軍工工業控制系統邊界安全防護研究

◆費淼 王丹 嚴靜 王大秋 李逸翔

（中國核動力研究設計院 四川 610213）

軍工行業涉及各類武器科研裝備的設計、試驗和生產，是推動國防建設、保障國家安全的重要力量。工業控制系統在軍工行業的廣泛使用大幅度提高了產品研制、生產的質量和效率，但同時由于其通用性、開放性不斷增強，工業控制系統的安全性問題也逐漸顯現[1]。典型安全事件如2010年震網病毒攻擊伊朗核設施導致其1000多臺離心機癱瘓，2014 年德國鋼鐵廠遭受APT 攻擊導致整個生產線停止運轉。特別地，隨著信息化與工業化的深度融合，軍工工業控制系統網絡已打破過去物理隔離的網絡連接方式，向與企業辦公網進行互聯互通的方向發展[2]。在此趨勢下，軍工工業控制系統的安全問題不僅關乎工業控制系統自身的安全運轉，還可能會影響企業辦公網的安全。

為提高軍工工業控制系統的安全性，不少學者對軍工工業控制系統面臨的安全問題進行分析與研究。文獻[3]對軍工制造工業控制系統信息安全現狀以及面臨的信息安全威脅進行分析，探討了應對國外產品漏洞、后門以及通信協議安全問題的策略。文獻[4]詳細分析了軍工工業控制系統的信息安全風險與脆弱性，并對軍工工業控制系統的安全防護目標和技術措施進行了研究。文獻[5]對新業態環境下軍工工業控制系統信息安全風險進行分析，并提出了提升軍工工業控制系統信息安全防護能力的對策。上述研究均針對軍工工業控制系統面臨的安全風險及現狀提出了相應的安全應對方針和策略，在一定程度上為軍工工業控制系統安全防護建設提供了參考，但缺乏對兩化融合形勢下工業控制系統首要面臨的邊界安全問題的分析，也未提出相關的安全防護策略。邊界防護是保障軍工工業控制系統安全的重要部分，邊界安全是整個軍工工業控制系統安全的基礎和前提。如果無法對邊界出現的違規設備、違規行為等進行及時阻斷、處理，整個工業控制系統的安全就會受到影響。

鑒于以上原因，本文以“縱向分層、橫向分區”為依據，根據兩化融合形勢下軍工工業控制系統邊界面臨的安全風險，對軍工工業控制系統邊界安全防護需求進行分析，構建了由“跨層通信邊界、內部區域邊界”組成的軍工工業控制系統邊界安全防護框架，為兩化融合趨勢下軍工工業控制系統的安全防護建設奠定基礎。

1 邊界安全防護需求分析

軍工工業控制系統網絡架構如圖1 所示，可分為三個層次：企業資源層、制造執行層和工業控制層。企業資源層位于企業辦公網，對于軍工單位，企業辦公網一般為涉密網。制造執行層和工業控制層位于工控網。為應對繁重科研生產任務下日益增長的數據交換需求，工控網與企業辦公網的數據交換方式逐步從人工刻錄光盤的離線數據交換方式向與其互聯互通的方向發展。在此情況下，軍工工業控制系統邊界面臨的安全風險主要包括以下4 個方面：

圖1 軍工工業控制系統網絡架構示意圖

（1）系統物理隔離被打破，系統非法連接到互聯網及其他公共信息網絡的風險；

（2）工控網與企業辦公網進行數據互聯互通時，防護措施不恰當，導致數據流向不可控、企業辦公網絡安全以及工業控制系統自身安全受到威脅的風險；

（3）未對各區域進行合理劃分、邏輯隔離，系統區域邊界模糊、訪問控制管控不足，導致一旦發生惡意攻擊或病毒感染可能影響其他設備或區域正常運轉的風險；

（4）USB 設備以及外部設備管控不足，系統感染惡意代碼或重要信息被泄露的風險。

根據邊界安全風險分析結果，軍工工業控制系統的邊界安全防護需求如下：

（1）訪問控制與邊界隔離需求：邊界劃分明確，同時部署相關邊界隔離設備控制工業控制系統各層次之間以及各層次內部安全區域之間的訪問；

（2）入侵檢測與防御需求：對內部攻擊、外部攻擊和誤操作進行實時防護，在系統受到危害之前進行攔截和防御；

（3）病毒防護需求：在網絡環境下，病毒可以通過其自身的復制能力和超強的感染力對系統進行破壞，具有不可估量的威脅力與破壞力，因而需部署防病毒系統抵御病毒的橫行；

（4）信息交換需求：系統需從外部導入的信息包括升級程序、補丁、需要導入的文檔資料等，系統需要導出的信息包括被允許導出的文檔、數據等。

2 邊界安全防護設計

2.1 總體框架

根據軍工工業控制系統的網絡架構以及邊界安全防護需求分析結果，本文從“跨層通信邊界”和“內部區域邊界”2 個方面給出了軍工工業控制系統邊界安全防護措施。軍工工業控制系統邊界安全防護總體設計遵循安全性、合理性、邊界可控和整體性原則，旨在保證跨越邊界的訪問及數據通信可控制、可監視、可追溯，總體框架如圖2所示。

圖2 軍工工業控制系統邊界防護總體框架

2.2 跨層通信邊界

跨層通信邊界包括企業資源層和制造執行層之間的通信邊界以及制造執行層與工業控制層之間的通信邊界。企業資源層與制造執行層之間的通信屬于跨網通信，對于軍工單位而言，企業辦公網往往含有涉及國家秘密的敏感信息，跨網通信既要防止企業辦公網的敏感信息進入工控網，也要防止病毒進入工控網破壞系統的正常運行。在工控網與企業辦公網邊界，通過部署單向數據安全傳輸設備和相關代理服務構建采集數據交換區和結果數據交換區。工控網通過數據采集系統將實驗裝置、生產裝置產生的數據通過采集數據發送服務器傳輸至單向數據安全傳輸設備，進而傳輸至辦公網的采集數據接收服務器。企業辦公網通過數據綜合管理系統、ERP 系統等對采集數據進行分析、處理，并將分析結果通過結果數據發送服務器發送至單向數據安全傳輸設備，進而傳輸至結果數據接收服務器，實現對工控網實驗以及生產過程的指導與控制。單向數據安全傳輸設備只允許特定格式文件的傳輸，并且會對傳輸文件進行殺毒處理。在工控網安全監管區部署邊界監控審計系統對跨越邊界的數據交換行為以及內容安全進行審計和管理，保證數據交換的信息明確、過程完整、歷史可追溯。

在采集數據交換區邊界、結果數據交換區邊界以及制造執行層與工業控制層之間分別部署邊界防火墻。防火墻策略配置按“策略最小化原則”，將訪問控制規則設定到“IP 地址+服務端口”的粒度，禁止所有未被授權的訪問。特別地，制造執行層與工業控制層之間的邊界防護墻需根據其通信協議選擇防火墻類型，比如如果使用的是Modbus 協議，則需要選擇工業防火墻。

2.3 內部區域邊界

依據設備用途、信息的重要性在制造執行層內部劃分安全監管區、應用服務區、用戶終端區和輸入輸出區。安全監管區主要包括主機安全管理、殺毒軟件、漏洞掃描、邊界監控審計等安全管理系統。應用服務區主要包括MES 系統、生產系統、數據庫服務器等應用系統。用戶終端區主要包括需要訪問應用服務區的終端設備。輸入輸出區實現對不能通過采集數據交換區或結果數據交換區輸出或輸入的數據的導入和導出，具體包括一臺輸入機、一臺輸出機和一臺中間機。制造執行層各終端及服務器均需安裝防病毒系統客戶端進行病毒和惡意代碼防護。

安全監管區和應用服務區部署服務器防火墻，防止非授權的訪問和操作，策略配置原則以及細粒度控制同邊界防火墻。核心交換機上旁路部署入侵檢測系統，采集網絡流量，對工控網絡、系統的運行狀況進行監視，及時發現網絡中的可疑行為。在該核心交換機上設置VLAN 的網關地址，通過核心交換機VLAN 和ACL 技術，對用戶終端區和輸入輸出區的終端進行訪問控制，禁止終端之間相互通信，全部通過應用系統進行數據交互。

對于工業控制層，可根據實際業務需求、設備的重要性等劃分不同的生產設備區，并通過在三層交換上劃分VLAN 和使用ACL 技術對各生產設備區進行訪問控制和邊界防護。

為降低軍工工業控制系統非法連接到互聯網及其他公共信息網絡的風險，防止違規外聯事件的發生，采取以下策略：

（1）系統中所有交換機的暫不使用端口均設為Shutdown 模式，同時物理斷開連接；

（2）在各交換機上進行IP+MAC+交換機端口的綁定，客戶端接入網絡時進行MAC 地址認定；

（3）部署主機安全及管理系統，實現對主機終端的移動存儲介質的使用控制、網絡資源的訪問控制、端口設備使用管理、軟件資源的使用控制、非法外聯告警等。

3 結束語

根據兩化融合形勢下軍工工業控制系統邊界面臨的安全防護需求，本文提出了由“跨層通信邊界、內部區域邊界”組成的軍工工業控制系統邊界安全防護框架。其中，跨層通信邊界包括企業資源層和制造執行層之間的通信邊界以及制造執行層與工業控制層之間的通信邊界；內部區域邊界主要指制造執行層內部劃分的各區域的邊界和工業控制層各生產設備區的邊界。本文分別對各邊界給出了詳細的防護措施，為兩化融合趨勢下軍工工業控制系統的安全防護建設奠定基礎。