关于工控网络与非公开网络互联的数据安全保障分析

杨翔宇

（四川航天中天动力装备有限责任公司 四川省成都市 610000）

随着我国工业互联网创新发展战略的推进，中央和地方掀起工业互联网建设，工业互联网三大体系基本建成，为新兴产业发展提供强有力保障，在军工单位普遍应用计算机网络进行产品设计和生产，计算机网络可以为实际工作带来便利同时也带来新的安全保密挑战，信息数据保密是目前国防科技工业竞争核心，若是没有坚实的公开网络与非公开网络互联数据安全保障体系，则会将工业秘密泄露出，为国家带来巨大的经济财产损失。

1 工业互联网安全概述

1.1 工业互联网络安全

在工业领域安全可细分为三类，它们分别为信息安全、功能安全和物理安全，在传统工业控制系统中过分关注功能安全于物理安全，工业互联网与传统工控系统相比打破原有责任边界，在复杂度、适用范围和风险度上更大，如互联网平台数据安全和智能设备安全等，尤其是工业互联网安全作为工业信息安全的核心，其安全问题将会直接决定未来工业生产安全，影响到工业企业经济发展和社会稳定乃至于国家安全。

1.2 工业互联网安全发展现状及技术趋势

工业互联网安全领域有着巨大的发展潜力，按照工信部预测，我我国工业互联网安全产业存量规模在逐渐扩大，在2019年已达到27.2 亿元，年符合率为42.3%，远超过传统安全市场，从产业角度，工业互联网企业进入局工业互联网安全领域，以微软为代表通过收购的方式来创建新的工业网络安全公司，传统的安全企业则是针对工业互联网推出搭建方案。

工业互联安全工作的开展休要从制度、国家支持和 产业支持等多个角度统筹安排，但是目前诸多企业为认识到安全部署地重要性和紧迫性，安全管理工作亟待加强，工业控制系统安全管理工作发可以分为三大部分，它们分别为物理安全、IT 安全和运营安全，随着数字化转型，目前运营物理网络和信息技术数字融合成为当前工业互联网安全技术发展趋势。因为工业云存储数据具有极高的敏感性，这部分数据内容会涉及到工业企业、知识产权和商业机密等，数据资料与国家安全有关，若是发生数据窃取或数据破坏会直接造成严重的经济损失，影响国家安全。

2 工控网络与非公开网络互联的数据安全防护方案

在2010年出现震网病毒后，国家开始重视基础设备的信息安全，并于2012年发布关于信息安全保障若干意见，并明确提出加强核设备、航空航天和石油石化等重要领域的工业控制系统安全，基于此背景对工控网络与非公开网络互联数据安全防护方案展开讨论，确保企业工业控制系统运行稳定，减少安全数据泄露和盗窃事件发生，保障企业机密不泄露。

2.1 军工企业涉密信息及非涉密信息保密要求

2.1.1 涉密信息系统分级保护的技术要求及其特点

根据我国对涉密信息系统保护技术要求，涉密数据应当按照等级要求采取相应的保密技术，通常使用安全域和密级标识方法对秘密、机密和绝密进行分级保护，在安全域间划分明确的边界，当多安全域间进行数据交换，所涉及到的数据通信内容应处于安全环境和可控条件下，不同的密级安全域间均呈现由高等级向低等级进行，涉密数据具有密级标识，密级标识不可与数据主体相分离，数据本身也不得随意篡改。

（1）访问控制。访问控制是保障涉密信息数据重要核心策略，其主要任务是信息资源不被违法使用和访问，访问控制可以对客体访问进行限制，并在身份鉴别基础上，对访问请求进行控制，目前访问控制模型有三种，他们分别为自主访问控制、强制访问控制和基于角色访问控制，其中最后一种降低授权管理复杂性，更易实现安全防护。

（2）终端身份鉴别与授权。终端用户在操作中需要对个人身份进行验证，如计算机登录、网络接入以及登陆应用等均需要通过身份识别的方式进行判断，目前在工控系统进行身份鉴别地方式有很多，如USB-Key、指纹和第三方等，身份鉴别是保障涉密数据安全的重要举措，通过鉴别用户地合法性，可以控制其访问系统资源权限，按照最小授权原则，对涉密信息系统采用强制访问控制策略。

（3）安全审计。审计是对涉密数据进行监视，用于记录和控制使用者活动的机制，通过对审计日志进行分析可以有效阻止非法访问，并为事后分析追责提供参考依据，在我国涉密数据保护划分标准明确提出涉密数据安全审计中需要对终端计算机操作进行记录、对网络流量、访问设备运行状态和涉密数据库访问记录进行审计等。

2.1.2 非涉密信息保密要求及信息分类

根据国家保密要求，涉密网与其他网络数据在交换中使用一次性光盘进行数据百度，并有非常严格的审批手续和操作流程，企业每日生产经营活动中会有大量的数据信息需要交换，这就需要对不同的数据信息进行分类和整合，并提出各种简化流程。

（1）非涉密信息分类。军工企业涉密网需要对外交换某些非涉密数据时可以根据不同的业务进行分类，目前可以分为数控机床、测量机等设备和产生数控加工程序，这部分数据信息通常是在企业内部流转，属于非涉密数据，如不完整的军品加工数据因无法体现出成品参数特性，也归为非涉密，

（2）民用系统数据。在这里所讨论的民用系统数据可简称为“应用数据”，该应用在内外网共有两套应用系统，该系统会根据数据需要进行定期同步，属于非涉密，由于数据类型较为固定，交换频率也处于固定状态，该数据在办理交换业务的时候所涉及到的部门为责任单位。

（3）工业日常生产和办公需要。通常情况下工业日常生产和办公需要通过内外网进行数据交换，这些数据具有分散性的特点，类型多样，在进行数据交换中会涉及到工业企业多个部门，所需要的交换任务较大，并没有固定的时间阶段，但相对来说这些数据要求一般并没有太多严格限制。

2.2 安全DNC系统在军工企业中应用分析

2.2.1 整体方案

传统军工数控车间中机加工文件需要工艺人员在涉密内网中先进行编制，后通过摆渡流程导入到光盘，以光盘的形式导出到机器设备中，在实际生产中，这种方式费时费力，员工效率低下，在工业控制网络中有诸多信息需要与办公网络进行交换，尤其是军控企业数控车间使用互联是必然趋势，随着军工机械公司制造水平和信息化水平提升，DNC 将成为数控车间信息化基础应用平台，进行网络数据共享、传输和协同，为此需重视DNC 在数据信息传输中的稳定性、安全性和保密性。

（1）工控网和涉密内网交互方案。军工企业有保密需求，在涉密内网和工控网间采用物理隔离方法，部门军工单位通过网闸的形式进行数据交换，无法实时对生产业务进行干预，无法及时回传对NC 文件的修改，针对上述问题，使用新的工控系统ICS 多级控制传输平台，实现工控网和涉密内网间实时交互，控制平台可在网络安全隔离的前提下，进行多种网络间数据信息共享，且对共享数据信息统一管理，实现对数据交换或共享的实时监测。

（2）NC 文件的统一管理方案。NC 程序较多，基本上车间现场囊括了诸多NC 程序，使得机床内存有大量的NC 应用程序，加床操作人员需要对这些程序进行再编辑，很容易出现同一程序多个版本的现象，在编辑中程序的数量在逐渐增多，未能实现统一集中管理，为程序的查找和使用带来不便，数控程序种类多，不同技术处于交织状态，需要与数控设备进行对应，这为程序编制和管理带来困难。针对数控程序尚未统一的管理漏洞需要开发出一套完整的数控程序管理系统，将现场设备内关于NC 程序进行统一归档。

2.2.2 系统应用设计

ICS在得到保密认证后可以确保数据信息安全隔离和安全交换，在构建好平台基础上涉及到办公数控程序管理、工控网络中DNC系统文件传输和涉密数据和工控网间交互。通常情况下数控程序文件进行上传、审批和浏览流程图都需要工艺员提前按照规定格式进行上传，至服务器后发起内容审批，工艺人员可下放至DNC 总服务器中，确保数据传输安全性和保密性。

在DNC 系统中各组成使用分工合作的方式进行产品加工，由于DNC 系统各层面实现功能、网络结构和通信协议存在差异，同时各个层脆弱性和安全需求也不同，企业层与外部网络连接时候，会采用防火墙、杀毒软件和加密等安全防护措施，在控制层和执行层则是使用私有协议，执行层设备间网络度里，只有少量数据使用交互形式进行交流，数控系统和企业信息间会有大量数据信息进行交互，但是目前这两层网络安全防范措施较为单薄，信息化和工业化在深度融合中会导致系统边界较为模糊，为有效阻止病毒非法侵入，需要在DNC 系统中进行全生命周期防护。

3 工控网络与非公开网络互联的数据安全保障措施

3.1 深化工控信息安全总设计

根据我国信息安全技术标准要求，军工级别的信息安全技术需要采用“专网专用，安全区分”的原则，实现在基础设施层、网络传输控制层和应用数据交换层以及监管管理层等进行全方位防护，构建工业控制系统与办公信息系统的双向数据传输渠道，建立可控、可管、可审的跨网数据交换模式，确保系统间数据的完整性、可用性和保密性，形成完整的防护监督管理体系。

在进行系统开发中需要遵循国家保密要求，实现涉密控制系统间安全互联和可信交换，确保可以介入到办公内网信息系统与其他互联设备采用物理隔离，构建工控安全域来实现数据设备的接入，全域监测用于实现数据实时收集，安全事件、网络活动和办公内网信息系统和上传数据协议解析等，实现对非法数据预警功能。

3.2 以技术研发为重点，打造可靠的产品体系

工业控制系统多级控制传输平台的存在是为了解决工业控制系统与办公内网信息系统间进行安全互联、数据可信交换提出增强型硬件解决方案，在物理设备上只允许使用单向传输的单相导入设备，软件上使用安全等级较高的多级控制传输平台，确保工业控制系统的可靠性。工控设备防护安全网关是安全保障系统核心，在设计中需坚持主动防御、过程监控设计原则，对工控系统与外界信息交换进行安全监督和追溯源头，通过安全网信息间隔监管技术，确保工控信息进行有效数据交换的前提下尽可能避免对工控系统环境侵犯。公开网络接入控制系统是根据企业用户需求，通过软件对网络SDN 进行定义，实现涉密局域网架构，提供涉密网相关设备如计算机、网络打印机以及各种终端接入设备，实现对设备的集中控制和自动化管理。

3.3 客户满意度为中心，提供全方位功能服务

3.3.1 网络边界有效防护

在工控企业网络中需要做好分区域安全保护，各个安全域边界需要部署各工业防火墙，应用防火墙实现边界隔离和防护，同时安全域设置采用最小授权原则实现，DNC 系统使用横向分层和纵向分域综合防护策略，将系统划分为不同安全区域并按照规则安装防护设备，根据DNC 网络安全区域划分可知在企业层和控制层间采用逻辑隔离，单向传输模块可以确保数据传输中没有反馈回路，根据需要构建数据传输“白名单”，对出入流量实行特征识别，允许网络间合法的数据通信。

3.3.2 异样攻击实时监测

工控安全审计系统采用全域监测，可以对网络中用户行为和内容进行审计，对办公内网信息系统与工业控制系统实现数据下发和上传，并展开深度解析，实行监测违规操作和非法访问等，为安全防御提供保障；对于工控网络数据传输中最基础的安全防范措施为定期对机床信息、工件信息和工艺信息等以数据的形式进行备份，这样当系统发出现异常后可以及时恢复，通过“两路单向”安全互联形式将工控业务数据按照流向进行剥离，提供安全可靠的数据传输系统，实现办公信息系统与工业控制系统间互联。

4 结论

军工企业涉密系统安全保障是从技术、管理和运行三个层面展开，涉密系统信息安全技术是长期间距的综合性研究课题，需要技术人员结合实际需要不断探索和研究，在本文中对涉密信息中非涉密信息交换需求展开讨论，企业数控机床中DNC 网络系统需要企业需求，将生产作业数据设备与物联网相连，确定DNC 联网模式，设计方案，提出工控网络与非公开网络互联数据安全保障措施。