图片

更多案例

分析┃動靜協同的智能制造生産控制系統網絡宁静框架

隨著工業互聯、雲計算、大數據、物聯網和工業控制等新技術等的快速發展,智能制造工業控制系統的宁静防護迫在眉睫。因此,以智能工廠爲例,建立滿足等保2.0-工業控制系統宁静擴展要求合規性要求的靜態宁静防護,同時以靜態宁静防護形成的宁静數據爲基礎,彙聚宁静數據分析,進行整體態勢呈現、通報預警與應急響應,實現宁静自感知、计谋自調整的動態宁静防護,形成動靜協同聯動的宁静框架,爲智能制造宁静生産保駕護航。

 

 

0 引 言

 

随着新一代信息技术和工业的融合发展,智能制造日益成为未来制造业发展的重大趋势和核心内容。以数字化、网络化、智能化为核心特征的智能制造模式,正在成为财产发展和厘革的重要方向,也必将引发新一轮制造业革命,并重新构筑全球制造业竞争新格局。中国要建设制造业强国,必须紧紧掌握制造业的发展趋势,加快智能制造的发展。尽管智能制造已是局势所趋,但随着其与互联网的不绝融合,一些棘手问题也开始显现。从网络宁静的角度分析,智能制造网络化后攻击剖面大大扩大,将面临设备、控制、网络、应用、云平台和数据等多个方面的宁静挑战。因此,智能制造网络宁静问题必须引起高度重视。本文从国家等級保護的标准要求分析,立足于智能制造网络化后面临的宁静问题,提出动静协同的智能制造生产控制系统网络宁静框架,为促进制造财产智能网络化发展,保障企业的生产制造宁静提供参考。

 

 

1 等級保護标准分析

 

智能制造在推进发展的过程中,新技术、新应用、新业务形态大量涌现,尤其是工业互联、云计算、大数据、物联网、全数字化仪控系统等的快速发展。当前,2008年国家发布的《GB/T22239-2008 信息宁静技术 信息系统宁静等級保護基本要求》及其配套政策文件和标准(简称等保1.0)[1]已经不能完全适用于智能制造宁静防护要求,而智能制造场景中生产控制系统的宁静防护建设工作已经迫在眉睫。为应对宁静趋势和形势的急速变革,公安部在2017年5月颁布《GA/T1390.5-2017 信息宁静技术一网络宁静等級保護基本要求 第5部分:工业控制系统宁静扩展要求》(以下简称等保2.0)。等保2.0系列標准專門提出了針對工業控制系統的宁静技術要求及管理要求,爲工業控制系統的宁静防護提供了重要參考標准要求[2-3]。標准的工控宁静擴展要求結合工業控制系統自身特點,分析系統自己面臨的風險,從網絡和通信宁静、設備和計算宁静、應用和數據宁静等方面,在通用宁静要求基礎上新增了若幹控制項,如網絡和通信宁静增加了適配于工業控制系統網絡環境的網絡架構宁静防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求;設備和計算宁静增加了對控制設備的宁静要求。

 

 

2 智能制造生産控制系統網絡宁静風險分析

 

從網絡宁静的角度分析,智能制造網絡化後,攻擊剖面將大大擴大,面臨設備、控制、網絡、應用、數據等方面的宁静挑戰。參照推出的等保2.0工控宁静防護部分,在工控網絡、設備、應用、數據宁静會面臨如下風險[4]。

 

第一,網絡與通信宁静。工廠網絡向“三化”(IP化、扁平化、無線化)+靈活組網的方向發展,將面臨更多的宁静挑戰。現有針對TCP/IP協議的攻擊方法和手段成熟,可被直接利用攻擊工廠網絡。網絡靈活組網需求使網絡拓撲的變化更加複雜,傳統靜態防護计谋和宁静域劃分方法面臨動態化、靈活化挑戰。同時,RFID、ZigBee、無線傳感網絡等無線技術,被廣泛應用于工裝和部件對接系統、智能AGV移動小車、智能穿着設備、數控機床DNC網絡等工控系統環境中。無線技術的應用需要滿足了工廠的實時性、可靠性要求,但難以實現複雜的宁静機制,極易受到認證攻擊、非法入侵、信息泄露、拒絕服務等攻擊。

 

第二,設備與計算宁静。傳統生産設備以機械裝備爲主,重點關注物理宁静和功能宁静。智能制造生産設備和産品將越來越多集成通用嵌入式操纵系統和應用軟殼,而控制器類設備操纵系統存在大量漏洞,導致工控設備將直接袒露在網絡攻擊下,木馬病毒在設備間的傳播擴散速度將呈指數級增長。DCS、PLC等控制設備在目前工廠應用中主要關注控制過程的功能宁静,但信息宁静能力防護不敷。現有控制協議、控制軟件等在設計之初主要基于IT和OT相對隔離和OT環境相對可信兩個前提。同時,由于工廠控制的實時性和可靠性要求高,如認證、授權、加密以及數據接口管控等需要附加開銷的信息宁静功能被舍棄。IT和OT融合冲破了傳統宁静可信的控制環境,網絡攻擊從IT層滲透到OT層,從工廠外滲透到工廠內。目前,缺乏有效的針對控制設備的宁静防護手段。

 

第三,應用與數據宁静。智能制造網絡化協同、服務化延伸、個性化定制等新模式新業態的出現,對工業應用宁静能力提出了更高要求。同時,智能制造領域應用軟件,與常見商用軟件類似,將持續面臨病毒、木馬、漏洞等傳統宁静挑戰,如Gefanuc漏洞CVE-2008-0175和CVE-2008-0176、西門子上位機漏洞CNVD-2016-11465等。因此,工業應用複雜、宁静需求多樣,對宁静保障能力提出了更高要求。智能制造工廠工業數據等,由少量、單一、單向向大量、多維、雙向轉變,數據體量大、種類多、結構複雜,數據流動方向和路徑複雜,數據保護難度增大。各類數據不管是通過大數據平台存儲,還是分布在用戶、生産終端、設計服務器等多種設備上,都將面臨重要生産數據丟失、泄露、窜改等宁静威脅。

 

可見,從智能制造的特點出發,智能制造在網絡與通信、設備與計算、應用與數據等方面都存在宁静風險,面臨多方面的宁静挑戰,急需建立一套適應智能制造新要求的網絡宁静防護框架。

 

 

3 智能制造生産控制系統網絡宁静框架

 

以智能工廠爲例,智能制造宁静防護從靜態防護和動態防護兩個視角分析。靜態宁静防護以滿足等保2.0—工業控制系統宁静擴展合規性要求爲基礎,針對智能制造網絡、設備、控制、數據等方面的風險及宁静防護需求,接纳體系化的智能制造網絡宁静防護技術,重點解決網絡與通信、設備與計算、應用與數據三方面存在的宁静問題[5]。

 

但是,僅靠靜態宁静防護手段還無法解決智能工廠網絡靈活組網後需要動態化、靈活化的防護计谋。因此,需要結合動態防護手段,主要通過靜態宁静防護步伐彙集的宁静數據爲基礎進行宁静數據分析,建立統一宁静協同管控平台,實現整體宁静態勢呈現、通報預警與應急響應,達到動靜協同聯動、宁静全景可視的宁静保障能力。智能制造網絡宁静框架。

 

3.1 靜態宁静防護

3.1.1 網絡與通信宁静

智能工廠網絡與通信宁静重點從網絡邊界宁静防護角度,根据區域重要性和業務需求進行宁静域劃分。區域之間摆设工控網絡入侵檢測、邊界防護與隔離系統,如接纳工業防火牆或網閘進行邏輯隔離宁静防護,保證只有合法合規的數據實現交換,阻斷內部誤操纵、攻擊和病毒對工業現場設備的威脅途徑,防止病毒的傳播和攻擊;在網絡節點摆设工控宁静監控審計系統,監控信息系統與工業控制系統間下發和上傳的數據,特別是未知的新型網絡攻擊的檢測和分析,實時監控、審計和預警生産控制層和生産設備層間的交互業務。

 

針對無線技術在智能制造中的應用,對無線數據通信宁静防護提出了新要求,實時檢測制造環境下的無線幹擾,有效阻斷私接無線路由;保障智能制造環境的合法無線連接,阻止非法用戶關聯;精確定位無線幹擾和攻擊源,同時接纳自主研發的輕量級密碼算法,對無線傳輸數據進行加密處理防止信息的窜改和竊取。智能制造網絡靜態宁静框架(網絡與通信宁静)。

 

3.1.2 設備與計算宁静

控制設備能夠做好身份認證、權限、訪問控制方面的宁静防護。控制層到操纵層的指令應建立數據完整性審計功能,保障傳輸指令過程中不被修改,確保操纵層執行命令的真實性,具有校驗功能,以智能制造生産過程。對于終端,通過建立完善的終端宁静防護體系,包罗防病毒、身份鑒別、標准化管控、日志審計,確保操纵系統的宁静性,防止工控系統外部和內部的非法操纵,做到監測預警,主動防禦。摆设的終端宁静防護系統提供工控環境中典型的操纵員站、工程師站、上位機、服務器等主機終端的基于白名單的宁静管控;一體化宁静PLC/DCS,實現對工業數據低延時的指令級識別、監測和防護功能,保證典型工業控制設備的宁静;利用宁静檢測評估技術産品定期對智能工廠中的設備進行宁静檢查,修補漏洞;利用智能終端宁静防護設備管控數控機床U口、串口、網口,審計輸入輸出數據,對非法數據進行數據過濾和阻斷,防止非法數據傳遞。智能制造網絡靜態宁静框架(設備與計算宁静)。

 

3.1.3 應用與數據宁静

制定標准化的應用開發環境,制定統一的應用標准,通過統一的標准規範定制應用軟件,實現應用軟件的審計功能。要監控整個應用族群的情況,定期檢查智能工廠中常見的工業軟件漏洞情況,對發現的漏洞及時打補丁修複,確保及時清理和修複病毒、木馬和漏洞。數據宁静能夠實現數據傳輸、存儲、備份的宁静。接纳節點認證和通信加密技術,對控制系統中傳輸的數據報文中的相關控制、參數設置等敏感指令信息進行輕量級密碼算法加密,對關鍵業務數據如工藝參數、配置文件、設備運行數據、生産數據、控制指令等進行定期備份和異地備份。同時,需實時監控整個工業生産網的數據,接纳大數據分析整體掌握網絡態勢,及時做出響應和預警。智能制造網絡靜態宁静框架(應用與數據宁静)。

 

3.2 動態宁静防護

智能制造使得工業的設備、網絡、平台、應用等各環節、各層面緊密結合。這個過程重塑了網絡宁静保障思路,需要打造統一的、貫穿生産制造全生命周期的智能制造宁静保障框架,冲破傳統單點靜態防禦體系,建立統一的宁静管控平台,在網絡事件發生時能夠及時感知風險,各個宁静防護設備形成聯動,動態調整,形成新的宁静防護计谋。

 

將智能工廠中針對設備、網絡、應用、數據的宁静防護設備産生的宁静數據彙聚,發送至工控大數據宁静運營平台,接纳威脅情報、關聯分析、機器學習、大數據分析和數據挖掘等手段,發現各種網絡攻擊行爲、用戶異常訪問操纵行爲。宁静數據分析結果通過態勢平台對整個智能工廠的宁静情況進行整體態勢呈現,對發現的風險進行全局通報預警與應急響應,實現宁静计谋和宁静域的動態調整,達到宁静的自感知、自決策和自執行。智能制造網絡動態宁静框架。

 

3.3 動靜協同宁静防護

在2018年4月的网信工作会议中指出,“在信息时代,网络宁静是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝的,是共同的而不是孤立的”。动静协同的统一宁静协同管控和整体態勢感知系統,有效拓展了基础宁静防护体系,健全了工控宁静防护手段,提高了工控企业的系统宁静可见性;及时发现系统的单薄环节和存在的威胁,提供高效的数据分析和决策支持能力,实现了全网宁静态势感知的理解和预测功能。动态主动发现威胁与被动静态防御有效协同,提升了应急响应效率,使得企业的工控宁静管理从被动变为主动,为企业推进“智能制造”“工业4.0”“互联网+”等计谋提供了科学技术保障。

 

 

4 結 語

 

智能制造信息宁静是一項長期的系統工程。我國在深化推進“中國制造2025”戰略目標的過程中,既爲制造企業提質增效帶來了契機,也給企業的信息宁静保障工作帶來了新的挑戰。本文從智能制造企業實際需求和長遠規劃出發,在等保2.0—工業控制系統宁静擴展合規性要求基礎上,提出具有特色的動靜協同智能制造生産控制系統網絡宁静框架,以保障智能制造企業的網絡及信息宁静。後期將研究搭建覆蓋全生命周期(設計、生産、物流、銷售、服務)的智能制造網絡宁静防護技術,以完善宁静防護框架,解決智能制造生態系統階段的網絡宁静問題。

 

 

 

(來源:信息宁静與通信保密)

(如有版權問題,麻煩聯系刪除)

正在呼叫....

電話連線乐成,請注意接聽電話

請輸入您的手機號,我們的專家會在一分鍾內給您回電。

立即給我回電

图片

全國免費咨詢電話
?  400-804-8858

图片
图片
图片
图片
图片
图片

 ? 全國免費咨詢電話:400-804-8858