趙躍東 闞濤

摘要：本文主要討論針對(duì)工業(yè)互聯(lián)網(wǎng)體系中存在的攻擊、病毒、漏洞等安全隱患，通過(guò)身份識(shí)別的端口阻塞控制等關(guān)鍵技術(shù)，實(shí)現(xiàn)接入、傳輸、出口安全控制；采用IEEE 1588 PTP協(xié)議，實(shí)現(xiàn)精密時(shí)鐘同步功能；采用G.8032 ERPS以太多環(huán)網(wǎng)保護(hù)協(xié)議，解決收斂時(shí)間過(guò)長(zhǎng)、實(shí)時(shí)性和安全性等問(wèn)題。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng)；攻擊、病毒、漏洞；IEEE 1588 PTP；精密時(shí)鐘；G.8032 ERPS；安全布防

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2019）05-0058-02

1 前言

2018年8月3日臺(tái)積電遭到電腦病毒入侵，造成竹科晶圓12廠、中科晶圓15廠、南科晶圓14廠等主要廠區(qū)停機(jī)，企業(yè)損失重大。據(jù)后期自查，臺(tái)積電的晶圓制造與測(cè)試機(jī)臺(tái)都是外購(gòu)，并且由廠商灌裝好軟件系統(tǒng)，送至廠房安裝后，按照標(biāo)準(zhǔn)作業(yè)流程（SOP）進(jìn)行殺毒之后再進(jìn)行并線生產(chǎn)，但是此次由于新的機(jī)臺(tái)到廠之后，臺(tái)積電員工未按照SOP進(jìn)行操作，導(dǎo)致病毒在機(jī)臺(tái)并線之后，經(jīng)公司內(nèi)網(wǎng)進(jìn)行擴(kuò)散。

臺(tái)積電作為全球最大晶圓制造商，其企業(yè)網(wǎng)絡(luò)與信息的安全應(yīng)該是密集防護(hù)、細(xì)粒度防護(hù)，不應(yīng)該出現(xiàn)該類問(wèn)題。但是仔細(xì)評(píng)估事件原因，根本原因其主要責(zé)任并不在企業(yè)外部，反而出現(xiàn)在企業(yè)內(nèi)部。

經(jīng)過(guò)深入走訪與調(diào)研，很多企業(yè)在生產(chǎn)車間會(huì)有報(bào)工臺(tái)、工位機(jī)等設(shè)備，企業(yè)員工會(huì)將個(gè)人U盤或移動(dòng)存儲(chǔ)設(shè)備接入工位機(jī)進(jìn)行數(shù)據(jù)轉(zhuǎn)存，由于U盤或移動(dòng)存儲(chǔ)設(shè)備可能屬于個(gè)人，平時(shí)會(huì)用作個(gè)人行為，不在公司監(jiān)管范圍內(nèi)，因此是否存在威脅無(wú)從知曉。更有甚者，曾在企業(yè)生產(chǎn)線上見到員工將個(gè)人手機(jī)連接到工位機(jī)進(jìn)行充電，根據(jù)現(xiàn)在人們的生活習(xí)慣，手機(jī)會(huì)無(wú)時(shí)無(wú)刻不在連接互聯(lián)網(wǎng)，互聯(lián)網(wǎng)屬于開放式的環(huán)境，病毒、漏洞、攻擊、垃圾程序等無(wú)所不在，此類威脅可以輕易滲透到生產(chǎn)網(wǎng)絡(luò)，哪怕現(xiàn)在隨著企業(yè)管理者安全意識(shí)的提高，將辦公網(wǎng)與生產(chǎn)網(wǎng)物理隔離，威脅因素依然可直接經(jīng)過(guò)手機(jī)作用于生產(chǎn)網(wǎng)。

隨著“工業(yè)4.0”及“中國(guó)制造2025”提出，工業(yè)互聯(lián)網(wǎng)作為智能制造的信息傳遞的紐帶，其重要性不言而喻；同時(shí)工業(yè)互聯(lián)網(wǎng)也是各類病毒、攻擊等威脅因素的傳播路徑。針對(duì)外部威脅，業(yè)內(nèi)已經(jīng)有各種各樣的安全防護(hù)措施，但是針對(duì)來(lái)自內(nèi)部的威脅，依舊沒(méi)有更好的防護(hù)措施。

2 目前工業(yè)應(yīng)用中通信網(wǎng)絡(luò)存在的問(wèn)題

2.1 網(wǎng)絡(luò)穩(wěn)定性問(wèn)題

工業(yè)網(wǎng)絡(luò)中普遍采用工業(yè)以太環(huán)網(wǎng)來(lái)解決網(wǎng)絡(luò)穩(wěn)定性問(wèn)題，實(shí)現(xiàn)網(wǎng)絡(luò)中斷之后的快速倒換與恢復(fù)。目前，國(guó)內(nèi)工業(yè)以太網(wǎng)交換機(jī)在快速環(huán)網(wǎng)冗余保護(hù)這項(xiàng)重要功能上普遍是私有協(xié)議。私有協(xié)議的優(yōu)點(diǎn)是開發(fā)簡(jiǎn)單，沒(méi)有規(guī)范要求，不需要支持復(fù)雜拓?fù)?，僅滿足單環(huán)保護(hù)即可。但缺點(diǎn)非常明顯，首先由于是私有協(xié)議，導(dǎo)致各個(gè)公司的產(chǎn)品在環(huán)網(wǎng)應(yīng)用中互不兼容，用戶在一個(gè)環(huán)網(wǎng)中無(wú)論擴(kuò)容還是維修替換都必須是同一個(gè)品牌產(chǎn)品，嚴(yán)重制約了用戶的選擇權(quán)利。同時(shí)，由于是私有協(xié)議，各個(gè)品牌下的環(huán)網(wǎng)冗余保護(hù)協(xié)議技術(shù)水平參差不齊，很多僅支持非常簡(jiǎn)單的單環(huán)拓?fù)?，穩(wěn)定性各異，給用戶帶來(lái)不少的問(wèn)題。

2.2 工業(yè)環(huán)境適應(yīng)性問(wèn)題

工業(yè)生產(chǎn)環(huán)境不同于商用環(huán)境，處在相對(duì)穩(wěn)定的環(huán)境中。而工業(yè)場(chǎng)景則更為復(fù)雜惡劣，如熔煉、鍛造存在高溫強(qiáng)震動(dòng)；焊接、高壓反應(yīng)、強(qiáng)電輸送、變電站等存在強(qiáng)電磁干擾；室外應(yīng)用中存在粉塵、高溫、高濕等。該類惡劣因素均會(huì)對(duì)傳輸設(shè)備造成影響。

2.3 網(wǎng)絡(luò)實(shí)時(shí)性問(wèn)題

工業(yè)生產(chǎn)過(guò)程中對(duì)生產(chǎn)節(jié)拍要求較高，而傳統(tǒng)工業(yè)控制總線具有實(shí)時(shí)性優(yōu)勢(shì)，而傳統(tǒng)網(wǎng)絡(luò)采用SNTP協(xié)議進(jìn)行網(wǎng)絡(luò)時(shí)鐘同步，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)性的要求，但是SNTP協(xié)議其同步收斂時(shí)間在幾百毫秒，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大與節(jié)點(diǎn)的增多，其同步時(shí)間會(huì)達(dá)到數(shù)秒之久，難以滿足現(xiàn)有工業(yè)應(yīng)用需求。

2.4 安全性問(wèn)題

工業(yè)以太網(wǎng)是一種透明開放的網(wǎng)絡(luò)，任何終端均可接入，并且由于智能業(yè)務(wù)的發(fā)展，分廠間、企業(yè)間、上下游間需要經(jīng)過(guò)互聯(lián)網(wǎng)進(jìn)行信息傳遞，而企業(yè)內(nèi)部由于ERP、MES、PLM等系統(tǒng)需要同時(shí)連接內(nèi)外網(wǎng)，一旦任一環(huán)節(jié)感染病毒或被攻擊，那么整個(gè)網(wǎng)絡(luò)將會(huì)被侵入。但是目前市場(chǎng)上的工業(yè)交換機(jī)只能實(shí)現(xiàn)快速轉(zhuǎn)發(fā)及簡(jiǎn)單的黑白名單或簡(jiǎn)單的防火墻功能，不能實(shí)現(xiàn)危險(xiǎn)識(shí)別與接入控制，而普遍采用的防火墻與安全服務(wù)器則會(huì)對(duì)企業(yè)的IT維護(hù)造成大量的困擾與大量的資源投入。隨著網(wǎng)絡(luò)規(guī)模與節(jié)點(diǎn)的增多，遠(yuǎn)端的交換機(jī)位于企業(yè)底層生產(chǎn)線，往往不是企業(yè)關(guān)注的重點(diǎn)，而員工對(duì)于網(wǎng)絡(luò)安全的認(rèn)知度相對(duì)較低，部分企業(yè)由于管理不善或疏忽，會(huì)出現(xiàn)員工手機(jī)或U盤等設(shè)備插入工控機(jī)的情況，會(huì)對(duì)企業(yè)網(wǎng)絡(luò)產(chǎn)生極大的潛在危險(xiǎn)。

3 工業(yè)應(yīng)用場(chǎng)景下安全交換機(jī)的關(guān)鍵技術(shù)

交換機(jī)作為網(wǎng)絡(luò)的主要設(shè)備，新一代工業(yè)交換機(jī)既要能適應(yīng)工業(yè)應(yīng)用場(chǎng)景，滿足生產(chǎn)企業(yè)的應(yīng)用條件，又要能實(shí)現(xiàn)主動(dòng)防御、主動(dòng)報(bào)警的安全防護(hù)，實(shí)現(xiàn)自動(dòng)防護(hù)、主動(dòng)監(jiān)測(cè)，避免因監(jiān)管漏洞或者員工疏忽造成的信息安全事件。

3.1 采用G.8032 ERPS協(xié)議提高網(wǎng)絡(luò)穩(wěn)定性

采用國(guó)際標(biāo)準(zhǔn)G.8032 ERPS多環(huán)保護(hù)協(xié)議，在該協(xié)議下可以支持復(fù)雜的多環(huán)拓?fù)浣Y(jié)構(gòu)，任意兩個(gè)交換機(jī)端口可以成環(huán)，理論最大冗余保護(hù)倒換時(shí)間小于50毫秒，經(jīng)特殊算法實(shí)測(cè)保護(hù)時(shí)間小于20毫秒，遠(yuǎn)優(yōu)于國(guó)內(nèi)現(xiàn)有產(chǎn)品。并能夠跟支持該協(xié)議的其他品牌交換機(jī)互聯(lián)互通。解決私有協(xié)議及多品牌、多環(huán)網(wǎng)對(duì)接的問(wèn)題。

3.2 工業(yè)級(jí)設(shè)計(jì)解決工業(yè)環(huán)境適應(yīng)性問(wèn)題

采用IP40以上設(shè)計(jì)，針對(duì)內(nèi)部PCB與硬件，采用高安全、阻燃、低功耗設(shè)計(jì)。利用外殼與PCB結(jié)構(gòu)特殊化設(shè)計(jì)方式，增大散熱面積，取消傳統(tǒng)交換機(jī)風(fēng)扇開孔，避免所造成的粉塵進(jìn)入、濕氣腐蝕等情況。并且所有硬件均采用工業(yè)級(jí)產(chǎn)品，滿足高溫高濕、震動(dòng)等環(huán)境要求。并且采用單板與特殊工藝處理，將核心、電源、業(yè)務(wù)分開，避免各模塊之間電磁干擾及隔離外界電磁干擾。

3.3 基于IEEE 1588提升網(wǎng)絡(luò)實(shí)時(shí)性

該技術(shù)需要基于IEEE1588國(guó)際標(biāo)準(zhǔn)進(jìn)行工業(yè)交換機(jī)的軟硬件開發(fā)。滿足電力系統(tǒng)和工業(yè)自動(dòng)化控制系統(tǒng)對(duì)高精度時(shí)鐘的要求。具體要求如下：

支持IEEE 1588 PTP v2，支持硬件時(shí)間戳；

支持IEEE1588邊界時(shí)鐘和透明時(shí)鐘功能；

透明時(shí)鐘功能支持端對(duì)端和點(diǎn)對(duì)點(diǎn)模式；

時(shí)間精度高（<1 μs）；

安全防御與控制技術(shù)

3.4 采用安全布防等策略提升安全性

采用安全布防策略，用戶可以在認(rèn)為適合的時(shí)間從中心端安全管理軟件對(duì)全網(wǎng)交換機(jī)發(fā)布“初始安全狀態(tài)鎖定”命令，所有外場(chǎng)和中心端安全交換機(jī)即鎖定當(dāng)前端口狀態(tài)和配置為初始狀態(tài)，端口狀態(tài)包括是否在線、在線設(shè)備MAC地址和IP地址并做與交換機(jī)端口的綁定；交換機(jī)配置信息也鎖定，防范非法的篡改，保證交換機(jī)系統(tǒng)穩(wěn)定和安全；

“布防” 后空置端口一旦有接入設(shè)備會(huì)馬上讀取接入設(shè)備MAC地址并向上報(bào)警，同時(shí)封閉該端口。只有中心端安全管理軟件有權(quán)限重新開啟端口；

“布防”后在線端口一旦有設(shè)備連接中斷且重聯(lián)后MAC地址以及IP地址任一不同交換機(jī)馬上向上報(bào)警并關(guān)閉該端口，只有中心端安全管理軟件有權(quán)限重新開啟端口。如果MAC和IP地址一致則交換機(jī)僅向上發(fā)送中斷掉線告警信息；

采用交換機(jī)安全防護(hù)策略。交換機(jī)配置時(shí)，交換機(jī)認(rèn)證、簽名，只有合法證書用戶可修改。

4 工業(yè)應(yīng)用場(chǎng)景下安全交換機(jī)實(shí)現(xiàn)的效果

由具有安全防御功能的工業(yè)交換機(jī)組成的工業(yè)互聯(lián)網(wǎng)，在使用過(guò)程中可形成自主防御體系，實(shí)時(shí)監(jiān)測(cè)信息傳遞過(guò)程中可能存在的非法操作如：非法接入、攻擊、信息竊取等，從而綜合管理工業(yè)互聯(lián)網(wǎng)的信息傳遞過(guò)程，實(shí)現(xiàn)安全、可靠、實(shí)時(shí)的信息傳遞。其主要解決以下問(wèn)題：

底層接入安全：對(duì)于執(zhí)行層設(shè)備及人員進(jìn)行身份及權(quán)限管理，控制接入、信息加密保證底層接入安全；

傳輸過(guò)程的安全：信息傳遞過(guò)程中，監(jiān)測(cè)信息動(dòng)向即從源端口到目的端口，實(shí)現(xiàn)端口監(jiān)聽，如果發(fā)現(xiàn)有非法用戶或設(shè)備在目的交換機(jī)的端口上，則自動(dòng)鎖定并關(guān)閉信息傳遞端口，防止信息丟失或被竊?。?/p>

上層危險(xiǎn)防御：對(duì)于網(wǎng)絡(luò)出口實(shí)現(xiàn)入侵防御，當(dāng)入侵發(fā)生時(shí)交換機(jī)自身可動(dòng)態(tài)分析信息與數(shù)據(jù)流，發(fā)現(xiàn)潛在和顯見的攻擊威脅并制定防范策略；

應(yīng)用環(huán)境安全：超強(qiáng)的環(huán)境適應(yīng)能力，能完美應(yīng)對(duì)復(fù)雜惡劣的使用環(huán)境，針對(duì)高溫高濕、電磁干擾、震動(dòng)沖擊等環(huán)境，可穩(wěn)定運(yùn)行；

信息傳遞的時(shí)效性：<1 μs的時(shí)間同步，實(shí)現(xiàn)與現(xiàn)場(chǎng)總線同要求的時(shí)間要求，滿足工業(yè)控制過(guò)程中的精確實(shí)效；

鏈路的穩(wěn)定性：以通用標(biāo)準(zhǔn)協(xié)議為基礎(chǔ)，建立局用開放性、兼容性的工業(yè)網(wǎng)絡(luò)環(huán)境，為企業(yè)擴(kuò)容、網(wǎng)絡(luò)擴(kuò)大及多元化應(yīng)用提供基礎(chǔ)。

5 總結(jié)

目前工業(yè)信息安全形勢(shì)嚴(yán)峻，之前對(duì)工業(yè)安全的重視程度不夠，相關(guān)的工業(yè)安全產(chǎn)品也相對(duì)匱乏，工業(yè)安全產(chǎn)品大多繼承于傳統(tǒng)互聯(lián)網(wǎng)的安全思維，如工業(yè)防火墻、工業(yè)網(wǎng)閘，其技術(shù)的根本存在數(shù)據(jù)的延時(shí)、阻塞、丟失等問(wèn)題，與工業(yè)場(chǎng)合對(duì)數(shù)據(jù)的穩(wěn)定性、實(shí)時(shí)性、安全性的高要求有不合之處。為保證工業(yè)數(shù)據(jù)傳輸?shù)母黜?xiàng)性能（穩(wěn)定性、實(shí)時(shí)性、安全性）要求，達(dá)到對(duì)工業(yè)數(shù)據(jù)保護(hù)的目的，開展3個(gè)方面的研究非常具有必要性，即一是借助基于MAC身份識(shí)別的端口阻塞控制等關(guān)鍵技術(shù)，實(shí)現(xiàn)出入口及傳輸過(guò)程的安全控制，安全MAC統(tǒng)一管理、統(tǒng)一下發(fā)及驗(yàn)證，并且由安全控制中心集中跟蹤、監(jiān)測(cè)及智能分析，實(shí)現(xiàn)通信網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)安全；二是采用IEEE 1588 PTP協(xié)議，實(shí)現(xiàn)精密時(shí)鐘同步功能，解決工業(yè)交換機(jī)實(shí)時(shí)性問(wèn)題；三是采用G.8032 ERPS以太多環(huán)網(wǎng)保護(hù)協(xié)議，解決收斂時(shí)間過(guò)長(zhǎng)等網(wǎng)絡(luò)穩(wěn)定性問(wèn)題。在使用過(guò)程中可形成自主防御體系，能實(shí)時(shí)監(jiān)測(cè)信息傳遞過(guò)程中可能存在的非法操作，例如：非法接入、攻擊、信息竊取等，從而綜合管理工業(yè)互聯(lián)網(wǎng)的信息傳遞過(guò)程，實(shí)現(xiàn)安全、可靠、實(shí)時(shí)的信息傳遞，為工控系統(tǒng)安全提供最基礎(chǔ)的安全保障。

參考文獻(xiàn)：

[1] 李挺. 2017年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[M]. 北京： 中國(guó)工信出版集團(tuán)，人民郵電出版社， 2018.

[2] [美]通用電氣公司（GE）. 工業(yè)互聯(lián)網(wǎng)[M]. 北京： 機(jī)械工業(yè)出版社， 2017.

[3] 杜霖. 全面推進(jìn)工業(yè)互聯(lián)網(wǎng)等融合領(lǐng)域安全工作[J]. 北京：現(xiàn)代電信科技， 2017，12（6）.

【通聯(lián)編輯：張薇】