構(gòu)建多層次工業(yè)互聯(lián)網(wǎng)安全保障體系的思考

◎方濱興 院士

理解工業(yè)泛在網(wǎng)

工業(yè)互聯(lián)網(wǎng)，首先應(yīng)該叫工業(yè)泛在網(wǎng)，但是說(shuō)工業(yè)泛在網(wǎng)很多人會(huì)接受不了，因?yàn)楣I(yè)互聯(lián)網(wǎng)已經(jīng)是被傳播很廣的概念。我們一說(shuō)互聯(lián)網(wǎng)肯定想的是IP化，工業(yè)網(wǎng)不一定是IP化的，到末端控制肯定還不是IP的，無(wú)非是“互聯(lián)網(wǎng)+”的概念，將工業(yè)和互聯(lián)網(wǎng)融合在一起。

構(gòu)造工業(yè)互聯(lián)網(wǎng)有三個(gè)要素：控制、通信、計(jì)算。控制是根本，我們對(duì)它做互聯(lián)化的時(shí)候，需要把信息進(jìn)行傳遞，傳遞靠的是通信，所以通信是它的支撐。通信的目的是要拿出來(lái)計(jì)算，來(lái)決定怎么控制更好，我們最后追求的是智能控制，工業(yè)控制角度來(lái)說(shuō)是要實(shí)現(xiàn)智能制造，這要靠計(jì)算。這是它的三要素，控制、通信、計(jì)算是最基本的邏輯。它還需要傳感網(wǎng)從控制端把信息采出來(lái)，然后通過(guò)通信傳出去，再傳給計(jì)算平臺(tái)。這時(shí)候才是真正的工業(yè)互聯(lián)網(wǎng)，工業(yè)互聯(lián)網(wǎng)下面還有一個(gè)互聯(lián)網(wǎng)，叫工業(yè)計(jì)算機(jī)網(wǎng)。

工業(yè)傳感網(wǎng)和工業(yè)互聯(lián)網(wǎng)是子集關(guān)系，圍繞著從控制網(wǎng)往外走，從控制輻射到通信就是傳感，從控制輻射到計(jì)算就是物聯(lián)。為了把這個(gè)事情說(shuō)清楚，當(dāng)我做數(shù)據(jù)采集時(shí)關(guān)注的是傳感網(wǎng)的建設(shè)，當(dāng)我計(jì)算完了之后做反饋、控制時(shí)我關(guān)注的是物聯(lián)網(wǎng)。這是我講的“3+3模型”，討論的前提。

計(jì)算機(jī)側(cè)重于信息處理，需要構(gòu)建大規(guī)模信息處理平臺(tái)（云計(jì)算平臺(tái)），因?yàn)槿嵝灾圃?、智能制造都需要很?fù)雜的計(jì)算，需要有云來(lái)解決問(wèn)題。還要基于廣域網(wǎng)，遠(yuǎn)程互聯(lián)網(wǎng)控制體系，實(shí)現(xiàn)遠(yuǎn)程管理。因?yàn)閺?qiáng)調(diào)遠(yuǎn)程所以才強(qiáng)調(diào)IP化，IP化解決遠(yuǎn)程是最容易，這樣就能建立面向工業(yè)大數(shù)據(jù)的存儲(chǔ)、集成、訪問(wèn)、分析、管理的開(kāi)發(fā)環(huán)境，最終形成智能控制體系，支撐智能制造。

工業(yè)互聯(lián)網(wǎng)側(cè)重的是廠內(nèi)網(wǎng)絡(luò)傳輸，進(jìn)廠就不再IP化了，它要解決的是傳輸、標(biāo)識(shí)與控制。通過(guò)工業(yè)網(wǎng)關(guān)，短距離無(wú)線通信、低功耗廣域網(wǎng)和OPC UA等互聯(lián)互通技術(shù)，將信息化通信技術(shù)與行業(yè)特征有效結(jié)合，反饋到控制端的控制行為。

工業(yè)傳感網(wǎng)是工業(yè)物聯(lián)網(wǎng)的一部分，它是個(gè)子集。它側(cè)重于信息收集，主要是構(gòu)成精準(zhǔn)高效、實(shí)時(shí)的傳輸體系，實(shí)現(xiàn)末端智能感知，包括各種類型的傳感器、RFID、攝像頭以及中短距離的傳感器與無(wú)線傳感網(wǎng)絡(luò)等，實(shí)現(xiàn)現(xiàn)場(chǎng)的數(shù)據(jù)采集。

任何東西的發(fā)展都是循序漸進(jìn)的過(guò)程，不是從局部到整體的發(fā)展，而是從模糊到清晰的發(fā)展過(guò)程。很早就有了傳感網(wǎng)，那時(shí)候傳感網(wǎng)的概念比現(xiàn)在還大，那時(shí)候互聯(lián)網(wǎng)又是另一個(gè)概念，但這個(gè)技術(shù)到現(xiàn)在才拎清了，每個(gè)概念就這樣走過(guò)來(lái)了，包括從工業(yè)里輔助、支撐、變革，都有一個(gè)過(guò)程。但這個(gè)過(guò)程并不是說(shuō)以前先做了這款，現(xiàn)在完成了那款，并不完全是這樣。以前做這款有了這個(gè)技術(shù)，現(xiàn)在這個(gè)技術(shù)清晰化了，我要扮演確切的角色，而不是完整的角色。

這樣我們形成了智能制造的愿景。智能制造首先要有工業(yè)互聯(lián)網(wǎng)，也就是工業(yè)泛在網(wǎng)，因?yàn)樗擞?jì)算機(jī)網(wǎng)、物聯(lián)網(wǎng)和傳感網(wǎng)，還要加上材料、設(shè)計(jì)、工藝等等。一是信息化，二是工業(yè)化，電子技術(shù)和機(jī)械技術(shù)加在一起，才能構(gòu)成這樣的智能制造的解析，具體可以涉及到傳感機(jī)器、智能機(jī)器、分析、計(jì)算、互聯(lián)、工業(yè)App等等。

工業(yè)互聯(lián)網(wǎng)面臨多層面的威脅

威脅可以表現(xiàn)為多個(gè)層面，底層是工業(yè)傳感網(wǎng)，信息要抓出來(lái)，這里面有它的問(wèn)題，因?yàn)樗翘貏e底層，里面有核心設(shè)備，最底層的核心設(shè)備都是別人的，核心技術(shù)自主可控的程度很低，受制于人，別人的設(shè)備我們可能會(huì)有些風(fēng)險(xiǎn)；到了物聯(lián)網(wǎng)這一層，我們首先有控制層，一樣比較核心的東西在別人手里；還有管理層，管理層有管理層的問(wèn)題；還要有再上層計(jì)算機(jī)網(wǎng)絡(luò)層，有企業(yè)層和決策層，把這五個(gè)層對(duì)應(yīng)五個(gè)問(wèn)題簡(jiǎn)單這樣表達(dá)一下。

工業(yè)終端控制層面，從閉環(huán)走向開(kāi)環(huán)，我們才能解決工業(yè)互聯(lián)問(wèn)題，從閉環(huán)走向開(kāi)環(huán)就會(huì)有開(kāi)放帶來(lái)的問(wèn)題，過(guò)去我們是在真空罐里，里面沒(méi)有外來(lái)的威脅，只有人為的破壞，只要把人為破壞控制住就可以了。突然把它打開(kāi)了，離開(kāi)真空，走向大氣，問(wèn)題也就來(lái)了。我經(jīng)常演示進(jìn)入別人的工控系統(tǒng)里，比如西門子系統(tǒng)、電力控制系統(tǒng)，很多原因是他們的口令很簡(jiǎn)單。這些搞控制的人過(guò)去都是習(xí)慣于封閉，覺(jué)得安全是由警衛(wèi)保證的、探頭保證的、門禁保證的，都是一種物理空間的局域保障。沒(méi)有想到網(wǎng)絡(luò)控制，別人確實(shí)很容易就進(jìn)去了，這是開(kāi)放帶來(lái)的問(wèn)題。

說(shuō)到工控的安全，我知道一個(gè)顛覆不破的真理，只要軟件是代碼做成的，代碼是可替換的，你就會(huì)有被攻擊的機(jī)會(huì)。柔性的一定是代碼方式，哪怕你是FPGA也是可擦除的FPGA。早的震網(wǎng)是從WinCC進(jìn)去的，一直走到它的PLC。2015年“黑色能量”直接攻擊到電力部門，它有個(gè)Killdisk的釋放，對(duì)它進(jìn)行了刪除。2016年“工業(yè)破壞者”可以對(duì)負(fù)載進(jìn)行攻擊，包括探測(cè)器都內(nèi)置在里面。2017年，工業(yè)“勒索病毒”，也是直接控制它的控制器進(jìn)行勒索，你不給我錢電源就會(huì)斷掉，所有這些最后都是因?yàn)槟惚澈筮€是代碼制，除非你這塊完全不是代碼，不可改動(dòng)。什么情況完全不是代碼？我們搞可信計(jì)算，可信根不是代碼，不可改動(dòng)。一旦可改的話，你無(wú)法保證它不會(huì)被別人改動(dòng)。

后門的問(wèn)題，大家都以為是一些穿梭式的，這是一個(gè)現(xiàn)實(shí)，一個(gè)軍工企業(yè)在廣州采購(gòu)的設(shè)備運(yùn)到蘭州使用，用不了。為什么用不了呢？人家可以監(jiān)控你的地理坐標(biāo)，發(fā)現(xiàn)地理坐標(biāo)改了就禁止你使用，你不知道有這個(gè)功能，沒(méi)有人告訴你有這個(gè)功能。我們說(shuō)什么叫后門？沒(méi)有通知你有這種功能，還能控制你。如果是漏洞的話他也不知道，如果授權(quán)的話，這就是前門，你不能這么做，我這里專門有這么一個(gè)系統(tǒng)，你要這么做就有什么問(wèn)題。比如Windows歷史上給人做完黑屏之后就告訴大家，只要你不是正版我就可以黑屏。當(dāng)他把這個(gè)話說(shuō)出來(lái)的時(shí)候就不是后門了，就是事先告訴你?？墒怯行┦聝核桓嬖V你，悄悄放一個(gè)，他可能還悄悄把你東西拖走。我認(rèn)為他還比較仁慈，就限制而已，如果不仁慈的話，你用吧，首先看能不能和我連通，只要能連通你就用吧，把你的參數(shù)我都帶走，因?yàn)槲抑滥愀銠C(jī)密的，拿你機(jī)密更好，你用就用吧。這種事情都叫后門，后門誰(shuí)制裁呢？只有靠法律制裁。

為什么我們老說(shuō)民族產(chǎn)品，不是說(shuō)民族產(chǎn)品就不做壞事，是他不敢做壞事，因?yàn)榉赡苤撇盟?。要是外?guó)人試試，你能把我怎么著，頂多不讓我做市場(chǎng)。所以，我們?cè)陉P(guān)鍵部門要自主可控，要在法律框架下保證安全。我們經(jīng)常說(shuō)，管理解決不了的問(wèn)題靠技術(shù)，技術(shù)解決不了的問(wèn)題靠管理。這里面有這么多的核心設(shè)備和核心技術(shù)都在別人手里。

開(kāi)放也是個(gè)問(wèn)題，歷史上說(shuō)隔離，你現(xiàn)在要有工業(yè)云，就必須開(kāi)放，開(kāi)放的話，各種協(xié)議你若掌握不全，人們利用他所熟悉的協(xié)議可以滲透進(jìn)來(lái)做各種攻擊，這種風(fēng)險(xiǎn)變得非常重要。我們說(shuō)工業(yè)大數(shù)據(jù)來(lái)了，你搞智能制造，搞柔性制造，都是需要這些基礎(chǔ)。大數(shù)據(jù)也有大數(shù)據(jù)的安全問(wèn)題，當(dāng)然，隱私是個(gè)比較主要的事情。還有比較關(guān)鍵的，我給你一些錯(cuò)誤數(shù)據(jù)，尤其當(dāng)我們想用智能的時(shí)候。人工智能安全里的算法很容易被攻擊，他把數(shù)據(jù)一定假設(shè)成是精確的，不精確就有問(wèn)題。

舉個(gè)例子，大家都知道AlphaGo下棋非常牛，誰(shuí)都下不過(guò)它。但從安全視角來(lái)說(shuō)，AlphaGo有個(gè)被攻擊的地方，AlphaGo是沒(méi)有手的，下棋的時(shí)候它出個(gè)棋譜，有人替他下，它說(shuō)我走這兒，這個(gè)人把子放在那兒，有一只人的手替它做。這里出現(xiàn)一個(gè)什么問(wèn)題，當(dāng)他決定把子下到比如H9點(diǎn)，這個(gè)人腦袋暈了，把子下到H8點(diǎn)，然后AlphaGo可以一輸?shù)降?。為什么？他一直以為你在H9點(diǎn)，就按著H9點(diǎn)往下走，可是那個(gè)人看的是H8點(diǎn)。

這說(shuō)明什么問(wèn)題，一個(gè)數(shù)據(jù)輸入的錯(cuò)誤可以讓它崩潰掉。大數(shù)據(jù)也一樣，當(dāng)你高度依賴大數(shù)據(jù)，而且工業(yè)大數(shù)據(jù)不一定是大數(shù)據(jù)，但依賴是要精準(zhǔn)的，不能夠是模糊的、概念的。真正大數(shù)據(jù)可以模糊概念，比如醫(yī)療大數(shù)據(jù)可以模糊概念，我改你的數(shù)據(jù)會(huì)給你帶來(lái)問(wèn)題?，F(xiàn)在我們需要新的思路來(lái)應(yīng)對(duì)信息安全問(wèn)題，來(lái)應(yīng)對(duì)它的融合問(wèn)題，他們按照這個(gè)思路走就可以走得非常好，我們需要有實(shí)驗(yàn)、經(jīng)驗(yàn)、評(píng)估攻防演練擬合的平臺(tái)，才能夠去發(fā)現(xiàn)什么是可被攻擊的點(diǎn)，什么是風(fēng)險(xiǎn)點(diǎn)。

構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系

構(gòu)建工業(yè)互聯(lián)網(wǎng)安全綜合保障體系，我們的認(rèn)識(shí)應(yīng)該從自主可控開(kāi)始，這是本質(zhì)安全，還有安全實(shí)驗(yàn)平臺(tái)，深度防護(hù)體系和公共服務(wù)體系。本質(zhì)保障就是我們從各個(gè)層面都要自主可控，各個(gè)層面都要解決自己的問(wèn)題，包括工業(yè)控制系統(tǒng)自動(dòng)化的實(shí)施，工業(yè)核心產(chǎn)品設(shè)備產(chǎn)業(yè)化，工控核心技術(shù)的創(chuàng)新研究。

物聯(lián)網(wǎng)安全核心在控制安全，控制、通信和計(jì)算這個(gè)三角形歷史上早就有，歷史上沒(méi)有從計(jì)算到控制這個(gè)邊，都是控制轉(zhuǎn)給通信，通信轉(zhuǎn)給計(jì)算，計(jì)算算完結(jié)束。過(guò)去沒(méi)有遠(yuǎn)程控制，都是近場(chǎng)控制，事先定好的控制模型就地控制?，F(xiàn)在柔性之后要遠(yuǎn)程控制，控制結(jié)果會(huì)給它帶來(lái)不可逆的后果。當(dāng)然，制造方面沒(méi)有什么危險(xiǎn)，我們說(shuō)如果不是制造，是飛機(jī)的飛行控制，你告訴他，現(xiàn)在速度很低，你給我再加速，這個(gè)速度很低是哪兒來(lái)的呢？是采樣來(lái)的速度。我說(shuō)這個(gè)速度不夠，應(yīng)該再加速，加速完了再?gòu)挠?jì)算結(jié)果回饋，但它采樣數(shù)據(jù)對(duì)不對(duì)？采樣數(shù)據(jù)錯(cuò)了怎么辦？傳感網(wǎng)出問(wèn)題就決策出問(wèn)題，給的訪問(wèn)控制就出問(wèn)題，訪問(wèn)控制出問(wèn)題就是災(zāi)難。

我們需要有個(gè)感知，把仿真的速度和采集結(jié)果做個(gè)比較，如果差異很大，就要人為控制，肯定是哪兒出了問(wèn)題，這是我們感知要解決的問(wèn)題。任何攻擊過(guò)來(lái)，給它一個(gè)異常的東西，我得知道什么叫異常，發(fā)命令永遠(yuǎn)是對(duì)的，但這個(gè)時(shí)候該不該發(fā)這個(gè)命令，我事先該有個(gè)預(yù)判，這個(gè)命令有沒(méi)有異常。比如現(xiàn)在我做了一個(gè)被黑網(wǎng)頁(yè)發(fā)現(xiàn)系統(tǒng)，我現(xiàn)在知道很多網(wǎng)頁(yè)被黑，他自己不知道我知道。這個(gè)道理很簡(jiǎn)單，我就搜原來(lái)網(wǎng)頁(yè)的框架，比如新浪原來(lái)網(wǎng)頁(yè)的框架，別看它內(nèi)容老改，框架不改，每次比較這個(gè)框架變沒(méi)變，框架變了我就假定被黑了，這就相當(dāng)于一種態(tài)勢(shì)感知，我先知道你應(yīng)該是什么，正常是什么。當(dāng)然，還有漏洞和管制都是要做的。

關(guān)于安全模型，安全從哪兒下手？首先是計(jì)算，計(jì)算的本質(zhì)是云和大數(shù)據(jù)，所以，要解決的是云安全和大數(shù)據(jù)安全，也就是要有云端可信，大數(shù)據(jù)協(xié)同安全。然后是通訊，通訊其實(shí)就是保證可靠傳輸，你要有多條傳輸通道，有多種傳輸方式，如果信息很重要的話，不能是單一方式，因?yàn)槿轂?zāi)的前提是異構(gòu)?？刂?，就是漏洞發(fā)現(xiàn)和審計(jì)，本質(zhì)安全也要解決不會(huì)有人為的后門，當(dāng)這個(gè)東西是人為設(shè)計(jì)的就叫后門，如果設(shè)計(jì)者都不知道還有這個(gè)東西，它就叫漏洞。所以，很多后門都被冒充為漏洞，因?yàn)樗幌霌?dān)責(zé)任，有人發(fā)現(xiàn)他就說(shuō)我不知道，我打補(bǔ)丁。

所以，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全綜合保障體系最核心的還是要本質(zhì)安全，實(shí)現(xiàn)自主可控。