构建多层次工业互联网安全保障体系的思考

2018-10-11 19:07方滨兴院士
网信军民融合 2018年2期
关键词:后门传感工业

◎方滨兴 院士

理解工业泛在网

工业互联网,首先应该叫工业泛在网,但是说工业泛在网很多人会接受不了,因为工业互联网已经是被传播很广的概念。我们一说互联网肯定想的是IP化,工业网不一定是IP化的,到末端控制肯定还不是IP的,无非是“互联网+”的概念,将工业和互联网融合在一起。

构造工业互联网有三个要素:控制、通信、计算。控制是根本,我们对它做互联化的时候,需要把信息进行传递,传递靠的是通信,所以通信是它的支撑。通信的目的是要拿出来计算,来决定怎么控制更好,我们最后追求的是智能控制,工业控制角度来说是要实现智能制造,这要靠计算。这是它的三要素,控制、通信、计算是最基本的逻辑。它还需要传感网从控制端把信息采出来,然后通过通信传出去,再传给计算平台。这时候才是真正的工业互联网,工业互联网下面还有一个互联网,叫工业计算机网。

工业传感网和工业互联网是子集关系,围绕着从控制网往外走,从控制辐射到通信就是传感,从控制辐射到计算就是物联。为了把这个事情说清楚,当我做数据采集时关注的是传感网的建设,当我计算完了之后做反馈、控制时我关注的是物联网。这是我讲的“3+3模型”,讨论的前提。

计算机侧重于信息处理,需要构建大规模信息处理平台(云计算平台),因为柔性制造、智能制造都需要很复杂的计算,需要有云来解决问题。还要基于广域网,远程互联网控制体系,实现远程管理。因为强调远程所以才强调IP化,IP化解决远程是最容易,这样就能建立面向工业大数据的存储、集成、访问、分析、管理的开发环境,最终形成智能控制体系,支撑智能制造。

工业互联网侧重的是厂内网络传输,进厂就不再IP化了,它要解决的是传输、标识与控制。通过工业网关,短距离无线通信、低功耗广域网和OPC UA等互联互通技术,将信息化通信技术与行业特征有效结合,反馈到控制端的控制行为。

工业传感网是工业物联网的一部分,它是个子集。它侧重于信息收集,主要是构成精准高效、实时的传输体系,实现末端智能感知,包括各种类型的传感器、RFID、摄像头以及中短距离的传感器与无线传感网络等,实现现场的数据采集。

任何东西的发展都是循序渐进的过程,不是从局部到整体的发展,而是从模糊到清晰的发展过程。很早就有了传感网,那时候传感网的概念比现在还大,那时候互联网又是另一个概念,但这个技术到现在才拎清了,每个概念就这样走过来了,包括从工业里辅助、支撑、变革,都有一个过程。但这个过程并不是说以前先做了这款,现在完成了那款,并不完全是这样。以前做这款有了这个技术,现在这个技术清晰化了,我要扮演确切的角色,而不是完整的角色。

这样我们形成了智能制造的愿景。智能制造首先要有工业互联网,也就是工业泛在网,因为它包含了计算机网、物联网和传感网,还要加上材料、设计、工艺等等。一是信息化,二是工业化,电子技术和机械技术加在一起,才能构成这样的智能制造的解析,具体可以涉及到传感机器、智能机器、分析、计算、互联、工业App等等。

工业互联网面临多层面的威胁

威胁可以表现为多个层面,底层是工业传感网,信息要抓出来,这里面有它的问题,因为它是特别底层,里面有核心设备,最底层的核心设备都是别人的,核心技术自主可控的程度很低,受制于人,别人的设备我们可能会有些风险;到了物联网这一层,我们首先有控制层,一样比较核心的东西在别人手里;还有管理层,管理层有管理层的问题;还要有再上层计算机网络层,有企业层和决策层,把这五个层对应五个问题简单这样表达一下。

工业终端控制层面,从闭环走向开环,我们才能解决工业互联问题,从闭环走向开环就会有开放带来的问题,过去我们是在真空罐里,里面没有外来的威胁,只有人为的破坏,只要把人为破坏控制住就可以了。突然把它打开了,离开真空,走向大气,问题也就来了。我经常演示进入别人的工控系统里,比如西门子系统、电力控制系统,很多原因是他们的口令很简单。这些搞控制的人过去都是习惯于封闭,觉得安全是由警卫保证的、探头保证的、门禁保证的,都是一种物理空间的局域保障。没有想到网络控制,别人确实很容易就进去了,这是开放带来的问题。

说到工控的安全,我知道一个颠覆不破的真理,只要软件是代码做成的,代码是可替换的,你就会有被攻击的机会。柔性的一定是代码方式,哪怕你是FPGA也是可擦除的FPGA。早的震网是从WinCC进去的,一直走到它的PLC。2015年“黑色能量”直接攻击到电力部门,它有个Killdisk的释放,对它进行了删除。2016年“工业破坏者”可以对负载进行攻击,包括探测器都内置在里面。2017年,工业“勒索病毒”,也是直接控制它的控制器进行勒索,你不给我钱电源就会断掉,所有这些最后都是因为你背后还是代码制,除非你这块完全不是代码,不可改动。什么情况完全不是代码?我们搞可信计算,可信根不是代码,不可改动。一旦可改的话,你无法保证它不会被别人改动。

后门的问题,大家都以为是一些穿梭式的,这是一个现实,一个军工企业在广州采购的设备运到兰州使用,用不了。为什么用不了呢?人家可以监控你的地理坐标,发现地理坐标改了就禁止你使用,你不知道有这个功能,没有人告诉你有这个功能。我们说什么叫后门?没有通知你有这种功能,还能控制你。如果是漏洞的话他也不知道,如果授权的话,这就是前门,你不能这么做,我这里专门有这么一个系统,你要这么做就有什么问题。比如Windows历史上给人做完黑屏之后就告诉大家,只要你不是正版我就可以黑屏。当他把这个话说出来的时候就不是后门了,就是事先告诉你。可是有些事儿他不告诉你,悄悄放一个,他可能还悄悄把你东西拖走。我认为他还比较仁慈,就限制而已,如果不仁慈的话,你用吧,首先看能不能和我连通,只要能连通你就用吧,把你的参数我都带走,因为我知道你搞机密的,拿你机密更好,你用就用吧。这种事情都叫后门,后门谁制裁呢?只有靠法律制裁。

为什么我们老说民族产品,不是说民族产品就不做坏事,是他不敢做坏事,因为法律能制裁它。要是外国人试试,你能把我怎么着,顶多不让我做市场。所以,我们在关键部门要自主可控,要在法律框架下保证安全。我们经常说,管理解决不了的问题靠技术,技术解决不了的问题靠管理。这里面有这么多的核心设备和核心技术都在别人手里。

开放也是个问题,历史上说隔离,你现在要有工业云,就必须开放,开放的话,各种协议你若掌握不全,人们利用他所熟悉的协议可以渗透进来做各种攻击,这种风险变得非常重要。我们说工业大数据来了,你搞智能制造,搞柔性制造,都是需要这些基础。大数据也有大数据的安全问题,当然,隐私是个比较主要的事情。还有比较关键的,我给你一些错误数据,尤其当我们想用智能的时候。人工智能安全里的算法很容易被攻击,他把数据一定假设成是精确的,不精确就有问题。

举个例子,大家都知道AlphaGo下棋非常牛,谁都下不过它。但从安全视角来说,AlphaGo有个被攻击的地方,AlphaGo是没有手的,下棋的时候它出个棋谱,有人替他下,它说我走这儿,这个人把子放在那儿,有一只人的手替它做。这里出现一个什么问题,当他决定把子下到比如H9点,这个人脑袋晕了,把子下到H8点,然后AlphaGo可以一输到底。为什么?他一直以为你在H9点,就按着H9点往下走,可是那个人看的是H8点。

这说明什么问题,一个数据输入的错误可以让它崩溃掉。大数据也一样,当你高度依赖大数据,而且工业大数据不一定是大数据,但依赖是要精准的,不能够是模糊的、概念的。真正大数据可以模糊概念,比如医疗大数据可以模糊概念,我改你的数据会给你带来问题。现在我们需要新的思路来应对信息安全问题,来应对它的融合问题,他们按照这个思路走就可以走得非常好,我们需要有实验、经验、评估攻防演练拟合的平台,才能够去发现什么是可被攻击的点,什么是风险点。

构建工业互联网安全保障体系

构建工业互联网安全综合保障体系,我们的认识应该从自主可控开始,这是本质安全,还有安全实验平台,深度防护体系和公共服务体系。本质保障就是我们从各个层面都要自主可控,各个层面都要解决自己的问题,包括工业控制系统自动化的实施,工业核心产品设备产业化,工控核心技术的创新研究。

物联网安全核心在控制安全,控制、通信和计算这个三角形历史上早就有,历史上没有从计算到控制这个边,都是控制转给通信,通信转给计算,计算算完结束。过去没有远程控制,都是近场控制,事先定好的控制模型就地控制。现在柔性之后要远程控制,控制结果会给它带来不可逆的后果。当然,制造方面没有什么危险,我们说如果不是制造,是飞机的飞行控制,你告诉他,现在速度很低,你给我再加速,这个速度很低是哪儿来的呢?是采样来的速度。我说这个速度不够,应该再加速,加速完了再从计算结果回馈,但它采样数据对不对?采样数据错了怎么办?传感网出问题就决策出问题,给的访问控制就出问题,访问控制出问题就是灾难。

我们需要有个感知,把仿真的速度和采集结果做个比较,如果差异很大,就要人为控制,肯定是哪儿出了问题,这是我们感知要解决的问题。任何攻击过来,给它一个异常的东西,我得知道什么叫异常,发命令永远是对的,但这个时候该不该发这个命令,我事先该有个预判,这个命令有没有异常。比如现在我做了一个被黑网页发现系统,我现在知道很多网页被黑,他自己不知道我知道。这个道理很简单,我就搜原来网页的框架,比如新浪原来网页的框架,别看它内容老改,框架不改,每次比较这个框架变没变,框架变了我就假定被黑了,这就相当于一种态势感知,我先知道你应该是什么,正常是什么。当然,还有漏洞和管制都是要做的。

关于安全模型,安全从哪儿下手?首先是计算,计算的本质是云和大数据,所以,要解决的是云安全和大数据安全,也就是要有云端可信,大数据协同安全。然后是通讯,通讯其实就是保证可靠传输,你要有多条传输通道,有多种传输方式,如果信息很重要的话,不能是单一方式,因为容灾的前提是异构。控制,就是漏洞发现和审计,本质安全也要解决不会有人为的后门,当这个东西是人为设计的就叫后门,如果设计者都不知道还有这个东西,它就叫漏洞。所以,很多后门都被冒充为漏洞,因为它不想担责任,有人发现他就说我不知道,我打补丁。

所以,构建工业互联网安全综合保障体系最核心的还是要本质安全,实现自主可控。

猜你喜欢
后门传感工业
《传感技术学报》期刊征订
新型无酶便携式传感平台 两秒内测出果蔬农药残留
IPv6与ZigBee无线传感网互联网关的研究
工业物联网后门隐私的泄露感知研究
工业人
这个班还不错
掌握4大工业元素,一秒变工业风!
新帕萨特右后门玻璃升降功能失效
新途安1.4TSI车后门车窗玻璃不能正常升降
某型Fabry-Perot光纤应变计的传感特性试验