國家 “十三五” 規劃《綱要》、網絡強國及 “互聯網+” 等一系列戰略部署的推進實施，對我國工控系統安全保障工作提出了更高的要求，這就需要工業企業必須盡快提升工控安全保障水平和網絡安全事件應急處置能力，以更好的支撐經濟社會健康有序發展。軍工企業作為制造業的典型代表，在響應國家智能制造戰略和自身發展要求的同時，還必須考慮國家有關部門的安全保密要求。軍工企業生產網和管理網之間因為保密要求而必須保證物理隔離的現狀，給軍工企業智能制造產業升級和發展造成了現實的困難，也為軍工數控系統網絡安全防護提出了更高的要求。本文針對軍工數控系統網絡安全防護現狀進行了分析，并給出了軍工數控系統網絡安全防護設計思路和具體防護措施。

軍工數控行業安全現狀分析

當前，我國軍工領域數控網絡安全防護工作還處于起步階段，數控系統安全防護意識淡薄，主動開展工作的積極性不高，現有的安全防護手段匱乏，缺乏自我保護能力，其中的突出問題表現如下：

數控機床的事故風險高。數控機床的進給速度已從 80 年代的 16m/min 到現在的 24～40m/min，主軸轉速也從 2500r/min 上升到現在 6000～40000r/min，機床結構也從敞開型向封閉型轉變。在這樣的高速度和結構的情況下，一旦由于編程和操作失誤，操筆者來不及按急停按鈕，刀具已與工件相撞，極易出現機床和人身事故。

關鍵技術和知識產權被泄漏或竊取的可能大。近年來，惡意軟件攻擊和筆記本電腦、移動智能終端設備是最主要兩種泄密方式。單從技術角度分析，數控設備的操作系統漏洞和數控系統漏洞引入的惡意軟件攻擊，以及對外設端口、無線設備及模塊缺乏嚴格管控，存在濫用風險。從而導致泄密事件的發生，使國家秘密泄露，使企業造成重大經濟損失。

國家科研生產能力安全保密風險高。產品的工藝參數和控制指令是生產出高精尖軍工產品的關鍵數據，工業控制系統一旦受到病毒及惡意軟件的攻擊，數據和指令被惡意篡改，將嚴重影響產品質量和生產效率，從而導致巨大經濟損失，甚至是影響國防建設。必須加強工業主機（工程師站、操作員站等）、各類服務器的安全防護，防止病毒及惡意軟件的入侵。

軍工數控系統網絡安全防護設計思路

本文提出的軍工數控系統網絡安全防護設計思路嚴格按照《國防科工局關于加強軍工領域工業控制系統安全保密管理的通知》、《網絡安全等級保護基本要求》和《工業控制系統信息安全防護指南》等文件要求，總體設計思路按照“主動防御、實時監測、快速響應、及時恢復”的方針，開展工業控制系統網絡安全事件的防護、檢測、預警和應急處置等工作。采用 “技術+管理+服務” 相結合的安全防護理念，幫助軍工企業搭建綜合縱深的工控安全防護體系。

數據安全保密方面，以嚴防數據“高密低流”為主旨，在保障信息完整性、可靠性和安全性的基礎上，以兩路單向數據傳輸技術為核心搭建安全數據交換平臺，實現軍工涉密網和工業控制網絡之間的數據安全交換。

工業控制網絡安全方面，則重點從安全數據交換、安全區域劃分、邊界隔離及訪問控制、網絡安全審計、主機安全防護等方面給出了具體的安全防護措施。

下圖是軍工數控系統網絡安全防護體系總體設計架構。

軍工數控系統網絡安全具體防護措施

1. 安全數據交換

在軍工涉密網與工業控制網絡之間設置數據交換域。通過在軍工涉密網與工業控制網絡之間的上、下行兩條鏈路分別部署單向光閘設備，根據光的單向傳輸特性，需要交換的數據只能從前置代理服務器傳輸到后置代理服務器，反向沒有任何數據傳輸。如此，通過單向光閘設備形成了兩個域間的數據擺渡解決方案，實現數據的隔離控制和安全交換。軍工涉密網與工業控制網絡之間的單向數據傳輸可有效避免數據泄密。

2. 安全區劃分

應采用縱向分層、橫向分區的保護結構，構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御體系?？v向安全區域的劃分根據軍工（數控）企業數控加工廠的網絡結構，根據信息化功能的不同，將整個生產網絡劃分為生產管理層、過程監控層、現場控制層三層縱深結構。橫向安全區域的劃分以數控設備所在車間為單位分為生產安全 1 區~ n 區。并按照方便管理和控制的原則為各安全區域分配VLAN和不同的網段地址。

3. 邊界隔離及訪問控制

軍工（數控）企業數控加工廠可在生產管理層和過程監控層的邊界部署工業控制防火墻，實現區域邊界的隔離，工業控制防火墻部署在每個車間的交換機與生產管理層的匯聚交換機的鏈路之間，形成以車間或生產線為單位的安全域。通過輸入訪問限制策略和隔絕等技術分割網絡，防護來自外部網絡的入侵行為傳播。另外，根據數控設備（包括數控機床和數控加工中心）的系統特點，每一臺數控設備都同時具有了上下位機的功能。這樣，每臺數控設備就形成了包括 0~2 層的獨立的工業控制系統的結構，可在重點數控設備前端部署防火墻進行關鍵設備安全防護。

通過在各個安全區域邊界部署的工業控制防火墻進一步實現區域邊界的通信訪問控制，同時必須正確設置防火墻的安全規則。即使智能型防火墻，也需要自定義安全規則。并依據最小化原則配置訪問控制策略，規定主體對客體的訪問規則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。

4. 有效阻止主動的攻擊行為和病毒的傳播

同時在數控車間的匯聚交換機或 DNC 服務器交換機的位置部署網絡終端接入控制系統，采用硬件純旁路部署方式接入生產網絡，及時發現并記錄網絡中的私建網中網、BYOD 設備接入、雙網互連、IP 地址沖突等違規事件，實時定位終端的接入位置，發現非授權接入設備。最大限度的管控因非授權設備接入網絡導致的病毒傳播和惡意軟件入侵事件。

5. 區域安全審計

在生產管理層的匯聚交換機上部署工控安全監測和審計系統，同樣采用硬件純旁路部署方式接入生產網絡，對工業生產過程“零風險”。提供上下位機系統的安全審計、DNC 系統報警審計、上下位機通信協議的審計、程序異常行為檢測及審計、審計報表生成等功能?？焖儆行ёR別出工業控制網絡中存在的網絡異常事件、網絡攻擊行為，并進行實時告警。

可記錄發送到/來源于現場設備的所有的指令和指令執行結果；支持眾多的工控協議，包括但不限于：IEC104、S7、DNP3、Modbus TCP、OPC 、Siemens Profinet、Siemens Teleperm XP、Siemens TIM等。

6. 主機安全防護

由于軍工（數控）企業數控加工廠的數控設備大都是Windows的操作系統，且無法為系統及時的打補丁，所以更適合用主機白名單軟件做病毒防護和惡意軟件防護?？梢允褂霉I主機白名單軟件（終端安全衛士）對各類服務器和終端進行病毒防護，工業主機白名單軟件摒棄了現有防病毒防護軟件的 “黑名單機制”，采用 “白名單機制” 從防護原理上杜絕了實時訪問互聯網，定期查殺這兩個不適合工業領域的硬傷?！鞍酌麊巍?內的軟件可以放心使用，“白名單” 外的軟件會在啟動之前被攔截。提升了主機安全防護能力和合規管理水平，滿足等級保護三級中關于主機安全的相關要求。

所有工業控制系統的過程監控設備操作系統應采用最小化系統安裝原則，只安裝與自身業務相關的操作系統組件及應用軟件。主機白名單軟件具有 USB 安全防護功能，加強了對 USB 端口管理，限制光驅使用。

結語

本文通過對軍工數控系統網絡安全現狀的分析，提出了一種軍工數控系統網絡安全防護體系建設思路，該安全防護體系主要從安全數據交換、安全區域劃分、邊界隔離及訪問控制、網絡安全審計、主機安全防護等方面給出了軍工數控系統網絡安全的具體防護措施和建議，以期推進工業控制系統安全防護技術在軍工行業的應用。