我国军工行业工控安全及防护策略研究

孙宇健 梁光成 杜兴林 佟 轶 /文

随着两化深度融合、“互联网+”行动计划的深入推进，越来越多的新型技术被应用于军工行业，极大提升了军工企业的研发、生产及制造能力，但也给工控系统带来了新的安全隐患，工控系统正面临着前所未有的安全威胁。军工企业作为国防科技工业重要力量，肩负着富国强军的神圣使命，更应该高度重视工控系统安全问题。

军工行业工控系统的特点

工控即工业自动化控制，是指使用计算机技术、微电子技术、电气等手段使工厂生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性。

工控系统构成复杂，主要包括过程控制系统、数据采集与监视控制系统、分布式控制系统、可编程逻辑控制器、数控系统、远程终端单元等部分。过程控制系统用于保证生产过程的参量为被控制量，使之接近给定值或保持在给定范围内；数据采集与监视控制系统可以对现场的运行设备进行监视和控制，以实现数据采集、设备控制、测量、参数调节及各类信号报警等各项功能；分布式控制系统是由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统，其主要作用是分散控制、集中操作、分级管理、配置灵活及组态方便；可编程逻辑控制器是专为工业生产设计的一种数字运算操作的电子装置，采用一类可编程的存储器，用于其内部存储程序，执行逻辑运算、顺序控制、定时、计数与算术操作等面向用户的指令，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程；数控系统主要用于数字化控制精密机械加工、编制加工程序；远程终端单元负责对现场信号、工业设备的监测和控制。

由于行业自身的特殊性及其管理、技术等因素限制，军工行业工控系统存在更多的安全风险。军工行业工控系统涉及生产制造、体系仿真、测试试验及生产辅助等多个方面的国防科研生产任务，在工控网边界、数据传输安全、工控设备物理安全、管理及审计等方面都具有特殊性，维护工控系统安全的任务更加艰巨，意义更加重大。

工控系统面临问题及安全风险

工控网边界军工企业工控网为非密网，一般采用与涉密网物理隔离方式，主要存在问题及安全风险：一是信息流转烦琐。工控网内的业务应用系统与涉密网之间主要依靠三合一导入导出设备来进行数据交换，交换流程烦琐且效率低下。二是管理成本高。由于工控网络与涉密网之间物理隔离，随着两网之间信息交换数据量不断增长，通过三合一导入导出设备操作日益频繁，人工管理成本不断提升，安全保密风险也不断增大。三是信息无法实时同步。生产过程中部分加工任务的实时性要求较高，采用“三合一”方式进行数据交换，加工状态不能及时更新，科研生产人员和决策层不能对生产任务及时把控。四是缺乏防病毒、入侵机制。工控网边界缺乏防病毒及入侵检测机制，工控设备大多采用封闭系统无法安装杀毒软件，一旦病毒进入工控网，会给工控设备带来严重安全隐患甚至发生严重事故。

数据传输安全工控网数据通信大多采用标准协议，应用于军工行业缺乏安全性：一是泄密风险。军工行业工控系统在控制指令、加工文件等数据传输过程中，大多采用国际标准的专用通信协议，此类协议大部分以明文方式进行传输，存在重要加工文件、控制指令被窃取风险。二是缺乏访问控制机制。工控网设备之间缺乏有效的身份鉴别及访问控制机制，对数据来源没有可信性认证，存在被外来设备入侵风险。三是缺乏对传输数据控制。缺乏对工控网内数据筛查、控制机制，无法识别并阻断非法指令、非法文件的传输。

工控设备物理安全工控设备本身的外部接口复杂、难以监管：一是接口安全。工控设备接口丰富，常用有网口、串口及USB 接口，有的设备同时存在多种接口，增加了工控设备防护难度，尤其是USB存储介质不受控，极易导致工控设备感染恶意代码，或造成泄密隐患。二是维修管理。部分进口工控设备需要联网进行故障诊断，外来维修人员因技术保密需要使用自带计算机进行诊断维修，存在泄密隐患。三是无线模块。外购工控设备大多带有无线模块，如果不拆除会带来安全隐患。

管理及审计目前军工行业的工控网管理及审计制度大多不够完善：一是管理制度。军工企业普遍对工控网及相关设备管理不够完善，没有体系化的管理流程。二是培训体系。缺乏对相关人员系统化的安全培训，操作人员不规范操作问题时有发生。三是审计记录。缺乏对相关人员的设备使用、维修操作、服务器配置等进行统一审计，发生安全事件无证可循；对设备的日志缺乏统一管理，使得工控系统事件不能实现关联分析，不利于威胁防范和事后追查处理。四是缺乏备份机制。缺乏统一的应急响应机制及备份策略，发生故障存在重要数据覆灭风险。

军工工控系统安全防护策略

军工行业工控系统安全防护应遵照《军工涉密工业控制系统安全保密管理要求》《军工涉密工业控制系统安全保密技术防护通用要求》及系统安全保密总体架构，同时参照等级保护体系、分级保护体系等相关要求，对工控设备进行终端防护，着力提高工控网络边界防护能力，实现加工数据从工控网络到涉密网络单向导入的安全防护功能。

加强工控网边界防护要在工控网络与涉密网络之间建立隔离安全域，并部署单向数据安全传输设备和相关代理服务实现工控网与涉密网之间数据安全交换。一是所采用的单向信息安全交换系统及设备应满足国家保密标准相关要求。二是在信息安全交换系统及设备中对上行和下行传输数据进行基于密标的检测和管控，对下行数据进行审计防止高密低流，同时对传输数据进行审计及完整性校验。三是基于黑名单、白名单机制，对上行和下行的传输数据进行类型、内容、防病毒及入侵检查，支持异常信息报警，进行安全审计。四是单向信息安全交换系统及设备应采用私有协议，并加密传输。

加强工控网数据防护一是划分安全域。域间采取隔离防护措施，设置访问控制策略，工控设备上线前进行必要的安全检测。二是身份鉴别：通过设备的IP、MAC 地址等信息建立可信主机白名单，非白名单内设备不允许通信。三是文件防护。解析工控网文件传输协议，通过文件类型、文件内容、文件大小等特征对传输文件合法性进行判别，杜绝木马、病毒等非法文件在工控网内的传播，同时防止涉密文件外泄。四是控制指令防护。解析出传输数据中的控制指令，建立控制指令黑名单机制，发现黑名单内的指令进行拦截并记录日志，保护设备运行安全。

加强工控设备物理防护一是端口防护。通过专用防护设备对工控设备的网口、串口及USB 等接口进行监控授权，对于数据传输端口要对其传输的文件、指令等数据进行筛查，发现非法数据及时阻断并上报日志，对于其他闲置端口监管其状态，防止被不法分子利用。二是操作/维修。对工控设备的操作、维修进行统一记录并生成日志文件，便于后期审计，如果是外来人员操作需要本单位相关人员全程陪同。三是无线模块。在不影响设备使用的情况下，应当拆除无线模块；对于功能需要而无法拆卸的情况，应当采用无线信号屏蔽、无线信号干扰及无线信号监测等方式，如采用安全无线管控系统，避免无线信号传递信息到防护区以外。四是对工控网中U 盘、笔记本等外部连接设备进行统一管理，并定期进行杀毒等安全监测。

规范管理及审计制度一是制定工控设备管理制度。针对工控设备全生命周期各个环节的安全风险，建立体系化的管理流程，重点防范外部非授权介质、维修设备（或软件）等不安全因素与工控设备直接或间接相连接，以形成攻击点或攻击通道，保障工控设备本体的安全。二是制定工控设备备份制度。针对工控设备备份及备份数据建立体系化的管理流程，确保工控设备关键参数及时备份，备份数据管理得当。三是建立完善的培训体系。对涉密人员、系统管理员、网络运维人员进行培训，并监督日常工作执行情况。四是联网设备加强管理。将光纤收发器、串口转换器等联网设备放置在工控设备电柜中，工控设备电柜钥匙指定专人管理，降低泄密风险。五是建立集中管控及审计制度。对工控系统设备进行集中管理、状态监控，并对运行日志、报警日志、操作记录及维修记录等信息集中储存管理，并可集中分析与展现。

军工行业工控系统安全是关系国家安全的重大战略问题，随着安全问题逐渐暴露，军工行业工控系统的安全防护刻不容缓。军工企业应该以建设国防事业的标准和力度发展工控安全产业，建立完备的工控网络安全体系，切实提高军工行业工控系统的防护水平，筑牢网络安全屏障，推进网络强国建设。