智能制造導論-第10章 智能制造系統(tǒng)的基礎信息安全探討

第十章智能制造系統(tǒng)的基礎信息安全探討智能制造系統(tǒng)基礎信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術4章節(jié)目錄智能制造系統(tǒng)安全保障技術框架5智能制造系統(tǒng)基礎信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架51.智能制造系統(tǒng)（SMS）基礎信息安全概述1.1

SMS基礎信息安全落腳點在工業(yè)控制系統(tǒng)(ICS)安全上2018年10月正式發(fā)布《國家智能制造標準體系建設指南》（以下簡稱指南2018），根據(jù)指南的清晰梳理和詳細論述，智能制造系統(tǒng)的基礎是工業(yè)控制系統(tǒng)（Industrial

ControlSystem，ICS）。智能制造系統(tǒng)信息安全主要集中在基礎性的工業(yè)控制系統(tǒng)信息安全上。信息安全標準：即用于保證智能制造領域相關信息系統(tǒng)及其數(shù)據(jù)不被破壞、更改、泄露，從而確保系統(tǒng)能連續(xù)可靠地運行，包括軟件安全、設備信息安全、網(wǎng)絡信息安全、數(shù)據(jù)安全、信息安全防護及評估等標準。指南2018中提及的A類基礎共性技術1.智能制造系統(tǒng)（SMS）基礎信息安全概述1.2為什么要重視ICS信息安全?工業(yè)控制系統(tǒng)廣泛應用于化工、石油、電力、天然氣、核設施以及國家先進設備制造。ICS對于國家基礎設施實現(xiàn)自動化作業(yè)起到至關重要的作用，所以其面臨的安全威脅可能帶來非常巨大的影響。如2010年，震網(wǎng)病毒破壞伊朗納坦茲的核設施，并導致伊朗布什爾核電站推遲啟動；2016年12月，一起針對烏克蘭電網(wǎng)的攻擊時間使得首都基輔斷電超過一小時，數(shù)百萬家庭被迫中斷供電?？梢娨坏┕た叵到y(tǒng)被破壞，受其控制的關鍵基礎設施也會面臨十分嚴峻的威脅，進而影響公眾的日常生活，甚至造成重大安全事故。1.智能制造系統(tǒng)（SMS）基礎信息安全概述1.3

ICS信息安全現(xiàn)狀目前，我國工控設備和系統(tǒng)依賴進口，一些存在安全漏洞的國外工控產(chǎn)品仍在國內(nèi)被大量使用；隨著信息化與工業(yè)化的深度融合,IT技術在工業(yè)控制領域應用的深度和廣度不斷擴大,將ICS逐步從封閉、孤立的系統(tǒng)轉化為開放、互聯(lián)的系統(tǒng)。但工業(yè)控制系統(tǒng)封閉網(wǎng)絡的屏障優(yōu)勢逐漸減弱，安全風險增加；當前我國工控系統(tǒng)安全形式并不樂觀，根據(jù)國家信息安全漏洞共享平臺(CNVD)的追蹤和統(tǒng)計，自2011年起，工控領域

發(fā)現(xiàn)和發(fā)布的漏洞呈現(xiàn)逐年遞增趨勢。CNVD追蹤和統(tǒng)計的ICS漏洞數(shù)量智能制造系統(tǒng)基礎信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架52.智能制造系統(tǒng)信息安全數(shù)字化時期1950年，斯佩里-蘭德公司造出了第一臺商業(yè)數(shù)據(jù)處理機UNIVAC，工業(yè)控制系統(tǒng)正式全面與通信系統(tǒng)及電子計算機結合。此后發(fā)展出PLC、SCADA、RTU等工業(yè)控制系統(tǒng)。工業(yè)PC時期由于PC的發(fā)展，其具有的豐富硬件資源和軟件資源，基于PC的工

業(yè)控制系統(tǒng)，以極強的開放性勢不可擋地進入工控系統(tǒng)領域。各大可編程邏輯控制器廠商、工業(yè)控制系統(tǒng)集成商也逐步接受了工業(yè)PC的技術路線。網(wǎng)絡化時期基于以太網(wǎng)和TCP/IP協(xié)議的技術標準，提供模塊化、分布式、可重用的工業(yè)控制方案。智能化時期萬物互連，多種技術集成，包括設備互操作技術、通用數(shù)據(jù)交換技術、EtherNET和工業(yè)以太網(wǎng)技術等多種技術的集成。Ehernet+TCP/IP直接實現(xiàn)工業(yè)現(xiàn)場控制參數(shù)和節(jié)點狀態(tài)直接在企業(yè)信息網(wǎng)絡中傳輸和共享。2010—至今2.1

ICS的發(fā)展標準化時期此前，不同廠商設備無法兼容和接入，協(xié)議的巨大差異為系統(tǒng)部署、操作以及維護帶來了巨大的挑戰(zhàn)。20世紀80年代，IEEE制定了兩個標準化協(xié)議：分布式網(wǎng)絡協(xié)議版本3（DNP3）以及國際電工委員會（IEC）60870-5-101。目前，DNP3已經(jīng)是使用最為廣泛的工業(yè)控制系統(tǒng)協(xié)議。1950-1980

1980-1990

1990-20002000-20102.智能制造系統(tǒng)信息安全2.2傳統(tǒng)網(wǎng)絡與制造網(wǎng)絡比較傳統(tǒng)網(wǎng)絡ICS網(wǎng)絡可用性對保密性要求極高，對可用性要求一般對可用性要求極高風險管理關注數(shù)據(jù)的保密性和完整性優(yōu)先考慮可用性和系統(tǒng)對社會的影響通信方式采用標準通信協(xié)議無統(tǒng)一的標準，通信方式復雜多樣結構側重點強調(diào)信息的保護，側重中心節(jié)點的防護側重PLC等終端節(jié)點的保護節(jié)點資源計算、存儲、帶寬等資源充足計算、存儲、帶寬等資源有限生命周期組件的生命周期一般在3-5年組件生命周期一般在15-20年，甚至更長2.智能制造系統(tǒng)信息安全2.3智能制造系統(tǒng)信息安全的著力點

網(wǎng)絡安全：與互聯(lián)網(wǎng)的深度融合，網(wǎng)絡IP化、無線化以及組網(wǎng)靈活化給智能制造網(wǎng)絡帶來更大安全風險。

數(shù)據(jù)安全：數(shù)據(jù)的開放、流動和共享使數(shù)據(jù)和隱私保護面臨前所未有的挑戰(zhàn)。

應用安全：網(wǎng)絡化協(xié)同、個性化定制等業(yè)務應用的多樣化對應用安全提出了更高要求。

控制安全：控制環(huán)境開放化使外部互聯(lián)網(wǎng)威脅滲透到生產(chǎn)控制環(huán)境。

設備安全：設備智能化使生產(chǎn)裝備和產(chǎn)品更易被攻擊，進而影響正常生產(chǎn)。智能制造系統(tǒng)的安全構成智能制造系統(tǒng)基礎信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架53.智能制造系統(tǒng)信息安全需求總體安全需求專用通信協(xié)議本身安全性脆弱，缺乏可靠的認證、加密機制，缺乏消息完整性驗證機制；SMS系統(tǒng)面臨繼承傳統(tǒng)IT系統(tǒng)及其標準存在的漏洞的可能性，需要對SMS采用IT系統(tǒng)標準后的安全性進行嚴格驗證和測試；在SMS系統(tǒng)層次結構中，企業(yè)網(wǎng)絡使得其他三個相連的層次將面臨其帶來的安全風險，必須嚴格限制在企業(yè)網(wǎng)絡中使用設計生產(chǎn)/作業(yè)的SMS系統(tǒng)服務，對資源使用加強認證和訪問控制；同時制定必要的網(wǎng)絡劃分、域控制和隔離策略；3.智能制造系統(tǒng)信息安全需求總體安全需求SMS系統(tǒng)的各個層次間存在過程控制、監(jiān)控、測量等設備和計算機服務間的通信，必須對層間通信引入可靠的加密和認證機制；當SMS與IT系統(tǒng)融合并采用部分現(xiàn)行IT標準時，需要考慮對現(xiàn)有IT系統(tǒng)安全解決方案在

SMS系統(tǒng)中的應用進行擴展、裁剪、修改或再開發(fā)；對企業(yè)采用的SMS系統(tǒng)相關設備的專業(yè)信息、運行參數(shù)必須進行嚴格保護；SMS系統(tǒng)的使用企業(yè)需要制定全局性資源防護安全策略和計劃。3.智能制造系統(tǒng)信息安全需求3.2與傳統(tǒng)網(wǎng)絡相區(qū)別的安全需求SMS與傳統(tǒng)IT系統(tǒng)對信息安全的需求存在明顯差異，SMS最先考慮的是系統(tǒng)可用性，其次是完整性，第三是保密性，傳統(tǒng)IT系統(tǒng)首先考慮的是保密性、完整性，然后才是可用性。另外，SMS的高實時性、高可靠性、復雜的電磁環(huán)境、特定的供電環(huán)境、惡劣的溫度濕度環(huán)境、專業(yè)的通信協(xié)議、不同的使用人員等，都對工業(yè)級安全產(chǎn)品提出了有別千傳統(tǒng)IT系統(tǒng)的功能和性能需求。保密性完整性智能制造系統(tǒng)傳統(tǒng)IT系統(tǒng)智能制造系統(tǒng)基礎信息安全概述12

智能制造系統(tǒng)信息安全智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架54.各類安全技術4.1安全技術與各層次關系右表是各類安全技術與是否在相應層次使用的總體對應表（“O”表示該技術在某一層次所有子系統(tǒng)或設備上都有相應的應用；“

”表示該技術并不適合應用于某一層次的每一種子系統(tǒng)或設備），該表中對各大類和子類的安全技術應用在SMS系統(tǒng)四個層次（設備層級、產(chǎn)線層級、車間層級、工廠層級）做了歸納。SMS系統(tǒng)安全技術分類及各子類SMS系統(tǒng)各層次設備層產(chǎn)線層車間層工廠層認證技術基于位置的認證智能卡認證生物信息認證設備端到端認證口令和消息反饋認證數(shù)字證書密鑰應用與管理對稱加密非對稱加密散列函數(shù)公共密鑰基礎設施密鑰管理基礎設施虛擬專用網(wǎng)絡協(xié)議漏洞評估原始協(xié)議驗證協(xié)議實現(xiàn)驗證安全管理、監(jiān)控、檢測日志審計和安全事件追溯取證和分析訪問控制基于角色的訪問控制強制訪問控制自主訪問控制最小特權原則職責分離原則入侵檢測協(xié)議特征碼檢測異常行為檢測防火墻技術網(wǎng)絡防火墻主機防火墻4.各類安全技術4.2認證技術415263生物信息認證利用用戶唯一性的生物特征信息（如指紋）進行訪問身份驗證?？诹詈拖⒎答佌J證請求資源訪問時，需要提供與相應資源、設備所預知的信息，比如PIN數(shù)字?；谖恢玫恼J證通過對資源訪問的請求者的地理位置測定，以判斷訪問請求是否來自已知的安全區(qū)域。智能卡認證能攜帶多種用戶信息以支持計算機二元、三元認證。設備端到端認證該技術可利用的認證對象包括傳輸?shù)臄?shù)據(jù)、數(shù)據(jù)發(fā)送和接收者的身份、提供數(shù)據(jù)傳輸?shù)膽梅疹愋?、端到端會話等。?shù)字證書提供了對通信實體雙方進行身份信息驗證的方式，其至少包含公開密鑰擁有者信息、公開密鑰以及證書授權中心（CA）的數(shù)字簽名。。4.各類安全技術4.3加密應用與管理01對稱加密對稱加密技術在通信雙方間使用同一密鑰進行加解密，該技術的優(yōu)勢在于效率高、算法簡單，系統(tǒng)運行開銷小，缺點是密鑰管理困難。密鑰管理基礎設施KMI密鑰管理基礎設施服務于智能制造系統(tǒng)中

05的PKI設施和其他密碼設備，為它們提供密鑰的生成、存儲、分發(fā)、導入導出、備份、更新、恢復、銷毀等服務功能。02非對稱加密非對稱加密技術使用不同的密鑰對進行通信數(shù)據(jù)加解密，主要用于數(shù)字認證，優(yōu)點是不需要共享密鑰；但加解密速度慢。06虛擬專用網(wǎng)絡VPN虛擬專用網(wǎng)絡能夠為智能制造系統(tǒng)提供經(jīng)過加密、認證和完整性保護的資源或網(wǎng)絡訪問方式。03散列函數(shù)散列函數(shù)（Hash）主要用于信息完整性認證。公共密鑰基礎設施PKI公共密鑰基礎設施為用戶提供數(shù)字簽名等認證服務。044.各類安全技術4.4協(xié)議漏洞評估協(xié)議驗證智能制造系統(tǒng)各層次和層間通信使用專有通信協(xié)議，該類協(xié)議的設計區(qū)別于傳統(tǒng)TCP/IP協(xié)議族，主要考慮滿足特定設備之間的數(shù)據(jù)和命令碼傳輸需要，而對通信雙方數(shù)據(jù)加密、身份驗證等安全需求則未納入設計規(guī)范，因而需要對系統(tǒng)各個層次和層間通信使用的協(xié)議進行安全性評估和驗證，以發(fā)現(xiàn)協(xié)議設計中存在的漏洞，從而為入侵檢測系統(tǒng)（IDS）定義新的檢測匹配規(guī)則提供支持。協(xié)議實現(xiàn)驗證協(xié)議的實現(xiàn)包括對協(xié)議通信功能本身的實現(xiàn)和部署，此外還包括為滿足安全性需求所增加的技術實現(xiàn)，比如身份驗證、傳輸加密

等。協(xié)議實現(xiàn)的安全性驗證比協(xié)議設計的安全性驗證的系統(tǒng)成本低。4.各類安全技術4.5安全管理、監(jiān)控、檢測日志審計和安全事件追溯在SMS中，為保障系統(tǒng)在安全事件發(fā)生時或發(fā)生后，安全管理員能有效和迅速地分析、查找事件的起源和事件實施者在事件發(fā)生過程中留下的信息，以及確定受事件影響的系統(tǒng)或子系統(tǒng)范圍，應在

SMS整體安全策略中詳細地計劃和部署系統(tǒng)日志的維護和審計措施。SMS各層次應根據(jù)安全需求和風險評估結果，在關鍵設備、網(wǎng)絡、服務器中提供可靠的日志服務。安全事件發(fā)生時和發(fā)生后，安全管理人員應根據(jù)日志分析結果和數(shù)字簽名、時間戳等信息形成對事件的分析和追溯報告。取證和分析技術取證和分析技術在網(wǎng)絡安全管理中用于被動搜集網(wǎng)絡的狀態(tài)、結構和流量等數(shù)據(jù)，主要利用數(shù)據(jù)包捕獲、網(wǎng)絡監(jiān)控、網(wǎng)絡取證和分析三類工具。SMS的運行需要對各個層次和層間網(wǎng)絡通信，以及外部網(wǎng)絡對控制網(wǎng)絡的訪問進行監(jiān)控，在檢測到網(wǎng)絡異常行為時對其進行分析幫助安全管理人員識別和記錄異常行為。4.各類安全技術4.6訪問控制基于角色的訪問控制根據(jù)企業(yè)人員業(yè)務職責，創(chuàng)建角色庫，并為各種角色分配必要的訪問權限。最小特權原則在智能制造系統(tǒng)中，為保障系統(tǒng)服務的連續(xù)性、人員對系統(tǒng)資源使用的可控性，必須大量采用最小特權原則，在不影響控制系統(tǒng)正常運行的前提下，嚴格限制人員權限的分配。自主訪問控制智能制造系統(tǒng)中繼承和使用了大量IT系統(tǒng)軟件和服務，當這些軟件和服務采用自主訪問控制機制時，需要對授權和被授權者進行嚴格的身份驗證以及數(shù)字簽名檢驗，使得自主授權行為具有良好的可追溯性。職責分離原則強調(diào)對于部分重要或關鍵資源的訪問權限，或對于某一關鍵業(yè)務過程中部分重要步驟的授權應當分離，即屬于不同訪問實體，以降低訪問者擁有過大權限而破壞系統(tǒng)數(shù)據(jù)完整性的可能。強制訪問控制強制性劃分基于系統(tǒng)資源的保密性需求和完整性需求，在智能制造系統(tǒng)中，應根據(jù)各個層次設備對系統(tǒng)服務連續(xù)性的影響程度定義資源的保密性和完整性級別。4.各類安全技術4.7入侵檢測協(xié)議特征碼檢測根據(jù)漏洞分析結果形成攻擊的特征碼，并在入侵檢測系統(tǒng)中添加新的特征碼匹配規(guī)則。智能制造系統(tǒng)中的設備采用各種專有通信協(xié)議，因此應根據(jù)各種專有通信協(xié)議的脆弱性評估和漏洞分析，建立和維護相應的特征碼庫，及時添加和更新入侵檢測系統(tǒng)中的匹配規(guī)則。異常行為檢測基于流量的ICS入侵檢測方案異常行為檢測基于網(wǎng)絡流量、網(wǎng)絡或資源訪問行為的統(tǒng)計數(shù)據(jù)，對該類數(shù)據(jù)加以分析，得到異常行為模式，并將這些行為模式定義成入侵檢測系統(tǒng)匹配規(guī)則4.各類安全技術4.8防火墻技術網(wǎng)絡防火墻在智能制造系統(tǒng)中，防火墻被用于網(wǎng)絡訪問控制和網(wǎng)絡劃分。因為系統(tǒng)各個層次和層次間存在頻繁通信流量，但為保護各層次相應控制設備不受到未授權訪問，在智能制造系統(tǒng)中，應利用防火墻技術劃分出各種特定網(wǎng)絡和設備的工作邊界。主機防火墻主機防火墻一般部署在服務器或工作站上，或某些設備的流量控制器上，針對與該主機發(fā)生的特定的網(wǎng)絡通信進行過濾，然后再將過濾內(nèi)容轉發(fā)到主機上運行的某種應用程序。4.各類安全技術4.9操作系統(tǒng)安全病毒和惡意代碼檢測計算機病毒和惡意代碼會對系統(tǒng)資源或數(shù)據(jù)信息的機密性、完整性、可用性造成嚴重破壞。因此應在各類主機或服務器中部署反病毒和惡意代碼軟件，從而保護系統(tǒng)信息免遭破壞。智能制造系統(tǒng)中大量地使用嵌入式操作系統(tǒng)，因此應增加對各類嵌入式操作系統(tǒng)病毒和惡意代碼的防范，使用不同的檢測工具對特定操作系統(tǒng)進行檢測和掃描，并定期更新病毒和惡意代碼庫。漏洞掃描和系統(tǒng)安全更新操作系統(tǒng)漏洞容易被病毒和惡意代碼利用，因而在智能制造系統(tǒng)中，針對不同