鋼鐵企業(yè)工業(yè)以太網(wǎng)絡安全縱深防御體系的研究與應用

張寶玉 張馨天

摘 要：隨著鋼鐵企業(yè)智能制造建設的不斷深入，工業(yè)以太網(wǎng)技術在產(chǎn)線自動化領域得到了廣泛應用，同時工業(yè)以太網(wǎng)與信息化網(wǎng)絡，甚至互聯(lián)網(wǎng)絡的數(shù)據(jù)交換也日益增多。工業(yè)控制系統(tǒng)的封閉性已被徹底打破，正在面臨著空前嚴峻的信息安全問題。通過分析工業(yè)以太網(wǎng)絡的脆弱性以及安全需求，將工業(yè)以太網(wǎng)絡劃分為不同的層級，借鑒軍事上縱深防御的理念，提出了一套適合鋼鐵企業(yè)工業(yè)以太網(wǎng)絡的縱深防御體系。

關鍵詞：工業(yè)以太網(wǎng)絡;工業(yè)控制系統(tǒng);網(wǎng)絡安全;縱深防御體系

中圖分類號：TP393 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2021.02.047

本文著錄格式：張寶玉，張馨天.鋼鐵企業(yè)工業(yè)以太網(wǎng)絡安全縱深防御體系的研究與應用[J].軟件，2021，42（02）：150-153+162

Research and Application of Security in-depth Defense System of Industrial Ethernet Network in Iron and Steel Enterprises

ZHANG Baoyu， ZHANG Xintian

（Hegang Group Tangshan Iron and Steel Company， Tangshan? Hebei? 063000）

【Abstract】：With the continuous deepening of intelligent manufacturing construction in steel enterprises， industrial Ethernet technology has been widely used in the field of production line automation. At the same time， the data exchange between industrial Ethernet and information networks， and even the Internet， is increasing. The closedness of the industrial control system has been completely broken， and it is facing unprecedented severe information security problems. By analyzing the fragility and security requirements of industrial Ethernet networks， the industrial Ethernet networks are divided into different levels， drawing on the concept of military defense in depth， and proposing a set of defense-in-depth systems suitable for industrial Ethernet networks of steel enterprises.

【Keywords】： Industrial Ethernet;industrial control system;network security;defense-in-depth system

0引言

按照國家提出《中國制造2025》行動綱領的要求，鋼鐵企業(yè)智能制造建設正在快速推進，基于TCP/IP標準協(xié)議的工業(yè)以太網(wǎng)絡作為一種高效，快捷，兼容性強的網(wǎng)絡技術正在鋼鐵企業(yè)的工業(yè)控制系統(tǒng)（Industrial Control System，ICS）中被廣泛應用，使得工業(yè)控制系統(tǒng)內(nèi)部，工業(yè)控制系統(tǒng)以及工業(yè)控制系統(tǒng)與信息化系統(tǒng)、互聯(lián)網(wǎng)都可以快捷的建立網(wǎng)連接，為智能制造的建設提供了有力數(shù)據(jù)通信支撐。

但與此同時，基于TCP/IP協(xié)議的工業(yè)以太技術也將計算機病毒、木馬、黑客攻擊等網(wǎng)絡威脅帶到了工業(yè)控制系統(tǒng)。根據(jù)國家工業(yè)信息安全發(fā)展研究中心[1]所檢測和統(tǒng)計的結果，我國已有三千余個工業(yè)控制系統(tǒng)暴露在了互聯(lián)上，并且這些工業(yè)控制系統(tǒng)中有超過95%以上擁有漏洞，可以被黑客攻擊，甚至其中20%的工業(yè)控制系統(tǒng)可以被遠程入侵并被完全控制。由于工業(yè)控制系統(tǒng)廣泛應用于各個領域，一旦被入侵，其后果是無法預計的[2]。所以保護工業(yè)控制系統(tǒng)免受網(wǎng)絡安全威脅是至關重要的。

工業(yè)控制系統(tǒng)的網(wǎng)絡信息安全問題是一個系統(tǒng)性問題，不能僅依靠單一的安全技術來解決，需要綜合運用多種安全技術，分區(qū)域分層級的部署安全防護措施，形成對工業(yè)以太網(wǎng)絡層層保護的縱深防御體系，才能有效的保障工業(yè)控制系統(tǒng)的網(wǎng)絡安全。

1工業(yè)以太網(wǎng)絡安全的特征

工業(yè)以太網(wǎng)絡的服務對象是工業(yè)自動化系統(tǒng)，工業(yè)以太網(wǎng)絡安全的關注點就是如何保證產(chǎn)線設備與自動化控制系統(tǒng)能夠安全穩(wěn)定運行，而產(chǎn)線設備與自動化控制系統(tǒng)的運行與傳統(tǒng)的IT網(wǎng)絡存在較大差異，因此傳統(tǒng)的IT網(wǎng)絡安全技術并不完全適用于工業(yè)以太網(wǎng)絡。必須結合工業(yè)以太網(wǎng)絡的特點才能找到適合工業(yè)以太網(wǎng)絡的安全技術措施。

1.1 工業(yè)以太網(wǎng)絡與IT網(wǎng)絡的區(qū)別與聯(lián)系

《智能制造發(fā)展規(guī)劃（2016-2020年）》指出智能制造系統(tǒng)架構從生命周期、系統(tǒng)層級和智能特征三個維度對智能制造所涉及的活動、裝備、特征等內(nèi)容進行描述，主要用于明確智能制造的標準化需求、對象和范圍，指導國家智能制造標準體系建設。其中從系統(tǒng)層級將智能制造分為五個層級，分別為：設備、單元、車間、企業(yè)、協(xié)調(diào)。鋼鐵企業(yè)對應的軟硬件系統(tǒng)分布及網(wǎng)絡覆蓋情況如圖1所示：

在圖1中可以發(fā)現(xiàn)工業(yè)以太網(wǎng)絡主要覆蓋智能制造體系中設備層級、單元層級，IT信息化網(wǎng)絡主要覆蓋車間層級、企業(yè)層級及協(xié)同層級。由于兩個網(wǎng)絡系統(tǒng)所服務的對象不同，因此他們的網(wǎng)絡特性要求，安全關注點也不相同。工業(yè)以太網(wǎng)絡與IT網(wǎng)絡的特性對比見表1：

從智能制造整體功能出發(fā)，兩個網(wǎng)絡的之間存在著頻繁的數(shù)據(jù)交換，網(wǎng)絡安全措施必須整體考慮，形成貫穿五個層級的縱深防御安全體系。

1.2 工業(yè)以太網(wǎng)絡面臨的主要安全威脅

工業(yè)以太網(wǎng)絡面臨的網(wǎng)絡安全威脅主要來自以下幾個方面[3]：

（1）網(wǎng)絡體系結構。工業(yè)以太網(wǎng)絡系統(tǒng)由原來的全封閉或半封閉的系統(tǒng)逐步開放，已經(jīng)與IT網(wǎng)絡系統(tǒng)建立了多點、密切的網(wǎng)絡連接，不可避免地會受到來自IT網(wǎng)絡或多或少的影響，必須在網(wǎng)絡體系結構上采取謹慎可靠的安全措施在保障網(wǎng)絡暢通的前提下減少IT網(wǎng)絡對工業(yè)以太網(wǎng)的影響。

（2）病毒入侵。工業(yè)以太網(wǎng)絡是基于TCP/IP標準網(wǎng)絡協(xié)議搭建的，因此IT網(wǎng)絡系統(tǒng)的計算機病毒可以在工業(yè)以太網(wǎng)絡內(nèi)傳播，因此必須采取措施遏制工業(yè)以太網(wǎng)內(nèi)的病毒入侵與傳播。

（3）網(wǎng)絡抖動。隨著工業(yè)以太網(wǎng)絡規(guī)模的不斷增加，網(wǎng)絡設備和鏈路數(shù)量正?？焖僭鲩L，由網(wǎng)絡環(huán)路或設備故障引起的網(wǎng)絡抖動對工業(yè)以太網(wǎng)的穩(wěn)定運行影響極大。應對采取相應的網(wǎng)絡技術措施進行防護。

（4）網(wǎng)絡入侵和攻擊。由于數(shù)據(jù)交換的需要工業(yè)以太網(wǎng)絡與IT網(wǎng)絡，甚至互聯(lián)網(wǎng)絡都建立了連接，不可避免的受到來自外部網(wǎng)絡的攻擊和入侵，應針對攻擊源設置層層防護，保護工業(yè)以太網(wǎng)絡的安全。

2 工業(yè)以太網(wǎng)絡的縱深防御體系

鋼鐵企業(yè)工業(yè)以太網(wǎng)絡縱深防御體系的建設目標是充分考慮工業(yè)以太網(wǎng)絡的特征，在不同的網(wǎng)絡層次和區(qū)域，通過采用適當?shù)木W(wǎng)絡安全技術來對工業(yè)以太網(wǎng)絡形成系統(tǒng)性的安全保護。

2.1 縱深防御的基本概念和原則

縱深防御（Defense in Depth）這一術語源自軍事防御戰(zhàn)略。運用在工業(yè)以太網(wǎng)絡安全領域，縱深防御指的是在工業(yè)以太網(wǎng)絡內(nèi)部及與工業(yè)以太網(wǎng)絡連接的網(wǎng)絡中，根據(jù)各區(qū)域網(wǎng)絡的功能特點和安全威脅，將網(wǎng)絡劃分為不同的安全域（security zone）[4]，在安全區(qū)域內(nèi)部及安全區(qū)域之間采取相應的安全技術措施，對工業(yè)以太網(wǎng)絡系統(tǒng)形成多層次、系統(tǒng)性的安全保護。縱深防御體系的研究重點就是如何進行安全區(qū)域劃分，以及各個區(qū)域采用的安全技術措施的有效性。

2.2 工業(yè)以太網(wǎng)絡縱深防御體系構建

建立工業(yè)以太網(wǎng)絡縱深防御體系大體可分為以下步驟：

首先是對網(wǎng)絡安全區(qū)域的劃分，既在工業(yè)以太網(wǎng)絡與其相連網(wǎng)絡之間建立一個比較清晰和明確的邊界。這樣有利于在工業(yè)以太網(wǎng)絡邊界上加載火護墻等安全設備，對工業(yè)以太網(wǎng)絡實施安全保護。對進入工業(yè)以太網(wǎng)的用戶進行層層的篩選分析和安全監(jiān)測，阻斷外部網(wǎng)絡的非法訪問，減少給工業(yè)以太網(wǎng)帶來的網(wǎng)絡威脅。

其次是優(yōu)化工業(yè)以太網(wǎng)絡內(nèi)部結構。針對工業(yè)以太面臨的安全威脅和應用需要采取態(tài)勢感知等主動的安全技術措施，提高工業(yè)以太網(wǎng)自身的防御能力和健壯性。

第三加強網(wǎng)絡安全監(jiān)測和審計，及時動態(tài)的了解工業(yè)以太網(wǎng)絡及與之連接的網(wǎng)絡安全動向，形成聯(lián)防聯(lián)控集中，將安全威脅扼殺在萌芽階段。

最后建立行之有效的工業(yè)以太網(wǎng)絡安全管理體系，形成責任到人，底數(shù)清晰，反映快捷，持續(xù)提升的管理體系。并且加強工業(yè)以太網(wǎng)絡安全技術人員的培養(yǎng)，以工業(yè)以太網(wǎng)絡運維管理的需要。

鋼鐵企業(yè)工業(yè)以太網(wǎng)絡縱深防御體系分區(qū)邏輯關系圖如2所示：

根據(jù)功能不同鋼鐵企業(yè)智能制造網(wǎng)絡大體可劃分為以下四個區(qū)域：

一是數(shù)據(jù)中心網(wǎng)絡區(qū)，該區(qū)域網(wǎng)絡主要是用于承載各系統(tǒng)的服務器，存儲備份系統(tǒng)的設備接入服務，同時包含：數(shù)據(jù)中心防火墻、網(wǎng)絡安全態(tài)勢感知系統(tǒng)、防病毒控制臺、補丁分發(fā)服務器（WSUS）、數(shù)據(jù)庫審計等網(wǎng)絡安全設備，為全網(wǎng)提供網(wǎng)絡安全服務。

二是企業(yè)園區(qū)網(wǎng)絡區(qū)，該區(qū)域網(wǎng)絡主要承載的是企業(yè)園區(qū)網(wǎng)絡用戶的接入服務，并負責對接入的用戶進行身份認證，安全合規(guī)檢測和網(wǎng)絡權限分配，確保園區(qū)網(wǎng)絡邊界安全可控。

三是工業(yè)以太網(wǎng)區(qū)，該區(qū)域部分網(wǎng)絡主要承載的是自動化系統(tǒng)一級和二級設備通信服務，同時應配置部署與工業(yè)以太網(wǎng)絡系統(tǒng)相兼容的安全系統(tǒng)，主要包括工業(yè)網(wǎng)絡態(tài)勢感知系統(tǒng)，工業(yè)安全衛(wèi)士系統(tǒng)、工業(yè)安全審計系統(tǒng)等。

四是互聯(lián)網(wǎng)接入?yún)^(qū)，該區(qū)域網(wǎng)絡主要承載互聯(lián)網(wǎng)訪問服務。該區(qū)域主要部署的網(wǎng)絡安全設備有：外網(wǎng)防火墻、上網(wǎng)行為管理、VPN、堡壘主機等系統(tǒng)。

2.3 工業(yè)以太網(wǎng)絡縱深防御體系中的關鍵技術

針對工業(yè)以太網(wǎng)絡面臨的主要威脅，可以在不同的網(wǎng)絡區(qū)域采取有針對性的網(wǎng)絡安全技術，系統(tǒng)性的保護工業(yè)以太網(wǎng)絡的安全。

2.3.1 下一代防火墻技術

下一代防火墻部署在工業(yè)以太網(wǎng)與其他區(qū)域的網(wǎng)絡之間。器其主要作用有：一是通過防火墻對訪問工業(yè)以太網(wǎng)絡的主機和應用端口進行限制，一般采用基于白名單的訪問控制策略;二是利用下一代防火墻技術對網(wǎng)絡數(shù)據(jù)包進行應用級的分析，對病毒傳播，木馬活動與漏洞攻擊等危險網(wǎng)絡行為進行識別和阻斷，最大程度的減少其他網(wǎng)絡對工業(yè)以太網(wǎng)絡的威脅。

2.3.2 網(wǎng)絡安全態(tài)勢感知技術

工業(yè)以太網(wǎng)對網(wǎng)絡實時性要求較高，因此在其內(nèi)部主機和鏈路上不適合部署過多的網(wǎng)絡安全系統(tǒng)，可采用網(wǎng)絡安全態(tài)勢感知技術，采用旁路的模式實時的對工業(yè)以太網(wǎng)絡關鍵數(shù)據(jù)流量進行捕捉和分析，及時發(fā)現(xiàn)和處置工業(yè)以太網(wǎng)絡中出現(xiàn)的各種網(wǎng)絡安全威脅，特別注意的是在工業(yè)以太網(wǎng)絡區(qū)域部署的態(tài)勢感知系統(tǒng)應能夠識別工業(yè)網(wǎng)絡通訊協(xié)議和工業(yè)控制系統(tǒng)安全威脅和漏洞攻擊。

2.3.3 包含合規(guī)檢測的網(wǎng)絡準入控制技術

工業(yè)以太網(wǎng)絡的安全威脅主要來自于企業(yè)園區(qū)網(wǎng)絡，企業(yè)園區(qū)網(wǎng)絡的邊界安全非常重要，可在企業(yè)園區(qū)網(wǎng)內(nèi)采用包含合規(guī)檢測的網(wǎng)絡準入控制技術，對接入園區(qū)網(wǎng)絡的用戶進行全部身份認證和安全合規(guī)檢測，禁止非法用戶和安全不合規(guī)的用戶接入網(wǎng)絡，做到園區(qū)網(wǎng)絡接入安全管理全覆蓋。

2.3.4 遠程接入和操作審計技術

隨著互聯(lián)網(wǎng)的普及，通過互聯(lián)網(wǎng)對工業(yè)以太網(wǎng)的訪問需要正在日益增多，可以采用VPN技術為互聯(lián)網(wǎng)用戶提供遠程接入服務，同時采用堡壘主機技術對接入用戶的所有操作進行全程記錄，并且盡量避免外部主機直接對工業(yè)以太網(wǎng)絡資源的訪問，以免對工業(yè)控制系統(tǒng)造成不可控的影響和破壞。

2.3.5 內(nèi)網(wǎng)補丁更新、殺毒、時鐘服務技術

在企業(yè)內(nèi)部數(shù)據(jù)中心應建立WSUS（補丁分發(fā)服務器）、網(wǎng)絡殺毒控制臺、時鐘服務器等系統(tǒng)，為工業(yè)以太網(wǎng)絡系統(tǒng)內(nèi)部的終端和服務器提供相關網(wǎng)絡安全服務，避免工業(yè)以太網(wǎng)絡直接與互聯(lián)網(wǎng)絡建立連接。

2.3.6 防抖動技術

隨著工業(yè)以太網(wǎng)絡規(guī)模的增加，網(wǎng)絡中時常會出現(xiàn)網(wǎng)絡抖動現(xiàn)象，這對工業(yè)以太網(wǎng)的穩(wěn)定運行影響較大。主要的技術措施：一是在工業(yè)以太網(wǎng)中啟用MSTP等網(wǎng)絡生產(chǎn)樹協(xié)議，并主動選取運行環(huán)境好，性能較高的網(wǎng)絡設備作為根節(jié)點;二是采用路由模式與外部網(wǎng)絡建立連接，不參與外部網(wǎng)絡生產(chǎn)樹協(xié)議的計算，同時也避免受外部網(wǎng)絡抖動的影響;三是加強網(wǎng)絡設備和網(wǎng)絡線路的管理，及時關閉閑置的網(wǎng)絡端口，維護好線纜的良好狀態(tài)。

3結語

隨著工業(yè)以太網(wǎng)絡技術在鋼業(yè)企業(yè)的廣泛應用，基于TCP/IP的網(wǎng)絡安全威脅已經(jīng)延伸到了工業(yè)自動控制系統(tǒng)。本文分析了工業(yè)以太網(wǎng)絡系統(tǒng)與IT網(wǎng)絡系統(tǒng)的區(qū)別與聯(lián)系，對鋼鐵企業(yè)智能制造整體網(wǎng)絡進行了安全區(qū)域劃分，應用縱深防御策略的理念，設計了工業(yè)以太網(wǎng)絡縱深防御體系，并對縱深防御體系中關鍵安全技術進行了說明，希望對從事工業(yè)以太網(wǎng)絡安全工作的技術人員提供一些幫助。

參考文獻

[1] 朱涵，李建發(fā).當心！95%工業(yè)控制系統(tǒng)有漏洞，面臨巨大安全風險[EB/OL].https：//www.sohu.com/a/229361590_99910

418，2018-04-25.

[2] 姚羽，祝烈煌，武傳坤.工業(yè)控制網(wǎng)絡安全技術與實踐[M].北京：機械工業(yè)出版社，2018.

[3] Chen Xing，Jia Zhuo-sheng.Industrial control network information security threats and vulnerability analysis and research[J].Com- puter Science，2012，39（10）：188-190.

[4] IEC 62443-1-1[S].Industrial Communication Networks-Network and System Security-Part 1-1：Terminology，Concepts

and Models，2009.