|
|
【编者按】
11 月 2 日,由中国科学院、中国工程院、广东省人民政府指导,广东院士联合会、东莞市政府主办的 "2018 粤港澳大湾区院士峰会暨第四届广东院士高峰年会 " 在东莞市开幕,在下午的 " 新一代信息前沿技术与智能制造论坛 " 上,中国工程院院士、中国科学院计算所原所长方滨兴发表了《构建多层次工业互联网安全保障体系的思考》的主题演讲。
他分析了工业互联网面临的安全威胁,提出了构建工业互联网安全综合保障体系的意见和建议,并对公共安全服务体系、深度安全防护体系、安全试验验证平台、自主可控产品体系搭建进行了解读。
文章内容有所删减,供业内人士参考。
11 月 2 日,由中国科学院、中国工程院、广东省人民政府指导,广东院士联合会、东莞市政府主办的"2018 粤港澳大湾区院士峰会暨第四届广东院士高峰年会 "在东莞市开幕,本次年会以" 拥抱新时代,抢抓新机遇,激发新动能 "为主题,逾 60 名院士和超百名科学研究领域的专家学者,以及来自百度、华为等公司的一线技术负责人齐聚一堂,围绕智能制造、再生医学、人工智能等议题展开深入探讨。
据了解,广东院士联合会是由早广东工作院士和广东籍院士自主发起,由院士自愿组成的非营利性机构,旨在团结和凝聚国内外广东籍及在广东工作院士的智慧和力量,同时以此为平台汇聚国内外高端创新要素,提升广东自主创新能力,为广东经济社会发展提供有力的科技和人才支撑。而广东院士高峰年会是广东院士联合会着力打造的一个品牌活动,至今已成功举办三届。四年来,广东院士联合会聚集了两百多名粤籍和在粤工作院士,及约 1300 名紧密联络的高端科技人才,并还在不断吸纳和培育更多创新力量。
在 11 月 2 日下午的 " 新一代信息前沿技术与智能制造论坛 " 上,中国工程院院士、中国科学院计算所原所长方滨兴发表了《构建多层次工业互联网安全保障体系的思考》的主题演讲,他分析了工业互联网面临的安全威胁,提出了构建工业互联网安全综合保障体系的意见和建议,并对公共安全服务体系、深度安全防护体系、安全试验验证平台、自主可控产品体系搭建进行了解读。
以下为方滨兴院士演讲全文:</b>
大家好!我今天报告的题目是《构建多层次工业互联网安全保障体系的思考》。
首先,我想强调的是今天的演讲中我们主要谈到的是 " 工业控制网 "。为什么我会在工业互联网的概念这么热闹的时候强调工业控制网,因为我认为我们本身做的就是工业控制网。
构造工业互联网有三个要素:控制、通信、计算。我认为控制是根本,我们对它做互联化的时候,需要把信息进行传递,传递靠的是通信,所以通信是它的支撑。通信的目的是要拿出来计算,来决定怎么控制更好,我们最后追求的是智能控制,工业控制角度来说是要实现智能制造,这要靠计算。这是它的三要素,控制、通信、计算是最基本的逻辑。它还需要传感网从控制端把信息采出来,然后通过通信传出去,再传给计算平台。这时候才是真正的工业互联网,工业互联网下面还有一个互联网,叫工业计算机网。
工业传感网和工业互联网是子集关系,围绕着从控制网往外走,从控制辐射到通信就是传感,从控制辐射到计算就是物联。为了把这个事情说清楚,当我做数据采集时关注的是传感网的建设,当我计算完了之后做反馈、控制时我关注的是物联网。这是我讲的 "3+3 模型 ",讨论的前提。
计算机侧重于信息处理,需要构建大规模信息处理平台,也就是云计算平台,因为柔性制造、智能制造都需要很复杂的计算,需要有云来解决问题。还要基于广域网,远程互联网控制体系,实现远程管理。因为强调远程所以才强调 IP 化,IP 化解决远程是最容易,这样就能建立面向工业大数据的存储、集成、访问、分析、管理的开发环境,最终形成智能控制体系,支撑智能制造。
工业互联网侧重的是厂内网络传输,进厂就不再 IP 化了,它要解决的是传输、标识与控制。通过工业网关,短距离无线通信、低功耗广域网和 OPC UA 等互联互通技术,将信息化通信技术与行业特征有效结合,反馈到控制端的控制行为。
工业传感网是工业物联网的一部分,它是个子集。它侧重于信息收集,主要是构成精准高效、实时的传输体系,实现末端智能感知,包括各种类型的传感器、RFID、摄像头以及中短距离的传感器与无线传感网络等,实现现场的数据采集。
任何东西的发展都是循序渐进的过程,不是从局部到整体的发展,而是从模糊到清晰的发展过程。很早就有了传感网,那时候传感网的概念比现在还大,那时候互联网又是另一个概念,但这个技术到现在才拎清了,每个概念就这样走过来了,包括从工业里辅助、支撑、变革,都有一个过程。但这个过程并不是说以前先做了这款,现在完成了那款,并不完全是这样。以前做这款有了这个技术,现在这个技术清晰化了,我要扮演确切的角色,而不是完整的角色。
这样我们形成了智能制造的愿景。智能制造首先要有工业互联网,也就是工业泛在网,因为它包含了计算机网、物联网和传感网,还要加上材料、设计、工艺等等。一是信息化,二是工业化,电子技术和机械技术加在一起,才能构成这样的智能制造的解析,具体可以涉及到传感机器、智能机器、分析、计算、互联、工业 App 等等。
工业互联网会面临什么样的威胁呢?
我认为威胁可以表现为多个层面,底层是工业传感网,信息要抓出来,这里面有它的问题,因为它是特别底层,里面有核心设备,最底层的核心设备都是别人的,核心技术自主可控的程度很低,受制于人,别人的设备我们可能会有些风险;到了物联网这一层,我们首先有控制层,一样比较核心的东西在别人手里;还有管理层,管理层有管理层的问题;还要有再上层计算机网络层,有企业层和决策层,把这五个层对应五个问题简单这样表达一下。
工业终端控制层面,从闭环走向开环,我们才能解决工业互联问题,从闭环走向开环就会有开放带来的问题,过去我们是在真空罐里,里面没有外来的威胁,只有人为的破坏,只要把人为破坏控制住就可以了。突然把它打开了,离开真空,走向大气,问题也就来了。我经常演示进入别人的工控系统里,比如西门子系统、电力控制系统,很多原因是他们的口令很简单。这些搞控制的人过去都是习惯于封闭,觉得安全是由警卫保证的、探头保证的、门禁保证的,都是一种物理空间的局域保障。没有想到网络控制,别人确实很容易就进去了,这是开放带来的问题。
说到工控的安全,我知道一个颠覆不破的真理,只要软件是代码做成的,代码是可替换的,你就会有被攻击的机会。柔性的一定是代码方式,哪怕你是 FPGA 也是可擦除的 FPGA。早的震网是从 WinCC 进去的,一直走到它的 PLC。2015 年 " 黑色能量 " 直接攻击到电力部门,它有个 Killdisk 的释放,对它进行了删除。2016 年 " 工业破坏者 " 可以对负载进行攻击,包括探测器都内置在里面。2017 年,工业 " 勒索病毒 ",也是直接控制它的控制器进行勒索,你不给我钱电源就会断掉,所有这些最后都是因为你背后还是代码制,除非你这块完全不是代码,不可改动。什么情况完全不是代码?我们搞可信计算,可信根不是代码,不可改动。一旦可改的话,你无法保证它不会被别人改动。
后门的问题,大家都以为是一些穿梭式的,这是一个现实,一个军工企业在广州采购的设备运到兰州使用,用不了。为什么用不了呢?人家可以监控你的地理坐标,发现地理坐标改了就禁止你使用,你不知道有这个功能,没有人告诉你有这个功能。我们说什么叫后门?没有通知你有这种功能,还能控制你。如果是漏洞的话他也不知道,如果授权的话,这就是前门,你不能这么做,我这里专门有这么一个系统,你要这么做就有什么问题。比如 Windows 历史上给人做完黑屏之后就告诉大家,只要你不是正版我就可以黑屏。当他把这个话说出来的时候就不是后门了,就是事先告诉你。可是有些事儿他不告诉你,悄悄放一个,他可能还悄悄把你东西拖走。我认为他还比较仁慈,就限制而已,如果不仁慈的话,你用吧,首先看能不能和我连通,只要能连通你就用吧,把你的参数我都带走,因为我知道你搞机密的,拿你机密更好,你用就用吧。这种事情都叫后门,后门谁制裁呢?只有靠法律制裁。
为什么我们老说民族产品,不是说民族产品就不做坏事,是他不敢做坏事,因为法律能制裁它。要是外国人试试,你能把我怎么着,顶多不让我做市场。所以,我们在关键部门要自主可控,要在法律框架下保证安全。我们经常说,管理解决不了的问题靠技术,技术解决不了的问题靠管理。这里面有这么多的核心设备和核心技术都在别人手里。
开放也是个问题,历史上说隔离,你现在要有工业云,就必须开放,开放的话,各种协议你若掌握不全,人们利用他所熟悉的协议可以渗透进来做各种攻击,这种风险变得非常重要。我们说工业大数据来了,你搞智能制造,搞柔性制造,都是需要这些基础。大数据也有大数据的安全问题,当然,隐私是个比较主要的事情。还有比较关键的,我给你一些错误数据,尤其当我们想用智能的时候。人工智能安全里的算法很容易被攻击,他把数据一定假设成是精确的,不精确就有问题。
举个例子,大家都知道 AlphaGo 下棋非常牛,谁都下不过它。但从安全视角来说,AlphaGo 有个被攻击的地方,AlphaGo 是没有手的,下棋的时候它出个棋谱,有人替他下,它说我走这儿,这个人把子放在那儿,有一只人的手替它做。这里出现一个什么问题,当他决定把子下到比如 H9 点,这个人脑袋晕了,把子下到 H8 点,然后 AlphaGo 可以一输到底。为什么?他一直以为你在 H9 点,就按着 H9 点往下走,可是那个人看的是 H8 点。
这说明什么问题,一个数据输入的错误可以让它崩溃掉。大数据也一样,当你高度依赖大数据,而且工业大数据不一定是大数据,但依赖是要精准的,不能够是模糊的、概念的。真正大数据可以模糊概念,比如医疗大数据可以模糊概念,我改你的数据会给你带来问题。现在我们需要新的思路来应对信息安全问题,来应对它的融合问题,他们按照这个思路走就可以走得非常好,我们需要有实验、经验、评估攻防演练拟合的平台,才能够去发现什么是可被攻击的点,什么是风险点。
如何构建工业互联网安全保障体系?
构建工业互联网安全综合保障体系,我们的认识应该从自主可控开始,这是本质安全,还有安全实验平台,深度防护体系和公共服务体系。本质保障就是我们从各个层面都要自主可控,各个层面都要解决自己的问题,包括工业控制系统自动化的实施,工业核心产品设备产业化,工控核心技术的创新研究。
物联网安全核心在控制安全,控制、通信和计算这个三角形历史上早就有,历史上没有从计算到控制这个边,都是控制转给通信,通信转给计算,计算算完结束。过去没有远程控制,都是近场控制,事先定好的控制模型就地控制。现在柔性之后要远程控制,控制结果会给它带来不可逆的后果。当然,制造方面没有什么危险,我们说如果不是制造,是飞机的飞行控制,你告诉他,现在速度很低,你给我再加速,这个速度很低是哪儿来的呢?是采样来的速度。我说这个速度不够,应该再加速,加速完了再从计算结果回馈,但它采样数据对不对?采样数据错了怎么办?传感网出问题就决策出问题,给的访问控制就出问题,访问控制出问题就是灾难。
我们需要有个感知,把仿真的速度和采集结果做个比较,如果差异很大,就要人为控制,肯定是哪儿出了问题,这是我们感知要解决的问题。任何攻击过来,给它一个异常的东西,我得知道什么叫异常,发命令永远是对的,但这个时候该不该发这个命令,我事先该有个预判,这个命令有没有异常。比如现在我做了一个被黑网页发现系统,我现在知道很多网页被黑,他自己不知道我知道。这个道理很简单,我就搜原来网页的框架,比如新浪原来网页的框架,别看它内容老改,框架不改,每次比较这个框架变没变,框架变了我就假定被黑了,这就相当于一种态势感知,我先知道你应该是什么,正常是什么。当然,还有漏洞和管制都是要做的。
关于安全模型,安全从哪儿下手?首先是计算,计算的本质是云和大数据,所以,要解决的是云安全和大数据安全,也就是要有云端可信,大数据协同安全。然后是通讯,通讯其实就是保证可靠传输,你要有多条传输通道,有多种传输方式,如果信息很重要的话,不能是单一方式,因为容灾的前提是异构。控制,就是漏洞发现和审计,本质安全也要解决不会有人为的后门,当这个东西是人为设计的就叫后门,如果设计者都不知道还有这个东西,它就叫漏洞。所以,很多后门都被冒充为漏洞,因为它不想担责任,有人发现他就说我不知道,我打补丁。
所以,构建工业互联网安全综合保障体系最核心的还是要本质安全,实现自主可控。
我的报告就到这里,谢谢大家!
|
|
发表于 2018-11-5 02:16:22
收藏
