摘　要

　　随着“中国制造2025”、工业4.0等政策和产业的推进，关系到国计民生和经济命脉的装备制造生产控制系统面临越来严峻的安全现状，亟待解决其自主可控和网络安全方面的问题。国家高度重视重点行业工业控制系统的网络安全，明确要求重要工业控制系统需加强密码应用和促进核心保障，急需研究密码技术在装备制造生产控制系统中的应用，实现生产控制系统的安全可靠，保障关系国计民生的装备制造业的稳定高效发展。

　　0０

　　引　言

　　装备制造业是为满足国民经济各部门发展和国家安全需要而制造各种技术装备的产业总称，承担着为国民经济各部门提供工作母机、带动相关产业发展的重任，是工业的心脏和国民经济的生命线，是支撑国家综合国力的重要基石。装备制造业发展水平是一个国家综合国力的重要体现。国家重大装备制造更是事关国家经济安全、国防安全的战略性产业。中国是工程机械设备的制造大国，几大龙头企业也在国际市场占据重要位置。但是，风光背后，中国装备制造业却有着困扰多年的隐痛——核心的生产控制系统一直受制于人。核心组件主要包括数控机床、机器人、坐标测量机以及PLC可编程逻辑控制器等。相关报告数据显示，目前核心组件80%采用国外的品牌和产品。同时，在大部分生产控制系统建设中，大型系统集成项目都由国外厂商参与实施，并对集成实现细节不予公布。不仅如此，装备制造生产系统大多采用服务外包方式，用户对工控生产运行系统普遍缺乏可控性。国内工控企业运维能力不够，难以全面保障我国的装备制造生产控制系统的安全可靠运行。

　　随着“中国制造2025”、工业4.0及两化融合等政策和产业的大力推动和发展，关系到国计民生、经济命脉和城市运行的装备制造生产控制系统面临越来越严峻的安全现状，亟待解决其自主可控和网络安全方面的问题。国家高度重视重点行业工业控制系统网络安全的现状。自2015年以来，国家各级主管部门连续发布和制定一系列的法律法规，包括《网络安全法》《密码法（征求意见稿）》《关键信息基础设施安全防护条例（征求意见稿）》《网络安全等级保护条例（征求意见稿）》等，均明确要求在关键信息基础设施、重要工业控制系统等场景下加强密码应用，促进网络安全的核心保障，实现重点行业工业控制系统的网络安全和自主可控。

　　无论是产业发展需要，还是政府监管要求，急需研究国产密码技术在装备制造生产控制系统中的应用，实现生产控制系统的网络安全和可控可靠，保障关系国计民生的装备制造业稳定高效发展。

　　01

　　装备制造生产控制系统密码应用的需求研究

　　随着“两化融合”的深度推进，越来越多的网络技术、控制技术应用于装备制造，大量的自动化和智能化设备、软件应用到生产控制系统。比如，ERP、MES及生产管理软件系统应用于生产管理层；DNC数控组态软件系统、设备状态管理系统等应用于生产控制层；数控机床、激光切割机、工业机器人及无线AGV小车等智能装备应用于生产设备层。生产管理层、生产控制层和生产设备层之间也由于有线和无线技术的普及，存在愈加密集的数据和业务交互，典型的网络结构如图1所示。

　　针对典型装备制造企业进行安全调研和评估，分析其生产控制系统存在以下典型的安全风险。

　　（1）现场设备和DNC服务器等终端日常业务操作和外来维护人员的维护行为，均缺乏身份鉴别和审计监管，存在误操作、非法操作等，导致生产数据存在被破坏和现场设备被损坏的潜在危险。

　　（2）DNC服务器和现场设备存储大量加工代码和生产状态数据，均属于重要敏感的生产数据，但是缺乏相应的安全保护措施，存在重要敏感数据被破坏甚至被窃取的风险。

　　（3）ZigBee、无线传感网络等无线技术将被广泛应用在机器人钻铆系统、智能AGV移动小车等军工制造生产控制系统中。无线信号的开放性给非法用户的侦听带来了方便，存在利用无线通信中的假冒标签向读写器发送虚假数据而隐藏真实数据的危险。

　　（4）国家在大力推动重要装备的国产化和自主可控进程。尤其是在军工制造行业，国家重大科技专项04专项（高档数控机床与基础制造装备）在2017年列入新的重大项目——“换脑工程”，即国防军工领域用国产数控系统批量置换进口数控系统，以提升国防军工领域制造装备自主可控能力和安全水平。此外，有必要将国产密码技术融入国产数控系统，形成具有国产密码技术和安全功能的国产化数控系统，从而从生产控制系统底层解决工业控制系统安全问题。

　　结合装备制造生产控制系统的业务特点，为解决目前存在的典型安全风险和问题，分析研究其生产控制系统存在以下密码应用方面的需求。

　　（1）身份鉴别真实性需求。针对装备制造生产控制系统中DNC服务器的访问、数控机床的访问操作等，存在身份验证的需求。

　　（2）生产加工数据机密性需求。针对DNC数控生产环节中重要加工数据的存储、访问过程中的机密性，需保证生产加工敏感数据不被泄露或非授权使用。

　　（3）数据通信安全性需求。针对DNC服务器与其他终端之间、数控机床与外界之间的数据交互，需要确保生产加工数据在传输、存储以及生产的整个生命周期过程中真实完整，保障生产加工数据不被篡改、复制、插入和删除等。

　　（4）无线通信安全需求。在无线通信链路中进行用户身份认证，能防止假冒用户通过无线网络非法侵入装备制造生产控制系统。同时，基于密码的无线链路数据加密保护能防止虚假数据的无线传输。

　　（5）行为监测审计需求。针对DNC服务器的文件操作和网络通信、数控机床的日常操作和维修等敏感重要的行为，结合数字签名和时间戳安全监控审计，可保障生产控制操作行为可追溯、可审计和不可抵赖。

　　0２

　　装备制造生产控制系统密码应用的技术框架研究

　　基于针对装备制造生产控制系统安全风险分析和密码应用需求分析的情况，亟待研究形成针对装备制造生产控制系统密码应用的技术框架，总体如图2所示。

　　2.1　基于密码技术的设备安全

　　根据装备制造生产控制系统中大量存在的数控机床、智能装备端存在的身份鉴别、通信机密性等安全需求，基于密码技术实现设备端的网络安全。

　　（1）对数控机床等设备的USB口、串口和网口的外联接口实施管控，对外界存储介质、连接设备和操作人员实施接入认证，对传输的数据实施加密保护，对传输的协议和数据实施检查和控制，对业务操作实施行为审计。

　　（2）结合主机终端的硬件加密模块实现数据传输的安全性，基于密码技术实现数控机床等设备端的安全防护，针对操作员交互数控机床等设备加工数据、维修人员上传下载维护数据等操作实现身份鉴别和机密性的需求[2]。

　　图3为装备制造生产控制系统设备安全密码应用图。

　　图3为装备制造生产控制系统设备安全密码应用图。

　　基于密码技术的设备安全技术方案可为生产控制系统中重要的生产和加工设备提供专用保护，解决其外联设备和人员的认证问题，解决其数据访问和传输的访问控制问题。

　　2.2　基于密码技术的终端安全

　　针对装备制造生产控制系统中存在的DNC服务器、操作站等主机终端典型的安全风险，可采用密码技术统一对终端和用户进行管理和监控，统一部署主机的安全配置，统一管理主机的外设，集中审计用户在终端上的所有行为和操作。

　　采用密码技术实现增强型的操作系统登录安全，系统会阻止非法登录，并且对其非法操作行为记录日志上报服务端，为主机终端的操作和行为提供身份鉴别和行为审计。

　　利用虚拟磁盘技术为主机终端提供加密磁盘功能，采用密码技术实现本地存储数据的安全保护，通过虚拟加密磁盘驱动程序在系统底层自动对写入/读出的文件数据块进行加/解密处理，确保文件数据在硬盘等存储介质上始终以密文存在，可靠实现对敏感数据的安全保护。

　　图4为装备制造生产控制系统终端安全密码应用图。

　　2.3　基于密码技术的网络安全

　　2.3.1　网络和边界安全

　　生产管理层和生产控制层之间采取符合国家要求的互联方式对通信数据实施隔离控制，同时对隔离设备和操作人员实施基于密码算法的身份认证。在生产控制层和生产设备层的各个安全域之间实施通信防护和基于密码算法的身份认证和访问控制，对数据通信实现基于密码算法的加密传输。

　　在生产控制系统内部对无线设备的接入实施基于密码算法的身份认证，对无线链路的通信实施基于密码算法的加密防护。

　　2.3.2　统一密码服务

　　根据装备制造生产控制系统的安全需求和层次结构，选取部署统一密码服务和公共密钥基础设施，包括适当选取适合生产控制系统的认证和加密需求的子服务，为生产企业用户和设备提供公钥加密和数字签名服务等。

　　0３

　　装备制造生产控制系统密码应用的仿真攻防技术研究

　　装备制造生产控制系统实施密码应用的技术、产品和方案均处于前期阶段。工业控制系统中应用密码技术和安全产品必须要经过充分的仿真测试和离线验证，确认有效后方能投入到生产控制系统中实施部署和应用。所以，研究针对典型装备制造生产控制系统密码应用的仿真攻防技术十分必要。

　　首先需要基于典型装备制造生产控制系统搭建工业控制系统信息安全仿真试验平台。平台以真实工业控制系统为基础，还原真实工业现场。结合装备制造生产控制系统存在的典型安全问题和风险，模拟攻击行为和防护措施，展现攻击效果，验证防护措施的有效性，帮助密码应用产品的离线验证，并提升行业用户综合防护能力。

　　结合装备制造工业控制系统在DNC服务器和数控机床等方面存在的安全风险，利用系统脆弱性、协议、应用软件的漏洞，对DNC网络系统进行攻击验证研究，包括敏感文件窃取、篡改生产数据等攻击场景的搭建。

　　图5为装备制造生产控制系统密码应用的仿真攻防平台。

　　（1）敏感文件窃取的仿真攻防研究

　　在仿真装备制造生产控制系统的DNC网络系统基础上，模拟现场生产网络接入非法设备。恶意攻击者找到接入点访问整个生产控制系统，利用操作系统的协议级高危漏洞获取系统操作权限，进而获取文件目录访问权限，窃取重要敏感信息。具体攻击流程如下：利用攻击渗透软件对设备进行端口扫描获取系统开放端口，通过操作系统漏洞向该端口发送特制攻击代码包获取该终端操作系统权限，进而获得系统文件权限，实施对系统配置文件、工程设计文件的窃取。

　　在窃取文件的仿真攻防基础上，可重点针对装备制造生产控制系统终端安全密码应用的技术和产品实施离线验证和测试。

　　（2）篡改数据攻击的仿真攻防研究

　　针对装备制造生产控制系统的数控机床等重要设备的攻击，包括多种常规的网络攻击方式和非常规的针对数控设备的攻击方式的验证，如中间人攻击、嗅探攻击以及破坏性攻击等。

　　当DNC服务器向机床模拟设备端发送NC代码时，攻击者可以利用嗅探和篡改攻击软件，将NC代码牵引到攻击机上进行内容篡改。例如，关键的参数值变大或者变小，都会给零件的最终成型带来严重影响。被篡改过的NC代码被传送到机床模拟终端，这时机床接收到的NC代码文件已被篡改，通过机床加工切削模型可以清楚展现NC代码修改前后工件加工形状的变化，达到对网络攻击验证的效果。

　　在篡改数据的仿真攻防基础上，可重点针对装备制造生产控制系统设备和网络安全密码应用的技术和产品实施离线验证和测试。

　　0４

　　结　语

　　基于上述装备制造生产控制系统密码应用技术框架，配套符合国家规范要求的密码应用、安全产品及相应的安全管理措施，通过在典型装备制造企业中以试点示范的方式验证和熟化，促进建立符合装备制造生产控制系统需求的密码应用安全体系，从而保障生产的全生命周期安全可靠运行。