★北京圣博润高新技术股份有限公司

1 项目概况

1.1 项目背景

国防军工行业是国家安全的支柱，承担国防科研生产任务，为国家武装力量提供各种武器装备研制。

由于军工企业的特殊性，其内部系统严格按照分级保护的要求进行监督管理，确保系统和信息安全。禁止内部办公网与工控网的直接连接，始终保持内部办公网与工控网之间的物理隔离状态，内部办公网系统与工控网络的信息交换主要是依赖“光盘摆渡”的方式。

而武器装备生产过程中的研发和协同等工作主要依赖内部办公网系统，而生产、实验和测试离不开工控系统。内部办公网络和工控网络的信息孤岛和信息交换滞后问题已严重制约武器装备科研生产效率的提高，所以实现内部办公网与工控网络的安全互联，消除武器装备的科研与生产环节的瓶颈，提高生产效率，实现武器装备生产的数字化、智能化势在必行。

1.2 项目简介

圣博润股份作为军工行业信息安全领域领军厂商，参与了十余家军工单位的两网互联及工控安全防护项目的咨询规划和建设工作。在两网安全互联、工控网络防护方面拥有丰富经验以及完善的解决方案。

圣博润股份参与了某军工企业的两网安全互联及工控安全防护提升项目建设。通过对生产工艺和系统流程进行摸底和梳理，以及对内部办公网和工控网络的风险评估，总结如下现状问题：

（1）两网间交互数据量大、交换频次高。

目前采用光盘刻录摆渡方式完成一次数据交互平均用时约30分钟，且需要同时执行多个业务流程，数据交换流程繁琐，严重影响业务工作效率。工艺系统、生产执行、物流配送和在线智能检测等系统数据需要快速同步，生产过程质量控制数据需要实时监测。工艺生产衔接若存在失控风险，对生产质量会产生较大影响，使生产计划难以快速高效地下达到生产现场，导致计划执行情况无法实时反馈，调度不能实时开展，将极大影响生产效率和设备利用率，对整个生产计划的准确性也会产生重大影响。

（2）工控系统存在脆弱性且安全防护较为薄弱。

工控系统在其自身安全性上存在“先天不足”，工控网络中应用的各类工控系统更新换代周期长，普遍存在弱口令、漏洞等安全缺陷；生产车间中使用高端进口机床装备，存在后门安全隐患；工控网络内未按功能或区域划分安全域且未设置ACL访问控制策略；部分工控上位机病毒库过期未及时更新等问题。长久以来，工控系统建设与使用管理重可用性，轻安全性，工业控制系统信息安全管理意识薄弱，管理体系不健全。

基于上述现状，在两网之间建立安全高效的信息交换平台，构建内部办公网与工控网之间的自动化数据传输通道已迫在眉睫。但网络互联后，工控网自身防护不健全可能给内部办公网带来新的信息安全威胁。因此在构建两网互联的同时，还需要通过技术手段提升工控网络整体安全性。

1.3 项目目标

通过搭建双单向信息交换平台实现内部办公网与工业控制系统之间的数据安全可控的实时交互，满足生产需求，保障内部办公网数据安全、可靠、可控、稳定的下发到工控网；工控网制造数据及时、快速地反馈到内部办公网，调整、优化加工参数，加快产品定型和产品量产，有效提升企业生产效益和综合运营效率，为推动智能制造技术落地构建基础。

圣博润股份以“统一规划、分步实施、不断完善”为指导思想，将本项目分为三个重点内容进行建设，实现上述目标：

（1）实现内部办公网系统与工业控制系统间的安全数据交换

为了将工控网的信息快速地导入内部办公网，同时需要将内部办公网内特定格式的数据安全可控地导出到工控网中，圣博润股份重点考虑了信息传输可能带来的安全风险，确保整个智能制造“数字化车间”运行安全可靠，并确保满足信息传输来源的真实性、内容的合规性、过程中的单向性、数据可追溯可审计性及系统自身具备的安全性等要求。

（2）对工业控制系统进行安全防护建设

对工控网有针对性地进行安全防护提升，在边界安全防护、入侵检测、恶意代码防护、身份鉴别、访问控制、安全审计和安全管理等方面进行提升建设。并确保满足国家相关安全和保密建设要求。

（3）对内部办公网进行安全补充建设

为确保通过信息交换平台交换数据来源可靠，需通过打标系统实现在跨网交换过程中，打标系统的标签和电子数据的不可分离。并在内部办公网内统一记录数据交换日志和安全日志。

2 项目实施

2.1 安全区域划分

根据密级、业务属性及所属功能的不同，将网络规划为图中所示的三个大区。大区中包含有独立的安全域来细化各自功能属性。

2.2 整体设计思路

圣博润股份的军工两网互联及工控安全防护设计思路严格按照国家保密相关要求，并结合《工业控制系统信息安全防护指南》进行整体设计。总体设计思路按“主动防御、实时监测、快速响应、及时恢复”的方针，开展内部办公网与工控网安全事件的防护、检测、预警和应急处置等工作；采用“管技并重”相结合的安全防护理念构建安全防护体系。

安全保密方面，以严防数据“高密低流”为主旨，在保障信息完整性、可靠性和安全性的基础上，以两路单向数据传输技术为核心搭建双单向信息交换平台，实现内部办公网和工控网络之间的数据安全交换。

2.3 整体架构设计

图1是军工两网互联信息交换平台及工控安全防护体系总体设计架构。

图1 军工两网互联信息交换平台及工控安全防护体系总体设计架构

2.4 数据交换安全

在内部办公网与工控网之间的信息交换区中部署上、下行两个方向的单向光闸设备。利用单向光闸物理单向特性，保障文件传输绝对单向无反馈传输。

单向光闸两侧设置的独立安全域中配置边界防火墙，形成单向导入传输通道与单向导出传输通道的边界防护。采用最小化授权原则配置访问控制策略，并细化至IP地址和服务端口级，实现数据流的控制。

2.5 边界隔离及访问控制

工控防火墙部署在工控设备安全域与网络核心交换的交界处，通过访问控制策略和隔绝等技术分割网络，防护来自外部网络的入侵行为传播。并在重点数控设备、智能装备前端通过专用安全防护设备对关键生产设备的网口、串口、USB口进行安全防护。

2.6 身份鉴别与运维审计

通过运维堡垒机的运维审计能力，实现对交换机、安全设备、服务器登录的二次身份进行鉴别认证，并对访问人员的权限进行控制，对操作人员的操作行为进行监测审计，对违规行为进行溯源取证。

2.7 入侵检测与工控审计

通过对工控网络流量进行检测，检出工控网络内部可能存在的溢出类攻击、后门类攻击、扫描类攻击、暴力破解等攻击或异常行为进行实时检测告警。

工控安全审计通过特有的工控协议深度解析和流量基线白名单功能，建立基于工控协议功能码、指令的工控流量的白名单模型。有效识别出白名单流量以外的工控协议异常事件和网络攻击行为，并进行实时告警。

2.8 网络接入管控

通过网络接入控制系统配合交换机ACL策略，及时发现并记录网络中的私建网中网、违规设备接入、双网互联、IP地址冲突等违规事件，实时定位终端的接入位置，发现非授权接入工控网设备。

2.9 主机安全防护

工控主机防护软件采用“白名单机制”，未列入白名单的软件和可执行程序会在启动之前被拦截。规避了防病毒软件不能及时更新病毒库带来的杀毒能力降低问题。保障工业上位机中关键业务相关软件稳定运行，提升了主机安全防护能力和合规管理水平。

2.10 漏洞及脆弱性管理

在网络内通过漏洞扫描系统基于CVE、CNVD、CNNVD等漏洞数据库，对操作系统、应用服务、网络设备等IT资产以及工控上位机、PLC、RTU、数据采集模块、变频器等工控资产进行检查，对已发现的漏洞及脆弱性进行查漏补缺。

2.11 集中管理与安全审计

工控集中安全管理平台实现对工控网络中的边界防火墙、工控安全监测审计、工控主机防护等产品进行集中监视和安全策略统一管理，通过安全事件关联分析及安全趋势风险预警，有助于降低运维成本、提高事件响应效率。

在两网交换过程中的交换日志和安全日志信息，统一导入保存至内部办公网的安全审计系统中进行统一记录存储与大数据分析。同时对交换过程中的异常事件时间、违规事件进行分析和处理。

3 案例亮点及创新性

圣博润股份通过为某军工单位建设两网安全互联及工控安全提升项目，既有效解决了该企业内部办公网与工控网数据安全交互的问题，又通过安全防护技术手段对工控网络进行全面安全防护，保障了工控网络数控和其他工控系统与的正常安全运行。

（1）为工控系统安全提供了有效的保障

在信息化系统建设中，安全是一个至关重要的问题。军工工业控制系统承载着国防安全重任，一旦工控系统出现安全事故将会造成较大的负面效应。开展工控系统安全防护建设，是为工控系统建设提供安全高效的运行保障，具有非常重要的社会意义。

（2）助力军工行业信息化建设向更高层次推进随着信息化建设的推进

通过网络进行信息共享和数据交互的力度大大加强，对两网数据传输中的安全性、保密性和完整性提出了更高要求。只有对军工内部办公网和工控网进行科学的评估，规划和建设一个集物理安全、网络安全、应用安全、系统安全和数据保密安全等于一体的信息防护体系，才能为军工信息化的大力推进提供充分的安全保障。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》