一、背景概述

隨著數據安全上升到國家安全高度，近年來國家有關機關和監管機構站在國家安全和長遠戰略的高度提出了推動國密算法應用實施、加強行業安全可控的要求。擺脫對國外技術和產品的過度依賴，建設行業網絡安全環境，增強我國行業信息系統的”安全可控”能力，有利于保護國家信息安全。

我國近年來推出一系列政策強調對密碼的應用，尤其《密碼法》在2020年逐步實施，要求關鍵系統運營者開展密碼應用安全性評估。各類信息系統通過密評已經成為剛需。此外2024年2月，工信部印發《工業領域數據安全能力提升實施方案（2024—2026年）》，以分步驟、有重點地指導各方扎實推進工業領域數據安全工作。該方案是指導未來三年工業領域數據安全工作的綱領性規劃文件，以“到2026年底基本建立工業領域數據安全保障體系”為總體目標。數據加密以及加密算法的選擇顯得尤為重要。

二、2024年上半年全球重大數據泄露事件

僅在2024年上半年，數據泄露事件頻發，規模之大、影響之廣，堪稱史無前例。從電信巨頭到醫療IT領袖，從金融機構到云存儲服務商，無一不遭受了嚴重的數據安全挑戰。這些數字風暴震撼了業界，更是引發了全社會對數據保護問題的深刻反思。

美國電信巨頭AT&T，其客戶數據在第三方AI數據云平臺發生大規模泄露，超過1億條用戶數據被黑客獲取。涉及幾乎所有AT&T移動客戶的通話和短信記錄，近半個美國的個人隱私面臨威脅。

戴爾約4900萬客戶信息遭泄露。戴爾門戶網站遭黑客入侵，客戶姓名、地址及訂單詳情等信息被竊取。

全球范圍內最大的銀行之一桑坦德銀行發生數據泄露事件，因第三方服務商數據庫被非法訪問，導致其西班牙、智利、烏拉圭客戶和員工受到影響。

三、標準要求

在通信網絡中常常使用VPN隧道來構建安全通道，對數據進行加密傳輸，已達到保護數據安全的作用。常規的IPSecVPN網關采用的都是國際加密算法，隨著國家推動國密算法的應用實施，于之相對應的IPSec網關國密標準也在2024年進行了更新，IPSecVPN密碼產品類要求就包括《GM/T0022-2023 IPSec VPN技術規范》、《GM/T 0023-2023 IPSec VPN網關產品規范》，其中GM/T 0022主要是對IPSec VPN的技術協議、產品管理和檢測進行了規定，而GM/T 0023則是對IPSec網關產品的功能、硬件、軟件和密碼算法、密鑰管理、安全性要求等進行規定。

GM/T 0022-2023，IPSec VPN技術規范摘要

（1）密碼算法-非對稱密碼算法（SM2橢圓曲線密碼算法，用于實體驗證、數字簽名和數字信封）、對稱密碼算法（SM4分組密碼算法，用于密鑰交換數據和報文數據的加密保護，工作模式支持CBC或GCM模式）、密碼雜湊算法（SM3，用于完整性校驗）、隨機數生成。

（2）密鑰類別（設備密鑰-非對稱算法使用的公私鑰對、工作密鑰-在密鑰交換第一階段得到的密鑰、會話密鑰-在密鑰交換第二階段得到的密鑰）。

（3）協議-密鑰交換協議（IKE、第一階段主模式6條消息、第二階段快速模式3條消息）、安全報文協議（鑒別頭協議AH，協議值51，認證范圍包括整個IP報文，不單獨使用；封裝安全載荷ESP，協議值50、和AH結合使用時不應選擇數據源鑒別服務、認證范圍大于加密范圍但都小于AH的認證范圍）。

（4）產品功能要求-隨機數生成、工作模式（隧道模式必備、傳輸模式）、密鑰交換（IKE一階段產生工作密鑰、二階段產生會話密鑰）、安全報文封裝（AH+ESP、ESP）、NAT穿越（支持ESP單獨使用時NAT穿越）、實體鑒別功能（應支持數據證書方式）、抗重放攻擊、密鑰更新。

（5）密鑰管理-設備密鑰（簽名證書加密密鑰對能導入、設備密鑰對按設定的安全策略更新、安全形式備份并在需要是能夠恢復）、工作密鑰（保存在易失性存儲器中，更新條件立即更新、在連接斷開設備斷電時應銷毀）、會話密鑰（同工作密鑰）。

（6）數據管理-配置數據（所有的配置數據應保證其設備中的完整性、可靠性、管理員身份鑒別）、日志數據可被查看導出（操作行為、安全事件、異常事件）

（7）人員管理-管理員應持有表征用戶身份（如證書、公私鑰對等）信息的硬件裝置，與登錄口令相結合登錄系統。

（8）設備管理-硬件安全（獨立的密碼部件中進行）、軟件安全（裁剪一切不需要模塊）、設備初始化、注冊和監控（向管理中心注冊和接受管理中心對其運行狀態的實時監控，通信加密和身份鑒別）。

GM/T 0023-2023，IPSec VPN網關產品規范摘要

（1）產品功能要求-包過濾（5元組決定其處理方式支持丟棄、明文轉發和密文轉發）。

（2）遠程監控管理-參數查詢（配置信息和日志查詢）、狀態監控（運行狀態、系統信息、網絡流量、是否在線、隧道狀態實時查詢）、遠程控制（重啟、故障診斷、功能關閉啟動等）、時間同步。

（3）硬件要求-對外接口（至少2個工作網口），支持雙臂（串接方式1進1出）和單臂（1個網絡接口旁路接入）、密碼部件（通過商密檢測認證的密碼模塊或安全芯片）、隨機數發生器（至少采用2個獨立的物理噪聲源芯片實現）。

四、博智工業互聯網安全網關應用

博智工業互聯網安全網關遵循上述國密標準，具備以下優點：

先進防護機制，精準阻斷威脅：采用加密通信協議、芯片級加密技術、國家密碼管理局認證的國密算法（SM1、SM2、SM3、SM4），以及工控協議深度解析與入侵防御系統等尖端技術，實現區域間的高效隔離與潛在威脅的即時阻斷，確保工業網絡環境的純凈與安全。

國密算法與芯片加密，雙重保障：遵循國家商用密碼技術標準，將國密算法與高性能加密芯片深度融合，不僅提升了數據加密的強度和效率，更在身份認證與通信鏈路加密方面達到了前所未有的安全高度，為用戶數據傳輸構建了一條無懈可擊的安全通道。

靈活應對，滿足多樣需求：支持多種網絡架構與接入方式，適用于工業企業、中小企業，特別是需要實現遠程連接與安全通信的企業。它能夠有效解決工業企業據安全傳輸、分支機構安全互聯等痛點問題，助力企業構建靈活、高效且安全的網絡架構。

安全區域之間的訪問控制和安全防護

目前工業網絡結構中現場過程控制網絡、生產管理網絡、企業信息網絡被打通，網絡縱向分層、橫向分區的模式正在形成。由于各個層次、各個區域網絡的業務不同、作用不同，對于安全防護的要求也就不同，所以需要在不同安全區域之間進行必要的防護和控制。安全網關可以幫助用戶很好的實現這一目標。

首先通過在縱向不同層次網絡之間部署安全網關，并配置合理的訪問規則，可以控制不必要的跨層訪問，防止攻擊者通過上層網絡向下層網絡的滲透和攻擊，減少由于網絡互聯互通所帶來的安全風險。同時可以對不同層次之間的工業協議數據交換進行深度過濾，屏蔽非法操作，保障生產安全。

其次還可以在同一網絡層次中平行的廠區、工藝流程和業務子系統之間部署安全網關，將它們劃分成不同的安全區域，配置不同的訪問規則，屏蔽不同安全區域之間不必要的訪問，對不同安全區域之間的工業協議數據交換進行深度過濾，減少安全區域之間安全問題的擴散和影響。

多樣的IPSecVPN 應用場景

支持多種接入場景，可以在公司總部的出口網關與分支機構/合作方的出口網關之間建立 IPSec 隧道。出差員工也可以通過 PC終端或者手機移動端直接向公司總部出口網關發起 IPSec 連接建立IPSec 隧道。

支持點到點場景，總部的安全網關可與合作方或單個分支機構的安全網關建立IPSecVPN隧道。

支持點到多點場景，當存在多個分支機構時，總部的安全網關作為中心站點，多個分支機構的安全網關作為分支站點與中心站點進行對接。

出口網關處的入侵防御

工業網絡的設備可能分布于廠區各處，甚至野外、山區。由于網絡基礎設施的限制，經常需要通過租用公共的無線網絡、衛星、GPRS/CDMA、4G 等公用網絡傳輸線路實現與調度中心的連接和數據交換。公用網絡沒有足夠的安全保護和加密措施，很容易出現網絡竊聽、數據劫持、第三人攻擊等安全隱患，而且攻擊者還可以利用公用網絡作為攻擊工業控制網絡的入口，實現對整個工業控制網絡的滲透和控制。為了解決公用網絡帶來的安全隱患，用戶通常都會租用或架設專用的通信線路， 這樣不但建設和運營成本高、而且需要專業的技術人員進行線路的保障和維護。

入侵防御是一種安全機制，通過分析網絡流量和入侵檢測，并通過一定的響應方式，實時地中止入侵行為，保護企業資產和網絡架構免受侵害。在這種應用環境下，可以在分散的作業區與公用網絡接口的位置部署安全網關。通過網關的部署可以對作業區內部的工業網絡進行安全方面的保護，阻斷來自公用網絡的網絡攻擊，實現作業區網絡的邊界安全防護。

五、結束語

博智工業互聯網安全網關全面提升和擴展了入侵防御、URL 過濾、病毒過濾、網絡掃描防護、IP/MAC 綁定等功能，可識別和預防網絡中病毒傳播、惡意攻擊等行為，避免其影響控制網絡和破壞生產流程。提供IPSecVPN、流量帶寬管理、NAT 及 IPv6 隧道等功能，可滿足更多維度的網絡環境需求，更加適應當前工業網絡環境與信息化網絡環境相融合的發展趨勢。同時具備高可用性及全透明無間斷部署功能，有效保證業務連續性。采用這樣的結構，形成立體的防護體系，安全網關能夠最直接的保證系統安全。