楊 龍

（中車青島四方機車車輛股份有限公司，青島 266111）

0 引言

智能制造是一種由智能機器和人類專家共同組成的人機一體化智能系統(tǒng)，它在制造過程中能進行智能活動，諸如分析、推理、判斷、構(gòu)思和決策等。通過人與智能機器的合作共事，去擴大、延伸和部分地取代人類專家在制造過程中的腦力勞動。并對人類專家的制造智能進行收集、存儲、完善、共享、繼承和發(fā)展[1]。

近些年隨著智能制造技術的不斷發(fā)展，智能制造系統(tǒng)與多系統(tǒng)集成交互信息和數(shù)據(jù)，使得智能制造系統(tǒng)被來自網(wǎng)絡或其他系統(tǒng)攻擊、損壞的現(xiàn)象變得越來越嚴重。

此外，基于互聯(lián)網(wǎng)的計算機輔助工程工具，例如云計算為制造過程提供服務。這也間接地為網(wǎng)絡攻擊提供了一種捷徑。

目前，智能制造系統(tǒng)安全常被視為純粹的信息技術問題。然而，鑒于系統(tǒng)的信息物理性質(zhì)，對這些系統(tǒng)的攻擊很難用普通網(wǎng)絡攻擊辦法來解決，如果網(wǎng)絡攻擊對制造業(yè)實體的威脅不能得到解決，則會使得實體設施和整個供應鏈處于網(wǎng)絡攻擊范疇之內(nèi)。

智能制造系統(tǒng)本身即是信息物理系統(tǒng)，同時內(nèi)部也包括多個子信息物理系統(tǒng)，而且與多個其他信息物理系統(tǒng)相互關聯(lián)和集成。因此，信息物理系統(tǒng)安全是一個新型的尚處在發(fā)展階段的研究領域，在關鍵技術和基礎理論的研究上還有很多問題亟待解決[2]。本文提出了一種針對該系統(tǒng)易損性的評價方式。

1 方法及流程

為了認證智能制造系統(tǒng)中加工過程的信息-物理漏洞，本文提出的評價方法將基于以下理念：加工系統(tǒng)中的漏洞一般存在于網(wǎng)絡、實體以及操作人互相之間交互的位置。

圖1展示了這些實體和漏洞是怎么樣與漏洞空間進行交互的。操作人、網(wǎng)絡和實體之間的交互對應了一個期望的響應，但是實際得到的響應卻由于漏洞空間（各類漏洞的集合）的存在而產(chǎn)生了變化。

本文提出的評價方法的第一步就是交互點的映射，同時分析漏洞對于每一個交互點的影響，如圖2所示。

圖2 易損性評價方法框架

但是，在這之前，應當做到深入了解制造過程、明晰數(shù)據(jù)的傳遞機制以及一個加工系統(tǒng)所必備的資源要求，這些都是本方法中的關鍵的輸入條件。因此，在交互點映射之前，應當首先針對完整的過程對所關心的流程部分進行過程映射，該部分不是本文的論述內(nèi)容，本文只論述與本文提出的方法相關的交叉點映射。

應該指出，這里提出的易損性評價方法適用于惡意、有指向的信息物理攻擊，同時也適用于無目的性的、偶然的信息物理攻擊。

1.1 交互點的映射

評價方法的第一步是通過整個生產(chǎn)過程跟蹤不同的實體類型。為此，交叉映射被用于識別每一個生產(chǎn)流程中的實體，并借此追蹤與該實體相關聯(lián)的其他實體。制造者不僅可以通過生產(chǎn)過程跟蹤以下四個實體，更重要的是它突出了網(wǎng)絡物理受損最有可能發(fā)生的各個部分。下面將列出的四個實體分別是：

1）信息網(wǎng)絡：信息網(wǎng)絡用于數(shù)字信息的預處理、保存、傳輸、管理或后處理。例如：PLM、ERP、CAE、數(shù)據(jù)管理系統(tǒng)、數(shù)據(jù)挖掘和質(zhì)量控制/檢驗報告系統(tǒng)等。

2）物理實體：物理實體是實質(zhì)意義上的實體，其在制造系統(tǒng)中的作用無法完全由自動化系統(tǒng)所控制。例如：被制造的零件，人工操作的機床，原材料或中間材料，人工操作的檢測設備等。

3）信息-物理實體：信息-物理實體被定義為任何具有信息網(wǎng)絡和物理實體元素的實體，這些實體在有或沒有人工監(jiān)督運行的情況下自主地進行交互、生產(chǎn)。例如：計算機數(shù)字控制（CNC）機器、坐標測量機（CMM）、數(shù)據(jù)采集（DAQ）系統(tǒng)和SCADA網(wǎng)絡。

4）操作者：在漏洞空間中，操作者也就是人為因素被定義為具有與制造系統(tǒng)中的其他實體都存在交互機會的實體。例如：IT人員、設計師、制造工程師、質(zhì)量工程師、維護人員，運輸和輔助人員等。

1.2 信息物理易損性的影響分析

分析交叉點處的特征，并基于該特征去評價該節(jié)點的易損性。這些節(jié)點的特征將被用作度量以確定這個漏洞的影響。這樣的交叉點特征包括：信息的丟失、不一致性、相對頻率、成熟度缺失、檢測滯留時間。應該注意的是，每個指標將被列為低、中、高三個等級。低等級代表將受到較低的脆弱性影響，意味著比更高一級更安全一些。創(chuàng)建這些度量標準的決策樹，以便于進行重復評估。每個決策樹都提出了一些問題，通過回答這些問題來確定了信息物理漏洞的影響級別。下面將展開討論針對不同特征的決策樹情況。

1.2.1 信息丟失的度量

信息的丟失或改變會發(fā)生在一個流程節(jié)點的完成過程當中。例如，設計者頭腦中的零部件信息與原始的CAD文件信息不對應，則在CAD信息文件與設計者之間相交互時會出現(xiàn)信息丟失或改變的現(xiàn)象。如圖3所示，決策樹中的第一個問題是確定節(jié)點本身的信息是丟失或改變，潛在的信息丟失會對信息物理系統(tǒng)造成嚴重的負面影響?？紤]每個節(jié)點有兩個輸入，判斷前兩個節(jié)點的信息是否都被輸入到本節(jié)點；然后第二個問題即是判斷本節(jié)點是否獲得了來自于上兩個節(jié)點的信息。每種類型的交互（如操作者/操作者交互，操作者/信息交互，信息/物理實體交互等）都有自己的信息丟失決策樹。

圖3 信息丟失決策樹

1.2.2 非一致性的度量

圖4 非一致性度量決策樹

考慮到過程映射中的每個節(jié)點均代表兩個實體或源頭的交互，則此處的決策樹應該來決定到底有多少輸入發(fā)生了變化，如圖4所示。例如一臺物理實體機器的操作者的變化都屬于這類變化。

1.2.3 相對頻率的度量

節(jié)點易損性決策過程中相對頻率度量標示了制定節(jié)點相對于加工過程的重復次數(shù)。例如，如果一個公司只加工一件產(chǎn)品，該公司每天生產(chǎn)一個部件持續(xù)一年，則CAD文件的產(chǎn)生頻率為1/365，對應的相對頻率逼近0。同樣的，計算機輔助制造節(jié)點的頻率也為1/365；但是，實際加工節(jié)點的頻率卻為365/365，這是因為日常加工為重復過程，相對頻率接近1。

1.2.4 成熟度缺失的度量

成熟度缺失指的是交互點處還未處于運行狀態(tài)的時間量。對操作者來講，成熟度缺失指代了操作者可能缺乏經(jīng)驗或者基本信任；一個新手機械師比起那個已經(jīng)從事加工制造十年的人來說，成熟度要低一些。如圖5所示該決策樹考慮的是某指定節(jié)點的成熟度缺失的問題。第一個問題是決定信息源是否100%可信。典型的不可信的信息源例如一臺嶄新的機器，對其還不能做到完全熟知。第二個問題與這個信息源的熟練程度有關。

圖5 成熟度缺失度量決策樹

1.2.5 檢測時間的度量

圖6 檢測時間度量決策樹

檢測時間為節(jié)點擾動和可能的檢測之間所用的時間；該量不一定通過時間單位來量化，也可以用兩流程之間的距離來量化。如果過程的輸入最終被檢測，則對應的決策樹如圖6所示；如果加工過程自始至終未被檢測，則對應的檢測時間度量為高級別。此外，第二個問題是判斷檢測發(fā)生時有多少后續(xù)節(jié)點受到了影響，這決定了漏洞可能影響的區(qū)域。

1.3 方法總結(jié)

以上提出的評價方法為兩步法。如前所述，完整加工設施的過程映射是本方法的輸入；交互點的映射是本方法的第一步，該步驟將過程映射中的所有交互信息轉(zhuǎn)換為交互點的映射，需要注意的是每個交互點有兩個輸入和一個輸出。交互點映射完畢后，則進入到易損性影響分析環(huán)節(jié)，該環(huán)節(jié)提出了5個度量指標，并通過決策樹的形式實現(xiàn)。五個度量指標的實施順序沒有特定要求，可以打亂進行。

2 實例研究

本節(jié)將考慮一個零件的完整制造過程說明易損性評價方法，包括從設計意圖到整理和質(zhì)量控制的各個階段。本節(jié)只考慮幾個關鍵階段來實施信息物理脆弱性評估流程，即制造過程規(guī)劃和產(chǎn)品質(zhì)量檢測階段。

制造過程規(guī)劃主要有兩個步驟：1）為由CAD設計者生成的部件創(chuàng)建一套加工設置，確保零件位置、毛坯件幾何、基準以及其他過程特征參數(shù)的正確性；2）為工件加持設備生成一套類似的加工設置，該步驟由負責的機械師完成。應該指出的是，設計者和機械師有可這兩個步驟中合作，機械師的現(xiàn)場經(jīng)驗通常是有非常有價值的，有可能使設計者重新調(diào)整設計。另一個階段是質(zhì)量檢驗階段，由三個主要步驟組成：1）為要測量的零件搭建測試平臺；2）使用預先制定的測試流程對零部件進行檢測；3）對檢測結(jié)果數(shù)據(jù)進行分析，從而確定零件是否符合所要求的規(guī)范。

整個過程中不管在制造過程規(guī)劃階段還是質(zhì)量檢驗階段，只要出現(xiàn)網(wǎng)絡攻擊、人為因素等，都將導致最終的結(jié)果與設計意圖不符。

但只要采用本文中所述的評價方法逐個進行分析和論證，就將在分析階段找到原因，制定合理可行的解決措施，防止意外的產(chǎn)生。

3 結(jié)論

本文提出的智能制造系統(tǒng)信息物理易損性評估方法為制造從業(yè)者提供了一個詳盡的方法來認證系統(tǒng)中的漏洞以及漏洞可能導致的潛在危害，如果這些漏洞不被發(fā)覺，則會帶來嚴重的負面影響。評價方法提供了現(xiàn)有智能制造系統(tǒng)的易損性發(fā)生的可能性和量化方式，有助于評估系統(tǒng)的網(wǎng)絡物理安全狀態(tài)并設計相應的緩解和預防技術，對實際使用具有非常重要的價值。