船舶制造企业无线网络安全架构研究

白雪原

一、概述

随着我国船舶工业的快速发展，产业规模迅速扩大，国际市场份额大幅增长，船舶制造能力和水平全面提升，造船质量和效率取得长足进步，但我国造船业总体上仍处于粗放型的发展阶段，与先进造船国家在生产效率上的差距明显，船舶制造装备与系统自动化智能化水平低， 造船过程管控缺乏有效数据支撑，制造技术与信息化技术融合与集成程度低等问题非常突出。急需加快提升信息化建设水平，有效降低造船成本，大幅提高造船质量。船舶制造企业信息化建设中，无线网的建设是一个关键环节。

二、船舶制造企业现状与需求

造船业是资金、劳动、技术密集型行业，具有行业关联度大，岗位多等特点，其内部是一个庞大而复杂的管理系统，很多环节都有大量的移动需求。厂区范围大，部分车间有线网络覆盖困难，比较适合无线网络的部署。

（1）船舶智能制造企业为了实现智能制造设备的资产管理，需要通过定位模块来采集工业设备的实时位置。

（2）通过为工人配备数据传输模块，实现厂区工人的定位、考勤管理。

（3）为工人配备手持终端设备，在制造过程随时查看施工作业指导书，下发施工计划，按照计划完成定额工时。

（4）与智能制造车间的自动化设备如焊接机器人实时传递生产数据，完成自动焊接装配。

目前部分船舶制造企业身处国防军工领域，出于安全保密原因，很多敏感区域不能有无线收发装置，推进无线网络建设相对滞后。信息网络未能完整覆盖船舶产品研制建造的全流程，在生产管理及决策方面缺乏来自现场的实时数据支撑，严重制约企业发展。船舶制造厂各类舾装设备多，组装模块数百万计，对船舶制造现场实时状态进行感知，获取船舶制造过程的分段建造计划执行状态，分段场地堆放、物流配送和设备资源利用等数据，将有效提高生产计划协调效率，提高生产力。实现现场实时感知，必须建设无线网络，并对无线移动网络的安全进行必要的防护。

三、无线网安全防护总体设计

通过无线通信技术组成相互连接和通信的信息系统比起有线网络部署便捷，不受空间的限制，大大降低了企业信息化成本，具有独特的优势。但是无线网的一些特性使其安全防护不能采取有线局域网络相同的网络安全措施。建设无线网在考虑便捷的同时应兼顾安全性，确保网络安全可靠。

移动无线网业务信息系统整体上可以分为四个子系统，分别是移动终端/用户子系统、移动接入子系统、应用服务子系统和移动安全管理子系统，实现等级保护安全架构下的安全计算环境、安全通信网络、安全区域边界和安全管理全覆盖。安全基础设施上，密码产品应当坚持国产化的原则，采用经过国家密码管理局批准的密码产品。总体架构如图1所示。

安全基础设施可依托企业现有网络的PKI/CA体系、资源管理系统等，为无线网业务安全提供基础支撑。采用经国家密码局批准的商密算法，提供对信息的加密传输。

移动终端/用户子系统为移动专网业务提供安全计算环境，包括终端操作系统加固、本地数据加密、运行环境监测、主机审计措施、运行环境隔离和用户身份识别等安全功能。

应用服务子系统为移动专网业务系统提供的应用分为两类：一类是移动专网业务应用系统，适用于移动设备部署，例如移动OA办公门户、MES系统、设备设施定位、安全通信、无线条码扫描等；另一类是数据交换系统，包括各类数据库、电子邮件等，与部署于内网的大型业务系统OA和ERP、物流、生产管理、智能决策等业务信息系统进行数据交互。移动专网应用服务子系统还应提供应用安全保障，如提供用户身份认证、对业务接入认证、对用户角色的授权和访问控制等，同时对业务应用系统进行系统加固、设置代理服务器等提升系统的整体安全性。

移动安全管理子系统提供设备注册、激活、使用、注销各个环节完整的移动设备生命周期管理和用户身份管理，实现对各子系统统一的用户管理、员工定位管理、安全策略管理和日志管理工作。同时也作为数字证书系统在公共区域的代理，提供证书的在线状态查询和证书列表下载等功能。

四、无线网络的拓扑构架的实现

在明确了无线网安全构架的基础上，企业无线网络拓扑可以参照如图2所示实现，较好的实现了移动设备的接入，且与企业现有的网络进行有机融合。

硬件安全：可采用基于硬件特征的唯一标识符，确保只有合法设备可以介入网络。

网络安全：网络对接入的设备进行身份认证，保证合法接入和合法连接，对非法设备的接入进行告警和阻断，形成网络可信接入机制。网络接入认证可与采用数字证书的身份认证机制来实现。

数据安全：数据分为无线宽带专网数据（包括语音、短信、定位等）和应用系统数据，数据安全通过系统核心网设备、密码设备、移动终端等实现数据保密性、完整性和可用性。应用系统数据安全主要通过应用系统备份和数据存储保证数据的完整性和可用性。

无线接入安全：在无线路由器等设备中启用了IP地址过滤功能后，只有IP地址在MAC列表中的用户才能够正常访问无线网络，其它的不在列表中的用户则认为是非授权设备的私自接人而阻止其接入网络，解决了访问控制和边界完整性检查方面的安全问题。

无線传输：使用无线密钥能够有效地解决访问控制以及边界完整性检查方面的安全问题。当用户访问时，用户只有提供正确的密钥才能够成功访问，否则认为是非授权设备的连接并拒绝访问。

五、总结

无线应用技术在制造业中的应用是互联网应用的延伸和扩展。实现船舶设计制造过程中信息深度自感知、智慧优化自决策、精准控制自执行，可以为企业降低成本，加速企业工业化和信息化的融合，提升制造精益化、管理精细化水平，推动船舶制造模式由传统制造逐步向数字化、网络化、智能化制造转变。