◎齊俊鵬 趙 越 徐 靖

1.中國(guó)航天系統(tǒng)科學(xué)與工程研究院，北京，100048

2.中國(guó)航天科技集團(tuán)公司，北京，100048

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)中的深入應(yīng)用，工控系統(tǒng)從“信息孤島”向網(wǎng)絡(luò)化、集成化模式發(fā)展已成為必然趨勢(shì)，越來(lái)越多的工控系統(tǒng)接入企業(yè)內(nèi)部網(wǎng)絡(luò)。當(dāng)“震網(wǎng)病毒”事件爆發(fā)后，工控系統(tǒng)長(zhǎng)期以來(lái)存在的安全風(fēng)險(xiǎn)浮出水面，并成為影響國(guó)家戰(zhàn)略實(shí)施和基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行的重要因素。加強(qiáng)工控設(shè)備聯(lián)網(wǎng)的安全防護(hù)已成為信息安全領(lǐng)域關(guān)注的焦點(diǎn)。

本文以數(shù)控機(jī)床聯(lián)網(wǎng)需求為切入點(diǎn)，重點(diǎn)分析當(dāng)前數(shù)控機(jī)床聯(lián)網(wǎng)存在的安全風(fēng)險(xiǎn)，并基于安全風(fēng)險(xiǎn)提出一種應(yīng)用可信驗(yàn)證模型和整體解決方案。

一、互聯(lián)的必要性和意義

當(dāng)前，全球制造業(yè)正在邁向網(wǎng)絡(luò)化、智能化，而網(wǎng)絡(luò)化、智能化的前提是構(gòu)建起聯(lián)通制造業(yè)“信息孤島”、實(shí)現(xiàn)工業(yè)大數(shù)據(jù)安全流轉(zhuǎn)的高速網(wǎng)絡(luò)。工業(yè)控制網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)，將為企業(yè)研發(fā)、設(shè)計(jì)、決策、管理等提供新的工具和手段，為業(yè)務(wù)鏈條的各環(huán)節(jié)提供新的協(xié)作平臺(tái)，必將有力地推動(dòng)我國(guó)工業(yè)生產(chǎn)方式的轉(zhuǎn)變和產(chǎn)業(yè)結(jié)構(gòu)的優(yōu)化升級(jí)，催生定制化制造、協(xié)同制造、服務(wù)型制造、智能化制造等一系列新模式、新業(yè)態(tài)，助推“中國(guó)制造2025”行動(dòng)綱領(lǐng)實(shí)施和制造強(qiáng)國(guó)戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。

以航天科技為代表的軍工制造業(yè)，是中國(guó)制造業(yè)的戰(zhàn)略力量，它的發(fā)展水平在一定程度上決定著中國(guó)高端制造業(yè)的水平。在當(dāng)前制造業(yè)整體向網(wǎng)絡(luò)化、智能化方向發(fā)展的前提下，解決軍工制造業(yè)信息孤島的問(wèn)題，支持工業(yè)大數(shù)據(jù)安全有序流動(dòng)，互聯(lián)是這一切的基礎(chǔ)，且已變得迫在眉睫。

構(gòu)建堅(jiān)固的網(wǎng)絡(luò)安全防護(hù)體系，保護(hù)敏感信息和知識(shí)產(chǎn)權(quán)，避免類(lèi)似“震網(wǎng)病毒”事件再次發(fā)生，是實(shí)現(xiàn)工控系統(tǒng)與企業(yè)內(nèi)網(wǎng)互聯(lián)的重中之重。

二、互聯(lián)的安全風(fēng)險(xiǎn)分析

（一）機(jī)床的安全風(fēng)險(xiǎn)

圖1 數(shù)控機(jī)床組成示意圖

數(shù)控機(jī)床一般由輸入輸出設(shè)備、計(jì)算機(jī)數(shù)控（Computer Numerical Control，CNC）裝置、伺服單元、驅(qū)動(dòng)裝置、可編程控制器PLC及電氣控制裝置、輔助裝置、機(jī)床本體及測(cè)量裝置組成，其中除機(jī)床本體之外的部分統(tǒng)稱(chēng)為計(jì)算機(jī)數(shù)控系統(tǒng)。數(shù)控機(jī)床組成示意圖如圖1。

機(jī)床本體是指組成機(jī)床的各機(jī)械部件，而計(jì)算機(jī)數(shù)控系統(tǒng)是整個(gè)數(shù)控機(jī)床的核心，是一套軟硬結(jié)合的智能化系統(tǒng)。計(jì)算機(jī)數(shù)控系統(tǒng)從外部接收數(shù)據(jù)，經(jīng)過(guò)層層處理，最終轉(zhuǎn)換為機(jī)械運(yùn)動(dòng)，由機(jī)床本體執(zhí)行相關(guān)加工動(dòng)作。

數(shù)控系統(tǒng)主要的信息安全風(fēng)險(xiǎn)情況如表1。

（二）采購(gòu)和維修的安全風(fēng)險(xiǎn)

數(shù)控機(jī)床的采購(gòu)、維修過(guò)程是當(dāng)前設(shè)備供應(yīng)鏈中安全風(fēng)險(xiǎn)非常嚴(yán)峻的一個(gè)環(huán)節(jié)。在已經(jīng)曝光的美國(guó)“量子”項(xiàng)目中，美國(guó)安全局（NSA）在設(shè)備生產(chǎn)過(guò)程中向重點(diǎn)目標(biāo)植入惡意的軟硬件，并通過(guò)這些惡意軟硬件向互聯(lián)網(wǎng)或鄰近的接收裝置建立連接，從而達(dá)到竊取和收集目標(biāo)中的重要信息。

表1 數(shù)控機(jī)床自身的安全風(fēng)險(xiǎn)

由于數(shù)控產(chǎn)品構(gòu)成日益復(fù)雜，一臺(tái)設(shè)備的配件可能來(lái)自不同的國(guó)家和廠(chǎng)商，一套復(fù)雜的軟件系統(tǒng)可能由不同地方的人員共同設(shè)計(jì)完成，在以上任何一個(gè)環(huán)節(jié)中都可能引入后門(mén)和漏洞，極大地增加了信息安全防護(hù)難度；此外，由于與傳統(tǒng)的病毒、木馬不同，在設(shè)備中植入惡意硬件的形式更加隱蔽，一些硬件后門(mén)以邏輯漏洞的方式直接植入被封裝好的芯片中，其惡意功能只在特定的條件下才會(huì)觸發(fā)，難以通過(guò)常規(guī)手段檢測(cè)出來(lái)。

當(dāng)前，我國(guó)大部分?jǐn)?shù)控設(shè)備或數(shù)控系統(tǒng)都是從國(guó)外引進(jìn)，因此國(guó)外廠(chǎng)商能夠很輕易通過(guò)預(yù)設(shè)的后門(mén)實(shí)施網(wǎng)絡(luò)入侵。

數(shù)控機(jī)床在采購(gòu)、維修過(guò)程中主要的安全風(fēng)險(xiǎn)情況如表2

（三）設(shè)備聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)

對(duì)數(shù)控機(jī)床而言，數(shù)控機(jī)床與企業(yè)辦公網(wǎng)絡(luò)互聯(lián)后，更容易遭受企業(yè)辦公網(wǎng)絡(luò)中病毒感染和網(wǎng)絡(luò)攻擊，給設(shè)備的可用性和業(yè)務(wù)的延續(xù)性帶來(lái)巨大的風(fēng)險(xiǎn)。

另一方面，當(dāng)數(shù)控機(jī)床接入企業(yè)辦公網(wǎng)絡(luò)后，由于數(shù)控機(jī)床缺乏安全防護(hù)機(jī)制，能夠輕易被滲透攻擊和控制，從而給企業(yè)重要數(shù)據(jù)的保護(hù)帶來(lái)嚴(yán)峻挑戰(zhàn)。

三、互聯(lián)的安全解決方案

（一）網(wǎng)絡(luò)部署架構(gòu)設(shè)計(jì)

針對(duì)數(shù)控機(jī)床聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)分析，本文設(shè)計(jì)了一種網(wǎng)絡(luò)互聯(lián)方案，采用保密傳輸單元實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離和信息單向傳輸，加強(qiáng)網(wǎng)絡(luò)邊界的防護(hù)，互聯(lián)方案的網(wǎng)絡(luò)部署架構(gòu)如圖2示。

圖2 互聯(lián)方案的網(wǎng)絡(luò)部署架構(gòu)

表2 設(shè)備供應(yīng)鏈中的安全風(fēng)險(xiǎn)

其中保密傳輸單元是一種采用光單向性傳輸技術(shù)，實(shí)現(xiàn)信息單向傳輸?shù)陌踩綦x產(chǎn)品。保密傳輸單元由三個(gè)部分組成：外端機(jī)、單向傳輸控制通道和內(nèi)端機(jī)，其中外端機(jī)與內(nèi)端機(jī)是兩臺(tái)獨(dú)立的主機(jī)，外端機(jī)與內(nèi)端機(jī)之間存在唯一的連接接口，即單向傳輸控制通道。

此外，為確保數(shù)控機(jī)床和工作網(wǎng)互聯(lián)后數(shù)據(jù)交換的安全性，本文提出了一種基于單向傳輸協(xié)議的可信驗(yàn)證模型（圖3）證服務(wù)器（AS）和票據(jù)授權(quán)服務(wù)器（TGS）共同實(shí)現(xiàn)跨域之間的信息可信交換。

圖3 基于單向傳輸協(xié)議的可信驗(yàn)證模型

（二）可信驗(yàn)證模型

1.模型設(shè)計(jì)

模型定義如下：

應(yīng)用服務(wù)器：部署具體的業(yè)務(wù)系統(tǒng)（如DNC系統(tǒng)），模型中為數(shù)據(jù)的發(fā)送端；

同步服務(wù)器：業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的鏡像系統(tǒng)（如DNC系統(tǒng)），模型中為數(shù)據(jù)的接收端；

認(rèn)證服務(wù)器（AS）：存儲(chǔ)身份認(rèn)證信息和相關(guān)密鑰信息，進(jìn)行客戶(hù)端身份合法性認(rèn)證，并發(fā)放身份認(rèn)證過(guò)程中產(chǎn)生的會(huì)話(huà)密鑰，防止身份認(rèn)證信息被篡改；

圖4 身份可信驗(yàn)證過(guò)程

票據(jù)授權(quán)服務(wù)器（TGS）：用于確認(rèn)信息源身份的合法性，決定保密傳輸單元應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)給同步服務(wù)器。

定義Kx為X與認(rèn)證服務(wù)器的共享密鑰；Kx,y為X與Y的會(huì)話(huà)密鑰，由認(rèn)證服務(wù)器發(fā)放；{m}K為用密鑰K加密信息m；TGT為用于訪(fǎng)問(wèn)TGS的票據(jù)；Tx,y為X訪(fǎng)問(wèn)Y時(shí)的票據(jù)。

2.可信驗(yàn)證過(guò)程

本文設(shè)計(jì)的數(shù)據(jù)可信交換驗(yàn)證模型的具體實(shí)現(xiàn)流程如圖4示。

（1）保密傳輸單元外端機(jī)檢測(cè)到有數(shù)據(jù)需要同步時(shí)，外端機(jī)首先采集應(yīng)用服務(wù)器的相關(guān)信息，采集的信息如下：

{a,tgs,timestamp,addr}

采集信息的內(nèi)容包括應(yīng)用服務(wù)器的名稱(chēng)（a）、票據(jù)授權(quán)服務(wù)器的名稱(chēng)（tgs）、應(yīng)用服務(wù)器的IP地址（addr）以及時(shí)間戳（timestamp）。時(shí)間戳用于向身份認(rèn)證服務(wù)器（AS）表示這一身份請(qǐng)求是新的。

然后外端機(jī)開(kāi)始接收應(yīng)用數(shù)據(jù)，并驗(yàn)證所傳輸?shù)腡CP/IP包是否符合保密傳輸單元設(shè)置的訪(fǎng)問(wèn)控制策略。若不符合相關(guān)訪(fǎng)問(wèn)控制策略，則終止數(shù)據(jù)接收，并產(chǎn)生告警日志，否則進(jìn)入步驟（2）；

（2）外端機(jī)將應(yīng)用服務(wù)器相關(guān)信息發(fā)送給認(rèn)證服務(wù)器AS，用于向認(rèn)證服務(wù)器AS發(fā)出應(yīng)用服務(wù)器訪(fǎng)問(wèn)票據(jù)授權(quán)服務(wù)器TGS的請(qǐng)求，請(qǐng)求以報(bào)文形式發(fā)送。請(qǐng)求的報(bào)文內(nèi)容為{a,tgs,timestamp,addr}。

（3）AS收到請(qǐng)求報(bào)文后，在其數(shù)據(jù)庫(kù)中查找外端機(jī)的加密密鑰Kw，并產(chǎn)生隨機(jī)會(huì)話(huà)密鑰Ka,tgs和Ta,tgs（TGS的票據(jù)TGT）作為應(yīng)答報(bào)文。會(huì)話(huà)密鑰Ka,tgs用于應(yīng)用服務(wù)器與TGS進(jìn)行加密通信，用Kw加密。Ta,tgs的內(nèi)容包括：TGS的名稱(chēng)（tgs）、應(yīng)用服務(wù)器的名稱(chēng)（a）、應(yīng)用服務(wù)器的IP地址（addr）、時(shí)間戳（timestamp）、有效生存期限（lifetime）以及會(huì)話(huà)密鑰Ka,tgs，這些數(shù)據(jù)使用TGS的密鑰 進(jìn)行加密，以保證只有TGS才能解密。這一部分的應(yīng)答報(bào)文為：

{Ka,tgs，Ta,tgs}Kw

其中Ta,tgs={tgs,a,addr,timestamp,li fetime,Ka,tgs}Ktgs。

AS向外端機(jī)發(fā)出應(yīng)答，應(yīng)答內(nèi)容用外端機(jī)的密鑰Kw加密，使得只有外端機(jī)才能解密該報(bào)文的內(nèi)容。

（4）外端機(jī)收到AS返回的應(yīng)答報(bào)文后，通過(guò)Kw對(duì)報(bào)文進(jìn)行解密，就得到Ka,tgs和Ta,tgs。外端機(jī)后續(xù)就可以把Ta,tgs發(fā)送給TGS來(lái)證明應(yīng)用服務(wù)器具有訪(fǎng)問(wèn)對(duì)端TGS的合法身份。外端機(jī)同時(shí)從AS處得到了應(yīng)用服務(wù)器與對(duì)端TGS的會(huì)話(huà)密鑰Ka,tgs，用它來(lái)與TGS進(jìn)行加密通信。

外端機(jī)首先利用返回的會(huì)話(huà)密鑰（Ka,tgs）生成應(yīng)用服務(wù)器的身份認(rèn)證符Aa,tgs，認(rèn)證符Aa,tgs的內(nèi)容如下：

Aa,tgs={a,addr,timestamp}Ka,tgs

認(rèn)證符的內(nèi)容包括應(yīng)用服務(wù)器的名字（a）、應(yīng)用服務(wù)器的IP地址（addr）以及時(shí)間戳（timestamp），認(rèn)證符Aa,tgs的內(nèi)容用會(huì)話(huà)密鑰Ka,tgs進(jìn)行加密。

外端機(jī)根據(jù)身份認(rèn)證符（Aa,tgs）和信任憑證票據(jù)（Ta,tgs）將需同步的應(yīng)用數(shù)據(jù)進(jìn)行加密處理。

（5）外端機(jī)采用私有協(xié)議將身份認(rèn)證符（Aa,tgs）、信任憑證票據(jù)（Ta,tgs）以及加密后的數(shù)據(jù)封裝成靜態(tài)文件，然后靜態(tài)文件通過(guò)單向傳輸通道同步至單向隔離設(shè)備的內(nèi)端機(jī)。

（6）內(nèi)端機(jī)接收到靜態(tài)文件后，根據(jù)私有協(xié)議將靜態(tài)文件進(jìn)行解析，獲得Aa,tgs和Ta,tgs的信息。

（7）內(nèi)端機(jī)與票據(jù)授權(quán)服務(wù)器TGS進(jìn)行信息交互，具體過(guò)程如下：

①內(nèi)端機(jī)向票據(jù)授權(quán)服務(wù)器TGS發(fā)送應(yīng)用數(shù)據(jù)同步的請(qǐng)求報(bào)文，報(bào)文內(nèi)容包括Ta,tgs（TGS的票據(jù)TGT）以及認(rèn)證符Aa,tgs。Ta,tgs的內(nèi)容是用TGS的密鑰Ktgs加密的（見(jiàn)步驟（3）），只有TGS才能解開(kāi)，認(rèn)證符Aa,tgs的內(nèi)容使用應(yīng)用服務(wù)器和TGS的會(huì)話(huà)密鑰Ka,tgs進(jìn)行加密（見(jiàn)步驟（4）），以保證只有TGS才能解開(kāi)。Ta,tgs并不能證明任何人的身份，可以重復(fù)使用而且有效期較長(zhǎng)，而認(rèn)證符Aa,tgs則用來(lái)證明應(yīng)用服務(wù)器的身份，只能使用一次而且有效期很短。

②TGS收到內(nèi)端機(jī)發(fā)來(lái)的請(qǐng)求報(bào)文后，用自己的密鑰Ktgs對(duì)Ta,tgs進(jìn)行解密處理，得到了應(yīng)用服務(wù)器與自己的會(huì)話(huà)密鑰Ka,tgs。TGS然后用Ka,tgs解密認(rèn)證符Aa,tgs，并將認(rèn)證符Aa,tgs中的相關(guān)信息與Ta,tgs中的相關(guān)信息（a,addr,timestamp等）進(jìn)行比較。如果校驗(yàn)失敗，內(nèi)端機(jī)會(huì)立即刪除接收的數(shù)據(jù)，終止數(shù)據(jù)同步流程并產(chǎn)生告警日志，否則進(jìn)入步驟（8）；

（8）內(nèi)端機(jī)傳遞的驗(yàn)證信息通過(guò)TGS信任校驗(yàn)后，TGS可以相信Ta,tgs的發(fā)送者（應(yīng)用服務(wù)器）就是Ta,tgs的實(shí)際持有者，于是給內(nèi)端機(jī)返回一條確認(rèn)信息，然后內(nèi)端機(jī)會(huì)將加密后的應(yīng)用數(shù)據(jù)進(jìn)行解密處理；

（9）內(nèi)端機(jī)建立與同步服務(wù)器的連接，最終完成應(yīng)用數(shù)據(jù)的同步傳輸。

（三）網(wǎng)絡(luò)整體防護(hù)

基于單向傳輸協(xié)議的數(shù)據(jù)可信交換驗(yàn)證模型，增強(qiáng)了網(wǎng)絡(luò)之間數(shù)據(jù)通信的安全性，為提高數(shù)控網(wǎng)、工作網(wǎng)互聯(lián)后整體的安全防護(hù)能力，網(wǎng)絡(luò)互聯(lián)解決方案還采用了以下安全防護(hù)措施：

1.安全域邊界防護(hù)

（1）安全域劃分

數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部按照業(yè)務(wù)需求和防護(hù)等級(jí)劃分為不同的安全域。其中數(shù)控網(wǎng)劃分為認(rèn)證服務(wù)器安全域、應(yīng)用服務(wù)器安全域、網(wǎng)絡(luò)設(shè)備安全域和數(shù)控設(shè)備安全域；工作網(wǎng)劃分為認(rèn)證服務(wù)器安全域、應(yīng)用服務(wù)器安全域、網(wǎng)絡(luò)設(shè)備安全域和用戶(hù)終端安全域。數(shù)控網(wǎng)、工作網(wǎng)內(nèi)部各安全域之間采用防火墻進(jìn)行隔離防護(hù)。

（2）VLAN劃分

數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部各安全域按照設(shè)備類(lèi)型（如數(shù)控機(jī)床、終端）、業(yè)務(wù)功能（如服務(wù)器區(qū)、終端區(qū)）和物理區(qū)域等原則又細(xì)化為不同的VLAN，并通過(guò)設(shè)置交換機(jī)訪(fǎng)問(wèn)控制策略限制各個(gè)VLAN之間的相互訪(fǎng)問(wèn)。

2.邊界安全防護(hù)

數(shù)控網(wǎng)和工作網(wǎng)的網(wǎng)絡(luò)邊界采用單向隔離設(shè)備進(jìn)行防護(hù)和控制，單向隔離設(shè)備采用類(lèi)似包過(guò)濾防火墻的功能，實(shí)現(xiàn)對(duì)IP地址、通信端口的控制，阻斷網(wǎng)絡(luò)之間一切通用網(wǎng)絡(luò)協(xié)議連接，并采用私有協(xié)議進(jìn)行數(shù)據(jù)包的通信、轉(zhuǎn)發(fā)，能夠有效地降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

保密傳輸單元集安全隔離、實(shí)時(shí)信息交換、單向傳輸、內(nèi)容審查、病毒檢測(cè)、訪(fǎng)問(wèn)控制、安全審計(jì)、病毒防護(hù)等多種安全功能為一體，適合部署于不同安全等級(jí)的網(wǎng)絡(luò)間，在保證多個(gè)網(wǎng)絡(luò)安全隔離的同時(shí)，實(shí)現(xiàn)高速的、安全的數(shù)據(jù)單向傳輸，提供可靠的信息交換服務(wù)。

3.入侵監(jiān)測(cè)

數(shù)控網(wǎng)和工作網(wǎng)均部署入侵檢測(cè)系統(tǒng)（IDS），通過(guò)IDS對(duì)網(wǎng)絡(luò)之間、網(wǎng)絡(luò)內(nèi)部的訪(fǎng)問(wèn)行為進(jìn)行監(jiān)測(cè)，對(duì)發(fā)現(xiàn)的滲透攻擊和非授權(quán)操作等異常行為能及時(shí)告警，并采用與防火墻聯(lián)動(dòng)的機(jī)制對(duì)異常行為進(jìn)行阻斷和消除。

4.惡意代碼防范

數(shù)控網(wǎng)和工作網(wǎng)均部署防病毒系統(tǒng)，對(duì)網(wǎng)絡(luò)內(nèi)部的用戶(hù)終端、服務(wù)器等設(shè)備采取計(jì)算機(jī)病毒及惡意代碼防范措施。

在網(wǎng)絡(luò)邊界，通過(guò)保密傳輸單元集成的病毒查殺功能，實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)區(qū)域之間的病毒、木馬等惡意代碼的防護(hù)。

5.設(shè)備接入控制

在數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部采用設(shè)備MAC地址和交換機(jī)接口綁定技術(shù)控制設(shè)備的接入，并將交換機(jī)上所有暫不使用的網(wǎng)絡(luò)端口采取物理斷開(kāi)、邏輯控制等措施，限制或阻斷違規(guī)接入的設(shè)備對(duì)系統(tǒng)資源的訪(fǎng)問(wèn)。

6.安全漏洞掃描

在數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部部署漏洞掃描系統(tǒng)，對(duì)網(wǎng)絡(luò)脆弱性進(jìn)行安全檢測(cè)，及時(shí)發(fā)現(xiàn)系統(tǒng)中服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備和終端的安全漏洞，并采取相關(guān)措施及時(shí)修補(bǔ)，降低系統(tǒng)的安全隱患。

四、總結(jié)

在全球制造業(yè)整體向網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的大趨勢(shì)下，本文詳細(xì)分析了數(shù)控機(jī)床聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)，并針對(duì)風(fēng)險(xiǎn)提出了網(wǎng)絡(luò)安全互聯(lián)的整體部署架構(gòu)。在這一架構(gòu)中，設(shè)計(jì)了一種基于單向傳輸協(xié)議的數(shù)據(jù)交換可信驗(yàn)證模型，保障了兩網(wǎng)之間數(shù)據(jù)通訊過(guò)程中身份信息的可信性；在該模型的基礎(chǔ)上，本文從提高工控網(wǎng)絡(luò)整體防護(hù)能力的角度，提出了其它一些相關(guān)的安全防護(hù)措施，為工控設(shè)備聯(lián)網(wǎng)規(guī)劃出一種安全可行的技術(shù)解決方案。