構建多層次工業互聯網安全保障體系的思考

◎方濱興 院士

理解工業泛在網

工業互聯網，首先應該叫工業泛在網，但是說工業泛在網很多人會接受不了，因為工業互聯網已經是被傳播很廣的概念。我們一說互聯網肯定想的是IP化，工業網不一定是IP化的，到末端控制肯定還不是IP的，無非是“互聯網+”的概念，將工業和互聯網融合在一起。

構造工業互聯網有三個要素：控制、通信、計算。控制是根本，我們對它做互聯化的時候，需要把信息進行傳遞，傳遞靠的是通信，所以通信是它的支撐。通信的目的是要拿出來計算，來決定怎么控制更好，我們最后追求的是智能控制，工業控制角度來說是要實現智能制造，這要靠計算。這是它的三要素，控制、通信、計算是最基本的邏輯。它還需要傳感網從控制端把信息采出來，然后通過通信傳出去，再傳給計算平臺。這時候才是真正的工業互聯網，工業互聯網下面還有一個互聯網，叫工業計算機網。

工業傳感網和工業互聯網是子集關系，圍繞著從控制網往外走，從控制輻射到通信就是傳感，從控制輻射到計算就是物聯。為了把這個事情說清楚，當我做數據采集時關注的是傳感網的建設，當我計算完了之后做反饋、控制時我關注的是物聯網。這是我講的“3+3模型”，討論的前提。

計算機側重于信息處理，需要構建大規模信息處理平臺（云計算平臺），因為柔性制造、智能制造都需要很復雜的計算，需要有云來解決問題。還要基于廣域網，遠程互聯網控制體系，實現遠程管理。因為強調遠程所以才強調IP化，IP化解決遠程是最容易，這樣就能建立面向工業大數據的存儲、集成、訪問、分析、管理的開發環境，最終形成智能控制體系，支撐智能制造。

工業互聯網側重的是廠內網絡傳輸，進廠就不再IP化了，它要解決的是傳輸、標識與控制。通過工業網關，短距離無線通信、低功耗廣域網和OPC UA等互聯互通技術，將信息化通信技術與行業特征有效結合，反饋到控制端的控制行為。

工業傳感網是工業物聯網的一部分，它是個子集。它側重于信息收集，主要是構成精準高效、實時的傳輸體系，實現末端智能感知，包括各種類型的傳感器、RFID、攝像頭以及中短距離的傳感器與無線傳感網絡等，實現現場的數據采集。

任何東西的發展都是循序漸進的過程，不是從局部到整體的發展，而是從模糊到清晰的發展過程。很早就有了傳感網，那時候傳感網的概念比現在還大，那時候互聯網又是另一個概念，但這個技術到現在才拎清了，每個概念就這樣走過來了，包括從工業里輔助、支撐、變革，都有一個過程。但這個過程并不是說以前先做了這款，現在完成了那款，并不完全是這樣。以前做這款有了這個技術，現在這個技術清晰化了，我要扮演確切的角色，而不是完整的角色。

這樣我們形成了智能制造的愿景。智能制造首先要有工業互聯網，也就是工業泛在網，因為它包含了計算機網、物聯網和傳感網，還要加上材料、設計、工藝等等。一是信息化，二是工業化，電子技術和機械技術加在一起，才能構成這樣的智能制造的解析，具體可以涉及到傳感機器、智能機器、分析、計算、互聯、工業App等等。

工業互聯網面臨多層面的威脅

威脅可以表現為多個層面，底層是工業傳感網，信息要抓出來，這里面有它的問題，因為它是特別底層，里面有核心設備，最底層的核心設備都是別人的，核心技術自主可控的程度很低，受制于人，別人的設備我們可能會有些風險；到了物聯網這一層，我們首先有控制層，一樣比較核心的東西在別人手里；還有管理層，管理層有管理層的問題；還要有再上層計算機網絡層，有企業層和決策層，把這五個層對應五個問題簡單這樣表達一下。

工業終端控制層面，從閉環走向開環，我們才能解決工業互聯問題，從閉環走向開環就會有開放帶來的問題，過去我們是在真空罐里，里面沒有外來的威脅，只有人為的破壞，只要把人為破壞控制住就可以了。突然把它打開了，離開真空，走向大氣，問題也就來了。我經常演示進入別人的工控系統里，比如西門子系統、電力控制系統，很多原因是他們的口令很簡單。這些搞控制的人過去都是習慣于封閉，覺得安全是由警衛保證的、探頭保證的、門禁保證的，都是一種物理空間的局域保障。沒有想到網絡控制，別人確實很容易就進去了，這是開放帶來的問題。

說到工控的安全，我知道一個顛覆不破的真理，只要軟件是代碼做成的，代碼是可替換的，你就會有被攻擊的機會。柔性的一定是代碼方式，哪怕你是FPGA也是可擦除的FPGA。早的震網是從WinCC進去的，一直走到它的PLC。2015年“黑色能量”直接攻擊到電力部門，它有個Killdisk的釋放，對它進行了刪除。2016年“工業破壞者”可以對負載進行攻擊，包括探測器都內置在里面。2017年，工業“勒索病毒”，也是直接控制它的控制器進行勒索，你不給我錢電源就會斷掉，所有這些最后都是因為你背后還是代碼制，除非你這塊完全不是代碼，不可改動。什么情況完全不是代碼？我們搞可信計算，可信根不是代碼，不可改動。一旦可改的話，你無法保證它不會被別人改動。

后門的問題，大家都以為是一些穿梭式的，這是一個現實，一個軍工企業在廣州采購的設備運到蘭州使用，用不了。為什么用不了呢？人家可以監控你的地理坐標，發現地理坐標改了就禁止你使用，你不知道有這個功能，沒有人告訴你有這個功能。我們說什么叫后門？沒有通知你有這種功能，還能控制你。如果是漏洞的話他也不知道，如果授權的話，這就是前門，你不能這么做，我這里專門有這么一個系統，你要這么做就有什么問題。比如Windows歷史上給人做完黑屏之后就告訴大家，只要你不是正版我就可以黑屏。當他把這個話說出來的時候就不是后門了，就是事先告訴你。可是有些事兒他不告訴你，悄悄放一個，他可能還悄悄把你東西拖走。我認為他還比較仁慈，就限制而已，如果不仁慈的話，你用吧，首先看能不能和我連通，只要能連通你就用吧，把你的參數我都帶走，因為我知道你搞機密的，拿你機密更好，你用就用吧。這種事情都叫后門，后門誰制裁呢？只有靠法律制裁。

為什么我們老說民族產品，不是說民族產品就不做壞事，是他不敢做壞事，因為法律能制裁它。要是外國人試試，你能把我怎么著，頂多不讓我做市場。所以，我們在關鍵部門要自主可控，要在法律框架下保證安全。我們經常說，管理解決不了的問題靠技術，技術解決不了的問題靠管理。這里面有這么多的核心設備和核心技術都在別人手里。

開放也是個問題，歷史上說隔離，你現在要有工業云，就必須開放，開放的話，各種協議你若掌握不全，人們利用他所熟悉的協議可以滲透進來做各種攻擊，這種風險變得非常重要。我們說工業大數據來了，你搞智能制造，搞柔性制造，都是需要這些基礎。大數據也有大數據的安全問題，當然，隱私是個比較主要的事情。還有比較關鍵的，我給你一些錯誤數據，尤其當我們想用智能的時候。人工智能安全里的算法很容易被攻擊，他把數據一定假設成是精確的，不精確就有問題。

舉個例子，大家都知道AlphaGo下棋非常牛，誰都下不過它。但從安全視角來說，AlphaGo有個被攻擊的地方，AlphaGo是沒有手的，下棋的時候它出個棋譜，有人替他下，它說我走這兒，這個人把子放在那兒，有一只人的手替它做。這里出現一個什么問題，當他決定把子下到比如H9點，這個人腦袋暈了，把子下到H8點，然后AlphaGo可以一輸到底。為什么？他一直以為你在H9點，就按著H9點往下走，可是那個人看的是H8點。

這說明什么問題，一個數據輸入的錯誤可以讓它崩潰掉。大數據也一樣，當你高度依賴大數據，而且工業大數據不一定是大數據，但依賴是要精準的，不能夠是模糊的、概念的。真正大數據可以模糊概念，比如醫療大數據可以模糊概念，我改你的數據會給你帶來問題。現在我們需要新的思路來應對信息安全問題，來應對它的融合問題，他們按照這個思路走就可以走得非常好，我們需要有實驗、經驗、評估攻防演練擬合的平臺，才能夠去發現什么是可被攻擊的點，什么是風險點。

構建工業互聯網安全保障體系

構建工業互聯網安全綜合保障體系，我們的認識應該從自主可控開始，這是本質安全，還有安全實驗平臺，深度防護體系和公共服務體系。本質保障就是我們從各個層面都要自主可控，各個層面都要解決自己的問題，包括工業控制系統自動化的實施，工業核心產品設備產業化，工控核心技術的創新研究。

物聯網安全核心在控制安全，控制、通信和計算這個三角形歷史上早就有，歷史上沒有從計算到控制這個邊，都是控制轉給通信，通信轉給計算，計算算完結束。過去沒有遠程控制，都是近場控制，事先定好的控制模型就地控制。現在柔性之后要遠程控制，控制結果會給它帶來不可逆的后果。當然，制造方面沒有什么危險，我們說如果不是制造，是飛機的飛行控制，你告訴他，現在速度很低，你給我再加速，這個速度很低是哪兒來的呢？是采樣來的速度。我說這個速度不夠，應該再加速，加速完了再從計算結果回饋，但它采樣數據對不對？采樣數據錯了怎么辦？傳感網出問題就決策出問題，給的訪問控制就出問題，訪問控制出問題就是災難。

我們需要有個感知，把仿真的速度和采集結果做個比較，如果差異很大，就要人為控制，肯定是哪兒出了問題，這是我們感知要解決的問題。任何攻擊過來，給它一個異常的東西，我得知道什么叫異常，發命令永遠是對的，但這個時候該不該發這個命令，我事先該有個預判，這個命令有沒有異常。比如現在我做了一個被黑網頁發現系統，我現在知道很多網頁被黑，他自己不知道我知道。這個道理很簡單，我就搜原來網頁的框架，比如新浪原來網頁的框架，別看它內容老改，框架不改，每次比較這個框架變沒變，框架變了我就假定被黑了，這就相當于一種態勢感知，我先知道你應該是什么，正常是什么。當然，還有漏洞和管制都是要做的。

關于安全模型，安全從哪兒下手？首先是計算，計算的本質是云和大數據，所以，要解決的是云安全和大數據安全，也就是要有云端可信，大數據協同安全。然后是通訊，通訊其實就是保證可靠傳輸，你要有多條傳輸通道，有多種傳輸方式，如果信息很重要的話，不能是單一方式，因為容災的前提是異構。控制，就是漏洞發現和審計，本質安全也要解決不會有人為的后門，當這個東西是人為設計的就叫后門，如果設計者都不知道還有這個東西，它就叫漏洞。所以，很多后門都被冒充為漏洞，因為它不想擔責任，有人發現他就說我不知道，我打補丁。

所以，構建工業互聯網安全綜合保障體系最核心的還是要本質安全，實現自主可控。