針對高保密制造業的信息安全方案設計研究

馮宇

摘要：高保密制造業在自動化轉型過程中，必然會面臨信息安全問題。根據現場的具體需求，我們首先要初步確定硬件和軟件架構，并評估架構中可能存在的各類風險項。文章通過以下措施：1） 增設硬件防火墻、子節點交換機，管理局域網內所有設備的數據流；2） 考慮有限條件內的AGV通信方式，選擇基于紅外光的近場通信技術；3） 軟件間固定接口、交互內容加密；4） 軟件內部使用身份權限管理、數據備份策略，多方位保障信息安全。

關鍵詞：信息安全；架構；接口；加密；備份策略

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2024）08-0091-03

開放科學（資源服務）標識碼（OSID）

0 引言

據工信部2021年發布的統計數據，中國已連續十一年成為世界第一制造業大國。然而，在工業增長值持續上升的表象下，我國采用的OEM生產方式仍使我們在國際垂直分工中處于全球價值鏈（GVC） 的底端。因此，如何提升制造環節的附加值，進而提高我國在GVC中的地位，已成為當前亟待解決的問題。由于歐美國家原始知識產權的掣肘，中國短期內難以大規模轉變制造業OEM模式。為降低生產成本，實現資本積累，制造業正由產業化向自動化，甚至智能化轉型。以廣汽集團、上汽集團、一汽集團為主導的汽車行業，其龍頭企業已在不同程度上實現了自動化。相比之下，船舶、航空航天等高保密制造業仍處在自動化的初級階段。

制約高保密制造業信息化進程的關鍵因素之一是其產品的特殊性。高保密行業產品的相關信息，包括設備、零部件、工藝、供應鏈等，均有嚴格的密級劃分。對于涉密信息，原有的傳遞方式多為“擺渡”，即利用專用設備以特定方式采集、存儲后，由人員攜帶至指定目的地，再以特定方式傳出。這種方式的缺點在于傳遞效率極低。在自動化改造過程中，我們將盡可能減少人工作業，提高信息傳遞效率。此時，需要解決的關鍵問題變為如何確保自動傳遞過程中的信息安全。

1 概述

以國內某所某型產品生產線為例，其產品相關信息最高密級為“內部”，網絡布設為廠內局域網。出于防爆要求，硬件全為有線連接。該生產線由多個站位組成，每個站位配備不同功能的人機交互設備。站位間利用桁架、AGV作為轉運設備，同時還配備裝卸貨平臺、物料間、中控室。

1.1 硬件架構

各站位終端將信息匯聚至站位級交換機，中控室作為信息中心，內含服務器、工作站等，信息匯聚至中控室交換機，再由站位級交換機傳輸至核心匯聚交換機，整個局域網為環形結構。

局域網與廣域網之間的信息交互經過硬件防火墻隔離[1]，若兩者之間存在密級差異，還可增設單向網閘[2]。

1.2 軟件架構

廣域網中已部署MOM作為上層系統，傳遞基礎信息、訂單信息到局域網中的MES，MES系統建立詳細的工藝路徑，將訂單分解并下發至生產線，同時MES在生產準備作業時，發送出、入庫需求至WMS，參與線端庫管理，在生產過程中，采集各類設備（含PLC） 信息，對數據采集、分析后，反饋至上層MOM系統。整個產品流轉過程中，MES將轉運需求發送至RCS，參與RCS對AGV的調度。

MOM與MES之間通過ETL/Web Service的方式交互，MES與下位機（PLC、WMS、RCS） 通過Modbus、OPC、Web Service等通信協議交互。

圖2? 軟件交互框架圖

2 硬件分析

根據使用目的，可將硬件分為三類：網絡硬件、應用硬件、存儲硬件。網絡硬件包括：交換機、防火墻；應用硬件包括：主機設備、立體庫、AGV、桁架、各類傳感器；存儲硬件包括：數據服務器、數據備份服務器、應用服務器，承載各類軟件，將在軟件分析時著重論述。

2.1 網絡布設

局域網采用環網結構，設計之初已充分考慮到傳輸的安全性。鑒于某型產品的特性為小批量多批次，生產過程中的數據量相對較小，中央節點的核心匯聚交換機負荷足以滿足需求。

子節點中不使用集線器，而是采用帶ARP管理的交換機。通過導入設備的IP和MAC地址，可以針對靜態地址表設置安全策略，具體如下：

1） 限制所有設備的網絡訪問權限；

2） 監控設備上網行為；

3） 設定流量上限，頻繁出現非正常上網行為的設備可做特殊限制。

除了部署安全策略外，交換機對組網的整體穩定性也有較多益處：

1） IP地址基于網絡拓撲，容易更改；而MAC地址屬于出廠燒錄，綁定后可進一步確保設備通信地址的唯一性。

2） IP地址實行分段管理且固定，這方便了管理端PC在局域網內部進行遠程連接，且在訪問時無需重復驗證用戶信息，從而提升了訪問速度。

3） 未錄入靜態地址表的設備將無法接入局域網，這能有效防止非授權訪問。

4） 系統通訊端口限制：系統在本地網絡上與其他系統的通信僅限于授權的通信端口。操作軟件未使用的服務通信端口必須在防火墻或路由器的過濾器上進行阻止。

5） 入站互聯網通信端口限制：從互聯網到內部系統的通信僅限于使用授權的通信端口。防火墻過濾器必須阻止操作系統軟件未使用的服務通信端口。所有端口必須默認阻止，僅通過例外允許系統軟件所需的特定端口。

6） 出站互聯網通信端口限制：系統與互聯網的通信僅限于授權的通信端口。防火墻過濾器必須阻止操作系統軟件未使用的服務通信端口。所有端口必須默認阻止，僅通過例外允許系統軟件所需的特定端口。

中央節點的核心匯聚交換機與廣域網之間采用硬件防火墻進行隔離。由于軟件防火墻的包過濾功能無法滿足高保