加強工控互聯自主創新保障國家網絡安全和數據安全

◎中國航天系統科學與工程研究院三所

我國工業控制系統網絡安全防護體系仍比較脆弱，迫切需要構建起自控可控、安全穩定的工業控制系統信息安全技術應用體系，近年來，中國航天系統科學與工程研究院第三研究所深入開展工業控制系統信息安全研究，并通過支撐國家主管部門組織的試點工程項目，形成了較為成熟的工業控制系統安全互聯與信息交換解決方案與系列產品，為工業企業工業控制系統提供信息安全保障。

當前，工業控制系統網絡安全防護體系比較脆弱，生產制造終端設備缺少基本的防護，網絡接入管理缺少有效防護手段已成為共性認識；利用工業控制系統攻擊辦公網絡竊取內部敏感信息，利用辦公網絡內的病毒、木馬滲透工業控制系統網絡威脅生產制造已成為常見問題，迫切需要構建起自控可控、安全穩定的國內工業控制系統信息安全技術應用體系，保障經濟和社會發展。

中國航天系統科學與工程研究院三所在近40年的自主研發和技術應用過程中，始終圍繞自主可控的核心需求，打造以網絡與信息安全為主要內容的業務領域，自2013 年起集中骨干力量開展工業控制系統信息安全方面的研究，并通過支撐國家主管部門組織的試點工程項目，形成了較為成熟的工業控制系統安全互聯與信息交換的解決方案與系列產品，為面向未來的智融互聯而努力奮進。

一、以自主可控為根本，深入開展工控信息安全的總體設計

按照國家信息安全相關標準要求，采用軍工級的信息安全技術防護體系，按照“專網專用，安全分區、環境可控、縱深防御、綜合審計、動態監控”的原則，在基礎設施層、網絡傳輸控制層、應用數據交換層、系統管理層和統一監管層進行多層次安全防護，建立工業控制系統與辦公信息系統的雙單向數據傳輸通道，構建可信可控、可管可審的跨網數據交換模式，確保工業控制系統與信息系統之間數據通信的保密性、完整性、可用性，形成安全防護和監管一體化的縱深安全防護體系。

同時，相比較現有的工控信息安全技術與產品，我們在設計方面更加注重以下幾個方面：

符合國家保密要求：在嚴格遵守國家保密標準及軍工保密資格認定標準的前提下，實現涉密信息系統與工業控制系統之間的安全互聯和可信交換。

保證物理隔離：保證接入辦公內網信息系統的工控設備與國際互聯網、本單位其他網絡和其他公共通信網絡均物理隔離。

分域安全防護：通過構建工控安全域實現工控設備的安全接入，將業務數據剝離成兩個單向數據通信的模式，最大程度上降低工控安全域對辦公內網信息系統的威脅。

全方位系統防護：通過縱深防護體系，構建一種安全、可靠的安全隔離與信息可信交換模型，對工業控制系統的網絡邊界、安全域、服務器、主機、交換機、工控設備等進行檢查、識別、響應、審計的全程防護。

全過程安全可控：全域監測和審計，實時收集和監控網絡環境中的每一個組成部分的系統狀態、安全事件、網絡活動，對辦公內網信息系統與工業控制系統間下發和上傳的數據進行深度協議解析，對非法數據及時預警 ，對生產控制層和生產設備層間的交互業務進行實時監控和預警，使交換過程可追溯、可核查。

未知威脅全面防御：基于網絡接入控制、主機應用白名單等構建可信計算環境，從根本上避免了基于安全特征庫防護的滯后性，全面有效監測和防護傳統IDS 和IPS 能力之外的未知攻擊和異常行為。

工控信息安全總體設計框架

二、以技術研發為重點，積極打造先進可靠的產品體系

通過多年的努力，現有的工控安全互聯產品包括工業控制系統多級控制傳輸平臺、工控設備防護安全網關、工控網絡接入控制系統和主機安全風險管控系統。

（一）工業控制系統多級控制傳輸平臺

工業控制系統多級控制傳輸平臺是為解決工業控制系統與辦公內網信息系統之間進行安全互聯、數據可信交換而提出的安全增強型軟硬件解決方案。在物理設備上采用只允許單向傳輸的單向導入設備，而軟件上則采用安全可靠的多級控制傳輸平臺，從而保證工業控制設備安全可靠地與信息系統進行單向連接，確保工控設備與信息系統之間數據通信的保密性、完整性、可用性，從而提高企業協同工作能力，安全穩定地支撐數字制造過程。

（二）工控設備防護安全網關

工控設備防護安全網關是以安全管控為核心，秉承“主動預防、過程監控、行為追蹤”的設計理念，實現工控系統與外界信息交換過程的安全監管和可追溯，采用全方位信息隔離、監管技術及1（工控安全防護監管系統）+ N（工控設備防護安全網關）的部署模式，在保證工控系統有效信息交換的前提下最大限度地避免外界對工控系統環境的侵犯。

（三）工控網絡接入控制系統

工控網絡接入控制系統以客戶需求為中心，采用軟件定義網絡SDN 的思路實現軟件定義涉密局域網架構，提供涉密網的設備（計算機、網絡打印機、瘦終端等）的接入控制、集中控制和自動化管理的全面解決方案。

（四）主機安全風險管控系統

主機安全風險管控系統是一款輕量級實時主機安全風險管控系統。系統基于白名單機制對主機操作系統進行加固，確保只有可信應用軟件才能被執行，實時記錄用戶所有運行軟件的行為，并對非法運行安裝軟件實時告警。該系統還能阻止惡意軟件、木馬、病毒的運行，保護主機信息安全。

三、以客戶滿意為中心，努力提供全方位的功能服務

面向企業工業控制系統網絡和管理辦公網絡的安全互聯、信息交換的安全需求，以及工業控制系統網絡中可信計算環境、網絡接入以及終端設備防護的安全需要，我們不斷加強用戶體驗，提供可定制的功能服務。

（一）網絡邊界有效防護

在工控網絡中做分區、分域安全保護，在各安全域邊界部署工業防火墻、應用防火墻等安全防護設備實現邊界隔離與防護；通過對各安全域設置最小授權原則等訪問控制策略，實現網絡分區、分域隔離與基于工控行為的細粒度訪問控制。

（二）異常攻擊實時監測

部署工控安全審計系統進行全域監測和審計，對工業網絡中的各種應用行為、內容進行合規性檢查與審計，對辦公內網信息系統與工業控制系統間下發和上傳的數據進行深度協議解析，實時監測違規操作、非法訪問等，為安全防御提供策略建議，實現對工業控制網絡的安全防護。

（三）網絡安全互聯

基于“兩路單向”安全互聯模式，將工控業務數據按流向進行剝離，為兩網提供安全可靠的數據自動單向傳輸通道，實現辦公信息系統與工業控制系統的安全互聯。

（四）工控終端安全防護

實現對工控系統串口、網口、USB 等對外接口的輸入輸出數據管控，通過數據源識別、協議解析、文件檢查、內容過濾等多重防護措施，輔以統一策略分發和全網狀態監視，對各工控設備進行有效隔離防護。

（五）主機安全防護

在服務器上部署主機安全風險管控系統、防病毒及惡意代碼系統等，基于白名單機制對主機操作系統進行加固，建立可信應用白名單，確保非法程序無路可尋。

（六）信息可控交換

以統一規劃的信息資源目錄為數據標準，內置通用適配器，自動支持數據庫同步，而對于特殊的傳輸需求，支持定制開發專用適配器，根據業務需求，建立數據通信防護策略，靈活配置抽取和推送鏈路，實現信息資源全程可監管的抽取和推送。

（七）網絡接入控制

通過網絡接入控制系統，實現從二層管控到每個工業以太網交換機端口的接入控制，對交換機端口和IP 地址進行集中管控；針對可信設備建立網絡訪問“白名單”和入網檢測，確保設備合規可信才能入網；對違法和嘗試入網等異常行為進行持續偵聽和記錄，實現全過程行為日志審計。

通過幾年的實踐，中國航天系統科學與工程研究院三所的工控安全互聯系列產品為眾多客戶提供了優質的服務，完成了多項精品工程。在未來的發展中，我們將初心不改、使命如山、搶抓機遇、迎接挑戰，努力打造信息安全綜合服務保障能力，支撐好航天強國建設，為我國網信事業的發展而努力！