我今天报告的题目是“构建多层次工业互联网安全保障体系的思考”,我先说说工业互联网,我做了一个模型,我把它叫做“3+3模型”。
什么叫工业互联网,首先我比较反对这个词,我认为首先应该叫工业泛在网,但我说工业泛在网很多人也接受不了,因为工业互联网已经被政府说出来了。为什么说工业互联网这个词不好,我们一说互联网肯定想的是IP化,工业网不一定到IP化,到末端控制肯定还不是IP的,无非是“互联网+”的概念,从“互联网+”加到了工业,所以,工业和互联网融合在一起,如果互联网和Link“连”还说得过去,因为大家都连在一起,但没办法,国家也说了这个词,我在这儿创造一个新词,研究工业互联网的人还会说,你到底研究,还说不清楚。所以,我们还是先说工业互联网。
构造这个工业互联网有三个要素:控制、通信、计算。控制是根本,我们需要对它做互联化的时候,需要把信息进行传递,传递靠什么呢?通信,所以通信是它的支撑。通信是干什么呢?我是要拿出来计算,来决定怎么控制更好,因为我们最后追求的是智能控制,工业控制角度来说是要智能制造,这要靠计算。这是它的三要素,控制、通信、计算是最基本的逻辑。
它还需要网,从控制,把信息采出来,它是个传感网,因为我通过传感网才能在控制端把信息采出来,然后通信传出去,通信传给计算平台。这时候才是真正的工业互联网,工业互联网下面还有一个互联网,这怎么说法?我说没办法,被迫叫工业计算机网。最早我们说互联网时说的都是计算机互联网,没有电信什么事儿。我们经常说互联网、电信网,下一代网络(不是下一代互联网)的时候有“两个下一代”,一是下一代互联网IPv6,二是下一代网络5G、4G、LTE等,那是从电信走的,这边是从TCP/IP走的。我们说的从通信转向计算环节走的是计算机网络,IP网络,我勉为其难说这是工业计算机网。如果我们接受工业泛在网的概念是最美好的,就可以说它挂靠的是工业互联网。走到这一步,没有什么太多讨论的余地。所以,这里我把它叫做工业计算机网。
计算完了之后回过来控制,回到工业互联网控制。工业传感网和工业互联网是子集关系,围绕着从控制网往外走,从控制辐射到通信就是传感,从控制辐射到计算就是物联。为了把这个事情说清楚,当我搞数据采集时关注的是传感网的建设,当我计算完了之后做反馈、控制时我关注的是物联网。这是我讲的“3+3模型”,讨论的前提。
计算机侧重于信息处理,我们要通过构建大规模信息处理平台(云计算平台),要说没有云计算平台就不用再讨论了,这是必然的,因为柔性制造、智能制造都需要很复杂的计算,它是需要有云来解决问题的。还要基于广域网,远程互联网控制体系,远程管理。它强调远程,因为强调远程所以才强调IP化,IP化解决远程是最容易,这样我就能建立面向工业大数据的存储、集成、访问、分析、管理的开发环境,最终目前是形成智能控制体系,支撑的智能制造。
工业互联网侧重的是厂内网络传输,进厂就不再IP化了,它要解决的是传输、标识与控制,我要知道谁是谁。我还要控制,通过工业网关,短距离无线通信、低功耗广域网和OPC UA等互联互通技术,将信息化通信技术与行业特征有效结合,反馈到控制端的控制行为。
工业传感网是工业物联网的一部分,因为我想特别强调它,就把它拽出来说,它是个子集。它侧重于信息收集,主要是构成精准高效、实时的传输体系,实现末端智能感知,包括各种类型的传感器、RFID、摄像头以及中短距离的传感器与无线传感网络等,实现现场的数据采集。
任何东西的发展是循序渐进的过程,不是从局部到整体的发展,而是从模糊到清晰的发展过程。早早就有了传感网,那时候传感网的概念比它还大,那时候互联网又是另一个概念,但这个技术到现在才拎清了,每个概念就这样走过来了,包括从工业里辅助、支撑、变革,都有一个过程。但这个过程并不是说以前先做了这款,现在完成了那款,并不完全是这样。以前做这款有了这个技术,现在这个技术清晰化了,我要扮演确切的角色,而不是完整的角色。
这样我们形成了智能制造的愿景。智能制造首先要有工业互联网,我脑袋想的是工业泛在网,但嘴里说的工业互联网,因为它包含了计算机网、物联网和传感网,还要加上材料、设计、工艺等等,你没有3D打印讨论什么智能制造?需要有这些。一个信息化,二个制造化;一个电子技术,一个机械技术加在一起,才能构成这样的智能制造的解析,具体到里面,它可以涉及到传感机器、智能机器、分析、计算、互联,工业App等等。
威胁可以表现为多个层面,我用网的方式把它表达出三个层面,底层是工业传感网,信息要抓出来,这里面有它的问题,因为它是特别底层,里面有核心设备,最底层的核心设备尽是别人的,别人的设备我们可能会有些风险;到了物联网这一层,我们首先有控制层,一样比较核心的东西在别人手里;还有管理层,管理层有管理层的问题;还要有再上层计算机网络层,有企业层和决策层,把这五个层对应五个问题简单这样表达一下。
最后的环节是命脉,好比飞机的命脉是发动机,最核心的东西。最底层的核心技术,自主可控的层面很低,受制于人,就像计算机CPU曾经都是别人的,现在我们终于可以做自己核心的东西。现在存储等有些问题还没有解决。
第二层工业终端控制,从闭环走向开环,这样我们才能解决工业互联问题,从闭环走到开环就会带来开放带来的问题,过去我们是在真空罐里,里面没有外来的威胁,只有人为的破坏,要把人为破坏控制住就可以了。突然把它打开了,离开真空,走向大气,问题也就来了。我经常演示进入别人的工控系统里,比如西门子系统、电力控制系统,很多原因是他们的口令很简单,就进去了。为什么很简单呢?这些搞控制的人过去都是习惯于封闭,觉得我的安全是由警卫保证的,探头保证的,门禁保证的,都是一种物理空间的局域保障。现在突然控制,会觉得这个控制怎么可能有人控制呢?就没有想到网络控制,因为搞安全的人对他来说很简单,确实很容易就进去了。这是开放带来的问题。
第三是工业系统,是个大系统。
第四是工业互联本身,连到网以后,有没有人做仿真体系研究。这种事情早点做是非常重要的,如果不把它研究,很多人都不知道这个安全要防范什么。作为大数据、云计算平台的风险。
说到工控的安全,说来说去好像就是按照计算机安全走下来的。有人说是不是因为你只懂计算机安全,所以到工控安全也说是它,你说的可能有点道理,因为我不一定知道那些细节。但我知道一个颠覆不破的真理,只要软件是代码做成的,代码是可替换的,那对不起,你就会有被攻击的机会,除非是死的,现在什么东西会是死的,几乎不可能。死的是传统,它只会做这一件事儿,不会做第二件事儿,都封死在这儿。我们一想柔性一定是代码方式,哪怕你是FPGA也是可擦除的FPGA。不断地变化,这才是柔性的。一旦不断变化,你就成代码了?一旦成代码,计算机病毒就能够攻击下去。早的震网是从WinCC走进去的,一直走到它的PLC,有类似震网的HaveX,它可以通过OBC层,这在过去没有问题,但你也是个协议,有它的问题,所以可以进来。2015年“黑色能量”直接攻击到电力部门,它有个Killdisk的释放,对它进行了删除。2016年“工业破坏者”可以对负载进行攻击,包括探测器都内置在里面。2017年,工业“勒索病毒”,也是直接控制它的控制器进行勒索,你不给我钱电源就会断掉,所有这些最后都是因为你背后还是代码制,除非你这块完全不是代码,不可改动。什么情况完全不是代码?我们搞可信计算,可信根不是代码,不可改动。所以,我们相信可信根不可改。可信链这个链是可信的话,我可以逐级证明,证明这一切都是work的,这是它的安全基础。一旦可改的话,你怎么保证?它不会被别人改动?这就是问题。所以,工业病毒化这件事儿使得风险变得很大。
后门的问题,大家都以为是一些穿梭式的,这是一个现实,一个军工企业在广州采购的设备运到兰州使用,用不了。为什么用不了呢?人家可以监控你的地理坐标,发现地理坐标改了就禁止你使用,你不知道有这个功能,没有人告诉你有这个功能。我们说什么叫后门?没有通知你有这种功能,还能控制你。如果是漏洞的话他也不知道,如果授权的话说这是前门,你不能这么做,我这里专门有这么一个系统,你要这么做就有什么问题。比如Windows历史上给人做完黑屏之后就告诉大家,只要你不是正版我就可以黑屏。当他把这个话说出来的时候就不是后门了,就是事先告诉你。你说那这个东西我不要,那你不要就不要吧。可是有些事儿他不告诉你,悄悄放一个,他可能还悄悄把你东西拖走。我认为他还比较仁慈,就限制而已,如果不仁慈的话,你用吧,首先看能不能和我连通,连通我就限制了,只要能连通你就用吧,把你的参数我都带走,因为我知道你搞机密的,拿你机密更好,你用就用吧。这种事情都叫后门,后门谁制裁呢?只有靠法律制裁。这时候如果受法律制约的企业来做事情,你就相信他吧。
为什么我们老说民族产品,不是说民族产品就不做坏事,是他不敢做坏事,因为法律能制裁它。要是外国人试试,你能把我怎么着,顶多不让我做市场。所以,我们在关键部门之所以要自主可控,要在法律框架下保证安全。我们经常说,管理解决不了的问题靠技术,技术解决不了的问题靠管理。这里面有这么多的核心设备和核心技术都在别人手里。
开放也是个问题,历史上说隔离,你现在要有工业云,就必须开放,开放的话,各种协议,你再掌握不全,人们利用他所熟悉的协议可以渗透进来做各种攻击,这种风险变得非常重要。我们说工业大数据来了,你搞智能制造,搞柔性制造,都是需要这些基础。大数据也有大数据的安全问题,当然,隐私是个比较主要的事情。还有比较关键的,我给你一些错误数据,尤其当我们想用智能的时候。我最近在研究AI Security,人工智能智能安全。人工智能智能安全里的算法很容易被攻击,有的时候他把数据一定假设成是精确的,不精确就有问题。
举个例子,大家都知道AlphaGo下棋非常牛,谁都下不过它。但从安全视角来说,AlphaGo有个被攻击的地方,AlphaGo是没有手的,下棋的时候它出个棋谱,有人替他下,它说我走这儿,这个人把子放在那儿,有一只人的手替它做。这里出现一个什么问题,当他决定把子下到比如H9点,这个人脑袋晕了,把子下到H8点,然后AlphaGo可以一输到底,你们可以去试试,为什么?他一直以为你在H9点,就按着H9点往下走,可是那个人看的是H8点,按那个走就……
这说明什么问题,一个数据输入的错误可以让它崩溃掉。大数据也一样,当你高度依赖大数据,而且工业大数据不一定是大数据,但依赖是要精准的,不能够是模糊的,概念的。真正大数据可以模糊概念,比如医疗大数据可以模糊概念,我改你的数据会给你带来问题。现在我们需要新的思路来应对信息安全问题,来应对它的融合问题,他们按照这个思路走就可以走得非常好,我们需要有实验、经验、评估攻防演练拟合的平台,才能够去发现什么是可被攻击的点,什么是风险点。
构建工业互联网安全综合保障体系,我们的认识应该从自主可控开始起,我们把它叫本质安全,首先不要有人为的因素,有人为的因素就不好弄了,自主可控可以解决没有人为的因素,还有安全实验平台,深度防护体系和公共服务体系。
本质保障就是我们从各个层面都要自主可控,各个层面都要解决自己的问题,包括工业控制系统自动化地实施,工业核心产品设备产业化,工控核心技术的创新研究。工业保障有传感网、互联网和计算机网。计算机网是外网,外网有外网比较通行的做法,可以用传统的安全手段。内网物联网和传感网就需要有内网的做法。这要贴合于工业控制体系来解决问题的方法,构造它完整的体系。当然,在内网里要有一套态势感知,还要知道它未来的走向会有什么样的风险。
物联网的安全核心在哪儿?在控制安全,为什么呢?刚才我们说是三角形,这个三角形历史上早就有,控制、通信和计算。历史上没有从计算到控制这个边,都是控制完了到通信,通信转给计算,计算算完就完了。过去没有这么远程控制,都是近场控制,事先定好的控制模型就地控制。现在柔性之后我要远程控制,你的控制结果会给它带来不可逆的后果,当然,制造这个事儿没有什么危险,我们说这不是制造,说这是飞机的飞行控制,你告诉他,现在速度很低,你给我再加速,这个速度很低是哪儿来的呢?是采样来的速度。我计算这个速度够不够,我说这个速度不够,应该再加速。加速完了再回馈,从计算结果回馈的,但它采样数据对不对?采样数据错了怎么办?没有人想加的,723数据就是传感网出问题,传感网出问题就决策出问题,给的访问控制就出问题,访问控制出问题就是灾难。
我知道,法国一个航班在太平洋上空一下就裂解了,它四个速度传感器全部被冻坏了,连个容错都没有。都冻坏了之后它采集到的速度就很低,这边就通知加速,一直速度高到裂解为止。
我们需要有个感知,这边还有个仿真速度,加一次速度、两次速度、三次速度。我把仿真的速度和采集结果做个比较,如果咱俩差异很大,就要人为控制,肯定是哪儿出了问题,这是我们感知要解决的问题。任何攻击过来,给它一个异常的东西,我得知道什么叫异常,发命令永远是对的,但这个时候该不该发这个命令,我事先该有个预判,这个命令有没有异常。比如现在我做了一个被黑网页发现系统,我现在知道很多网页被黑,他自己不知道我知道。这个道理很简单,我就搜原来网页的框架,比如新浪原来网页的框架,别看它内容老改,框架不改,每次比较这个框架变没变,框架变了我就假定被黑了,一弹出来,一看这是更新了,他一年才更新一次,平常不会更新,一年一次无所谓的。绝大部分人一看变了,就是被黑网页。这就相当于一种态势感知,我先知道你应该是什么,正常是什么。当然,还有漏洞和管制都是要做的。
云是个计算核心,你要知道谁在给你做计算?它要绝对可信。从云往下到边是通信,再到它底层,底层就是到了传感控制,等于云脱走了计算机网,往下到边脱到了物联网,再到下面传感网,这都有认证问题。再有就是大数据的协同安全,我们要从各个程度把它做协同。
我们需要做个仿真环节。在物联网那一侧把各种安全能力聚合,通过聚合来保障它,CEC在计算机网络方面做聚合做得很成功,在很多城市做智慧城市做得很好。我们认为,这个理念非常好,它是把一些最重要的手段聚合在一起,通过各个方面来保障。
关于安全模型,这个模型里安全在哪儿下手?首先是计算,计算的本质是云和大数据,所以,我要解决的是云安全和大数据安全,也就是说我要有云端可信,大数据协同安全。
然后是通讯,这个通讯其实就是保证可靠传输,可靠传输这个词儿,不是一张嘴就能说的,而是你要有多条传输通道,一个毁了还有第二个,第二个毁了还有第三个,有多种传输方式,如果信息很重要的话,不能是单一方式,因为容灾的前提是异构,你说两个都是一样的东西那不叫容灾,叫备份。容灾是两个不一样的,这条线我用的是中国电信网,那一条线我得用中国移动网,这条线我用微波通讯,那条线我用广播通讯,这个可靠传输是靠一种异构来保障,当你觉得这个线路是极其重要的话。
控制,就是漏洞发现和审计,本质安全也是要解决不会有人为的后门,人为和后门一模一样,只不过同样的东西,当这个东西是人为设计的就叫后门,如果设计者都不知道怎么还有这个东西,它就叫漏洞。所以,很多后门都被冒充为漏洞,因为它不想担责任,他也跟着跳起来,怎么有这个,我马上打补丁,其实没准他早早设了,他知道,有人发现他就说我不知道,我打补丁,再给你一笔钱,把你嘴一堵。
边呢?网络这块就是网络安全,既然我搭载网络,当然,防攻击很重要。逻辑隔离也是很重要的,不要让它直接穿透过来。
物联网,主要是靠能力聚合,因为涉及的方面太多了,各种形态也太多了,一定要通过聚合来解决,这就需要有好的访问平台来支撑它。
传感网,就是态势感知,我要感知当前的契约,通过传感才能获得数据,这当然有个数据安全,你别把我的数据篡改了。一方面我不让你把我数据篡改了,另一方面我通过传感能够判断现在的态势是不是正常的状态,如果不正常可以提醒人来干预它。
最核心的还是要本质安全,自主可控。
(本文根据现场演讲速记稿整理,未经本人审校)
声明:本文来自产业智能官,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。