王丹　王大秋

摘   要：随着工业信息化进程的不断深入推进，军工企业工控系统正逐步从过去物理隔离的网络连接方式向与企业信息系统进行互联互通的系统化、网络化方向发展。针对军工企业工控系统与企业信息系统数据交换过程中企业信息系统存在敏感信息泄露風险的问题，本文对密级标识技术进行了研究，并提出了密级标识技术在网间数据交换过程中的应用框架，确保数据交换过程中无敏感信息进入企业工控系统。

关键词：军工企业工控系统  企业信息系统  密级标识技术  数据交换

中图分类号：D631                                  文献标识码：A                        文章编号：1674-098X（2020）06（b）-0001-02

Abstract： With the continuous advancement of the industrial informationization process， industrial control systems in the military industrial enterprise are gradually moving from the past physically isolated network connection to the systematic and networked direction of interconnection with enterprise information systems. Aiming at the problem of the risk of sensitive information leakage in the enterprise information system during the process of data exchange between an industrial control system and an enterprise information system， this paper makes a study of secret label technology and puts forward an application framework of the secret label technology in the process of data exchange between networks. This framework is able to ensure that the sensitive information cannot be transmitted to the industrial control system during the process of data exchange between an industrial control system and an enterprise information system.

Key Words： Industrial control system; Enterprise information system; Secret label technology; Data exchange; Application

1  引言

军工企业作为国家的战略产业，承担着发展社会经济和推动国防建设的双重重任。为确保军工企业科研成果的机密性以及生产过程的安全性，各军工企业工控系统与企业信息系统之间往往采用物理隔离的网络连接方式，数据交换主要通过人工刻录光盘的方式间接进行。然而，随着军工企业科研生产任务的不断加重，数据交换需求日益增长，原有的离线数据交换方式不仅使得人工管理成本不断提升、信息安全风险不断增大，而且严重制约了产品研制、生产的质量和效率。

为提高军工企业工控系统与企业信息系统之间数据交换的效率和实时性，满足繁重科研生产任务下日益增长的数据交换需求，不少研究者对企业工控系统与企业信息系统之间的数据交换技术进行了研究。谢梅等[1]提出了基于“2+1”安全隔离技术和白名单匹配技术的互联互通方案。程昌云等[2]提出了面向烧结工控网与办公局域网的互联方案。曾凡毅等[3]通过对工控系统与企业信息系统之间的链路安全性进行深入分析，提出了基于单向传输协议的数据安全交换方法。

上述研究虽然在一定程度上为军工企业工控系统与企业信息系统的互联互通建设提供了技术指导，但未考虑互联建设中企业信息系统面临的安全保密风险问题，故无法直接应用到实际的互联建设中。特别地，对于军工单位来说，企业信息系统往往含有关于国家秘密的敏感信息，确保企业信息系统通过数据交换平台传输至工控系统的数据不含敏感信息变得尤为重要。

2  网间数据传输数据安全风险分析

军工企业工控系统与企业信息系统通过数据交换平台连接，数据交换平台主要包含两个模块：采集数据单向交换模块和控制数据单向交换模块，数据交换方式如图1所示。

通过数据采集系统将工控系统中各实验装置或生产装置产生的数据通过采集数据传输服务器传输至数据交换平台，再由数据交换平台中的采集数据单向交换模块传输给企业信息系统中的采集数据接收服务器。企业信息系统收到采集数据后，对其进行一定的处理、分析，将得出的控制数据通过企业信息系统中的控制数据传输服务器传输至数据交换平台，再由数据交换平台中的控制数据单向交换模块传递至工控系统的控制数据接收服务器，实现对实验或生产过程的指导与控制。

由于企业信息系统属于高密级网络，工控系统属于低密级网络，故在控制数据从企业信息系统传递至工控系统的过程中，企业信息系统面临敏感信息泄露的风险。虽然控制数据单向交换模块会对控制数据文件的格式进行一定的限制，但并不能保证符合格式要求的控制数据文件不含有敏感信息。

3  密级标识技术在网间数据传输中的应用

密级标识是一种对电子文档密级进行描述的数字化信息，该信息通过密码认证技术与电子文件进行绑定[4]。一个完整的密级标识应该包括：密级、保密期限、知悉范围和定密依据[5]。对于一个电子文件而言，密级标识应具有唯一性、完整性、不可分离性以及不可篡改性。密级标识可为电子文件的安全保护、访问控制、集中管控、安全交换以及审计跟踪提供易于识别的标记。

为了防止含敏感信息的控制文件传输至工控系统中，对控制文件进行密级标识可以在一定程度上保证文件的高区分度。此外，控制文件的密级标识是由控制文件主体生成，且经定密责任人审批确认，故控制文件的用户身份具有不可否认性，并且密级标识一旦正式确定，更改密级标识必须发起变更申请流程且密级标识只能单向改变。

在军工企业工控系统与企业信息系统的互联建设中运用密级標识技术，所有需要传输至工控系统中的控制文件都必须先进行定密，确定为非涉密文件后，方可传输至数据交换平台，并且数据交换平台只传输具有唯一且不被篡改密级标识的非涉密文件，具体处理流程如图2所示。

首先，发起人根据文件定密相关的定密依据对需要传输至工控系统的控制文件进行定密，确定知悉范围、保密期限等相关信息，完成后提交给定密责任人，由定密责任人对该文件密级进行审核并确认。电子文件的密级标识得到确认后，密级标识技术可以在电子文件的原有图标上叠加相关扩展信息，使电子文件的图标上有明显的密级标识警示。

将经定密责任人审核确认后的控制文件传输至控制数据传输服务器。数据交换平台的控制数据单向交换模块获取控制数据传输服务器上的控制文件，并读取文件的属性信息，判断控制文件是否为涉密文件。如果控制文件为涉密文件，则终止传输;如果控制文件为非涉密文件，则解除密级标识，并发送给工控系统的控制数据接收服务器。密级标识解除后，控制文件变为不带标识的普通文件，可传输至工控系统。

4  结语

根据军工企业工控系统与企业信息系统互联互通的安全保密需求，本文对军工企业工控系统与企业信息系统数据交换过程中企业信息系统所面临的数据安全风险进行了详细分析，并通过对密级标识技术进行研究提出了密级标识技术在网间数据交换过程中的应用框架。该框架不仅可以对电子文件的处理和流向进行追踪和审计，而且可以对从企业信息系统传输至工控系统的电子文件进行密级控制，保证企业信息系统与工控系统数据交换过程中无敏感信息进入工控系统。本文的研究可为解决军工企业工控系统与企业信息系统的互联互通建设中企业信息系统所面临的数据安全风险问题提供指导。

参考文献

[1] 谢梅，刘向东.制造行业工控网与企业内网的安全互联技术研究[A].第三届全国信息安全等级保护技术大会（ICSP 2014）.沈阳：第三届全国信息安全等级保护技术大会论文集[C].2014： 439-445.

[2] 程昌云，管友红.烧结工控网与办公局域网的组网互联[J]. 冶金设备管理与维修，2012（1）：6-7.

[3] 曾凡毅，经小川，孙运乾.基于单向传输协议的网间安全交换技术研究[J].计算机工程，2019（3）：1-9.

[4] 李曼.安全电子文件安全标识的研究[D].西安电子科技大学，2012.

[5] 朱峰.国家秘密界定的法律问题研究[D].复旦大学，2012.