軍工行業信息化安全

1、背景與挑戰

在“兩化”融合的行業發展需求下，為了提高工業生產運行、管理效率，國內眾多行業大力推進工業控制系統自身的集成化，集中化管理，推進工控系統及現場設備聯網化，在提高生產效率的同時，也使固有的工業控制系統及網絡信息安全風險凸顯、放大。國內外近些年針對工業控制系統及網絡的攻擊、安全漏洞、安全事件層出不窮，“震網”病毒事件為全球工業控制系統安全問題敲響了警鐘，促使國家和社會開始關注工業控制系統的信息安全問題。軍工行業作為國家關鍵的工業生產支柱型行業，關系著國計民生及國防安全，更為重中之重，容不得半分懈怠。可喜的是，軍工企業近幾年也開始高度重視工業控制系統安全，但由于涉密行業整體工控安全標準的缺失，軍工行業用戶在工業控制系統安全體系建設中不可避免的存在滯后性，無法滿足工業系統及網絡建設中對整體安全防護能力的實際需求，暴露出了眾多的信息安全問題，諸如： 

（1）缺乏現場運維審計手段，面臨著第三方運維人員運維時無法監管的問題，存在著較大的泄密及安全事故風險；

（2）工控生產網絡與涉密辦公網連接時，在提高效率的同時也面臨著被感染病毒、惡性攻擊的風險；

（3）工控網絡內沒有有效的終端管理、私接、移動介質管理手段，容易造成泄密事件，也無法控制木馬等惡意程序的私自或無意中植入；

（4）工控網絡內部安全防護、檢測、審計等手段的缺失，造成無法有效的防御外部威脅、內部違規操作，無法進行有效的審計和追溯；

（5）工控安全管理制度缺失，側重于對生產流程的管理，缺乏安全檢測、脆弱性評估、移動介質管理、終端管控、密碼策略、備份與恢復等方面的管理規程等等。

    廣聚安全非常重視工業控制系統信息安全問題，目前已參與了多個國家及行業工控安全標準的制訂工作，并研發了工業控制信息安全管理管理系統、工業防火墻、工控漏洞掃描系統、現場運維審計與管理系統、工控異常監測系統等多款工業控制系統信息安全產品，并可以提供包括工控網絡風險評估、安全建設咨詢、安全培訓等多類型的工控安全專業服務，可有效支持軍工行業客戶的工控安全體系建設需求。

2、安全解決方案

2.1思路

    廣聚安全基于對軍工行業工控安全建設的深度理解，建議在保證系統可用性前提下，通過對工業控制系統進行分層分級防護，實現“垂直分層，水平分區。邊界控制，內部監測”。

“垂直分層、水平分區”即對工業控制系統垂直方向化分為四層：現場設備層、現場控制層、監督控制層、生產管理層。水平分區指各工業控制系統之間應該從網絡上隔離開，處于不同的安全區。

“邊界控制，內部監測”即對系統邊界即各操作站、工業控制系統連接處、無線網絡等要進行邊界防護和準入控制等。對工業控制系統內部要監測網絡流量數據以發現入侵、業務異常、訪問關系異常和流量異常等問題。

2.2安全設計

    軍工行業對工控安全的需求主要存在于工控網絡內部合規安全建設，工控生產網與涉密管理網的網間安全數據交換兩個方面，具體安全建設設計如下：

    工控網內安全體系建設

    軍工行業工控網內面臨的主要安全威脅來自于黑客攻擊、惡意代碼（病毒蠕蟲）、越權訪問（非授權接入、移動介質、弱口令、操作系統漏洞、誤操作和業務異常、第三方廠家運維監管空白等，因此，其安全體系建設應在以下方面予以重點完善和強化：

-入侵檢測及防御；

-惡意代碼防護；

-內部網絡異常行為的檢測；

-邊界訪問控制和系統訪問控制策略；

-身份認證和行為審計；

-號唯一性和口令安全，尤其是管理員賬號和口令的管理；

-操作站操作系統安全；

-移動存儲介質的標記、權限控制和審計；

-設備物理安全。

-現場運維審計

-適應工控生產安全需要的配套管理制度、人員組織等

    廣聚安全現有的工業控制信息安全產品體系，以工業控制信息安全管理系統為核心，以旁路檢測、串聯防護、現場防護三大引擎為支撐，全面實現全網工控設備的統一安全監測和防護，安全風險集中分析和展現。輔助以貫穿工業控制系統需求、設計、建設、運營、廢除全生命周期的工控安全風險評估平臺，可以有效覆蓋軍工行業用戶的上述安全能力需求，提供整體性的工業系統安全保障能力。

  工控網與管理網安全數據交換

    為滿足網間數據交換的的絕對單向傳輸要求，建議采用專業的物理單向工業網閘系統，在滿足必要的數據傳輸能力的同時，需具備物理單向無反饋、多協議支持特別是主流工業控制協議支持、全程監控與審計、病毒木馬防護能力等功能要求。

    同時由于跨網絡開展請求服務是網間交換請求的必然選擇，但是絕大部分的應用系統所采用的請求服務方式是通過協議來完成，而這些協議在不同網絡之間是禁止連通的，單向網閘系統僅能實現文件的傳輸而無法實現協議的穿透，為了滿足工控網絡內應用系統跨網絡請求服務的需求，同時盡可能實現各種業務系統無縫接入，無需修改其應用程序，需要使用安全請求服務系統配合單向工業網閘系統實現絕對物理單向的數據傳輸能力，避免泄密可能。

通過安全請求服務系統配合單向工業網閘系統最終實現絕對物理單向的數據傳輸能力，同時滿足工控網和涉密管理網內各類數據及請求交換的需求。

3、方案價值

-滿足軍工行業用戶工控網絡內部安全能力建設需求

-滿足軍工行業用戶工控生產網和涉密管理網安全數據交換及工控協議通訊的需求；

-滿足軍工行業工控網絡內部操作員站、工程師站及移動介質管理的普遍性核心訴求；

-解決軍工行業用戶無法有效監管第三方運維人員針對工控系統及現場設備運維行為的問題，做到全程可監管、全程可控制、全程可審計，避免數據泄密及木馬植入風險，并可追溯追責；

-可有效指導軍工行業用戶直面工控網絡內外部安全威脅并進行針對性的安全建設，逐步建立有效的工控安全管理制度體系、工控安全運維支撐體系。