《工业控制系统信息安全》专刊第二辑连载
——“互联网+ 制造业”的信息安全问题亟需重视

作者:工业和信息化部电子科学技术情报研究所 李俊
  点击数:779  发布时间:2016-01-04 10:17


    1 引言

    制造业是立国之本,为把我国建设成为引领世界制造业发展的制造强国,2015年5月8日国务院发布了我国实施制造强国战略第一个十年的行动纲领——《中国制造2025》,提出要加快推动新一代信息技术与制造技术融合发展。同年7月4日,国务院发布了《关于积极推进“互联网+”行动的指导意见》,提出要推动互联网与制造业融合,提升制造业数字化、网络化、智能化水平。在这种背景下,“互联网+制造业”将成为我国制造业转型升级的有力武器。同时,信息安全风险将是“互联网+制造业”发展过程中越来越需要重视的问题。

    2 “互联网+制造业”:制造业的数字化和网络化浪潮

    当前,以数字化制造、3D打印等为代表的先进制造技术和以物联网、云计算等为代表的信息技术正推动着全球新一轮科技创新,也推动了“互联风+制造业”的数字化和网络化浪潮。制造业正迈入工业互联时代,主要体现在:

    (1)数字化技术的创新扩大了制造业的互联范围。数字化技术使生产环节和制造系统的标准化互联互通与集成更容易实现。首先,数字化设计技术(CAD、CAM、CAE、3D扫描)实现了制造设计的并行化和研发的网络协同,并开始具备与数字制造资源联接的能力,如Autodesk公司的123D设计软件已经有了云端处理和本地或在线打印制造功能;其次,数字化生产制造技术(3D打印、数控机床、工业机器人、PLC、DCS、SCADA)正朝着通用化的方向发展,实现了生产系统与研发及生产管理系统的信息化对接,例如近些年发布的工业控制器开始兼容开放化的TCP/IP以太网协议;最后,数字化管理技术(ERP、CIMS、MES、PLM、PDM)建立于传统的软硬件基础环境,为自下而上或自上而下的人、机、系统和数据深度互联集成提供了技术基础。

    (2)网络化技术的进步推动了制造业互联的泛在化。物联网、互联网、云计算、大数据、工业以太网等信息技术的进步和突破在大幅降低了信息使用成本的同时也不断提升了它们在制造业领域的服务能力,促进了生产制造活动的各业务环节及涉及的人、机、系统和数据在网络空间内的互联。第一,生产工具、被控对象、传感器等设备横向互联形成“制造网络互联”,例如流程工业中的工业控制网络和离散工业中的网络化制造系统;第二,全生命周期的生产制造业务过程通过高度网络化和信息化的系统纵向连接,形成“业务网络互联”;第三,个人或企业生产者之间通过云平台或协同制造平台连接在一起,构成生产者之间的产业链分配和生产制造活动协同的“产业网络互联”,例如F-35战机在研制过程中建立了全球30多个国家和50多家公司参与研制的数字化互联协同环境,大大缩短了设计和制造时间。

    3 “互联网+制造业”面临严峻的信息安全挑战

    根据美国工业控制系统网络应急响应小组(ICS-CERT)的统计,近年来发生在制造业领域的信息安全事件数量不断攀升,如表1所示。

l1.gif


    在“互联网+制造业”数字化和网络化浪潮叠加下,制造业的控制权限不断上移,网络边界明显扩大,面临着更加严峻的信息安全风险和威胁。

    (1)传统的工业控制系统信息安全问题不容忽视。保密性、完整性和可用性安全问题仍然存在于工业控制设备和数字化制造工具、生产制造和管理网络、操作系统、控制软件环境和数字化设计软件中,工业控制产品安全漏洞的不断增加为网络攻击提供了大量机会。2013年,美国ICS-CERT共统计的177个工业控制器或工业软件相关漏洞中,有87%的漏洞可以被黑客远程利用。在数字化和网络化浪潮下,这些漏洞的潜在风险威胁正不断加大。

    (2)开放化、标准化的技术和协议降低了入侵攻击的难度。为适应工业互联的趋势,工业生产供应商已经开放原有未考虑过安全机制的专用协议,并开始推广基于TCP/IP的通用高速工业以太网协议;相关的开发软件和操作系统也开始使用便宜且标准化的技术,现场工程师站和操作站大部分安装的是Windows或Unix这类操作系统。开放化、标准化的技术和协议拥有众所周知的漏洞,攻击者能够获取公开的漏洞和利用代码,从而发动攻击。2010年对伊朗核电站进行攻击的“震网”病毒正是利用了微软Windows操作系统的多个漏洞从而实现了在工程师站和操作站之间的不断传播。

    (3)深度的网络化和集成化为攻击者提供了更多攻击路径。生产制造相关的业务信息系统深度互联和集成在一起,越来越多的生产组件和服务可以直接通过网络访问,大大增加了攻击点、攻击面和信任网络边界,从研发端、管理端、生产端甚至是消费端,都可以实现对生产网络的入侵,攻击者无需到现场即可通过高级持续性威胁(APT)等攻击方式实现对生产制造系统的攻击。2011年5月,军工制造业巨头洛克希德·马丁公司的信息系统遭到黑客攻击,不得不关闭远程应用和服务,并花费了数周时间来重置密钥,严重影响了企业的生产活动。

    (4)新兴信息技术带来的安全威胁非常严峻。物联网、云计算和大数据等新兴信息技术在“互联网+制造业”中的广泛应用也带来了敏感数据的隐私、存储等新的信息安全问题,而这些新兴信息技术的安全理论、防护体系仍然在研究之中,且这些新兴技术的核心基本掌握在发达国家手中,这些国家的工业界或IT界巨头正试图以“大数据分析提高生产力”等愿景来劝说全球企业将工业大数据上传至它们所掌控的工业云端,这种掌控能力很容易转化为对现实世界的各种入侵和攻击能力。

    (5)需警惕制造业成为未来网络攻击的重点对象。当前,全球网络空间呈现出越来越明显的政治化、军事化趋势,网络安全与其它传统安全也越来越紧密的相互交织和相互渗透。极端恐怖组织ISIS在信息技术领域招兵买马,并试图通过黑市获取网络武器来提升网络空间作战能力,意图通过网络攻击来配合其实现政治目的。当前以制造业为代表的工业控制系统安全防护能力仍然薄弱,制造业作为国民经济的主体,需警惕其成为敌对国家或非国家行为体重点关注的网络安全目标。

    4 应重视并加强我国制造业的信息安全保障

    脱离了信息安全,“互联网+制造业”则是空中楼阁。在我国“互联网+制造业”大踏步迈进的过程中,重视信息安全会让中国制造的实施更加稳健。《中国制造2025》中提出“加强智能制造工业控制系统网络安全保障能力建设,健全综合保障体系”。《国务院关于积极推进“互联网+”行动的指导意见》中也提出“建设完善网络安全监测评估、监督管理、标准认证和创新能力体系”。我国要紧紧围绕工业控制系统信息安全保障工作,充分重视制造业的信息安全问题,组织开展新技术革命下制造业发展态势和安全保障的前瞻性研究,做好关键制造领域信息安全保障的顶层设计,推动关键制造领域的网络安全检查和安全监测,促进工业信息安全产业的壮大成熟,建立制造业软硬件产品的网络安全审查机制,不断提升我国制造业“漏洞可发现、风险可防范、产品可替换” 的信息安全保障能力。


作者简介

李俊(1986-),男,江西人,工学博士,现任工业和信息化部电子科学技术情报研究所工控安全实验室负责人,主要研究方向包括工业控制系统信息安全情报跟踪、在线监测和风险分析。



热点新闻
推荐产品