★北京圣博潤高新技術(shù)股份有限公司

1 項目概況

1.1 項目背景

國防軍工行業(yè)是國家安全的支柱，承擔國防科研生產(chǎn)任務(wù)，為國家武裝力量提供各種武器裝備研制。

由于軍工企業(yè)的特殊性，其內部系統嚴格按照分級保護的要求進(jìn)行監督管理，確保系統和信息安全。禁止內部辦公網(wǎng)與工控網(wǎng)的直接連接，始終保持內部辦公網(wǎng)與工控網(wǎng)之間的物理隔離狀態(tài)，內部辦公網(wǎng)系統與工控網(wǎng)絡(luò )的信息交換主要是依賴(lài)“光盤(pán)擺渡”的方式。

而武器裝備生產(chǎn)過(guò)程中的研發(fā)和協(xié)同等工作主要依賴(lài)內部辦公網(wǎng)系統，而生產(chǎn)、實(shí)驗和測試離不開(kāi)工控系統。內部辦公網(wǎng)絡(luò )和工控網(wǎng)絡(luò )的信息孤島和信息交換滯后問(wèn)題已嚴重制約武器裝備科研生產(chǎn)效率的提高，所以實(shí)現內部辦公網(wǎng)與工控網(wǎng)絡(luò )的安全互聯(lián)，消除武器裝備的科研與生產(chǎn)環(huán)節的瓶頸，提高生產(chǎn)效率，實(shí)現武器裝備生產(chǎn)的數字化、智能化勢在必行。

1.2 項目簡(jiǎn)介

圣博潤股份作為軍工行業(yè)信息安全領(lǐng)域領(lǐng)軍廠(chǎng)商，參與了十余家軍工單位的兩網(wǎng)互聯(lián)及工控安全防護項目的咨詢(xún)規劃和建設工作。在兩網(wǎng)安全互聯(lián)、工控網(wǎng)絡(luò )防護方面擁有豐富經(jīng)驗以及完善的解決方案。

圣博潤股份參與了某軍工企業(yè)的兩網(wǎng)安全互聯(lián)及工控安全防護提升項目建設。通過(guò)對生產(chǎn)工藝和系統流程進(jìn)行摸底和梳理，以及對內部辦公網(wǎng)和工控網(wǎng)絡(luò )的風(fēng)險評估，總結如下現狀問(wèn)題：

（1）兩網(wǎng)間交互數據量大、交換頻次高。

目前采用光盤(pán)刻錄擺渡方式完成一次數據交互平均用時(shí)約30分鐘，且需要同時(shí)執行多個(gè)業(yè)務(wù)流程，數據交換流程繁瑣，嚴重影響業(yè)務(wù)工作效率。工藝系統、生產(chǎn)執行、物流配送和在線(xiàn)智能檢測等系統數據需要快速同步，生產(chǎn)過(guò)程質(zhì)量控制數據需要實(shí)時(shí)監測。工藝生產(chǎn)銜接若存在失控風(fēng)險，對生產(chǎn)質(zhì)量會(huì )產(chǎn)生較大影響，使生產(chǎn)計劃難以快速高效地下達到生產(chǎn)現場(chǎng)，導致計劃執行情況無(wú)法實(shí)時(shí)反饋，調度不能實(shí)時(shí)開(kāi)展，將極大影響生產(chǎn)效率和設備利用率，對整個(gè)生產(chǎn)計劃的準確性也會(huì )產(chǎn)生重大影響。

（2）工控系統存在脆弱性且安全防護較為薄弱。

工控系統在其自身安全性上存在“先天不足”，工控網(wǎng)絡(luò )中應用的各類(lèi)工控系統更新?lián)Q代周期長(cháng)，普遍存在弱口令、漏洞等安全缺陷；生產(chǎn)車(chē)間中使用高端進(jìn)口機床裝備，存在后門(mén)安全隱患；工控網(wǎng)絡(luò )內未按功能或區域劃分安全域且未設置ACL訪(fǎng)問(wèn)控制策略；部分工控上位機病毒庫過(guò)期未及時(shí)更新等問(wèn)題。長(cháng)久以來(lái)，工控系統建設與使用管理重可用性，輕安全性，工業(yè)控制系統信息安全管理意識薄弱，管理體系不健全。

基于上述現狀，在兩網(wǎng)之間建立安全高效的信息交換平臺，構建內部辦公網(wǎng)與工控網(wǎng)之間的自動(dòng)化數據傳輸通道已迫在眉睫。但網(wǎng)絡(luò )互聯(lián)后，工控網(wǎng)自身防護不健全可能給內部辦公網(wǎng)帶來(lái)新的信息安全威脅。因此在構建兩網(wǎng)互聯(lián)的同時(shí)，還需要通過(guò)技術(shù)手段提升工控網(wǎng)絡(luò )整體安全性。

1.3 項目目標

通過(guò)搭建雙單向信息交換平臺實(shí)現內部辦公網(wǎng)與工業(yè)控制系統之間的數據安全可控的實(shí)時(shí)交互，滿(mǎn)足生產(chǎn)需求，保障內部辦公網(wǎng)數據安全、可靠、可控、穩定的下發(fā)到工控網(wǎng)；工控網(wǎng)制造數據及時(shí)、快速地反饋到內部辦公網(wǎng)，調整、優(yōu)化加工參數，加快產(chǎn)品定型和產(chǎn)品量產(chǎn)，有效提升企業(yè)生產(chǎn)效益和綜合運營(yíng)效率，為推動(dòng)智能制造技術(shù)落地構建基礎。

圣博潤股份以“統一規劃、分步實(shí)施、不斷完善”為指導思想，將本項目分為三個(gè)重點(diǎn)內容進(jìn)行建設，實(shí)現上述目標：

（1）實(shí)現內部辦公網(wǎng)系統與工業(yè)控制系統間的安全數據交換

為了將工控網(wǎng)的信息快速地導入內部辦公網(wǎng)，同時(shí)需要將內部辦公網(wǎng)內特定格式的數據安全可控地導出到工控網(wǎng)中，圣博潤股份重點(diǎn)考慮了信息傳輸可能帶來(lái)的安全風(fēng)險，確保整個(gè)智能制造“數字化車(chē)間”運行安全可靠，并確保滿(mǎn)足信息傳輸來(lái)源的真實(shí)性、內容的合規性、過(guò)程中的單向性、數據可追溯可審計性及系統自身具備的安全性等要求。

（2）對工業(yè)控制系統進(jìn)行安全防護建設

對工控網(wǎng)有針對性地進(jìn)行安全防護提升，在邊界安全防護、入侵檢測、惡意代碼防護、身份鑒別、訪(fǎng)問(wèn)控制、安全審計和安全管理等方面進(jìn)行提升建設。并確保滿(mǎn)足國家相關(guān)安全和保密建設要求。

（3）對內部辦公網(wǎng)進(jìn)行安全補充建設

為確保通過(guò)信息交換平臺交換數據來(lái)源可靠，需通過(guò)打標系統實(shí)現在跨網(wǎng)交換過(guò)程中，打標系統的標簽和電子數據的不可分離。并在內部辦公網(wǎng)內統一記錄數據交換日志和安全日志。

2 項目實(shí)施

2.1 安全區域劃分

根據密級、業(yè)務(wù)屬性及所屬功能的不同，將網(wǎng)絡(luò )規劃為圖中所示的三個(gè)大區。大區中包含有獨立的安全域來(lái)細化各自功能屬性。

2.2 整體設計思路

圣博潤股份的軍工兩網(wǎng)互聯(lián)及工控安全防護設計思路嚴格按照國家保密相關(guān)要求，并結合《工業(yè)控制系統信息安全防護指南》進(jìn)行整體設計?？傮w設計思路按“主動(dòng)防御、實(shí)時(shí)監測、快速響應、及時(shí)恢復”的方針，開(kāi)展內部辦公網(wǎng)與工控網(wǎng)安全事件的防護、檢測、預警和應急處置等工作；采用“管技并重”相結合的安全防護理念構建安全防護體系。

安全保密方面，以嚴防數據“高密低流”為主旨，在保障信息完整性、可靠性和安全性的基礎上，以?xún)陕穯蜗驍祿鬏敿夹g(shù)為核心搭建雙單向信息交換平臺，實(shí)現內部辦公網(wǎng)和工控網(wǎng)絡(luò )之間的數據安全交換。

2.3 整體架構設計

圖1是軍工兩網(wǎng)互聯(lián)信息交換平臺及工控安全防護體系總體設計架構。

圖1 軍工兩網(wǎng)互聯(lián)信息交換平臺及工控安全防護體系總體設計架構

2.4 數據交換安全

在內部辦公網(wǎng)與工控網(wǎng)之間的信息交換區中部署上、下行兩個(gè)方向的單向光閘設備。利用單向光閘物理單向特性，保障文件傳輸絕對單向無(wú)反饋傳輸。

單向光閘兩側設置的獨立安全域中配置邊界防火墻，形成單向導入傳輸通道與單向導出傳輸通道的邊界防護。采用最小化授權原則配置訪(fǎng)問(wèn)控制策略，并細化至IP地址和服務(wù)端口級，實(shí)現數據流的控制。

2.5 邊界隔離及訪(fǎng)問(wèn)控制

工控防火墻部署在工控設備安全域與網(wǎng)絡(luò )核心交換的交界處，通過(guò)訪(fǎng)問(wèn)控制策略和隔絕等技術(shù)分割網(wǎng)絡(luò )，防護來(lái)自外部網(wǎng)絡(luò )的入侵行為傳播。并在重點(diǎn)數控設備、智能裝備前端通過(guò)專(zhuān)用安全防護設備對關(guān)鍵生產(chǎn)設備的網(wǎng)口、串口、USB口進(jìn)行安全防護。

2.6 身份鑒別與運維審計

通過(guò)運維堡壘機的運維審計能力，實(shí)現對交換機、安全設備、服務(wù)器登錄的二次身份進(jìn)行鑒別認證，并對訪(fǎng)問(wèn)人員的權限進(jìn)行控制，對操作人員的操作行為進(jìn)行監測審計，對違規行為進(jìn)行溯源取證。

2.7 入侵檢測與工控審計

通過(guò)對工控網(wǎng)絡(luò )流量進(jìn)行檢測，檢出工控網(wǎng)絡(luò )內部可能存在的溢出類(lèi)攻擊、后門(mén)類(lèi)攻擊、掃描類(lèi)攻擊、暴力破解等攻擊或異常行為進(jìn)行實(shí)時(shí)檢測告警。

工控安全審計通過(guò)特有的工控協(xié)議深度解析和流量基線(xiàn)白名單功能，建立基于工控協(xié)議功能碼、指令的工控流量的白名單模型。有效識別出白名單流量以外的工控協(xié)議異常事件和網(wǎng)絡(luò )攻擊行為，并進(jìn)行實(shí)時(shí)告警。

2.8 網(wǎng)絡(luò )接入管控

通過(guò)網(wǎng)絡(luò )接入控制系統配合交換機ACL策略，及時(shí)發(fā)現并記錄網(wǎng)絡(luò )中的私建網(wǎng)中網(wǎng)、違規設備接入、雙網(wǎng)互聯(lián)、IP地址沖突等違規事件，實(shí)時(shí)定位終端的接入位置，發(fā)現非授權接入工控網(wǎng)設備。

2.9 主機安全防護

工控主機防護軟件采用“白名單機制”，未列入白名單的軟件和可執行程序會(huì )在啟動(dòng)之前被攔截。規避了防病毒軟件不能及時(shí)更新病毒庫帶來(lái)的殺毒能力降低問(wèn)題。保障工業(yè)上位機中關(guān)鍵業(yè)務(wù)相關(guān)軟件穩定運行，提升了主機安全防護能力和合規管理水平。

2.10 漏洞及脆弱性管理

在網(wǎng)絡(luò )內通過(guò)漏洞掃描系統基于CVE、CNVD、CNNVD等漏洞數據庫，對操作系統、應用服務(wù)、網(wǎng)絡(luò )設備等IT資產(chǎn)以及工控上位機、PLC、RTU、數據采集模塊、變頻器等工控資產(chǎn)進(jìn)行檢查，對已發(fā)現的漏洞及脆弱性進(jìn)行查漏補缺。

2.11 集中管理與安全審計

工控集中安全管理平臺實(shí)現對工控網(wǎng)絡(luò )中的邊界防火墻、工控安全監測審計、工控主機防護等產(chǎn)品進(jìn)行集中監視和安全策略統一管理，通過(guò)安全事件關(guān)聯(lián)分析及安全趨勢風(fēng)險預警，有助于降低運維成本、提高事件響應效率。

在兩網(wǎng)交換過(guò)程中的交換日志和安全日志信息，統一導入保存至內部辦公網(wǎng)的安全審計系統中進(jìn)行統一記錄存儲與大數據分析。同時(shí)對交換過(guò)程中的異常事件時(shí)間、違規事件進(jìn)行分析和處理。

3 案例亮點(diǎn)及創(chuàng )新性

圣博潤股份通過(guò)為某軍工單位建設兩網(wǎng)安全互聯(lián)及工控安全提升項目，既有效解決了該企業(yè)內部辦公網(wǎng)與工控網(wǎng)數據安全交互的問(wèn)題，又通過(guò)安全防護技術(shù)手段對工控網(wǎng)絡(luò )進(jìn)行全面安全防護，保障了工控網(wǎng)絡(luò )數控和其他工控系統與的正常安全運行。

（1）為工控系統安全提供了有效的保障

在信息化系統建設中，安全是一個(gè)至關(guān)重要的問(wèn)題。軍工工業(yè)控制系統承載著(zhù)國防安全重任，一旦工控系統出現安全事故將會(huì )造成較大的負面效應。開(kāi)展工控系統安全防護建設，是為工控系統建設提供安全高效的運行保障，具有非常重要的社會(huì )意義。

（2）助力軍工行業(yè)信息化建設向更高層次推進(jìn)隨著(zhù)信息化建設的推進(jìn)

通過(guò)網(wǎng)絡(luò )進(jìn)行信息共享和數據交互的力度大大加強，對兩網(wǎng)數據傳輸中的安全性、保密性和完整性提出了更高要求。只有對軍工內部辦公網(wǎng)和工控網(wǎng)進(jìn)行科學(xué)的評估，規劃和建設一個(gè)集物理安全、網(wǎng)絡(luò )安全、應用安全、系統安全和數據保密安全等于一體的信息防護體系，才能為軍工信息化的大力推進(jìn)提供充分的安全保障。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》