◆李蕊

工控网信息单向传输企业内网安全防护体系研究

◆李蕊

（中国空间技术研究院北京控制工程研究所 北京 100094）

本文针对内网数据敏感度高、不可容忍信息泄露等类型企业联通工控网提高数据传输效率的需求，基于信息单向传输模型，分析了工控网、单向系统引入和企业内网影响等三方面的安全问题，设计了工控网信息单向传输企业内网安全网络结构，通过在技术上采取有效的边界控制、介质管理、准入控制和审计监控等防护措施，在管理上从企业管理机构、管理人员、管理制度和运行管理四方面入手进行探讨，构建了完整的安全防护架构，为企业两网数据交换过程中的安全防护提供了技术和管理新思路。

工控网；单向传输；安全防护；管理体系

1 引言

随着工业化和信息化融合的不断深入，企业为提高生产效率、降低人员成本，对工控网连接内网的需求越来越大。然而随着网络信息技术在工业领域的大规模应用，工控网的安全漏洞问题也日益暴露，如2010年席卷伊朗核电站的“Stuxnet”病毒、2015年“乌克兰电网攻击”、2016“Mirai病毒”、2017年“WannaCry勒索病毒”和2019年“委内瑞拉大停电”等重大工控网络安全问题[1-2]。面对如此严峻的工控网络安全态势，若仅将工控网和内网双向联通可能会造成攻击者利用工控网病毒或漏洞对内网进行入侵、窃取、攻击等安全问题，同时又考虑到企业利用人工中转的传统模式导致效率低下、严重制约企业生产制造能力，因此亟须研究兼顾数据传输效率和安全保密性的工控网与内网传输的安全架构，并配合行之有效的防护措施、审计手段、安全管理和运维手段，实现工控数据集中管理、传输生产和测试数据与测试信息，减少病毒数量和漏洞攻击，确保企业在安全的网络环境下提高生产制造效率、管理精细化。

2 工控网信息单向传输内网的安全问题分析

工控网与内网连接通常有两种模型，即双向联通和单向传输[3]，而企业对于连接模型的选择往往基于企业自身业务类型、数据敏感度、同步效率高低以及信息泄漏的容忍度等。本文主要针对内网数据敏感度高、不可容忍内网信息泄露的企业类型进行探讨，基于工控网数据单向传输企业内网模型进行安全防护架构研究。

2.1 信息单向传输系统引入的风险

数据回流带来敏感信息泄露的风险。企业内网存储、使用、处理大量的生产制造、设计研发等敏感信息，如果企业所选择的信息单向传输系统可通过配置实现两网双向联通，造成内网敏感数据和信息反向传输至工控网内，则会存在信息截取、秘密泄露的安全风险。

网络边界管控不到位造成非授权访问的风险。企业工控网与内网安全防护等级不同，通常内网的防护水平和等级远高于工控网，若两网联通时未采取技术手段和管理措施对边界进行管控，那么很容易造成网络黑客或有心之人在防护等级较低的工控网端利用不法手段突破边界，对内网进行非授权访问、窃取和攻击的隐患，严重时可能会造成整个内网瘫痪。

2.2 工控网自身风险分析

工控网是一个复杂多元的系统，具有设备种类多样、设备厂家不一、操作系统多种、网络协议随机、部分设备或系统无法安装防病毒软件或其他安全产品等特性，会造成病毒泛滥，进而传播企业内网的风险。

物理防护不到位带来的非授权访问的风险。在实际物理环境中，存放工控网设备、服务器的设备间报警、监控等设施不完全，存在非授权人员进入破坏的风险；设备或服务器网络接口、USB口、串口等数据接口缺少安全控制措施，存在非法设备和介质非授权违规接入，进而造成信息泄露的风险[4]。

2.3 企业内网风险分析

被工控网病毒及恶意代码感染的风险。数据从工控网向内网单向传输时，可能夹带计算机病毒及恶意代码，对内网信息安全造成严重威胁[5]。

业务系统改造不到位造成系统无法正常使用的风险。企业通常采用与工控网应用系统直接对接数据库的方式进行数据传输，内网和工控网应用系统均要与单向系统做适应性改造，若改造不到位存在无法正常对接和使用的风险；后续如果将工控网历史测试数据统一转储至内网，用于设计师查询使用，存在应用系统服务器、存储空间无法满足综合测试数据管理需求的风险。

3 工控网信息单向传输企业内网安全防护体系研究

3.1 工控网信息单向传输企业内网安全网络结构设计

在进行工控网与企业内网信息单向传输安全防护架构详细设计时，企业首先要对网络的结构进行设计[6]，如图1所示，根据防护等级和业务功能划分为企业内网安全域、单向数据推送安全域、单向数据收集安全域、工控网服务器区安全域和工控网用户安全域等，每个安全域防护等级不同，不同安全域之间要进行边界防护，每个安全域内进一步细化VLAN。

3.2 信息单向传输安全防护设计

（1）基于数据单向传输系统实现流向控制和病毒查杀。如图1所示，安全隔离与信息单向传输系统包含数据收集模块、防病毒模块（防病毒墙）、单向传输模块和数据推送模块。防病毒模块对从工控网传输的信息进行过滤、审计，发现病毒和恶意代码的文件直接删除并报警，确保传入内网的数据、文件不存在病毒及恶意代码，不会对内网安全防护产生威胁；数据收集模块负责工控网数据的采集和安全传输，对应用系统进行身份认证及数据验签，并对传输的数据进行安全检查、完整性校验等工作；数据推送模块上运行数据推送系统，按照预先设定的推送策略，安全地将采集信息推送至内网中对应的业务系统。

（2）利用防火墙进行边界控制。在企业内网与单向数据推送安全域之间部署边界防火墙，用于对经由单向数据推送安全域进入到内网区域的数据进行访问控制，在防火墙上设置策略仅允许访问安全系统、与单向传输任务相关应用系统的对外开放端口，禁止开放多余端口。

（3）严控传输格式、履行审批程序。如图2所示，企业生产数据、测试数据和过程结果数据均利用工控网MES系统进行收集管理并传输，将采集到的生产过程数据提取出增量sql语句，保存为txt文件，数据传输格式明确限定为txt、jpg、avi、xls，其他格式文件会通过系统自动过滤。工控网数据传输申请需经过严格审批，防止非授权信息导入。

图1 工控网信息单向传输企业内网安全网络结构

图2 信息单向传输示意图

3.3 工控网安全防护设计

工控网安全防护设计对企业而言是至关重要的，构建安全的工控网络更是与企业内网连通的基础之一，故本文所讨论的工控网安全防护按照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）中的第三级安全要求以及其他相关技术要求和测评要求进行防护设计[7-9]：

（1）建立安全的物理环境。企业工控网不直接或间接与互联网或其他公共信息网络相连，实行物理隔离。工控网用户的办公地点处于封闭园区内，配备视频监控、红外报警以及专业值班人员站岗，并对人员进出进行查验和登记。工控网机房在防风、防震、防雨、防水防潮、防雷击、防火、防盗和防破坏、电力、布线、电磁防护等方面满足相关要求；机房单独设置门禁系统，启用刷卡认证方式，加强对机房的授权管理，严格限制进出人员，并详细记录出入机房的情况，记录至少保存6个月；在机房出入口安装视频监控摄像头，详细监控和记录人员进出及各种异常情况；设置电子巡更点，详细记录巡防巡查人员的巡更情况；部署消防栓、灭火器等消防设施，部署UPS系统，确保机房的安全运行。

（2）建立可控的通信网络。部署网络准入系统，对工控网终端实行MAC地址白名单管理措施，仅允许接入可信网络设备，严禁私自接入，禁止房间内使用不可控交换机；通过入侵检测系统对核心交换机端口流量镜像，对客户端所在网段进行入侵检测，实时发现非法入侵行为；利用安全漏洞扫描系统，针对工控网信息设备进行漏洞扫描，设置每月一次完全扫描策略。

（3）建立可靠的计算设备。工控网终端均安装瑞星防病毒软件终端，在瑞星防病毒软件服务器端设置文件监控策略，发现病毒直接杀毒，杀毒失败删除文件；工控网的服务器和终端安装主机安全防护软件，采用白名单技术方式，监控工控主机的进程状态、网络端口状态、USB端口状态，严禁接入非授权的移动存储介质或光驱；只允许安装许可软件列表中的软件，不在许可列表而工作需要的软件，需提交软件安装申请表，履行审批程序后，由管理员或者获得授权的人员负责安装。

（4）建立可信的应用数据。在防火墙上设置访问控制策略，只允许终端访问安全系统、测试任务相关应用系统的对外开放端口，禁止对与当前测试任务无关系统或多余端口的访问；工控网数据在工控网机房利用存储设备采用异机存储的方式进行备份。

3.4 企业内网安全防护设计

在实际数据流转过程中，首先要加强对工控网传输过来的数据校验和审查，如图1所示，在企业内网与安全隔离与信息单向传输模块间划分独立的数据单向推送安全域，用于接收从工控网向内网通过单向传输系统传输的数据，并通过校验、审查等一系列措施进行鉴别后才能将数据推送至内网；在内网安全域边界通过部署防火墙确保边界防护措施可控有效，同时根据业务需要仅开启必要的端口；对内网MES系统进行改造，实时接收工控网生产、测试及过程结果数据，并根据历史数据容量和未来业务需要进行存储空间和性能的扩容和增强。

3.5 建立健全的安全管理体系

在整个防护架构中，技术防护只是抵御内外攻击的手段和措施，若防护策略未得到有效落实，那么所有的技术防护将会轻而易举被突破。只有将安全管理纳入到防护框架中并建立管理工作长效机制，才能确保企业整个网络安全性迈入制度化、科学化和规范化的轨道。企业工控网单向传输企业内网安全管理体系主要从管理机构、管理人员、管理制度和运行管理等四方面进行综合考虑。

按照“谁主管谁负责，谁使用谁负责”的原则，明确建立企业安全管理机构和人员以及各自的安全管理职责。业务系统使用、管理部门及人员负责工控网数据管理、上传、审核等过程中的安全管理，负责业务系统的人员管理、权限管理，负责工控网运行过程中的安全管理；设备管理部门及人员负责工控设备及单向传输系统的安装、维修、保养、升级过程中的安全管理；运维部门及人员负责防火墙、网络准入系统等安全保密产品以及安全隔离与信息单向传输系统的运行维护、配置管理与安全审计工作。

建立企业工控网及信息单向传输相关的管理制度，明确在数据单向传输过程中涉及的各部门、各人员的相关职责以及安全事项。制订相关制度并向相关人员进行宣贯，确保管理要求落实到位；明确业务系统、安全平台以及工控设备的各项安全要求和管理策略，确保各项技防措施、策略落实到位。

加强安全隔离与信息单向传输系统的运行管理，确保数据的传输安全和网络的安全。严格控制出入机房的人员，履行审批登记制；管理人员应定期分析由于系统需求（业务系统的扩充、数据的变化）以及技术与管理因素变化而新出现的安全威胁，动态调整安全隔离与信息单向传输系统的安全策略，适时补充和完善技术与管理措施

4 结束语

本文主要针对内网数据敏感度高、不可容忍内网信息泄露、对数据实时同步要求不高的企业类型进行研究，基于数据单向传输模型，详细分析了工控网自身安全问题、引入单向传输系统和企业内网改造的风险等三方面不足，根据安全防护设计原则和目标，从网络架构设计、技术防护措施、安全管理体系三个维度构建了工控网单向传输企业内网的安全防护架构，该架构通过信息单向传输系统实现工控网数据到内网不可逆的单向传输，在技术上主要通过防火墙、准入控制、防病毒系统、漏洞扫描、入侵检测系统和主机安全防护等安全产品对整个网络进行安全防护，并由相应管理员负责策略的制定和执行；在管理上通过从管理机构、管理人员、管理制度和运行管理等四方面明确了企业安全管理框架建设的必要性，从根本上提高了网络安全防护技术水平，完善了安全框架体系。

[1]肖建荣. 工业控制系统信息安全（第2版）[M]. 北京：电子工业出版社，2019.

[2]尚文利，安潘峰，万明，等. 工业控制系统入侵检测技术的研究及发展综述[J]. 计算机应用研究，2017，34（2）： 328-333.

[3]尹骞.电力行业工业控制网络的运维和安全研究[J]. 信息安全研究，2019（08）：681-684.

[4]赖英旭，刘增辉，蔡晓田，等. 工业控制系统入侵检测研究综述[J]. 通信学报，2017，38（02）：143-156.

[5]张佳华. 工控网与内部网络的设计和安全防护[J]. 网络安全技术与应用，2018（11）：22-23.

[6]王群. 基于安全域的信息安全防护体系研究 [J]. 信息网络安全，2015，（09）：206-210.

[7]GB/T 22239-2019 信息安全技术网络安全等级保护基本要求[S].北京：中国标准出版社，2019.

[8]GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求[S].北京：中国标准出版社，2019.

[9]GB/T 28448-2019 信息安全技术网络安全等级保护测评要求[S].北京：中国标准出版社，2019.