今日頭條
官方微信
官方抖音
案例頻道★陸晗北京安盟信息技術股份有限公司
1 項目概況
1.1 項目背景
網(wǎng)絡戰(zhàn)已成為高技術戰(zhàn)爭的重要作戰(zhàn)形式,工業(yè)控制系統(tǒng)作為國家基礎設施的重要組成部分,已成為網(wǎng)絡戰(zhàn)的重點攻擊目標。不同于傳統(tǒng)網(wǎng)絡攻擊僅對信息系統(tǒng)和數(shù)據(jù)造成破壞,工控系統(tǒng)控制現(xiàn)實物理設備,通過對工控網(wǎng)絡進行攻擊,可以達成與傳統(tǒng)物理空間攻擊(甚至是火力打擊)的等效作用——斷能源、斷管網(wǎng)、設備損壞、放毒、爆炸等。國外工控產(chǎn)品及系統(tǒng)平臺產(chǎn)品中包含的零日(0day)漏洞與各類后門程序,以及層出不窮的“工業(yè)控制系統(tǒng)攻擊武器”,都使得國家安全和社會穩(wěn)定面臨巨大威脅。智能制造為工業(yè)發(fā)展帶來便利之時,也帶來了嚴峻風險問題。尤其是網(wǎng)絡安全和工業(yè)自動化控制系統(tǒng)信息安全問題引發(fā)的事故案例正快速增加,工控網(wǎng)絡邊界日益模糊。
某企業(yè)已完成了兩化融合和智能制造系統(tǒng)的初步建設,核心業(yè)務流程實現(xiàn)了縱向打通和橫向貫通。生產(chǎn)環(huán)境采用了典型的工控生產(chǎn)系統(tǒng),主要劃分為企業(yè)辦公網(wǎng)、控制管理網(wǎng)、生產(chǎn)制造網(wǎng)、視頻網(wǎng)和無線網(wǎng)五個區(qū)域,各區(qū)域通過不同設備進行網(wǎng)絡隔離,共同實現(xiàn)重型設備從零件生產(chǎn)、加工、組裝、出貨到管理的全流程自動化、信息化和數(shù)字化。但企業(yè)對內(nèi)部工控生產(chǎn)系統(tǒng)中流轉的數(shù)據(jù)缺乏可控性、安全性評估和保護手段。
1.2 項目簡介
某企業(yè)是重裝設備的制造大廠,在全國乃至國際市場占據(jù)重要位置,尤其是其智能制造業(yè)務板塊關系到國計民生、經(jīng)濟命脈和城市運行。例如,其生產(chǎn)的產(chǎn)品涉及電力、水利甚至軍工等重要領域,裝備產(chǎn)品參數(shù)既是企業(yè)的敏感數(shù)據(jù)也是關系國家重要基礎設施的核心數(shù)據(jù),如被竊取或破壞將對企業(yè)運營、生產(chǎn)安全甚至國家安全帶來影響。另外,在智能制造業(yè)務板塊中,核心的生產(chǎn)設備、工控系統(tǒng)等(如數(shù)控機床、機器人、坐標測量機以及PLC可編程邏輯控制器等)國產(chǎn)化率較低,大都來自于國外品牌,技術受制于人的同時,數(shù)據(jù)安全風險系數(shù)也較高。目前該企業(yè)工控生產(chǎn)系統(tǒng)的80%核心組件和工具產(chǎn)品均來自國外品牌,且在生產(chǎn)控制系統(tǒng)建設中,國外廠商參與實施的集成實現(xiàn)細節(jié)也不對其公布。因此,亟需密碼這一底層保障技術提升其裝備制造業(yè)務安全防護水平,建立基礎信任能力,進行底層安全賦能,構造智能制造板塊的第一道防線,保障企業(yè)效益長足穩(wěn)定發(fā)展。
1.3 項目目標
本項目嚴格遵循網(wǎng)絡安全、數(shù)據(jù)安全和密碼應用相關法律法規(guī)及政策規(guī)范,依照等級保護、密碼測評等合規(guī)要求,進行智能制造領域數(shù)據(jù)全生命周期管理及密碼應用建設。在該企業(yè)智能制造業(yè)務、數(shù)據(jù)安全現(xiàn)狀和密碼應用需求基礎上,搭建智能制造領域數(shù)據(jù)安全管理平臺,通過與企業(yè)自身智能制造典型應用場景耦合的功能設計,實現(xiàn)智能制造設備的安全防護、網(wǎng)絡邊緣側的安全接入與數(shù)據(jù)匯聚及網(wǎng)絡邊界數(shù)據(jù)通信強邏輯隔離,為企業(yè)構建覆蓋終端、通道及邊界的智能制造領域數(shù)據(jù)安全防護體系,全面提升體系化安全保障能力,有效促進密碼技術與智能制造業(yè)務的融合,為企業(yè)整體安全保障體系建設貢獻力量。
2 項目實施
2.1 系統(tǒng)架構
智能制造領域數(shù)據(jù)安全管理平臺由七部分構成,如圖1所示,分別是機甲衛(wèi)士、5G安全接入終端、安全隔離認證網(wǎng)關、VPN安全網(wǎng)關、密鑰管理系統(tǒng)、服務器密碼機及數(shù)據(jù)安全集中管理系統(tǒng)。
圖1 智能制造領域數(shù)據(jù)安全管理平臺建設總體架構圖
作為邊緣側安全產(chǎn)品,5G安全接入終端和機甲衛(wèi)士分別完成各類物聯(lián)網(wǎng)設備和一線數(shù)控機床等工控設備的安全加固和可信認證,并與安全邊界的VPN安全網(wǎng)關/安全隔離認證網(wǎng)關建立安全加密通道,通過密鑰管理系統(tǒng)和服務器密碼機實現(xiàn)密碼資源靈活調(diào)度及密鑰管理,“云-管-端-邊”多側協(xié)同、聯(lián)合實現(xiàn)企業(yè)工控系統(tǒng)工業(yè)設備安全防護、生產(chǎn)數(shù)據(jù)安全傳輸及業(yè)務系統(tǒng)安全管控。
2.2 系統(tǒng)部署
智能制造領域數(shù)據(jù)安全管理平臺以XX公司數(shù)據(jù)安全需求和密碼應用建設作為基礎,結合智能制造系統(tǒng)構建深入一線生產(chǎn)制造環(huán)節(jié),覆蓋終端、通道及邊界的制造領域數(shù)據(jù)安全防護體系,如圖2所示。智能制造領域數(shù)據(jù)安全管理平臺根據(jù)各組成系統(tǒng)功能和部署位置,可劃分為端側防護設施、邊界防護設施、密碼資源與數(shù)據(jù)安全管理平臺三部分。
圖2 智能制造領域數(shù)據(jù)安全管理平臺部署圖
生產(chǎn)制造區(qū)域存在大量數(shù)控機床、測試機床和試驗設備等一線生產(chǎn)工控設備,在這些設備側部署機甲衛(wèi)士。機甲衛(wèi)士通過與安全隔離認證網(wǎng)關連接,實現(xiàn)一線生產(chǎn)工控設備的接口威脅阻斷、外部接入安全認證,以及重要生產(chǎn)數(shù)據(jù)、機床狀態(tài)數(shù)據(jù)的真實性和機密性保護。控制管理網(wǎng)連接辦公網(wǎng)及生產(chǎn)制造網(wǎng),是生產(chǎn)數(shù)據(jù)(如NC文件等)、策略指令、一線生產(chǎn)設備狀態(tài)數(shù)據(jù)等重要數(shù)據(jù)的匯聚中心,是上傳下達的重要媒介。因此,在控制管理網(wǎng)邊界部署安全隔離認證網(wǎng)關,提供終端安全接入、基于證書的身份認證和SSL/IPSec數(shù)據(jù)傳輸加密等功能,保證網(wǎng)絡通信管道及通信數(shù)據(jù)安全;部署集中管理系統(tǒng)和密鑰管理系統(tǒng),作為安全防護平臺管理功能輸出模塊,提供密鑰管理、機床側接口安全管理及平臺側密碼設備的統(tǒng)一管控;通過調(diào)用服務器密碼機,實現(xiàn)NC文件、重要產(chǎn)品參數(shù)、指令及數(shù)控機床狀態(tài)數(shù)據(jù)的加密存儲,以及信源加密傳輸。在辦公網(wǎng)邊界部署安全隔離認證網(wǎng)關及VPN安全網(wǎng)關,解決互聯(lián)網(wǎng)威脅經(jīng)由辦公網(wǎng)破壞重裝制造系統(tǒng)的安全問題。
無線網(wǎng)區(qū)域與辦公網(wǎng)直連,該區(qū)域覆蓋智能巡檢機器人、AGV小車等多種無線終端,在這些終端側部署5G安全接入終端,通過4G/5G無線與VPN安全網(wǎng)關/安全隔離認證網(wǎng)關連接,實現(xiàn)邊緣側設備的安全認證和高速加密組網(wǎng),以及業(yè)務數(shù)據(jù)的機密性和完整性保護。視頻專網(wǎng)區(qū)域包含視頻監(jiān)控、人臉識別、視頻數(shù)據(jù)采集等多種視頻終端,在這些終端側部署5G安全接入終端,通過4G/5G無線與VPN安全網(wǎng)關連接,實現(xiàn)邊緣側設備的安全認證和高速加密組網(wǎng),以及視頻數(shù)據(jù)的機密性和完整性保護;在網(wǎng)絡邊界部署VPN安全網(wǎng)關,保障網(wǎng)域內(nèi)和網(wǎng)域間的數(shù)據(jù)流轉安全。
2.3 詳細設計
2.3.1 機甲衛(wèi)士
機甲衛(wèi)士是針對生產(chǎn)制造裝備操作終端進行從內(nèi)到外全方位保護的自主可控安全產(chǎn)品。機甲衛(wèi)士以安全管控為核心,秉承“自主可控、主動預防、過程監(jiān)控、行為審計”的設計理念,采用全方位信息隔離和監(jiān)管技術,基于自主品牌的硬件平臺及密碼模塊,提供對數(shù)控機床串口、USB口及網(wǎng)口等通信端口的文件過濾、病毒查殺及在線狀態(tài)監(jiān)測,支持數(shù)控機床通信傳輸過程中的指令及重要數(shù)據(jù)加密和傳輸鏈路加密。機甲衛(wèi)士創(chuàng)新實現(xiàn)了數(shù)控機床系統(tǒng)從內(nèi)到外信息交換過程的數(shù)據(jù)防護、安全監(jiān)管和行為可追溯,在保證數(shù)控機床系統(tǒng)有效信息交換的前提下,最大限度地避免內(nèi)部和外界對數(shù)控機床系統(tǒng)環(huán)境的侵犯。
系統(tǒng)部署在智能制造裝備前端,與機床設備一對一接入,對智能制造裝備的所有通信端口進行全方位數(shù)據(jù)防護及在線狀態(tài)監(jiān)測,識別非法接入制造裝備的設備,并進行實時報警。系統(tǒng)支持集中管理各前端的配置及監(jiān)控安全狀態(tài)。主要功能有:
(1)端口全方位防護:對數(shù)控機床設備的網(wǎng)口、串口和USB端口進行全方位的安全防護,防止威脅數(shù)據(jù)進入數(shù)控系統(tǒng)。
(2)網(wǎng)絡安全防護:支持OPCUA/DA、Modbus TCP、S7、IEC-61850、IEC-104、DNP3、Profinet等工業(yè)控制協(xié)議,支持智能制造裝備私有協(xié)議定制開發(fā)。
(3)文件過濾:提供文件規(guī)則過濾功能,可對文件內(nèi)容檢查,包括檢查NC文件指令及范圍、關鍵字等。
(4)病毒查殺:對移動存儲類設備進行手動或自動的病毒查殺,支持指定目錄查殺和全盤查殺。
(5)集中管理:集中管理平臺可提供機床防護系統(tǒng)群管理功能,可以進行批量管理及配置,簡化操作。
2.3.2 5G安全接入終端
5G安全接入終端是一款符合國內(nèi)4G/5G網(wǎng)絡規(guī)范的無線數(shù)據(jù)終端,可實現(xiàn)隨時隨地通過4G/5G網(wǎng)絡接入互聯(lián)網(wǎng),滿足移動網(wǎng)絡接入的需求。同時,還可以通過接入VPN服務器實現(xiàn)網(wǎng)絡的穿透。安全接入終端和VPN服務器之間的連接使用國密的IPSecVPN進行加密,充分保證數(shù)據(jù)的安全性。在無線網(wǎng)絡環(huán)境下,可將生產(chǎn)制造的智能終端與安全接入終端進行連接。安全接入終端啟動可作為Wi-Fi熱點,單臺可支持10個Wi-Fi終端同時接入并共享移動互聯(lián)網(wǎng)的網(wǎng)絡連接,并可橫向擴展。
安全接入終端基于通信網(wǎng)絡的高性能終端設備,創(chuàng)新應用密碼技術與網(wǎng)絡通信技術融合,為企業(yè)提供入網(wǎng)身份認證、安全組網(wǎng)、傳輸數(shù)據(jù)加密等高性能安全服務。安全接入終端支持IPSecVPN、SSLVPN等多種安全接入?yún)f(xié)議,支持SM1、SM2、SM3、SM4等多種國密算法,通過與安全接入網(wǎng)關的連接可實現(xiàn)基于國密體系的安全鏈路,充分保證XX企業(yè)無線網(wǎng)絡數(shù)據(jù)的安全性。
2.3.3 安全隔離認證網(wǎng)關
安全隔離認證網(wǎng)關部署于該企業(yè)的生產(chǎn)制造網(wǎng)、控制管理網(wǎng)及辦公網(wǎng)的網(wǎng)絡邊界,解決了工業(yè)網(wǎng)絡邊界安全及邊緣側終端設備的安全接入和數(shù)據(jù)安全傳輸問題,實現(xiàn)了工業(yè)邊界的安全隔離、工控設備數(shù)據(jù)的安全可控及生產(chǎn)數(shù)據(jù)的安全交換。
安全隔離認證網(wǎng)關由VPN處理單元、內(nèi)、外網(wǎng)處理單元與數(shù)據(jù)交換單元(專用隔離芯片)四部分組成。VPN處理單元負責邊緣側的身份認證、與采用國密算法的安全接入終端建立安全通道、數(shù)據(jù)安全加密和數(shù)據(jù)安全傳輸。內(nèi)、外網(wǎng)處理單元是兩套專有的網(wǎng)絡安全控制設備,分別連接內(nèi)外網(wǎng)絡。內(nèi)、外網(wǎng)處理單元之間通過專用的隔離芯片進行數(shù)據(jù)的擺渡傳輸,其過程類似U盤拷貝。當專用隔離芯片與內(nèi)網(wǎng)聯(lián)通時與外網(wǎng)電路是斷開的,當隔離部件與外網(wǎng)聯(lián)通時與內(nèi)網(wǎng)是斷開的,在確保網(wǎng)絡隔離的前提下實現(xiàn)適度的數(shù)據(jù)交換。
2.3.4 密碼資源與管理平臺
密碼資源與管理平臺由集中管理系統(tǒng)、密鑰管理系統(tǒng)、服務器密碼機等產(chǎn)品組成,部署于該企業(yè)控制管理網(wǎng)中心機房。
集中管理系統(tǒng)通過集成5G安全接入終端、機甲衛(wèi)士終端等產(chǎn)品的管理模塊,同時與安全隔離認證網(wǎng)關、VPN安全網(wǎng)關等密碼設備進行對接適配,對企業(yè)智能制造系統(tǒng)中密碼應用的密碼設備進行統(tǒng)一管理和集中控制。
密鑰管理系統(tǒng)參照相關管理規(guī)范標準進行設計,對VPN等各類密碼系統(tǒng)提供統(tǒng)一密鑰管理服務。密鑰管理包括對密鑰的生成、更新、存儲、分發(fā)、導入、導出、使用、備份、恢復、歸檔、銷毀等全生命周期進行管理,滿足信息系統(tǒng)三級密碼應用要求。
服務器密碼機為生產(chǎn)制造環(huán)境中的DNC系統(tǒng)的重要NC文件、生產(chǎn)產(chǎn)品參數(shù)、MES系統(tǒng)的重要指令、數(shù)控機床狀態(tài)數(shù)據(jù)等重要數(shù)據(jù)提供數(shù)據(jù)加解密、簽名驗簽等服務。
為實現(xiàn)制造網(wǎng)絡中多個應用系統(tǒng)間的互信互認,平臺為各系統(tǒng)設備、用戶提供統(tǒng)一的身份認證服務。服務支持多用戶隔離機制,有效保證不同系統(tǒng)數(shù)據(jù)隔離。各生產(chǎn)車間可建立獨立的管理員賬號,以統(tǒng)一服務的方式為用戶提供身份認證服務,幫助整體系統(tǒng)實現(xiàn)統(tǒng)一用戶管理、統(tǒng)一應用管理、統(tǒng)一身份認證、統(tǒng)一授權管理和統(tǒng)一日志審計,解決應用系統(tǒng)用戶分散管理、獨立認證及多次登錄等問題。
平臺支持基于組織機構和角色進行統(tǒng)一授權管理,對智能制造設備采取訪問控制措施,對操作用戶和應用系統(tǒng)對數(shù)據(jù)的訪問操作權限進行控制并審計,限制其使用數(shù)據(jù)資源能力,保障數(shù)據(jù)資源在合法范圍內(nèi)得以使用和管理。在用戶訪問的過程中,對環(huán)境、行為和身份進行全程實時監(jiān)測,一旦發(fā)現(xiàn)安全要求偏離基線,則快速調(diào)整用戶的訪問權限,減少業(yè)務暴露面,降低安全風險。
平臺提供數(shù)據(jù)庫結構化數(shù)據(jù)和文件等非結構化數(shù)據(jù)的加密存儲服務,保障智能制造環(huán)境中MES、PLM等系統(tǒng)存儲的重要數(shù)據(jù)安全。
2.3.5 數(shù)據(jù)安全集中管理平臺
數(shù)據(jù)安全集中管理平臺以“零信任”作為安全理念,基于密碼基因打造安全合規(guī)、統(tǒng)一管理、全面審計的數(shù)據(jù)全生命周期安全集中管理平臺,為用戶解決數(shù)據(jù)從生成、傳輸、存儲、處理、交換直至銷毀的數(shù)據(jù)全生命周期安全問題。
數(shù)據(jù)安全集中管理平臺承擔了整個安全平臺的維護、配置和管理任務,包括設備狀態(tài)監(jiān)測、用戶管理、角色管理、配置管理和日志管理。集中管理平臺聯(lián)動密鑰管理系統(tǒng)可以對在線的密碼設備和密碼資源進行靈活調(diào)度;也可以對系統(tǒng)的用戶和角色權限進行配置;還可以查看平臺所有的操作日志以及對系統(tǒng)運行參數(shù)進行配置。
平臺結合數(shù)據(jù)資產(chǎn)識別,發(fā)現(xiàn)需要保護的重要數(shù)據(jù)。采用信息摘要技術為重要數(shù)據(jù)提供信息摘要;融入數(shù)據(jù)使用、傳輸?shù)攘鞒蹋瑢χ匾獢?shù)據(jù)的操作過程及其應用系統(tǒng)或用戶簽名,確保數(shù)據(jù)完整性操作審計的全面記錄和不可抵賴性,防止業(yè)務數(shù)據(jù)被人為惡意篡改,確保智能制造系統(tǒng)運行功能安全。
平臺對接MES、PLM等應用系統(tǒng),記錄對用戶認證日志、授權日志、鑒權日志、系統(tǒng)操作日志等多類日志,形成統(tǒng)一的行為審計管理體系。通過歸類合并、關聯(lián)分析及圖表展示等方法,使管理員可以輕松識別人員異常訪問行為和操作時間等,以及保證出現(xiàn)安全事件后可根據(jù)日志事后溯源。
3 案例亮點及創(chuàng)新性
在智能制造領域數(shù)據(jù)安全管理平臺中,安全隔離認證網(wǎng)關利用VPN安全傳輸技術,在保障工業(yè)邊界安全的基礎上,通過工控網(wǎng)絡的數(shù)據(jù)安全加密和數(shù)據(jù)安全傳輸,實現(xiàn)了泛在部署的多種類終端的安全接入,提升了工控網(wǎng)絡、工控設備和工控數(shù)據(jù)的安全性。
4G/5G安全接入終端將密碼技術和4G/5G通信技術相融合,建立基于商用密碼算法的安全通信體系,支持4G、5G和有線網(wǎng)絡等多方式網(wǎng)絡接入,為邊緣側提供安全、可溯、低時延和高性能的終端防護能力。同時,與安全隔離認證網(wǎng)關聯(lián)合構建覆蓋終端、通道及邊界的安全防護體系,聯(lián)通邊緣側與中心端。
機甲衛(wèi)士將密碼技術與機床終端防護技術融合,實現(xiàn)了將安全防護深入到生產(chǎn)制造的一線生產(chǎn)環(huán)節(jié),重點解決了數(shù)控機床等企業(yè)重要資產(chǎn)自身安全防護和重要資產(chǎn)的核心生產(chǎn)參數(shù)機密性保護等問題。
綜上所述,整體方案落實了國家“十四五智能制造發(fā)展規(guī)劃”等相關政策要求,基于工控安全、數(shù)據(jù)安全、5G等安全體系架構設計,相關產(chǎn)品融合工控安全檢測、商用密碼和異常點分析等技術。該方案面向企業(yè)智能制造生產(chǎn)應用場景,提供了融合網(wǎng)絡安全、數(shù)據(jù)安全和功能安全的安全解決方案,提升了該企業(yè)生產(chǎn)制造過程的整體安全水平,保障了企業(yè)的業(yè)務運營、生產(chǎn)安全甚至相關國家重要項目安全。隨著智能制造和兩化融合的深入發(fā)展,相關方案、案例也值得進一步擴大應用和推廣,以增強我國智能制造的安全防御能力。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號