“互聯網+”軍民融合深度發展中工業網絡安全問題研究

朱瓊, 朱文炳, 吳騰

(中國航發上海商用航空發動機制造有限責任公司,上海 201306)

0 引言

工業網絡安全是保障國家安全發展的核心領域，也是軍民融合深度發展中的關鍵問題。在構筑國家網絡安全保障體系的過程中，建立工業網絡安全體系，是保障國家基礎設施安全的決定性因素[1]。國家關鍵基礎設施主要分布在金融、電信、能源、交通、航天航空等國家重要行業和領域，其核心組成部分廣泛分布于工業網絡中[2]。全面考慮工業網絡安全體系設計是工業領域安全是否受控的關鍵問題。因而需要建立安全、高效的工業網絡安全體系，以有效保障多源異構設備在工業環境中的信息安全。

中國航發商用航空發動機有限公司(簡稱“中國航發商發”)成立于2009年，是國內首家以提供商用大涵道比渦扇發動機系列產品及相應服務為使命的商用航空發動機企業，以“成為商用航空發動機全球主制造商之一”為愿景，秉承“責任、包容、開放、共贏”的價值觀，構建商用航空發動機的總體集成與產品取證能力、供應鏈全面管控能力、市場營銷與客戶服務能力、產業市場化整合資源能力、產業國際化運作管理能力五大核心能力，加快建立“小核心、大協作、專業化、開放型”的科研生產體系。中國航發上海商用航空發動機制造有限責任公司(簡稱“商發制造”)作為商發的子公司，成立于2012年，主要致力于構建商用航空發動機的總體集成裝配、試驗驗證企業鼓勵民營企業參與建立科研生產合作機制，是軍民融合深度發展的典型生產制造工業環境。

考慮新建工廠建設“互聯網+”數字化工廠的基本需求，按照ISO27001信息安全管理體系要求，結合公司質量管理體系，建設有效的工業網絡安全體系，是保障公司信息保密性和完整性的重要舉措[3,4]。

本文以企業的典型需求為背景，探索工業網絡安全建設的具體內容，并對實際案例進行介紹。

2 “互聯網+”軍民融合深度發展中的工業網絡安全體系探索

工業生產企業需要通過建立工業網絡安全體系，實現覆蓋企業各業務層次的安全服務和防護防御，有利于形成可創新、可技術共享和信息安全的工業環境[5]。

2.1 基于企業層次架構的工業網絡安全服務

根據企業層次架構，按照橫向分層、縱向分域、區域分等級的原則，對生產企業中的現場設備域、過程監控域、生產管理域、經營管理域、用戶域等五個區域實施安全監控、事件處理和定期測評，可建立起工業網絡安全服務網絡，進而通過安全審計平臺為各個業務環節提供安全服務。

2.2 基于網絡安全防護產品的工業網絡安全防御

在工廠工業網絡建設中，充分應用國產工業控制系統和產品，包括安全控制器、安全工程師站、安全工控系統等，在此基礎上應用國產安全防護設備，實現現場設備層和過程監控層之間的安全防護，對業務數據流通過程進行安全防御。

3 “互聯網+”軍民融合深度發展中的工業網絡安全體系建設方案

3.1 企業工業網絡架構分層方案

根據工業控制系統信息安全國際標準IEC 62443-1對工業控制系統安全區域的要求，結合目前商發制造的具體建設情況，對工業網絡安全進行如下的分區劃分,如圖1所示。

0區：現場生產設備和儀表區域

0區0-1：加工制造車間的數控系統設備，包括3D打印設備，帶網口的CNC和串口轉接到網絡的CNC等；

0區0-2：帶網口和各類串口可接入網絡的自動化裝配設備；

0區0-3：物料運輸系統中帶各類串口可接入網絡的運輸、物料出入庫數據采集設備；

0區0-4：無線手持終端、條碼、RFID讀寫終端和對應的無線AP。

圖1 工業網絡安全分區劃分

I區：生產控制系統區域

I區I-1：加工制造車間的DNC工作站等;

I區I-2：裝配車間PLC控制器、HMI等。

II區：監控中心區域

視頻管理NVI/DVI等、OPC服務器、工程師站和操作員站等。

III區：生產管理(MES)區域

PHD/PI等實時數據庫、歷史數據庫、生產管理服務器和資產管理服務器。

IV區：辦公網區域

ERP系統、業務管理系統、物流管理系統和人員管理系統等。

3.2 企業工業網絡安全分層保護等級設計

IEC 62443定義導管是連接不同安全區域的通道，也是不同安全區域之間相互通信的通道工具。導管由交換機、路由器和網絡安全設備組成，除了網絡連接通信外，導管的網絡安全設備還需要分析和處理不同安全區域之間通信的威脅和攻擊。在工業控制網絡中，需要考慮以下安全區域的通信導管，并設計安全規范。

IV區(辦公網區域)與III區(生產管理MES區域)通信導管;

III區(生產管理MES區域)與II區(監控中心區域)通信導管;

II區(監控中心區域)與I區(生產控制系統區域)中的I-1區(加工制造車間的DNC工作站等)通信導管;

II區(監控中心區域)與I區(生產控制系統區域)中的I-2區(總裝裝配車間工程師站、操作員站等)通信導管;

I區(生產控制系統區域)與0區(現場生產設備和儀表區域)中的0-1區(加工制造車間的數控系統設備，包括3D打印設備，帶網口的CNC和串口轉接到網絡的CNC)的通信導管;

I區(生產控制系統區域)與0區(現場生產設備和儀表區域)中的0-2區(總裝裝配車間的大部件智能對接平臺)通信導管;

I區(生產控制系統區域)與0區(現場生產設備和儀表區域)中的0-3區(AGV自動導引運輸車系統和對應的無線AP)通信導管;

I區(生產控制系統區域)與0區(現場生產設備和儀表區域)中的0-4區(無線手持終端、條碼、RFID讀寫終端和對應的無線AP)的通信導管。

IEC 62443定義工業控制系統安全等級為4個等級，分別是SL-1、SL-2、SL-3和SL-4。

SL-1：保護和抵御偶然或者巧合的攻擊;

SL-2：保護和抵御用簡單的方式故意的攻擊;

SL-3：保護和抵御用復雜的方式故意的攻擊;

SL-4：保護和抵御用復雜的方式結合外部資源故意的攻擊。

根據商發制造的工業網絡安全分區劃分，定義安全區域的目標安全等級,如表1所示。

表1 企業工業網絡分層保護等級設置

3.3 工業網絡安全防御產品配置

從網絡功能、威脅等級、設備種類等多種層面對工業網絡進行綜合剖析，結合設備重要性、網絡結構安全性等多種因素，根據客戶需求針對性的對工業網絡進行安全性分區保護，保證更科學的檢測結果和威脅分析,如圖2所示。

圖2 工業網絡安全防御產品配置

IV區辦公網和III區生產管理網之間加裝工業防火墻。III區作為IV區辦公網和0區-II區工業控制系統網絡之間的緩沖區，工業網絡中的數據存儲在III區，IV區辦公網的應用需要通過訪問III區間接的拿到0區-II區工業控制系統網絡中的生產數據；

III區生產管理網與II區監控中心網之間加裝工業網絡隔離光閘做物理隔離。II區和III區之間通過OPC協議單向傳輸(由II區到III區可以傳輸，反過來不能傳輸)生產數據，II區配置有OPC服務器，III區配置有類似于PHD/PI的實時數據庫和Buffer數采機采集數據。物理隔離的工業網絡隔離光閘可以保護工業控制系統0區-II區的絕對安全，即使辦公網和MES網都被攻破，工業控制系統網絡仍然不受影響。這樣的安全防護，可以抵御類似于“震網”的病毒攻擊；

II區和I-1和I-2之間加裝工業防火墻。II區監控中心有工程師站和操作員站等人機交互站點會給I區的控制器和HMI帶來安全風險，用工業防火墻既能識別工業控制協議，又可以利用白名單規則和安全規則抵御網絡安全風險；

I區的I-2區域和0區的0-3和0-4之間加裝工業防火墻。由于0-3和0-4是通過無線AP接入，威脅和攻擊可能通過無線的方式引入，所以在無線AP的回傳通道上加裝工業防火墻防御潛在的威脅和攻擊。

3.4 企業工業網絡安全防御審計平臺

為配合生產網與管理網互聯接口處安全防護以及工控網絡安全審計與入侵防范安全部署，專門配備工業網絡集中安全集中管理和審計平臺進行統一綜合安全監管，如圖3所示。

圖3 工業網絡安全審計界面圖

由管理平臺統一控制配置、管理，監控安全設備所在網絡的通信流量與安全事件，能對工業網絡內的安全威脅進行分析并及時防御。

安全管理審計平臺須具有如下安全綜合監管功能如下。

(1) 安全設備管理：統一控制配置、管理安全終端，對安全設備部署安全規則，監測安全設備所在網絡的通信流量與安全事件；

(2) 流量監控：利用對多種網絡數據的深度協議解析和處理引擎，解讀流量數據，將抽象流量轉換為具體行為方式，實現網絡行為可視化。同時通過科學的對比算法將審計對象與基線數據智能對比，全面審計網絡異常行為；

(3) 安全審計：對所有管理配置操作進行記錄和審計。

4 “互聯網+”軍民融合深度發展中的工業網絡安全體系推廣應用

伴隨著德國“工業4.0”、美國“工業互聯網”以及中國“中國制造2025”等戰略的相繼提出，面對全球范圍內新一輪的科技與產業變革，我國深刻認識到智能制造將是我國落實創新驅動發展、實現研制模式轉型升級以盡快趕超世界先進工業水平的關鍵舉措，“互聯網+”通過工業互聯網，促進軍民深度融合，工業網絡安全是其中重要環節，在網絡化、數字化建設過程中推進工業網絡安全體系應用是事關國家經濟安全、信息安全、社會安全的一個長期過程，根據商發制造在建設過程的經驗，提出如下建議。

1) 統籌規劃，建立建成工業網絡安全保障體系

統籌規劃形成機制保障是實現工業網絡安全的關鍵環節，以軍民融合的方式保障國家的網絡安全，需要構建一個可創新、技術共享和各部門協調配合的安全保護體系，逐步完善工業網絡安全各層級的協調分工。強化工業企業的全局統籌規劃，協調明確各網絡層級安全部門及人員的職責，提供條件促進信息交流合作。

2) 加強人員培養

人才保障是實現工業網絡安全的核心要素。網絡安全隊伍的組建需要吸納高智商的人才，網絡安全產品需要高技術團隊研發，網絡安全問題需要專業化的隊伍解決。

3) 強化基礎理論研究與應用

強化基礎理論研究，并有效保障其在工業網絡安全領域的快速應用，理論方面主要包括安全理論、網絡空間理論、網絡安全理論、網絡戰理論、軍隊信息化理論等。應用方面主要參照國外網絡安全保障的思路、理念和發展經驗，形成工業網絡安全保護的戰略、方針、指導思想和實施方式等。

5 總結

結合軍民特點深入發展混改形成試點示范,考慮航空發動機未來市場巨大，需要積極在《十三五科技軍民融合發展專項規劃》，部署“十三五”期間推進科技軍民融合發展有關工作。為國家和軍隊指導科技軍民融合發展工作，提供示范試點，加快推進新一輪軍民融合。

[1] 呂晶華. 美國網絡空間軍民融合的經驗與啟示[J].中國信息安全，2016(8)：67-70.

[2] 杜雁蕓. 加快推動網絡安全領域軍民融合深度發展[J].中國信息安全，2016(3)：43-44.

[3] 秦安. 美歐網絡空間演習的軍民融合情況及相關啟示[J].中國信息安全，2016(8)：38-41.

[4] 張黎. 對推進中國特色網絡空間軍民融合戰略的思考[J].中國信息安全，2016(8)：30-32.

[5] 李嘉嘉. 論信息安全、網絡安全、網絡空間安全[J].通訊安全，2017(12)：125-126.