◎中國航天系統(tǒng)科學(xué)與工程研究院三所

我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系仍比較脆弱，迫切需要構(gòu)建起自控可控、安全穩(wěn)定的工業(yè)控制系統(tǒng)信息安全技術(shù)應(yīng)用體系，近年來，中國航天系統(tǒng)科學(xué)與工程研究院第三研究所深入開展工業(yè)控制系統(tǒng)信息安全研究，并通過支撐國家主管部門組織的試點工程項目，形成了較為成熟的工業(yè)控制系統(tǒng)安全互聯(lián)與信息交換解決方案與系列產(chǎn)品，為工業(yè)企業(yè)工業(yè)控制系統(tǒng)提供信息安全保障。

當(dāng)前，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系比較脆弱，生產(chǎn)制造終端設(shè)備缺少基本的防護(hù)，網(wǎng)絡(luò)接入管理缺少有效防護(hù)手段已成為共性認(rèn)識；利用工業(yè)控制系統(tǒng)攻擊辦公網(wǎng)絡(luò)竊取內(nèi)部敏感信息，利用辦公網(wǎng)絡(luò)內(nèi)的病毒、木馬滲透工業(yè)控制系統(tǒng)網(wǎng)絡(luò)威脅生產(chǎn)制造已成為常見問題，迫切需要構(gòu)建起自控可控、安全穩(wěn)定的國內(nèi)工業(yè)控制系統(tǒng)信息安全技術(shù)應(yīng)用體系，保障經(jīng)濟(jì)和社會發(fā)展。

中國航天系統(tǒng)科學(xué)與工程研究院三所在近40年的自主研發(fā)和技術(shù)應(yīng)用過程中，始終圍繞自主可控的核心需求，打造以網(wǎng)絡(luò)與信息安全為主要內(nèi)容的業(yè)務(wù)領(lǐng)域，自2013 年起集中骨干力量開展工業(yè)控制系統(tǒng)信息安全方面的研究，并通過支撐國家主管部門組織的試點工程項目，形成了較為成熟的工業(yè)控制系統(tǒng)安全互聯(lián)與信息交換的解決方案與系列產(chǎn)品，為面向未來的智融互聯(lián)而努力奮進(jìn)。

一、以自主可控為根本，深入開展工控信息安全的總體設(shè)計

按照國家信息安全相關(guān)標(biāo)準(zhǔn)要求，采用軍工級的信息安全技術(shù)防護(hù)體系，按照“專網(wǎng)專用，安全分區(qū)、環(huán)境可控、縱深防御、綜合審計、動態(tài)監(jiān)控”的原則，在基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)傳輸控制層、應(yīng)用數(shù)據(jù)交換層、系統(tǒng)管理層和統(tǒng)一監(jiān)管層進(jìn)行多層次安全防護(hù)，建立工業(yè)控制系統(tǒng)與辦公信息系統(tǒng)的雙單向數(shù)據(jù)傳輸通道，構(gòu)建可信可控、可管可審的跨網(wǎng)數(shù)據(jù)交換模式，確保工業(yè)控制系統(tǒng)與信息系統(tǒng)之間數(shù)據(jù)通信的保密性、完整性、可用性，形成安全防護(hù)和監(jiān)管一體化的縱深安全防護(hù)體系。

同時，相比較現(xiàn)有的工控信息安全技術(shù)與產(chǎn)品，我們在設(shè)計方面更加注重以下幾個方面：

符合國家保密要求：在嚴(yán)格遵守國家保密標(biāo)準(zhǔn)及軍工保密資格認(rèn)定標(biāo)準(zhǔn)的前提下，實現(xiàn)涉密信息系統(tǒng)與工業(yè)控制系統(tǒng)之間的安全互聯(lián)和可信交換。

保證物理隔離：保證接入辦公內(nèi)網(wǎng)信息系統(tǒng)的工控設(shè)備與國際互聯(lián)網(wǎng)、本單位其他網(wǎng)絡(luò)和其他公共通信網(wǎng)絡(luò)均物理隔離。

分域安全防護(hù)：通過構(gòu)建工控安全域?qū)崿F(xiàn)工控設(shè)備的安全接入，將業(yè)務(wù)數(shù)據(jù)剝離成兩個單向數(shù)據(jù)通信的模式，最大程度上降低工控安全域?qū)k公內(nèi)網(wǎng)信息系統(tǒng)的威脅。

全方位系統(tǒng)防護(hù)：通過縱深防護(hù)體系，構(gòu)建一種安全、可靠的安全隔離與信息可信交換模型，對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)邊界、安全域、服務(wù)器、主機(jī)、交換機(jī)、工控設(shè)備等進(jìn)行檢查、識別、響應(yīng)、審計的全程防護(hù)。

全過程安全可控：全域監(jiān)測和審計，實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中的每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，對辦公內(nèi)網(wǎng)信息系統(tǒng)與工業(yè)控制系統(tǒng)間下發(fā)和上傳的數(shù)據(jù)進(jìn)行深度協(xié)議解析，對非法數(shù)據(jù)及時預(yù)警 ，對生產(chǎn)控制層和生產(chǎn)設(shè)備層間的交互業(yè)務(wù)進(jìn)行實時監(jiān)控和預(yù)警，使交換過程可追溯、可核查。

未知威脅全面防御：基于網(wǎng)絡(luò)接入控制、主機(jī)應(yīng)用白名單等構(gòu)建可信計算環(huán)境，從根本上避免了基于安全特征庫防護(hù)的滯后性，全面有效監(jiān)測和防護(hù)傳統(tǒng)IDS 和IPS 能力之外的未知攻擊和異常行為。

工控信息安全總體設(shè)計框架

二、以技術(shù)研發(fā)為重點，積極打造先進(jìn)可靠的產(chǎn)品體系

通過多年的努力，現(xiàn)有的工控安全互聯(lián)產(chǎn)品包括工業(yè)控制系統(tǒng)多級控制傳輸平臺、工控設(shè)備防護(hù)安全網(wǎng)關(guān)、工控網(wǎng)絡(luò)接入控制系統(tǒng)和主機(jī)安全風(fēng)險管控系統(tǒng)。

（一）工業(yè)控制系統(tǒng)多級控制傳輸平臺

工業(yè)控制系統(tǒng)多級控制傳輸平臺是為解決工業(yè)控制系統(tǒng)與辦公內(nèi)網(wǎng)信息系統(tǒng)之間進(jìn)行安全互聯(lián)、數(shù)據(jù)可信交換而提出的安全增強(qiáng)型軟硬件解決方案。在物理設(shè)備上采用只允許單向傳輸?shù)膯蜗驅(qū)朐O(shè)備，而軟件上則采用安全可靠的多級控制傳輸平臺，從而保證工業(yè)控制設(shè)備安全可靠地與信息系統(tǒng)進(jìn)行單向連接，確保工控設(shè)備與信息系統(tǒng)之間數(shù)據(jù)通信的保密性、完整性、可用性，從而提高企業(yè)協(xié)同工作能力，安全穩(wěn)定地支撐數(shù)字制造過程。

（二）工控設(shè)備防護(hù)安全網(wǎng)關(guān)

工控設(shè)備防護(hù)安全網(wǎng)關(guān)是以安全管控為核心，秉承“主動預(yù)防、過程監(jiān)控、行為追蹤”的設(shè)計理念，實現(xiàn)工控系統(tǒng)與外界信息交換過程的安全監(jiān)管和可追溯，采用全方位信息隔離、監(jiān)管技術(shù)及1（工控安全防護(hù)監(jiān)管系統(tǒng)）+ N（工控設(shè)備防護(hù)安全網(wǎng)關(guān)）的部署模式，在保證工控系統(tǒng)有效信息交換的前提下最大限度地避免外界對工控系統(tǒng)環(huán)境的侵犯。

（三）工控網(wǎng)絡(luò)接入控制系統(tǒng)

工控網(wǎng)絡(luò)接入控制系統(tǒng)以客戶需求為中心，采用軟件定義網(wǎng)絡(luò)SDN 的思路實現(xiàn)軟件定義涉密局域網(wǎng)架構(gòu)，提供涉密網(wǎng)的設(shè)備（計算機(jī)、網(wǎng)絡(luò)打印機(jī)、瘦終端等）的接入控制、集中控制和自動化管理的全面解決方案。

（四）主機(jī)安全風(fēng)險管控系統(tǒng)

主機(jī)安全風(fēng)險管控系統(tǒng)是一款輕量級實時主機(jī)安全風(fēng)險管控系統(tǒng)。系統(tǒng)基于白名單機(jī)制對主機(jī)操作系統(tǒng)進(jìn)行加固，確保只有可信應(yīng)用軟件才能被執(zhí)行，實時記錄用戶所有運行軟件的行為，并對非法運行安裝軟件實時告警。該系統(tǒng)還能阻止惡意軟件、木馬、病毒的運行，保護(hù)主機(jī)信息安全。

三、以客戶滿意為中心，努力提供全方位的功能服務(wù)

面向企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和管理辦公網(wǎng)絡(luò)的安全互聯(lián)、信息交換的安全需求，以及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中可信計算環(huán)境、網(wǎng)絡(luò)接入以及終端設(shè)備防護(hù)的安全需要，我們不斷加強(qiáng)用戶體驗，提供可定制的功能服務(wù)。

（一）網(wǎng)絡(luò)邊界有效防護(hù)

在工控網(wǎng)絡(luò)中做分區(qū)、分域安全保護(hù)，在各安全域邊界部署工業(yè)防火墻、應(yīng)用防火墻等安全防護(hù)設(shè)備實現(xiàn)邊界隔離與防護(hù)；通過對各安全域設(shè)置最小授權(quán)原則等訪問控制策略，實現(xiàn)網(wǎng)絡(luò)分區(qū)、分域隔離與基于工控行為的細(xì)粒度訪問控制。

（二）異常攻擊實時監(jiān)測

部署工控安全審計系統(tǒng)進(jìn)行全域監(jiān)測和審計，對工業(yè)網(wǎng)絡(luò)中的各種應(yīng)用行為、內(nèi)容進(jìn)行合規(guī)性檢查與審計，對辦公內(nèi)網(wǎng)信息系統(tǒng)與工業(yè)控制系統(tǒng)間下發(fā)和上傳的數(shù)據(jù)進(jìn)行深度協(xié)議解析，實時監(jiān)測違規(guī)操作、非法訪問等，為安全防御提供策略建議，實現(xiàn)對工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)。

（三）網(wǎng)絡(luò)安全互聯(lián)

基于“兩路單向”安全互聯(lián)模式，將工控業(yè)務(wù)數(shù)據(jù)按流向進(jìn)行剝離，為兩網(wǎng)提供安全可靠的數(shù)據(jù)自動單向傳輸通道，實現(xiàn)辦公信息系統(tǒng)與工業(yè)控制系統(tǒng)的安全互聯(lián)。

（四）工控終端安全防護(hù)

實現(xiàn)對工控系統(tǒng)串口、網(wǎng)口、USB 等對外接口的輸入輸出數(shù)據(jù)管控，通過數(shù)據(jù)源識別、協(xié)議解析、文件檢查、內(nèi)容過濾等多重防護(hù)措施，輔以統(tǒng)一策略分發(fā)和全網(wǎng)狀態(tài)監(jiān)視，對各工控設(shè)備進(jìn)行有效隔離防護(hù)。

（五）主機(jī)安全防護(hù)

在服務(wù)器上部署主機(jī)安全風(fēng)險管控系統(tǒng)、防病毒及惡意代碼系統(tǒng)等，基于白名單機(jī)制對主機(jī)操作系統(tǒng)進(jìn)行加固，建立可信應(yīng)用白名單，確保非法程序無路可尋。

（六）信息可控交換

以統(tǒng)一規(guī)劃的信息資源目錄為數(shù)據(jù)標(biāo)準(zhǔn)，內(nèi)置通用適配器，自動支持?jǐn)?shù)據(jù)庫同步，而對于特殊的傳輸需求，支持定制開發(fā)專用適配器，根據(jù)業(yè)務(wù)需求，建立數(shù)據(jù)通信防護(hù)策略，靈活配置抽取和推送鏈路，實現(xiàn)信息資源全程可監(jiān)管的抽取和推送。

（七）網(wǎng)絡(luò)接入控制

通過網(wǎng)絡(luò)接入控制系統(tǒng)，實現(xiàn)從二層管控到每個工業(yè)以太網(wǎng)交換機(jī)端口的接入控制，對交換機(jī)端口和IP 地址進(jìn)行集中管控；針對可信設(shè)備建立網(wǎng)絡(luò)訪問“白名單”和入網(wǎng)檢測，確保設(shè)備合規(guī)可信才能入網(wǎng)；對違法和嘗試入網(wǎng)等異常行為進(jìn)行持續(xù)偵聽和記錄，實現(xiàn)全過程行為日志審計。

通過幾年的實踐，中國航天系統(tǒng)科學(xué)與工程研究院三所的工控安全互聯(lián)系列產(chǎn)品為眾多客戶提供了優(yōu)質(zhì)的服務(wù)，完成了多項精品工程。在未來的發(fā)展中，我們將初心不改、使命如山、搶抓機(jī)遇、迎接挑戰(zhàn)，努力打造信息安全綜合服務(wù)保障能力，支撐好航天強(qiáng)國建設(shè)，為我國網(wǎng)信事業(yè)的發(fā)展而努力！