紅嬌.工業(yè)控制系統(tǒng)信息安全的探索與實(shí)踐[J].石油化工自動(dòng)化，2018，54（6）：55-57.

[2]魏祺.工業(yè)控制系統(tǒng)信息安全研究綜述[J].通信電源技術(shù)，2019，36（5）：225-226.

[3]俞華軍.工業(yè)控制系統(tǒng)信息安全淺談[J].科學(xué)管理，2019（1）：312.