军工数控系统网络安全防护思考
国家 “十三五” 规划《纲要》、网络强国及 “互联网+” 等一系列战略部署的推进实施,对我国工控系统安全保障工作提出了更高的要求,这就需要工业企业必须尽快提升工控安全保障水平和网络安全事件应急处置能力,以更好的支撑经济社会健康有序发展。军工企业作为制造业的典型代表,在响应国家智能制造战略和自身发展要求的同时,还必须考虑国家有关部门的安全保密要求。军工企业生产网和管理网之间因为保密要求而必须保证物理隔离的现状,给军工企业智能制造产业升级和发展造成了现实的困难,也为军工数控系统网络安全防护提出了更高的要求。本文针对军工数控系统网络安全防护现状进行了分析,并给出了军工数控系统网络安全防护设计思路和具体防护措施。
军工数控行业安全现状分析
当前,我国军工领域数控网络安全防护工作还处于起步阶段,数控系统安全防护意识淡薄,主动开展工作的积极性不高,现有的安全防护手段匮乏,缺乏自我保护能力,其中的突出问题表现如下:
数控机床的事故风险高。数控机床的进给速度已从 80 年代的 16m/min 到现在的 24~40m/min,主轴转速也从 2500r/min 上升到现在 6000~40000r/min,机床结构也从敞开型向封闭型转变。在这样的高速度和结构的情况下,一旦由于编程和操作失误,操笔者来不及按急停按钮,刀具已与工件相撞,极易出现机床和人身事故。
关键技术和知识产权被泄漏或窃取的可能大。近年来,恶意软件攻击和笔记本电脑、移动智能终端设备是最主要两种泄密方式。单从技术角度分析,数控设备的操作系统漏洞和数控系统漏洞引入的恶意软件攻击,以及对外设端口、无线设备及模块缺乏严格管控,存在滥用风险。从而导致泄密事件的发生,使国家秘密泄露,使企业造成重大经济损失。
国家科研生产能力安全保密风险高。产品的工艺参数和控制指令是生产出高精尖军工产品的关键数据,工业控制系统一旦受到病毒及恶意软件的攻击,数据和指令被恶意篡改,将严重影响产品质量和生产效率,从而导致巨大经济损失,甚至是影响国防建设。必须加强工业主机(工程师站、操作员站等)、各类服务器的安全防护,防止病毒及恶意软件的入侵。
军工数控系统网络安全防护设计思路
本文提出的军工数控系统网络安全防护设计思路严格按照《国防科工局关于加强军工领域工业控制系统安全保密管理的通知》、《网络安全等级保护基本要求》和《工业控制系统信息安全防护指南》等文件要求,总体设计思路按照“主动防御、实时监测、快速响应、及时恢复”的方针,开展工业控制系统网络安全事件的防护、检测、预警和应急处置等工作。采用 “技术+管理+服务” 相结合的安全防护理念,帮助军工企业搭建综合纵深的工控安全防护体系。
数据安全保密方面,以严防数据“高密低流”为主旨,在保障信息完整性、可靠性和安全性的基础上,以两路单向数据传输技术为核心搭建安全数据交换平台,实现军工涉密网和工业控制网络之间的数据安全交换。
工业控制网络安全方面,则重点从安全数据交换、安全区域划分、边界隔离及访问控制、网络安全审计、主机安全防护等方面给出了具体的安全防护措施。
下图是军工数控系统网络安全防护体系总体设计架构。
军工数控系统网络安全具体防护措施
1. 安全数据交换
在军工涉密网与工业控制网络之间设置数据交换域。通过在军工涉密网与工业控制网络之间的上、下行两条链路分别部署单向光闸设备,根据光的单向传输特性,需要交换的数据只能从前置代理服务器传输到后置代理服务器,反向没有任何数据传输。如此,通过单向光闸设备形成了两个域间的数据摆渡解决方案,实现数据的隔离控制和安全交换。军工涉密网与工业控制网络之间的单向数据传输可有效避免数据泄密。
2. 安全区划分
应采用纵向分层、横向分区的保护结构,构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系。纵向安全区域的划分根据军工(数控)企业数控加工厂的网络结构,根据信息化功能的不同,将整个生产网络划分为生产管理层、过程监控层、现场控制层三层纵深结构。横向安全区域的划分以数控设备所在车间为单位分为生产安全 1 区~ n 区。并按照方便管理和控制的原则为各安全区域分配VLAN和不同的网段地址。
3. 边界隔离及访问控制
军工(数控)企业数控加工厂可在生产管理层和过程监控层的边界部署工业控制防火墙,实现区域边界的隔离,工业控制防火墙部署在每个车间的交换机与生产管理层的汇聚交换机的链路之间,形成以车间或生产线为单位的安全域。通过输入访问限制策略和隔绝等技术分割网络,防护来自外部网络的入侵行为传播。另外,根据数控设备(包括数控机床和数控加工中心)的系统特点,每一台数控设备都同时具有了上下位机的功能。这样,每台数控设备就形成了包括 0~2 层的独立的工业控制系统的结构,可在重点数控设备前端部署防火墙进行关键设备安全防护。
通过在各个安全区域边界部署的工业控制防火墙进一步实现区域边界的通信访问控制,同时必须正确设置防火墙的安全规则。即使智能型防火墙,也需要自定义安全规则。并依据最小化原则配置访问控制策略,规定主体对客体的访问规则;访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
4. 有效阻止主动的攻击行为和病毒的传播
同时在数控车间的汇聚交换机或 DNC 服务器交换机的位置部署网络终端接入控制系统,采用硬件纯旁路部署方式接入生产网络,及时发现并记录网络中的私建网中网、BYOD 设备接入、双网互连、IP 地址冲突等违规事件,实时定位终端的接入位置,发现非授权接入设备。最大限度的管控因非授权设备接入网络导致的病毒传播和恶意软件入侵事件。
5. 区域安全审计
在生产管理层的汇聚交换机上部署工控安全监测和审计系统,同样采用硬件纯旁路部署方式接入生产网络,对工业生产过程“零风险”。提供上下位机系统的安全审计、DNC 系统报警审计、上下位机通信协议的审计、程序异常行为检测及审计、审计报表生成等功能。快速有效识别出工业控制网络中存在的网络异常事件、网络攻击行为,并进行实时告警。
可记录发送到/来源于现场设备的所有的指令和指令执行结果;支持众多的工控协议,包括但不限于:IEC104、S7、DNP3、Modbus TCP、OPC 、Siemens Profinet、Siemens Teleperm XP、Siemens TIM等。
6. 主机安全防护
由于军工(数控)企业数控加工厂的数控设备大都是Windows的操作系统,且无法为系统及时的打补丁,所以更适合用主机白名单软件做病毒防护和恶意软件防护。可以使用工业主机白名单软件(终端安全卫士)对各类服务器和终端进行病毒防护,工业主机白名单软件摒弃了现有防病毒防护软件的 “黑名单机制”,采用 “白名单机制” 从防护原理上杜绝了实时访问互联网,定期查杀这两个不适合工业领域的硬伤。“白名单” 内的软件可以放心使用,“白名单” 外的软件会在启动之前被拦截。提升了主机安全防护能力和合规管理水平,满足等级保护三级中关于主机安全的相关要求。
所有工业控制系统的过程监控设备操作系统应采用最小化系统安装原则,只安装与自身业务相关的操作系统组件及应用软件。主机白名单软件具有 USB 安全防护功能,加强了对 USB 端口管理,限制光驱使用。
结语
本文通过对军工数控系统网络安全现状的分析,提出了一种军工数控系统网络安全防护体系建设思路,该安全防护体系主要从安全数据交换、安全区域划分、边界隔离及访问控制、网络安全审计、主机安全防护等方面给出了军工数控系统网络安全的具体防护措施和建议,以期推进工业控制系统安全防护技术在军工行业的应用。