我國軍工行業工控安全及防護策略研究

孫宇健 梁光成 杜興林 佟 軼 /文

隨著兩化深度融合、“互聯網+”行動計劃的深入推進，越來越多的新型技術被應用于軍工行業，極大提升了軍工企業的研發、生產及制造能力，但也給工控系統帶來了新的安全隱患，工控系統正面臨著前所未有的安全威脅。軍工企業作為國防科技工業重要力量，肩負著富國強軍的神圣使命，更應該高度重視工控系統安全問題。

軍工行業工控系統的特點

工控即工業自動化控制，是指使用計算機技術、微電子技術、電氣等手段使工廠生產和制造過程更加自動化、效率化、精確化，并具有可控性及可視性。

工控系統構成復雜，主要包括過程控制系統、數據采集與監視控制系統、分布式控制系統、可編程邏輯控制器、數控系統、遠程終端單元等部分。過程控制系統用于保證生產過程的參量為被控制量，使之接近給定值或保持在給定范圍內；數據采集與監視控制系統可以對現場的運行設備進行監視和控制，以實現數據采集、設備控制、測量、參數調節及各類信號報警等各項功能；分布式控制系統是由過程控制級和過程監控級組成的以通信網絡為紐帶的多級計算機系統，其主要作用是分散控制、集中操作、分級管理、配置靈活及組態方便；可編程邏輯控制器是專為工業生產設計的一種數字運算操作的電子裝置，采用一類可編程的存儲器，用于其內部存儲程序，執行邏輯運算、順序控制、定時、計數與算術操作等面向用戶的指令，并通過數字或模擬式輸入/輸出控制各種類型的機械或生產過程；數控系統主要用于數字化控制精密機械加工、編制加工程序；遠程終端單元負責對現場信號、工業設備的監測和控制。

由于行業自身的特殊性及其管理、技術等因素限制，軍工行業工控系統存在更多的安全風險。軍工行業工控系統涉及生產制造、體系仿真、測試試驗及生產輔助等多個方面的國防科研生產任務，在工控網邊界、數據傳輸安全、工控設備物理安全、管理及審計等方面都具有特殊性，維護工控系統安全的任務更加艱巨，意義更加重大。

工控系統面臨問題及安全風險

工控網邊界軍工企業工控網為非密網，一般采用與涉密網物理隔離方式，主要存在問題及安全風險：一是信息流轉煩瑣。工控網內的業務應用系統與涉密網之間主要依靠三合一導入導出設備來進行數據交換，交換流程煩瑣且效率低下。二是管理成本高。由于工控網絡與涉密網之間物理隔離，隨著兩網之間信息交換數據量不斷增長，通過三合一導入導出設備操作日益頻繁，人工管理成本不斷提升，安全保密風險也不斷增大。三是信息無法實時同步。生產過程中部分加工任務的實時性要求較高，采用“三合一”方式進行數據交換，加工狀態不能及時更新，科研生產人員和決策層不能對生產任務及時把控。四是缺乏防病毒、入侵機制。工控網邊界缺乏防病毒及入侵檢測機制，工控設備大多采用封閉系統無法安裝殺毒軟件，一旦病毒進入工控網，會給工控設備帶來嚴重安全隱患甚至發生嚴重事故。

數據傳輸安全工控網數據通信大多采用標準協議，應用于軍工行業缺乏安全性：一是泄密風險。軍工行業工控系統在控制指令、加工文件等數據傳輸過程中，大多采用國際標準的專用通信協議，此類協議大部分以明文方式進行傳輸，存在重要加工文件、控制指令被竊取風險。二是缺乏訪問控制機制。工控網設備之間缺乏有效的身份鑒別及訪問控制機制，對數據來源沒有可信性認證，存在被外來設備入侵風險。三是缺乏對傳輸數據控制。缺乏對工控網內數據篩查、控制機制，無法識別并阻斷非法指令、非法文件的傳輸。

工控設備物理安全工控設備本身的外部接口復雜、難以監管：一是接口安全。工控設備接口豐富，常用有網口、串口及USB 接口，有的設備同時存在多種接口，增加了工控設備防護難度，尤其是USB存儲介質不受控，極易導致工控設備感染惡意代碼，或造成泄密隱患。二是維修管理。部分進口工控設備需要聯網進行故障診斷，外來維修人員因技術保密需要使用自帶計算機進行診斷維修，存在泄密隱患。三是無線模塊。外購工控設備大多帶有無線模塊，如果不拆除會帶來安全隱患。

管理及審計目前軍工行業的工控網管理及審計制度大多不夠完善：一是管理制度。軍工企業普遍對工控網及相關設備管理不夠完善，沒有體系化的管理流程。二是培訓體系。缺乏對相關人員系統化的安全培訓，操作人員不規范操作問題時有發生。三是審計記錄。缺乏對相關人員的設備使用、維修操作、服務器配置等進行統一審計，發生安全事件無證可循；對設備的日志缺乏統一管理，使得工控系統事件不能實現關聯分析，不利于威脅防范和事后追查處理。四是缺乏備份機制。缺乏統一的應急響應機制及備份策略，發生故障存在重要數據覆滅風險。

軍工工控系統安全防護策略

軍工行業工控系統安全防護應遵照《軍工涉密工業控制系統安全保密管理要求》《軍工涉密工業控制系統安全保密技術防護通用要求》及系統安全保密總體架構，同時參照等級保護體系、分級保護體系等相關要求，對工控設備進行終端防護，著力提高工控網絡邊界防護能力，實現加工數據從工控網絡到涉密網絡單向導入的安全防護功能。

加強工控網邊界防護要在工控網絡與涉密網絡之間建立隔離安全域，并部署單向數據安全傳輸設備和相關代理服務實現工控網與涉密網之間數據安全交換。一是所采用的單向信息安全交換系統及設備應滿足國家保密標準相關要求。二是在信息安全交換系統及設備中對上行和下行傳輸數據進行基于密標的檢測和管控，對下行數據進行審計防止高密低流，同時對傳輸數據進行審計及完整性校驗。三是基于黑名單、白名單機制，對上行和下行的傳輸數據進行類型、內容、防病毒及入侵檢查，支持異常信息報警，進行安全審計。四是單向信息安全交換系統及設備應采用私有協議，并加密傳輸。

加強工控網數據防護一是劃分安全域。域間采取隔離防護措施，設置訪問控制策略，工控設備上線前進行必要的安全檢測。二是身份鑒別：通過設備的IP、MAC 地址等信息建立可信主機白名單，非白名單內設備不允許通信。三是文件防護。解析工控網文件傳輸協議，通過文件類型、文件內容、文件大小等特征對傳輸文件合法性進行判別，杜絕木馬、病毒等非法文件在工控網內的傳播，同時防止涉密文件外泄。四是控制指令防護。解析出傳輸數據中的控制指令，建立控制指令黑名單機制，發現黑名單內的指令進行攔截并記錄日志，保護設備運行安全。

加強工控設備物理防護一是端口防護。通過專用防護設備對工控設備的網口、串口及USB 等接口進行監控授權，對于數據傳輸端口要對其傳輸的文件、指令等數據進行篩查，發現非法數據及時阻斷并上報日志，對于其他閑置端口監管其狀態，防止被不法分子利用。二是操作/維修。對工控設備的操作、維修進行統一記錄并生成日志文件，便于后期審計，如果是外來人員操作需要本單位相關人員全程陪同。三是無線模塊。在不影響設備使用的情況下，應當拆除無線模塊；對于功能需要而無法拆卸的情況，應當采用無線信號屏蔽、無線信號干擾及無線信號監測等方式，如采用安全無線管控系統，避免無線信號傳遞信息到防護區以外。四是對工控網中U 盤、筆記本等外部連接設備進行統一管理，并定期進行殺毒等安全監測。

規范管理及審計制度一是制定工控設備管理制度。針對工控設備全生命周期各個環節的安全風險，建立體系化的管理流程，重點防范外部非授權介質、維修設備（或軟件）等不安全因素與工控設備直接或間接相連接，以形成攻擊點或攻擊通道，保障工控設備本體的安全。二是制定工控設備備份制度。針對工控設備備份及備份數據建立體系化的管理流程，確保工控設備關鍵參數及時備份，備份數據管理得當。三是建立完善的培訓體系。對涉密人員、系統管理員、網絡運維人員進行培訓，并監督日常工作執行情況。四是聯網設備加強管理。將光纖收發器、串口轉換器等聯網設備放置在工控設備電柜中，工控設備電柜鑰匙指定專人管理，降低泄密風險。五是建立集中管控及審計制度。對工控系統設備進行集中管理、狀態監控，并對運行日志、報警日志、操作記錄及維修記錄等信息集中儲存管理，并可集中分析與展現。

軍工行業工控系統安全是關系國家安全的重大戰略問題，隨著安全問題逐漸暴露，軍工行業工控系統的安全防護刻不容緩。軍工企業應該以建設國防事業的標準和力度發展工控安全產業，建立完備的工控網絡安全體系，切實提高軍工行業工控系統的防護水平，筑牢網絡安全屏障，推進網絡強國建設。