制造业是数字化转型的主战场。近年来,伴随两化融合在军工装备制造领域深入推进,越来越多的工业控制系统被正式接入互联网,成为开放系统和复杂网络环境中一类非常关键的基础设施。但与此同时,日益多元的网络安全风险也随之而来,守护工业控制系统信息安全成为时代的重要命题。
工业控制系统的信息安全是国家网络信息安全的重要组成部分,是推动互联网与制造业融合发展的基础保障。但与IT系统及其他行业工控系统有所不同,军工工业控制系统由于在涉密与非密应用系统的数据交换方面有着更高的保密性要求,因此在风险应对、安全需求、实现技术、标准体系等方面均有着极大的特殊性,这也是相关军工工控安全类产品研发的主要依据。
军工企业不容忽视的工控系统边界安全
军工装备制造业作为国防科技工业的重要组成力量,一直都是国内外黑客组织实施网络攻击的重点目标。其中,象征军工产业神经中枢的工业控制系统首当其冲,而作为工控安全基础和前提的系统边界安全则十分关键。
军工行业特性使然,行业内企业研发设计和经营管理类应用系统一般部署在涉密网环境,与部署在非密网环境的DNC数据采集、MES、供应商协同、客户服务等应用系统实行物理隔离,这无形中形成一道边界,并衍生出工控系统边界安全问题。对此,军工涉密信息系统与工业控制系统网络必须施行物理隔离,涉密信息系统与工业控制系统网络之间的数据交换绝大多数采取基于中间机摆渡的光盘导入导出方式。
事实上,采用中间机(堡垒机)进行内外网信息传递也是传统主流的数据交换方式之一,通过在中间机上安装防病毒软件对存储介质进行恶意软件查杀,便可有针对性地阻断恶意程序从外部存储介质进入军工工业控制网络。但显然只有这些还不够,工控系统中各类生产设备本身的安全防护问题也同样重要而棘手,特别是近年来伴随制造企业管理网和生产网之间数据交换量的成倍增长,无论是数据交换还是终端设备安全都在面临新的挑战。
为工控终端筑起“安全加固”的堡垒
由航天科工二院七〇六所研发的工控终端安全防护设备(HT706-CNCP)是国内首款面向非涉密工业控制系统的外接型安全加固防护设备,它通过对工控设备网口、串口、USB口全面接管和监控,同时综合运用身份鉴别、访问控制、协议深度解析、安全加密等技术手段,实现对工控设备在运行和维修过程中的安全防护加固和行为监控审计,被广泛应用于与涉密网互联的非密工控网中各生产设备的安全防护工作中。
单向数据安全交换设备是七〇六所承担的国家重大项目课题的核心成果。针对数控装备、PLC、智能控制单元等工控设备无法部署常规安全防护产品的现实问题和安全隐患,七〇六所HT706-CNCP产品可通过一种“无扰式”的独立于被防护对象的外置部署方式,以标准化的通信接口接入被防护对象中,从而增强被防护对象的安全性。
简便快捷的“无扰式”外置部署,加之对工业控制终端的通信接口管控、访问控制、数据过滤、身份鉴别、信道加密、安全审计、维修诊断管控等功能,七〇六所HT706-CNCP产品不仅能有效保护工业控制终端的通信及数据安全,防止受攻击和数据非法外泄,同时也能有效阻止异常数据流入工业控制终端、影响整个网络。
跨网域守护军工协同制造信息安全
在对工控终端设备的安全加固防护之外,针对军工企业协同制造模式下不同密级网域之间安全互联、数据共享和业务协同信息安全保密等问题,七〇六所还综合安全隔离与单向传输、信息源可信认证、数据安全传输管控、多点检测异常联动响应、流程审计与追溯等核心技术和产品,打造了完整的军工智造跨网互联协同信息安全及保密防护解决方案,为军工制造领域实现多单位、跨地域资源优化配置、精细化分工、数据共享和业务间协同提供了网络基础和数据保障。
军工智造跨网域互联协同信息安全及保密防护解决方案是七〇六所为应对企业智能制造场景中管理网和生产网之间业务互联和数据交换需求而打造的专项攻关项目。作为七〇六所在推进企业数字化转型、建设智慧企业方面的最新成功实践,目前该解决方案已被成功部署于航空、航天、兵器等多个军工行业领域,累计帮助10余家企业打通了业务系统中不同密级网络之间的数据交换通道,实现了从生产任务下达到生产信息反馈的双向无障碍传输及任务的闭环管理。
“帮助企业简化业务流程、降低资源消耗、提高科研生产效率是我们现阶段的主要目标。但从长远来看,该解决方案有望在数据应用开发上释放更多价值。”七〇六所军工智造跨网互联业务中心相关负责人表示。作为数据应用开发的阶段性成果,目前该解决方案已完成了企业科研生产关键资产可视化与运营管理、车间生产智能驾驶舱、工控网络安全综合防护与态势感知等系统建设。接下来,团队将着重围绕企业科研生产业务流程管理、互联通道智能管控、工业数据协同防护、网络边界综合监控审计等工作,持续深化研究、打磨方案,争取形成深度融合行业特性的“标准化”解决方案,为更多军工企业的数字化转型和智慧制造赋能。