智能制造网络安全的关键问题研究

作者  中国信息安全测评中心 谢丰

智能制造基于新一代信息技术，贯穿设计、生产、管理、服务等制造活动各个环节，它是工业化信息化深度融合的产物，其重要特性体现在数字化、网络化和智能化。

从国家政策上看，为巩固在全球制造业中的地位、抢占制造业发展的先机，世界主要制造强国都在积极发展智能制造，制定智能制造国家战略，如德国提出工业 4.0，美国积极布局工业互联网，日本也发布了新机器人战略和互联工业。可以说，智能制造已成为全球制造业发展的大趋势。在此背景下，我国先后提出“中国制造 2025”“新型基础设施建设”等国家战略，也是将智能制造作为实现产业升级的关键举措。

从支撑技术上看，以云计算、物联网、大数据、5G、人工智能等为代表的新一代信息技术正逐步走向实用化，为智能制造奠定了技术基础。智能制造的本质是让彼此关联的生产数据发挥大脑价值，实现下游推动上游的柔性生产链条。通过数字孪生，实现了产品模型数字化和生产流程数字化，通过“一网到底”和泛在互联，实现设备与设备之间、设备与人之间的信息互通和交互，打破现有生产业务流程与过程控制流程相脱节的局面，消除生产制造环节中的“信息孤岛”，单纯的产品模式也演变为“产品 + 持续服务”模式。通过“智慧智能”，将人工智能融入产品全生命周期，实现智能管理、生产自组织、智能化服务等。可以说，在消费互联网中获得重大成功的新一代信息技术将有望在产业互联网发挥变革性作用。

从应用场景上看，智能制造涉及领域很广，狭义上主要指包括数控机床、机器人等在内的智能制造装备、智能工厂等，广义上可扩充到包括车联网、智能家居这类智能产品及远程服务紧密耦合的创新模式。

二、智能制造网络安全风险分析

在智能制造吸引关注的同时，也应当重视其面临的网络安全风险。分析风险就需要分析其面临的威胁，以及自身存在的脆弱性。

1. 从威胁视角看智能制造面临的突出威胁

首先，当前网络对抗背景决定了智能制造面临的对手将是组织级甚至国家级。目前国际上网络对抗愈演愈烈，网络高级持续威胁（APT）成为常态，攻击者已从单个黑客上升到组织甚至国家。破坏伊朗核电站的“震网病毒”，导致乌克兰大面积停电的“黑色能量”攻击，影响全球的“永恒之蓝”勒索病毒，以及每年层出不穷的 APT 攻击，无一不体现出网络攻击背后的组织化、体系化，具有浓厚的国家对抗色彩。

其次，智能制造自身运行模式势必会成为网络渗透的新目标、攻防对抗的新战场。以智能工厂为例，智能工厂需要数据 / 信息交换从底层现场层向上贯穿至执行层甚至计划层网络，使得工厂 / 车间能够实时监视现场的生产状况与设备信息，并根据获取的信息来优化生产调度与资源配置。借助于这种“一网到底”，智能工厂打通了设计、生产到销售等各个环节，并在此基础上实现了资源整合优化。类似的，在智能家电、智能汽车等场景下，千家万户的家电家居设备、公路上高速行驶的网联汽车都通过 5G 等技术连接云平台，实现了设备与设备、设备与平台的信息共享和远程控制。不幸的是，这种互联互通无疑也为网络攻击提供了便利。无论是作为大国重器的先进制造，还是千家万户的智能产品，一旦遭受网络攻击都将产生重大影响。

最后，攻击手段的自动化、智能化、隐蔽化加剧了安全威胁。当前网络攻击工具已经上升到军火武器级别。例如，2017 年维基解密曝光了美国 CIA网络武器库 VAULT 7，涉及其在全球部署的数十个网络武器，披露文档多达 8000 余份，描述了每一项工具的实现功能、存在不足及下一步工作，工具开发的组织性、计划性非常强。近年来发生了多起APT 组织工具和代码泄露事件，进一步催生了网络攻击武器的使用泛化、网络军火的民用化。

2. 从脆弱性看智能制造网络安全的先天不足

一直以来，网络安全并不是工业制造的关注目标，现有工业系统几乎没有任何安全措施。尽管部分系统考虑了功能安全，但其更关注系统自身的、偶然的威胁，避免因硬件失效、系统故障等因素导致爆炸等生产事故。并且功能安全没有考虑人，尤其是具有恶意企图的人故意利用系统脆弱性所进行的行为。这与网络安全有着明显区别，因为攻防对抗性是网络安全的最突出特点。

智能制造脆弱性表现在以下方面：

首先，在系统层面上，无论网络结构还是主机设备都存在脆弱性。例如，现有工厂中的现场设备层、监视控制层、制造执行层等各层之间普遍缺少必要的隔离防护措施，同一层之间未划分安全域；系统缺少病毒防护，工业主机几乎未安装补丁，未启用安全配置策略；网络通信未加密，容易发生劫持、篡改和窃听等中间人攻击；工业云平台存在虚拟化漏洞；工业 App 缺少保护，容易被反编译和逆向破解。

其次，在感知层面上，智能制造离不开海量的传感节点，这些节点往往位于野外或无人看守的地方，设备分散、繁多，部署环境不可控，数据真实可信难保证。固件中固化存储密码、密钥等敏感信息，或保留调试命令接口，导致设备远程被控制。设备的升级过程和安全状态难以管理。

最后，在数据层面上，数据驱动是智能制造的重要特征，在感知、计算和服务过程中都会产生大量的数据信息，这些工业数据在传输和存储过程中可能会被窃听、篡改、删除、注入、重放等。

三、智能制造网络安全的关键问题

为实现智能制造安全，需要重点解决以下关键问题。

1. 协同功能安全和网络安全，实现 IT 与 OT的融合

功能安全和网络安全的两个方面通常被孤立地考虑，并且彼此独立。在组织上，职责任务也往往分配到企业不同部门。但是在未来这两个方面需要同时实现，究其原因在于智能制造的数字化和网络化将消除二者的分界线，即实现信息技术（IT）和运营技术（OT）的融合。这种融合是全方位的融合，覆盖组织、管理、技术和人员等各方面。

首先，需要在组织上明确企业的网络安全管理与生产运行管理的责任边界与协同机制。尽管目前普遍做法是业务信息层由信息安全管理部门负责，现场设备层和监视控制层由生产运行管理部门负责。但随着泛在互联和“一网到底”的发展，随着工业设备上云，这种层次界限将变得很模糊，也必将带来管理的混乱。如何在组织上进行协同将成为重点问题。

其次，企业往往具有较成熟的生产运行管理机制，如何在现有机制基础上，对照借鉴现有网络安全管理标准规范，查漏补缺，兼顾功能安全和网络安全。

再次，要以业务系统功能安全的可用性为目标和约束，研究网络安全技术，通过迭代优化设计，消除冲突，实现二者融合，降低因融合带来的安全风险。

最后，由于生产运行管理与网络安全管理的知识背景存在巨大差异，需要加强意识培训，建立共同语言。

2. 研究适于智能制造特点的内生安全关键技术

尽管现有很多成熟的安全技术和产品，但由于智能制造中存在较大独特性，导致了这些技术很难直接应用。从系统特点看，信息系统追求高吞吐量，实时性要求较低，更偏重于机密性和完整性。而制造系统恰恰相反，实时性高，可靠性强，优先确保可用性和完整性，机密性要求不高。这种截然相反的安全需求导致需要研究适合其特点的网络安全技术，建立内生安全体系。

（1）高实时、轻量级密码算法

密码是网络安全的核心。尽管一些智能制造装备相比传统硬件形态，集成了嵌入式操作系统、控制系统等应用功能单元，但资源总量和处理熟度有限，直接引入成熟的密码技术会影响工业网络中控制数据交换的实时性，甚至严重干扰系统的稳定性。只有实时性高、硬件性能要求低的轻量级密码算法，才能够广泛用于制造系统，实现数据的机密性、完整性以及接入设备的身份鉴别。

（2）工业私有协议逆向解析与深度检测

与互联网协议公开不同，工业通信协议数量众多，覆盖现场总线（如 Profibus、CC-Link 等）、工业以太网（如 Profinet、Ethernet/IP、IEC 61850 等）不同类型，且大部分为私有协议，这就给应用层过滤及安全检测带来障碍。一是需要对工业通信协议进行逆向解析，识别工控应用层数据格式（如指令、参数等）及通信过程，二是在深度解析基础上，理解通信语义，实现工业应用层过滤与检测。

（3）安全可靠无扰式防护

智能制造软件硬件之间耦合非常紧密，对其进行漏洞扫描、系统升级很容易影响系统，导致生产中断，或因生产设备工艺不匹配而导致装置损毁，这就要求采取的安全防护措施不能影响系统正常运行。但是现有安全措施很难做到这一点。例如，主机病毒防护软件会经常更新，甚至存在误杀情况；系统升级补丁时会重启，甚至出现蓝屏情况；对目标系统进行远程扫描时，在一定程度上会影响网络带宽或者目标系统性能。除此之外，现有安全防护措施通常适用于 Windows、Linux 等通用系统，很难用于基于嵌入式系统的制造设备中。因此这些常见的安全措施都需要进行革新以适应智能制造环境。

（4）集运行监控与威胁感知于一体的统一监测

当前即使部署在工厂车间这种具有明确物理边界的工业系统，也几乎没有采取任何网络监控措施，更别说部署在野外无人值守的传感设备。系统是否正常运行，流量是否处于平稳水平，是否存在攻击行为均一无所知，需要实现统一监测。一是感知攻击威胁并及时告警，二是管理接入设备，实现资产管控，三是监测关键设备的运行状态，形成健康监控。通过统一监测既满足生产运行管控需要，也实现了网络安全监控目标。

（5）逻辑组态代码静态检测

软件代码漏洞是网络安全频发的主要根源，并且常常很难发现。一种有效方式是采用源代码静态检测技术，通过扫描源代码来发现是否存在缺陷特征。源代码检测主要针对 C/C++、JAVA、JSP 等各类常见编程语言和脚本，而在控制器上运行的逻辑组态程序通常采用梯形图、指令表语言、结构化文本语言等，因此现有源代码检测工具不能用于逻辑代码的缺陷检测。

（6）结合高可靠性的网络安全新设计

为了提高可靠性、减少因硬件随机故障导致的错误，一些实时控制系统采用了冗余容错等技术。通过对控制系统的输入输出、处理器、总线系统等模块进行多重化冗余，处理器相互独立并同时执行相同的控制程序，针对现场采集的同一点数据分别给出输出结果，经表决后作为系统最终输出从而驱动现场设备。在此过程中，只要同一环节不同时出现多个冗余模块错误，系统就能屏蔽故障模块错误，保证最终正确结果。该技术在提高可靠性的同时，也在一定程度上也提高了网络安全保障能力。例如，如果攻击行为只影响到少数的输入点位信息，通过多路决策就能自动清除错误数据。基于这种高可靠性设计，可进一步结合网络安全特征，通过动态重构、随机多样化、异构冗余、逻辑组态工程编译时 / 运行时保护等技术，提高关键智能制造设备的“先天免疫”能力。

智能制造是新一代信息技术与制造业相结合的产物，是消费互联网迈向产业互联网的重要契机，在促进产业升级变革的同时也必然与消费互联网面临同样的安全风险，甚至由于其物理特性，这种风险将会产生更严重的后果。在智能制造起步阶段就做好总体安全设计，将网络安全与功能安全进行统一谋划，真正实现“安全和发展是一体之两翼、驱动之双轮”，才能确保智能制造健康发展，成为国之重器。

本文来源《中国信息安全》杂志2021年第1期