智能製造+互聯網 工業安全不可缺位

4月21日，2017國際機床展覽會（CIMT2017，簡稱北京機床展）在國際展覽中心閉幕，北京機床展與美國芝加哥、德國漢諾威、日本東京機床展被業界合稱為「全球四大機床展」。

本次CIMT有來自28個國家和地區的1600多家企業參展，國內外知名機床工具企業將悉數到場，共同演繹「製造2025」、「工業4.0」、「工業互聯網」、「互聯網+」背景下，行業發展的新格局。本屆展會主題為：新需求• 新供給 • 新動力，充分詮釋了當前環境下世界機床工具產業面臨的全新挑戰和機遇，準確地反映了行業的時代發展特徵。

CIMT現場

縱觀整個展會的各著名企業展出的產品和解決方案展現了四大趨勢：智能化、高效化、專業化、網路化，其中網路化已經成為智能化、高效化、專業化的基礎，充分體現了「智能製造+互聯網「的發展方向。但是，在終端智能製造網路化/數字化方案中，很少看到對工業安全的考慮，在智能製造+互聯網的背景下，工業安全似乎被大家忽略了。在當前網路安全事件頻發的現狀下，在智能製造領域，工業信息安全能否缺位？

一、CIMT各大廠商的互聯網+方案

面對網路化、數字化製造時代的到來，全球機床工具行業推出了一系列新技術與新產品。這些技術和產品具備鮮明的網路化、數字化生產裝備的特點，具有完整先進的網路方案、強大的通信功能、靈活兼容的開放性和豐富的應用軟體，實現了數控系統由「機床控制器」向「數字化製造管控器」轉變，數控機床由「製造機器」向「數字化單元」轉變。與此同時，一些著名企業利用長期從事數控技術研發積累的特有技術優勢和經驗，與「互聯網+「結合，推出網路化/數字化工廠智能解決方案，協助客戶從軟硬兩方面共同推動數字化工廠的建設和發展。CIMT現場一些代表性的方案如下：

▲ 德國西門子（SIEMENS）

德國西門子作為德國工業4.0建議和推動者之一，將PLM作為數字化企業平台，將虛擬生產與現實生產環境緊密融合，將計算機輔助設計（CAD）、計算機輔助製造（CAM）、產品數據管理（PDM）和製造過程無縫地集成在一起，幫助企業以經濟高效的方式對產品整個生命周期，對從創意、設計、製造到維修及處理的信息進行管理。SINUMERIK 840D SL高檔數控系統提供完整的網路方案和強大的PLC/PLC通訊功能，能夠實現互聯網（如ERP）、區域網（如MES）、工業現場匯流排（如PCS）的互聯，實現設備與設備、設備與管理人員的互聯。

西門子工廠數字化解決方案

▲日本發那科（FANUC）

FANUC世界上最著名的數控和機器人廠家之一，其展示的最新數控系統，支持各種工業網路和現場網路，可以將數控機床與PC互聯，進行NC程序的傳輸和現場監控，亦可在CNC上操作辦公室的PC，還可以搭配載有通訊專用處理器的快速乙太網電路板，同時與多台計算機進行高速數據傳輸，構建與生產線和工廠主機進行信息交換的生產系統。

FANUC MT-LINK i運轉管理軟體通過乙太網連接企業內部機床，利用FOCAS程序對機床各類信息進行收集和運轉管理。

最新數字工廠解決方案

▲ 德馬吉森精機（DMG MORI）

德馬吉森精機（DMG MORI）的CELOS系統是該公司目前所有高檔機床搭載的數字化製造平台和統一的人機界面。CELOS可將系統和機器整合併進行數據交換，兼容現有ERP（企業資源計劃）/PPS（生產計劃與控制系統）/PDM（產品數據管理）/MES製造執行系統和CAD/CAM軟體和控制系統，通過網路將機床與公司組織連接為一體，構成完整持續的數字化、無紙化生產的支撐和基礎。

德瑪吉CELOS系統方案

▲ 日本三菱

面向未來製造業的三菱電機綜合解決方案「e-factory」。e-F@ctory是整合FA的理念，旨在降低企業的綜合成本，將整個製造系統的各個設備進行橫向整合，實現設備間的無縫通訊，同時，縱向將企業信息管理系統與FA系統通過MES介面實現數據共享。

三菱加工機遠程服務

▲ 藍天數控

瀋陽高精數控智能技術股份有限公司的作為高檔數控國家工程中心的產業化實體，是國產高檔數控系統的代錶廠商之一，在推出新型「藍天數控」系統的同時，也推出了DNC與智能工廠解決方案。

藍天數控數字化虛擬車間

▲ 瀋陽機床（unis）

瀋陽機床作為全球最大的數控機床廠商，結合近年推出的智能數控系統i5,展出了多種型號的i5智能機床。i5智能機床採用先進的底層控制技術和網路技術，實現操作、編程、維護的智能化，並可以通過APP實現遠程監視和管理。

瀋陽機床投資的iSESOL平台對全國智能機床遠程監測

二、智能製造+互聯網面臨的安全風險和挑戰

從網路安全的角度分析，智能製造網路化後攻擊剖面大大擴大，將面臨設備、控制、網路、應用、雲平台、數據等八個方面的安全挑戰，但同時要看到參與到各個層面的人員因素，以及綜合各方面的高級持續性威脅APT。

智能製造 + 互聯網面臨的安全挑戰，概括來說，八方面的具體挑戰如下：

1、設備層安全挑戰。智能製造領域網路中伺服驅動器、智能IO、智能感測器、儀錶、智能產品的安全挑戰，包括：所用晶元安全、嵌入式操作系統安全、編碼規範安全、第三方應用軟體安全以及功能安全等，這些設備均可能存在漏洞、缺陷、規範使用、後門等安全挑戰；目前，在製造領域並未對以上問題開展深入研究。如：西門子漏洞CVE-2016-5849等

2、控制層安全挑戰。主要來自各類機床數控系統、PLC、運動控制器、所使用的控制協議、控制平台、控制軟體等方面，其在設計之初可能未考慮完整性、身份校驗等安全需求，存在輸入驗證，許可、授權與訪問控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密演算法過時等安全挑戰。例如：國產數控系統所採用的操作系統可能是基於某一版本Linux進行裁剪的，所使用的內核、文件系統、對外提供服務、一旦穩定均不再修改，可能持續使用多年，有的甚至超過十年，而這些內核、文件系統、服務多年所爆出的漏洞並未得到更新，安全隱患長期保留。如：西門子漏洞CVE-2017-2685、三菱PLC漏洞CNVD-2016-06361等。

3、網路層安全挑戰。主要來自三方面：各類數控系統、PLC、應用伺服器通過有線網路或無線網路連接，形成工業網路，工業網路與辦公網路連接形成企業內部網路，企業內部網路與外面的雲平台連接、第三方供應鏈連接、客戶的網路連接。主要安全挑戰包括：網路數據傳遞過程的常見網路威脅（如：拒絕服務、中間人攻擊等），網路傳輸鏈路上的硬體和軟體安全（如：軟體漏洞、配置不合理等），無線網路技術使用帶來的網路防護邊界模糊等。如：三菱網路模塊漏洞CNVD-2016-06360。西門子網路伺服器漏洞CNVD-2012-7944等

4、應用層安全挑戰，指支撐工業互聯網業務運行的應用軟體及平台的安全，如：德馬吉森精機（DMG MORI）的CELOS系統所整合的ERP（企業資源計劃）/PPS（生產計劃與控制系統）/PDM（產品數據管理）/MES製造執行系統和CAD/CAM軟體和控制系統等。智能製造領域應用軟體，與常見商用軟體的類似，將持續面臨病毒、木馬、漏洞等傳統安全挑戰；如：Ge fanuc漏洞CVE-2008-0175和CVE-2008-0176，西門子上位機漏洞CNVD-2016-11465等。

5、工業雲安全挑戰，從這次CIMT上可以看到，國內各大機床廠商、數控系統廠商正在建立或即將建立的雲平台及服務，這些雲平台及服務也面臨著虛擬化中常見的違規接入、內部入侵、多租戶風險、跳板入侵、內部外聯、社工攻擊等內外部安全挑戰。

6、數據層安全挑戰，是指智能製造工廠內部生產管理數據、生產操作數據以及工廠外部數據等各類數據的安全問題，不管數據是通過大數據平台存儲、還是分佈在用戶、生產終端、設計伺服器等多種設備上，海量數據都將面臨數據丟失、泄露、篡改等安全威脅。

7、人員管理的挑戰，隨著智能製造的網路化和數字化發展，工業與IT的高度融合，企業內部人員，如：工程師、管理人員、現場操作員、企業高層管理人員等，其「有意識」或「無意識」的行為，可能破壞工業系統、傳播惡意軟體、忽略工作異常等，因為網路的廣泛使用，這些挑戰的影響將會急劇放大；而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，在智能製造+互聯網中，人員管理的也面臨巨大安全挑戰。

8、高級持續性威脅（APT），智能製造領域中的APT是以上6個方面各種挑戰組合，是最難應對、後果最嚴重的威脅。攻擊者目標可能是偷取重點智能製造企業的產品設計資料、產品應用數據等，也可能是在關鍵時刻讓智能製造企業生產停止、良品率下降、服務不及時等給企業造成直接損失，攻擊者精心策劃、為了達成既定目標，長期持續的進行攻擊，其攻擊過程包括收集各類信息收集、入侵技術準備、滲透準備、入侵攻擊、長期潛伏和等待、深度滲透、痕迹消除等一系列精密攻擊環節。如：360APT報告：摩訶草組織。

三、協同聯動建立聯合防禦體系

CIMT參展的多家企業和觀眾，智能製造企業、集成商、用戶等，推進智能製造+互聯網過程中，面臨的各項安全挑戰幾乎沒有考慮，對安全的認識還停留在「我們不連接外網，會有什麼問題呢？網路攻擊根本進不來！」，工業安全在國內智能化廠商的考慮重點中幾乎缺位。針對這個以上8類挑戰，360企業安全建議智能製造企業、集成商、用戶等可以從以下方面進行應對。

1、落實國家對工業安全的相關政策、指南、標準

針對工業系統信息安全的問題，國家先後出台了《關於加強工業控制系統信息安全管理的通知》（工信部協[2011]451號）、《工業控制系統信息安全防護指南》等相關文件，對工業系統連接管理、組網管理、配置管理、設備選擇和升級、數據管理、應急管理做出了相應要求，對工業控制系統設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求；《工業控制系統信息安全防護指南》從安全軟體選型、訪問控制策略構建、數據安全保護、資產配置管理等方面提出了具體實施細則，從安全軟體選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任等給出了指導意見。智能裝備製造商、應用企業可以參考相關內容，做好必要的安全防護、安全管理和安全意識培訓。

2、構建持續檢測響應能力

假定智能製造系統無法阻止被攻破，也就是無法防護住，改變思路，在產品和解決方案設計中，增加攻破的發現能力，縮短攻擊發現的時間，將攻破后的進行應急響應的思路，改變為持續的監測和響應，不斷加強監測和威脅發現的能力，提升響應的速度。

3、應用數據驅動安全的理念

目前國際上公認解決網路安全攻防不對稱的方法之一，是數據驅動安全，2015互聯網安全大會（ISC2015）大會就提出要進行態勢的感知，進行威脅情報的共享和攻擊溯源。

對於智能製造來說，對某一行業中某一家企業的攻擊，如果被發現，攻擊方法和攻擊目標被辨析，可以結合全網的安全大數據和企業自身的安全數據進行分析，形成有效的威脅情報，提供給整個行業的企業，提供行業防禦的效果；

4、建立企業安全運營中心

根據Gartner的預測，工業企業建立的安全運維中心已成為一種趨勢，預計到2020年將有40%的企業將建立安全運營中心，該中心將建立企業的安全數據倉庫，對於APT攻擊，一個最大的挑戰之一是如何發現攻擊，應用數據驅動安全的理念。工業大數據進行工業生產故障的預防性維護，找出生產環節的異常，已經成為目前工業大數據的主要應用方向之一。智能製造企業和用戶對工業生產設備損壞或衰退的預測與發現，生產流程停機的預測與發現，其實就是一種工業生產的異常，而工業網路受到攻擊也可以產生類似異常；安全運營中心可以記錄工業互聯網企業持續監測的安全信息，但這些信息堆積在倉庫里，如同「一團亂麻」，解開亂麻，需要找到一個線頭，因此，可利用工業大數據發現工業生產異常的能力，為安全大數據的分析提供觸發條件或關鍵線索，這將成為數據驅動安全的最值得實踐的方法之一。

另外利用安全大數據進行智能製造系統中的用戶和實體行為分析（UEBA），對用戶的行為和設備的行為用大數據的方法建立一個基線，偏離基線太多的時候也會出現異常，也成為安全大數據重要應用手段之一。

5、構建產業協同的聯合防禦體系

目前暴露在公網的工業設備，超過2000台，美國在公網的工業設備達到數萬台，包括：PLC、數控系統以及相關工業應用系統等，隨著智能製造的發展，未來將與美國類似，將有大量的工業設備暴露在公網上，任何一個企業由於在人才、設備、數據、情報方面的限制，單獨進行防禦將存在巨大困難，未來工業互聯網企業、工業互聯網企業設備提供商、安全服務商、監管機構將建立協同機制，共同應對智能製造+互聯網安全來自工業、互聯網、信息安全的跨領域、跨行業的挑戰。網路安全的能力，將變成一種可定製的服務，智能製造企業和用戶的依據自己的威脅、成本、人才、運行階段按需使用。

智能製造領域，通過高檔數控機床及基礎製造裝備通過網路與工業軟體、商業軟體、工程師、供應商、客戶高效互聯，向著智能化、高效化、專業化、網路化方向發展；企業外部的商業網路與企業內部辦公網路、工業網路的邊界被聯通，工業企業將面臨設備、網路、控制、應用、雲、數據、人員等多方面安全挑戰。

綜上，機床製造企業、數控系統廠商、先進位造集成商在進行智能化、網路化、數字化產品和解決方案設計時，工業安全必須同步考慮；智能製造用戶在採購智能化產品、建設網路化、智能化先進位造系統的，為保證自己的生產安全、數據安全，應同時要求供應商提供在工業安全方面的防護措施，並加強企業員工的安全意識。在智能製造+互聯網的背景下，工業安全不容缺位。