◆费淼 王丹 严静 王大秋 李逸翔

（中国核动力研究设计院 四川 610213）

军工行业涉及各类武器科研装备的设计、试验和生产，是推动国防建设、保障国家安全的重要力量。工业控制系统在军工行业的广泛使用大幅度提高了产品研制、生产的质量和效率，但同时由于其通用性、开放性不断增强，工业控制系统的安全性问题也逐渐显现[1]。典型安全事件如2010年震网病毒攻击伊朗核设施导致其1000多台离心机瘫痪，2014 年德国钢铁厂遭受APT 攻击导致整个生产线停止运转。特别地，随着信息化与工业化的深度融合，军工工业控制系统网络已打破过去物理隔离的网络连接方式，向与企业办公网进行互联互通的方向发展[2]。在此趋势下，军工工业控制系统的安全问题不仅关乎工业控制系统自身的安全运转，还可能会影响企业办公网的安全。

为提高军工工业控制系统的安全性，不少学者对军工工业控制系统面临的安全问题进行分析与研究。文献[3]对军工制造工业控制系统信息安全现状以及面临的信息安全威胁进行分析，探讨了应对国外产品漏洞、后门以及通信协议安全问题的策略。文献[4]详细分析了军工工业控制系统的信息安全风险与脆弱性，并对军工工业控制系统的安全防护目标和技术措施进行了研究。文献[5]对新业态环境下军工工业控制系统信息安全风险进行分析，并提出了提升军工工业控制系统信息安全防护能力的对策。上述研究均针对军工工业控制系统面临的安全风险及现状提出了相应的安全应对方针和策略，在一定程度上为军工工业控制系统安全防护建设提供了参考，但缺乏对两化融合形势下工业控制系统首要面临的边界安全问题的分析，也未提出相关的安全防护策略。边界防护是保障军工工业控制系统安全的重要部分，边界安全是整个军工工业控制系统安全的基础和前提。如果无法对边界出现的违规设备、违规行为等进行及时阻断、处理，整个工业控制系统的安全就会受到影响。

鉴于以上原因，本文以“纵向分层、横向分区”为依据，根据两化融合形势下军工工业控制系统边界面临的安全风险，对军工工业控制系统边界安全防护需求进行分析，构建了由“跨层通信边界、内部区域边界”组成的军工工业控制系统边界安全防护框架，为两化融合趋势下军工工业控制系统的安全防护建设奠定基础。

1 边界安全防护需求分析

军工工业控制系统网络架构如图1 所示，可分为三个层次：企业资源层、制造执行层和工业控制层。企业资源层位于企业办公网，对于军工单位，企业办公网一般为涉密网。制造执行层和工业控制层位于工控网。为应对繁重科研生产任务下日益增长的数据交换需求，工控网与企业办公网的数据交换方式逐步从人工刻录光盘的离线数据交换方式向与其互联互通的方向发展。在此情况下，军工工业控制系统边界面临的安全风险主要包括以下4 个方面：

图1 军工工业控制系统网络架构示意图

（1）系统物理隔离被打破，系统非法连接到互联网及其他公共信息网络的风险；

（2）工控网与企业办公网进行数据互联互通时，防护措施不恰当，导致数据流向不可控、企业办公网络安全以及工业控制系统自身安全受到威胁的风险；

（3）未对各区域进行合理划分、逻辑隔离，系统区域边界模糊、访问控制管控不足，导致一旦发生恶意攻击或病毒感染可能影响其他设备或区域正常运转的风险；

（4）USB 设备以及外部设备管控不足，系统感染恶意代码或重要信息被泄露的风险。

根据边界安全风险分析结果，军工工业控制系统的边界安全防护需求如下：

（1）访问控制与边界隔离需求：边界划分明确，同时部署相关边界隔离设备控制工业控制系统各层次之间以及各层次内部安全区域之间的访问；

（2）入侵检测与防御需求：对内部攻击、外部攻击和误操作进行实时防护，在系统受到危害之前进行拦截和防御；

（3）病毒防护需求：在网络环境下，病毒可以通过其自身的复制能力和超强的感染力对系统进行破坏，具有不可估量的威胁力与破坏力，因而需部署防病毒系统抵御病毒的横行；

（4）信息交换需求：系统需从外部导入的信息包括升级程序、补丁、需要导入的文档资料等，系统需要导出的信息包括被允许导出的文档、数据等。

2 边界安全防护设计

2.1 总体框架

根据军工工业控制系统的网络架构以及边界安全防护需求分析结果，本文从“跨层通信边界”和“内部区域边界”2 个方面给出了军工工业控制系统边界安全防护措施。军工工业控制系统边界安全防护总体设计遵循安全性、合理性、边界可控和整体性原则，旨在保证跨越边界的访问及数据通信可控制、可监视、可追溯，总体框架如图2所示。

图2 军工工业控制系统边界防护总体框架

2.2 跨层通信边界

跨层通信边界包括企业资源层和制造执行层之间的通信边界以及制造执行层与工业控制层之间的通信边界。企业资源层与制造执行层之间的通信属于跨网通信，对于军工单位而言，企业办公网往往含有涉及国家秘密的敏感信息，跨网通信既要防止企业办公网的敏感信息进入工控网，也要防止病毒进入工控网破坏系统的正常运行。在工控网与企业办公网边界，通过部署单向数据安全传输设备和相关代理服务构建采集数据交换区和结果数据交换区。工控网通过数据采集系统将实验装置、生产装置产生的数据通过采集数据发送服务器传输至单向数据安全传输设备，进而传输至办公网的采集数据接收服务器。企业办公网通过数据综合管理系统、ERP 系统等对采集数据进行分析、处理，并将分析结果通过结果数据发送服务器发送至单向数据安全传输设备，进而传输至结果数据接收服务器，实现对工控网实验以及生产过程的指导与控制。单向数据安全传输设备只允许特定格式文件的传输，并且会对传输文件进行杀毒处理。在工控网安全监管区部署边界监控审计系统对跨越边界的数据交换行为以及内容安全进行审计和管理，保证数据交换的信息明确、过程完整、历史可追溯。

在采集数据交换区边界、结果数据交换区边界以及制造执行层与工业控制层之间分别部署边界防火墙。防火墙策略配置按“策略最小化原则”，将访问控制规则设定到“IP 地址+服务端口”的粒度，禁止所有未被授权的访问。特别地，制造执行层与工业控制层之间的边界防护墙需根据其通信协议选择防火墙类型，比如如果使用的是Modbus 协议，则需要选择工业防火墙。

2.3 内部区域边界

依据设备用途、信息的重要性在制造执行层内部划分安全监管区、应用服务区、用户终端区和输入输出区。安全监管区主要包括主机安全管理、杀毒软件、漏洞扫描、边界监控审计等安全管理系统。应用服务区主要包括MES 系统、生产系统、数据库服务器等应用系统。用户终端区主要包括需要访问应用服务区的终端设备。输入输出区实现对不能通过采集数据交换区或结果数据交换区输出或输入的数据的导入和导出，具体包括一台输入机、一台输出机和一台中间机。制造执行层各终端及服务器均需安装防病毒系统客户端进行病毒和恶意代码防护。

安全监管区和应用服务区部署服务器防火墙，防止非授权的访问和操作，策略配置原则以及细粒度控制同边界防火墙。核心交换机上旁路部署入侵检测系统，采集网络流量，对工控网络、系统的运行状况进行监视，及时发现网络中的可疑行为。在该核心交换机上设置VLAN 的网关地址，通过核心交换机VLAN 和ACL 技术，对用户终端区和输入输出区的终端进行访问控制，禁止终端之间相互通信，全部通过应用系统进行数据交互。

对于工业控制层，可根据实际业务需求、设备的重要性等划分不同的生产设备区，并通过在三层交换上划分VLAN 和使用ACL 技术对各生产设备区进行访问控制和边界防护。

为降低军工工业控制系统非法连接到互联网及其他公共信息网络的风险，防止违规外联事件的发生，采取以下策略：

（1）系统中所有交换机的暂不使用端口均设为Shutdown 模式，同时物理断开连接；

（2）在各交换机上进行IP+MAC+交换机端口的绑定，客户端接入网络时进行MAC 地址认定；

（3）部署主机安全及管理系统，实现对主机终端的移动存储介质的使用控制、网络资源的访问控制、端口设备使用管理、软件资源的使用控制、非法外联告警等。

3 结束语

根据两化融合形势下军工工业控制系统边界面临的安全防护需求，本文提出了由“跨层通信边界、内部区域边界”组成的军工工业控制系统边界安全防护框架。其中，跨层通信边界包括企业资源层和制造执行层之间的通信边界以及制造执行层与工业控制层之间的通信边界；内部区域边界主要指制造执行层内部划分的各区域的边界和工业控制层各生产设备区的边界。本文分别对各边界给出了详细的防护措施，为两化融合趋势下军工工业控制系统的安全防护建设奠定基础。