赵剑明，尚文利，齐盈盈，曾 鹏

(1. 中国科学院沈阳自动化研究所，辽宁 沈阳 110016；2. 中国科学院 网络化控制系统重点实验室，辽宁 沈阳 110016)

0 引言

随着工业互联网、云计算等新技术出现和中国制造2025全面推进，工业数字化、网络化、智能化加快发展，工控系统已逐步从封闭隔离系统演进为开放交互系统，随之而来引入了极大的信息安全隐患[1]。我国正面临着工控系统安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。近年来，针对工控系统的安全事故频发，如2010年伊朗核电站“Stuxnet”病毒攻击事件、2015年乌克兰智能电网信息攻击事件、2016年德国核电站恶意程序事件等，工控系统的信息安全规范化的保护建设迫在眉睫[2]。从近些年发生的安全事件可以看出，网络攻击、恶意程序等已经成为了影响工控车间生产的主要攻击原因之一，目前，离散制造车间领域安全防护采用分层纵深的防御架构和边界防护思路，按照生产工艺及其业务程序对应用系统进行分解分区，但这种方法难以有效应对离散制造行业车间发展过程中日益复杂的安全问题[3]。

美国和欧盟高度重视工业控制系统信息安全(简称工控安全)技术发展，大力推动相关前沿技术研究，相继发布保护国家关键基础设施的国家战略和政策法规，建立工控安全国家级实验室，推进全维度工控安全保障体系[4-5]。2017年，美国总统特朗普签署《增强联邦政府网络与关键性基础设施网络安全》行政指令，采取措施增强联邦政府及关键基础设施网络安全。国内工控安全研究起步稍晚，2016年工信化部印发《工业控制系统信息安全防护指南》，2017年十九大报告强调“开展关键信息基础设施保护”。国内研究机构在工控系统安全设备设计、可信计算环境构建、安全威胁分析、系统安全风险测评等方面进行技术研究积累，并随着等保2.0的不断推进[3,6]，已在一定程度上勾勒出了工控安全保障体系框架的原型。

针对轨道交通的离散制造行业，在重点分析其制造车间的基本业务架构、基本网络架构的基础上，结合企业自身已有的信息安全建设及工控安全实际落地需求，在等保2.0及其他工控安全标准研究的基础上，提出了工控安全保障体系解决方案，在安全管理、安全技术两大维度上进行设计，研究并提出了现阶段工控安全部署及实施方案，此方案融合了现阶段工控企业信息安全管理及防护技术，解决了企业在智能制造转型升级、双网融合大需求背景下，建设安全可靠的数字化车间网络的难题。

1 离散制造行业智能工厂架构

1.1 智能工厂业务架构

图1 离散制造行业智能工厂网络架构图

智能工厂所承载的业务类型直接影响网络架构、网络安全架构及网络应用等的设计。从企业层面来讲ERP负责财务、人力资源、采购管理、物料需求计划、主数据管理和订单管理等；从厂区及车间层面来讲MES负责生产计划与工单、质量管理、车间与人员管理、物料管理、生产过程监控、生产文档管理、设备管理、报表管理及KPI和智能支持等。智能工厂应该包括产品设计、智能物流、能源管理、运行维护等功能。产品设计功能主要由PLM负责产品设计、模拟样机、产品性能测试、制造规划及企业和产品BOM等。智能物流只要实现物料规划、厂内外物流管理、出货管理及立式自动仓库的管理。能源管理包括对水、电、蒸汽、天然气、压缩空气等进行统一平台监控与管理，实现工厂从单台设备到产线、车间能耗的监控，为节能制造与能耗优化提供决策支持。运行维护功能包括建立维修履历、制定维修计划、维修配件管理及预测维修等。所以，将智能工厂业务架构划分为设计、管理、制造、服务四个方面。

1.2 智能工厂网络架构

工业系统在网络互联、安全保障等方面将进行快速的迭代演进，引发工业系统各层级网络、数据和安全的深刻变化。结合工业网络、数据、安全的发展趋势分析，工业网络架构设计方案呈现三个方面关键特征：一是体系架构方面，实现层级打通、内外融合；二是网络互联方面，各种智能装备实现充分网络化，无线成为有线的重要补充；三是在安全保障方面，各种安全机制与工业网络各个层次深度融合，实现纵深防御，立体防护。

所以结合现阶段智能工厂网络架构，设计并提出工业网络与IT网络的融合解决方案，归纳如图1所示，在应用层提出了业务融合方案，在车间层提出了网络融合方案，在车间层以下提出了控制网络与设备间互联方案，工控安全保障体系建设依附于智能工厂网络架构进行实现。

2 工控安全保障体系框架

基于现阶段等保2.0标准的规定，等级保护基本要求包括：安全管理、机构、人员、系统建设、运行维护、以及安全基本技术要求[7]，建设工业控制系统安全保障体系理论框架，本项目将针对工业网络信息安全问题及发展演进，面向智能工厂未来规划，建立以安全管理体系、安全技术体系、安全运行体系、安全管理中心，形成“三个体系、一个中心”的“3+1”安全保障体系框架，如图2所示。

图2 安全保障体系框架

3 工控安全保障体系设计及方案

3.1 安全分级方案

基于现阶段在研标准《信息安全技术 工业控制系统信息安全分级规范》的研究分析，对智能工厂划分信息安全等级，其定级对象是一个具体的完整的系统，也可以是这个系统中相对独立的一部分[8]。定级对象主要分为两个部分进行定级：厂区定级、车间定级。

定级由工业控制系统资产重要程度、受侵害后潜在影响程度、需抵御的信息安全威胁程度等三个定级要素决定。

特征值函数表述为：

NSL=F((A)，(I)，(T))

其中，

(1)A表示工业控制系统重要程度特征值，以1～5的尺度来测量；(asset)；

(2)I表示工业控制系统信息安全受侵害后潜在影响程度特征值，以1～5的尺度来测量；

(3)T表示工业控制系统信息安全威胁程度特征值，以1～5的尺度来测量；

(4)NSL表示工业控制系统信息安全等级特征值。

基于现场对A、I、T分析，对各车间安全级别进行分类汇总，如表1所示，表明此类企业建设等保二级的条件下，可满足现阶段工控安全要求。

3.2 安全管理方案

国内标准、规范从2015年之后对“基础”、“安全”、“管理”、“检测评价”、“可靠性”等5类部分进行了重点支持，推出了一系列标准规范，目前标准工作已紧跟国际步伐。

现阶段企业一般参考GB/T 22090-2008/ISO/IEC 27001:2005《信息安全管理体系要求》制定了公司的信息安全整体管理制度，规定了公司信息安全管理体系的管理体制、相关职能、方针宗旨及体系管理要求等方面的内容，确保了公司信息系统安全策略具有持续的适宜性、充分性和有效性，防止和最小化安全事故的影响，保证持续有效地为业务系统提供支撑。作为工业控制系统安全管理的总体方针，建设内容主要包括安全管理制度和安全运维制度两个方面。

表1 各车间定级结论表

针对目前企业已有的信息安全管理规范方面的建设内容，在原有基础上增加工控安全相关的管理制度，并同时与项目规划产出相结合，梳理企业安全管理建设思路如表2所示，为本项目产出文件与建设思路的对应情况。

同样，为具体实现安全运行维护各阶段建设，制定工控安全措施得以实施，符合安全等级保护技术要求全部要求，共同支撑安全管理维度的全覆盖，安全运行体系进行落地实施方案设计如表3所示。

3.3 安全技术方案

在安全分级方案的基础上，安全技术方案参考等保2.0的要求主要实现两部分技术方案内容：安全防护关键技术和安全管理中心[9]。

(1)智能工厂安全防护技术体系需要解决的五大类问题，主要包括：设备安全、网络安全[10]、控制安全、应用安全和数据安全。这些问题的信息安全技术原理实现，也基本覆盖了全部工业控制系统信息安全方面的解决方案。

针对等保2.0的研究及对照现阶段工控安全防护技术现状，设计技术方案及安全防护产品功能对照，如表4所示。

表2 工业控制系统安全管理建设方案

表3 工业控制系统安全运维建设方案

表4 技术方案及安全防护产品功能对照表

图3 工业控制信息安全管理平台示意图

(2)基于工业控制系统安全管理调研及分析，目前工业控制信息安全管理平台(SOC)解决方案还不太成熟，传统信息领域安全管理平台具有资产和资产所承载的业务之间关联性不强[11]；多为被动安全管理，当安全事件已经发生时，提出报警，是否可提出些预警方面的需求；控制安全方面需要控制业务安全性管理，这点与传统信息安全领域有较大不同；风险动态跟踪机制不完善等等方面缺陷。工业控制信息安全管理平台(SOC)不应该仅仅包含工业控制系统网络安全公司自身的网络安全事件的收集、可视化、及统一配置管理方面的功能，同时还应该提供如下功能，为企业建立统一的安全管理可视化综合服务中心。

工业控制网络安全管理平台(SOC)总体平台架构将分为采集层、数据分析层、运营管理功能层和上层展现通报层，通过预警平台的运营团队来进行整体运营管理工作，如图3所示。

工业控制信息安全管理平台(SOC)平台设计接口的基本要求包括：平台接口策略集中管理、面向管理对象接口、平台操作人机操作接口、平台级联接口、扩展功能接口、管理对象接口、平台级联策略集中管理服务、管理策略下发接口、监控信息上传接口、级联数据存储接口十大类，使之整合企业内安全管理系统的安全报警和日志信息，以及外部的安全态势感知数据，以及漏洞、威胁、事件和自有情报等信息，通过大数据分析模块进行分析和处理，形成工业互联网安全态势分析、监测、通报应急、行业预警、事件跟踪的功能。

4 结论

在轨道交通离散制造行业的“两化融合”不断推进的进程下，工控安全成为其实现数字化、智能化的必要基础保障，已成为影响制造车间升级发展的关键因素。由于信息化、自动化、业务流程的不同，不同车间的安全等级也应按需定级，针对定级结果，从整体到局部实施安全管理方案和安全技术方案。本文对离散制造行业的基本网络、业务架构进行分析，基于等保2.0及工控安全的研究基础上，提出了离散制造的“3+1”工控安全保障体系，对工控安全保障体系架构中各个层次的安全控制点进行方案设计及说明，为企业工控安全保障体系实施提供了方案模板。

[1] 陶耀东, 李宁, 曾广圣. 工业控制系统安全综述[J]. 计算机工程与应用, 2016, 52(13):8-18.

[2] 尚文利, 安攀峰, 万明,等.工业控制系统入侵检测技术的研究及发展综述[J]. 计算机应用研究, 2017, 34(2):328-333.

[3] 傅一帆, 霍玉鲜. 网络安全等级保护工业控制系统安全防护技术体系设计[J]. 警察技术, 2017(5):19-22.

[4] 范科峰,周瑞康,李琳.Research on industry control system information security standard architecture[J]. Information Technology & Standardization, 2016(6):17-21.

[5] YONG Z, LIAO J H, SHEN C X. Industry control system security assurance method based on access verification[J]. Journal of Beijing University of Technology, 2013, 39(12):1861-1867.

[6] 卢凯, 赵云飞, 柯皓仁. 工业控制系统信息安全等级保护测评方案研究[J]. 信息网络安全, 2016(s1):107-111.

[7] 区和坚. 工业控制系统信息安全研究综述[J]. 自动化仪表, 2017, 38(7):4-8.

[8] 卢凯, 赵云飞, 柯皓仁. 工业控制系统信息安全等级保护测评方案研究[J]. 信息网络安全, 2016(s1):107-111.

[9] 孙砚辉, 胡毅, 毕筱雪,等. 数字化车间信息安全机制的设计与实现[J]. 组合机床与自动化加工技术, 2017(12):156-160.

[10] 尚文利, 李琳, 万明, 等. 基于优化单类支持向量机的工业控制系统入侵检测算法[J]. 信息与控制, 2015, 44(6): 678-684.

[11] 贾驰千, 冯冬芹. 基于模糊层次分析法的工控系统安全评估[J]. 浙江大学学报(工学版), 2016, 50(4):759-765.