针对高保密制造业的信息安全方案设计研究

摘要：高保密制造业在自动化转型过程中，必然会面临信息安全问题。根据现场的具体需求，我们首先要初步确定硬件和软件架构，并评估架构中可能存在的各类风险项。文章通过以下措施：1） 增设硬件防火墙、子节点交换机，管理局域网内所有设备的数据流；2） 考虑有限条件内的AGV通信方式，选择基于红外光的近场通信技术；3） 软件间固定接口、交互内容加密；4） 软件内部使用身份权限管理、数据备份策略，多方位保障信息安全。

关键词：信息安全；架构；接口；加密；备份策略

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2024）08-0091-03

开放科学（资源服务）标识码（OSID）

0 引言

据工信部2021年发布的统计数据，中国已连续十一年成为世界第一制造业大国。然而，在工业增长值持续上升的表象下，我国采用的OEM生产方式仍使我们在国际垂直分工中处于全球价值链（GVC） 的底端。因此，如何提升制造环节的附加值，进而提高我国在GVC中的地位，已成为当前亟待解决的问题。由于欧美国家原始知识产权的掣肘，中国短期内难以大规模转变制造业OEM模式。为降低生产成本，实现资本积累，制造业正由产业化向自动化，甚至智能化转型。以广汽集团、上汽集团、一汽集团为主导的汽车行业，其龙头企业已在不同程度上实现了自动化。相比之下，船舶、航空航天等高保密制造业仍处在自动化的初级阶段。

制约高保密制造业信息化进程的关键因素之一是其产品的特殊性。高保密行业产品的相关信息，包括设备、零部件、工艺、供应链等，均有严格的密级划分。对于涉密信息，原有的传递方式多为“摆渡”，即利用专用设备以特定方式采集、存储后，由人员携带至指定目的地，再以特定方式传出。这种方式的缺点在于传递效率极低。在自动化改造过程中，我们将尽可能减少人工作业，提高信息传递效率。此时，需要解决的关键问题变为如何确保自动传递过程中的信息安全。

1 概述

以国内某所某型产品生产线为例，其产品相关信息最高密级为“内部”，网络布设为厂内局域网。出于防爆要求，硬件全为有线连接。该生产线由多个站位组成，每个站位配备不同功能的人机交互设备。站位间利用桁架、AGV作为转运设备，同时还配备装卸货平台、物料间、中控室。

1.1 硬件架构

各站位终端将信息汇聚至站位级交换机，中控室作为信息中心，内含服务器、工作站等，信息汇聚至中控室交换机，再由站位级交换机传输至核心汇聚交换机，整个局域网为环形结构。

局域网与广域网之间的信息交互经过硬件防火墙隔离[1]，若两者之间存在密级差异，还可增设单向网闸[2]。

1.2 软件架构

广域网中已部署MOM作为上层系统，传递基础信息、订单信息到局域网中的MES，MES系统建立详细的工艺路径，将订单分解并下发至生产线，同时MES在生产准备作业时，发送出、入库需求至WMS，参与线端库管理，在生产过程中，采集各类设备（含PLC） 信息，对数据采集、分析后，反馈至上层MOM系统。整个产品流转过程中，MES将转运需求发送至RCS，参与RCS对AGV的调度。

MOM与MES之间通过ETL/Web Service的方式交互，MES与下位机（PLC、WMS、RCS） 通过Modbus、OPC、Web Service等通信协议交互。

<G：＼飞翔打包文件一＼电脑2024年3月中第八期打包文件＼5.04xs202408＼Image＼image28.png>

图2  软件交互框架图

2 硬件分析

根据使用目的，可将硬件分为三类：网络硬件、应用硬件、存储硬件。网络硬件包括：交换机、防火墙；应用硬件包括：主机设备、立体库、AGV、桁架、各类传感器；存储硬件包括：数据服务器、数据备份服务器、应用服务器，承载各类软件，将在软件分析时着重论述。

2.1 网络布设

局域网采用环网结构，设计之初已充分考虑到传输的安全性。鉴于某型产品的特性为小批量多批次，生产过程中的数据量相对较小，中央节点的核心汇聚交换机负荷足以满足需求。

子节点中不使用集线器，而是采用带ARP管理的交换机。通过导入设备的IP和MAC地址，可以针对静态地址表设置安全策略，具体如下：

1） 限制所有设备的网络访问权限；

2） 监控设备上网行为；

3） 设定流量上限，频繁出现非正常上网行为的设备可做特殊限制。

除了部署安全策略外，交换机对组网的整体稳定性也有较多益处：

1） IP地址基于网络拓扑，容易更改；而MAC地址属于出厂烧录，绑定后可进一步确保设备通信地址的唯一性。

2） IP地址实行分段管理且固定，这方便了管理端PC在局域网内部进行远程连接，且在访问时无需重复验证用户信息，从而提升了访问速度。

3） 未录入静态地址表的设备将无法接入局域网，这能有效防止非授权访问。

4） 系统通讯端口限制：系统在本地网络上与其他系统的通信仅限于授权的通信端口。操作软件未使用的服务通信端口必须在防火墙或路由器的过滤器上进行阻止。

5） 入站互联网通信端口限制：从互联网到内部系统的通信仅限于使用授权的通信端口。防火墙过滤器必须阻止操作系统软件未使用的服务通信端口。所有端口必须默认阻止，仅通过例外允许系统软件所需的特定端口。

6） 出站互联网通信端口限制：系统与互联网的通信仅限于授权的通信端口。防火墙过滤器必须阻止操作系统软件未使用的服务通信端口。所有端口必须默认阻止，仅通过例外允许系统软件所需的特定端口。

中央节点的核心汇聚交换机与广域网之间采用硬件防火墙进行隔离。由于软件防火墙的包过滤功能无法满足高保密制造业的保密要求，因此选择硬件防火墙，它能够针对性地对传输内容进行审计。同时，硬件防火墙的入侵侦测、防护和VPN策略等功能可有效防止非法账户入侵。在防火墙的基础上，我们再部署单向网闸，利用私有通讯协议确保信任方和非信任方之间不存在实时连接，并保证所有非信任方的响应均为被动响应，从而彻底保障核心信息的安全。

关于硬件防火墙和单向网闸的选型名录，可参考国家保密局网站上的装备名录[3]。

2.2 主机设备防护

主机设备作为人机交互终端，需安装正版操作系统，禁用远程控制功能和无线装置，确保输入输出安全和信息内容规范。应通过BIOS设置限制驱动方式和访问权限。

某所针对主机设备指定安装日志审计软件和移动存储设备管理软件，以监测主机设备数据动态。同时，利用移动存储介质单向传递规则，保护主机免受间谍软件攻击。日志审计规则与移动设备传递规则均可由管理员配置，移动设备与人员信息需绑定，采用二员策略对主机设备安全进行双重保障[4]。

3 软件分析

针对某所某型产品生产线，广域网中MOM系统已部署完成，需要重新部署的是MES系统、WMS系统、RCS系统及其接口。

3.1 AGV通信方式

该生产线为节省人力成本、提升产品JPH（每小时产量），在各站位间采用AGV进行物料转运。

当前市场上应用的通信方式主要分为有线通信和无线通信。前者具备高稳定性和强安全性，而后者则以其高传输速度和低维护成本为特点。

在保密要求不高的行业中，无线通信更为适用，其差异主要体现在通信时间上。假设AGV的某条任务路径从A点至B点需经过6个通信点，若采用非无线通信方式，通信时间为秒级，则理论上完成整条路径将产生约60秒的通信等待时间。实际上，由于时空间的影响，这一时间可能会更长。有线通信的建设成本相对较高，且在后期维护时，还需考虑AGV对地面的要求，维保难度较大。

出于安全性考虑，该生产线在数据传输量不高的前提下，选择了基于红外光的近场通信方式。尽管这本质上属于无线通信，但红外光直线传递的特性使其相较于其他方式，遭遇截获的可能性极小，信息安全程度极高。同时，其传输距离仅为1米，这极大地降低了其他设备介入的可能性，且不易受环境因素的干扰。

3.2 软件间通信方式

设备数据采集采用Modbus/TCP的形式采集PLC点位表，点位表中的寄存器地址固定。ESOP文件采用FTP协议进行上传和下发，在发送文件之前会先发送文件头，文件头中包含文件名、大小以及当前传输状态（正常、完成、出错）。在文件接收状态反馈中，会对数据完整性进行校验。

AGV、WMS、MES均位于局域网内部，三者之间采用固定接口进行通信。通信内容会添加唯一标识，并定期使用第三方安全策略进行扫描，以排除安全隐患。

MOM部署在广域网上，需要与局域网内的MES进行通信。除了采用固定接口和添加SN外，还需在通信内容上区分每个交互字段的密级。为确保数据的安全性，需通过单向网闸进行数据异步通信。

所有报文传递过程中，不得出现明文，内容应使用AES算法进行加密[5]。该算法在软件和硬件上的实现方式相对简单，能更好地适用于多方软、硬件交互场景。交互双方需约定密钥，下发方将明文与密钥一同传出，接收方则利用密文与密钥获取报文信息，确保即使在接口被冒用的情况下，非授权用户也无法获取交互内容。

接收方在每次接收数据后，应使用MD5算法进行校验，以确保报文在传输过程中未被篡改。

3.3 软件内部管理

软件系统通常由通信、接口、数据库和软件本身四部分组成。通信、接口部分已在上文中阐述，本节主要论述数据库和软件本身的管理策略。

数据库一般部署在专用服务器上，软件使用暗码登录。三台服务器分别对应数据、数据备份和应用，这种布局将数据与应用分开，使得任何一方变动时，另一方均不受影响，从而提高了服务器的可伸缩性（如需扩展业务，可仅扩展应用服务器而不影响数据服务器）。此外，这种布局避免了数据直接暴露在应用端，有效杜绝了外界对数据服务器的直接攻击。通过集中的身份验证过程以及数据访问管理，进一步提高了数据的安全性。数据服务器采用双机热备模式，并结合完全备份和差分备份，设定复原点目标，以确保系统运行的持续性和高可用性。在条件允许的情况下，还可采用灾难备份方式，确保在极端条件下数据的完整性。

鉴于高保密制造业的特殊保密要求，软件的终端管理遵循三员管理策略，即系统管理员、安全保密管理员和安全审计员。但不仅限于这三员，其他应用层用户也按角色分配不同权限，根据职责限制操作范围，以降低安全风险发生的可能性。

每个角色使用用户名/密码的身份认证方式，特殊人员还需增加生物识别认证。密码的位数、组成、复杂度、有效期、缺省密码、校验密码及重试次数均有明确规定，以最大程度降低访问风险。

4 结论

以某所某型产品生产线为例，首先分析其现场条件，识别制约因素，在有限范围内确定所需的安全策略等级，进而构建基本的硬件、软件架构。再从不同角度切入，细化信息安全设计。通过红外近场通信、加密传输、三员权限设置，确保信息的保密性；通过信息校验、备份策略，保障信息的完整性；通过环网拓扑、服务器热备，确保系统的高可用性。以上各类策略的实施，使信息安全中至关重要的保密性、完整性和可用性得以保障，为未来其他类似高保密制造业的智能制造转型提供了有价值的参考。

参考文献：

[1] 赵璐.军工行业信息安全防护探讨[J].河南科技，2013（12）：14.

[2] 郑敏，冯浩强，杨志勇.网闸在网络安全中的应用探索[J].福建气象，2012（1）：29-31.

[3] 工业和信息部，国家标准化管理委员会.国家智能制造标准体系建设指南（2015年版）[S].2015.

[4] 吴毅.军工企业信息安全建设方案[J].信息安全与通信保密，2004，2（8）：71-72.

[5] 韦宝典，刘东苏，王新梅.AES算法Rijndael的原理、实现和攻击[J].通信技术，2002，35（12X）：94-96.

【通联编辑：代影】