本發明屬于計算機網絡安全技術領域，公開了一種基于數控系統的敏感數據分級保護方法及分級保護系統，對數控系統內的敏感數據進行分類分級，采用智能化手段來梳理和識別敏感數據，并設計不同數據存儲的數據結構；對智能數控系統劃分安全域；依據終端的定級和安全域的劃分，利用BLP模型控制智能數控系統的信息流向；設計數據敏感等級標簽生成算法，實現基于數據報文敏感等級標簽的網絡流轉管控系統；設計基于敏感等級標簽的網絡邊界訪問控制技術。本發明能夠使智能數控系統的敏感數據得到機密性保護，控制敏感數據的網絡流向，杜絕由于路由錯誤等原因導致數據違規流入低密級區域，滿足智能數控系統的工業信息安全要求。

技術領域

本發明屬于計算機網絡安全技術領域，尤其涉及一種基于數控系統的敏感數據分級保護方法及分級保護系統。

背景技術

目前，軍工制造業作為制造業的重要組成部分，在國防工業領域有著至關重要的作用。目前，軍工制造企業大量應用了DCS、PCS、PLC、IED，數控機床和柔性制造單元等工業控制系統，擁有大量的國家秘密，因此軍工制造企業應更加重視工業控制系統的網絡安全問題。

國防工業對數據保密要求很高，數控系統聯網后傳輸的數據包含大量零件加工參數。有些數據相當敏感，比如G代碼，通過分析G代碼甚至可以逆向還原加工零件的細節，這些都屬于敏感數據。

敏感數據分級保護的核心是對信息系統安全進行合理分級、規范建設和監督管理。一個安全的涉密系統，必須要對信息保密程度，終端的權限進行分級。長期以來，很多單位在實施分級管理時通常走向兩個極端：一種是沒有對應用系統進行必要的分級管理，或者采用防火墻設備進行簡單的訪問控制；另一種則是采用完全的物理隔離，通過單機隔離或者建立專用的涉密網絡，非常不便于入場辦公的使用。

對于訪問控制技術，目前信息安全領域比較普遍的做法是采用同構方式來劃分安全域。可以采用虛擬局域網VLAN技術來實現，也可以采用訪問控制列表ACL技術，一種應用在路由器接口的指令列表來實現，也可以使用網絡防火墻。

敏感數據分級保護對涉及智能數控系統的關鍵信息進行技術保護，如何有效控制信息在不同安全之間的流向，對涉密信息進行控制，以及如何對系統元素的涉密等級進行分配和管理，成為分級保護工作中的重點和難點。

通過上述分析，現有技術存在的問題及缺陷為：

(1)現有技術數控系統的敏感數據分級不夠明確，不能很好地進行機密性保護，工業信息安全不能滿足實際要求。

(2)網絡邊界擴大導致更多的攻擊，原本獨立封閉的數控生產網絡聯入企業管理網和互聯網，同時數控系統加工設備聯網進程的加快導致了傳統信息網絡的各種黑客攻擊和惡意代碼等安全威脅快速進入數控網絡，工業信息安全不能得到保障。

(3)多數數控機床控制系統采用明文方式傳輸和管理加工代碼，這樣容易導致未加密的加工代碼被非法獲取，并通過專用軟件對加工物品進行還原，導致制造數據泄密。

解決以上問題及缺陷的難度為：

由于智能數控系統與傳統信息系統的敏感數據類型，系統特點和安全需求均有較大差別，對于敏感數據分級的確定，是實現安全域劃分、信息訪問控制等一切網絡操作的前提和基礎，其劃分結果直接影響整個系統運行的效率和性能。另外，現有的安全防護手段(防火墻，網閘，隔離設備)不能夠對智能數控系統進行有效防御，智能制造系統特別是數控網絡安全防護技術亟需發展，產品亟需實現和驗證。

解決以上問題及缺陷的意義為：