今日頭條
官方微信
官方抖音
案例頻道★陸晗北京安盟信息技術股份有限公司
1 項目概況
1.1 項目背景
網絡戰已成為高技術戰爭的重要作戰形式,工業控制系統作為國家基礎設施的重要組成部分,已成為網絡戰的重點攻擊目標。不同于傳統網絡攻擊僅對信息系統和數據造成破壞,工控系統控制現實物理設備,通過對工控網絡進行攻擊,可以達成與傳統物理空間攻擊(甚至是火力打擊)的等效作用——斷能源、斷管網、設備損壞、放毒、爆炸等。國外工控產品及系統平臺產品中包含的零日(0day)漏洞與各類后門程序,以及層出不窮的“工業控制系統攻擊武器”,都使得國家安全和社會穩定面臨巨大威脅。智能制造為工業發展帶來便利之時,也帶來了嚴峻風險問題。尤其是網絡安全和工業自動化控制系統信息安全問題引發的事故案例正快速增加,工控網絡邊界日益模糊。
某企業已完成了兩化融合和智能制造系統的初步建設,核心業務流程實現了縱向打通和橫向貫通。生產環境采用了典型的工控生產系統,主要劃分為企業辦公網、控制管理網、生產制造網、視頻網和無線網五個區域,各區域通過不同設備進行網絡隔離,共同實現重型設備從零件生產、加工、組裝、出貨到管理的全流程自動化、信息化和數字化。但企業對內部工控生產系統中流轉的數據缺乏可控性、安全性評估和保護手段。
1.2 項目簡介
某企業是重裝設備的制造大廠,在全國乃至國際市場占據重要位置,尤其是其智能制造業務板塊關系到國計民生、經濟命脈和城市運行。例如,其生產的產品涉及電力、水利甚至軍工等重要領域,裝備產品參數既是企業的敏感數據也是關系國家重要基礎設施的核心數據,如被竊取或破壞將對企業運營、生產安全甚至國家安全帶來影響。另外,在智能制造業務板塊中,核心的生產設備、工控系統等(如數控機床、機器人、坐標測量機以及PLC可編程邏輯控制器等)國產化率較低,大都來自于國外品牌,技術受制于人的同時,數據安全風險系數也較高。目前該企業工控生產系統的80%核心組件和工具產品均來自國外品牌,且在生產控制系統建設中,國外廠商參與實施的集成實現細節也不對其公布。因此,亟需密碼這一底層保障技術提升其裝備制造業務安全防護水平,建立基礎信任能力,進行底層安全賦能,構造智能制造板塊的第一道防線,保障企業效益長足穩定發展。
1.3 項目目標
本項目嚴格遵循網絡安全、數據安全和密碼應用相關法律法規及政策規范,依照等級保護、密碼測評等合規要求,進行智能制造領域數據全生命周期管理及密碼應用建設。在該企業智能制造業務、數據安全現狀和密碼應用需求基礎上,搭建智能制造領域數據安全管理平臺,通過與企業自身智能制造典型應用場景耦合的功能設計,實現智能制造設備的安全防護、網絡邊緣側的安全接入與數據匯聚及網絡邊界數據通信強邏輯隔離,為企業構建覆蓋終端、通道及邊界的智能制造領域數據安全防護體系,全面提升體系化安全保障能力,有效促進密碼技術與智能制造業務的融合,為企業整體安全保障體系建設貢獻力量。
2 項目實施
2.1 系統架構
智能制造領域數據安全管理平臺由七部分構成,如圖1所示,分別是機甲衛士、5G安全接入終端、安全隔離認證網關、VPN安全網關、密鑰管理系統、服務器密碼機及數據安全集中管理系統。
圖1 智能制造領域數據安全管理平臺建設總體架構圖
作為邊緣側安全產品,5G安全接入終端和機甲衛士分別完成各類物聯網設備和一線數控機床等工控設備的安全加固和可信認證,并與安全邊界的VPN安全網關/安全隔離認證網關建立安全加密通道,通過密鑰管理系統和服務器密碼機實現密碼資源靈活調度及密鑰管理,“云-管-端-邊”多側協同、聯合實現企業工控系統工業設備安全防護、生產數據安全傳輸及業務系統安全管控。
2.2 系統部署
智能制造領域數據安全管理平臺以XX公司數據安全需求和密碼應用建設作為基礎,結合智能制造系統構建深入一線生產制造環節,覆蓋終端、通道及邊界的制造領域數據安全防護體系,如圖2所示。智能制造領域數據安全管理平臺根據各組成系統功能和部署位置,可劃分為端側防護設施、邊界防護設施、密碼資源與數據安全管理平臺三部分。
圖2 智能制造領域數據安全管理平臺部署圖
生產制造區域存在大量數控機床、測試機床和試驗設備等一線生產工控設備,在這些設備側部署機甲衛士。機甲衛士通過與安全隔離認證網關連接,實現一線生產工控設備的接口威脅阻斷、外部接入安全認證,以及重要生產數據、機床狀態數據的真實性和機密性保護。控制管理網連接辦公網及生產制造網,是生產數據(如NC文件等)、策略指令、一線生產設備狀態數據等重要數據的匯聚中心,是上傳下達的重要媒介。因此,在控制管理網邊界部署安全隔離認證網關,提供終端安全接入、基于證書的身份認證和SSL/IPSec數據傳輸加密等功能,保證網絡通信管道及通信數據安全;部署集中管理系統和密鑰管理系統,作為安全防護平臺管理功能輸出模塊,提供密鑰管理、機床側接口安全管理及平臺側密碼設備的統一管控;通過調用服務器密碼機,實現NC文件、重要產品參數、指令及數控機床狀態數據的加密存儲,以及信源加密傳輸。在辦公網邊界部署安全隔離認證網關及VPN安全網關,解決互聯網威脅經由辦公網破壞重裝制造系統的安全問題。
無線網區域與辦公網直連,該區域覆蓋智能巡檢機器人、AGV小車等多種無線終端,在這些終端側部署5G安全接入終端,通過4G/5G無線與VPN安全網關/安全隔離認證網關連接,實現邊緣側設備的安全認證和高速加密組網,以及業務數據的機密性和完整性保護。視頻專網區域包含視頻監控、人臉識別、視頻數據采集等多種視頻終端,在這些終端側部署5G安全接入終端,通過4G/5G無線與VPN安全網關連接,實現邊緣側設備的安全認證和高速加密組網,以及視頻數據的機密性和完整性保護;在網絡邊界部署VPN安全網關,保障網域內和網域間的數據流轉安全。
2.3 詳細設計
2.3.1 機甲衛士
機甲衛士是針對生產制造裝備操作終端進行從內到外全方位保護的自主可控安全產品。機甲衛士以安全管控為核心,秉承“自主可控、主動預防、過程監控、行為審計”的設計理念,采用全方位信息隔離和監管技術,基于自主品牌的硬件平臺及密碼模塊,提供對數控機床串口、USB口及網口等通信端口的文件過濾、病毒查殺及在線狀態監測,支持數控機床通信傳輸過程中的指令及重要數據加密和傳輸鏈路加密。機甲衛士創新實現了數控機床系統從內到外信息交換過程的數據防護、安全監管和行為可追溯,在保證數控機床系統有效信息交換的前提下,最大限度地避免內部和外界對數控機床系統環境的侵犯。
系統部署在智能制造裝備前端,與機床設備一對一接入,對智能制造裝備的所有通信端口進行全方位數據防護及在線狀態監測,識別非法接入制造裝備的設備,并進行實時報警。系統支持集中管理各前端的配置及監控安全狀態。主要功能有:
(1)端口全方位防護:對數控機床設備的網口、串口和USB端口進行全方位的安全防護,防止威脅數據進入數控系統。
(2)網絡安全防護:支持OPCUA/DA、Modbus TCP、S7、IEC-61850、IEC-104、DNP3、Profinet等工業控制協議,支持智能制造裝備私有協議定制開發。
(3)文件過濾:提供文件規則過濾功能,可對文件內容檢查,包括檢查NC文件指令及范圍、關鍵字等。
(4)病毒查殺:對移動存儲類設備進行手動或自動的病毒查殺,支持指定目錄查殺和全盤查殺。
(5)集中管理:集中管理平臺可提供機床防護系統群管理功能,可以進行批量管理及配置,簡化操作。
2.3.2 5G安全接入終端
5G安全接入終端是一款符合國內4G/5G網絡規范的無線數據終端,可實現隨時隨地通過4G/5G網絡接入互聯網,滿足移動網絡接入的需求。同時,還可以通過接入VPN服務器實現網絡的穿透。安全接入終端和VPN服務器之間的連接使用國密的IPSecVPN進行加密,充分保證數據的安全性。在無線網絡環境下,可將生產制造的智能終端與安全接入終端進行連接。安全接入終端啟動可作為Wi-Fi熱點,單臺可支持10個Wi-Fi終端同時接入并共享移動互聯網的網絡連接,并可橫向擴展。
安全接入終端基于通信網絡的高性能終端設備,創新應用密碼技術與網絡通信技術融合,為企業提供入網身份認證、安全組網、傳輸數據加密等高性能安全服務。安全接入終端支持IPSecVPN、SSLVPN等多種安全接入協議,支持SM1、SM2、SM3、SM4等多種國密算法,通過與安全接入網關的連接可實現基于國密體系的安全鏈路,充分保證XX企業無線網絡數據的安全性。
2.3.3 安全隔離認證網關
安全隔離認證網關部署于該企業的生產制造網、控制管理網及辦公網的網絡邊界,解決了工業網絡邊界安全及邊緣側終端設備的安全接入和數據安全傳輸問題,實現了工業邊界的安全隔離、工控設備數據的安全可控及生產數據的安全交換。
安全隔離認證網關由VPN處理單元、內、外網處理單元與數據交換單元(專用隔離芯片)四部分組成。VPN處理單元負責邊緣側的身份認證、與采用國密算法的安全接入終端建立安全通道、數據安全加密和數據安全傳輸。內、外網處理單元是兩套專有的網絡安全控制設備,分別連接內外網絡。內、外網處理單元之間通過專用的隔離芯片進行數據的擺渡傳輸,其過程類似U盤拷貝。當專用隔離芯片與內網聯通時與外網電路是斷開的,當隔離部件與外網聯通時與內網是斷開的,在確保網絡隔離的前提下實現適度的數據交換。
2.3.4 密碼資源與管理平臺
密碼資源與管理平臺由集中管理系統、密鑰管理系統、服務器密碼機等產品組成,部署于該企業控制管理網中心機房。
集中管理系統通過集成5G安全接入終端、機甲衛士終端等產品的管理模塊,同時與安全隔離認證網關、VPN安全網關等密碼設備進行對接適配,對企業智能制造系統中密碼應用的密碼設備進行統一管理和集中控制。
密鑰管理系統參照相關管理規范標準進行設計,對VPN等各類密碼系統提供統一密鑰管理服務。密鑰管理包括對密鑰的生成、更新、存儲、分發、導入、導出、使用、備份、恢復、歸檔、銷毀等全生命周期進行管理,滿足信息系統三級密碼應用要求。
服務器密碼機為生產制造環境中的DNC系統的重要NC文件、生產產品參數、MES系統的重要指令、數控機床狀態數據等重要數據提供數據加解密、簽名驗簽等服務。
為實現制造網絡中多個應用系統間的互信互認,平臺為各系統設備、用戶提供統一的身份認證服務。服務支持多用戶隔離機制,有效保證不同系統數據隔離。各生產車間可建立獨立的管理員賬號,以統一服務的方式為用戶提供身份認證服務,幫助整體系統實現統一用戶管理、統一應用管理、統一身份認證、統一授權管理和統一日志審計,解決應用系統用戶分散管理、獨立認證及多次登錄等問題。
平臺支持基于組織機構和角色進行統一授權管理,對智能制造設備采取訪問控制措施,對操作用戶和應用系統對數據的訪問操作權限進行控制并審計,限制其使用數據資源能力,保障數據資源在合法范圍內得以使用和管理。在用戶訪問的過程中,對環境、行為和身份進行全程實時監測,一旦發現安全要求偏離基線,則快速調整用戶的訪問權限,減少業務暴露面,降低安全風險。
平臺提供數據庫結構化數據和文件等非結構化數據的加密存儲服務,保障智能制造環境中MES、PLM等系統存儲的重要數據安全。
2.3.5 數據安全集中管理平臺
數據安全集中管理平臺以“零信任”作為安全理念,基于密碼基因打造安全合規、統一管理、全面審計的數據全生命周期安全集中管理平臺,為用戶解決數據從生成、傳輸、存儲、處理、交換直至銷毀的數據全生命周期安全問題。
數據安全集中管理平臺承擔了整個安全平臺的維護、配置和管理任務,包括設備狀態監測、用戶管理、角色管理、配置管理和日志管理。集中管理平臺聯動密鑰管理系統可以對在線的密碼設備和密碼資源進行靈活調度;也可以對系統的用戶和角色權限進行配置;還可以查看平臺所有的操作日志以及對系統運行參數進行配置。
平臺結合數據資產識別,發現需要保護的重要數據。采用信息摘要技術為重要數據提供信息摘要;融入數據使用、傳輸等流程,對重要數據的操作過程及其應用系統或用戶簽名,確保數據完整性操作審計的全面記錄和不可抵賴性,防止業務數據被人為惡意篡改,確保智能制造系統運行功能安全。
平臺對接MES、PLM等應用系統,記錄對用戶認證日志、授權日志、鑒權日志、系統操作日志等多類日志,形成統一的行為審計管理體系。通過歸類合并、關聯分析及圖表展示等方法,使管理員可以輕松識別人員異常訪問行為和操作時間等,以及保證出現安全事件后可根據日志事后溯源。
3 案例亮點及創新性
在智能制造領域數據安全管理平臺中,安全隔離認證網關利用VPN安全傳輸技術,在保障工業邊界安全的基礎上,通過工控網絡的數據安全加密和數據安全傳輸,實現了泛在部署的多種類終端的安全接入,提升了工控網絡、工控設備和工控數據的安全性。
4G/5G安全接入終端將密碼技術和4G/5G通信技術相融合,建立基于商用密碼算法的安全通信體系,支持4G、5G和有線網絡等多方式網絡接入,為邊緣側提供安全、可溯、低時延和高性能的終端防護能力。同時,與安全隔離認證網關聯合構建覆蓋終端、通道及邊界的安全防護體系,聯通邊緣側與中心端。
機甲衛士將密碼技術與機床終端防護技術融合,實現了將安全防護深入到生產制造的一線生產環節,重點解決了數控機床等企業重要資產自身安全防護和重要資產的核心生產參數機密性保護等問題。
綜上所述,整體方案落實了國家“十四五智能制造發展規劃”等相關政策要求,基于工控安全、數據安全、5G等安全體系架構設計,相關產品融合工控安全檢測、商用密碼和異常點分析等技術。該方案面向企業智能制造生產應用場景,提供了融合網絡安全、數據安全和功能安全的安全解決方案,提升了該企業生產制造過程的整體安全水平,保障了企業的業務運營、生產安全甚至相關國家重要項目安全。隨著智能制造和兩化融合的深入發展,相關方案、案例也值得進一步擴大應用和推廣,以增強我國智能制造的安全防御能力。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號