◆費(fèi)淼 王丹 嚴(yán)靜 王大秋 李逸翔

（中國核動(dòng)力研究設(shè)計(jì)院 四川 610213）

軍工行業(yè)涉及各類武器科研裝備的設(shè)計(jì)、試驗(yàn)和生產(chǎn)，是推動(dòng)國防建設(shè)、保障國家安全的重要力量。工業(yè)控制系統(tǒng)在軍工行業(yè)的廣泛使用大幅度提高了產(chǎn)品研制、生產(chǎn)的質(zhì)量和效率，但同時(shí)由于其通用性、開放性不斷增強(qiáng)，工業(yè)控制系統(tǒng)的安全性問題也逐漸顯現(xiàn)[1]。典型安全事件如2010年震網(wǎng)病毒攻擊伊朗核設(shè)施導(dǎo)致其1000多臺(tái)離心機(jī)癱瘓，2014 年德國鋼鐵廠遭受APT 攻擊導(dǎo)致整個(gè)生產(chǎn)線停止運(yùn)轉(zhuǎn)。特別地，隨著信息化與工業(yè)化的深度融合，軍工工業(yè)控制系統(tǒng)網(wǎng)絡(luò)已打破過去物理隔離的網(wǎng)絡(luò)連接方式，向與企業(yè)辦公網(wǎng)進(jìn)行互聯(lián)互通的方向發(fā)展[2]。在此趨勢(shì)下，軍工工業(yè)控制系統(tǒng)的安全問題不僅關(guān)乎工業(yè)控制系統(tǒng)自身的安全運(yùn)轉(zhuǎn)，還可能會(huì)影響企業(yè)辦公網(wǎng)的安全。

為提高軍工工業(yè)控制系統(tǒng)的安全性，不少學(xué)者對(duì)軍工工業(yè)控制系統(tǒng)面臨的安全問題進(jìn)行分析與研究。文獻(xiàn)[3]對(duì)軍工制造工業(yè)控制系統(tǒng)信息安全現(xiàn)狀以及面臨的信息安全威脅進(jìn)行分析，探討了應(yīng)對(duì)國外產(chǎn)品漏洞、后門以及通信協(xié)議安全問題的策略。文獻(xiàn)[4]詳細(xì)分析了軍工工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)與脆弱性，并對(duì)軍工工業(yè)控制系統(tǒng)的安全防護(hù)目標(biāo)和技術(shù)措施進(jìn)行了研究。文獻(xiàn)[5]對(duì)新業(yè)態(tài)環(huán)境下軍工工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)進(jìn)行分析，并提出了提升軍工工業(yè)控制系統(tǒng)信息安全防護(hù)能力的對(duì)策。上述研究均針對(duì)軍工工業(yè)控制系統(tǒng)面臨的安全風(fēng)險(xiǎn)及現(xiàn)狀提出了相應(yīng)的安全應(yīng)對(duì)方針和策略，在一定程度上為軍工工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提供了參考，但缺乏對(duì)兩化融合形勢(shì)下工業(yè)控制系統(tǒng)首要面臨的邊界安全問題的分析，也未提出相關(guān)的安全防護(hù)策略。邊界防護(hù)是保障軍工工業(yè)控制系統(tǒng)安全的重要部分，邊界安全是整個(gè)軍工工業(yè)控制系統(tǒng)安全的基礎(chǔ)和前提。如果無法對(duì)邊界出現(xiàn)的違規(guī)設(shè)備、違規(guī)行為等進(jìn)行及時(shí)阻斷、處理，整個(gè)工業(yè)控制系統(tǒng)的安全就會(huì)受到影響。

鑒于以上原因，本文以“縱向分層、橫向分區(qū)”為依據(jù)，根據(jù)兩化融合形勢(shì)下軍工工業(yè)控制系統(tǒng)邊界面臨的安全風(fēng)險(xiǎn)，對(duì)軍工工業(yè)控制系統(tǒng)邊界安全防護(hù)需求進(jìn)行分析，構(gòu)建了由“跨層通信邊界、內(nèi)部區(qū)域邊界”組成的軍工工業(yè)控制系統(tǒng)邊界安全防護(hù)框架，為兩化融合趨勢(shì)下軍工工業(yè)控制系統(tǒng)的安全防護(hù)建設(shè)奠定基礎(chǔ)。

1 邊界安全防護(hù)需求分析

軍工工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)如圖1 所示，可分為三個(gè)層次：企業(yè)資源層、制造執(zhí)行層和工業(yè)控制層。企業(yè)資源層位于企業(yè)辦公網(wǎng)，對(duì)于軍工單位，企業(yè)辦公網(wǎng)一般為涉密網(wǎng)。制造執(zhí)行層和工業(yè)控制層位于工控網(wǎng)。為應(yīng)對(duì)繁重科研生產(chǎn)任務(wù)下日益增長的數(shù)據(jù)交換需求，工控網(wǎng)與企業(yè)辦公網(wǎng)的數(shù)據(jù)交換方式逐步從人工刻錄光盤的離線數(shù)據(jù)交換方式向與其互聯(lián)互通的方向發(fā)展。在此情況下，軍工工業(yè)控制系統(tǒng)邊界面臨的安全風(fēng)險(xiǎn)主要包括以下4 個(gè)方面：

圖1 軍工工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖

（1）系統(tǒng)物理隔離被打破，系統(tǒng)非法連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)；

（2）工控網(wǎng)與企業(yè)辦公網(wǎng)進(jìn)行數(shù)據(jù)互聯(lián)互通時(shí)，防護(hù)措施不恰當(dāng)，導(dǎo)致數(shù)據(jù)流向不可控、企業(yè)辦公網(wǎng)絡(luò)安全以及工業(yè)控制系統(tǒng)自身安全受到威脅的風(fēng)險(xiǎn)；

（3）未對(duì)各區(qū)域進(jìn)行合理劃分、邏輯隔離，系統(tǒng)區(qū)域邊界模糊、訪問控制管控不足，導(dǎo)致一旦發(fā)生惡意攻擊或病毒感染可能影響其他設(shè)備或區(qū)域正常運(yùn)轉(zhuǎn)的風(fēng)險(xiǎn)；

（4）USB 設(shè)備以及外部設(shè)備管控不足，系統(tǒng)感染惡意代碼或重要信息被泄露的風(fēng)險(xiǎn)。

根據(jù)邊界安全風(fēng)險(xiǎn)分析結(jié)果，軍工工業(yè)控制系統(tǒng)的邊界安全防護(hù)需求如下：

（1）訪問控制與邊界隔離需求：邊界劃分明確，同時(shí)部署相關(guān)邊界隔離設(shè)備控制工業(yè)控制系統(tǒng)各層次之間以及各層次內(nèi)部安全區(qū)域之間的訪問；

（2）入侵檢測(cè)與防御需求：對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)防護(hù)，在系統(tǒng)受到危害之前進(jìn)行攔截和防御；

（3）病毒防護(hù)需求：在網(wǎng)絡(luò)環(huán)境下，病毒可以通過其自身的復(fù)制能力和超強(qiáng)的感染力對(duì)系統(tǒng)進(jìn)行破壞，具有不可估量的威脅力與破壞力，因而需部署防病毒系統(tǒng)抵御病毒的橫行；

（4）信息交換需求：系統(tǒng)需從外部導(dǎo)入的信息包括升級(jí)程序、補(bǔ)丁、需要導(dǎo)入的文檔資料等，系統(tǒng)需要導(dǎo)出的信息包括被允許導(dǎo)出的文檔、數(shù)據(jù)等。

2 邊界安全防護(hù)設(shè)計(jì)

2.1 總體框架

根據(jù)軍工工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)以及邊界安全防護(hù)需求分析結(jié)果，本文從“跨層通信邊界”和“內(nèi)部區(qū)域邊界”2 個(gè)方面給出了軍工工業(yè)控制系統(tǒng)邊界安全防護(hù)措施。軍工工業(yè)控制系統(tǒng)邊界安全防護(hù)總體設(shè)計(jì)遵循安全性、合理性、邊界可控和整體性原則，旨在保證跨越邊界的訪問及數(shù)據(jù)通信可控制、可監(jiān)視、可追溯，總體框架如圖2所示。

圖2 軍工工業(yè)控制系統(tǒng)邊界防護(hù)總體框架

2.2 跨層通信邊界

跨層通信邊界包括企業(yè)資源層和制造執(zhí)行層之間的通信邊界以及制造執(zhí)行層與工業(yè)控制層之間的通信邊界。企業(yè)資源層與制造執(zhí)行層之間的通信屬于跨網(wǎng)通信，對(duì)于軍工單位而言，企業(yè)辦公網(wǎng)往往含有涉及國家秘密的敏感信息，跨網(wǎng)通信既要防止企業(yè)辦公網(wǎng)的敏感信息進(jìn)入工控網(wǎng)，也要防止病毒進(jìn)入工控網(wǎng)破壞系統(tǒng)的正常運(yùn)行。在工控網(wǎng)與企業(yè)辦公網(wǎng)邊界，通過部署單向數(shù)據(jù)安全傳輸設(shè)備和相關(guān)代理服務(wù)構(gòu)建采集數(shù)據(jù)交換區(qū)和結(jié)果數(shù)據(jù)交換區(qū)。工控網(wǎng)通過數(shù)據(jù)采集系統(tǒng)將實(shí)驗(yàn)裝置、生產(chǎn)裝置產(chǎn)生的數(shù)據(jù)通過采集數(shù)據(jù)發(fā)送服務(wù)器傳輸至單向數(shù)據(jù)安全傳輸設(shè)備，進(jìn)而傳輸至辦公網(wǎng)的采集數(shù)據(jù)接收服務(wù)器。企業(yè)辦公網(wǎng)通過數(shù)據(jù)綜合管理系統(tǒng)、ERP 系統(tǒng)等對(duì)采集數(shù)據(jù)進(jìn)行分析、處理，并將分析結(jié)果通過結(jié)果數(shù)據(jù)發(fā)送服務(wù)器發(fā)送至單向數(shù)據(jù)安全傳輸設(shè)備，進(jìn)而傳輸至結(jié)果數(shù)據(jù)接收服務(wù)器，實(shí)現(xiàn)對(duì)工控網(wǎng)實(shí)驗(yàn)以及生產(chǎn)過程的指導(dǎo)與控制。單向數(shù)據(jù)安全傳輸設(shè)備只允許特定格式文件的傳輸，并且會(huì)對(duì)傳輸文件進(jìn)行殺毒處理。在工控網(wǎng)安全監(jiān)管區(qū)部署邊界監(jiān)控審計(jì)系統(tǒng)對(duì)跨越邊界的數(shù)據(jù)交換行為以及內(nèi)容安全進(jìn)行審計(jì)和管理，保證數(shù)據(jù)交換的信息明確、過程完整、歷史可追溯。

在采集數(shù)據(jù)交換區(qū)邊界、結(jié)果數(shù)據(jù)交換區(qū)邊界以及制造執(zhí)行層與工業(yè)控制層之間分別部署邊界防火墻。防火墻策略配置按“策略最小化原則”，將訪問控制規(guī)則設(shè)定到“IP 地址+服務(wù)端口”的粒度，禁止所有未被授權(quán)的訪問。特別地，制造執(zhí)行層與工業(yè)控制層之間的邊界防護(hù)墻需根據(jù)其通信協(xié)議選擇防火墻類型，比如如果使用的是Modbus 協(xié)議，則需要選擇工業(yè)防火墻。

2.3 內(nèi)部區(qū)域邊界

依據(jù)設(shè)備用途、信息的重要性在制造執(zhí)行層內(nèi)部劃分安全監(jiān)管區(qū)、應(yīng)用服務(wù)區(qū)、用戶終端區(qū)和輸入輸出區(qū)。安全監(jiān)管區(qū)主要包括主機(jī)安全管理、殺毒軟件、漏洞掃描、邊界監(jiān)控審計(jì)等安全管理系統(tǒng)。應(yīng)用服務(wù)區(qū)主要包括MES 系統(tǒng)、生產(chǎn)系統(tǒng)、數(shù)據(jù)庫服務(wù)器等應(yīng)用系統(tǒng)。用戶終端區(qū)主要包括需要訪問應(yīng)用服務(wù)區(qū)的終端設(shè)備。輸入輸出區(qū)實(shí)現(xiàn)對(duì)不能通過采集數(shù)據(jù)交換區(qū)或結(jié)果數(shù)據(jù)交換區(qū)輸出或輸入的數(shù)據(jù)的導(dǎo)入和導(dǎo)出，具體包括一臺(tái)輸入機(jī)、一臺(tái)輸出機(jī)和一臺(tái)中間機(jī)。制造執(zhí)行層各終端及服務(wù)器均需安裝防病毒系統(tǒng)客戶端進(jìn)行病毒和惡意代碼防護(hù)。

安全監(jiān)管區(qū)和應(yīng)用服務(wù)區(qū)部署服務(wù)器防火墻，防止非授權(quán)的訪問和操作，策略配置原則以及細(xì)粒度控制同邊界防火墻。核心交換機(jī)上旁路部署入侵檢測(cè)系統(tǒng)，采集網(wǎng)絡(luò)流量，對(duì)工控網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為。在該核心交換機(jī)上設(shè)置VLAN 的網(wǎng)關(guān)地址，通過核心交換機(jī)VLAN 和ACL 技術(shù)，對(duì)用戶終端區(qū)和輸入輸出區(qū)的終端進(jìn)行訪問控制，禁止終端之間相互通信，全部通過應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)交互。

對(duì)于工業(yè)控制層，可根據(jù)實(shí)際業(yè)務(wù)需求、設(shè)備的重要性等劃分不同的生產(chǎn)設(shè)備區(qū)，并通過在三層交換上劃分VLAN 和使用ACL 技術(shù)對(duì)各生產(chǎn)設(shè)備區(qū)進(jìn)行訪問控制和邊界防護(hù)。

為降低軍工工業(yè)控制系統(tǒng)非法連接到互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)，防止違規(guī)外聯(lián)事件的發(fā)生，采取以下策略：

（1）系統(tǒng)中所有交換機(jī)的暫不使用端口均設(shè)為Shutdown 模式，同時(shí)物理斷開連接；

（2）在各交換機(jī)上進(jìn)行IP+MAC+交換機(jī)端口的綁定，客戶端接入網(wǎng)絡(luò)時(shí)進(jìn)行MAC 地址認(rèn)定；

（3）部署主機(jī)安全及管理系統(tǒng)，實(shí)現(xiàn)對(duì)主機(jī)終端的移動(dòng)存儲(chǔ)介質(zhì)的使用控制、網(wǎng)絡(luò)資源的訪問控制、端口設(shè)備使用管理、軟件資源的使用控制、非法外聯(lián)告警等。

3 結(jié)束語

根據(jù)兩化融合形勢(shì)下軍工工業(yè)控制系統(tǒng)邊界面臨的安全防護(hù)需求，本文提出了由“跨層通信邊界、內(nèi)部區(qū)域邊界”組成的軍工工業(yè)控制系統(tǒng)邊界安全防護(hù)框架。其中，跨層通信邊界包括企業(yè)資源層和制造執(zhí)行層之間的通信邊界以及制造執(zhí)行層與工業(yè)控制層之間的通信邊界；內(nèi)部區(qū)域邊界主要指制造執(zhí)行層內(nèi)部劃分的各區(qū)域的邊界和工業(yè)控制層各生產(chǎn)設(shè)備區(qū)的邊界。本文分別對(duì)各邊界給出了詳細(xì)的防護(hù)措施，為兩化融合趨勢(shì)下軍工工業(yè)控制系統(tǒng)的安全防護(hù)建設(shè)奠定基礎(chǔ)。