引 言
 
　　随着新一代信息通信技术的快速发展与制造技术的不断融合，全球兴起了以智能制造为代表的新一轮产业变革。世界主要工业发达国家纷纷推出新的重振制造业国家战略，如德国的“工业4.0”战略，美国的“先进制造业”战略与工业互联网推广等。2015年5月，我国国务院正式印发制造业发展纲领性文件《中国制造2025》，并将智能制造列为五项重大工程之一，并作为主攻方向之一。数字化、网络化、智能化发展成为未来制造业发展的主要趋势。这也对国家、企业的安全保障系统的建立提出了新的挑战。
 
　　第一，我国智能制造相关产业发展的相对滞后，综合竞争力不强，关键产品及系统被国外垄断，难以实现安全可控。而且，目前国内尚缺乏系统的智能制造安全风险研究。随着《中国制造2025》的正式发布，国内智能制造相关产业加速发展，但目前国内对于智能制造安全风险研究基本属于空白，缺乏在系统高度上对智能制造系统安全风险的认知与理解。
 
　　第二，智能制造系统面临的安全风险不同于传统信息系统面临的安全风险。区别于传统信息系统，智能制造系统具有不同场景，加之异构网络协议的差异性，设备的多样性，智能制造系统的安全风险更加复杂。目前有几个因素导致智能制造系统风险的日益增加，例如，采用标准化的协议和技术，安全漏洞已知；连接到其他网络控制系统；不安全和非法的网络连接；智能制造系统相关技术信息的广泛普及等。
 
　　1 智能制造的概念
 
　　智能制造是指基于物联网、云计算、大数据等新一代信息技术，贯穿于设计、生产、管理、服务等制造活动各个环节，具有信息深度自感知、智慧优化自决策、精准控制自执行等功能的先进制造过程、系统和模式的总称。
 
　　与传统制造相比，智能制造有其特有的内涵，涉及四个层面的智能化：第一是产品的智能化，智能制造的产品都趋于变成智能终端，可通过物联网相互连接。第二是装备的智能化，从智能制造的单元，某台单机，某台机床、机器人向智能的生产线、智能的车间、智能的生产系统去演变。第三流程的智能化，管理的组织架构、企业和企业之间的交互，如何适应产品的智能化，装备的智能化，需要重新构建与调整。第四是服务的智能化，制造业服务化就是制造企业为了获取竞争优势，将价值链由以制造为中心向以服务为中心转变，因此如何将数字技术、智能技术、泛在网络技术以及新兴信息技术的集成应用到服务中也需要企业重新思考和规划。
 
　　2 智能制造的三维技术体系
 
　　智能制造的本质是实现贯穿企业设备层、控制层、管理层等不同层面的纵向集成，跨企业价值网络的横向集成，以及从产品全生命周期的端到端集成。其技术体系可以从系统架构、产品生命周期以及价值链三个维度构建参考模型。根据智能制造技术体系三维参考模型如图1所示。
 
　　系统架构维度自下向上分为五层：
 
　　（1）设备层包括传感器、仪器仪表、条码、射频识别、数控机床、机器人等感知和执行设备，以及在线无损检测、可视化柔性装配等智能检测与装配装备；
 
　　（2）控制层包括可编程逻辑控制器（PLC）、数据采集与监视控制系统（SCADA）、分布式控制系统（DCS）、现场总线控制系统（FCS）、工业无线控制系统（WIA）等；
 
　　（3）管理层由控制车间/工厂进行生产的系统所构成，主要包括制造执行系统（MES）、产品生命周期管理软件（PLM）等；
 
　　（4）企业层由企业的生产计划、采购管理、销售管理、人员管理、财务管理等信息化系统所构成，实现企业生产的整体管控，主要包括企业资源计划（ERP）系统、供应链管理（SCM）系统和客户关系管理（CRM）系统等；

　　（5）网络层由产业链上不同企业通过互联网共享信息实现协同研发、配套生产、物流配送、制造服务等。

图1智能制造三维体系参考模型[1]

　　在产品生命周期维度上，智能制造包括了智能设计、智能生产、智能物流、智能销售和智能服务5个环节。各环节在智能制造系统中的具体任务:
 
　　（1）智能设计环节应用智能化的设计手段及先进的设计信息化系统，支持企业产品研发设计过程各个环节的智能化提升与优化运行。智慧设计所涉及的系统与技术为CAD计算机辅助设计、CAE计算机辅助工程、CAM计算机辅助制造、CAPP计算机辅助公益计划、PDM产品数据管理、网络化协同设计系统以及产品设计知识库。
 
　　（2）智能生产环节将智能化的软硬件技术、控制技术及信息化系统应用到生产过程中，支持生产过程优化运行，是智能制造的核心。智能生产所涉及的系统为DNC分布式数控技术、FMS柔性制造系统、MES制造执行系统、DCS分布式控制系统等。
 
　　（3）智能物流环节包括物品识别、地点跟踪、物品溯源以及物品监控。
 
　　（4）智能销售环节包括智能企业管理、智能供应链管理、客户管理等。
 
　　（5）智能服务环节强调服务状态/环境感知与控制的互联，工业产品智能服务，制造物联网。包括远程维护、远程诊断、实时监控等。
 
　　在价值链维度上，智能制造系统包括制造资源、系统集成、互联互通、信息融合以及新兴业态以及五个环节。各环节的具体描述如下：
 
　　（1）制造资源代表了现实世界的物理实体，例如文件、图纸、设备、车间、工厂等，人员也可为制造资源的一个组成部分。
 
　　（2）系统集成代表通过二维码、射频识别、软件、网络等信息技术集成原材料、零部件、能源、设备等各种制造资源。通过对资源整合实现由小到大实现从智能装备/产品到智能生产单元、智能生产线、数字化车间、智能工厂，乃至智能制造系统的集成。
 
　　（3）互联互通是指采用局域网、互联网、移动网、专线等通信技术,实现制造资源间的连接及制造资源与企业管理系统间的连接。
 
　　（4）信息融合指在系统集成和互联互通的基础上，利用云计算、大数据等新一代信息技术，在保障信息安全的前提下，实现企业内部、企业间乃至更大范围的信息协同共享。
 
　　（5）新兴业态包括个性化定制、网络协同开发、工业云服务、电子商务等服务型制造模式。

图2智能制造系统的体系架构（参考）

　　3 智能制造系统的参考架构
 
　　智能制造的特征是以智能工厂、数字化车间为载体，以关键制造环节智能化为核心，以端到端数据流为基础、以网通互联为支撑。其中，以关键制造环节智能化为核心，即是制造业的智能化。因此，本文以制造环节的智能化系统为重点，尝试构建了一个以智能工厂为基础的智能制造系统的体系架构，如图2所示的五层结构，即设备层、控制层、管理层、企业层和网络层。同时，图2还给出了各层所包含的设备、系统、应用软件、网络及其相关技术。
 
　　智能制造系统体系架构最为突出的特征是其体现出来的三个集成[2]的概念，即智能制造系统的各层级通过纵向集成、横向集成和端到端集成三种集成方式，实现制造业的智能化。
 
　　（1）纵向集成是指企业内部系统各层级间相关数据的采集、处理、通信、转换，对信息进行存储和表达，实现信息交换，流程调度以及共享，使系统内的各层级信息安全有机融合。纵向信息集成应保证各层均能接入下层上传的信息，并以标准的、可扩展的方式通过接口进行访问，实现应用需求功能，上传的底层数据须符合系统的功能要求，高层信息能够及时、准确下达到底层。
 
　　（2）横向集成具有两种内涵：① 企业内部各层的横向集成，是为制造业智能化架构中的各层分别建立信息交换与共享平台，可以根据企业的具体情况全部建立在企业的计算和数据中心，也可以根据需要在各层设置分布式计算设备和数据存储设备，用于相应层级的信息交换与共享平台的建设。② 跨企业价值网络的横向集成，是通过云计算、云存储、大数据、互联网等先进技术，形成企业与企业之间的数据计算与交换中心。各企业通过对数据的交换与挖掘，对自身企业价值链进行完善。
 
　　（3）端到端集成是指贯穿整个产品价值链的端到端工程数字化集成，通过建立模型、配备IT支撑系统、构建网络化的端到端工程数字化工具链，实现从产品需求分析、研发设计、生产制造、销售和服务的全生命周期的信息集成，为整个价值链提供端对端支撑，使个性化、智能化的产品定制成为可能。
 
　　4 智能制造系统安全风险分析
 
　　4.1 智能制造系统安全的概念
 
　　（1）从安全问题成因的角度进行分类
 
　　从安全问题的成因角度对智能制造系统的安全进行分类，可分为三个方面，即功能安全、物理安全和信息安全[4]。
 
　　a) 功能安全是指智能制造设备和系统必须正确执行其功能，而且当失效或故障发生时，设备和系统必须仍能保持安全条件或进入到安全状态；可理解为“故障-安全”，是与设备和系统的可靠性密切相关的概念。
 
　　b) 物理安全是减少由于电击、火灾、辐射、机械危险、化学危险等因素造成的危害。
 
　　c) 信息安全可借鉴IEC 62443[3]中对工业控制系统信息安全的定义“保护系统所采取的措施；由建立和维护受保护系统的措施所得到的系统状态；能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损害；基于计算机系统的能力，能够保证非授权人员和系统无法修改软件及其数据，也无法访问系统功能，保证授权人员不被阻止；防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作”。智能制造系统作为关键基础设施，其信息安全不仅可能造成信息的丢失，还可能造成生产制造过程的故障的发生、人员的损害、设备的损坏，造成重大经济损失，甚至引起社会问题和环境问题。
 
　　本文着重从信息安全的角度对智能制造系统的安全风险进行分析。
 
　　（2）从安全控制的角度进行分类
 
　　从对安全进行控制的角度对智能制造系统的安全进行分类，可分为三个方面，即技术、管理和运维。
 
　　a) 技术，包括安全产品和技术（例如防火墙、防病毒软件、侵入检测、加密技术）的应用等。
 
　　b) 管理，包括使用政策、员工培训、业务规划、基于信息安全的非技术领域，涉及信息系统安全政策法规、教育、管理标准等方面。
 
　　c) 运维，主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物理进入控制、备份能力、免予环境威胁的保护等方面。
 
　　3.2 智能制造系统的安全风险因素分析
 
　　“风险”是带来损失或伤害的一种情况，对风险的度量则是指对安全事件发生的可能性和对造成的损害的严重程度的度量。我们应该在智能制造系统的论证、设计、研制、集成、运维等全寿命周期各个阶段预防安全事件发生，并能制定有效措施减缓安全事件发生带来的影响。对安全风险因素进行辨识、分析、度量、测试和评估是开展此项工作的重要手段。
 
　　一般认为，安全风险因素主要包含内因和外因两个方面，安全事件的发生是内因与外因共同作用的结果[5]。对于智能制造系统来说，属于“系统的系统”（System of Systems），即多个分系统通过网络化集成形成的复杂系统，因此除内外因之外，还应考虑各个分系统之间的风险依赖性[6]，即各个分系统的风险因素的耦合作用（故障传播行为）对智能制造系统整体造成的影响、甚至破坏[6]。下面将从内因、外因、故障传播行为三个方面分别对智能制造安全风险因素进行分析。
 
　　3.2.1安全风险内因——脆弱性
 
　　内因是指引起智能制造系统出现安全事件的系统内部因素。智能制造系统的组成要素可以分为硬件、软件、网络结构、控制规则和人员五类，因此，系统的风险内因主要来自硬件故障、软件缺陷、网络漏洞、运行规则不完善、系统架构不合理、管理不到位和人因失误等。这些可统称为系统的脆弱性。脆弱性又称弱点或漏洞，是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节，脆弱性一旦被威胁成功利用就可能对资产造成损害。
 
　　3.2.2安全风险外因——威胁
 
　　外因是指引起智能制造系统出现安全事件的系统外部因素，可以分为环境因素、运行模式变化和外部攻击三类。
 
　　（1）环境因素。环境是指围绕着某一事物（通常称其为主体）并对该事物会产生某些影响的所有外界事物（通常称其为客体），可分为自然环境和社会环境。自然环境条件对于产品来说是一个无法回避的、必须加以考虑的因素，是指系统在使用时的物理、化学和生物等条件，例如气候环境条件、生物环境条件、化学污染物、力学作用等。环境从各方面使产品性能劣化，给系统带来安全风险。社会环境是指人类生存及活动范围内的社会物质、精神条件的总和。社会环境的变化，如政治经济形势的变化会影响人的生活，进而影响人的情绪和行为，导致人因失误的发生；而且，政治环境、经济环境和法制环境的变化，会影响智能制造系统的功能、结构等，科技环境的变化，会对智能制造系统相关的理论和技术产生影响，这些都会引起系统的演化，进而导致安全事件的发生。
 
　　（2）运行模式。智能制造系统为完成不同任务，或使系统安全、经济、合理运行，需要经常变更系统的运行方式，由此相应地会引起系统结构或参数的变化，对系统的硬件、软件、网络结构产生影响，引起安全事件的发生。
 
　　（3）外部攻击。外部攻击是指来自系统外部的人或物对系统内硬件、软件等的破坏，可分为物理攻击和非物理攻击。物理攻击一般指人为的恶意破坏，指外部对系统组成元素的直接破坏，例如对硬件的攻击是通过改变环境参数或直接改变硬件参数对硬件设备进行干扰。对软件的攻击是通过在软件级注入故障。非物理攻击一般指网络攻击。外部攻击是三类外因中最不可控，且近些年来攻击技术发展迅速，对关键基础设施造成破坏及相关影响最大。因此在本研究中被重点关注。
 
　　3.2.3故障传播行为——风险因素耦合
 
　　故障传播指的是故障所引起的错误在不同实体之间的传播情况，所涉及的实体可以是物理器件、数据对象、语句、函数、进程等[8]。由于智能制造系统是一个网络化的复杂系统，其分系统间的安全风险因素会因网络连接的作用和信息与能量的交互而发生耦合作用，互相之间存在风险依赖性，即引起故障在系统内的传播。
 
　　在智能制造系统的运行过程中，系统的某个设备或子系统等局部在外因或内因的作用下出现功能失效或产生故障后，由于系统内部的耦合作用，可能会引起其它设备或子系统功能失效或故障，进而引发连锁反应，最终导致整个系统的功能失效与故障。其故障传播具有复杂性的特点：从长程时间上看，既表现出无序的非稳定性，又存在着有序的周期性和节律性；从短程时间看，多时间尺度上的动态行为相互交织，运行模式和故障变化复杂。智能制造系统的故障在空间上既存在区域性，又具有普遍性，故障波及的范围既具有可预测性又存在随机性和突变性。
 
　　3.3 智能制造的安全风险矩阵
 
　　综合上述对安全风险因素的分析，针对制造业智能化系统存在的安全风险可按层级划分[9],列为矩阵的形式，如图3所示。
 
　　（1）网络层：存在认证攻击、跨网攻击、路由攻击等安全风险并可能存在网络配置、网络硬件、网络边界以及监控与记录等方面的安全漏洞。
 
　　（2）企业层：存在用户隐私泄露、非授权访问等安全风险并可能存在企业软件平台配置及其硬件方面的安全漏洞。
 
　　（3）管理层：存在窃听嗅探、恶意代码、病毒/漏洞攻击等安全风险并可能存在管理软件配置及其硬件方面的安全漏洞。
 
　　（4）控制层：存在控制命令伪造攻击、控制网络DoS攻击、谐振攻击、广播风暴等安全风险并可能存在控制系统软硬件方面的安全漏洞。
 
　　（5）设备层：存在信道阻塞、感知数据破坏、Sybil攻击、时钟同步攻击等安全风险并可能存在设备软硬件方面的安全漏洞。

图3智能制造系统各层级的安全风险矩阵

　　另外，制造业智能化5层架构是按照功能进行划分，从技术角度分析，不同层级的组件也可能采用相同的技术，比如类似的操作系统、通信协议、加密算法等，所以不同层级可能存在同样的风险点[10]。
 
　　（1）在5个层级中，都存在非法接入、内容移除、逻辑错误、代码缺点等安全风险点；
 
　　（2）在网络层、企业层、管理层和控制层3个层级中，往往存在总线异常、窃听嗅探、口令窃取、主机漏洞、病毒攻击、木马潜伏、后门威胁等信息安全风险点；
 
　　（3）在控制层与设备层2个层级中，往往存在随机失效、诊断错误等安全风险点。
 
　　4 智能制造系统的安全防护建议
 
　　针对制造业智能化各层所面临的安全风险及漏洞，可采用如下信息安全防护建议[11]。如图4所示。

图4智能制造系统的安全风险防护建议

　　（1）设备层安全防护建议：针对设备层的安全风险，可以部署安全路由、工业防火墙对入侵行为进行检查，同时可对设备层节点进行信誉评价并进行设备注册。设备层还可以进行认证（包括对称认证、公钥认证以及密钥协商等）与保密（轻量级的密码算法与密码协议、可设定安全等级的密码技术等）相关措施保证信息的安全性。
 
　　（2）控制层安全防护建议：针对控制层的安全风险，可以增强网络的鲁棒性与健壮性，增强其容错能力。
 
　　（3）管理层安全防护建议：针对管理层的安全风险，可以实施安全多方计算与云计算、病毒检测、数据来源的可信度量化、加密数据挖掘、访问控制与灾难恢复以及对接入系统的移动设备进行识别、定位与追踪。
 
　　（4）企业层安全防护建议：针对企业层的风险，可以实施多种数据库安全服务措施、用户隐私保护机制以及用户行为防抵赖的取证机制。
 
　　（5）网络层安全防护建议：针对端到端通信间的安全风险，可以实施抗分布式拒绝服务攻击的网络协议与端到端加密技术。针对网络节点的安全风险，可以实施节点认证、跨网认证以及逐跳加密技术。为提高信息传输整体的保密性，可以实施单播组播以及广播的加密与相关安全技术。
 
　　5结论
 
　　本文对智能制造系统的基本概念、技术体系、参考架构及其所涉及的安全风险进行了初步的梳理与分析，并提出了相关的防护建议。随着我国制造业的发展，智能制造系统的安全越来越关系到我国的国计民生与国家安全，对智能制造系统的安全风险研究必然会随着“中国制造2025”的开展得到越来越多的关注与研究。

责任编辑：拂晓晨风