何積豐院士：工業互聯網安全發展趨勢與關鍵技術

什么叫工業互聯網？在中國科學院院士、計算機軟件專家、華東師范大學教授何積豐看來，工業互聯網不是簡單地指給機器上裝傳感器，而是物理世界、信息世界和人類社會的互聯互通，實現普世社會和信息社會相結合。如何衡量工業互聯網做得好與否，主要是看智能制造做到何種程度。

縱覽全球，美國在2012年成立了先進制造業委員會，主要目標是加速美國信息制造業的發展；德國在2013年提出了“工業4.0”，旨在支持工業領域新一代革命性技術的研發與創新，保持德國的國際競爭力。而我國在2012年才剛剛啟動工業互聯網的構想。“從時間上看，我國比人家落后了三年。”何積豐院士說道：“也因此，工業互聯網的發展面臨著一些挑戰，計算、通信、物理的深度融合亟需發展新的設計范式和模型，信息與物理設施領域鏈接與融合亟需新的研究方法和技術工具，針對工業互聯網需求亟待建立新的軟硬件底層架構、平臺與工業智能系統，同時也亟需研究工業互聯網的設計體系與關鍵技術。”

由于工業互聯網打開了與信息世界連接的通道，所以工業互聯網使得閉環公司在產生新的鏈接模式和商業模式的同時，也面臨著信息世界的諸如病毒、黑客等安全威脅。針對此，何積豐院士指出：工控系統需要采用縱深防御的安全理念，以被保護的工業控制系統為核心，構建多層級縱深防御體系。

工控安全面臨嚴峻形勢

何積豐院士毫不諱言，直言現在的工控系統面臨著嚴峻的安全形勢，這包括五個方面：一是隨著硬件元器件的可靠性越來越高及冗余技術的使用，安全問題的矛盾主要集中于軟件，軟件安全性面臨嚴峻形勢；二是工控信息安全標準需求強烈，標準制定工作正全面推進；三是隨著自動化系統IT化，傳統邊界防護難以滿足工業控制環境；四是行業內尚未形成統一氣侯，需要整合自動化與信息安全公司優勢，帶動產業全面發展；五是工控安全防護技術雖然正迅速發展并在局部開始試點，但距離大規模部署和應用有一定差距。

同時，他也指出，在建設工業互聯網過程中，目標是要圍繞其控制、計算與通信的核心特征，構建工業互聯網的設計體系，研究工業互聯網的共性關鍵技術，形成的工業互聯網設計驗證環境，為工業互聯網系統的研發、生產、安全等各層面提供理論與技術支撐。

在這一目標指引下，重點方向有八個，分別是建模與設計理論和方法、系統結構設計與實現模型、系統驗證技術、大數據技術、安全防護技術、軟硬件協同開發平臺、系統的技術標準與行業標準、面向國家重大應用需求行業的示范應用與成果轉化。

何積豐院士從專業的角度，分析了工業控制系統的安全隱患。他說：“工控系統大多采用通用協議、通用軟件、通用硬件，其漏洞為系統安全帶來極大隱患。威脅主要來自兩方面，第一個方面是系統相關的威脅，主要是指軟件漏洞所造成的威脅，例如：攻擊者使用軟件漏洞傳播惡意代碼；攻擊者使得系統棧溢出；第二個方面是過程相關的威脅，主要是指在生產過程遭受的攻擊，包括影響現場設備訪問控制的威脅；影響中央控制臺的威脅。潛在的攻擊途徑有遠程支持、防火墻策略、筆記本和串口、無線和合作網絡。入侵途徑主要通過企業廣域網及商用網絡方式為主，同時通過工控系統與Internet的直接連接、可信第三方連接、經撥號調制解調器、無線網絡、電信網絡、虛擬網絡連接等方式。”

五大安全策略保障工控安全

何積豐院士指明了安全基本策略和具體防御措施。

安全基本策略有三個要求：通信可控、區域隔離、報警追蹤。從整個架構來說，縱深防御是基本，共有五條防線：第一道防線是第三方商用防火墻；第二道防線是聯合安全網關；第三道防線是工業PC安全防護；第四道防線是現場設備控制防護；第五道防線是安全可靠的現場設備。

安全防御措施有五大策略：去中心化、智能下移、異構冗余、分布協同和蜜罐技術。去中心化的基本想法是要建立一個開放式、扁平化、平整性的系統結構，利用虛擬化技術實現操作員工作站、企業工作站的“漂移”。要建立信任模型，改變唯一的端到端信任，形成負反饋協同驗證機制。智能下移必須具備兩個必要條件：計算泛在化和芯片智能化；它能提供兩種能力：計算冗余能力和感知認知能力。異構冗余是指用不同質結構的多變體和設備來提供不同種類的安全冗余服務，使得攻擊者疲于系統的異構動態變換。它有兩種實現方式：軟件變體和系統變體。分布協同可以分為兩類：第一類是功能分布協同，工控系統各層之間、同層之間、各種設備之間通過某種通信協議，協同完成特定的工業任務；第二類安全管理分布協同，自學性和認知性，慢慢要增強實時性和跨層的協同性。蜜罐技術是指模擬工控系統某些特征的蜜罐，成為一種相對主動的安全檢測手段，它可以實現網絡切片、數據捕獲、數據控制和數據分析。這類東西可以利用新的發展技術來構建虛擬化，支持懸掛和恢復的功能，有助于凍結安全受危系統、分析攻擊方法、打開TCP/IP連接及其它服務。

（本文根據何積豐院士在首屆中國產業互聯網大會上的演講整理）