0 引言

    自2010年震网(Stuxnet)病毒爆发后，国家非常重视国家基础设施的信息安全问题。此后在2012年6月，国务院发布《国务院关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号)》中明确要求：“保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。”

    本文介绍了为XX企业智能工厂提供的信息安全解决方案。工业控制系统拥有提高效率、节能降耗、节省人力成本、促进产业升级的明显效果。通过建立全面的工业控制系统信息安全保障体系，达到保障工业控制信息安全运行、工厂安全生产的目的，并由此减少企业的信息安全事件，保障商业秘密不外泄。

1 项目背景

    在2015年12月，工信部印发《2015年工业行业网络安全检查试点工作方案的通知》。在反复检查调研后，了解到先进制造、轨道交通、电力、石油石化等各行业工业控制系统绝大多数采用国外的控制系统，并且面临着实际因U盘管理不规范、远程运维不规范、边界未隔离等原因造成的网络病毒蠕虫、误操作或泄密及影响生产等问题，迫切需要实际的防护指南进一步指导。

    因此，为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》，保障工业企业工业控制系统信息安全，工信部制定《工业控制系统信息安全防护指南》并于2016年11月3日发布，要求地方工业和信息化主管部门根据工业和信息化部统筹安排，指导本行政区域内的工业企业制定工控信息安全防护实施方案，推动企业分期分批达到本指南相关要求。

    伴随两化融合的实施，先进制造业生产制造中的信息安全问题显得越来越突出，一旦网络被攻陷，不仅会破坏精密机床设备，也会泄密企业的技术信息，一方面损坏企业形象，另一方面会对国家和社会造成严重不良影响。

    XX企业主要从事轨道交通车辆关键零部件研发、设计、制造和服务，为保护自身网络及核心技术安全，计划通过本次项目对网络进行改造，提升整体网络安全防护能力^[1-2]。

2 现状与风险概述

    XX企业拥有多条生产轨道交通零部件的生产线，生产工序覆盖从冶炼到轮对总成全部流程，可以满足轨道交通机、客、货、动全系列及工矿冶金等产品的制造需求。

    企业已成功实施MES、OA、LIMS、ERP等信息管理系统,并且将具有感知、监控能力的各类采集、控制传感器或控制器，以及移动通信、智能分析等技术融入到了工业生产过程各个环中。还基于各种网络互联技术，从工业设计、工艺、生产、管理、服务等涉及企业从创立到结束的全生命周期串联起来。通过这些积累下来的数据还可以实现产品全生命周期的管理，为打造先进的全自动数字化智能工厂打下夯实的基础。所以安全的、健康的网络环境就显得尤为重要。

    经过深入企业进行现场调研和技术交流发现，该企业生产车间的办公网、生产网通过核心交换机连在一起。各车间与业务相关的应用系统和辅助管理系统、服务器、主要网络设备均运行在同一网络内。生产网与办公网仅通过VLAN和ACL等策略进行网络访问进行限制或隔离，暂无其他相关网络安全防护措施。

    经实际现场访谈与勘察发现，工业控制系统面临的信息安全问题主要有以下几方面：

    (1)网络核心节点互联互通，未进行安全加固，缺乏安全管控设备，存在严重的信息安全隐患；

    (2)生产车间多台上位机、服务器被恶意攻击，在车间发现有设备关联境外IP、域名，具体威胁影响不明确；

    (3)高精类数控设备通过使用U盘或连入网络传输数据，可能会被传染病毒或恶意代码，进而严重影响生产的产量、质量及效率。

    (4)未对工业控制网络区域间进行隔离、恶意代码、异常监测、访问控制等一系列的防护措施，很容易发生病毒或攻击，影响全部车间甚至整个企业。

    (5)未对操作站主机及服务器端进行必要的安全配置，使得一旦能接触访问到该主机则被攻击的成功机会很高。

    (6)对相关人员的操作未进行审计记录，一旦发生安全事件后很难取证。

    (7)未对设备及日志进行统一管理，使得相关工控系统事件不能统一收集、分析，不易关联分析设备间的事件和日志，难于及时发现复杂的问题。

3 系统安全防护总体防护设计

3.1 总体设计

    针对企业发现的安全风险,按照轻重缓急原则，从以下五个方面进行整改：

    (1)对制造企业网络按照信息安全等级划分成两大部分：办公网与生产网。两网之间采用工业网闸隔离，其中办公网分为办公核心区、DMZ区(Demilitarized Zone，中文名称为“隔离区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区)、办公服务器区、安全运维区、办公区、视频专网多个区域；生产网分为生产网核心区、生产服务器区、安全管理区及各生产车间区等多个区域。

    (2)在办公核心区部署防火墙、入侵防御及防病毒设备，避免互联网侧及集团网络侧的安全威胁向企业内部渗透，对企业对外网络应用服务进行安全监测。

    (3)对企业重点数据服务器进行改造，统一运行在应用服务区进行重点安全防护，对重要数据服务器的数据库操作行为进行审计及管理。在车间部署工控漏扫系统定期对生产网络中的工业设备、重点服务器及操作终端进行脆弱性检查，防止因系统漏洞造成的安全隐患出现。

    (4)对重点生产区的接入、汇聚层交换机进行网络改造，将办公终端与生产网络设备进行分区改造，并在各生产区部署工业防火墙进行安全隔离；在各终端部署终端安全防护系统，避免病毒向核心生产区渗透，以保障企业工控系统安全稳定运行。同时对生产网络内部入侵行为进行监测与审计。

    (5)对生产区无线接入网络部署无线安全管理系统对无线设备进行安全防护，杜绝仿冒AP或非法AP在厂区出现，防止因无线造成网络渗透或病毒袭扰。

    (6)对其业务中心网络设置安全管理区，对整体信息安全进行监控与审核。

3.2 方案介绍

    安全方案包括安全域划分、现场工控设备安全防护、网络安全防护、无线安全防护、控制系统脆弱性评估、应用和数据安全防护以及建立工控信息安全管理平台等，由于篇幅原因，以下着重介绍作者参与设计的网络安全防护的内容。

    网络安全防护对办公网及生产控制层网络进行安全防护，主要是对网络边界及安全域边界进行访问控制，对网络内部进行异常监测及数据库审计；防止木马病毒蠕虫感染进入工控网中,并且及时发现网络异常行为。主要安全防护设备部署如图1所示。

3.2.1 出口防火墙与区域防火墙

    为实现XX企业的网络出口安全及网络安全域间隔离要求，部署区域防火墙进行安全防护，与集团网络进行隔离，防止非法访问、网络入侵及病毒侵扰；利用一体化的安全防护设备实现统一安全防护的目的，提供网络安全防护能力。

    出口一体化安全网关采用了业界最先进的多核多线程并行运算架构、业务流解析引擎和一体化的软件设计，集成防火墙、VPN、反垃圾邮件、抗拒绝服务攻击等基础安全功能，具有功能与性能兼具的入侵防御(IPS)、防病毒、内容过滤、应用识别、URL过滤、Web安全防护等综合应用安全防护能力，功能全开应用层性能业界领先，同时单位体积性能极高，体积小、耗能低、易维护。此外，更提供了基于云计算技术的智能防护功能，帮助用户抵御日益复杂的安全威胁。防火墙架构部署如图2所示。

3.2.2 工业网闸设备

    改造前该企业办公网与生产网间未采用安全访问控制措施，来自不同地址的网络流量可以访问企业内所有网络地址，安全性非常低。

    针对该区域间的安全需求，区域间安全防护采用网闸进行办公网与生产网进行安全隔离，限制不必要的访问网段，提高网络安全强度，用于企业内部网络的访问控制。

    安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立主机系统之间，不存在通信的物理连接和逻辑连接，不存在依据TCP/IP协议的信息包转发，只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式，不具备任何通用性。

    网络安全隔离与信息交换系统要想做好防护的角色，首先必须能够保证自身系统的安全性，具有极高的自身防护特性，可以阻止来自从网络任何协议层发起的攻击、入侵和非法访问。网络之间所有的TCP/IP连接在安全隔离与信息交换系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的通信安全与自身安全性。工业网闸示意图如图3所示。

3.2.3 工业防火墙设备

    工业防火墙设备全防护装置会将数据包会话接收下来，然后进行协议解析，再判断协议、端口及IP地址等内容是否在白名单中，如果在白名单列表中，则继续判断数据格式是否正确，里面是否包含病毒，如果确保正确才通过并下发到工业控制网络并记录；如果不在白名单列表中则就直接拒绝，同时也会记录日志。防火墙设备部署图如图4所示。

3.2.4 工控网异常监测系统

    工控网异常监测系统主要负责采集工控网络中全面数据包，最大可支持2.5G网络流量的实时接收采集，保障工控数据采集的完整性。通过在旁路镜像获取到网络数据包后，对数据包内容进行基于扩展NetFlow的流量分析技术的处理，转换成独有的vFlow。对于基本参数字段采用了标准NETFLOWV5的统计字段；对于TCP层和应用层的扩展参数，则扩展插件框架，来支持了更多的应用层协议识别，以支持更多工控协议。

    管理平台系统主要针对采集信息的分析处理及存储，对网络流秩序自动学习建立白名单机制以及工控系统合规性核查、根据事件与策略配置生产告警、工控设备管理、工控设备性能监控、工控漏扫、基线核查、工控风险评估等功能；同时提供用户界面友好的组态配置界面。技术架构图如图5所示。

4 结论

    通过建立全面的工业控制系统信息安全保障体系，达到保障工业控制信息安全运行、工厂安全生产的网络安全的技术要求，减少企业的信息安全事件，保障商业秘密不外泄，实现了对工控网进行安全区域划分并进行安全防护，由此保证了生产控制网和生产管理网的通信安全。并通过实时收集信息安全相关信息建立相关的工控系统安全制度流程，提升企业应急响应能力和信息安全事件处理效率。

    通过本方案的实施，还可以及时发现外发数据中潜藏的敏感信息，并能够及时阻止敏感信息的外泄行为，帮助企业发现本单位内的敏感信息泄露事件，解决了传统防火墙、UTM及IDS束手无策的敏感信息防泄露的问题，其次可以有效减少核心信息资产的破坏和泄漏，从而保护核心信息资产以及数据安全。并且能够防护恶意代码的侵扰，精确识别并防护常见的Web攻击。同时也可以清除终端本地的病毒及木马，加固了终端自身安全性，从而大量减少了病毒、木马等的入侵行为，并减少了网络出现故障的几率。从各个角度保护了网络的安全。

参考文献

[1] 郭肖旺，闵晓霜，韩庆敏.基于自适应深度检测的工控安全防护系统设计[J].电子技术应用，2019，45(1)：85-87，91.

[2] 丰大军，张晓莉，杜文玉，等.安全可信工业控制系统构建方案[J].电子技术应用，2017，43(10)：74-77.

作者信息:

李仕奇，韩庆敏，杜军钊，李末军

(华北计算机系统工程研究所，北京100083)