◎齊俊鵬 趙 越 徐 靖

1.中國航天系統(tǒng)科學與工程研究院，北京，100048

2.中國航天科技集團公司，北京，100048

隨著計算機網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)中的深入應(yīng)用，工控系統(tǒng)從“信息孤島”向網(wǎng)絡(luò)化、集成化模式發(fā)展已成為必然趨勢，越來越多的工控系統(tǒng)接入企業(yè)內(nèi)部網(wǎng)絡(luò)。當“震網(wǎng)病毒”事件爆發(fā)后，工控系統(tǒng)長期以來存在的安全風險浮出水面，并成為影響國家戰(zhàn)略實施和基礎(chǔ)設(shè)施穩(wěn)定運行的重要因素。加強工控設(shè)備聯(lián)網(wǎng)的安全防護已成為信息安全領(lǐng)域關(guān)注的焦點。

本文以數(shù)控機床聯(lián)網(wǎng)需求為切入點，重點分析當前數(shù)控機床聯(lián)網(wǎng)存在的安全風險，并基于安全風險提出一種應(yīng)用可信驗證模型和整體解決方案。

一、互聯(lián)的必要性和意義

當前，全球制造業(yè)正在邁向網(wǎng)絡(luò)化、智能化，而網(wǎng)絡(luò)化、智能化的前提是構(gòu)建起聯(lián)通制造業(yè)“信息孤島”、實現(xiàn)工業(yè)大數(shù)據(jù)安全流轉(zhuǎn)的高速網(wǎng)絡(luò)。工業(yè)控制網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)，將為企業(yè)研發(fā)、設(shè)計、決策、管理等提供新的工具和手段，為業(yè)務(wù)鏈條的各環(huán)節(jié)提供新的協(xié)作平臺，必將有力地推動我國工業(yè)生產(chǎn)方式的轉(zhuǎn)變和產(chǎn)業(yè)結(jié)構(gòu)的優(yōu)化升級，催生定制化制造、協(xié)同制造、服務(wù)型制造、智能化制造等一系列新模式、新業(yè)態(tài)，助推“中國制造2025”行動綱領(lǐng)實施和制造強國戰(zhàn)略目標的實現(xiàn)。

以航天科技為代表的軍工制造業(yè)，是中國制造業(yè)的戰(zhàn)略力量，它的發(fā)展水平在一定程度上決定著中國高端制造業(yè)的水平。在當前制造業(yè)整體向網(wǎng)絡(luò)化、智能化方向發(fā)展的前提下，解決軍工制造業(yè)信息孤島的問題，支持工業(yè)大數(shù)據(jù)安全有序流動，互聯(lián)是這一切的基礎(chǔ)，且已變得迫在眉睫。

構(gòu)建堅固的網(wǎng)絡(luò)安全防護體系，保護敏感信息和知識產(chǎn)權(quán)，避免類似“震網(wǎng)病毒”事件再次發(fā)生，是實現(xiàn)工控系統(tǒng)與企業(yè)內(nèi)網(wǎng)互聯(lián)的重中之重。

二、互聯(lián)的安全風險分析

（一）機床的安全風險

圖1 數(shù)控機床組成示意圖

數(shù)控機床一般由輸入輸出設(shè)備、計算機數(shù)控（Computer Numerical Control，CNC）裝置、伺服單元、驅(qū)動裝置、可編程控制器PLC及電氣控制裝置、輔助裝置、機床本體及測量裝置組成，其中除機床本體之外的部分統(tǒng)稱為計算機數(shù)控系統(tǒng)。數(shù)控機床組成示意圖如圖1。

機床本體是指組成機床的各機械部件，而計算機數(shù)控系統(tǒng)是整個數(shù)控機床的核心，是一套軟硬結(jié)合的智能化系統(tǒng)。計算機數(shù)控系統(tǒng)從外部接收數(shù)據(jù)，經(jīng)過層層處理，最終轉(zhuǎn)換為機械運動，由機床本體執(zhí)行相關(guān)加工動作。

數(shù)控系統(tǒng)主要的信息安全風險情況如表1。

（二）采購和維修的安全風險

數(shù)控機床的采購、維修過程是當前設(shè)備供應(yīng)鏈中安全風險非常嚴峻的一個環(huán)節(jié)。在已經(jīng)曝光的美國“量子”項目中，美國安全局（NSA）在設(shè)備生產(chǎn)過程中向重點目標植入惡意的軟硬件，并通過這些惡意軟硬件向互聯(lián)網(wǎng)或鄰近的接收裝置建立連接，從而達到竊取和收集目標中的重要信息。

表1 數(shù)控機床自身的安全風險

由于數(shù)控產(chǎn)品構(gòu)成日益復(fù)雜，一臺設(shè)備的配件可能來自不同的國家和廠商，一套復(fù)雜的軟件系統(tǒng)可能由不同地方的人員共同設(shè)計完成，在以上任何一個環(huán)節(jié)中都可能引入后門和漏洞，極大地增加了信息安全防護難度；此外，由于與傳統(tǒng)的病毒、木馬不同，在設(shè)備中植入惡意硬件的形式更加隱蔽，一些硬件后門以邏輯漏洞的方式直接植入被封裝好的芯片中，其惡意功能只在特定的條件下才會觸發(fā)，難以通過常規(guī)手段檢測出來。

當前，我國大部分數(shù)控設(shè)備或數(shù)控系統(tǒng)都是從國外引進，因此國外廠商能夠很輕易通過預(yù)設(shè)的后門實施網(wǎng)絡(luò)入侵。

數(shù)控機床在采購、維修過程中主要的安全風險情況如表2

（三）設(shè)備聯(lián)網(wǎng)的安全風險

對數(shù)控機床而言，數(shù)控機床與企業(yè)辦公網(wǎng)絡(luò)互聯(lián)后，更容易遭受企業(yè)辦公網(wǎng)絡(luò)中病毒感染和網(wǎng)絡(luò)攻擊，給設(shè)備的可用性和業(yè)務(wù)的延續(xù)性帶來巨大的風險。

另一方面，當數(shù)控機床接入企業(yè)辦公網(wǎng)絡(luò)后，由于數(shù)控機床缺乏安全防護機制，能夠輕易被滲透攻擊和控制，從而給企業(yè)重要數(shù)據(jù)的保護帶來嚴峻挑戰(zhàn)。

三、互聯(lián)的安全解決方案

（一）網(wǎng)絡(luò)部署架構(gòu)設(shè)計

針對數(shù)控機床聯(lián)網(wǎng)的安全風險分析，本文設(shè)計了一種網(wǎng)絡(luò)互聯(lián)方案，采用保密傳輸單元實現(xiàn)網(wǎng)絡(luò)的安全隔離和信息單向傳輸，加強網(wǎng)絡(luò)邊界的防護，互聯(lián)方案的網(wǎng)絡(luò)部署架構(gòu)如圖2示。

圖2 互聯(lián)方案的網(wǎng)絡(luò)部署架構(gòu)

表2 設(shè)備供應(yīng)鏈中的安全風險

其中保密傳輸單元是一種采用光單向性傳輸技術(shù)，實現(xiàn)信息單向傳輸?shù)陌踩綦x產(chǎn)品。保密傳輸單元由三個部分組成：外端機、單向傳輸控制通道和內(nèi)端機，其中外端機與內(nèi)端機是兩臺獨立的主機，外端機與內(nèi)端機之間存在唯一的連接接口，即單向傳輸控制通道。

此外，為確保數(shù)控機床和工作網(wǎng)互聯(lián)后數(shù)據(jù)交換的安全性，本文提出了一種基于單向傳輸協(xié)議的可信驗證模型（圖3）證服務(wù)器（AS）和票據(jù)授權(quán)服務(wù)器（TGS）共同實現(xiàn)跨域之間的信息可信交換。

圖3 基于單向傳輸協(xié)議的可信驗證模型

（二）可信驗證模型

1.模型設(shè)計

模型定義如下：

應(yīng)用服務(wù)器：部署具體的業(yè)務(wù)系統(tǒng)（如DNC系統(tǒng)），模型中為數(shù)據(jù)的發(fā)送端；

同步服務(wù)器：業(yè)務(wù)系統(tǒng)對應(yīng)的鏡像系統(tǒng)（如DNC系統(tǒng)），模型中為數(shù)據(jù)的接收端；

認證服務(wù)器（AS）：存儲身份認證信息和相關(guān)密鑰信息，進行客戶端身份合法性認證，并發(fā)放身份認證過程中產(chǎn)生的會話密鑰，防止身份認證信息被篡改；

圖4 身份可信驗證過程

票據(jù)授權(quán)服務(wù)器（TGS）：用于確認信息源身份的合法性，決定保密傳輸單元應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)給同步服務(wù)器。

定義Kx為X與認證服務(wù)器的共享密鑰；Kx,y為X與Y的會話密鑰，由認證服務(wù)器發(fā)放；{m}K為用密鑰K加密信息m；TGT為用于訪問TGS的票據(jù)；Tx,y為X訪問Y時的票據(jù)。

2.可信驗證過程

本文設(shè)計的數(shù)據(jù)可信交換驗證模型的具體實現(xiàn)流程如圖4示。

（1）保密傳輸單元外端機檢測到有數(shù)據(jù)需要同步時，外端機首先采集應(yīng)用服務(wù)器的相關(guān)信息，采集的信息如下：

{a,tgs,timestamp,addr}

采集信息的內(nèi)容包括應(yīng)用服務(wù)器的名稱（a）、票據(jù)授權(quán)服務(wù)器的名稱（tgs）、應(yīng)用服務(wù)器的IP地址（addr）以及時間戳（timestamp）。時間戳用于向身份認證服務(wù)器（AS）表示這一身份請求是新的。

然后外端機開始接收應(yīng)用數(shù)據(jù)，并驗證所傳輸?shù)腡CP/IP包是否符合保密傳輸單元設(shè)置的訪問控制策略。若不符合相關(guān)訪問控制策略，則終止數(shù)據(jù)接收，并產(chǎn)生告警日志，否則進入步驟（2）；

（2）外端機將應(yīng)用服務(wù)器相關(guān)信息發(fā)送給認證服務(wù)器AS，用于向認證服務(wù)器AS發(fā)出應(yīng)用服務(wù)器訪問票據(jù)授權(quán)服務(wù)器TGS的請求，請求以報文形式發(fā)送。請求的報文內(nèi)容為{a,tgs,timestamp,addr}。

（3）AS收到請求報文后，在其數(shù)據(jù)庫中查找外端機的加密密鑰Kw，并產(chǎn)生隨機會話密鑰Ka,tgs和Ta,tgs（TGS的票據(jù)TGT）作為應(yīng)答報文。會話密鑰Ka,tgs用于應(yīng)用服務(wù)器與TGS進行加密通信，用Kw加密。Ta,tgs的內(nèi)容包括：TGS的名稱（tgs）、應(yīng)用服務(wù)器的名稱（a）、應(yīng)用服務(wù)器的IP地址（addr）、時間戳（timestamp）、有效生存期限（lifetime）以及會話密鑰Ka,tgs，這些數(shù)據(jù)使用TGS的密鑰 進行加密，以保證只有TGS才能解密。這一部分的應(yīng)答報文為：

{Ka,tgs，Ta,tgs}Kw

其中Ta,tgs={tgs,a,addr,timestamp,li fetime,Ka,tgs}Ktgs。

AS向外端機發(fā)出應(yīng)答，應(yīng)答內(nèi)容用外端機的密鑰Kw加密，使得只有外端機才能解密該報文的內(nèi)容。

（4）外端機收到AS返回的應(yīng)答報文后，通過Kw對報文進行解密，就得到Ka,tgs和Ta,tgs。外端機后續(xù)就可以把Ta,tgs發(fā)送給TGS來證明應(yīng)用服務(wù)器具有訪問對端TGS的合法身份。外端機同時從AS處得到了應(yīng)用服務(wù)器與對端TGS的會話密鑰Ka,tgs，用它來與TGS進行加密通信。

外端機首先利用返回的會話密鑰（Ka,tgs）生成應(yīng)用服務(wù)器的身份認證符Aa,tgs，認證符Aa,tgs的內(nèi)容如下：

Aa,tgs={a,addr,timestamp}Ka,tgs

認證符的內(nèi)容包括應(yīng)用服務(wù)器的名字（a）、應(yīng)用服務(wù)器的IP地址（addr）以及時間戳（timestamp），認證符Aa,tgs的內(nèi)容用會話密鑰Ka,tgs進行加密。

外端機根據(jù)身份認證符（Aa,tgs）和信任憑證票據(jù)（Ta,tgs）將需同步的應(yīng)用數(shù)據(jù)進行加密處理。

（5）外端機采用私有協(xié)議將身份認證符（Aa,tgs）、信任憑證票據(jù)（Ta,tgs）以及加密后的數(shù)據(jù)封裝成靜態(tài)文件，然后靜態(tài)文件通過單向傳輸通道同步至單向隔離設(shè)備的內(nèi)端機。

（6）內(nèi)端機接收到靜態(tài)文件后，根據(jù)私有協(xié)議將靜態(tài)文件進行解析，獲得Aa,tgs和Ta,tgs的信息。

（7）內(nèi)端機與票據(jù)授權(quán)服務(wù)器TGS進行信息交互，具體過程如下：

①內(nèi)端機向票據(jù)授權(quán)服務(wù)器TGS發(fā)送應(yīng)用數(shù)據(jù)同步的請求報文，報文內(nèi)容包括Ta,tgs（TGS的票據(jù)TGT）以及認證符Aa,tgs。Ta,tgs的內(nèi)容是用TGS的密鑰Ktgs加密的（見步驟（3）），只有TGS才能解開，認證符Aa,tgs的內(nèi)容使用應(yīng)用服務(wù)器和TGS的會話密鑰Ka,tgs進行加密（見步驟（4）），以保證只有TGS才能解開。Ta,tgs并不能證明任何人的身份，可以重復(fù)使用而且有效期較長，而認證符Aa,tgs則用來證明應(yīng)用服務(wù)器的身份，只能使用一次而且有效期很短。

②TGS收到內(nèi)端機發(fā)來的請求報文后，用自己的密鑰Ktgs對Ta,tgs進行解密處理，得到了應(yīng)用服務(wù)器與自己的會話密鑰Ka,tgs。TGS然后用Ka,tgs解密認證符Aa,tgs，并將認證符Aa,tgs中的相關(guān)信息與Ta,tgs中的相關(guān)信息（a,addr,timestamp等）進行比較。如果校驗失敗，內(nèi)端機會立即刪除接收的數(shù)據(jù)，終止數(shù)據(jù)同步流程并產(chǎn)生告警日志，否則進入步驟（8）；

（8）內(nèi)端機傳遞的驗證信息通過TGS信任校驗后，TGS可以相信Ta,tgs的發(fā)送者（應(yīng)用服務(wù)器）就是Ta,tgs的實際持有者，于是給內(nèi)端機返回一條確認信息，然后內(nèi)端機會將加密后的應(yīng)用數(shù)據(jù)進行解密處理；

（9）內(nèi)端機建立與同步服務(wù)器的連接，最終完成應(yīng)用數(shù)據(jù)的同步傳輸。

（三）網(wǎng)絡(luò)整體防護

基于單向傳輸協(xié)議的數(shù)據(jù)可信交換驗證模型，增強了網(wǎng)絡(luò)之間數(shù)據(jù)通信的安全性，為提高數(shù)控網(wǎng)、工作網(wǎng)互聯(lián)后整體的安全防護能力，網(wǎng)絡(luò)互聯(lián)解決方案還采用了以下安全防護措施：

1.安全域邊界防護

（1）安全域劃分

數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部按照業(yè)務(wù)需求和防護等級劃分為不同的安全域。其中數(shù)控網(wǎng)劃分為認證服務(wù)器安全域、應(yīng)用服務(wù)器安全域、網(wǎng)絡(luò)設(shè)備安全域和數(shù)控設(shè)備安全域；工作網(wǎng)劃分為認證服務(wù)器安全域、應(yīng)用服務(wù)器安全域、網(wǎng)絡(luò)設(shè)備安全域和用戶終端安全域。數(shù)控網(wǎng)、工作網(wǎng)內(nèi)部各安全域之間采用防火墻進行隔離防護。

（2）VLAN劃分

數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部各安全域按照設(shè)備類型（如數(shù)控機床、終端）、業(yè)務(wù)功能（如服務(wù)器區(qū)、終端區(qū)）和物理區(qū)域等原則又細化為不同的VLAN，并通過設(shè)置交換機訪問控制策略限制各個VLAN之間的相互訪問。

2.邊界安全防護

數(shù)控網(wǎng)和工作網(wǎng)的網(wǎng)絡(luò)邊界采用單向隔離設(shè)備進行防護和控制，單向隔離設(shè)備采用類似包過濾防火墻的功能，實現(xiàn)對IP地址、通信端口的控制，阻斷網(wǎng)絡(luò)之間一切通用網(wǎng)絡(luò)協(xié)議連接，并采用私有協(xié)議進行數(shù)據(jù)包的通信、轉(zhuǎn)發(fā)，能夠有效地降低網(wǎng)絡(luò)攻擊的風險。

保密傳輸單元集安全隔離、實時信息交換、單向傳輸、內(nèi)容審查、病毒檢測、訪問控制、安全審計、病毒防護等多種安全功能為一體，適合部署于不同安全等級的網(wǎng)絡(luò)間，在保證多個網(wǎng)絡(luò)安全隔離的同時，實現(xiàn)高速的、安全的數(shù)據(jù)單向傳輸，提供可靠的信息交換服務(wù)。

3.入侵監(jiān)測

數(shù)控網(wǎng)和工作網(wǎng)均部署入侵檢測系統(tǒng)（IDS），通過IDS對網(wǎng)絡(luò)之間、網(wǎng)絡(luò)內(nèi)部的訪問行為進行監(jiān)測，對發(fā)現(xiàn)的滲透攻擊和非授權(quán)操作等異常行為能及時告警，并采用與防火墻聯(lián)動的機制對異常行為進行阻斷和消除。

4.惡意代碼防范

數(shù)控網(wǎng)和工作網(wǎng)均部署防病毒系統(tǒng)，對網(wǎng)絡(luò)內(nèi)部的用戶終端、服務(wù)器等設(shè)備采取計算機病毒及惡意代碼防范措施。

在網(wǎng)絡(luò)邊界，通過保密傳輸單元集成的病毒查殺功能，實現(xiàn)對不同網(wǎng)絡(luò)區(qū)域之間的病毒、木馬等惡意代碼的防護。

5.設(shè)備接入控制

在數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部采用設(shè)備MAC地址和交換機接口綁定技術(shù)控制設(shè)備的接入，并將交換機上所有暫不使用的網(wǎng)絡(luò)端口采取物理斷開、邏輯控制等措施，限制或阻斷違規(guī)接入的設(shè)備對系統(tǒng)資源的訪問。

6.安全漏洞掃描

在數(shù)控網(wǎng)和工作網(wǎng)內(nèi)部部署漏洞掃描系統(tǒng)，對網(wǎng)絡(luò)脆弱性進行安全檢測，及時發(fā)現(xiàn)系統(tǒng)中服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和終端的安全漏洞，并采取相關(guān)措施及時修補，降低系統(tǒng)的安全隱患。

四、總結(jié)

在全球制造業(yè)整體向網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的大趨勢下，本文詳細分析了數(shù)控機床聯(lián)網(wǎng)的安全風險，并針對風險提出了網(wǎng)絡(luò)安全互聯(lián)的整體部署架構(gòu)。在這一架構(gòu)中，設(shè)計了一種基于單向傳輸協(xié)議的數(shù)據(jù)交換可信驗證模型，保障了兩網(wǎng)之間數(shù)據(jù)通訊過程中身份信息的可信性；在該模型的基礎(chǔ)上，本文從提高工控網(wǎng)絡(luò)整體防護能力的角度，提出了其它一些相關(guān)的安全防護措施，為工控設(shè)備聯(lián)網(wǎng)規(guī)劃出一種安全可行的技術(shù)解決方案。