我國(guó)軍工行業(yè)工控安全及防護(hù)策略研究

孫宇健 梁光成 杜興林 佟 軼 /文

隨著兩化深度融合、“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃的深入推進(jìn)，越來(lái)越多的新型技術(shù)被應(yīng)用于軍工行業(yè)，極大提升了軍工企業(yè)的研發(fā)、生產(chǎn)及制造能力，但也給工控系統(tǒng)帶來(lái)了新的安全隱患，工控系統(tǒng)正面臨著前所未有的安全威脅。軍工企業(yè)作為國(guó)防科技工業(yè)重要力量，肩負(fù)著富國(guó)強(qiáng)軍的神圣使命，更應(yīng)該高度重視工控系統(tǒng)安全問題。

軍工行業(yè)工控系統(tǒng)的特點(diǎn)

工控即工業(yè)自動(dòng)化控制，是指使用計(jì)算機(jī)技術(shù)、微電子技術(shù)、電氣等手段使工廠生產(chǎn)和制造過程更加自動(dòng)化、效率化、精確化，并具有可控性及可視性。

工控系統(tǒng)構(gòu)成復(fù)雜，主要包括過程控制系統(tǒng)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯控制器、數(shù)控系統(tǒng)、遠(yuǎn)程終端單元等部分。過程控制系統(tǒng)用于保證生產(chǎn)過程的參量為被控制量，使之接近給定值或保持在給定范圍內(nèi)；數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)可以對(duì)現(xiàn)場(chǎng)的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測(cè)量、參數(shù)調(diào)節(jié)及各類信號(hào)報(bào)警等各項(xiàng)功能；分布式控制系統(tǒng)是由過程控制級(jí)和過程監(jiān)控級(jí)組成的以通信網(wǎng)絡(luò)為紐帶的多級(jí)計(jì)算機(jī)系統(tǒng)，其主要作用是分散控制、集中操作、分級(jí)管理、配置靈活及組態(tài)方便；可編程邏輯控制器是專為工業(yè)生產(chǎn)設(shè)計(jì)的一種數(shù)字運(yùn)算操作的電子裝置，采用一類可編程的存儲(chǔ)器，用于其內(nèi)部存儲(chǔ)程序，執(zhí)行邏輯運(yùn)算、順序控制、定時(shí)、計(jì)數(shù)與算術(shù)操作等面向用戶的指令，并通過數(shù)字或模擬式輸入/輸出控制各種類型的機(jī)械或生產(chǎn)過程；數(shù)控系統(tǒng)主要用于數(shù)字化控制精密機(jī)械加工、編制加工程序；遠(yuǎn)程終端單元負(fù)責(zé)對(duì)現(xiàn)場(chǎng)信號(hào)、工業(yè)設(shè)備的監(jiān)測(cè)和控制。

由于行業(yè)自身的特殊性及其管理、技術(shù)等因素限制，軍工行業(yè)工控系統(tǒng)存在更多的安全風(fēng)險(xiǎn)。軍工行業(yè)工控系統(tǒng)涉及生產(chǎn)制造、體系仿真、測(cè)試試驗(yàn)及生產(chǎn)輔助等多個(gè)方面的國(guó)防科研生產(chǎn)任務(wù)，在工控網(wǎng)邊界、數(shù)據(jù)傳輸安全、工控設(shè)備物理安全、管理及審計(jì)等方面都具有特殊性，維護(hù)工控系統(tǒng)安全的任務(wù)更加艱巨，意義更加重大。

工控系統(tǒng)面臨問題及安全風(fēng)險(xiǎn)

工控網(wǎng)邊界軍工企業(yè)工控網(wǎng)為非密網(wǎng)，一般采用與涉密網(wǎng)物理隔離方式，主要存在問題及安全風(fēng)險(xiǎn)：一是信息流轉(zhuǎn)煩瑣。工控網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用系統(tǒng)與涉密網(wǎng)之間主要依靠三合一導(dǎo)入導(dǎo)出設(shè)備來(lái)進(jìn)行數(shù)據(jù)交換，交換流程煩瑣且效率低下。二是管理成本高。由于工控網(wǎng)絡(luò)與涉密網(wǎng)之間物理隔離，隨著兩網(wǎng)之間信息交換數(shù)據(jù)量不斷增長(zhǎng)，通過三合一導(dǎo)入導(dǎo)出設(shè)備操作日益頻繁，人工管理成本不斷提升，安全保密風(fēng)險(xiǎn)也不斷增大。三是信息無(wú)法實(shí)時(shí)同步。生產(chǎn)過程中部分加工任務(wù)的實(shí)時(shí)性要求較高，采用“三合一”方式進(jìn)行數(shù)據(jù)交換，加工狀態(tài)不能及時(shí)更新，科研生產(chǎn)人員和決策層不能對(duì)生產(chǎn)任務(wù)及時(shí)把控。四是缺乏防病毒、入侵機(jī)制。工控網(wǎng)邊界缺乏防病毒及入侵檢測(cè)機(jī)制，工控設(shè)備大多采用封閉系統(tǒng)無(wú)法安裝殺毒軟件，一旦病毒進(jìn)入工控網(wǎng)，會(huì)給工控設(shè)備帶來(lái)嚴(yán)重安全隱患甚至發(fā)生嚴(yán)重事故。

數(shù)據(jù)傳輸安全工控網(wǎng)數(shù)據(jù)通信大多采用標(biāo)準(zhǔn)協(xié)議，應(yīng)用于軍工行業(yè)缺乏安全性：一是泄密風(fēng)險(xiǎn)。軍工行業(yè)工控系統(tǒng)在控制指令、加工文件等數(shù)據(jù)傳輸過程中，大多采用國(guó)際標(biāo)準(zhǔn)的專用通信協(xié)議，此類協(xié)議大部分以明文方式進(jìn)行傳輸，存在重要加工文件、控制指令被竊取風(fēng)險(xiǎn)。二是缺乏訪問控制機(jī)制。工控網(wǎng)設(shè)備之間缺乏有效的身份鑒別及訪問控制機(jī)制，對(duì)數(shù)據(jù)來(lái)源沒有可信性認(rèn)證，存在被外來(lái)設(shè)備入侵風(fēng)險(xiǎn)。三是缺乏對(duì)傳輸數(shù)據(jù)控制。缺乏對(duì)工控網(wǎng)內(nèi)數(shù)據(jù)篩查、控制機(jī)制，無(wú)法識(shí)別并阻斷非法指令、非法文件的傳輸。

工控設(shè)備物理安全工控設(shè)備本身的外部接口復(fù)雜、難以監(jiān)管：一是接口安全。工控設(shè)備接口豐富，常用有網(wǎng)口、串口及USB 接口，有的設(shè)備同時(shí)存在多種接口，增加了工控設(shè)備防護(hù)難度，尤其是USB存儲(chǔ)介質(zhì)不受控，極易導(dǎo)致工控設(shè)備感染惡意代碼，或造成泄密隱患。二是維修管理。部分進(jìn)口工控設(shè)備需要聯(lián)網(wǎng)進(jìn)行故障診斷，外來(lái)維修人員因技術(shù)保密需要使用自帶計(jì)算機(jī)進(jìn)行診斷維修，存在泄密隱患。三是無(wú)線模塊。外購(gòu)工控設(shè)備大多帶有無(wú)線模塊，如果不拆除會(huì)帶來(lái)安全隱患。

管理及審計(jì)目前軍工行業(yè)的工控網(wǎng)管理及審計(jì)制度大多不夠完善：一是管理制度。軍工企業(yè)普遍對(duì)工控網(wǎng)及相關(guān)設(shè)備管理不夠完善，沒有體系化的管理流程。二是培訓(xùn)體系。缺乏對(duì)相關(guān)人員系統(tǒng)化的安全培訓(xùn)，操作人員不規(guī)范操作問題時(shí)有發(fā)生。三是審計(jì)記錄。缺乏對(duì)相關(guān)人員的設(shè)備使用、維修操作、服務(wù)器配置等進(jìn)行統(tǒng)一審計(jì)，發(fā)生安全事件無(wú)證可循；對(duì)設(shè)備的日志缺乏統(tǒng)一管理，使得工控系統(tǒng)事件不能實(shí)現(xiàn)關(guān)聯(lián)分析，不利于威脅防范和事后追查處理。四是缺乏備份機(jī)制。缺乏統(tǒng)一的應(yīng)急響應(yīng)機(jī)制及備份策略，發(fā)生故障存在重要數(shù)據(jù)覆滅風(fēng)險(xiǎn)。

軍工工控系統(tǒng)安全防護(hù)策略

軍工行業(yè)工控系統(tǒng)安全防護(hù)應(yīng)遵照《軍工涉密工業(yè)控制系統(tǒng)安全保密管理要求》《軍工涉密工業(yè)控制系統(tǒng)安全保密技術(shù)防護(hù)通用要求》及系統(tǒng)安全保密總體架構(gòu)，同時(shí)參照等級(jí)保護(hù)體系、分級(jí)保護(hù)體系等相關(guān)要求，對(duì)工控設(shè)備進(jìn)行終端防護(hù)，著力提高工控網(wǎng)絡(luò)邊界防護(hù)能力，實(shí)現(xiàn)加工數(shù)據(jù)從工控網(wǎng)絡(luò)到涉密網(wǎng)絡(luò)單向?qū)氲陌踩雷o(hù)功能。

加強(qiáng)工控網(wǎng)邊界防護(hù)要在工控網(wǎng)絡(luò)與涉密網(wǎng)絡(luò)之間建立隔離安全域，并部署單向數(shù)據(jù)安全傳輸設(shè)備和相關(guān)代理服務(wù)實(shí)現(xiàn)工控網(wǎng)與涉密網(wǎng)之間數(shù)據(jù)安全交換。一是所采用的單向信息安全交換系統(tǒng)及設(shè)備應(yīng)滿足國(guó)家保密標(biāo)準(zhǔn)相關(guān)要求。二是在信息安全交換系統(tǒng)及設(shè)備中對(duì)上行和下行傳輸數(shù)據(jù)進(jìn)行基于密標(biāo)的檢測(cè)和管控，對(duì)下行數(shù)據(jù)進(jìn)行審計(jì)防止高密低流，同時(shí)對(duì)傳輸數(shù)據(jù)進(jìn)行審計(jì)及完整性校驗(yàn)。三是基于黑名單、白名單機(jī)制，對(duì)上行和下行的傳輸數(shù)據(jù)進(jìn)行類型、內(nèi)容、防病毒及入侵檢查，支持異常信息報(bào)警，進(jìn)行安全審計(jì)。四是單向信息安全交換系統(tǒng)及設(shè)備應(yīng)采用私有協(xié)議，并加密傳輸。

加強(qiáng)工控網(wǎng)數(shù)據(jù)防護(hù)一是劃分安全域。域間采取隔離防護(hù)措施，設(shè)置訪問控制策略，工控設(shè)備上線前進(jìn)行必要的安全檢測(cè)。二是身份鑒別：通過設(shè)備的IP、MAC 地址等信息建立可信主機(jī)白名單，非白名單內(nèi)設(shè)備不允許通信。三是文件防護(hù)。解析工控網(wǎng)文件傳輸協(xié)議，通過文件類型、文件內(nèi)容、文件大小等特征對(duì)傳輸文件合法性進(jìn)行判別，杜絕木馬、病毒等非法文件在工控網(wǎng)內(nèi)的傳播，同時(shí)防止涉密文件外泄。四是控制指令防護(hù)。解析出傳輸數(shù)據(jù)中的控制指令，建立控制指令黑名單機(jī)制，發(fā)現(xiàn)黑名單內(nèi)的指令進(jìn)行攔截并記錄日志，保護(hù)設(shè)備運(yùn)行安全。

加強(qiáng)工控設(shè)備物理防護(hù)一是端口防護(hù)。通過專用防護(hù)設(shè)備對(duì)工控設(shè)備的網(wǎng)口、串口及USB 等接口進(jìn)行監(jiān)控授權(quán)，對(duì)于數(shù)據(jù)傳輸端口要對(duì)其傳輸?shù)奈募?、指令等?shù)據(jù)進(jìn)行篩查，發(fā)現(xiàn)非法數(shù)據(jù)及時(shí)阻斷并上報(bào)日志，對(duì)于其他閑置端口監(jiān)管其狀態(tài)，防止被不法分子利用。二是操作/維修。對(duì)工控設(shè)備的操作、維修進(jìn)行統(tǒng)一記錄并生成日志文件，便于后期審計(jì)，如果是外來(lái)人員操作需要本單位相關(guān)人員全程陪同。三是無(wú)線模塊。在不影響設(shè)備使用的情況下，應(yīng)當(dāng)拆除無(wú)線模塊；對(duì)于功能需要而無(wú)法拆卸的情況，應(yīng)當(dāng)采用無(wú)線信號(hào)屏蔽、無(wú)線信號(hào)干擾及無(wú)線信號(hào)監(jiān)測(cè)等方式，如采用安全無(wú)線管控系統(tǒng)，避免無(wú)線信號(hào)傳遞信息到防護(hù)區(qū)以外。四是對(duì)工控網(wǎng)中U 盤、筆記本等外部連接設(shè)備進(jìn)行統(tǒng)一管理，并定期進(jìn)行殺毒等安全監(jiān)測(cè)。

規(guī)范管理及審計(jì)制度一是制定工控設(shè)備管理制度。針對(duì)工控設(shè)備全生命周期各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)，建立體系化的管理流程，重點(diǎn)防范外部非授權(quán)介質(zhì)、維修設(shè)備（或軟件）等不安全因素與工控設(shè)備直接或間接相連接，以形成攻擊點(diǎn)或攻擊通道，保障工控設(shè)備本體的安全。二是制定工控設(shè)備備份制度。針對(duì)工控設(shè)備備份及備份數(shù)據(jù)建立體系化的管理流程，確保工控設(shè)備關(guān)鍵參數(shù)及時(shí)備份，備份數(shù)據(jù)管理得當(dāng)。三是建立完善的培訓(xùn)體系。對(duì)涉密人員、系統(tǒng)管理員、網(wǎng)絡(luò)運(yùn)維人員進(jìn)行培訓(xùn)，并監(jiān)督日常工作執(zhí)行情況。四是聯(lián)網(wǎng)設(shè)備加強(qiáng)管理。將光纖收發(fā)器、串口轉(zhuǎn)換器等聯(lián)網(wǎng)設(shè)備放置在工控設(shè)備電柜中，工控設(shè)備電柜鑰匙指定專人管理，降低泄密風(fēng)險(xiǎn)。五是建立集中管控及審計(jì)制度。對(duì)工控系統(tǒng)設(shè)備進(jìn)行集中管理、狀態(tài)監(jiān)控，并對(duì)運(yùn)行日志、報(bào)警日志、操作記錄及維修記錄等信息集中儲(chǔ)存管理，并可集中分析與展現(xiàn)。

軍工行業(yè)工控系統(tǒng)安全是關(guān)系國(guó)家安全的重大戰(zhàn)略問題，隨著安全問題逐漸暴露，軍工行業(yè)工控系統(tǒng)的安全防護(hù)刻不容緩。軍工企業(yè)應(yīng)該以建設(shè)國(guó)防事業(yè)的標(biāo)準(zhǔn)和力度發(fā)展工控安全產(chǎn)業(yè)，建立完備的工控網(wǎng)絡(luò)安全體系，切實(shí)提高軍工行業(yè)工控系統(tǒng)的防護(hù)水平，筑牢網(wǎng)絡(luò)安全屏障，推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)。