何积丰院士：工业互联网安全发展趋势与关键技术

 什么叫工业互联网?在中国科学院院士、计算机软件专家、华东师范大学教授何积丰看来，工业互联网不是简单地指给机器上装传感器，而是物理世界、信息世界和人类社会的互联互通，实现普世社会和信息社会相结合。如何衡量工业互联网做得好与否，主要是看智能制造做到何种程度。

纵览全球，美国在2012年成立了先进制造业委员会，主要目标是加速美国信息制造业的发展;德国在2013年提出了“工业4.0”，旨在支持工业领域新一代革命性技术的研发与创新，保持德国的国际竞争力。而我国在2012年才刚刚启动工业互联网的构想。“从时间上看，我国比人家落后了三年。”何积丰院士说道：“也因此，工业互联网的发展面临着一些挑战，计算、通信、物理的深度融合亟需发展新的设计范式和模型，信息与物理设施领域链接与融合亟需新的研究方法和技术工具，针对工业互联网需求亟待建立新的软硬件底层架构、平台与工业智能系统，同时也亟需研究工业互联网的设计体系与关键技术。”

由于工业互联网打开了与信息世界连接的通道，所以工业互联网使得闭环公司在产生新的链接模式和商业模式的同时，也面临着信息世界的诸如病毒、黑客等安全威胁。针对此，何积丰院士指出：工控系统需要采用纵深防御的安全理念，以被保护的工业控制系统为核心，构建多层级纵深防御体系。

一、工控安全面临严峻形势

何积丰院士毫不讳言，直言现在的工控系统面临着严峻的安全形势，这包括五个方面：一是随着硬件元器件的可靠性越来越高及冗余技术的使用，安全问题的矛盾主要集中于软件，软件安全性面临严峻形势;二是工控信息安全标准需求强烈，标准制定工作正全面推进;三是随着自动化系统IT化，传统边界防护难以满足工业控制环境;四是行业内尚未形成统一气侯，需要整合自动化与信息安全公司优势，带动产业全面发展;五是工控安全防护技术虽然正迅速发展并在局部开始试点，但距离大规模部署和应用有一定差距。

同时，他也指出，在建设工业互联网过程中，目标是要围绕其控制、计算与通信的核心特征，构建工业互联网的设计体系，研究工业互联网的共性关键技术，形成的工业互联网设计验证环境，为工业互联网系统的研发、生产、安全等各层面提供理论与技术支撑。

在这一目标指引下，重点方向有八个，分别是建模与设计理论和方法、系统结构设计与实现模型、系统验证技术、大数据技术、安全防护技术、软硬件协同开发平台、系统的技术标准与行业标准、面向国家重大应用需求行业的示范应用与成果转化。

何积丰院士从专业的角度，分析了工业控制系统的安全隐患。他说：“工控系统大多采用通用协议、通用软件、通用硬件，其漏洞为系统安全带来极大隐患。威胁主要来自两方面，第一个方面是系统相关的威胁，主要是指软件漏洞所造成的威胁，例如：攻击者使用软件漏洞传播恶意代码;攻击者使得系统栈溢出;第二个方面是过程相关的威胁，主要是指在生产过程遭受的攻击，包括影响现场设备访问控制的威胁;影响中央控制台的威胁。潜在的攻击途径有远程支持、防火墙策略、笔记本和串口、无线和合作网络。入侵途径主要通过企业广域网及商用网络方式为主，同时通过工控系统与Internet的直接连接、可信第三方连接、经拨号调制解调器、无线网络、电信网络、虚拟网络连接等方式。”

二、五大安全策略保障工控安全

何积丰院士指明了安全基本策略和具体防御措施。

安全基本策略有三个要求：通信可控、区域隔离、报警追踪。从整个架构来说，纵深防御是基本，共有五条防线：第一道防线是第三方商用防火墙;第二道防线是联合安全网关;第三道防线是工业PC安全防护;第四道防线是现场设备控制防护;第五道防线是安全可靠的现场设备。

安全防御措施有五大策略：去中心化、智能下移、异构冗余、分布协同和蜜罐技术。去中心化的基本想法是要建立一个开放式、扁平化、平整性的系统结构，利用虚拟化技术实现操作员工作站、企业工作站的“漂移”。要建立信任模型，改变唯一的端到端信任，形成负反馈协同验证机制。智能下移必须具备两个必要条件：计算泛在化和芯片智能化;它能提供两种能力：计算冗余能力和感知认知能力。异构冗余是指用不同质结构的多变体和设备来提供不同种类的安全冗余服务，使得攻击者疲于系统的异构动态变换。它有两种实现方式：软件变体和系统变体。分布协同可以分为两类：第一类是功能分布协同，工控系统各层之间、同层之间、各种设备之间通过某种通信协议，协同完成特定的工业任务;第二类安全管理分布协同，自学性和认知性，慢慢要增强实时性和跨层的协同性。蜜罐技术是指模拟工控系统某些特征的蜜罐，成为一种相对主动的安全检测手段，它可以实现网络切片、数据捕获、数据控制和数据分析。这类东西可以利用新的发展技术来构建虚拟化，支持悬挂和恢复的功能，有助于冻结安全受危系统、分析攻击方法、打开TCP/IP连接及其它服务。