船舶制造企業(yè)無線網(wǎng)絡(luò)安全架構(gòu)研究

白雪原

一、概述

隨著我國船舶工業(yè)的快速發(fā)展，產(chǎn)業(yè)規(guī)模迅速擴(kuò)大，國際市場份額大幅增長，船舶制造能力和水平全面提升，造船質(zhì)量和效率取得長足進(jìn)步，但我國造船業(yè)總體上仍處于粗放型的發(fā)展階段，與先進(jìn)造船國家在生產(chǎn)效率上的差距明顯，船舶制造裝備與系統(tǒng)自動化智能化水平低， 造船過程管控缺乏有效數(shù)據(jù)支撐，制造技術(shù)與信息化技術(shù)融合與集成程度低等問題非常突出。急需加快提升信息化建設(shè)水平，有效降低造船成本，大幅提高造船質(zhì)量。船舶制造企業(yè)信息化建設(shè)中，無線網(wǎng)的建設(shè)是一個(gè)關(guān)鍵環(huán)節(jié)。

二、船舶制造企業(yè)現(xiàn)狀與需求

造船業(yè)是資金、勞動、技術(shù)密集型行業(yè)，具有行業(yè)關(guān)聯(lián)度大，崗位多等特點(diǎn)，其內(nèi)部是一個(gè)龐大而復(fù)雜的管理系統(tǒng)，很多環(huán)節(jié)都有大量的移動需求。廠區(qū)范圍大，部分車間有線網(wǎng)絡(luò)覆蓋困難，比較適合無線網(wǎng)絡(luò)的部署。

（1）船舶智能制造企業(yè)為了實(shí)現(xiàn)智能制造設(shè)備的資產(chǎn)管理，需要通過定位模塊來采集工業(yè)設(shè)備的實(shí)時(shí)位置。

（2）通過為工人配備數(shù)據(jù)傳輸模塊，實(shí)現(xiàn)廠區(qū)工人的定位、考勤管理。

（3）為工人配備手持終端設(shè)備，在制造過程隨時(shí)查看施工作業(yè)指導(dǎo)書，下發(fā)施工計(jì)劃，按照計(jì)劃完成定額工時(shí)。

（4）與智能制造車間的自動化設(shè)備如焊接機(jī)器人實(shí)時(shí)傳遞生產(chǎn)數(shù)據(jù)，完成自動焊接裝配。

目前部分船舶制造企業(yè)身處國防軍工領(lǐng)域，出于安全保密原因，很多敏感區(qū)域不能有無線收發(fā)裝置，推進(jìn)無線網(wǎng)絡(luò)建設(shè)相對滯后。信息網(wǎng)絡(luò)未能完整覆蓋船舶產(chǎn)品研制建造的全流程，在生產(chǎn)管理及決策方面缺乏來自現(xiàn)場的實(shí)時(shí)數(shù)據(jù)支撐，嚴(yán)重制約企業(yè)發(fā)展。船舶制造廠各類舾裝設(shè)備多，組裝模塊數(shù)百萬計(jì)，對船舶制造現(xiàn)場實(shí)時(shí)狀態(tài)進(jìn)行感知，獲取船舶制造過程的分段建造計(jì)劃執(zhí)行狀態(tài)，分段場地堆放、物流配送和設(shè)備資源利用等數(shù)據(jù)，將有效提高生產(chǎn)計(jì)劃協(xié)調(diào)效率，提高生產(chǎn)力。實(shí)現(xiàn)現(xiàn)場實(shí)時(shí)感知，必須建設(shè)無線網(wǎng)絡(luò)，并對無線移動網(wǎng)絡(luò)的安全進(jìn)行必要的防護(hù)。

三、無線網(wǎng)安全防護(hù)總體設(shè)計(jì)

通過無線通信技術(shù)組成相互連接和通信的信息系統(tǒng)比起有線網(wǎng)絡(luò)部署便捷，不受空間的限制，大大降低了企業(yè)信息化成本，具有獨(dú)特的優(yōu)勢。但是無線網(wǎng)的一些特性使其安全防護(hù)不能采取有線局域網(wǎng)絡(luò)相同的網(wǎng)絡(luò)安全措施。建設(shè)無線網(wǎng)在考慮便捷的同時(shí)應(yīng)兼顧安全性，確保網(wǎng)絡(luò)安全可靠。

移動無線網(wǎng)業(yè)務(wù)信息系統(tǒng)整體上可以分為四個(gè)子系統(tǒng)，分別是移動終端/用戶子系統(tǒng)、移動接入子系統(tǒng)、應(yīng)用服務(wù)子系統(tǒng)和移動安全管理子系統(tǒng)，實(shí)現(xiàn)等級保護(hù)安全架構(gòu)下的安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全管理全覆蓋。安全基礎(chǔ)設(shè)施上，密碼產(chǎn)品應(yīng)當(dāng)堅(jiān)持國產(chǎn)化的原則，采用經(jīng)過國家密碼管理局批準(zhǔn)的密碼產(chǎn)品。總體架構(gòu)如圖1所示。

安全基礎(chǔ)設(shè)施可依托企業(yè)現(xiàn)有網(wǎng)絡(luò)的PKI/CA體系、資源管理系統(tǒng)等，為無線網(wǎng)業(yè)務(wù)安全提供基礎(chǔ)支撐。采用經(jīng)國家密碼局批準(zhǔn)的商密算法，提供對信息的加密傳輸。

移動終端/用戶子系統(tǒng)為移動專網(wǎng)業(yè)務(wù)提供安全計(jì)算環(huán)境，包括終端操作系統(tǒng)加固、本地?cái)?shù)據(jù)加密、運(yùn)行環(huán)境監(jiān)測、主機(jī)審計(jì)措施、運(yùn)行環(huán)境隔離和用戶身份識別等安全功能。

應(yīng)用服務(wù)子系統(tǒng)為移動專網(wǎng)業(yè)務(wù)系統(tǒng)提供的應(yīng)用分為兩類：一類是移動專網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)，適用于移動設(shè)備部署，例如移動OA辦公門戶、MES系統(tǒng)、設(shè)備設(shè)施定位、安全通信、無線條碼掃描等；另一類是數(shù)據(jù)交換系統(tǒng)，包括各類數(shù)據(jù)庫、電子郵件等，與部署于內(nèi)網(wǎng)的大型業(yè)務(wù)系統(tǒng)OA和ERP、物流、生產(chǎn)管理、智能決策等業(yè)務(wù)信息系統(tǒng)進(jìn)行數(shù)據(jù)交互。移動專網(wǎng)應(yīng)用服務(wù)子系統(tǒng)還應(yīng)提供應(yīng)用安全保障，如提供用戶身份認(rèn)證、對業(yè)務(wù)接入認(rèn)證、對用戶角色的授權(quán)和訪問控制等，同時(shí)對業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行系統(tǒng)加固、設(shè)置代理服務(wù)器等提升系統(tǒng)的整體安全性。

移動安全管理子系統(tǒng)提供設(shè)備注冊、激活、使用、注銷各個(gè)環(huán)節(jié)完整的移動設(shè)備生命周期管理和用戶身份管理，實(shí)現(xiàn)對各子系統(tǒng)統(tǒng)一的用戶管理、員工定位管理、安全策略管理和日志管理工作。同時(shí)也作為數(shù)字證書系統(tǒng)在公共區(qū)域的代理，提供證書的在線狀態(tài)查詢和證書列表下載等功能。

四、無線網(wǎng)絡(luò)的拓?fù)錁?gòu)架的實(shí)現(xiàn)

在明確了無線網(wǎng)安全構(gòu)架的基礎(chǔ)上，企業(yè)無線網(wǎng)絡(luò)拓?fù)淇梢詤⒄杖鐖D2所示實(shí)現(xiàn)，較好的實(shí)現(xiàn)了移動設(shè)備的接入，且與企業(yè)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行有機(jī)融合。

硬件安全：可采用基于硬件特征的唯一標(biāo)識符，確保只有合法設(shè)備可以介入網(wǎng)絡(luò)。

網(wǎng)絡(luò)安全：網(wǎng)絡(luò)對接入的設(shè)備進(jìn)行身份認(rèn)證，保證合法接入和合法連接，對非法設(shè)備的接入進(jìn)行告警和阻斷，形成網(wǎng)絡(luò)可信接入機(jī)制。網(wǎng)絡(luò)接入認(rèn)證可與采用數(shù)字證書的身份認(rèn)證機(jī)制來實(shí)現(xiàn)。

數(shù)據(jù)安全：數(shù)據(jù)分為無線寬帶專網(wǎng)數(shù)據(jù)（包括語音、短信、定位等）和應(yīng)用系統(tǒng)數(shù)據(jù)，數(shù)據(jù)安全通過系統(tǒng)核心網(wǎng)設(shè)備、密碼設(shè)備、移動終端等實(shí)現(xiàn)數(shù)據(jù)保密性、完整性和可用性。應(yīng)用系統(tǒng)數(shù)據(jù)安全主要通過應(yīng)用系統(tǒng)備份和數(shù)據(jù)存儲保證數(shù)據(jù)的完整性和可用性。

無線接入安全：在無線路由器等設(shè)備中啟用了IP地址過濾功能后，只有IP地址在MAC列表中的用戶才能夠正常訪問無線網(wǎng)絡(luò)，其它的不在列表中的用戶則認(rèn)為是非授權(quán)設(shè)備的私自接人而阻止其接入網(wǎng)絡(luò)，解決了訪問控制和邊界完整性檢查方面的安全問題。

無線傳輸：使用無線密鑰能夠有效地解決訪問控制以及邊界完整性檢查方面的安全問題。當(dāng)用戶訪問時(shí)，用戶只有提供正確的密鑰才能夠成功訪問，否則認(rèn)為是非授權(quán)設(shè)備的連接并拒絕訪問。

五、總結(jié)

無線應(yīng)用技術(shù)在制造業(yè)中的應(yīng)用是互聯(lián)網(wǎng)應(yīng)用的延伸和擴(kuò)展。實(shí)現(xiàn)船舶設(shè)計(jì)制造過程中信息深度自感知、智慧優(yōu)化自決策、精準(zhǔn)控制自執(zhí)行，可以為企業(yè)降低成本，加速企業(yè)工業(yè)化和信息化的融合，提升制造精益化、管理精細(xì)化水平，推動船舶制造模式由傳統(tǒng)制造逐步向數(shù)字化、網(wǎng)絡(luò)化、智能化制造轉(zhuǎn)變。