作者 | 佟國毓,尚文利, 陳春雨,劉賢達,尹隆 中國科學院瀋陽自動化研究所,中國科學院機器人與智能製造創新研究院,中國科學院大學,中國科學院網絡化控制系統重點實驗室
摘要:工業互聯網是滿足工業智能化發展需求,具有低時延、高可靠、廣覆蓋特點的關鍵網絡基礎設施,是新一代信息通信技術與先進製造業深度融合所形成的新興業態與應用模式。本文首先介紹了工業雲平臺的定義及基本結構,然後介紹了工業雲平臺發展現狀和信息安全發展現狀,最後結合發展現狀分析了未來發展的趨勢,為我國工業雲平臺信息安全技術的研究及發展提供參考。
關鍵詞:工業互聯網;工業雲平臺;信息安全;智能製造
1 前言
新一輪信息革命與產業變革蓬勃興起,工業互聯網的發展成為全球關注重點與趨勢。世界主要發達國家政府及組織高度重視,積極出臺相關戰略政策,工業互聯網在工業生產中的應用使工業生產活動開始呈現“數字化、智能化、網絡化”的發展趨勢,跨時間、跨地域的“設計、生產、物流、銷售、服務”全產業鏈的生產模式成為常態;各個生產環節的互聯互通成為常態。這些新常態可能把工業生產的部分生產環節網絡與外部網絡互通,在提高效率的同時,也可能引發並導致嚴重的信息安全事件。近年來頻發的工業安全事件充分說明,工業互聯網安全需要引起我們的高度重視。
2 工業雲平臺的定義及架構
首先,明確工業雲平臺的定義。根據工業互聯網產業聯盟發佈的《工業互聯網體系架構(版本1.0)》中“應用支撐的實施”部分和《工業互聯網平臺 通用要求》中的工業互聯網平臺架構中所描述的工業雲和工廠雲平臺,從實施部署角度,工業雲可以部署在工廠內部,也可以部署在工廠外部,如圖1所示。
圖1 工業互聯網平臺部署示意圖
工業雲整合了雲計算的基礎設施和工業製造的基礎設施,為工業雲平臺資源服務和軟件應用服務層提供運行最基礎的設施支撐,同IT雲IaaS一樣,工業雲亦可向外提供基礎設施服務;工業雲亦包括製造資源(智能機器人、3D打印、智能儀表等)、工業軟件(CAX、MES、ERP、PLM等)、IT資源(計算資源、存儲資源、網絡資源等)、大數據資源(設備數據、物料數據、客戶數據、知識庫等),不僅可以直接向產業用戶提供資源服務,也可通過軟件應用將資源服務封裝之後,作為應用向最終用戶提供。
3 國內外工業雲平臺發展現狀
3.1 國外工業雲平臺發展現狀
3.1.1 Predix平臺(如圖2所示)
圖2 Predix平臺架構圖
GE的Predix平臺是全球第一個專為工業數據與分析而開發的操作系統,是唯一一個針對數字雙胞胎進行優化的平臺和學習系統,Predix平臺是一個基於雲的平臺即服務(PaaS)系統。經過多年的完善,已經超越了平臺的概念,集邊緣、平臺、應用為一體。Predix 的全面開放吸引了大量軟件開發者加入,真正形成了一個“工業社區”,以眾人之智,開發更多工業應用程序,推動數字工業創新。Predix平臺具有以下優勢:
(1)熟知行業動態,擁有發電、製造等行業的幾十年經驗,滿足行業獨特需求;
(2)每天保護和監測工業資產的5000萬個數據元素,努力防止非計劃停工;
(3)通過利用常用控件,使平臺符合60多個國家和國際監管機構規定;
(4)以廣泛的連通性和安全功能在網絡邊界安全地連接任何工業資產;
(5)在工業規模上管理數據,滿足工業機器數據之高速率、大容量和多種類要求;
(6)能夠利用物理和工程基礎模型及統計和啟發式模型,對工業數據進行科學處理,並能夠通過工業業務流程不斷的學習。
3.1.2 Ability平臺(如圖3所示)
圖3 Ability平臺架構圖
ABB的Ability平臺是ABB集團從設備到邊緣計算到雲的跨行業、一體化的數字化能力的集中體現。Ability平臺是一個一體化的工業互聯網平臺和雲基礎設施,提供了一個端到端閉環的解決方案,擁有世界上最大的聯網工業設備裝機量,連接了7000萬臺數字化設備,7萬套數字化控制系統並提供了6000個企業軟件解決方案。它以ABB在技術、工業和數字領域的領先專業知識為基礎,使企業能夠駕馭工業數據的力量。該平臺使客戶能夠安全地集成並整合他們的數據、與更廣泛的行業數據結合、應用大數據和預測分析並生成可以幫助客戶提高績效和生產率的建議。Ability平臺採用了微軟Azure開源雲平臺,擁有行業領先的跨行業數字化解決方案,並與IBM Watson物聯網認知計算技術聯手為電力、工業、交通和基礎設施領域的客戶創造新的價值。同時,Ability平臺通過提供定製化的報告,可以幫助客戶較大的提高生產效率並預判問題的發生。
3.2 國內工業雲平臺發展現狀
3.2.1 INDICS+CMSS平臺(如圖4所示)
圖4 INDICS+CMSS平臺
航天雲網公司作為國家工業互聯網行業領航者,基於INDICS+CMSS工業互聯網公共服務平臺,建設規劃了以“平臺總體架構、平臺產品與服務、智能製造、工業大數據、網絡與信息安全”5大板塊為核心的“1+4”發展體系,以“互聯網+智能製造”為支撐,面向社會提供“一腦一艙兩室兩站一淘金”服務,同步打造自主可控的工業互聯網安全生態環境,建設雲製造產業集群生態,構建適應互聯網經濟的製造業新業態,有力推動我國建設成為引領世界製造業發展的製造強國。
INDICS雲平臺,基於業界主流開源PaaS雲平臺Cloud Foundry基礎架構作為底層支撐架構,提供應用支撐和運行環境,有效支持工業雲的能力擴展,還自建有數據中心,直接提供基礎設施層(IaaS層)和通用平臺層(PaaS層)的基礎雲服務。CMSS支撐環境主要實現雲製造模式下企業/工業應用服務的動態集成與協同,包括基於區塊鏈製造服務動態集成(區塊鏈企業認證、製造服務動態集成)和基於數字雙胞胎的業務智能協同(CPDM、CRP、CMES、CRTI),支持將工業軟件和模塊按不同的價值快速組合在一起;應用APPs層,分為工業應用APPs和生態應用APPs。工業應用APPs提供智慧研發、精益製造、智能服務、智慧企業等工業APP應用,主要支持面向管理的智能化改造應用和生態企業管理應用。生態應用APPs,提供企業智能化改造應用,企業雲端協作應用和企業生態應用等APP,主要支持企業智能化改造應用、企業雲端協作應用和企業生態應用。
3.2.2 中科雲翼互聯智造服務平臺(如圖5所示)
圖5 中科雲翼互聯智造服務平臺
中國科學院瀋陽自動化研究所在工業互聯網平臺建設方面具有深厚的設計、研發、測試和商用經驗,自主研發的中科雲翼互聯智造服務雲平臺對標國際領先互聯網平臺,是國內唯一支持CloudFoundry/Kubernetes的工業雲平臺,是國內唯一支持可視化數據分析流程建模工具的平臺,形成了自主、安全可控的大型工業雲平臺軟件產品,能夠有效打通企業、各創新主體間的信息壁壘,匯聚、整合企業內、外資源,實現開放共享、協同創新的智能製造。平臺研發的數字工廠可視化建模服務,符合ISA 95國際標準,實現全生產要素的聯合建模,形成以產品模型為中心的製造資源協調調度與生產事件觸發機制,為製造業務組織與研發、系統應用間數據集成提供基礎;研發的“工業雲腦”為產品的全生命週期賦能,融合機器學習算法庫、機理模型庫、可視化分析模型訓練與多維大數據展示等數據分析工具,為生產過程智能化分析與決策提供。平臺還打造了具有靈活配置特性的雲MES系統,面向離散裝配製企業,提供涵蓋計劃、物料、質量、設備、跟蹤、統計等全流程製造過程雲端管控方案,並建立雲應用市場,面向應用開發者、集成商、研發機構彙集各類工業APP,為製造企業建立獨立的租戶空間,實現應用的自由選擇與部署運行。
同時,中國科學院瀋陽自動化研究所入選了《第一批智能製造系統解決方案供應商推薦目錄》,是中國工業技術軟件化產業聯盟副理事長單位,並同GE建立聯合ME實驗室。
4 國內外工業雲平臺的信息安全發展現狀
4.1 國外工業雲平臺信息安全發展現狀
4.1.1 Predix平臺
Predix平臺的目標是構建端至端信任的工業級安全。目前已經制定了一個全面的安全戰略,結合安全認證、硬件、軟件、專業知識和最佳實踐,創造一個工業企業信任環境。這些“信任支柱”可以表示如下四點:
(1)治理和認證
治理和認證是處理敏感信息的工業互聯網平臺之重要組成部分。Predix平臺從終端用戶到運營基礎設施構建端至端治理。Predix在其架構中對治理和認證進行直接整合,而不是將治理和認證分層加入現有的信息技術數據流程,對每個終端用戶企業的數據獲取、整合和安全進行管理。
(2)平臺強化
在評估雲技術時,工業企業經常關注嵌入系統正常功能的計量性和可見性水平。GE 在每個層和連接點進行了平臺強化,適當移除了不必要的服務、應用程序、網絡協議以及配置的操作系統用戶驗證和資源控制。配置了自動和手動控制方法,以識別和修補系統漏洞。啟用了適用於用戶、設備、軟件和數據的通用標識和分層標識,以此形成一體化的潔淨運行環境。
(3)工業應用程序安全保障
建立安全的軟件開發環境至關重要。Predix自動內置安全、治理和隱私網絡保護,不受開發人員或應用程序本身影響。對於所有的應用程序和微服務, Predix基礎設施團隊執行完整的“DevOpsSec”(開發運行安全)流程。作為開發運行安全流程的一部分,Predix提供可用的工具,幫助開發人員創建安全的工作流程,妥善處理數據,評估應用程序用戶,並在整個開發過程中對應用程序和應用編程接口進行動態測試。這包括在部署之前建立基準並突出潛在安全問題的能力。Predix通過進行開發運行安全靜態與動態綜合自動測試,幫助保持新代碼儘可能潔淨。Predix還可以對進入開發區域的新型微服務進行調查,檢測任何異常或可疑行為。這種方法可以極大降低惡意軟件進入運行環境的可能性。
(4)持續監控
維護安全需要具備全面可見性。Predix通過在每一層進行持續監控,通過數據丟失防護和來自外部網絡的惡意軟件檢測,以及通過應用程序或微服務全程實現這一目標。這種可見性延伸至與操作技術環境的交流,併為Predix安全運行團隊創建一個“熱圖”儀表盤,用於保護Predix所服務的客戶。Predix團隊還提供用戶組織機構共同責任指導,對應用程序和數據層進行控制。
4.1.2 Ability平臺
Ability平臺主要提供的安全服務主要分為以下三個部分:
(1)使用ABB專有的安全記錄器自動收集非侵入性數據
ABB網絡安全基準測試是一種應用於控制系統的非侵入式服務,可以幫助客戶確定整體網絡的安全狀態。作為全面網絡安全戰略的第一步,基準測試收集控制系統數據,以識別安全策略,程序,協議和計算機設置中的潛在弱點。數據收集只擁有較低的運行優先級,這樣可以避免在系統運行中產生壓力,並輸出一個紅綠燈報告,按嚴重程度對KPI進行排名。這種分析可以提供響應性決策,並確保有多層保護措施。
(2)分析關鍵績效指標(KPI)以發現可能存在的安全漏洞
ABB Cyber Security Benchmark收集並分析以下KPI的數據,加速解決問題:
- 程序和協議:指令和政策的可用性和一致性;
- 安全策略:遵守在系統上實施的策略,從中央服務器強制執行或在單個計算機上實施;
- 計算機設置:確保在每臺計算機系統上駐留適當的設置和應用程序。
(3)提供易於閱讀的紅綠燈報告
完成基準分析後,ABB會提供紅綠燈報告,使客戶直觀地瞭解結果。該報告以三種顏色(紅色、黃色和綠色)顯示系統KPI,分別說明控制系統風險等級分別為高、中或低。雖然綠色表示可接受的安全風險,但這並不意味著系統不受攻擊。但是,它確實表明系統具有良好的基本安全性,因此降低了攻擊風險。
4.2 國內工業雲平臺信息安全發展現狀
4.2.1 INDICS+CMSS平臺
航天雲網的工業雲平臺及業務系統的安全策略為:主要保障個性化定製、網絡化協同以及服務化延伸等工業互聯網應用的安全運行以提供持續的服務能力,防止重要數據的洩露,重點關注工業應用安全、網絡安全、工業數據安全以及智能產品的服務安全,主要涵蓋完整性,保密性和可用性。
( 1 ) 網絡安全:工廠外網( 有線、無線網絡),以及工廠外與用戶、協作企業等實現互聯的公共網絡安全等;
(2)數據安全:工廠內部產生的生產管理數據、生產操作數據以及工廠外部數據等各類數據的安全和用戶隱私保護及企業敏感數據的保護;
(3)應用安全:指支撐工業互聯網業務運行的應用軟件及平臺的安全。
4.2.2 中科雲翼互聯智造服務平臺
中國科學院瀋陽自動化研究所是中國科學院“網絡化控制系統重點實驗室”、遼寧省“工業通信與控制系統重點實驗室”和“工業物聯網重點實驗室”的依託單位,在工業互聯網平臺及安全的共性基礎理論和應用技術等方面取得了一批具有國際水平、具有自主知識產權的成果。由中國科學院瀋陽自動化研究所自主研發的中科雲翼互聯智造服務雲平臺是安全可控的工業雲軟件產品,是國內外首家支持網絡容災特性的雲服務總線,充分利用邊緣側組網與緩存技術,支持雲端網絡中斷情況下關鍵應用本地持續運行1小時以上的能力,滿足工業APP高實時、高可靠的要求,還可以提供面向雲平臺的網絡安全、信息安全及系統使用安全等管理支撐服務,包括身份認證、傳輸加密、安全漏洞檢測、防病毒服務、數據災備、安全日誌、角色權限及性能保障等機制,全方位的保護工業互聯網雲平臺的安全。
此外,研究所在安全設計、攻擊溯源、評估測試、工程應用等方面也具備很強的研究基礎及自主核心知識產權,具備設計、研發和應用工業互聯網企業安全服務一體化平臺的經驗;研發的可信PLC安全模塊產品已應用於工業現場;研發的中科工業防火牆(SIA-IF1000-02TX/v1.0)通過公安部檢測認證,並且在石油、化工行業進行了應用;研發的可信PLC安全模塊(SIA-EAM-P1AV1.0)通過Wurldtech'sAchilles(阿基里斯)網絡設備通信安全健壯性2級測試認證,獲得“Achilles Level II”認證證書,成為國內首家以網絡設備產品形式獲得目前該領域最高級別信息安全認證的單位。同年獲得中國自動化學會頒發的CAIA2018年度最具競爭力創新產品獎。具備從原型系統到商用產品的開發能力,具備產品商用後的服務保障能力和應急處置方案。
5 未來展望
隨著工業互聯網的愈加成熟,工業雲在未來將會發揮越來越重要的作用,更多的工業企業將依賴工業雲,但隨著工業雲的發展,越來越多新的安全問題將會出現,在工業雲的安全防護上也應該採用更多新的思路。本文結合工業雲平臺的發展現狀及工業雲平臺信息安全的發展現狀,總結出以下幾個發展方向:
(1)縱深防禦
縱深防禦是經典信息安全防禦體系在新IT架構變革下的必然發展趨勢。原有的可信邊界日益削弱,攻擊平面也在增多,過去的單層防禦已經難以維繫,而縱深防禦體系能大大增強信息安全的防護能力。多個安全環節協同作戰、互補不足,則會帶來更好的防禦效果。
(2)軟件定義安全
軟件定義安全是一種應用信息安全的設計理念,是一種架構思想,這種思想可以落地為具體的架構設計。基於軟件定義安全的設計理念,用戶的意志最重要,傳統安全設備廠商按照約定的軟件定義安全規範提供細分領域的專業安全設備,用戶通過API級的互動,深度整合這些安全設備形成一個有機的整體,提升了整體安全性。
(3)安全設備虛擬化
安全設備虛擬化是安全硬件的軟化( 例如Hypervisor化、container化、或進程化),也即利用各種不同的虛擬化技術,藉助雲平臺上標準的計算單元創造一個安全設備。安全設備虛擬化帶來的好處是大大降低了成本、同時提高了敏捷度,甚至提高了併發性能。
作者簡介
佟國毓(1992-),遼寧葫蘆島人,碩士,助理研究員,現就職於中國科學院瀋陽自動化研究所。主要從事工業信息安全、軟件定義網絡信息安全方向研究。
尚文利(1974-),黑龍江北安人,博士,研究員、博士生導師,就職於中國科學院瀋陽自動化研究所。現任IEEE Industrial Electronics Society(IES) Member,第六屆全國工業過程測量控制和自動化標準化技術委員會 (SAC/TC124/SC5)委員,邊緣計算產業聯盟(ECC)信息安全組副主席,工業控制系統信息安全產業聯盟理事。主要從事計算智能與機器學習、工業信息安全、故障診斷與控制優化方向研究。
參考文獻
[1] 工業互聯網產業聯盟. 工業雲安全防護參考方案[Z/OL].
http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=112, 2017.
[2] 工業互聯網產業聯盟. 工業互聯網體系架構(版本1.0)[R/OL].
http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=24, 2016.
[3] Laszka A, Abbas W, Vorobeychik Y, Koutsoukos X. Synergistic Security for the Industrial Internet of Things: Integrating Redundancy, Diversity, and Hardening[J].
Proceedings 2018 IEEE International Conference on Industrial Internet, ICII 2018: 153 - 158.
[4] Huang D, Ke L, Mi B, Wei G, Wang J, Wan S, Zhang X. A Cooperative Denoising Algorithm with Interactive Dynamic Adjustment Function for Security of
Stacker in Industrial Internet of Things[J]. Security and Communication Networks , 2019.
[5] Li Z, Kang J, Yu R, Ye D, Deng Q, Zhang Y. Consortium blockchain for secure energy trading in industrial internet of things[J]. IEEE Transactions on Industrial
Informatics, 2017, 14 (8) : 3690 - 3700.
[6] 劉冬, 程曦, 楊帥鋒, 孫軍. 加強我國工業信息安全的思考[J]. 信息安全與通信保密, 2019, (08) : 24 - 35.
[7] 張翀昊, 唐麗萍. 工業互聯網的安全挑戰及應對策略[J]. 電子技術與軟件工程, 2019, (14) : 198 - 199.
[8] 崔光耀. 工業互聯網日益成為網絡安全主戰場[J].中國信息安全, 2019, (06) : 3.
[9] GE Predix[DB/OL]. https://www.ge.com/cn/b2b/digital/predix.
[10] GE技術白皮書 Predix工業互聯網平臺[Z/OL].
https://www.ge.com/cn/sites/www.ge.com.cn/files/Y_Predix-The-Industrial-Internet-Platform_CN.pdf.
[11] ABB Ability[DB/OL]. https://new.abb.com/abb-ability/zh.
[12] INDICS+CMSS[DB/OL]. http://www.casicloud.com.
[13] INDICS+CMSS白皮書[Z/OL].
http://wenku.casicloud.com/ wk/doc/detail.ht?docId=10000072 600061.
[14] 工業互聯網產業聯盟. 工業互聯網安全框架[Z/OL].
http://www.aii-alliance.org/ index.php?m=content&c=index&a=show&catid=23&id=210, 2018.
摘自《工業控制系統信息安全專刊(第六輯)》
