國(guó)家工業(yè)信息安全發(fā)展研究中心 董良遇 于 盟

■引言

設(shè)備狀態(tài)監(jiān)測(cè)是利用傳感器監(jiān)測(cè)技術(shù)對(duì)設(shè)備運(yùn)行狀態(tài)進(jìn)行在線或離線監(jiān)測(cè)，采集設(shè)備振動(dòng)、溫度、壓力等數(shù)據(jù)，進(jìn)一步進(jìn)行數(shù)據(jù)處理與特征提取，可對(duì)設(shè)備當(dāng)前或未來(lái)的運(yùn)行情況進(jìn)行綜合判斷，力求實(shí)現(xiàn)對(duì)故障的有效捕捉與提示[1]。據(jù)不完全統(tǒng)計(jì)，我國(guó)石油、化工、冶金等支柱工業(yè)企業(yè)已對(duì)上萬(wàn)臺(tái)汽輪機(jī)、發(fā)電機(jī)、泵、壓縮機(jī)等設(shè)備進(jìn)行在線監(jiān)測(cè)診斷，每年產(chǎn)生PB 級(jí)的海量監(jiān)測(cè)數(shù)據(jù)[2]，這些數(shù)據(jù)與機(jī)組原有監(jiān)控系統(tǒng)的其他運(yùn)行參數(shù)一起被存儲(chǔ)和分析應(yīng)用。在當(dāng)前工業(yè)互聯(lián)網(wǎng)、云計(jì)算等新技術(shù)作用下，在線監(jiān)測(cè)數(shù)據(jù)催生出新的應(yīng)用模式，如遠(yuǎn)程分析診斷、基于云平臺(tái)的智能診斷等[3-5]。一方面，新技術(shù)的發(fā)展推動(dòng)了設(shè)備監(jiān)測(cè)診斷技術(shù)的發(fā)展；另一方面，大量數(shù)據(jù)聯(lián)網(wǎng)后增加了數(shù)據(jù)信息安全風(fēng)險(xiǎn)。

當(dāng)前暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)及設(shè)備數(shù)量不斷增多，攻擊門檻進(jìn)一步降低，工控安全高危漏洞頻現(xiàn)，重大工業(yè)信息安全事件高發(fā)，全球工業(yè)信息安全總體風(fēng)險(xiǎn)持續(xù)攀升[6]。需指出，我國(guó)在工業(yè)信息安全保障上存在著管理力度不足、防護(hù)不到位、人員意識(shí)不強(qiáng)、產(chǎn)業(yè)基礎(chǔ)薄弱和技術(shù)人才匱乏等問(wèn)題，監(jiān)測(cè)數(shù)據(jù)的互聯(lián)網(wǎng)應(yīng)用無(wú)疑加劇了工業(yè)領(lǐng)域面臨的信息安全風(fēng)險(xiǎn)。

■設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)發(fā)展現(xiàn)狀

我國(guó)從上世紀(jì)七、八十年代開始發(fā)展設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)，幾十年來(lái)，設(shè)備狀態(tài)監(jiān)測(cè)與故障診斷技術(shù)受到高校、科研院所和企業(yè)的重視，在石油、化工、冶金、電力等行業(yè)取得廣泛應(yīng)用[7]。近年來(lái)，隨著人工智能、大數(shù)據(jù)等先進(jìn)技術(shù)發(fā)展，設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)不斷發(fā)展，表現(xiàn)出信號(hào)采集多元化、數(shù)據(jù)處理智能化、數(shù)據(jù)傳輸網(wǎng)絡(luò)化和診斷服務(wù)平臺(tái)化等特征。

1.數(shù)據(jù)采集多元化

基于傳感器技術(shù)與計(jì)算機(jī)技術(shù)發(fā)展，設(shè)備狀態(tài)監(jiān)測(cè)逐步從相對(duì)單一的工藝量監(jiān)測(cè)拓展到包含溫度、壓力、流量、振動(dòng)、位移、轉(zhuǎn)速等在內(nèi)的設(shè)備運(yùn)行狀態(tài)信息全面監(jiān)測(cè)。其中振動(dòng)、位移、瞬時(shí)轉(zhuǎn)速、動(dòng)態(tài)壓力等瞬態(tài)快變監(jiān)測(cè)信號(hào)，需要以高采樣率、大量采樣點(diǎn)的采集方式進(jìn)行處理，保證數(shù)據(jù)采集的準(zhǔn)確性。同時(shí)，不同數(shù)據(jù)類型的多通道并行同步采集也是保證數(shù)據(jù)分析準(zhǔn)確性的關(guān)鍵。圖1、圖2 為國(guó)內(nèi)石化往復(fù)壓縮機(jī)BH5000R 監(jiān)測(cè)系統(tǒng)不同類型傳感器布局。

圖1 往復(fù)壓縮機(jī)活塞桿位移監(jiān)測(cè)傳感器

圖2 往復(fù)壓縮機(jī)殼體振動(dòng)監(jiān)測(cè)傳感器

2.數(shù)據(jù)處理智能化

經(jīng)過(guò)采集之后的各類數(shù)據(jù)由模擬量信號(hào)轉(zhuǎn)化為數(shù)字量，由計(jì)算機(jī)完成進(jìn)一步處理，如提取各類特征值，進(jìn)行特征選擇完成特征融合等。隨著人工智能技術(shù)發(fā)展，諸如機(jī)器學(xué)習(xí)、卷積神經(jīng)網(wǎng)絡(luò)、深度神經(jīng)網(wǎng)絡(luò)等算法不斷被應(yīng)用到數(shù)據(jù)處理過(guò)程中。數(shù)據(jù)采集多元化帶來(lái)的數(shù)據(jù)量龐大、數(shù)據(jù)維度高等問(wèn)題為各類智能算法提供了用武之地。

3.數(shù)據(jù)傳輸網(wǎng)絡(luò)化

互聯(lián)網(wǎng)技術(shù)的快速發(fā)展使大數(shù)據(jù)量遠(yuǎn)程傳輸成為可能。目前，以石油、石化為代表的流程工業(yè)企業(yè)均建設(shè)有專用的數(shù)據(jù)傳輸網(wǎng)絡(luò)，將最基層裝置的設(shè)備與企業(yè)頂層管理平臺(tái)連接了起來(lái)，部分企業(yè)還鋪設(shè)了專用光纖網(wǎng)絡(luò)，為設(shè)備狀態(tài)監(jiān)測(cè)數(shù)據(jù)傳輸預(yù)留了專用帶寬。無(wú)線傳輸方面，基于WirelessHART、Zigbee 通訊的數(shù)據(jù)傳輸技術(shù)已被應(yīng)用與石油、石化企業(yè)的大型泵群監(jiān)測(cè)，由傳感器無(wú)線發(fā)送溫度、振動(dòng)數(shù)據(jù)到無(wú)線網(wǎng)關(guān)。數(shù)據(jù)通過(guò)企業(yè)內(nèi)部或外部網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程傳輸，為故障遠(yuǎn)程監(jiān)測(cè)診斷服務(wù)提供了基礎(chǔ)。

4.診斷服務(wù)平臺(tái)化

近年來(lái)，智能工廠建設(shè)、大數(shù)據(jù)云平臺(tái)建設(shè)不斷被企業(yè)認(rèn)可，國(guó)內(nèi)眾多企業(yè)紛紛投入人力、物力建設(shè)本公司的狀態(tài)監(jiān)測(cè)與維修管理中心平臺(tái)。相關(guān)平臺(tái)集數(shù)據(jù)監(jiān)測(cè)、異常報(bào)警、故障分析診斷、能效監(jiān)測(cè)、維修管理、人員管理等功能于一體，各類功能均實(shí)現(xiàn)了模塊化、插件化甚至微服務(wù)化，極大地提升了使用的便捷性和實(shí)用性。圖3為國(guó)內(nèi)某企業(yè)的設(shè)備遠(yuǎn)程監(jiān)測(cè)平臺(tái)。

圖3 某企業(yè)設(shè)備遠(yuǎn)程監(jiān)測(cè)平臺(tái)

■工業(yè)信息安全對(duì)企業(yè)信息化管理的新要求分析

當(dāng)前，“互聯(lián)網(wǎng)+”的應(yīng)用使工業(yè)生產(chǎn)效率得到快速提高，但隨之而來(lái)的是不斷加大的工業(yè)信息安全風(fēng)險(xiǎn)?？傮w上看，在全球范圍內(nèi)工業(yè)控制系統(tǒng)安全漏洞持續(xù)被披露，能源、制造、醫(yī)療、通信、政府設(shè)施、交通運(yùn)輸?shù)戎匾P(guān)鍵基礎(chǔ)設(shè)施行業(yè)依然是工業(yè)信息安全事件的高發(fā)領(lǐng)域。因此，工業(yè)信息安全對(duì)企業(yè)信息化管理也提出了新的要求。

1.新基建背景下加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施建設(shè)

隨著互聯(lián)網(wǎng)技術(shù)發(fā)展，企業(yè)日常生產(chǎn)運(yùn)行產(chǎn)生的數(shù)據(jù)量愈發(fā)龐大，傳統(tǒng)的網(wǎng)絡(luò)軟硬件系統(tǒng)無(wú)法進(jìn)行有效處理。企業(yè)需要針對(duì)相關(guān)基礎(chǔ)設(shè)施進(jìn)行投資建設(shè)，包括硬件方面服務(wù)器、防火墻、網(wǎng)閘、路由器，軟件方面數(shù)據(jù)庫(kù)、操作系統(tǒng)、中間件等，以適應(yīng)快速增加的數(shù)據(jù)信息的處理要求。

2.建立健全信息安全防護(hù)體系與相關(guān)管理制度

隨著近年來(lái)國(guó)內(nèi)網(wǎng)絡(luò)安全事件頻繁發(fā)生，我國(guó)政府對(duì)于信息安全防護(hù)，尤其是工業(yè)信息安全防護(hù)，建設(shè)意識(shí)逐漸加強(qiáng)，政策支持力度不斷上升。企業(yè)需完善自身的信息安全防護(hù)體系，加強(qiáng)對(duì)數(shù)據(jù)流入、流出的管控，預(yù)防信息安全事故的發(fā)生，構(gòu)建、完善企業(yè)自身的信息安全防護(hù)管理制度。管理制度方面，應(yīng)加強(qiáng)對(duì)計(jì)算機(jī)設(shè)備、電子資料文件安全、軟件安全、信息系統(tǒng)安全、數(shù)據(jù)庫(kù)安全的管理等，確立有關(guān)信息安全的禁止行為，建立獎(jiǎng)懲辦法。

3.不斷應(yīng)用、提升安全防護(hù)技術(shù)

工業(yè)網(wǎng)絡(luò)環(huán)境受病毒、網(wǎng)絡(luò)攻擊等危害嚴(yán)重[8]，據(jù)統(tǒng)計(jì)，截至2019 年底我國(guó)境內(nèi)受感染計(jì)算機(jī)病毒的主機(jī)數(shù)量約582 萬(wàn)臺(tái)，感染率為20.44%。廣東、江蘇、浙江等工業(yè)信息安全發(fā)展起步較早的省份受感染的主機(jī)數(shù)量較多。以勒索病毒為代表，在相對(duì)安全的企業(yè)內(nèi)網(wǎng)中也有廣泛傳播，因此，信息安全防護(hù)技術(shù)應(yīng)用至關(guān)重要。企業(yè)應(yīng)重視網(wǎng)絡(luò)防火墻、數(shù)據(jù)加密、外來(lái)入侵檢測(cè)等新技術(shù)應(yīng)用，尤其是新技術(shù)的組合應(yīng)用。同時(shí)應(yīng)做好企業(yè)人員身份識(shí)別保密工作、做好VLAN 計(jì)算機(jī)網(wǎng)絡(luò)安全管理等工作，在企業(yè)信息安全防護(hù)體系與規(guī)章制度的基礎(chǔ)上，對(duì)病毒庫(kù)升級(jí)、查殺，補(bǔ)丁安裝，機(jī)密文件使用管理等方面的工作從嚴(yán)要求。

4.加快信息領(lǐng)域人才培養(yǎng)

人才是創(chuàng)新發(fā)展最重要的環(huán)節(jié)，技術(shù)的發(fā)展歸根結(jié)底是人的發(fā)展。網(wǎng)絡(luò)信息技術(shù)是全球研發(fā)投入最集中、創(chuàng)新最活躍、應(yīng)用最廣泛、輻射帶動(dòng)作用最大的技術(shù)創(chuàng)新領(lǐng)域。對(duì)于工業(yè)企業(yè)來(lái)說(shuō)，雖然不參與網(wǎng)絡(luò)信息技術(shù)的直接創(chuàng)新，但是網(wǎng)絡(luò)信息新技術(shù)的應(yīng)用離不開人才的支持。企業(yè)應(yīng)重視自身信息化部門的建設(shè)，加強(qiáng)人員管理與人才建設(shè)，以支撐企業(yè)信息化建設(shè)工作。

■設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)應(yīng)用對(duì)企業(yè)提出新的要求

當(dāng)前由于設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)與互聯(lián)網(wǎng)技術(shù)的深度融合，大量帶有企業(yè)運(yùn)營(yíng)生產(chǎn)信息的設(shè)備運(yùn)行數(shù)據(jù)通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，給工業(yè)企業(yè)信息安全帶來(lái)了較大的隱患。因此，結(jié)合工業(yè)信息安全的發(fā)展態(tài)勢(shì)對(duì)設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)提出新的要求。

1.數(shù)據(jù)傳輸安全性要求

企業(yè)應(yīng)依據(jù)自身需求和行業(yè)特性，對(duì)企業(yè)內(nèi)部各種動(dòng)態(tài)傳輸數(shù)據(jù)的進(jìn)行風(fēng)險(xiǎn)等級(jí)定義、評(píng)估與劃分，將風(fēng)險(xiǎn)等級(jí)較高者定義為企業(yè)動(dòng)態(tài)重要工業(yè)數(shù)據(jù)。該類數(shù)據(jù)在傳輸過(guò)程中應(yīng)采用加密傳輸或使用VPN 等方式進(jìn)行保護(hù)，確保其在動(dòng)態(tài)傳輸過(guò)程中的安全性。特別是具有跨網(wǎng)跨域的數(shù)據(jù)傳輸需求的企業(yè)或互聯(lián)網(wǎng)平臺(tái)，數(shù)據(jù)傳輸安全問(wèn)題亟需加強(qiáng)重視，防止通訊線路上的竊聽、泄露、篡改和破壞。所使用的加密技術(shù)的選擇和使用須符合國(guó)家相關(guān)法律法規(guī)，結(jié)合數(shù)據(jù)重要性和企業(yè)需求合理進(jìn)行加密，注重加密算法的類型、屬性以及所用密鑰的長(zhǎng)度等。

2.數(shù)據(jù)存儲(chǔ)與備份安全性要求

企業(yè)應(yīng)結(jié)合企業(yè)管理及工藝流程等各環(huán)節(jié)需求，將各類靜態(tài)存儲(chǔ)的數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)等級(jí)定義、評(píng)估與劃分，將風(fēng)險(xiǎn)較高者定義為企業(yè)靜態(tài)重要工業(yè)數(shù)據(jù)。該類數(shù)據(jù)的管理過(guò)程中需進(jìn)行加密存儲(chǔ)或隔離保護(hù)，設(shè)置合理的訪問(wèn)控制功能，確保靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)不被非法訪問(wèn)、刪除、修改等。針對(duì)重要生產(chǎn)工藝、生產(chǎn)計(jì)劃、組態(tài)文件、調(diào)度管理等關(guān)鍵業(yè)務(wù)數(shù)據(jù)，企業(yè)應(yīng)結(jié)合企業(yè)實(shí)際進(jìn)行定期備份，確保在工業(yè)控制系統(tǒng)及設(shè)備狀態(tài)監(jiān)測(cè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)丟失時(shí)可以及時(shí)恢復(fù)數(shù)據(jù)。對(duì)于影響企業(yè)安全運(yùn)行及生產(chǎn)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，企業(yè)應(yīng)在備份后進(jìn)行恢復(fù)測(cè)試，確保備份數(shù)據(jù)的可用性。

3.數(shù)據(jù)應(yīng)用安全性要求

企業(yè)數(shù)據(jù)的采集、應(yīng)用、傳輸?shù)冗^(guò)程涉及到組織內(nèi)、外其他的業(yè)務(wù)系統(tǒng)及數(shù)據(jù)用戶系統(tǒng)，這些系統(tǒng)的應(yīng)用所涉及的安全問(wèn)題也需要受到企業(yè)的重點(diǎn)關(guān)注。特別是在設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)快速發(fā)展的今天，提供狀態(tài)監(jiān)測(cè)服務(wù)的企業(yè)多采用云服務(wù)方式完成數(shù)據(jù)采集、處理、存儲(chǔ)、分析和展示等功能，使企業(yè)大量數(shù)據(jù)全生命周期中都存在數(shù)據(jù)泄露、丟失等安全風(fēng)險(xiǎn)。因此，對(duì)于數(shù)據(jù)應(yīng)用的全生命周期安全防護(hù)至關(guān)重要。企業(yè)應(yīng)采用入侵防范、資源控制、身份鑒別、訪問(wèn)控制、安全審計(jì)等多種方式加強(qiáng)對(duì)企業(yè)數(shù)據(jù)應(yīng)用的安全防護(hù)。同時(shí)，對(duì)于提供信息安全服務(wù)的供應(yīng)商及測(cè)評(píng)方，應(yīng)以合同等方式明確針對(duì)企業(yè)相關(guān)設(shè)備和產(chǎn)品所提供服務(wù)中所承擔(dān)的信息安全責(zé)任和義務(wù)，確保提供的產(chǎn)品和服務(wù)滿足信息安全要求。服務(wù)商在服務(wù)過(guò)程中如需使用相關(guān)數(shù)據(jù)進(jìn)行測(cè)試，應(yīng)盡量避免為企業(yè)的實(shí)際生產(chǎn)數(shù)據(jù)。確需使用情況下，企業(yè)應(yīng)提供去除所有敏感細(xì)節(jié)和內(nèi)容的數(shù)據(jù)進(jìn)行測(cè)量。

4.企業(yè)數(shù)據(jù)安全綜合性防護(hù)要求

企業(yè)應(yīng)結(jié)合自身需求和行業(yè)經(jīng)驗(yàn)，將企業(yè)各類數(shù)據(jù)信息依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行分級(jí)分類管理，羅列出重要工業(yè)數(shù)據(jù)清單、關(guān)鍵業(yè)務(wù)數(shù)據(jù)清單、容災(zāi)備份數(shù)據(jù)清單等。明確各類數(shù)據(jù)的管理要求及防護(hù)手段，如對(duì)數(shù)據(jù)存儲(chǔ)備份的要求、對(duì)數(shù)據(jù)傳輸?shù)囊?、?duì)數(shù)據(jù)測(cè)試的要求、對(duì)數(shù)據(jù)遷移的要求等。對(duì)于有工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)云平臺(tái)訪問(wèn)等需求的，須加強(qiáng)身份認(rèn)證管理技術(shù)，對(duì)于訪問(wèn)重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)須加設(shè)雙因素認(rèn)證。對(duì)于企業(yè)擁有的敏感數(shù)據(jù)需要進(jìn)行脫敏傳輸時(shí)，應(yīng)采用技術(shù)措施限制對(duì)用戶信息的訪問(wèn)和使用。對(duì)于影響企業(yè)正常生產(chǎn)的重要數(shù)據(jù)或系統(tǒng)環(huán)境可進(jìn)行異地容災(zāi)備份，保障企業(yè)出現(xiàn)災(zāi)難時(shí)至少在異地保存有一份可用的關(guān)鍵業(yè)務(wù)數(shù)據(jù)或可以提供安全可用的生產(chǎn)環(huán)境。對(duì)于企業(yè)自動(dòng)化程度較高的系統(tǒng)，需依據(jù)企業(yè)能力盡量部署具備國(guó)家相關(guān)部門認(rèn)定的日志審計(jì)系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)各類操作行為及攻擊信息，根據(jù)設(shè)置的規(guī)則智能判斷出各種風(fēng)險(xiǎn)行為，對(duì)違規(guī)行為進(jìn)行報(bào)警等。

■結(jié)束語(yǔ)

工業(yè)控制系統(tǒng)互聯(lián)互通成為發(fā)展趨勢(shì)，正在從封閉走向開放，傳統(tǒng)的安全理念、方法、工具面臨著巨大挑戰(zhàn)，現(xiàn)有的工業(yè)控制系統(tǒng)安全防護(hù)體系的脆弱性日益凸顯。工業(yè)企業(yè)設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)產(chǎn)生了海量的監(jiān)測(cè)數(shù)據(jù)，依賴網(wǎng)絡(luò)實(shí)現(xiàn)傳輸與應(yīng)用，對(duì)企業(yè)信息安全提出了新的要求。

本文從設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)新發(fā)展入手，討論分析了設(shè)備狀態(tài)監(jiān)測(cè)與網(wǎng)絡(luò)技術(shù)的深度關(guān)聯(lián)性，基于工業(yè)信息安全對(duì)企業(yè)信息化管理的新要求，對(duì)設(shè)備狀態(tài)監(jiān)測(cè)技術(shù)數(shù)據(jù)傳輸、數(shù)據(jù)管理等各方面安全性提出了相關(guān)要求和建議，供企業(yè)生產(chǎn)、運(yùn)營(yíng)管理人員參考。