基于能力成熟度的军工智能制造内生安全防护框架研究与思考

作者：王俊 航天科工集团

一、引言

在国家政策、技术创新和企业发展需求转变等多个维度的共同驱动和协同下，特别是工业互联网作为“新基建”的提出，都在推动工业制造朝着数字化、网络化、智能化方向发展。作为以现代科学为基础的高精尖离散制造产业，军工装备制造行业承担着国民经济和国防建设的重要使命，也在积极推进工业互联网、数字孪生、智能工厂、物联网等智能化项目建设，构建以智能制造为核心目标的智能工厂、智慧企业已经成为各大军工企业发展的重要趋势和焦点。

军工企业智能制造主要以数字化、自动化的生产线为基础，通过工业互联网技术、物联网技术、人工智能决策分析等智能手段和智能系统运用，增加在控制端的数据挖掘，实现实时准确地采集生产线数据，提高生产过程的可控性，减少生产线上的人工干预，以便合理编排生产计划与生产进度，具有信息深度感知、智慧优化自决策、精准控制自执行等特点。军工领域的智能制造推进，将有效缩短各类装备产品研制周期、降低运营成本、提高生产效率、提升产品质量、降低能源消耗，有助于推动国家国防力量建设。

但面对震网、Black Energy等日益多样化、集团式的攻击，仅依靠传统围堵式被动防御体系已无法有效应对，军工装备制造行业工业信息安全防护形势日益严峻，特别是军工智能制造建设也将给企业网络安全带来严峻挑战，亟需突破功能安全与信息安全深度融合场景下的工控安全防护难题。另外，由于军工制造企业的重要性和特殊性，军工智能制造安全紧系国家安全命脉，对开展军工智能制造安全模型与安全框架技术研究需求迫切。本文依据国家等级保护防护标准、分级保护标准、安全保密标准以及工业控制系统信息安全防护指南等行业安全标准规范，结合军工智能制造企业多网共用、网络隔离、安全保密性高、精密加工等行业特点，引入广义内生安全防御机理，以安全能力建设为核心，提出基于能力成熟度的军工装备制造企业自适应主动防御框架，护航国防科技工业领域“新基建”安全能力建设与评估。

二、军工装备制造行业工控网络现状及安全防护痛点

2.1.军工装备制造行业工控网络现状

目前，军工装备制造行业内企业大多采用了先进的制造模式，依赖于工业控制信息安全系统为装备设计、研发、制造、测试等生命周期的各个环节提供支持和保障。根据自身业务模式特点，一般采用跨地域、跨单位、跨网络的方式协同研制生产，一般建有科研设计网络、生产控制网络（工控网）等多个网络，多网并行满足装备科研生产需求，并按照不同的标准规范体系进行安全防护。

其中，科研设计网络主要用于企业装备研制设计及信息化管理，部署了ERP、PDM、各类设计仿真验证平台工具以及邮件等管理化系统，按照分级保护标准实施安全防护措施，与其他网络物理隔离，具有较高的安全保密性；生产控制网与科研设计网络物理隔离，主要用于装备实际制造、测试、装配及批产，一般部署数据采集监控、DNC系统、数控设备和检测设备等工业控制系统设备。根据等级保护标准2.0要求，军工装备制造企业生产控制网需构建纵深多层次安全防护措施，增强网络防护能力。

图1 军工装备制造行业网络架构

2.2.军工装备制造行业工控安全痛点

（1）生产控制网络安全实施难度大，监测预警等基础防护措施不够完善。由于工控系统与IT信息系统安全防护存在本质区别，在保障科研生产任务稳定开展的前提下，落实加强工控网络安全防护措施难度比较大。军工装备制造企业工控网络安全当前仍多以隔离控制为主，缺乏多层次、体系化的安全防护设计，威胁监测预警、安全审计、集中管控等基础防护比较薄弱，无法实时感知到网络整体安全态势，安全威胁隐患较大。

（2）缺乏主动安全威胁预警防护措施。随着云计算、边缘计算、物联网等新技术引入，军工装备制造企业工业生产控制过程系统逐渐呈复杂化、多样化、开放化发展，结构化、半结构化、非结构化等多种数据大量混杂融合应用，无疑都给工业控制网络引入潜在未知的安全风险。但目前仍普遍采用传统、静态的安全防护措施，主动智能化的安全威胁、攻击诱捕检测能力欠缺，难以有效抵御不断演变的高级威胁。

（3）缺乏有效的安全信息横向关联分析以及联动处置机制。受国家智能化改造、智联融网等项目推动，企业内工业控制系统逐步开放。军工装备制造企业工控网规模分布分散，在企业之间、企业内部工控网络之间信息交互程度较低，并没有有针对性、可复用的网络安全综合解决方案，尚未形成跨企业的横向安全态势汇聚分析能力，极易存在安全盲区，安全风险隐患极大，急需实现工业企业网络出口、信息内外网边界、数据传输边界等各网络边界的安全监测，打通企业网络安全横向分析能力，整体提升全面威胁对抗能力。

三、基于能力成熟度的工业企业内生安全防护框架研究

3.1.智能制造能力成熟度模型

（1）成熟度模型概念

成熟度模型能够精炼地描述一个事物的发展过程，通常将其描述为若干个有限的成熟级别。每个级别都有明确的定义，并设定一定的标准，其实现包含了若干个必要条件；从第一级发展到最高级，各级别之间具有顺序性，每个级别都是前一个级别的进一步完善，并形成向下一个级别前进的基础。

软件能力成熟度模型集成[1]（Capability Maturity Model Integration, CMMI）是一种软件能力成熟度评估标准，主要用于指导软件开发过程的改进和进行软件开发能力的评估。在CMMI分级描述模型中，具体分为5个等级，从第1级到第5级分别为：初始级、已管理级、已定义级、定量管理级和持续优化级。初始级是最低的等级，基本上缺乏健全的软件工程管理制度，过程缺乏定义、混乱无序；在已管理级，建立了基本的软件工程管理制度，在一定程度上可管理类似的软件开发；在已定义级，已将软件过程文档化、标准化，可按需要改进开发过程；到定量管理级时，可针对制定质量、效率目标，并收集、测量相应指标，达到对软件过程和产品质量有定量的理解和控制；而在最高级持续优化级，可基于统计质量和过程控制工具，持续、稳定地改进软件过程。智能制造成熟度模型主要参考CMMI成熟度等级设计。

（2）智能制造能力成熟度模型

智能制造能力成熟度模型描述了工业企业智能制造的核心要素、特征以及水平演进的路径，为企业持续提升智能制造水平提供方法，为第三方评价智能制造水平等级提供工具。智能制造能力成熟度模型的核心要素从制造工程、制造保障以及智能提升三个维度考虑。其中，制造工程是核心，是面向产品全生命周期的活动集合，包括了设计、生产、物流、销售、服务等；制造保障是制造工程得以实现的基础配备，包括战略与组织、雇员等人文要素，设备等基础设施，能源、安全环保等保障要素；智能提升是由自动化、数字化向智能化升级的重要手段。包括互联互通、系统集成、信息融合等。新兴业态是制造工程、制造保障以及智能提升三个维度综合作用的理想状态，是智能制造要达到的终极目标。

智能制造能力成熟度可用于评价企业整体制造智能化水平，强调综合性，可划分为5个等级，即第1到第5级。数字越大，成熟度等级越高。每个成熟度等级下都包含若干代表该级别主要特征的关键域集合，而高成熟度等级包含了低成熟度等级下的关键域。具体模型如图2所示。

图2 智能制造能力成熟度模型

1）成熟度等级

第1级已规划级：企业已有部分信息化基础，有智能制造的想法，有参与智能制造的愿景。

第2级规范级：企业能够实现生产等重要环节的流程、标准、要求等的规范化和数字化。

第3级集成级：企业产品制造过程的关键环节的管理更深、更细，关键环节系统间可集成，实现上下游联动。

第4级优化级：能够实现知识库或优化模型等的应用，可体现制造各过程的协同与闭环控制。

第5级引领级：能够通过应用大数据分析、云计算等技术实现数据分析及决策，实现预测、预警、自适应等功能，体现人工智能，不断优化制造过程。

2）成熟度关键域

在第1、2级要实现的关键域是共用的，包括制造工程和制造保障所涉及的关键域，而随着等级的提升，这些域要满足的要求也在提高；第3级增加了互联互通、系统集成的要求，第4级增加了信息融合的要求，第5级增加了新兴业态的要求。

3.2. 基于能力成熟度的军工制造企业内生安全框架

（1）内生安全

随着“中国制造2025”、“智能制造”以及工控网络的推进，工业制造进入“工业4.0”时代。然而目前多数军工工业企业智能制造能力成熟度仅仅达到了规范级水平[2]，并且工业企业工控系统、关键制造生产设备等安全防护能力建设也刚刚起步，工控系统自身依旧存在诸多薄弱环节，成为网络战的重要攻击目标之一。

2018年邬江兴院士首次提出了“内生安全”的概念[3]，号召“从自身出发，打造安全可靠的工控系统”。2019年奇安信齐向东董事长提出“聚焦于攻防过程，持续保证业务安全”的新思路，内生安全应该具有自适应、自主、自生长等特点。

（2）工控系统内生安全主动防御框架

基于能力成熟度的工业企业自适应主动防御框架主要以工业企业作为整体对象，聚合工业控制系统、安全系统、业务数据与安全数据、以及安全管理与技术防护手段，从“自主安全能力、自适应安全能力、自生长安全能力”三方面能力建设为导向，并提出三方面能力建设关键点，按规划级、规范级、集成级、优化级、引领级五个等级划分安全防护能力成熟度，构建军工智能制造内生安全防护体系，实现军工企业自适应主动防御。总体框架如图3所示。

图3 基于能力成熟度的工业企业自适应主动防御体系

依据国家等级保护防护标准、工业控制系统信息安全防护指南、风险评估规范，以及参考2019年国家国防科技工业局发布的《军工涉密工业控制系统安全保密管理要求》等标准和规范，结合军工智能制造生产线多网共用、网络隔离、安全保密性高、精密加工等行业特点，采用内生安全防御机理，构建可面向多应用场景的军工智能制造生产线内生安全防护架构，实现安全防护能力的全面提升。

图4 面向多应用场景的军工智能制造安全防护总体框架

（3）自适应安全能力

自适应安全能力主要是指安全架构对防护对象的针对性、适配性及有效性，并且可以根据防护对象特点，进行弹性调整具体防护措施。重点针对军工智能制造生产线设计系统、生产管理系统以及关键制造设备特点和业务场景，进行安全增强PLC、工业计算环境安全、通信网络安全、区域边界安全以及安全态势感知与预警等方面防护设计，确保构建的安全架构适用于军工装备制造多应用场景防护，从而解决军工智能制造关键、共性安全问题。

1）安全增强PLC

由于在军工智能制造生产线多数主要依靠数控机床实现各类工艺加工，对于不同应用场景，一般都是PLC进行个性化程序设计，是生产制造的核心关键点。通过在安全架构中引入安全增强PLC，可以从工控本质安全出发，实现更可靠的安全控制。安全增强PLC，在满足日常PLC功能支撑的同时，提供安全通信协议认证、安全加密，避免在控制系统中因为安全程序上的漏洞导致安全功能丢失。

2）工业计算环境安全

工业计算环境，主要是根据军工智能制造生产线架构特点，针对工业加工操作员站、工程师站以及数控机床设备等需要进行生产过程指令存储、处理以及计算执行的等环节进行防护。

3）通信网络安全

军工智能制造生产线控制网络发展呈现出IP化、无线化、组网方式灵活化与全局化的特点，出现了内网专网与控制网络逐渐融合的趋势，对生产线控制网络的安全防护提出了更高要求，现有的安全防护措施和安全策略面临严峻挑战。军工智能制造生产线网络安全防护将采用融合边界防护与访问控制、通信内容防护、通信设备防护、安全审计等多种防护措施，构筑立体化网络安全防护体系。

4）区域边界安全

为保证军工智能制造生产线满足等保2.0规定的区域边界安全的要求，通过单向光闸、单向隔离交换系统等实现生产线网络与科研设计网络的边界隔离，保证只有合法合规的数据才能实现交换。通过工业防火墙、安全网关、虚拟网关等实现工业设备层和过程监控层的边界隔离管控，通过设置白名单，确保正确、有效的数据与业务，阻断内部误操作、攻击和病毒对现场设备的威胁途径。在企业内网与工业控制网络逐渐融合的应用过程中，为了保障企业内网的安全，必须采用区域边界隔离措施，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信，对非授权设备私自联到内部网络的行为进行检查或限制，对内部用户非授权联到外部网络的行为进行检查或限制，限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。依据军工企业内网的涉密级别，采用边界隔离网关和网间信息安全隔离交换两种边界隔离手段，确保企业内网不会以为与工业互联网互联而降低安全防护级别。

5）安全态势感知与预警

安全态势感知与预警是工业企业安全管理能力综合体现，其主要面向工业控制系统设备状态与信息安全的综合监控，采用大数据平台架构，实现汇聚工业企业工控系统、网络等设备或系统的资产配置、资产性能、资产拓扑、告警信息、网络流量、网络安全事件、漏洞信息、威胁数据、工控指令、日志信息、视频监控信息、人员权限信息等安全数据，并进行综合分析，实现对IT资产、控制设备、重要数据、安全设备的统一管理和安全信息统一汇聚，提供安全监测、资产监控、指标管理、合规管理、通报预警、数据挖掘、日志异常分析、设备状态预警、网络状态预警、安全视图、情报中心、安全告警、安全联动处置、工业场景建模、平台知识库管理、平台配置管理等安全功能，提供工业安全监测、告警、通报、处置等各类安全事件服务，提供安全运行保障提供了一站式的管理和监控，有助于提升产线整体的安全监测预警能力。

（4）自主安全能力

自主安全防护能力，即主动防御能力。主要体现在对军工智能制造生产线防护措施的可控、可管的能力，以及在拟态安全、威胁主动诱捕、自主安全产品、关键设施国产化替代等方面。其中，主动防御主要通过采用蜜罐、沙箱以及拟态等内生安全机理实现。自主安全产品主要是在军工企业工控系统建设过程中，实施国产化安全防护产品，同时开展关键设施国产化替代，降低对国外产品的依赖程度，提升工业领域自主可控能力，从根本上改变工业领域安全“卡脖子”的被动局面。

（5）自生长安全能力

自生长安全能力主要体现在安全架构能否实现防护对象系统安全能力动态提升上，同样是内生安全核心理念所在。通过安全检测评估、安全运维管理、安全应急响应以及安全人才培养等方面设计有效的安全防护机制，确保军工智能制造自生长安全防护能力持续提升。

1）安全检测评估

通过安全检测评估验证，掌握企业内部工控安全现状与安全目标之间差距的重要手段。通过开展合规防护能力评估、全面风险评估以及深度渗透测试等不同内容的评估工作，及时了解企业当前合规度，掌握工控安全整体规划依据、实现工控系统脆弱性发现，同时通过自身安全弱点恢复检测与恢复，逐步提升安全防护能力。

2）安全运维管理

运维管控是保证安全体系措施有效执行的重要阶段，在此过程中，由运维人员实现业务与安全的有机结合，健全工业系统运维管理规范，制定工业安全企业责任制，发挥安全措施价值。为降低运维管控工作量和复杂度，建议引入自动化运行管理及资产监控手段，实现高效管控系统运行状态，保障业务生产稳定运行。

3）安全应急响应

建立完善的应急响应机制是工控安全建设的重要保障，工业企业应通过制定严密的工控安全应急响应预案，保障工控系统在遭受攻击、系统异常等情况时能够快速响应并有效处理问题。

四、未来军工制造企业内生安全防护思考与建议

目前我国工业控制网络受制于人的局面并没有得到根本转变，未来我国军工制造企业要实现工业控制内生安全任重而道远。工业企业自适应主动防御作为改革性理论与技术，从实验验证测试到工控网络设备体系化上线部署情况来看，为我国“网络强国”战略提供了可落地实施的抓手级技术。军工制造企业内生安全防护可以从以下几方面开展：

（1）开展网络攻防靶场建设，加强工业控制系统安全

首先，开展工业控制系统攻防实验靶场建设，通过聚焦于靶场攻防对抗，不断创新安全防护和技术手段，从而为工业控制系统的内生安全积累经验．对于攻防演练、漏洞挖掘、安全态势感知等都具有十分重要的意义。

其次，利用人工智能算法、区块链等先进技术，研发具有内生安全的工控网络主动防御产品。针对工控网络的系统架构、运行机制、核心算法、存储数据、异常行为等未知威胁提供监控与防护服务。

（2）推进“自主可控、安全可信”的工业控制网络防护

自主可控是工控网络安全发展之路。习近平总书记在网信工作系列讲话中提出：“加快推进国产自主可控替代计划、构建安全可控的信息技术体系”[4]。加快推进自主可控工业控制相关技术标准规范的制定，科学指导工控内生安全防护产业有序发展，同时提高针对国外产品和服务的监管力度，实现工业控制系统核心产品的自主可控。

参考文献

[1]于秀明,郭楠,王程安,彭涛.智能制造能力成熟度模型研究[J].标准化研究 2016(5)

[2]马慧,杨一平. 企业信息化能力成熟度关键模型研究[J].经济与管理研究, 2010 (01): 73-78.

[3]邬江兴.鲁棒控制与内生安全[J].网信军民融合,2018,10(3):23-27

[4]倪光南.核心科技乃国之重器,网信产业发展离不开自主可控[J].信息安全与通信保密.2018(11):16-23.

声明：本文来自工业菜园，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。