工業(yè)自動控制系統(tǒng)是由計算機設備與工業(yè)過程控制部件組成的自動控制系統(tǒng)。工業(yè)過程控制部件對實時數(shù)據(jù)進行采集、監(jiān)測,在計算機調(diào)配下,實現(xiàn)設施自動化運行和業(yè)務流程管理與監(jiān)控。隨著制造業(yè)的發(fā)展和當前市場劇烈的競爭,工業(yè)控制受到越來越多的關注,尤其是其安全問題,已是國家安全戰(zhàn)略的重要組成部分。
工業(yè)控制受重視
隨著工業(yè)自動化熱度不斷升溫,中國工業(yè)自動控制系統(tǒng)裝置制造行業(yè)取得了長足的發(fā)展,其發(fā)展產(chǎn)量一直保持在年增長20%以上。
工業(yè)自動控制系統(tǒng)裝置制造,指用于工業(yè)產(chǎn)品制造或加工過程中,連續(xù)自動測量、控制材料或產(chǎn)品的溫度、壓力、粘度等變量的工業(yè)控制用計算機系統(tǒng)、儀表和裝置的制造。
根據(jù)研究院發(fā)布的《2014-2018年中國工業(yè)自動控制系統(tǒng)裝置制造行業(yè)產(chǎn)銷需求預測與轉(zhuǎn)型升級分析報告》分析:2010年,中國工業(yè)自動控制系統(tǒng)裝置制造行業(yè)共完成工業(yè)總產(chǎn)值1495.02億元,同比增長45.71%;產(chǎn)品銷售收入1466.93億元,同比增長44.19%;實現(xiàn)利潤總額138.03億元,同比增長57.41%。國產(chǎn)自動控制系統(tǒng)相繼在火電、化肥、煉油領域取得了突破。
目前,中國的工業(yè)自動化市場主體主要由軟硬件制造商、系統(tǒng)集成商、產(chǎn)品分銷商等組成。中國擁有世界最大的工業(yè)自動控制系統(tǒng)裝置市場,傳統(tǒng)工業(yè)技術(shù)改造、工廠自動化、企業(yè)信息化需要大量的工業(yè)自動化系統(tǒng),市場前景廣闊。
工業(yè)控制自動化技術(shù)正在向智能化、網(wǎng)絡化和集成化方向發(fā)展。基于工業(yè)自動化控制較好的發(fā)展前景,預計2015年工業(yè)自動控制系統(tǒng)裝置制造行業(yè)市場規(guī)模將超過3500億元。
安全問題引擔憂
工業(yè)控制系統(tǒng)的使用范圍不僅僅限于制造業(yè),在礦產(chǎn)、公用事業(yè)、航空航天行業(yè)中的使用也相當廣泛。據(jù)不完全統(tǒng)計,超過80%涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。
隨著企業(yè)內(nèi)外網(wǎng)對接、信息系統(tǒng)與客戶及供應商的聯(lián)結(jié)、設備自動化的水平上升,企業(yè)的信息網(wǎng)絡變得更加的開放與智能化。以智能精密機床為例,其系統(tǒng)的通訊方面已經(jīng)配備了微機上才具備的USB接口與網(wǎng)線接口,未來的生產(chǎn)指令與調(diào)度程序?qū)⒔y(tǒng)一通過中央控制系統(tǒng)的方式加以推送,生產(chǎn)任務的建立、更換、取消也將更加智能。
然而開放與智能帶來的副作用就是安全威脅。有別于傳統(tǒng)的安全威脅,如果工業(yè)控制成為了攻擊的目標導致系統(tǒng)無法正常工作或損壞,那么將不僅僅限于虛擬化的信息層面,而直接影響人員的生命安全。事實上,國外此類事件的發(fā)生已經(jīng)造成了嚴重的后果。
工業(yè)控制系統(tǒng)需要進行橫向分層、縱向分域、區(qū)域分等級進行安全防護。橫向分層用來區(qū)分管理信息系統(tǒng),每層系統(tǒng)有不同的信息系統(tǒng)管理需求,縱向分域用來分離各個不同的生產(chǎn)執(zhí)行業(yè)務線,而區(qū)域分等級將根據(jù)資產(chǎn)與生產(chǎn)過程的核心等級逐級建立層層嚴格防護屏障,一旦產(chǎn)生了安全威脅能夠?qū)⑼{控制在最小層面,防止其向其它層面擴散,最大程度上保證整體工業(yè)生產(chǎn)系統(tǒng)的安全與穩(wěn)定。
通常橫向分層分為計劃管理層、制造執(zhí)行層、工業(yè)控制層。計劃管理層一般包括了以ERP為核心的管理信息系統(tǒng)。制造執(zhí)行層處于工業(yè)控制層與計劃管理層之間,主要負責生產(chǎn)管理和調(diào)度執(zhí)行,通過制造執(zhí)行層管理者可以及時掌握和了解生產(chǎn)工藝各流程的運行狀況和工藝參數(shù)的變化,實現(xiàn)對工藝的過程監(jiān)視與控制。
工業(yè)控制層是直接面向生產(chǎn)的終端層,由自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成,完成具體的加工作業(yè)、檢測和操控作業(yè)、作業(yè)管理等功能。
根據(jù)業(yè)界專業(yè)觀點,工控系統(tǒng)的三層橫向分層中需要對層與層之間的數(shù)據(jù)交換和信息處理進行防護,催生了工控系統(tǒng)的兩層防護體系。首先是計劃管理層與制造執(zhí)行層之間進行的防護,避免這兩層系統(tǒng)通訊交換帶來的威脅,具體表現(xiàn)形式為避免非授權(quán)訪問和濫用、對操作失誤篡改數(shù)據(jù)及抵賴行為的可控制、可追溯性、避免終端違規(guī)操作、及時發(fā)現(xiàn)非法入侵行為、過濾惡意代碼。
其次是制造執(zhí)行層與工業(yè)控制層之間的安全防護,通過部署工業(yè)安全防火墻的方式能夠避免從計劃管理層未經(jīng)授權(quán)的指令或者有害代碼,完成區(qū)域隔離、通信管控、實時報警等重要功能。
相對于其他行業(yè)信息安全防護,工控安全防護在實時性、可靠性及安全性方面的需求等級更高,要求也更加嚴格。一旦發(fā)生了安全威脅,需要在最短的時間內(nèi)進行發(fā)現(xiàn)、矯正或者停止作業(yè),防止危害進一步向其他系統(tǒng)或者層級滲透,同時能夠第一時間發(fā)出警報供安全管理人員和生產(chǎn)執(zhí)行人員知曉,及時采取行動應對特殊事件。
基于工控安全的特點,需要通過四類產(chǎn)品對此領域安全進行全面防護:網(wǎng)關類安全產(chǎn)品、異常檢測類產(chǎn)品、安全管理類產(chǎn)品、日志審批類產(chǎn),而這四類產(chǎn)品均需對于工業(yè)安全進行針對性的調(diào)整和優(yōu)化才能保證整體的安全。
工控安全在設計及應用方面具有其特殊性,例如工業(yè)管理系統(tǒng)中通常不會采用TCP/IP或者IPX這樣的常用協(xié)議,而采用系統(tǒng)間或者生產(chǎn)廠商自建的專門協(xié)議,這類協(xié)議的建立一方面是生產(chǎn)廠商對于自身商業(yè)利益產(chǎn)品閉環(huán)的考慮,另一方面是出于對安全的考慮。在傳統(tǒng)協(xié)議上傳播的安全威脅難以對專用協(xié)議產(chǎn)生影響,但隨著威脅程度不