工業信息安全背景下設備狀態監測技術發展思考

國家工業信息安全發展研究中心 董良遇 于 盟

■引言

設備狀態監測是利用傳感器監測技術對設備運行狀態進行在線或離線監測，采集設備振動、溫度、壓力等數據，進一步進行數據處理與特征提取，可對設備當前或未來的運行情況進行綜合判斷，力求實現對故障的有效捕捉與提示[1]。據不完全統計，我國石油、化工、冶金等支柱工業企業已對上萬臺汽輪機、發電機、泵、壓縮機等設備進行在線監測診斷，每年產生PB 級的海量監測數據[2]，這些數據與機組原有監控系統的其他運行參數一起被存儲和分析應用。在當前工業互聯網、云計算等新技術作用下，在線監測數據催生出新的應用模式，如遠程分析診斷、基于云平臺的智能診斷等[3-5]。一方面，新技術的發展推動了設備監測診斷技術的發展；另一方面，大量數據聯網后增加了數據信息安全風險。

當前暴露在互聯網上的工業控制系統及設備數量不斷增多，攻擊門檻進一步降低，工控安全高危漏洞頻現，重大工業信息安全事件高發，全球工業信息安全總體風險持續攀升[6]。需指出，我國在工業信息安全保障上存在著管理力度不足、防護不到位、人員意識不強、產業基礎薄弱和技術人才匱乏等問題，監測數據的互聯網應用無疑加劇了工業領域面臨的信息安全風險。

■設備狀態監測技術發展現狀

我國從上世紀七、八十年代開始發展設備狀態監測技術，幾十年來，設備狀態監測與故障診斷技術受到高校、科研院所和企業的重視，在石油、化工、冶金、電力等行業取得廣泛應用[7]。近年來，隨著人工智能、大數據等先進技術發展，設備狀態監測技術不斷發展，表現出信號采集多元化、數據處理智能化、數據傳輸網絡化和診斷服務平臺化等特征。

1.數據采集多元化

基于傳感器技術與計算機技術發展，設備狀態監測逐步從相對單一的工藝量監測拓展到包含溫度、壓力、流量、振動、位移、轉速等在內的設備運行狀態信息全面監測。其中振動、位移、瞬時轉速、動態壓力等瞬態快變監測信號，需要以高采樣率、大量采樣點的采集方式進行處理，保證數據采集的準確性。同時，不同數據類型的多通道并行同步采集也是保證數據分析準確性的關鍵。圖1、圖2 為國內石化往復壓縮機BH5000R 監測系統不同類型傳感器布局。

圖1 往復壓縮機活塞桿位移監測傳感器

圖2 往復壓縮機殼體振動監測傳感器

2.數據處理智能化

經過采集之后的各類數據由模擬量信號轉化為數字量，由計算機完成進一步處理，如提取各類特征值，進行特征選擇完成特征融合等。隨著人工智能技術發展，諸如機器學習、卷積神經網絡、深度神經網絡等算法不斷被應用到數據處理過程中。數據采集多元化帶來的數據量龐大、數據維度高等問題為各類智能算法提供了用武之地。

3.數據傳輸網絡化

互聯網技術的快速發展使大數據量遠程傳輸成為可能。目前，以石油、石化為代表的流程工業企業均建設有專用的數據傳輸網絡，將最基層裝置的設備與企業頂層管理平臺連接了起來，部分企業還鋪設了專用光纖網絡，為設備狀態監測數據傳輸預留了專用帶寬。無線傳輸方面，基于WirelessHART、Zigbee 通訊的數據傳輸技術已被應用與石油、石化企業的大型泵群監測，由傳感器無線發送溫度、振動數據到無線網關。數據通過企業內部或外部網絡進行遠程傳輸，為故障遠程監測診斷服務提供了基礎。

4.診斷服務平臺化

近年來，智能工廠建設、大數據云平臺建設不斷被企業認可，國內眾多企業紛紛投入人力、物力建設本公司的狀態監測與維修管理中心平臺。相關平臺集數據監測、異常報警、故障分析診斷、能效監測、維修管理、人員管理等功能于一體，各類功能均實現了模塊化、插件化甚至微服務化，極大地提升了使用的便捷性和實用性。圖3為國內某企業的設備遠程監測平臺。

圖3 某企業設備遠程監測平臺

■工業信息安全對企業信息化管理的新要求分析

當前，“互聯網+”的應用使工業生產效率得到快速提高，但隨之而來的是不斷加大的工業信息安全風險。總體上看，在全球范圍內工業控制系統安全漏洞持續被披露，能源、制造、醫療、通信、政府設施、交通運輸等重要關鍵基礎設施行業依然是工業信息安全事件的高發領域。因此，工業信息安全對企業信息化管理也提出了新的要求。

1.新基建背景下加強企業信息基礎設施建設

隨著互聯網技術發展，企業日常生產運行產生的數據量愈發龐大，傳統的網絡軟硬件系統無法進行有效處理。企業需要針對相關基礎設施進行投資建設，包括硬件方面服務器、防火墻、網閘、路由器，軟件方面數據庫、操作系統、中間件等，以適應快速增加的數據信息的處理要求。

2.建立健全信息安全防護體系與相關管理制度

隨著近年來國內網絡安全事件頻繁發生，我國政府對于信息安全防護，尤其是工業信息安全防護，建設意識逐漸加強，政策支持力度不斷上升。企業需完善自身的信息安全防護體系，加強對數據流入、流出的管控，預防信息安全事故的發生，構建、完善企業自身的信息安全防護管理制度。管理制度方面，應加強對計算機設備、電子資料文件安全、軟件安全、信息系統安全、數據庫安全的管理等，確立有關信息安全的禁止行為，建立獎懲辦法。

3.不斷應用、提升安全防護技術

工業網絡環境受病毒、網絡攻擊等危害嚴重[8]，據統計，截至2019 年底我國境內受感染計算機病毒的主機數量約582 萬臺，感染率為20.44%。廣東、江蘇、浙江等工業信息安全發展起步較早的省份受感染的主機數量較多。以勒索病毒為代表，在相對安全的企業內網中也有廣泛傳播，因此，信息安全防護技術應用至關重要。企業應重視網絡防火墻、數據加密、外來入侵檢測等新技術應用，尤其是新技術的組合應用。同時應做好企業人員身份識別保密工作、做好VLAN 計算機網絡安全管理等工作，在企業信息安全防護體系與規章制度的基礎上，對病毒庫升級、查殺，補丁安裝，機密文件使用管理等方面的工作從嚴要求。

4.加快信息領域人才培養

人才是創新發展最重要的環節，技術的發展歸根結底是人的發展。網絡信息技術是全球研發投入最集中、創新最活躍、應用最廣泛、輻射帶動作用最大的技術創新領域。對于工業企業來說，雖然不參與網絡信息技術的直接創新，但是網絡信息新技術的應用離不開人才的支持。企業應重視自身信息化部門的建設，加強人員管理與人才建設，以支撐企業信息化建設工作。

■設備狀態監測技術應用對企業提出新的要求

當前由于設備狀態監測技術與互聯網技術的深度融合，大量帶有企業運營生產信息的設備運行數據通過網絡進行傳輸，給工業企業信息安全帶來了較大的隱患。因此，結合工業信息安全的發展態勢對設備狀態監測技術提出新的要求。

1.數據傳輸安全性要求

企業應依據自身需求和行業特性，對企業內部各種動態傳輸數據的進行風險等級定義、評估與劃分，將風險等級較高者定義為企業動態重要工業數據。該類數據在傳輸過程中應采用加密傳輸或使用VPN 等方式進行保護，確保其在動態傳輸過程中的安全性。特別是具有跨網跨域的數據傳輸需求的企業或互聯網平臺，數據傳輸安全問題亟需加強重視，防止通訊線路上的竊聽、泄露、篡改和破壞。所使用的加密技術的選擇和使用須符合國家相關法律法規，結合數據重要性和企業需求合理進行加密，注重加密算法的類型、屬性以及所用密鑰的長度等。

2.數據存儲與備份安全性要求

企業應結合企業管理及工藝流程等各環節需求，將各類靜態存儲的數據進行風險等級定義、評估與劃分，將風險較高者定義為企業靜態重要工業數據。該類數據的管理過程中需進行加密存儲或隔離保護，設置合理的訪問控制功能，確保靜態存儲的重要工業數據不被非法訪問、刪除、修改等。針對重要生產工藝、生產計劃、組態文件、調度管理等關鍵業務數據，企業應結合企業實際進行定期備份，確保在工業控制系統及設備狀態監測的關鍵業務數據丟失時可以及時恢復數據。對于影響企業安全運行及生產的關鍵業務數據，企業應在備份后進行恢復測試，確保備份數據的可用性。

3.數據應用安全性要求

企業數據的采集、應用、傳輸等過程涉及到組織內、外其他的業務系統及數據用戶系統，這些系統的應用所涉及的安全問題也需要受到企業的重點關注。特別是在設備狀態監測技術快速發展的今天，提供狀態監測服務的企業多采用云服務方式完成數據采集、處理、存儲、分析和展示等功能，使企業大量數據全生命周期中都存在數據泄露、丟失等安全風險。因此，對于數據應用的全生命周期安全防護至關重要。企業應采用入侵防范、資源控制、身份鑒別、訪問控制、安全審計等多種方式加強對企業數據應用的安全防護。同時，對于提供信息安全服務的供應商及測評方，應以合同等方式明確針對企業相關設備和產品所提供服務中所承擔的信息安全責任和義務，確保提供的產品和服務滿足信息安全要求。服務商在服務過程中如需使用相關數據進行測試，應盡量避免為企業的實際生產數據。確需使用情況下，企業應提供去除所有敏感細節和內容的數據進行測量。

4.企業數據安全綜合性防護要求

企業應結合自身需求和行業經驗，將企業各類數據信息依據風險評估結果進行分級分類管理，羅列出重要工業數據清單、關鍵業務數據清單、容災備份數據清單等。明確各類數據的管理要求及防護手段，如對數據存儲備份的要求、對數據傳輸的要求、對數據測試的要求、對數據遷移的要求等。對于有工業主機登錄、應用服務資源訪問、工業云平臺訪問等需求的，須加強身份認證管理技術，對于訪問重要數據的業務系統須加設雙因素認證。對于企業擁有的敏感數據需要進行脫敏傳輸時，應采用技術措施限制對用戶信息的訪問和使用。對于影響企業正常生產的重要數據或系統環境可進行異地容災備份，保障企業出現災難時至少在異地保存有一份可用的關鍵業務數據或可以提供安全可用的生產環境。對于企業自動化程度較高的系統，需依據企業能力盡量部署具備國家相關部門認定的日志審計系統，實時監控網絡各類操作行為及攻擊信息，根據設置的規則智能判斷出各種風險行為，對違規行為進行報警等。

■結束語

工業控制系統互聯互通成為發展趨勢，正在從封閉走向開放，傳統的安全理念、方法、工具面臨著巨大挑戰，現有的工業控制系統安全防護體系的脆弱性日益凸顯。工業企業設備狀態監測技術產生了海量的監測數據，依賴網絡實現傳輸與應用，對企業信息安全提出了新的要求。

本文從設備狀態監測技術新發展入手，討論分析了設備狀態監測與網絡技術的深度關聯性，基于工業信息安全對企業信息化管理的新要求，對設備狀態監測技術數據傳輸、數據管理等各方面安全性提出了相關要求和建議，供企業生產、運營管理人員參考。