面向全产业链环节,综合应用现代传感技术、网络技术、自动化技术、智能化技术和管理技术等先进技术,与现有生产过程的工艺和设备运行技术高度集成的新型工厂,以实现复杂环境下生产运营的高效、节能和可持续为目标。
进入21 世纪以来,信息与通信技术取得了突破性进展,智能的网络世界与物理世界融合产生了物联网与信息物理融合系统。为了确保制造业世界领先地位,德国首先将信息技术应用于制造工业的全周期中,开启了Industry 4. 0 第四次工业革命。并全面论述了Industry 4.0 的愿景与目标、主要内容和采用的战略,深入分析了智能工厂的体系架构,同时阐述了智能工厂创新联盟正在开展的研发项目。我们应该借鉴Industry 4.0 智能工厂的理念、方案与路线图,勇于创新,加快我国装备制造业转型升级。
1、工业控制网络安全现状:
工业控制系统(ICS)广泛应用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。尤其是“工业互联网”、“工业4.0”、“两化深度融合”、“互联网+”等相关概念的提出,在国家政策、技术创新和工业参与者需求转变等多个维度的共同驱动和协同下,工业正朝着数字化、网络化、开放化、集成化的工业互联方向发展,将面临更加复杂的信息安全威胁。
近年来,工业控制系统信息安全事件不断发生,“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,充分反映了工业控制系统信息安全面临着严峻的形势。工业控制系统信息安全风险和事件数量依然呈上升趋势。
根据美国工业控制系统网络应急响应小组(ICS-CERT)发布的2013年年报统计,近几年ICS-CERT接到的工控系统漏洞上报数量在不断增加,其中在2013年接到的181个漏洞报告中,有177个被确认是真实的工控系统漏洞,共涉及52个厂商。
在这177个被确认的漏洞中,87%可以被通过网络远程利用。在网络化浪潮下的工业互联时代,这些漏洞的潜在威胁正在不断加大。在漏洞类型中,身份验证漏洞的数量最多。这些漏洞可能使具有初级水平的攻击者就可以通过Internet获得访问工业控制设备的管理员权限。
国内,根据绿盟科技公司的统计,2013年公开新增工业控制系统相关的漏洞共计78个,相对于前两年有所放缓,软件漏洞数量有所回落,但硬件漏洞数量继续保持持续增长趋势。
根据美国ICS-CERT往年统计的工控信息安全事件数量可知,近几年工业控制系统相关的信息安全事件正在呈快速增长的趋势。在2013年的工控信息安全事件中,能源、制造业、市政等国家关键基础设施受到的攻击最为严重。这些信息安全事件涉及的主要攻击方式包括水坑式攻击、SQL注入攻击和钓鱼攻击等。
我国也在积极探索漏洞挖掘与风险通报工作,2012年国务院的23号文与2011年工信部的451号文都提出要建立漏洞通报与发布制度。2012年,工业和信息化部启动了工业控制系统信息安全风险发布工作。8月,工业和信息化部下发了《工业和信息化部办公厅关于开展工业控制系统信息安全风险信息发布工作的通知》(工信厅协函〔2012〕629号),对工业控制系统信息安全风险信息发布工作做出了安排,指出工业和信息化部将不定期的向各地工业和信息化主管部门、有关国有大型企业及相关工业控制系统厂商发布《工业控制系统信息安全风险提示》。
为支撑工业控制系统信息安全风险发布工作,工业和信息化部也组织相关机构建立工业控制系统信息安全模拟环境和测试实验室,形成工业控制系统信息安全攻防演练及漏洞验证和挖掘能力。同时,我国也鼓励研究机构、工控产品厂商、信息安全厂商和研究人员积极参与工控风险“可发现”的研究工作,积极向主管部门上报风险。
2、安全防护体系需求
根据国家工业和信息化部【2011】451号文件要求,需要加强工业信息安全防护工作,结合实际制造过程,网络总体需求如下:
(1)在保证自动化及相关网络通讯信息传输可靠、可用的基础上,来完善智能制造网络安全解决方案。
(2)结合工控网络安全相关标准规范,对现有智能制造生产网络架构进行优化并说明;
(3)对生产网络核心资产的防攻击、防窃密;
(4)对生产网络资产及安全状况的监控;
3、基于工业4.0的智能工厂安全防护体系
3.1 网络边界防护与逻辑隔离
网络安全隔离防护的首要内容就是实现网络中一些重要的子系统之间网络流量的访问控制,这是网络安全防护的基础。目前工控网络所面临的安全威胁不仅仅是常规IT攻击手段或病毒感染,而针对工控通讯协议和控制设备自身安全缺陷和漏洞的攻击则会为工控系统带来更成严重的危害,因此访问控制粒度的把握成为工控网络安全建设成败的根本因素,以往的端口级访问控制策略无法做到工业协议恶意代码攻击的防护,这就需要在网络边界处设置具有工业协议深度包检查(DPI)功能的工业防火墙系统来提供更加有效的工业协议应用层防护。
部署位置:
企业信息网和生产网的隔离;
关键控制节点的保护;
生产网区域之间隔离;
生产网和第三方系统边界隔离防护(例如远程维护)。
工业防火墙使用工业通讯协议白名单的技术,内置PC/Modbus/DNP3/Profinet/104等多种专有工业通信协议。与常规防火墙不同,工业协议防火墙不仅是在端口上的防护,更对基于应用层的数据包深度检查,属于新一代工业通讯协议防火墙,为工业通讯提供独特的、工业级的专业隔离防护解决方案。