智能制造導(dǎo)論-第10章 智能制造系統(tǒng)的基礎(chǔ)信息安全探討

第十章智能制造系統(tǒng)的基礎(chǔ)信息安全探討智能制造系統(tǒng)基礎(chǔ)信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4章節(jié)目錄智能制造系統(tǒng)安全保障技術(shù)框架5智能制造系統(tǒng)基礎(chǔ)信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架51.智能制造系統(tǒng)（SMS）基礎(chǔ)信息安全概述1.1

SMS基礎(chǔ)信息安全落腳點在工業(yè)控制系統(tǒng)(ICS)安全上2018年10月正式發(fā)布《國家智能制造標(biāo)準(zhǔn)體系建設(shè)指南》（以下簡稱指南2018），根據(jù)指南的清晰梳理和詳細(xì)論述，智能制造系統(tǒng)的基礎(chǔ)是工業(yè)控制系統(tǒng)（Industrial

ControlSystem，ICS）。智能制造系統(tǒng)信息安全主要集中在基礎(chǔ)性的工業(yè)控制系統(tǒng)信息安全上。信息安全標(biāo)準(zhǔn)：即用于保證智能制造領(lǐng)域相關(guān)信息系統(tǒng)及其數(shù)據(jù)不被破壞、更改、泄露，從而確保系統(tǒng)能連續(xù)可靠地運(yùn)行，包括軟件安全、設(shè)備信息安全、網(wǎng)絡(luò)信息安全、數(shù)據(jù)安全、信息安全防護(hù)及評估等標(biāo)準(zhǔn)。指南2018中提及的A類基礎(chǔ)共性技術(shù)1.智能制造系統(tǒng)（SMS）基礎(chǔ)信息安全概述1.2為什么要重視ICS信息安全?工業(yè)控制系統(tǒng)廣泛應(yīng)用于化工、石油、電力、天然氣、核設(shè)施以及國家先進(jìn)設(shè)備制造。ICS對于國家基礎(chǔ)設(shè)施實現(xiàn)自動化作業(yè)起到至關(guān)重要的作用，所以其面臨的安全威脅可能帶來非常巨大的影響。如2010年，震網(wǎng)病毒破壞伊朗納坦茲的核設(shè)施，并導(dǎo)致伊朗布什爾核電站推遲啟動；2016年12月，一起針對烏克蘭電網(wǎng)的攻擊時間使得首都基輔斷電超過一小時，數(shù)百萬家庭被迫中斷供電。可見一旦工控系統(tǒng)被破壞，受其控制的關(guān)鍵基礎(chǔ)設(shè)施也會面臨十分嚴(yán)峻的威脅，進(jìn)而影響公眾的日常生活，甚至造成重大安全事故。1.智能制造系統(tǒng)（SMS）基礎(chǔ)信息安全概述1.3

ICS信息安全現(xiàn)狀目前，我國工控設(shè)備和系統(tǒng)依賴進(jìn)口，一些存在安全漏洞的國外工控產(chǎn)品仍在國內(nèi)被大量使用；隨著信息化與工業(yè)化的深度融合,IT技術(shù)在工業(yè)控制領(lǐng)域應(yīng)用的深度和廣度不斷擴(kuò)大,將ICS逐步從封閉、孤立的系統(tǒng)轉(zhuǎn)化為開放、互聯(lián)的系統(tǒng)。但工業(yè)控制系統(tǒng)封閉網(wǎng)絡(luò)的屏障優(yōu)勢逐漸減弱，安全風(fēng)險增加；當(dāng)前我國工控系統(tǒng)安全形式并不樂觀，根據(jù)國家信息安全漏洞共享平臺(CNVD)的追蹤和統(tǒng)計，自2011年起，工控領(lǐng)域

發(fā)現(xiàn)和發(fā)布的漏洞呈現(xiàn)逐年遞增趨勢。CNVD追蹤和統(tǒng)計的ICS漏洞數(shù)量智能制造系統(tǒng)基礎(chǔ)信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架52.智能制造系統(tǒng)信息安全數(shù)字化時期1950年，斯佩里-蘭德公司造出了第一臺商業(yè)數(shù)據(jù)處理機(jī)UNIVAC，工業(yè)控制系統(tǒng)正式全面與通信系統(tǒng)及電子計算機(jī)結(jié)合。此后發(fā)展出PLC、SCADA、RTU等工業(yè)控制系統(tǒng)。工業(yè)PC時期由于PC的發(fā)展，其具有的豐富硬件資源和軟件資源，基于PC的工

業(yè)控制系統(tǒng)，以極強(qiáng)的開放性勢不可擋地進(jìn)入工控系統(tǒng)領(lǐng)域。各大可編程邏輯控制器廠商、工業(yè)控制系統(tǒng)集成商也逐步接受了工業(yè)PC的技術(shù)路線。網(wǎng)絡(luò)化時期基于以太網(wǎng)和TCP/IP協(xié)議的技術(shù)標(biāo)準(zhǔn)，提供模塊化、分布式、可重用的工業(yè)控制方案。智能化時期萬物互連，多種技術(shù)集成，包括設(shè)備互操作技術(shù)、通用數(shù)據(jù)交換技術(shù)、EtherNET和工業(yè)以太網(wǎng)技術(shù)等多種技術(shù)的集成。Ehernet+TCP/IP直接實現(xiàn)工業(yè)現(xiàn)場控制參數(shù)和節(jié)點狀態(tài)直接在企業(yè)信息網(wǎng)絡(luò)中傳輸和共享。2010—至今2.1

ICS的發(fā)展標(biāo)準(zhǔn)化時期此前，不同廠商設(shè)備無法兼容和接入，協(xié)議的巨大差異為系統(tǒng)部署、操作以及維護(hù)帶來了巨大的挑戰(zhàn)。20世紀(jì)80年代，IEEE制定了兩個標(biāo)準(zhǔn)化協(xié)議：分布式網(wǎng)絡(luò)協(xié)議版本3（DNP3）以及國際電工委員會（IEC）60870-5-101。目前，DNP3已經(jīng)是使用最為廣泛的工業(yè)控制系統(tǒng)協(xié)議。1950-1980

1980-1990

1990-20002000-20102.智能制造系統(tǒng)信息安全2.2傳統(tǒng)網(wǎng)絡(luò)與制造網(wǎng)絡(luò)比較傳統(tǒng)網(wǎng)絡(luò)ICS網(wǎng)絡(luò)可用性對保密性要求極高，對可用性要求一般對可用性要求極高風(fēng)險管理關(guān)注數(shù)據(jù)的保密性和完整性優(yōu)先考慮可用性和系統(tǒng)對社會的影響通信方式采用標(biāo)準(zhǔn)通信協(xié)議無統(tǒng)一的標(biāo)準(zhǔn)，通信方式復(fù)雜多樣結(jié)構(gòu)側(cè)重點強(qiáng)調(diào)信息的保護(hù)，側(cè)重中心節(jié)點的防護(hù)側(cè)重PLC等終端節(jié)點的保護(hù)節(jié)點資源計算、存儲、帶寬等資源充足計算、存儲、帶寬等資源有限生命周期組件的生命周期一般在3-5年組件生命周期一般在15-20年，甚至更長2.智能制造系統(tǒng)信息安全2.3智能制造系統(tǒng)信息安全的著力點

網(wǎng)絡(luò)安全：與互聯(lián)網(wǎng)的深度融合，網(wǎng)絡(luò)IP化、無線化以及組網(wǎng)靈活化給智能制造網(wǎng)絡(luò)帶來更大安全風(fēng)險。

數(shù)據(jù)安全：數(shù)據(jù)的開放、流動和共享使數(shù)據(jù)和隱私保護(hù)面臨前所未有的挑戰(zhàn)。

應(yīng)用安全：網(wǎng)絡(luò)化協(xié)同、個性化定制等業(yè)務(wù)應(yīng)用的多樣化對應(yīng)用安全提出了更高要求。

控制安全：控制環(huán)境開放化使外部互聯(lián)網(wǎng)威脅滲透到生產(chǎn)控制環(huán)境。

設(shè)備安全：設(shè)備智能化使生產(chǎn)裝備和產(chǎn)品更易被攻擊，進(jìn)而影響正常生產(chǎn)。智能制造系統(tǒng)的安全構(gòu)成智能制造系統(tǒng)基礎(chǔ)信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架53.智能制造系統(tǒng)信息安全需求總體安全需求專用通信協(xié)議本身安全性脆弱，缺乏可靠的認(rèn)證、加密機(jī)制，缺乏消息完整性驗證機(jī)制；SMS系統(tǒng)面臨繼承傳統(tǒng)IT系統(tǒng)及其標(biāo)準(zhǔn)存在的漏洞的可能性，需要對SMS采用IT系統(tǒng)標(biāo)準(zhǔn)后的安全性進(jìn)行嚴(yán)格驗證和測試；在SMS系統(tǒng)層次結(jié)構(gòu)中，企業(yè)網(wǎng)絡(luò)使得其他三個相連的層次將面臨其帶來的安全風(fēng)險，必須嚴(yán)格限制在企業(yè)網(wǎng)絡(luò)中使用設(shè)計生產(chǎn)/作業(yè)的SMS系統(tǒng)服務(wù)，對資源使用加強(qiáng)認(rèn)證和訪問控制；同時制定必要的網(wǎng)絡(luò)劃分、域控制和隔離策略；3.智能制造系統(tǒng)信息安全需求總體安全需求SMS系統(tǒng)的各個層次間存在過程控制、監(jiān)控、測量等設(shè)備和計算機(jī)服務(wù)間的通信，必須對層間通信引入可靠的加密和認(rèn)證機(jī)制；當(dāng)SMS與IT系統(tǒng)融合并采用部分現(xiàn)行IT標(biāo)準(zhǔn)時，需要考慮對現(xiàn)有IT系統(tǒng)安全解決方案在

SMS系統(tǒng)中的應(yīng)用進(jìn)行擴(kuò)展、裁剪、修改或再開發(fā)；對企業(yè)采用的SMS系統(tǒng)相關(guān)設(shè)備的專業(yè)信息、運(yùn)行參數(shù)必須進(jìn)行嚴(yán)格保護(hù)；SMS系統(tǒng)的使用企業(yè)需要制定全局性資源防護(hù)安全策略和計劃。3.智能制造系統(tǒng)信息安全需求3.2與傳統(tǒng)網(wǎng)絡(luò)相區(qū)別的安全需求SMS與傳統(tǒng)IT系統(tǒng)對信息安全的需求存在明顯差異，SMS最先考慮的是系統(tǒng)可用性，其次是完整性，第三是保密性，傳統(tǒng)IT系統(tǒng)首先考慮的是保密性、完整性，然后才是可用性。另外，SMS的高實時性、高可靠性、復(fù)雜的電磁環(huán)境、特定的供電環(huán)境、惡劣的溫度濕度環(huán)境、專業(yè)的通信協(xié)議、不同的使用人員等，都對工業(yè)級安全產(chǎn)品提出了有別千傳統(tǒng)IT系統(tǒng)的功能和性能需求。保密性完整性智能制造系統(tǒng)傳統(tǒng)IT系統(tǒng)智能制造系統(tǒng)基礎(chǔ)信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架54.各類安全技術(shù)4.1安全技術(shù)與各層次關(guān)系右表是各類安全技術(shù)與是否在相應(yīng)層次使用的總體對應(yīng)表（“O”表示該技術(shù)在某一層次所有子系統(tǒng)或設(shè)備上都有相應(yīng)的應(yīng)用；“

”表示該技術(shù)并不適合應(yīng)用于某一層次的每一種子系統(tǒng)或設(shè)備），該表中對各大類和子類的安全技術(shù)應(yīng)用在SMS系統(tǒng)四個層次（設(shè)備層級、產(chǎn)線層級、車間層級、工廠層級）做了歸納。SMS系統(tǒng)安全技術(shù)分類及各子類SMS系統(tǒng)各層次設(shè)備層產(chǎn)線層車間層工廠層認(rèn)證技術(shù)基于位置的認(rèn)證智能卡認(rèn)證生物信息認(rèn)證設(shè)備端到端認(rèn)證口令和消息反饋認(rèn)證數(shù)字證書密鑰應(yīng)用與管理對稱加密非對稱加密散列函數(shù)公共密鑰基礎(chǔ)設(shè)施密鑰管理基礎(chǔ)設(shè)施虛擬專用網(wǎng)絡(luò)協(xié)議漏洞評估原始協(xié)議驗證協(xié)議實現(xiàn)驗證安全管理、監(jiān)控、檢測日志審計和安全事件追溯取證和分析訪問控制基于角色的訪問控制強(qiáng)制訪問控制自主訪問控制最小特權(quán)原則職責(zé)分離原則入侵檢測協(xié)議特征碼檢測異常行為檢測防火墻技術(shù)網(wǎng)絡(luò)防火墻主機(jī)防火墻4.各類安全技術(shù)4.2認(rèn)證技術(shù)415263生物信息認(rèn)證利用用戶唯一性的生物特征信息（如指紋）進(jìn)行訪問身份驗證?？诹詈拖⒎答佌J(rèn)證請求資源訪問時，需要提供與相應(yīng)資源、設(shè)備所預(yù)知的信息，比如PIN數(shù)字?；谖恢玫恼J(rèn)證通過對資源訪問的請求者的地理位置測定，以判斷訪問請求是否來自已知的安全區(qū)域。智能卡認(rèn)證能攜帶多種用戶信息以支持計算機(jī)二元、三元認(rèn)證。設(shè)備端到端認(rèn)證該技術(shù)可利用的認(rèn)證對象包括傳輸?shù)臄?shù)據(jù)、數(shù)據(jù)發(fā)送和接收者的身份、提供數(shù)據(jù)傳輸?shù)膽?yīng)用服務(wù)類型、端到端會話等。數(shù)字證書提供了對通信實體雙方進(jìn)行身份信息驗證的方式，其至少包含公開密鑰擁有者信息、公開密鑰以及證書授權(quán)中心（CA）的數(shù)字簽名。。4.各類安全技術(shù)4.3加密應(yīng)用與管理01對稱加密對稱加密技術(shù)在通信雙方間使用同一密鑰進(jìn)行加解密，該技術(shù)的優(yōu)勢在于效率高、算法簡單，系統(tǒng)運(yùn)行開銷小，缺點是密鑰管理困難。密鑰管理基礎(chǔ)設(shè)施KMI密鑰管理基礎(chǔ)設(shè)施服務(wù)于智能制造系統(tǒng)中

05的PKI設(shè)施和其他密碼設(shè)備，為它們提供密鑰的生成、存儲、分發(fā)、導(dǎo)入導(dǎo)出、備份、更新、恢復(fù)、銷毀等服務(wù)功能。02非對稱加密非對稱加密技術(shù)使用不同的密鑰對進(jìn)行通信數(shù)據(jù)加解密，主要用于數(shù)字認(rèn)證，優(yōu)點是不需要共享密鑰；但加解密速度慢。06虛擬專用網(wǎng)絡(luò)VPN虛擬專用網(wǎng)絡(luò)能夠為智能制造系統(tǒng)提供經(jīng)過加密、認(rèn)證和完整性保護(hù)的資源或網(wǎng)絡(luò)訪問方式。03散列函數(shù)散列函數(shù)（Hash）主要用于信息完整性認(rèn)證。公共密鑰基礎(chǔ)設(shè)施PKI公共密鑰基礎(chǔ)設(shè)施為用戶提供數(shù)字簽名等認(rèn)證服務(wù)。044.各類安全技術(shù)4.4協(xié)議漏洞評估協(xié)議驗證智能制造系統(tǒng)各層次和層間通信使用專有通信協(xié)議，該類協(xié)議的設(shè)計區(qū)別于傳統(tǒng)TCP/IP協(xié)議族，主要考慮滿足特定設(shè)備之間的數(shù)據(jù)和命令碼傳輸需要，而對通信雙方數(shù)據(jù)加密、身份驗證等安全需求則未納入設(shè)計規(guī)范，因而需要對系統(tǒng)各個層次和層間通信使用的協(xié)議進(jìn)行安全性評估和驗證，以發(fā)現(xiàn)協(xié)議設(shè)計中存在的漏洞，從而為入侵檢測系統(tǒng)（IDS）定義新的檢測匹配規(guī)則提供支持。協(xié)議實現(xiàn)驗證協(xié)議的實現(xiàn)包括對協(xié)議通信功能本身的實現(xiàn)和部署，此外還包括為滿足安全性需求所增加的技術(shù)實現(xiàn)，比如身份驗證、傳輸加密

等。協(xié)議實現(xiàn)的安全性驗證比協(xié)議設(shè)計的安全性驗證的系統(tǒng)成本低。4.各類安全技術(shù)4.5安全管理、監(jiān)控、檢測日志審計和安全事件追溯在SMS中，為保障系統(tǒng)在安全事件發(fā)生時或發(fā)生后，安全管理員能有效和迅速地分析、查找事件的起源和事件實施者在事件發(fā)生過程中留下的信息，以及確定受事件影響的系統(tǒng)或子系統(tǒng)范圍，應(yīng)在

SMS整體安全策略中詳細(xì)地計劃和部署系統(tǒng)日志的維護(hù)和審計措施。SMS各層次應(yīng)根據(jù)安全需求和風(fēng)險評估結(jié)果，在關(guān)鍵設(shè)備、網(wǎng)絡(luò)、服務(wù)器中提供可靠的日志服務(wù)。安全事件發(fā)生時和發(fā)生后，安全管理人員應(yīng)根據(jù)日志分析結(jié)果和數(shù)字簽名、時間戳等信息形成對事件的分析和追溯報告。取證和分析技術(shù)取證和分析技術(shù)在網(wǎng)絡(luò)安全管理中用于被動搜集網(wǎng)絡(luò)的狀態(tài)、結(jié)構(gòu)和流量等數(shù)據(jù)，主要利用數(shù)據(jù)包捕獲、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)取證和分析三類工具。SMS的運(yùn)行需要對各個層次和層間網(wǎng)絡(luò)通信，以及外部網(wǎng)絡(luò)對控制網(wǎng)絡(luò)的訪問進(jìn)行監(jiān)控，在檢測到網(wǎng)絡(luò)異常行為時對其進(jìn)行分析幫助安全管理人員識別和記錄異常行為。4.各類安全技術(shù)4.6訪問控制基于角色的訪問控制根據(jù)企業(yè)人員業(yè)務(wù)職責(zé)，創(chuàng)建角色庫，并為各種角色分配必要的訪問權(quán)限。最小特權(quán)原則在智能制造系統(tǒng)中，為保障系統(tǒng)服務(wù)的連續(xù)性、人員對系統(tǒng)資源使用的可控性，必須大量采用最小特權(quán)原則，在不影響控制系統(tǒng)正常運(yùn)行的前提下，嚴(yán)格限制人員權(quán)限的分配。自主訪問控制智能制造系統(tǒng)中繼承和使用了大量IT系統(tǒng)軟件和服務(wù)，當(dāng)這些軟件和服務(wù)采用自主訪問控制機(jī)制時，需要對授權(quán)和被授權(quán)者進(jìn)行嚴(yán)格的身份驗證以及數(shù)字簽名檢驗，使得自主授權(quán)行為具有良好的可追溯性。職責(zé)分離原則強(qiáng)調(diào)對于部分重要或關(guān)鍵資源的訪問權(quán)限，或?qū)τ谀骋魂P(guān)鍵業(yè)務(wù)過程中部分重要步驟的授權(quán)應(yīng)當(dāng)分離，即屬于不同訪問實體，以降低訪問者擁有過大權(quán)限而破壞系統(tǒng)數(shù)據(jù)完整性的可能。強(qiáng)制訪問控制強(qiáng)制性劃分基于系統(tǒng)資源的保密性需求和完整性需求，在智能制造系統(tǒng)中，應(yīng)根據(jù)各個層次設(shè)備對系統(tǒng)服務(wù)連續(xù)性的影響程度定義資源的保密性和完整性級別。4.各類安全技術(shù)4.7入侵檢測協(xié)議特征碼檢測根據(jù)漏洞分析結(jié)果形成攻擊的特征碼，并在入侵檢測系統(tǒng)中添加新的特征碼匹配規(guī)則。智能制造系統(tǒng)中的設(shè)備采用各種專有通信協(xié)議，因此應(yīng)根據(jù)各種專有通信協(xié)議的脆弱性評估和漏洞分析，建立和維護(hù)相應(yīng)的特征碼庫，及時添加和更新入侵檢測系統(tǒng)中的匹配規(guī)則。異常行為檢測基于流量的ICS入侵檢測方案異常行為檢測基于網(wǎng)絡(luò)流量、網(wǎng)絡(luò)或資源訪問行為的統(tǒng)計數(shù)據(jù)，對該類數(shù)據(jù)加以分析，得到異常行為模式，并將這些行為模式定義成入侵檢測系統(tǒng)匹配規(guī)則4.各類安全技術(shù)4.8防火墻技術(shù)網(wǎng)絡(luò)防火墻在智能制造系統(tǒng)中，防火墻被用于網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)劃分。因為系統(tǒng)各個層次和層次間存在頻繁通信流量，但為保護(hù)各層次相應(yīng)控制設(shè)備不受到未授權(quán)訪問，在智能制造系統(tǒng)中，應(yīng)利用防火墻技術(shù)劃分出各種特定網(wǎng)絡(luò)和設(shè)備的工作邊界。主機(jī)防火墻主機(jī)防火墻一般部署在服務(wù)器或工作站上，或某些設(shè)備的流量控制器上，針對與該主機(jī)發(fā)生的特定的網(wǎng)絡(luò)通信進(jìn)行過濾，然后再將過濾內(nèi)容轉(zhuǎn)發(fā)到主機(jī)上運(yùn)行的某種應(yīng)用程序。4.各類安全技術(shù)4.9操作系統(tǒng)安全病毒和惡意代碼檢測計算機(jī)病毒和惡意代碼會對系統(tǒng)資源或數(shù)據(jù)信息的機(jī)密性、完整性、可用性造成嚴(yán)重破壞。因此應(yīng)在各類主機(jī)或服務(wù)器中部署反病毒和惡意代碼軟件，從而保護(hù)系統(tǒng)信息免遭破壞。智能制造系統(tǒng)中大量地使用嵌入式操作系統(tǒng)，因此應(yīng)增加對各類嵌入式操作系統(tǒng)病毒和惡意代碼的防范，使用不同的檢測工具對特定操作系統(tǒng)進(jìn)行檢測和掃描，并定期更新病毒和惡意代碼庫。漏洞掃描和系統(tǒng)安全更新操作系統(tǒng)漏洞容易被病毒和惡意代碼利用，因而在智能制造系統(tǒng)中，針對不同