關(guān)于工控網(wǎng)絡(luò)與非公開網(wǎng)絡(luò)互聯(lián)的數(shù)據(jù)安全保障分析

楊翔宇

（四川航天中天動(dòng)力裝備有限責(zé)任公司 四川省成都市 610000）

隨著我國(guó)工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略的推進(jìn)，中央和地方掀起工業(yè)互聯(lián)網(wǎng)建設(shè)，工業(yè)互聯(lián)網(wǎng)三大體系基本建成，為新興產(chǎn)業(yè)發(fā)展提供強(qiáng)有力保障，在軍工單位普遍應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行產(chǎn)品設(shè)計(jì)和生產(chǎn)，計(jì)算機(jī)網(wǎng)絡(luò)可以為實(shí)際工作帶來(lái)便利同時(shí)也帶來(lái)新的安全保密挑戰(zhàn)，信息數(shù)據(jù)保密是目前國(guó)防科技工業(yè)競(jìng)爭(zhēng)核心，若是沒有堅(jiān)實(shí)的公開網(wǎng)絡(luò)與非公開網(wǎng)絡(luò)互聯(lián)數(shù)據(jù)安全保障體系，則會(huì)將工業(yè)秘密泄露出，為國(guó)家?guī)?lái)巨大的經(jīng)濟(jì)財(cái)產(chǎn)損失。

1 工業(yè)互聯(lián)網(wǎng)安全概述

1.1 工業(yè)互聯(lián)網(wǎng)絡(luò)安全

在工業(yè)領(lǐng)域安全可細(xì)分為三類，它們分別為信息安全、功能安全和物理安全，在傳統(tǒng)工業(yè)控制系統(tǒng)中過(guò)分關(guān)注功能安全于物理安全，工業(yè)互聯(lián)網(wǎng)與傳統(tǒng)工控系統(tǒng)相比打破原有責(zé)任邊界，在復(fù)雜度、適用范圍和風(fēng)險(xiǎn)度上更大，如互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全和智能設(shè)備安全等，尤其是工業(yè)互聯(lián)網(wǎng)安全作為工業(yè)信息安全的核心，其安全問(wèn)題將會(huì)直接決定未來(lái)工業(yè)生產(chǎn)安全，影響到工業(yè)企業(yè)經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定乃至于國(guó)家安全。

1.2 工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀及技術(shù)趨勢(shì)

工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域有著巨大的發(fā)展?jié)摿?，按照工信部預(yù)測(cè)，我我國(guó)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)存量規(guī)模在逐漸擴(kuò)大，在2019年已達(dá)到27.2 億元，年符合率為42.3%，遠(yuǎn)超過(guò)傳統(tǒng)安全市場(chǎng)，從產(chǎn)業(yè)角度，工業(yè)互聯(lián)網(wǎng)企業(yè)進(jìn)入局工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，以微軟為代表通過(guò)收購(gòu)的方式來(lái)創(chuàng)建新的工業(yè)網(wǎng)絡(luò)安全公司，傳統(tǒng)的安全企業(yè)則是針對(duì)工業(yè)互聯(lián)網(wǎng)推出搭建方案。

工業(yè)互聯(lián)安全工作的開展休要從制度、國(guó)家支持和 產(chǎn)業(yè)支持等多個(gè)角度統(tǒng)籌安排，但是目前諸多企業(yè)為認(rèn)識(shí)到安全部署地重要性和緊迫性，安全管理工作亟待加強(qiáng)，工業(yè)控制系統(tǒng)安全管理工作發(fā)可以分為三大部分，它們分別為物理安全、IT 安全和運(yùn)營(yíng)安全，隨著數(shù)字化轉(zhuǎn)型，目前運(yùn)營(yíng)物理網(wǎng)絡(luò)和信息技術(shù)數(shù)字融合成為當(dāng)前工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展趨勢(shì)。因?yàn)楣I(yè)云存儲(chǔ)數(shù)據(jù)具有極高的敏感性，這部分?jǐn)?shù)據(jù)內(nèi)容會(huì)涉及到工業(yè)企業(yè)、知識(shí)產(chǎn)權(quán)和商業(yè)機(jī)密等，數(shù)據(jù)資料與國(guó)家安全有關(guān)，若是發(fā)生數(shù)據(jù)竊取或數(shù)據(jù)破壞會(huì)直接造成嚴(yán)重的經(jīng)濟(jì)損失，影響國(guó)家安全。

2 工控網(wǎng)絡(luò)與非公開網(wǎng)絡(luò)互聯(lián)的數(shù)據(jù)安全防護(hù)方案

在2010年出現(xiàn)震網(wǎng)病毒后，國(guó)家開始重視基礎(chǔ)設(shè)備的信息安全，并于2012年發(fā)布關(guān)于信息安全保障若干意見，并明確提出加強(qiáng)核設(shè)備、航空航天和石油石化等重要領(lǐng)域的工業(yè)控制系統(tǒng)安全，基于此背景對(duì)工控網(wǎng)絡(luò)與非公開網(wǎng)絡(luò)互聯(lián)數(shù)據(jù)安全防護(hù)方案展開討論，確保企業(yè)工業(yè)控制系統(tǒng)運(yùn)行穩(wěn)定，減少安全數(shù)據(jù)泄露和盜竊事件發(fā)生，保障企業(yè)機(jī)密不泄露。

2.1 軍工企業(yè)涉密信息及非涉密信息保密要求

2.1.1 涉密信息系統(tǒng)分級(jí)保護(hù)的技術(shù)要求及其特點(diǎn)

根據(jù)我國(guó)對(duì)涉密信息系統(tǒng)保護(hù)技術(shù)要求，涉密數(shù)據(jù)應(yīng)當(dāng)按照等級(jí)要求采取相應(yīng)的保密技術(shù)，通常使用安全域和密級(jí)標(biāo)識(shí)方法對(duì)秘密、機(jī)密和絕密進(jìn)行分級(jí)保護(hù)，在安全域間劃分明確的邊界，當(dāng)多安全域間進(jìn)行數(shù)據(jù)交換，所涉及到的數(shù)據(jù)通信內(nèi)容應(yīng)處于安全環(huán)境和可控條件下，不同的密級(jí)安全域間均呈現(xiàn)由高等級(jí)向低等級(jí)進(jìn)行，涉密數(shù)據(jù)具有密級(jí)標(biāo)識(shí)，密級(jí)標(biāo)識(shí)不可與數(shù)據(jù)主體相分離，數(shù)據(jù)本身也不得隨意篡改。

（1）訪問(wèn)控制。訪問(wèn)控制是保障涉密信息數(shù)據(jù)重要核心策略，其主要任務(wù)是信息資源不被違法使用和訪問(wèn)，訪問(wèn)控制可以對(duì)客體訪問(wèn)進(jìn)行限制，并在身份鑒別基礎(chǔ)上，對(duì)訪問(wèn)請(qǐng)求進(jìn)行控制，目前訪問(wèn)控制模型有三種，他們分別為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色訪問(wèn)控制，其中最后一種降低授權(quán)管理復(fù)雜性，更易實(shí)現(xiàn)安全防護(hù)。

（2）終端身份鑒別與授權(quán)。終端用戶在操作中需要對(duì)個(gè)人身份進(jìn)行驗(yàn)證，如計(jì)算機(jī)登錄、網(wǎng)絡(luò)接入以及登陸應(yīng)用等均需要通過(guò)身份識(shí)別的方式進(jìn)行判斷，目前在工控系統(tǒng)進(jìn)行身份鑒別地方式有很多，如USB-Key、指紋和第三方等，身份鑒別是保障涉密數(shù)據(jù)安全的重要舉措，通過(guò)鑒別用戶地合法性，可以控制其訪問(wèn)系統(tǒng)資源權(quán)限，按照最小授權(quán)原則，對(duì)涉密信息系統(tǒng)采用強(qiáng)制訪問(wèn)控制策略。

（3）安全審計(jì)。審計(jì)是對(duì)涉密數(shù)據(jù)進(jìn)行監(jiān)視，用于記錄和控制使用者活動(dòng)的機(jī)制，通過(guò)對(duì)審計(jì)日志進(jìn)行分析可以有效阻止非法訪問(wèn)，并為事后分析追責(zé)提供參考依據(jù)，在我國(guó)涉密數(shù)據(jù)保護(hù)劃分標(biāo)準(zhǔn)明確提出涉密數(shù)據(jù)安全審計(jì)中需要對(duì)終端計(jì)算機(jī)操作進(jìn)行記錄、對(duì)網(wǎng)絡(luò)流量、訪問(wèn)設(shè)備運(yùn)行狀態(tài)和涉密數(shù)據(jù)庫(kù)訪問(wèn)記錄進(jìn)行審計(jì)等。

2.1.2 非涉密信息保密要求及信息分類

根據(jù)國(guó)家保密要求，涉密網(wǎng)與其他網(wǎng)絡(luò)數(shù)據(jù)在交換中使用一次性光盤進(jìn)行數(shù)據(jù)百度，并有非常嚴(yán)格的審批手續(xù)和操作流程，企業(yè)每日生產(chǎn)經(jīng)營(yíng)活動(dòng)中會(huì)有大量的數(shù)據(jù)信息需要交換，這就需要對(duì)不同的數(shù)據(jù)信息進(jìn)行分類和整合，并提出各種簡(jiǎn)化流程。

（1）非涉密信息分類。軍工企業(yè)涉密網(wǎng)需要對(duì)外交換某些非涉密數(shù)據(jù)時(shí)可以根據(jù)不同的業(yè)務(wù)進(jìn)行分類，目前可以分為數(shù)控機(jī)床、測(cè)量機(jī)等設(shè)備和產(chǎn)生數(shù)控加工程序，這部分?jǐn)?shù)據(jù)信息通常是在企業(yè)內(nèi)部流轉(zhuǎn)，屬于非涉密數(shù)據(jù)，如不完整的軍品加工數(shù)據(jù)因無(wú)法體現(xiàn)出成品參數(shù)特性，也歸為非涉密，

（2）民用系統(tǒng)數(shù)據(jù)。在這里所討論的民用系統(tǒng)數(shù)據(jù)可簡(jiǎn)稱為“應(yīng)用數(shù)據(jù)”，該應(yīng)用在內(nèi)外網(wǎng)共有兩套應(yīng)用系統(tǒng)，該系統(tǒng)會(huì)根據(jù)數(shù)據(jù)需要進(jìn)行定期同步，屬于非涉密，由于數(shù)據(jù)類型較為固定，交換頻率也處于固定狀態(tài)，該數(shù)據(jù)在辦理交換業(yè)務(wù)的時(shí)候所涉及到的部門為責(zé)任單位。

（3）工業(yè)日常生產(chǎn)和辦公需要。通常情況下工業(yè)日常生產(chǎn)和辦公需要通過(guò)內(nèi)外網(wǎng)進(jìn)行數(shù)據(jù)交換，這些數(shù)據(jù)具有分散性的特點(diǎn)，類型多樣，在進(jìn)行數(shù)據(jù)交換中會(huì)涉及到工業(yè)企業(yè)多個(gè)部門，所需要的交換任務(wù)較大，并沒有固定的時(shí)間階段，但相對(duì)來(lái)說(shuō)這些數(shù)據(jù)要求一般并沒有太多嚴(yán)格限制。

2.2 安全DNC系統(tǒng)在軍工企業(yè)中應(yīng)用分析

2.2.1 整體方案

傳統(tǒng)軍工數(shù)控車間中機(jī)加工文件需要工藝人員在涉密內(nèi)網(wǎng)中先進(jìn)行編制，后通過(guò)擺渡流程導(dǎo)入到光盤，以光盤的形式導(dǎo)出到機(jī)器設(shè)備中，在實(shí)際生產(chǎn)中，這種方式費(fèi)時(shí)費(fèi)力，員工效率低下，在工業(yè)控制網(wǎng)絡(luò)中有諸多信息需要與辦公網(wǎng)絡(luò)進(jìn)行交換，尤其是軍控企業(yè)數(shù)控車間使用互聯(lián)是必然趨勢(shì)，隨著軍工機(jī)械公司制造水平和信息化水平提升，DNC 將成為數(shù)控車間信息化基礎(chǔ)應(yīng)用平臺(tái)，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)共享、傳輸和協(xié)同，為此需重視DNC 在數(shù)據(jù)信息傳輸中的穩(wěn)定性、安全性和保密性。

（1）工控網(wǎng)和涉密內(nèi)網(wǎng)交互方案。軍工企業(yè)有保密需求，在涉密內(nèi)網(wǎng)和工控網(wǎng)間采用物理隔離方法，部門軍工單位通過(guò)網(wǎng)閘的形式進(jìn)行數(shù)據(jù)交換，無(wú)法實(shí)時(shí)對(duì)生產(chǎn)業(yè)務(wù)進(jìn)行干預(yù)，無(wú)法及時(shí)回傳對(duì)NC 文件的修改，針對(duì)上述問(wèn)題，使用新的工控系統(tǒng)ICS 多級(jí)控制傳輸平臺(tái)，實(shí)現(xiàn)工控網(wǎng)和涉密內(nèi)網(wǎng)間實(shí)時(shí)交互，控制平臺(tái)可在網(wǎng)絡(luò)安全隔離的前提下，進(jìn)行多種網(wǎng)絡(luò)間數(shù)據(jù)信息共享，且對(duì)共享數(shù)據(jù)信息統(tǒng)一管理，實(shí)現(xiàn)對(duì)數(shù)據(jù)交換或共享的實(shí)時(shí)監(jiān)測(cè)。

（2）NC 文件的統(tǒng)一管理方案。NC 程序較多，基本上車間現(xiàn)場(chǎng)囊括了諸多NC 程序，使得機(jī)床內(nèi)存有大量的NC 應(yīng)用程序，加床操作人員需要對(duì)這些程序進(jìn)行再編輯，很容易出現(xiàn)同一程序多個(gè)版本的現(xiàn)象，在編輯中程序的數(shù)量在逐漸增多，未能實(shí)現(xiàn)統(tǒng)一集中管理，為程序的查找和使用帶來(lái)不便，數(shù)控程序種類多，不同技術(shù)處于交織狀態(tài)，需要與數(shù)控設(shè)備進(jìn)行對(duì)應(yīng)，這為程序編制和管理帶來(lái)困難。針對(duì)數(shù)控程序尚未統(tǒng)一的管理漏洞需要開發(fā)出一套完整的數(shù)控程序管理系統(tǒng)，將現(xiàn)場(chǎng)設(shè)備內(nèi)關(guān)于NC 程序進(jìn)行統(tǒng)一歸檔。

2.2.2 系統(tǒng)應(yīng)用設(shè)計(jì)

ICS在得到保密認(rèn)證后可以確保數(shù)據(jù)信息安全隔離和安全交換，在構(gòu)建好平臺(tái)基礎(chǔ)上涉及到辦公數(shù)控程序管理、工控網(wǎng)絡(luò)中DNC系統(tǒng)文件傳輸和涉密數(shù)據(jù)和工控網(wǎng)間交互。通常情況下數(shù)控程序文件進(jìn)行上傳、審批和瀏覽流程圖都需要工藝員提前按照規(guī)定格式進(jìn)行上傳，至服務(wù)器后發(fā)起內(nèi)容審批，工藝人員可下放至DNC 總服務(wù)器中，確保數(shù)據(jù)傳輸安全性和保密性。

在DNC 系統(tǒng)中各組成使用分工合作的方式進(jìn)行產(chǎn)品加工，由于DNC 系統(tǒng)各層面實(shí)現(xiàn)功能、網(wǎng)絡(luò)結(jié)構(gòu)和通信協(xié)議存在差異，同時(shí)各個(gè)層脆弱性和安全需求也不同，企業(yè)層與外部網(wǎng)絡(luò)連接時(shí)候，會(huì)采用防火墻、殺毒軟件和加密等安全防護(hù)措施，在控制層和執(zhí)行層則是使用私有協(xié)議，執(zhí)行層設(shè)備間網(wǎng)絡(luò)度里，只有少量數(shù)據(jù)使用交互形式進(jìn)行交流，數(shù)控系統(tǒng)和企業(yè)信息間會(huì)有大量數(shù)據(jù)信息進(jìn)行交互，但是目前這兩層網(wǎng)絡(luò)安全防范措施較為單薄，信息化和工業(yè)化在深度融合中會(huì)導(dǎo)致系統(tǒng)邊界較為模糊，為有效阻止病毒非法侵入，需要在DNC 系統(tǒng)中進(jìn)行全生命周期防護(hù)。

3 工控網(wǎng)絡(luò)與非公開網(wǎng)絡(luò)互聯(lián)的數(shù)據(jù)安全保障措施

3.1 深化工控信息安全總設(shè)計(jì)

根據(jù)我國(guó)信息安全技術(shù)標(biāo)準(zhǔn)要求，軍工級(jí)別的信息安全技術(shù)需要采用“專網(wǎng)專用，安全區(qū)分”的原則，實(shí)現(xiàn)在基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)傳輸控制層和應(yīng)用數(shù)據(jù)交換層以及監(jiān)管管理層等進(jìn)行全方位防護(hù)，構(gòu)建工業(yè)控制系統(tǒng)與辦公信息系統(tǒng)的雙向數(shù)據(jù)傳輸渠道，建立可控、可管、可審的跨網(wǎng)數(shù)據(jù)交換模式，確保系統(tǒng)間數(shù)據(jù)的完整性、可用性和保密性，形成完整的防護(hù)監(jiān)督管理體系。

在進(jìn)行系統(tǒng)開發(fā)中需要遵循國(guó)家保密要求，實(shí)現(xiàn)涉密控制系統(tǒng)間安全互聯(lián)和可信交換，確?？梢越槿氲睫k公內(nèi)網(wǎng)信息系統(tǒng)與其他互聯(lián)設(shè)備采用物理隔離，構(gòu)建工控安全域來(lái)實(shí)現(xiàn)數(shù)據(jù)設(shè)備的接入，全域監(jiān)測(cè)用于實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)收集，安全事件、網(wǎng)絡(luò)活動(dòng)和辦公內(nèi)網(wǎng)信息系統(tǒng)和上傳數(shù)據(jù)協(xié)議解析等，實(shí)現(xiàn)對(duì)非法數(shù)據(jù)預(yù)警功能。

3.2 以技術(shù)研發(fā)為重點(diǎn)，打造可靠的產(chǎn)品體系

工業(yè)控制系統(tǒng)多級(jí)控制傳輸平臺(tái)的存在是為了解決工業(yè)控制系統(tǒng)與辦公內(nèi)網(wǎng)信息系統(tǒng)間進(jìn)行安全互聯(lián)、數(shù)據(jù)可信交換提出增強(qiáng)型硬件解決方案，在物理設(shè)備上只允許使用單向傳輸?shù)膯蜗鄬?dǎo)入設(shè)備，軟件上使用安全等級(jí)較高的多級(jí)控制傳輸平臺(tái)，確保工業(yè)控制系統(tǒng)的可靠性。工控設(shè)備防護(hù)安全網(wǎng)關(guān)是安全保障系統(tǒng)核心，在設(shè)計(jì)中需堅(jiān)持主動(dòng)防御、過(guò)程監(jiān)控設(shè)計(jì)原則，對(duì)工控系統(tǒng)與外界信息交換進(jìn)行安全監(jiān)督和追溯源頭，通過(guò)安全網(wǎng)信息間隔監(jiān)管技術(shù)，確保工控信息進(jìn)行有效數(shù)據(jù)交換的前提下盡可能避免對(duì)工控系統(tǒng)環(huán)境侵犯。公開網(wǎng)絡(luò)接入控制系統(tǒng)是根據(jù)企業(yè)用戶需求，通過(guò)軟件對(duì)網(wǎng)絡(luò)SDN 進(jìn)行定義，實(shí)現(xiàn)涉密局域網(wǎng)架構(gòu)，提供涉密網(wǎng)相關(guān)設(shè)備如計(jì)算機(jī)、網(wǎng)絡(luò)打印機(jī)以及各種終端接入設(shè)備，實(shí)現(xiàn)對(duì)設(shè)備的集中控制和自動(dòng)化管理。

3.3 客戶滿意度為中心，提供全方位功能服務(wù)

3.3.1 網(wǎng)絡(luò)邊界有效防護(hù)

在工控企業(yè)網(wǎng)絡(luò)中需要做好分區(qū)域安全保護(hù)，各個(gè)安全域邊界需要部署各工業(yè)防火墻，應(yīng)用防火墻實(shí)現(xiàn)邊界隔離和防護(hù)，同時(shí)安全域設(shè)置采用最小授權(quán)原則實(shí)現(xiàn)，DNC 系統(tǒng)使用橫向分層和縱向分域綜合防護(hù)策略，將系統(tǒng)劃分為不同安全區(qū)域并按照規(guī)則安裝防護(hù)設(shè)備，根據(jù)DNC 網(wǎng)絡(luò)安全區(qū)域劃分可知在企業(yè)層和控制層間采用邏輯隔離，單向傳輸模塊可以確保數(shù)據(jù)傳輸中沒有反饋回路，根據(jù)需要構(gòu)建數(shù)據(jù)傳輸“白名單”，對(duì)出入流量實(shí)行特征識(shí)別，允許網(wǎng)絡(luò)間合法的數(shù)據(jù)通信。

3.3.2 異樣攻擊實(shí)時(shí)監(jiān)測(cè)

工控安全審計(jì)系統(tǒng)采用全域監(jiān)測(cè)，可以對(duì)網(wǎng)絡(luò)中用戶行為和內(nèi)容進(jìn)行審計(jì)，對(duì)辦公內(nèi)網(wǎng)信息系統(tǒng)與工業(yè)控制系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)下發(fā)和上傳，并展開深度解析，實(shí)行監(jiān)測(cè)違規(guī)操作和非法訪問(wèn)等，為安全防御提供保障；對(duì)于工控網(wǎng)絡(luò)數(shù)據(jù)傳輸中最基礎(chǔ)的安全防范措施為定期對(duì)機(jī)床信息、工件信息和工藝信息等以數(shù)據(jù)的形式進(jìn)行備份，這樣當(dāng)系統(tǒng)發(fā)出現(xiàn)異常后可以及時(shí)恢復(fù)，通過(guò)“兩路單向”安全互聯(lián)形式將工控業(yè)務(wù)數(shù)據(jù)按照流向進(jìn)行剝離，提供安全可靠的數(shù)據(jù)傳輸系統(tǒng)，實(shí)現(xiàn)辦公信息系統(tǒng)與工業(yè)控制系統(tǒng)間互聯(lián)。

4 結(jié)論

軍工企業(yè)涉密系統(tǒng)安全保障是從技術(shù)、管理和運(yùn)行三個(gè)層面展開，涉密系統(tǒng)信息安全技術(shù)是長(zhǎng)期間距的綜合性研究課題，需要技術(shù)人員結(jié)合實(shí)際需要不斷探索和研究，在本文中對(duì)涉密信息中非涉密信息交換需求展開討論，企業(yè)數(shù)控機(jī)床中DNC 網(wǎng)絡(luò)系統(tǒng)需要企業(yè)需求，將生產(chǎn)作業(yè)數(shù)據(jù)設(shè)備與物聯(lián)網(wǎng)相連，確定DNC 聯(lián)網(wǎng)模式，設(shè)計(jì)方案，提出工控網(wǎng)絡(luò)與非公開網(wǎng)絡(luò)互聯(lián)數(shù)據(jù)安全保障措施。