★陆晗北京安盟信息技术股份有限公司

1 项目概况

1.1 项目背景

网络战已成为高技术战争的重要作战形式，工业控制系统作为国家基础设施的重要组成部分，已成为网络战的重点攻击目标。不同于传统网络攻击仅对信息系统和数据造成破坏，工控系统控制现实物理设备，通过对工控网络进行攻击，可以达成与传统物理空间攻击（甚至是火力打击）的等效作用——断能源、断管网、设备损坏、放毒、爆炸等。国外工控产品及系统平台产品中包含的零日（0day）漏洞与各类后门程序，以及层出不穷的“工业控制系统攻击武器”，都使得国家安全和社会稳定面临巨大威胁。智能制造为工业发展带来便利之时，也带来了严峻风险问题。尤其是网络安全和工业自动化控制系统信息安全问题引发的事故案例正快速增加，工控网络边界日益模糊。

某企业已完成了两化融合和智能制造系统的初步建设，核心业务流程实现了纵向打通和横向贯通。生产环境采用了典型的工控生产系统，主要划分为企业办公网、控制管理网、生产制造网、视频网和无线网五个区域，各区域通过不同设备进行网络隔离，共同实现重型设备从零件生产、加工、组装、出货到管理的全流程自动化、信息化和数字化。但企业对内部工控生产系统中流转的数据缺乏可控性、安全性评估和保护手段。

1.2 项目简介

某企业是重装设备的制造大厂，在全国乃至国际市场占据重要位置，尤其是其智能制造业务板块关系到国计民生、经济命脉和城市运行。例如，其生产的产品涉及电力、水利甚至军工等重要领域，装备产品参数既是企业的敏感数据也是关系国家重要基础设施的核心数据，如被窃取或破坏将对企业运营、生产安全甚至国家安全带来影响。另外，在智能制造业务板块中，核心的生产设备、工控系统等（如数控机床、机器人、坐标测量机以及PLC可编程逻辑控制器等）国产化率较低，大都来自于国外品牌，技术受制于人的同时，数据安全风险系数也较高。目前该企业工控生产系统的80%核心组件和工具产品均来自国外品牌，且在生产控制系统建设中，国外厂商参与实施的集成实现细节也不对其公布。因此，亟需密码这一底层保障技术提升其装备制造业务安全防护水平，建立基础信任能力，进行底层安全赋能，构造智能制造板块的第一道防线，保障企业效益长足稳定发展。

1.3 项目目标

本项目严格遵循网络安全、数据安全和密码应用相关法律法规及政策规范，依照等级保护、密码测评等合规要求，进行智能制造领域数据全生命周期管理及密码应用建设。在该企业智能制造业务、数据安全现状和密码应用需求基础上，搭建智能制造领域数据安全管理平台，通过与企业自身智能制造典型应用场景耦合的功能设计，实现智能制造设备的安全防护、网络边缘侧的安全接入与数据汇聚及网络边界数据通信强逻辑隔离，为企业构建覆盖终端、通道及边界的智能制造领域数据安全防护体系，全面提升体系化安全保障能力，有效促进密码技术与智能制造业务的融合，为企业整体安全保障体系建设贡献力量。

2 项目实施

2.1 系统架构

智能制造领域数据安全管理平台由七部分构成，如图1所示，分别是机甲卫士、5G安全接入终端、安全隔离认证网关、VPN安全网关、密钥管理系统、服务器密码机及数据安全集中管理系统。

图1 智能制造领域数据安全管理平台建设总体架构图

作为边缘侧安全产品，5G安全接入终端和机甲卫士分别完成各类物联网设备和一线数控机床等工控设备的安全加固和可信认证，并与安全边界的VPN安全网关/安全隔离认证网关建立安全加密通道，通过密钥管理系统和服务器密码机实现密码资源灵活调度及密钥管理，“云-管-端-边”多侧协同、联合实现企业工控系统工业设备安全防护、生产数据安全传输及业务系统安全管控。

2.2 系统部署

智能制造领域数据安全管理平台以XX公司数据安全需求和密码应用建设作为基础，结合智能制造系统构建深入一线生产制造环节，覆盖终端、通道及边界的制造领域数据安全防护体系，如图2所示。智能制造领域数据安全管理平台根据各组成系统功能和部署位置，可划分为端侧防护设施、边界防护设施、密码资源与数据安全管理平台三部分。

图2 智能制造领域数据安全管理平台部署图

生产制造区域存在大量数控机床、测试机床和试验设备等一线生产工控设备，在这些设备侧部署机甲卫士。机甲卫士通过与安全隔离认证网关连接，实现一线生产工控设备的接口威胁阻断、外部接入安全认证，以及重要生产数据、机床状态数据的真实性和机密性保护。控制管理网连接办公网及生产制造网，是生产数据（如NC文件等）、策略指令、一线生产设备状态数据等重要数据的汇聚中心，是上传下达的重要媒介。因此，在控制管理网边界部署安全隔离认证网关，提供终端安全接入、基于证书的身份认证和SSL/IPSec数据传输加密等功能，保证网络通信管道及通信数据安全；部署集中管理系统和密钥管理系统，作为安全防护平台管理功能输出模块，提供密钥管理、机床侧接口安全管理及平台侧密码设备的统一管控；通过调用服务器密码机，实现NC文件、重要产品参数、指令及数控机床状态数据的加密存储，以及信源加密传输。在办公网边界部署安全隔离认证网关及VPN安全网关，解决互联网威胁经由办公网破坏重装制造系统的安全问题。

无线网区域与办公网直连，该区域覆盖智能巡检机器人、AGV小车等多种无线终端，在这些终端侧部署5G安全接入终端，通过4G/5G无线与VPN安全网关/安全隔离认证网关连接，实现边缘侧设备的安全认证和高速加密组网，以及业务数据的机密性和完整性保护。视频专网区域包含视频监控、人脸识别、视频数据采集等多种视频终端，在这些终端侧部署5G安全接入终端，通过4G/5G无线与VPN安全网关连接，实现边缘侧设备的安全认证和高速加密组网，以及视频数据的机密性和完整性保护；在网络边界部署VPN安全网关，保障网域内和网域间的数据流转安全。

2.3 详细设计

2.3.1 机甲卫士

机甲卫士是针对生产制造装备操作终端进行从内到外全方位保护的自主可控安全产品。机甲卫士以安全管控为核心，秉承“自主可控、主动预防、过程监控、行为审计”的设计理念，采用全方位信息隔离和监管技术，基于自主品牌的硬件平台及密码模块，提供对数控机床串口、USB口及网口等通信端口的文件过滤、病毒查杀及在线状态监测，支持数控机床通信传输过程中的指令及重要数据加密和传输链路加密。机甲卫士创新实现了数控机床系统从内到外信息交换过程的数据防护、安全监管和行为可追溯，在保证数控机床系统有效信息交换的前提下，最大限度地避免内部和外界对数控机床系统环境的侵犯。

系统部署在智能制造装备前端，与机床设备一对一接入，对智能制造装备的所有通信端口进行全方位数据防护及在线状态监测，识别非法接入制造装备的设备，并进行实时报警。系统支持集中管理各前端的配置及监控安全状态。主要功能有：

（1）端口全方位防护：对数控机床设备的网口、串口和USB端口进行全方位的安全防护，防止威胁数据进入数控系统。

（2）网络安全防护：支持OPCUA/DA、Modbus TCP、S7、IEC-61850、IEC-104、DNP3、Profinet等工业控制协议，支持智能制造装备私有协议定制开发。

（3）文件过滤：提供文件规则过滤功能，可对文件内容检查，包括检查NC文件指令及范围、关键字等。

（4）病毒查杀：对移动存储类设备进行手动或自动的病毒查杀，支持指定目录查杀和全盘查杀。

（5）集中管理：集中管理平台可提供机床防护系统群管理功能，可以进行批量管理及配置，简化操作。

2.3.2 5G安全接入终端

5G安全接入终端是一款符合国内4G/5G网络规范的无线数据终端，可实现随时随地通过4G/5G网络接入互联网，满足移动网络接入的需求。同时，还可以通过接入VPN服务器实现网络的穿透。安全接入终端和VPN服务器之间的连接使用国密的IPSecVPN进行加密，充分保证数据的安全性。在无线网络环境下，可将生产制造的智能终端与安全接入终端进行连接。安全接入终端启动可作为Wi-Fi热点，单台可支持10个Wi-Fi终端同时接入并共享移动互联网的网络连接，并可横向扩展。

安全接入终端基于通信网络的高性能终端设备，创新应用密码技术与网络通信技术融合，为企业提供入网身份认证、安全组网、传输数据加密等高性能安全服务。安全接入终端支持IPSecVPN、SSLVPN等多种安全接入协议，支持SM1、SM2、SM3、SM4等多种国密算法，通过与安全接入网关的连接可实现基于国密体系的安全链路，充分保证XX企业无线网络数据的安全性。

2.3.3 安全隔离认证网关

安全隔离认证网关部署于该企业的生产制造网、控制管理网及办公网的网络边界，解决了工业网络边界安全及边缘侧终端设备的安全接入和数据安全传输问题，实现了工业边界的安全隔离、工控设备数据的安全可控及生产数据的安全交换。

安全隔离认证网关由VPN处理单元、内、外网处理单元与数据交换单元（专用隔离芯片）四部分组成。VPN处理单元负责边缘侧的身份认证、与采用国密算法的安全接入终端建立安全通道、数据安全加密和数据安全传输。内、外网处理单元是两套专有的网络安全控制设备，分别连接内外网络。内、外网处理单元之间通过专用的隔离芯片进行数据的摆渡传输，其过程类似U盘拷贝。当专用隔离芯片与内网联通时与外网电路是断开的，当隔离部件与外网联通时与内网是断开的，在确保网络隔离的前提下实现适度的数据交换。

2.3.4 密码资源与管理平台

密码资源与管理平台由集中管理系统、密钥管理系统、服务器密码机等产品组成，部署于该企业控制管理网中心机房。

集中管理系统通过集成5G安全接入终端、机甲卫士终端等产品的管理模块，同时与安全隔离认证网关、VPN安全网关等密码设备进行对接适配，对企业智能制造系统中密码应用的密码设备进行统一管理和集中控制。

密钥管理系统参照相关管理规范标准进行设计，对VPN等各类密码系统提供统一密钥管理服务。密钥管理包括对密钥的生成、更新、存储、分发、导入、导出、使用、备份、恢复、归档、销毁等全生命周期进行管理，满足信息系统三级密码应用要求。

服务器密码机为生产制造环境中的DNC系统的重要NC文件、生产产品参数、MES系统的重要指令、数控机床状态数据等重要数据提供数据加解密、签名验签等服务。

为实现制造网络中多个应用系统间的互信互认，平台为各系统设备、用户提供统一的身份认证服务。服务支持多用户隔离机制，有效保证不同系统数据隔离。各生产车间可建立独立的管理员账号，以统一服务的方式为用户提供身份认证服务，帮助整体系统实现统一用户管理、统一应用管理、统一身份认证、统一授权管理和统一日志审计，解决应用系统用户分散管理、独立认证及多次登录等问题。

平台支持基于组织机构和角色进行统一授权管理，对智能制造设备采取访问控制措施，对操作用户和应用系统对数据的访问操作权限进行控制并审计，限制其使用数据资源能力，保障数据资源在合法范围内得以使用和管理。在用户访问的过程中，对环境、行为和身份进行全程实时监测，一旦发现安全要求偏离基线，则快速调整用户的访问权限，减少业务暴露面，降低安全风险。

平台提供数据库结构化数据和文件等非结构化数据的加密存储服务，保障智能制造环境中MES、PLM等系统存储的重要数据安全。

2.3.5 数据安全集中管理平台

数据安全集中管理平台以“零信任”作为安全理念，基于密码基因打造安全合规、统一管理、全面审计的数据全生命周期安全集中管理平台，为用户解决数据从生成、传输、存储、处理、交换直至销毁的数据全生命周期安全问题。

数据安全集中管理平台承担了整个安全平台的维护、配置和管理任务，包括设备状态监测、用户管理、角色管理、配置管理和日志管理。集中管理平台联动密钥管理系统可以对在线的密码设备和密码资源进行灵活调度；也可以对系统的用户和角色权限进行配置；还可以查看平台所有的操作日志以及对系统运行参数进行配置。

平台结合数据资产识别，发现需要保护的重要数据。采用信息摘要技术为重要数据提供信息摘要；融入数据使用、传输等流程，对重要数据的操作过程及其应用系统或用户签名，确保数据完整性操作审计的全面记录和不可抵赖性，防止业务数据被人为恶意篡改，确保智能制造系统运行功能安全。

平台对接MES、PLM等应用系统，记录对用户认证日志、授权日志、鉴权日志、系统操作日志等多类日志，形成统一的行为审计管理体系。通过归类合并、关联分析及图表展示等方法，使管理员可以轻松识别人员异常访问行为和操作时间等，以及保证出现安全事件后可根据日志事后溯源。

3 案例亮点及创新性

在智能制造领域数据安全管理平台中，安全隔离认证网关利用VPN安全传输技术，在保障工业边界安全的基础上，通过工控网络的数据安全加密和数据安全传输，实现了泛在部署的多种类终端的安全接入，提升了工控网络、工控设备和工控数据的安全性。

4G/5G安全接入终端将密码技术和4G/5G通信技术相融合，建立基于商用密码算法的安全通信体系，支持4G、5G和有线网络等多方式网络接入，为边缘侧提供安全、可溯、低时延和高性能的终端防护能力。同时，与安全隔离认证网关联合构建覆盖终端、通道及边界的安全防护体系，联通边缘侧与中心端。

机甲卫士将密码技术与机床终端防护技术融合，实现了将安全防护深入到生产制造的一线生产环节，重点解决了数控机床等企业重要资产自身安全防护和重要资产的核心生产参数机密性保护等问题。

综上所述，整体方案落实了国家“十四五智能制造发展规划”等相关政策要求，基于工控安全、数据安全、5G等安全体系架构设计，相关产品融合工控安全检测、商用密码和异常点分析等技术。该方案面向企业智能制造生产应用场景，提供了融合网络安全、数据安全和功能安全的安全解决方案，提升了该企业生产制造过程的整体安全水平，保障了企业的业务运营、生产安全甚至相关国家重要项目安全。随着智能制造和两化融合的深入发展，相关方案、案例也值得进一步扩大应用和推广，以增强我国智能制造的安全防御能力。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》