王丹　王大秋

摘? ?要：隨著工業(yè)信息化進(jìn)程的不斷深入推進(jìn)，軍工企業(yè)工控系統(tǒng)正逐步從過去物理隔離的網(wǎng)絡(luò)連接方式向與企業(yè)信息系統(tǒng)進(jìn)行互聯(lián)互通的系統(tǒng)化、網(wǎng)絡(luò)化方向發(fā)展。針對軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)數(shù)據(jù)交換過程中企業(yè)信息系統(tǒng)存在敏感信息泄露風(fēng)險的問題，本文對密級標(biāo)識技術(shù)進(jìn)行了研究，并提出了密級標(biāo)識技術(shù)在網(wǎng)間數(shù)據(jù)交換過程中的應(yīng)用框架，確保數(shù)據(jù)交換過程中無敏感信息進(jìn)入企業(yè)工控系統(tǒng)。

關(guān)鍵詞：軍工企業(yè)工控系統(tǒng)? 企業(yè)信息系統(tǒng)? 密級標(biāo)識技術(shù)? 數(shù)據(jù)交換

中圖分類號：D631? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2020）06（b）-0001-02

Abstract： With the continuous advancement of the industrial informationization process， industrial control systems in the military industrial enterprise are gradually moving from the past physically isolated network connection to the systematic and networked direction of interconnection with enterprise information systems. Aiming at the problem of the risk of sensitive information leakage in the enterprise information system during the process of data exchange between an industrial control system and an enterprise information system， this paper makes a study of secret label technology and puts forward an application framework of the secret label technology in the process of data exchange between networks. This framework is able to ensure that the sensitive information cannot be transmitted to the industrial control system during the process of data exchange between an industrial control system and an enterprise information system.

Key Words： Industrial control system; Enterprise information system; Secret label technology; Data exchange; Application

1? 引言

軍工企業(yè)作為國家的戰(zhàn)略產(chǎn)業(yè)，承擔(dān)著發(fā)展社會經(jīng)濟(jì)和推動國防建設(shè)的雙重重任。為確保軍工企業(yè)科研成果的機(jī)密性以及生產(chǎn)過程的安全性，各軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)之間往往采用物理隔離的網(wǎng)絡(luò)連接方式，數(shù)據(jù)交換主要通過人工刻錄光盤的方式間接進(jìn)行。然而，隨著軍工企業(yè)科研生產(chǎn)任務(wù)的不斷加重，數(shù)據(jù)交換需求日益增長，原有的離線數(shù)據(jù)交換方式不僅使得人工管理成本不斷提升、信息安全風(fēng)險不斷增大，而且嚴(yán)重制約了產(chǎn)品研制、生產(chǎn)的質(zhì)量和效率。

為提高軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)之間數(shù)據(jù)交換的效率和實時性，滿足繁重科研生產(chǎn)任務(wù)下日益增長的數(shù)據(jù)交換需求，不少研究者對企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)之間的數(shù)據(jù)交換技術(shù)進(jìn)行了研究。謝梅等[1]提出了基于“2+1”安全隔離技術(shù)和白名單匹配技術(shù)的互聯(lián)互通方案。程昌云等[2]提出了面向燒結(jié)工控網(wǎng)與辦公局域網(wǎng)的互聯(lián)方案。曾凡毅等[3]通過對工控系統(tǒng)與企業(yè)信息系統(tǒng)之間的鏈路安全性進(jìn)行深入分析，提出了基于單向傳輸協(xié)議的數(shù)據(jù)安全交換方法。

上述研究雖然在一定程度上為軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)的互聯(lián)互通建設(shè)提供了技術(shù)指導(dǎo)，但未考慮互聯(lián)建設(shè)中企業(yè)信息系統(tǒng)面臨的安全保密風(fēng)險問題，故無法直接應(yīng)用到實際的互聯(lián)建設(shè)中。特別地，對于軍工單位來說，企業(yè)信息系統(tǒng)往往含有關(guān)于國家秘密的敏感信息，確保企業(yè)信息系統(tǒng)通過數(shù)據(jù)交換平臺傳輸至工控系統(tǒng)的數(shù)據(jù)不含敏感信息變得尤為重要。

2? 網(wǎng)間數(shù)據(jù)傳輸數(shù)據(jù)安全風(fēng)險分析

軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)通過數(shù)據(jù)交換平臺連接，數(shù)據(jù)交換平臺主要包含兩個模塊：采集數(shù)據(jù)單向交換模塊和控制數(shù)據(jù)單向交換模塊，數(shù)據(jù)交換方式如圖1所示。

通過數(shù)據(jù)采集系統(tǒng)將工控系統(tǒng)中各實驗裝置或生產(chǎn)裝置產(chǎn)生的數(shù)據(jù)通過采集數(shù)據(jù)傳輸服務(wù)器傳輸至數(shù)據(jù)交換平臺，再由數(shù)據(jù)交換平臺中的采集數(shù)據(jù)單向交換模塊傳輸給企業(yè)信息系統(tǒng)中的采集數(shù)據(jù)接收服務(wù)器。企業(yè)信息系統(tǒng)收到采集數(shù)據(jù)后，對其進(jìn)行一定的處理、分析，將得出的控制數(shù)據(jù)通過企業(yè)信息系統(tǒng)中的控制數(shù)據(jù)傳輸服務(wù)器傳輸至數(shù)據(jù)交換平臺，再由數(shù)據(jù)交換平臺中的控制數(shù)據(jù)單向交換模塊傳遞至工控系統(tǒng)的控制數(shù)據(jù)接收服務(wù)器，實現(xiàn)對實驗或生產(chǎn)過程的指導(dǎo)與控制。

由于企業(yè)信息系統(tǒng)屬于高密級網(wǎng)絡(luò)，工控系統(tǒng)屬于低密級網(wǎng)絡(luò)，故在控制數(shù)據(jù)從企業(yè)信息系統(tǒng)傳遞至工控系統(tǒng)的過程中，企業(yè)信息系統(tǒng)面臨敏感信息泄露的風(fēng)險。雖然控制數(shù)據(jù)單向交換模塊會對控制數(shù)據(jù)文件的格式進(jìn)行一定的限制，但并不能保證符合格式要求的控制數(shù)據(jù)文件不含有敏感信息。

3? 密級標(biāo)識技術(shù)在網(wǎng)間數(shù)據(jù)傳輸中的應(yīng)用

密級標(biāo)識是一種對電子文檔密級進(jìn)行描述的數(shù)字化信息，該信息通過密碼認(rèn)證技術(shù)與電子文件進(jìn)行綁定[4]。一個完整的密級標(biāo)識應(yīng)該包括：密級、保密期限、知悉范圍和定密依據(jù)[5]。對于一個電子文件而言，密級標(biāo)識應(yīng)具有唯一性、完整性、不可分離性以及不可篡改性。密級標(biāo)識可為電子文件的安全保護(hù)、訪問控制、集中管控、安全交換以及審計跟蹤提供易于識別的標(biāo)記。

為了防止含敏感信息的控制文件傳輸至工控系統(tǒng)中，對控制文件進(jìn)行密級標(biāo)識可以在一定程度上保證文件的高區(qū)分度。此外，控制文件的密級標(biāo)識是由控制文件主體生成，且經(jīng)定密責(zé)任人審批確認(rèn)，故控制文件的用戶身份具有不可否認(rèn)性，并且密級標(biāo)識一旦正式確定，更改密級標(biāo)識必須發(fā)起變更申請流程且密級標(biāo)識只能單向改變。

在軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)的互聯(lián)建設(shè)中運用密級標(biāo)識技術(shù)，所有需要傳輸至工控系統(tǒng)中的控制文件都必須先進(jìn)行定密，確定為非涉密文件后，方可傳輸至數(shù)據(jù)交換平臺，并且數(shù)據(jù)交換平臺只傳輸具有唯一且不被篡改密級標(biāo)識的非涉密文件，具體處理流程如圖2所示。

首先，發(fā)起人根據(jù)文件定密相關(guān)的定密依據(jù)對需要傳輸至工控系統(tǒng)的控制文件進(jìn)行定密，確定知悉范圍、保密期限等相關(guān)信息，完成后提交給定密責(zé)任人，由定密責(zé)任人對該文件密級進(jìn)行審核并確認(rèn)。電子文件的密級標(biāo)識得到確認(rèn)后，密級標(biāo)識技術(shù)可以在電子文件的原有圖標(biāo)上疊加相關(guān)擴(kuò)展信息，使電子文件的圖標(biāo)上有明顯的密級標(biāo)識警示。

將經(jīng)定密責(zé)任人審核確認(rèn)后的控制文件傳輸至控制數(shù)據(jù)傳輸服務(wù)器。數(shù)據(jù)交換平臺的控制數(shù)據(jù)單向交換模塊獲取控制數(shù)據(jù)傳輸服務(wù)器上的控制文件，并讀取文件的屬性信息，判斷控制文件是否為涉密文件。如果控制文件為涉密文件，則終止傳輸;如果控制文件為非涉密文件，則解除密級標(biāo)識，并發(fā)送給工控系統(tǒng)的控制數(shù)據(jù)接收服務(wù)器。密級標(biāo)識解除后，控制文件變?yōu)椴粠?biāo)識的普通文件，可傳輸至工控系統(tǒng)。

4? 結(jié)語

根據(jù)軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)互聯(lián)互通的安全保密需求，本文對軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)數(shù)據(jù)交換過程中企業(yè)信息系統(tǒng)所面臨的數(shù)據(jù)安全風(fēng)險進(jìn)行了詳細(xì)分析，并通過對密級標(biāo)識技術(shù)進(jìn)行研究提出了密級標(biāo)識技術(shù)在網(wǎng)間數(shù)據(jù)交換過程中的應(yīng)用框架。該框架不僅可以對電子文件的處理和流向進(jìn)行追蹤和審計，而且可以對從企業(yè)信息系統(tǒng)傳輸至工控系統(tǒng)的電子文件進(jìn)行密級控制，保證企業(yè)信息系統(tǒng)與工控系統(tǒng)數(shù)據(jù)交換過程中無敏感信息進(jìn)入工控系統(tǒng)。本文的研究可為解決軍工企業(yè)工控系統(tǒng)與企業(yè)信息系統(tǒng)的互聯(lián)互通建設(shè)中企業(yè)信息系統(tǒng)所面臨的數(shù)據(jù)安全風(fēng)險問題提供指導(dǎo)。

參考文獻(xiàn)

[1] 謝梅，劉向東.制造行業(yè)工控網(wǎng)與企業(yè)內(nèi)網(wǎng)的安全互聯(lián)技術(shù)研究[A].第三屆全國信息安全等級保護(hù)技術(shù)大會（ICSP 2014）.沈陽：第三屆全國信息安全等級保護(hù)技術(shù)大會論文集[C].2014： 439-445.

[2] 程昌云，管友紅.燒結(jié)工控網(wǎng)與辦公局域網(wǎng)的組網(wǎng)互聯(lián)[J]. 冶金設(shè)備管理與維修，2012（1）：6-7.

[3] 曾凡毅，經(jīng)小川，孫運乾.基于單向傳輸協(xié)議的網(wǎng)間安全交換技術(shù)研究[J].計算機(jī)工程，2019（3）：1-9.

[4] 李曼.安全電子文件安全標(biāo)識的研究[D].西安電子科技大學(xué)，2012.

[5] 朱峰.國家秘密界定的法律問題研究[D].復(fù)旦大學(xué)，2012.