鋼鐵企業工業以太網絡安全縱深防御體系的研究與應用

張寶玉 張馨天

摘 要：隨著鋼鐵企業智能制造建設的不斷深入，工業以太網技術在產線自動化領域得到了廣泛應用，同時工業以太網與信息化網絡，甚至互聯網絡的數據交換也日益增多。工業控制系統的封閉性已被徹底打破，正在面臨著空前嚴峻的信息安全問題。通過分析工業以太網絡的脆弱性以及安全需求，將工業以太網絡劃分為不同的層級，借鑒軍事上縱深防御的理念，提出了一套適合鋼鐵企業工業以太網絡的縱深防御體系。

關鍵詞：工業以太網絡;工業控制系統;網絡安全;縱深防御體系

中圖分類號：TP393 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2021.02.047

本文著錄格式：張寶玉，張馨天.鋼鐵企業工業以太網絡安全縱深防御體系的研究與應用[J].軟件，2021，42（02）：150-153+162

Research and Application of Security in-depth Defense System of Industrial Ethernet Network in Iron and Steel Enterprises

ZHANG Baoyu， ZHANG Xintian

（Hegang Group Tangshan Iron and Steel Company， Tangshan? Hebei? 063000）

【Abstract】：With the continuous deepening of intelligent manufacturing construction in steel enterprises， industrial Ethernet technology has been widely used in the field of production line automation. At the same time， the data exchange between industrial Ethernet and information networks， and even the Internet， is increasing. The closedness of the industrial control system has been completely broken， and it is facing unprecedented severe information security problems. By analyzing the fragility and security requirements of industrial Ethernet networks， the industrial Ethernet networks are divided into different levels， drawing on the concept of military defense in depth， and proposing a set of defense-in-depth systems suitable for industrial Ethernet networks of steel enterprises.

【Keywords】： Industrial Ethernet;industrial control system;network security;defense-in-depth system

0引言

按照國家提出《中國制造2025》行動綱領的要求，鋼鐵企業智能制造建設正在快速推進，基于TCP/IP標準協議的工業以太網絡作為一種高效，快捷，兼容性強的網絡技術正在鋼鐵企業的工業控制系統（Industrial Control System，ICS）中被廣泛應用，使得工業控制系統內部，工業控制系統以及工業控制系統與信息化系統、互聯網都可以快捷的建立網連接，為智能制造的建設提供了有力數據通信支撐。

但與此同時，基于TCP/IP協議的工業以太技術也將計算機病毒、木馬、黑客攻擊等網絡威脅帶到了工業控制系統。根據國家工業信息安全發展研究中心[1]所檢測和統計的結果，我國已有三千余個工業控制系統暴露在了互聯上，并且這些工業控制系統中有超過95%以上擁有漏洞，可以被黑客攻擊，甚至其中20%的工業控制系統可以被遠程入侵并被完全控制。由于工業控制系統廣泛應用于各個領域，一旦被入侵，其后果是無法預計的[2]。所以保護工業控制系統免受網絡安全威脅是至關重要的。

工業控制系統的網絡信息安全問題是一個系統性問題，不能僅依靠單一的安全技術來解決，需要綜合運用多種安全技術，分區域分層級的部署安全防護措施，形成對工業以太網絡層層保護的縱深防御體系，才能有效的保障工業控制系統的網絡安全。

1工業以太網絡安全的特征

工業以太網絡的服務對象是工業自動化系統，工業以太網絡安全的關注點就是如何保證產線設備與自動化控制系統能夠安全穩定運行，而產線設備與自動化控制系統的運行與傳統的IT網絡存在較大差異，因此傳統的IT網絡安全技術并不完全適用于工業以太網絡。必須結合工業以太網絡的特點才能找到適合工業以太網絡的安全技術措施。

1.1 工業以太網絡與IT網絡的區別與聯系

《智能制造發展規劃（2016-2020年）》指出智能制造系統架構從生命周期、系統層級和智能特征三個維度對智能制造所涉及的活動、裝備、特征等內容進行描述，主要用于明確智能制造的標準化需求、對象和范圍，指導國家智能制造標準體系建設。其中從系統層級將智能制造分為五個層級，分別為：設備、單元、車間、企業、協調。鋼鐵企業對應的軟硬件系統分布及網絡覆蓋情況如圖1所示：

在圖1中可以發現工業以太網絡主要覆蓋智能制造體系中設備層級、單元層級，IT信息化網絡主要覆蓋車間層級、企業層級及協同層級。由于兩個網絡系統所服務的對象不同，因此他們的網絡特性要求，安全關注點也不相同。工業以太網絡與IT網絡的特性對比見表1：

從智能制造整體功能出發，兩個網絡的之間存在著頻繁的數據交換，網絡安全措施必須整體考慮，形成貫穿五個層級的縱深防御安全體系。

1.2 工業以太網絡面臨的主要安全威脅

工業以太網絡面臨的網絡安全威脅主要來自以下幾個方面[3]：

（1）網絡體系結構。工業以太網絡系統由原來的全封閉或半封閉的系統逐步開放，已經與IT網絡系統建立了多點、密切的網絡連接，不可避免地會受到來自IT網絡或多或少的影響，必須在網絡體系結構上采取謹慎可靠的安全措施在保障網絡暢通的前提下減少IT網絡對工業以太網的影響。

（2）病毒入侵。工業以太網絡是基于TCP/IP標準網絡協議搭建的，因此IT網絡系統的計算機病毒可以在工業以太網絡內傳播，因此必須采取措施遏制工業以太網內的病毒入侵與傳播。

（3）網絡抖動。隨著工業以太網絡規模的不斷增加，網絡設備和鏈路數量正?？焖僭鲩L，由網絡環路或設備故障引起的網絡抖動對工業以太網的穩定運行影響極大。應對采取相應的網絡技術措施進行防護。

（4）網絡入侵和攻擊。由于數據交換的需要工業以太網絡與IT網絡，甚至互聯網絡都建立了連接，不可避免的受到來自外部網絡的攻擊和入侵，應針對攻擊源設置層層防護，保護工業以太網絡的安全。

2 工業以太網絡的縱深防御體系

鋼鐵企業工業以太網絡縱深防御體系的建設目標是充分考慮工業以太網絡的特征，在不同的網絡層次和區域，通過采用適當的網絡安全技術來對工業以太網絡形成系統性的安全保護。

2.1 縱深防御的基本概念和原則

縱深防御（Defense in Depth）這一術語源自軍事防御戰略。運用在工業以太網絡安全領域，縱深防御指的是在工業以太網絡內部及與工業以太網絡連接的網絡中，根據各區域網絡的功能特點和安全威脅，將網絡劃分為不同的安全域（security zone）[4]，在安全區域內部及安全區域之間采取相應的安全技術措施，對工業以太網絡系統形成多層次、系統性的安全保護?？v深防御體系的研究重點就是如何進行安全區域劃分，以及各個區域采用的安全技術措施的有效性。

2.2 工業以太網絡縱深防御體系構建

建立工業以太網絡縱深防御體系大體可分為以下步驟：

首先是對網絡安全區域的劃分，既在工業以太網絡與其相連網絡之間建立一個比較清晰和明確的邊界。這樣有利于在工業以太網絡邊界上加載火護墻等安全設備，對工業以太網絡實施安全保護。對進入工業以太網的用戶進行層層的篩選分析和安全監測，阻斷外部網絡的非法訪問，減少給工業以太網帶來的網絡威脅。

其次是優化工業以太網絡內部結構。針對工業以太面臨的安全威脅和應用需要采取態勢感知等主動的安全技術措施，提高工業以太網自身的防御能力和健壯性。

第三加強網絡安全監測和審計，及時動態的了解工業以太網絡及與之連接的網絡安全動向，形成聯防聯控集中，將安全威脅扼殺在萌芽階段。

最后建立行之有效的工業以太網絡安全管理體系，形成責任到人，底數清晰，反映快捷，持續提升的管理體系。并且加強工業以太網絡安全技術人員的培養，以工業以太網絡運維管理的需要。

鋼鐵企業工業以太網絡縱深防御體系分區邏輯關系圖如2所示：

根據功能不同鋼鐵企業智能制造網絡大體可劃分為以下四個區域：

一是數據中心網絡區，該區域網絡主要是用于承載各系統的服務器，存儲備份系統的設備接入服務，同時包含：數據中心防火墻、網絡安全態勢感知系統、防病毒控制臺、補丁分發服務器（WSUS）、數據庫審計等網絡安全設備，為全網提供網絡安全服務。

二是企業園區網絡區，該區域網絡主要承載的是企業園區網絡用戶的接入服務，并負責對接入的用戶進行身份認證，安全合規檢測和網絡權限分配，確保園區網絡邊界安全可控。

三是工業以太網區，該區域部分網絡主要承載的是自動化系統一級和二級設備通信服務，同時應配置部署與工業以太網絡系統相兼容的安全系統，主要包括工業網絡態勢感知系統，工業安全衛士系統、工業安全審計系統等。

四是互聯網接入區，該區域網絡主要承載互聯網訪問服務。該區域主要部署的網絡安全設備有：外網防火墻、上網行為管理、VPN、堡壘主機等系統。

2.3 工業以太網絡縱深防御體系中的關鍵技術

針對工業以太網絡面臨的主要威脅，可以在不同的網絡區域采取有針對性的網絡安全技術，系統性的保護工業以太網絡的安全。

2.3.1 下一代防火墻技術

下一代防火墻部署在工業以太網與其他區域的網絡之間。器其主要作用有：一是通過防火墻對訪問工業以太網絡的主機和應用端口進行限制，一般采用基于白名單的訪問控制策略;二是利用下一代防火墻技術對網絡數據包進行應用級的分析，對病毒傳播，木馬活動與漏洞攻擊等危險網絡行為進行識別和阻斷，最大程度的減少其他網絡對工業以太網絡的威脅。

2.3.2 網絡安全態勢感知技術

工業以太網對網絡實時性要求較高，因此在其內部主機和鏈路上不適合部署過多的網絡安全系統，可采用網絡安全態勢感知技術，采用旁路的模式實時的對工業以太網絡關鍵數據流量進行捕捉和分析，及時發現和處置工業以太網絡中出現的各種網絡安全威脅，特別注意的是在工業以太網絡區域部署的態勢感知系統應能夠識別工業網絡通訊協議和工業控制系統安全威脅和漏洞攻擊。

2.3.3 包含合規檢測的網絡準入控制技術

工業以太網絡的安全威脅主要來自于企業園區網絡，企業園區網絡的邊界安全非常重要，可在企業園區網內采用包含合規檢測的網絡準入控制技術，對接入園區網絡的用戶進行全部身份認證和安全合規檢測，禁止非法用戶和安全不合規的用戶接入網絡，做到園區網絡接入安全管理全覆蓋。

2.3.4 遠程接入和操作審計技術

隨著互聯網的普及，通過互聯網對工業以太網的訪問需要正在日益增多，可以采用VPN技術為互聯網用戶提供遠程接入服務，同時采用堡壘主機技術對接入用戶的所有操作進行全程記錄，并且盡量避免外部主機直接對工業以太網絡資源的訪問，以免對工業控制系統造成不可控的影響和破壞。

2.3.5 內網補丁更新、殺毒、時鐘服務技術

在企業內部數據中心應建立WSUS（補丁分發服務器）、網絡殺毒控制臺、時鐘服務器等系統，為工業以太網絡系統內部的終端和服務器提供相關網絡安全服務，避免工業以太網絡直接與互聯網絡建立連接。

2.3.6 防抖動技術

隨著工業以太網絡規模的增加，網絡中時常會出現網絡抖動現象，這對工業以太網的穩定運行影響較大。主要的技術措施：一是在工業以太網中啟用MSTP等網絡生產樹協議，并主動選取運行環境好，性能較高的網絡設備作為根節點;二是采用路由模式與外部網絡建立連接，不參與外部網絡生產樹協議的計算，同時也避免受外部網絡抖動的影響;三是加強網絡設備和網絡線路的管理，及時關閉閑置的網絡端口，維護好線纜的良好狀態。

3結語

隨著工業以太網絡技術在鋼業企業的廣泛應用，基于TCP/IP的網絡安全威脅已經延伸到了工業自動控制系統。本文分析了工業以太網絡系統與IT網絡系統的區別與聯系，對鋼鐵企業智能制造整體網絡進行了安全區域劃分，應用縱深防御策略的理念，設計了工業以太網絡縱深防御體系，并對縱深防御體系中關鍵安全技術進行了說明，希望對從事工業以太網絡安全工作的技術人員提供一些幫助。

參考文獻

[1] 朱涵，李建發.當心！95%工業控制系統有漏洞，面臨巨大安全風險[EB/OL].https：//www.sohu.com/a/229361590_99910

418，2018-04-25.

[2] 姚羽，祝烈煌，武傳坤.工業控制網絡安全技術與實踐[M].北京：機械工業出版社，2018.

[3] Chen Xing，Jia Zhuo-sheng.Industrial control network information security threats and vulnerability analysis and research[J].Com- puter Science，2012，39（10）：188-190.

[4] IEC 62443-1-1[S].Industrial Communication Networks-Network and System Security-Part 1-1：Terminology，Concepts

and Models，2009.