【中國智能制造網(wǎng) 智造快訊】面向全產(chǎn)業(yè)鏈環(huán)節(jié)，綜合應(yīng)用現(xiàn)代傳感技術(shù)、網(wǎng)絡(luò)技術(shù)、自動(dòng)化技術(shù)、智能化技術(shù)和管理技術(shù)等先進(jìn)技術(shù)，與現(xiàn)有生產(chǎn)過程的工藝和設(shè)備運(yùn)行技術(shù)高度集成的新型工廠，以實(shí)現(xiàn)復(fù)雜環(huán)境下生產(chǎn)運(yùn)營的、節(jié)能和可持續(xù)為目標(biāo)。

借鑒工業(yè)4.0理念 加速我國裝備制造業(yè)轉(zhuǎn)型升級

 

　　進(jìn)入21 世紀(jì)以來，信息與通信技術(shù)取得了突破性進(jìn)展，智能的網(wǎng)絡(luò)世界與物理世界融合產(chǎn)生了物聯(lián)網(wǎng)與信息物理融合系統(tǒng)。為了確保制造業(yè)地位，德國首先將信息技術(shù)應(yīng)用于制造工業(yè)的全周期中，開啟了Industry 4. 0 第四次工業(yè)革命。并全面論述了Industry 4.0 的愿景與目標(biāo)、主要內(nèi)容和采用的戰(zhàn)略，深入分析了智能工廠的體系架構(gòu)，同時(shí)闡述了智能工廠創(chuàng)新聯(lián)盟正在開展的研發(fā)項(xiàng)目。我們應(yīng)該借鑒Industry 4.0 智能工廠的理念、方案與路線圖，勇于創(chuàng)新，加快我國裝備制造業(yè)轉(zhuǎn)型升級。
 

　　1.工業(yè)控制網(wǎng)絡(luò)安全現(xiàn)狀：
 

　　工業(yè)控制系統(tǒng)(ICS)廣泛應(yīng)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出。尤其是“工業(yè)互聯(lián)網(wǎng)”、“工業(yè)4.0”、“兩化深度融合”、“互聯(lián)網(wǎng)+”等相關(guān)概念的提出，在國家政策、技術(shù)創(chuàng)新和工業(yè)參與者需求轉(zhuǎn)變等多個(gè)維度的共同驅(qū)動(dòng)和協(xié)同下，工業(yè)正朝著數(shù)字化、網(wǎng)絡(luò)化、開放化、集成化的工業(yè)互聯(lián)方向發(fā)展，將面臨更加復(fù)雜的信息安全威脅。
 

　　近年來，工業(yè)控制系統(tǒng)信息安全事件不斷發(fā)生，“震網(wǎng)”、“火焰”、“毒區(qū)”、“Havex”等惡意軟件嚴(yán)重影響了關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行，充分反映了工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢。工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)和事件數(shù)量依然呈上升趨勢。
 

　　根據(jù)美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)發(fā)布的2013年年報(bào)統(tǒng)計(jì)，近幾年ICS-CERT接到的工控系統(tǒng)漏洞上報(bào)數(shù)量在不斷增加，其中在2013年接到的181個(gè)漏洞報(bào)告中，有177個(gè)被確認(rèn)是真實(shí)的工控系統(tǒng)漏洞，共涉及52個(gè)廠商。
 

　　在這177個(gè)被確認(rèn)的漏洞中，87%可以被通過網(wǎng)絡(luò)遠(yuǎn)程利用。在網(wǎng)絡(luò)化浪潮下的工業(yè)互聯(lián)時(shí)代，這些漏洞的潛在威脅正在不斷加大。在漏洞類型中，身份驗(yàn)證漏洞的數(shù)量多。這些漏洞可能使具有初級水平的攻擊者就可以通過Internet獲得訪問工業(yè)控制設(shè)備的管理員權(quán)限。
 

　　國內(nèi)，根據(jù)綠盟科技公司的統(tǒng)計(jì)，2013年公開新增工業(yè)控制系統(tǒng)相關(guān)的漏洞共計(jì)78個(gè)，相對于前兩年有所放緩，軟件漏洞數(shù)量有所回落，但硬件漏洞數(shù)量繼續(xù)保持持續(xù)增長趨勢。
 

　　根據(jù)美國ICS-CERT往年統(tǒng)計(jì)的工控信息安全事件數(shù)量可知，近幾年工業(yè)控制系統(tǒng)相關(guān)的信息安全事件正在呈快速增長的趨勢。在2013年的工控信息安全事件中，能源、制造業(yè)、市政等國家關(guān)鍵基礎(chǔ)設(shè)施受到的攻擊為嚴(yán)重。這些信息安全事件涉及的主要攻擊方式包括水坑式攻擊、SQL注入攻擊和釣魚攻擊等。
 

　　我國也在積極探索漏洞挖掘與風(fēng)險(xiǎn)通報(bào)工作，2012年國務(wù)院的23號文與2011年工信部的451號文都提出要建立漏洞通報(bào)與發(fā)布制度。2012年，工業(yè)和信息化部啟動(dòng)了工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)發(fā)布工作。8月，工業(yè)和信息化部下發(fā)了《工業(yè)和信息化部辦公廳關(guān)于開展工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)信息發(fā)布工作的通知》(工信廳協(xié)函〔2012〕629號)，對工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)信息發(fā)布工作做出了安排，指出工業(yè)和信息化部將不定期的向各地工業(yè)和信息化主管部門、有關(guān)國有大型企業(yè)及相關(guān)工業(yè)控制系統(tǒng)廠商發(fā)布《工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)提示》。
 

　　為支撐工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)發(fā)布工作，工業(yè)和信息化部也組織相關(guān)機(jī)構(gòu)建立工業(yè)控制系統(tǒng)信息安全模擬環(huán)境和測試實(shí)驗(yàn)室，形成工業(yè)控制系統(tǒng)信息安全攻防演練及漏洞驗(yàn)證和挖掘能力。同時(shí)，我國也鼓勵(lì)研究機(jī)構(gòu)、工控產(chǎn)品廠商、信息安全廠商和研究人員積極參與工控風(fēng)險(xiǎn)“可發(fā)現(xiàn)”的研究工作，積極向主管部門上報(bào)風(fēng)險(xiǎn)。
 

　　2．安全防護(hù)體系需求
 

　　根據(jù)國家工業(yè)和信息化部【2011】451號文件要求，需要加強(qiáng)工業(yè)信息安全防護(hù)工作，結(jié)合實(shí)際制造過程，網(wǎng)絡(luò)總體需求如下：
 

　　(1)在保證自動(dòng)化及相關(guān)網(wǎng)絡(luò)通訊信息傳輸可靠、可用的基礎(chǔ)上，來完善智能制造網(wǎng)絡(luò)安全解決方案。
 

　　(2)結(jié)合工控網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)規(guī)范，對現(xiàn)有智能制造生產(chǎn)網(wǎng)絡(luò)架構(gòu)進(jìn)行優(yōu)化并說明；
 

　　(3)對生產(chǎn)網(wǎng)絡(luò)核心資產(chǎn)的防攻擊、防竊密；
 

　　(4)對生產(chǎn)網(wǎng)絡(luò)資產(chǎn)及安全狀況的監(jiān)控；
 

　　3．基于工業(yè)4．0的智能工廠安全防護(hù)體系
 

　　3.1 網(wǎng)絡(luò)邊界防護(hù)與邏輯隔離
 

　　網(wǎng)絡(luò)安全隔離防護(hù)的首要內(nèi)容就是實(shí)現(xiàn)網(wǎng)絡(luò)中一些重要的子系統(tǒng)之間網(wǎng)絡(luò)流量的訪問控制，這是網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)。目前工控網(wǎng)絡(luò)所面臨的安全威脅不僅僅是常規(guī)IT攻擊手段或病毒感染，而針對工控通訊協(xié)議和控制設(shè)備自身安全缺陷和漏洞的攻擊則會(huì)為工控系統(tǒng)帶來更成嚴(yán)重的危害，因此訪問控制粒度的把握成為工控網(wǎng)絡(luò)安全建設(shè)成敗的根本因素，以往的端口級訪問控制策略無法做到工業(yè)協(xié)議惡意代碼攻擊的防護(hù)，這就需要在網(wǎng)絡(luò)邊界處設(shè)置具有工業(yè)協(xié)議深度包檢查(DPI)功能的工業(yè)防火墻系統(tǒng)來提供更加有效的工業(yè)協(xié)議應(yīng)用層防護(hù)。
 

　　部署位置：
 

　　企業(yè)信息網(wǎng)和生產(chǎn)網(wǎng)的隔離；
 

　　關(guān)鍵控制節(jié)點(diǎn)的保護(hù)；
 

　　生產(chǎn)網(wǎng)區(qū)域之間隔離；
 

　　生產(chǎn)網(wǎng)和第三方系統(tǒng)邊界隔離防護(hù)(例如遠(yuǎn)程維護(hù))。
 

　　工業(yè)防火墻使用工業(yè)通訊協(xié)議白名單的技術(shù)，內(nèi)置PC/Modbus/DNP3/Profinet/104等多種專有工業(yè)通信協(xié)議。與常規(guī)防火墻不同，工業(yè)協(xié)議防火墻不僅是在端口上的防護(hù)，更對基于應(yīng)用層的數(shù)據(jù)包深度檢查，屬于新一代工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨(dú)特的、工業(yè)級的專業(yè)隔離防護(hù)解決方案。
 

　　具備在線修改防火墻組態(tài)的功能，可以實(shí)時(shí)對組態(tài)的防火墻策略進(jìn)行修改，而且不影響工廠實(shí)時(shí)通訊。無需電廠停機(jī)就可在線直接插入使用，不需要對原有網(wǎng)絡(luò)進(jìn)行任何改動(dòng)，不存在因安全規(guī)則配置錯(cuò)誤導(dǎo)致有效工業(yè)通訊被阻斷的隱患，大大降低了項(xiàng)目實(shí)施風(fēng)險(xiǎn)。為滿足工業(yè)環(huán)境的特點(diǎn)，設(shè)計(jì)為雙電源供電，斷電報(bào)警輸出功能，無風(fēng)扇寬溫設(shè)計(jì)，并提供可配置Bypass功能。