军工企业工控网与涉密网安全解决方案

1/10军工企业工控网与涉密网安全组网解决方案1.工业设备联网的必要性我国正在从制造大国向制造强国转变，制造业信息化是重中之重。随着中国“互联网＋”、工业大数据乃至“中国制造2025”与两化深度融合的逐步推进，我国将制造业信息化归结为五个数字化：设计数字化、制造装备数字化、生产过程数字化、管理数字化和企业数字化。通过企业实施DNC/DCS/SCADA系统实现工业设备的互联互通，实现对工业智能化装备的集中化监测与控制，采集智能化设备的运行数据、加工参数、程序的传输，实现对所有设备工艺参数管理、运行状态可视化、报警提示与处理等。由于DNC/DCS/SCADA系统与企业管理系统如MES/ERP/PLM需要进行数据集成，设备工业网络与办公网络间存在大量的信息交换，因此进行工业局域网与办公网络互联是企业的必然选择。2.工业设备的安全风险分析制造型企业联网的工业设备类型包含下列2种类型：2.1.数控设备数控车、数控磨、加工中心、数控线切割机床、数控电火花等具有数控控制系统的设备。但是在国内中高端CNC市场中，数控系统主要由Fanuc、Siemens、Heidenhain、Mazak、Haas等系统组成。2.2.上位机控制类设备三坐标、分析仪器、光谱仪等、探伤设备、检测设备、测试设备、带上位的工业控制设备等将数据文件存储在上位机的设备。2.3.关于工控设备联网后的风险以上这两种类型设备，绝大部分控制系统底层均是基于Windows系统，且主要由WindindowsNT、WindowsXP、Windows7组成。因为控制系统多为工控及2/10简化系统，所以军工企业通常采用的计算机安全管理措施如打补丁、安装杀毒软件、域管理、使用PKI钥匙等手段都无法在使用。如果企业没有良好的信息网络安全管理机制，就可能通过网络内电脑、U盘等传入病毒、蠕虫、木马程序等导致工业设备中病毒。部分企业设备联网后出现过因病毒、蠕虫等使工业设备宕机重启导致加工产品质量事故、工业控制系统因中病毒导致系统重装、甚至因木马程序导致企业信息泄密等给企业带来巨大的经济损失。3.关于工业控制网络攻击手段当前工业控制网络攻击手段呈现攻击方式多样、传输手段隐蔽等特点，传统的基于端口、IP设置规则进行过滤的防护手段逐渐失效，因此工控网络在设计时就需要对信息安全防护的考虑和规划，保证工控网络的安全性。震网病毒Duqu病毒Flame病毒Havex病毒2010年2011年2012年2014年4.工控网与涉密网安全组网解决方案2017年12月12日，工信部印发《工业控制系统信息安全行动计划（2018-2020Stuxnet蠕虫的攻击目标直指西门子公司的SIMATICWinCC系统主要是针对PLC这种工厂控制终端，其涉及到的协议是Modbus、Profibus等偏向底层协议。Duqu是一种远程访问的木马，它有一个简单的后门可以为攻击者在受害者机器上提供一个长久的驻足点。主要被用来收集与其攻击目标有关的各种情报。结构复杂，目前没有杀毒软件实现对该病毒完美拦截2012年4月伊朗石油部和伊朗国家石油公司遭到了恶意软件攻击，该软件能够盗取和删除相关信息。通过对ICS/SCADA软件安装包中植入木马实现对工控系统的入侵利用OPC(开放平台通信)标准来收集网络和联网设备的信息。3/10年）》，旨在加快我国工业控制系统信息安全保障体系建设，提升工业企业工业控制系统信息安全防护能力，促进工业信息安全产业发展。因此，工业设备联网后，如何保证工控网与办公网络的安全性是企业面临的重要课题。目前企业设备联网，网络拓扑结构主要为以下四种类型，分别为防火墙隔离、网络物理隔离、单向网闸内外网隔离方式、单项网闸+设备防护终端。4.1.方式1:内外网防火墙隔离4.1.1.关于防火墙隔离介绍大部分企业实施网络建设时，采用防火墙来隔离办公网与工控网。通过防火墙的安全策略和VLAN划分来防御办公网本身的一些安全威胁，还要防范工控网络各种各样的安全威胁，如DDOS攻击，地址欺骗攻击，木马，病毒，间谍软件，口令攻击等，网络拓扑图见下图1。图1防火墙隔离网络拓扑图4/104.1.2.防火墙安全规则安全规则集是安全策略的技术实现，一个可靠、高效的安全规则集是实现一个成功、安全的防火墙的非常关键的一步。当规划一个企业办公网与工控网的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下访问控制策略。1)办公网可以访问工控网办公网的用户显然需要自由地访问工控网。在这一策略中，防火墙需要进行源地址转换。2)办公网可以访问服务器此策略是为了方便办公网用户使用和管理的服务器。3)工控网不能访问办公网办公网中存放的是公司内部数据，这些数据不允许工控网的用户进行访问。4)工控可以访问工控服务器服务器本身就是要给外界提供服务的，所以工控网必须可以访问工控服务器。同时，工控网访问工控服务器需要由防火墙完成对外地址到服务器实际地址的转换。5)工控服务器不能访问办公网如果违背此策略，则当入侵者攻陷工控服务器时，就可以进一步进攻到办公网的重要数据。6)地址转换服务器与办公网区、工控网区的通信是经过网络地址转换（NAT）实现的。网络地址转换用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet），以达到隐藏专用网络的目的。服务器对办公服务时映射成内网地址，对工控服务时映射成外网地址。采用静态映射配置网络地址转换时，服务用IP和真实IP要一一映射，源地址转换和目的地址转换都必须要有。7)配置访问规则根据数据包的地址、协议和端口进行访问控制。它将每个连接作为一个数据流，通过规则表与连接表共同配合，对网络连接和会话的当前状态进行分析和监控。其用于过滤和监控的IP包信息主要有：源IP地址、目的IP地址、协议类型（IP、ICMP、TCP、UDP）、源TCP/UDP端口、目的TCP/UDP端口、ICMP报文类5/10型域和代码域、碎片包和其他标志位（如SYN、ACK位）等。4.2.方式2:内外网物理隔离4.2.1.关于内外网物理隔离介绍对于军工企业对保密要求严格的企业，大部分采用办公涉密网与工控网物理隔离方式，数据交换采用光盘摆渡方式。系统需要2台服务器，1台部署于办公涉密网，1台部署于工控网。在摆渡机电脑上，摆渡数据通过审计后，利用光盘刻录数据方式进行办公网和非密网的数据交互，网络拓扑图见下图2。图2光盘摆渡数据网络拓扑图4.2.2.光盘摆渡机目前采用光盘摆渡数据主要有2种方式：1)方式1：人工刻录光盘摆渡数据通过人工定时将办公网与工控网交互数据，通过光盘刻录数据方式进行数据交互，见下图3。6/10图3光盘刻录摆渡示意图2)方式2：自动光盘数据摆渡机自动光盘数据摆渡机带有全自动机械手臂的光盘刻录系统，利用光盘进行数据的输入和输出，实现物理隔离的内网和外网间数据的单向传输，避免黑客、病毒等网络攻击给内网数据带来的安全威胁。相比人工刻录光盘摆渡方式，解决了人工刻录光盘交换效率低，人工干预因素较多，数据交换过程中没有审计、日志记录，同时受时间等诸多方面的限制，网络拓扑图见下图4。图4自动光盘摆渡机示意图4.3.方式3：单向网闸内外网隔离4.3.1.关于单向网闸内外网隔离单项网闸又称安全隔离与信息交换系统，由内、外网独立处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡，从面保证外网隔离的情况下，实现可靠，高效的安全数据交换，面所有的这些复杂的操作均是由隔离系统自动完成，用户只需依据自身的业务特点定制合适的安全策略即可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。7/10要实现工控网与涉密网数据的互通和不同功能网络区域之间的资源共享和信息化网络管理功能，可采用单向安全网闸进行内、外安全物理隔离方式的安全方案。这种方式已经在军工部分企业进行了试点，并取得了较好的成绩。网络拓扑图见下图5。图5单项网闸网络拓扑图4.3.2.单向网闸内外网隔离的安全优点采用网闸隔离，实现OSI七层隔离，涉密内网与工控网实现物理隔离，内、外网络之间的数据传递由安全数据单元摆渡交互传输。采用网闸隔离互联，数据库服务器与工业通讯服务器之间的数据交换全部都通过同步软件完成，消除了涉密内网与工控网之间原有的多协议，多端口，多格式类型文件的数据交互方式，大大提高数据传输交互的安全性。专用安全操作系统SUOS剥离TCP/IP协议栈，摒弃所有不安全因素。网闸集成高精度网络访问控制以及先进的防病毒，入侵检测安全技术，可8/10以对内、外网交互数据内容进行杀毒过滤，入侵检测，过滤关键字，确保只有符合保密、安全策略的数据、文件才允许被交换至另一端。系统以白名单机制运行，仅许可正常的、用户许可的网络应用，防范未知的安全风险。并且系统集成防病毒并可扩展多种常规安全防护引擎，如入侵检测等，可检测60000多种病毒和4000多种网络入侵。双重安全机制最大程度上实现了风险隔离。系统采用模块化的应用解码，内外网单元分别独立完成与客户会话交互、提取安全数据等待数据交换，所以内外网之间不能建立直接的应用会话。4.4.方式4：单项网闸+设备防护终端4.4.1.关于“单项网闸+设备防护终端”解决方案此方案在单向网闸内外网隔离基础上，在每台设备增加“信息安全防护设备”对设备进行保护。解决因为网络病毒、蠕虫、网络攻击等造成对工业设备的损害。设备防护终端是通过对设备系统接口（RJ45、RS232、USB）等接口的全面监控和接管，有效保护数控系统的通信数据安全，阻止异常数据流入数控系统，并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为，保证数控系统与数控加工网络的正常安全运转，网络拓扑图见下图6。9/10图6单项网闸+信息安全防护设备网络拓扑图主要功能包括：1)高适应性：面向DCS、SCADA、PLC等工业控制系统结构，在IPv4/IPv6网络环境下，支持对Focas、OPC、OPCUA、Modbus、Profibus等多种主流工业协议的检查、过滤、交换、阻断功能，实现对终端工业协议数据的保护，防止重要信息被窃取，防止上层设备被恶意代码操控而下发非法操作命令。2)文件类型和内容过滤：根据文件特征码，限制文件传输类型；3)接入连接、传输文件记录：记录连接工业控制系统终端的机器名称、IP地址、MAC地址，记录文件传输源目的地址、端口、时间戳、文件属性。4.4.2.方案优点此方案通过单向网闸内外网隔离既有效解决了工控网与涉密网数据安全交互的问题，又通过信息安全防护设备对工业设备系统接口的全面监控和接管，有效保护系统的通信数据安全，阻止异常数据流入工控系统，并阻断利用工控系统10/10进行的一切网络攻击和非法数据窃取行为，保证数控系统与数控加工网络的正常安全运转。但是目前，信息安全防护设备产品并未完全成熟，仅只有少部分公司能提供此产品。以上四种方式对工控网和办公网进行隔离，都各有优缺点，需要企业根据自身的情况决定。