韦婷 刘星毅
(广西工业职业技术学院 广西壮族自治区南宁市 530000)
中国工程院院士李伯虎指出,工业元宇宙是元宇宙在工业领域的落地与拓展,是新型工业数字空间、新型工业智慧互联网系统、数字经济与实体经济融合发展的新型载体[1]。而工业数字孪生是工业系统的数字化镜像,工业数字孪生为工业元宇宙虚实交互、虚实协同提供技术支撑。
产业界对于工业数字孪生定义及内涵没有形成统一认识。有学者定义工业数字孪生是以数据与模型的集成融合为核心的数字化转型方法论[2]。有行业企业家认为“产业元宇宙的核心就是数字孪生”。构建基于工业互联网平台数字孪生服务系统是当前工业数字孪生的重要实现方式。数字孪生技术应用于工业领域,能实现物理和数字虚拟空间上人、事、物全要素的映射,实现量化、可视化的管理,提供生产智能化分析,为生产决策管理提供实时、可靠的数据支撑以实现生产效益最优化。而针对数字孪生的研究主要还是集中在理论建模、关键技术和行业应用等方面,对数字孪生系统信息安全的研究仍处于起步阶段[3]。当前的工业领域现状是大量工控产品和工业软件由国外主导开发,随着信息技术应用创新产业进入高速发展阶段,工业数字孪生系统的信息安全问题不容忽视,亟须投入大量精力做深入研究。
针对工业数字孪生关键技术特征的研究,可查询到的如文献[4]提出数字孪生技术应用于智能制造领域的关键技术基本特性包括可交互性、可孪生性、可组合性及可管理性。针对数字孪生系统信息安全的研究较少,如文献[3]为了推动工业信息安全防御模式从静态的被动防御向主动防御转变,提出了以主动防御为目的如基于云边协同、基于免疫系统的、基于AI 的数字孪生系统等关键技术,还给出数字孪生车间信息安全建设的应用案例。文献[5]梳理了数字孪生面临的风险,提出了技术标准体系缺失、虚拟模式真实度不足、数据安全保障度低、应用危机多元化、监管难度大等风险中,尤其是数据安全保障度的重要性。文献[6]针对数字孪生技术的可见性、预见性、数据交互机制等特征,在工业互联网安全体系中进行了相应的逻辑层面上的应用。文献[7]在分析面向人机交互的数字孪生系统特点的基础上构建了面向人机交互的数字孪生系统工业安全与控制系统架构,提出数字孪生系统工业安全与控制机制。
工业数字孪生信息安全与工业互联网安全在技术要素、技术架构、典型特征、安全需求等关系关联见表1。
表1:工业数字孪生信息安全与工业互联网安全关键技术特征的对比
对于安全需求,两者有相互依托、映射、重合关系。国家层面上,美国工业互联网联盟将数字孪生作为工业互联网落地的核心和关键,德国工业4.0 参考体系结构将数字孪生作为重要内容[8]。工业互联网基于工业视角,安全的重点需求是保障智能化生产的连续性、可靠性,对应的研究重点是智能装备、工业控制设备及系统的安全;基于互联网视角的安全需求是保障个性化定制、网络化协同、服务化延伸等应用的安全运行及持续的服务能力,重点是不发生重要数据的泄露。工业数字孪生安全需求主要覆盖三个方面,物理空间安全、数字空间安全、交互安全等,其中交互安全,包括物理空间对象之间的数据交互安全、数字空间模型之间的数据交互安全、物理空间对象与数字空间模型之间的数据交互安全等。对两者在安全需求上的关联进行梳理,得到图1所示。
图1:工业数字孪生与工业互联网安全需求对应关系
工业数字孪生的物理空间对象主要包含工业智能装备和智能产品,与传统信息安全的防护基本一致,在确保设备物理硬件安全及物理环境安全的前提下,安全的重点是智能设备及产品自带的各类操作系统的安全、PLC、DCS、SCADA等生产控制系统的安全、相关应用软件安全以及功能安全。
设备和主机安全保护工作的核心是针对漏洞的有效保护。针对各类工业控制终端、服务器、控制设备,网络设备的漏洞检查,可分为已知漏洞挖掘和未知漏洞扫描两种方式。根据漏洞的性质和特点,可以采取三种方法:打软件补丁、调整配置、直接移除对象。及时安装有效补丁可以避免大概百分之九十五的损失。因为补丁严格上讲是一段用于修复的新代码,所以在安装前需要进行仔细的测试。另外,获取补丁需要连接到互联网下载最新的软件,应建立补丁管理区域,在在线补丁管理区域和需要升级的系统之间设置安全缓冲。这种获得的补丁,通过存储设备和人工方式传送到需要升级系统的过程,本身就是一个潜在的攻击点,但已经可以规避很多实时的威胁。对于配置调整,包括关闭一些不使用的服务、修改用户的权限等。调整外部的系统,比如工业防火墙、相关的防护设备的具体策略。
大多数工控软件安全漏洞是因为软件开发的问题造成。标准的软件安全开发流程应该是贯穿软件开发的整个过程,也就是从需求分析到系统设计,再到程序开发以及软件测试,最后软件交付的每一个阶段,都需要有相同步的安全测试和评估工作记录进去的,并且结合黑白盒的测试方法进行充分测试。对于编码的安全管理,主要是围绕内存的使用和保护。但在目前的实际情况中,往往存在有想法没能力实现,而且有些企业对研发团队没有足够尊重,过于追求利益,只追求表面的实现,内在安全问题重视不够,往往是出了问题之后再事后补救。工业数字孪生的软件安全开发,可以通过设置产品经理等角色,专门从事计划实践工作;采用结对编程进行开发,测试自动化,节约人力并在效果和速度有所改进;使用专业安全的代码管理和发布平台;定期一些安全技能和意识的培训;引入安全开发流程,如SDL 和极限编程XP。
基础软硬件的安全风险即是工业数字孪生物理空间重要风险来源之一。首先要保证所有进入工业数字孪生系统的软件、硬件、协议都是可信可控的。可信计算,其本质是在计算和通信系统中使用基于硬件安全模块支持下的可信计算平台,由此提升整个系统的安全性。打造一个可信计算平台,创建一个以硬件安全模块作为信任根,从硬件平台、操作系统到应用系统的信任链,从根开始进行逐级度量和验证,才能达到一个安全可信的环境。除了可信计算平台,还需要提到一个相关的重要的产业——信息技术应用创新,即“信创”,当中一块重要的内容就是推进的国产基础软硬件从“不可用”发展为“可用”,这对于工业领域来具有很大的现实意义,因为国产化更利于“可控”,这是实现安全的根本基石。
为了满足工业数字孪生中工业控制系统实时性和高可靠性需求,传统控制过程、控制软对于身份认证、传输加密、授权访问等方面安全功能进行极大地弱化甚至丢弃,导致工业控制系统面临极大的控制安全风险[8]。结构安全中使用的访问控制功能就是最有代表性的白名单技术应用。以防火墙为例,人工在上面配置的每一条访问控制,就是每一个访问路径的白名单规则。简单的白名单技术无法针对未知威胁,但从保障工业控制系统安全的角度来看,白名单几乎可以做到最准确的防御所有的未知威胁。白名单的未知威胁防御技术本身是一种与黑名单思路截然不同的安全策略。白名单技术的安全防御不需要去分析和检测威胁,只需要关心谁不是威胁。两者之间技术架构上没有本质的区别,只是使用方式刚好相反。能够应用与工业数字孪生的白名单技术可包括应用白名单、用户白名单、资产白名单、行为白名单、进程白名单和代码白名单。例如工控现场的控制器,设置一些针对功能代码和PDU 数据包的定义资产等行为白名单策略。对于企业网,可对HTTPS 的433 端口做流量限制,或仅允许通过post 命令进行表单提交等行为。
作为与物理空间对象对应的数字孪生体,本质上是一种数据的有机组合体。工业企业走向工业互联网是现状也是大趋势,工业互联网带来的复杂业务结构最直接的体现就是工业数据的大规模、多种类、流向复杂,而“工业大数据”的最新特征即是多模态、强关联、高通量等。数字孪生是一项数据驱动的技术,数据作为数字孪生体的最基本构成元素,同时是数字孪生实时性的重要支撑,并且数字孪生系统的精准分析与智能决策来源于对海量工业数据的有效挖掘。数字孪生与大数据技术的融合是工业数字孪生获得发展的重要驱动。确保数字空间信息安全的本质上就是数据安全。
《中华人民共和国数据安全法》明确指出数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
在数据空间当中,首先原始的数据比如数据孪生体的模型数据,可能因为人类在认知、感知及技术限制上的原因,不可避免的会存在“失真”,对后期的仿真实践效果有所影响。其次数据不合理配置也会给数据的泄露提供可能性。工业数据自身的数据泄露以及工业数字孪生系统的平台用户的隐私数据泄露都存在巨大的风险。
对数字空间中的信息进行安全保障,一种较为主动的安全防御策略就是进行数据加密,是一种有效提供安全防护,并且代价较小的方法。可包括PLC 加密、SCADA 系统加密、DCS 系统加密、固件加密、无线加密、数据库保护、纵向数据传输加密等,大致可分为简单加密算法和常用加密算法。简单加密算法是码表替换、取补码、移位处理、插入随机无效数据、TEA 加密,常用加密算法是MD5、哈希加密、RSA、DES、AES。PLC 的密码机制,体现在固件的加密、组态程序的登录、程序的读写权、数据的读写权等。例如西门子S7 系列PLC,针对块信息的读取权限,共分了四个安全的配置级别,分别是全部权限、部分权限、最小权限,禁止上载。
已有学者提出针对数据安全的综合治理建议,如文献[10]提出数据安全不仅需要多部法律法规协同保护,更需要回到“平台、数据、算法三维结构”(PDA 范式)并利用基础设施原则、区块链、双维监管进行综合治理。对于工业数字孪生的数字安全综合治理,同样不仅需要政策法规的协同支撑,还需要技术、管理等多方面的支持与持续运营。
工业数字孪生技术打通了工业制造流程物理空间与数字空间的壁垒,工业数字孪生系统中的交互本质上就是数据的流通,包括物理空间对象之间的数据流通、数字空间模型之间的数据流通、物理空间对象与数字空间模型之间的数据流通等。工业数据“强关联”的特点使得交互安全复杂且多变。《中国工业大数据技术与应用白皮书》中提到,数字化解决了“有数据”的问题,网络化解决了“能流动”的问题,智能化解决数据“自动流动”。事实上,安全的数据流动应该是“自动流动”的前置条件。
滥采滥用数据、数据泄露、数据垄断等问题是威胁数据安全的要素。工业制造的过程的复杂性和不确定,要求工业数字孪生把正确的数据在人、机器及其他智能工业对象之间正确地传递,把海量的工业数据转化成科学决策所需要的正确信息,并在不断的信息反馈中提高工业数字孪生系统的智能化程度。合理且规范的工业数字孪生数据流动监控是解决数据流动安全的方法之一。这种监控可以采用引入的第三方系统,也可以依托数字孪生系统本身的部分软硬件模块去实现。
数据流通的物理基础是网络。工业数字孪生体系下的网络安全风险,既包含传统网络的安全风险,还包含物理空间与数字空间的连接风险、数字空间内的连接风险。随着5G、6G 等无线网络通信技术、网络IP 化等技术逐渐引入工业生产领域,灵活且复杂的信息交互环境,相对于传统网络安全存在更大的安全风险,传统单一静态的防护策略已不适合工业数字孪生体系的安全需求,需要进行综合的、体系的、动态的升级。对于工业场景中具备存储和通信数据能力的设备,可以利用虚拟化技术与软件定义网络(SDN)等技术通过网络及协议把自身特性数据、业务数据等转发给数字孪生体,实现物理实体和数字孪生体之间直接或间接通信。实现通信的第三方中继节点的安全防护就至关重要,物理空间中的节点安全和数字空间的节点安全均须进行安全防护。
工业数字孪生系统需要进行持续运营的安全防护,需要建立长时间持续性的安全机制,在持续对抗中保障安全。维持安全时间持续性,需要考虑从技术、设备、人员、管理等多个维度,从而保障工业数字孪生的全生命周期的安全性。需要进行持续运营内容如下:
网络扫描,对网络结构中的开放端口、未授权的主机、未授权的服务进行实时的、定期的状态确认和安全检查。病毒检测,一般是每周或者按照实际需要去进行检测。日志检查。针对一些关键的设备和系统需要开展高频率的日志检查。
口令破解。需要持续关注弱口令以及相关的一些问题,可采取域控的方式减少工作量。
渗透测试。这需要充分的预算和规划,且最好是通过外部团队参与,至少每年做一次。每一次渗透测试都是使用最新的思路和方案,模仿攻击者的方式和方法去进行测试,渗透测试的结果具有很强的参考性。
完整性检查,主要是检查一些关键的数据和文件有没有被非授权的修改,这种检查一般只需要每个月一次或者在发生了一些可疑事件之后再进行。
工业数字孪生通过构建和真实工业世界完全打通的数字空间,为工业提供更好的数字化支持。党的十八大以来,国家明确以“总体国家安全观”为指导,统筹“传统安全与非传统安全”,工业数字孪生的信息安全是非传统安全中工业领域的重要一部分。目前我们国家在工业数字孪生领域还处在起步及探索阶段,为了推动工业数字孪生的深度应用实践,对其信息安全防护技术的研究是必要且紧迫的。本文在分析了工业数字孪生信息安全与工业互联网安全在关键技术特征、安全需求等方面的关系关联后,针对工业数字孪生系统的三大空间的信息安全风险,提出了相应的安全防护的思路,旨在为工业数字孪生乃至工业元宇宙的落地实施及持续健康发展提供技术支撑。