工業控制網絡的信息安全及縱深防御體系結構探究

重慶信息通信研究院 蔡鑫 李美洲 丁宇柔 戴雪

近年來，我國信息技術和以太網技術快速發展的過程中，工業控制系統中開始采用工業以太網，通過TCP/IP標準協議，提升工業控制系統運行的穩定性和可靠性。但是由于工業控制網絡系統在運行的過程中，以開放性網絡環境為載體，可能會發生信息安全問題，病毒黑客入侵的防控難度較高。基于此，本文分析工業控制網絡信息安全特點，提出工業控制網絡的縱深防御體系結構構建措施，旨在為增強工業控制網絡的信息安全性提供助力。

1 工業控制網絡的信息安全分析

1.1 工業控制網絡系統的特點

工業控制網絡系統和常規的IT 系統存在一定差異，從系統的特點層面而言，工業控制網絡是由信息物理融合系統組合而成，IT 系統則是常規的信息系統。如表1 所示，工業控制網絡系統可以分成企業層次、管理層次、監控層次等，不同層次的特點不同，是促使工業發展的重要保障。

表1 工業控制網絡系統的層次Tab.1 Hierarchy of industrial control network system

1.2 工業控制網絡的安全特點

從實際情況而言，工業控制網絡具有功能和信息安全兩種屬性，其中，功能安全主要是為了達到工廠和設備的安全功能，使被保護和控制的設備安全部分能夠正確執行，在發生故障或者失效的情況下，設備與系統依然維持在安全狀態。通常情況下，受控制設備或是系統相關的安全性，直接受到電氣電子和可編程軟件安全系統的影響，也可能會受到技術安全系統與外界風險控制設備執行的影響，與此同時，系統中所采用的保護措施，也會對系統的功能安全造成影響。

當前，我國工業控制網絡系統在運行的過程中，普遍存在信息安全的問題。首先，由于整體網絡系統從原本的封閉狀態逐漸轉變成為開放的狀態，相關的信息安全措施沒有及時制止，很容易在黑客和病毒入侵下使整體網絡體系結構受到破壞，出現嚴重的信息安全問題。其次，在工業控制網絡系統運行的過程中，沒有合理采用數據流的控制措施，未能設置網絡設備訪問的限制，再加上防火墻規則的設置和路由器訪問控制表的設置不合理，很難有效維護工業控制網絡系統信息的安全水平。最后，網絡系統運行期間沒有合理進行備份處理，一旦系統發生故障或是受到入侵的情況下，難以快速進行設備的切換和數據的恢復，對信息安全管理造成不利影響[1]。

2 縱深防御的分析

從本質層面而言，信息安全中的縱深防御，主要就是管理人員將信息資產劃分成為多個層次進行安全防御，避免信息系統受到入侵或是攻擊。例如，按照信息系統的安全運行特點和需求，將整體系統分成各個安全域，每個安全域都有著共同安全需求的資產邏輯、物理邏輯和信息邏輯，同時也能劃分成為多個子域，也可能是和資產位置沒有關聯的虛擬域，對于各類安全措施，安全域都有著相應的邊界，無論安全域中資產訪問來源是外部還是內部，都能夠按照實際情況提供不同的保護。如圖1 所示，目前信息系統中的縱深防御，在安全域的邊界、不同安全域相互之間，配置防火墻設備，有效進行數據流訪問控制，預防出現網絡信息的安全風險問題[2]。

3 工業控制網絡的縱深防御體系結構的構建

3.1 體系結構構建前提

工業控制網絡的縱深防御體系結構構建過程中，需要明確具體的體系結構原理，確保縱深防御體系的完善性和優化性，如圖2 所示。

圖2 工業控制網絡的縱深防御體系結構構建原理Fig.2 Construction principle of defense in depth architecture of industrial control network

3.1.1 安全域劃分

工業控制網絡縱深防御體系結構中安全域劃分是對業務進行抽象處理，并非簡單劃分物理服務器，在整體的分布式架構內，相同安全域的設備，可能不會存儲在同一物理機房，但是安全等級相同，訪問控制的策略相同，只為其他安全域或是網絡暴露相應的協議接口，就算是攻擊者對其他領域服務器進行滲透，也只能進行安全域中端口的掃描，不能自由滲透，能夠避免工業控制網絡系統的信息安全受到破壞，提升整體信息的安全。

3.1.2 數據鏈路隔離

提升整體信息的安全性，數據鏈路隔離的設置，主要是通過專門的數據鏈路隔離方式，將安全域作為基礎，在服務器中設置相應的防線，進行單點淪陷后受害源蔓延的抑制。

3.1.3 端口狀態協議的過濾

端口狀態協議過濾，主要是采用防火墻進行協議安全的管理，有效應對工業控制網絡系統的黑客入侵問題，即使工業控制網絡系統沒有合理進行加固、沒有全面清理不必要的服務、所開放的端口存在問題、端口服務有漏洞，但是只要利用防火墻進行過濾，攻擊者就不能到達陸游，只能對外或是對信任與暴露的端口進行攻擊。從本質層面而言，端口狀態協議的過濾，就是為黑客和病毒入侵等提供窄帶，設置具有限制的訪問通道[3]。

3.1.4 應用層的安全管理

在應用層安全管理的過程中，為避免工業控制網絡系統的服務器有應用程序的漏洞，使非法攻擊者利用漏洞成功進行信息安全的破壞，需要進行應用層方面的進一步處理，利用容器加固的方式預防安全問題，例如，在容器加固的過程中，對危險函數運行進行阻止，一旦發現有攻擊者，即可快速做出報警，有效進行網絡信息安全的維護[4]。

3.2 體系結構的構建措施

工業控制網絡中構建縱深防御體系，需要設置連續性的防御措施，利用首要措施進行信息安全事件的阻止，在首要措施執行失敗的情況下，對信息安全事件的發展進行控制，所有措施全部失效的狀態下，將信息安全事件所產生的影響降到最低。如圖3 所示，根據實際情況進行工業控制以及網絡縱深防御體系結構的建設，提升網絡系統的縱深防御效果。

圖3 工業控制網絡的縱深防御體系結構設計Fig.3 Design of defense in depth architecture for industrial control networks

要想確保在工業控制網絡中有效實現相關的縱深防御策略，首先需要科學合理進行安全域的設計，將其分成遠程訪問和本地操作、自動化設備等部分。其次就要進行安全域中各類安全機制的配置，設置安全認證機制、入侵檢測機制、入侵響應機制等，同時還需設置日志管理和事件管理的機制，采用SIEM 等技術進行集中化管理。最后，采用冗余技術使工業控制網絡系統發生信息安全事件的情況下，快速恢復到原本狀態，例如，合理設計防火墻雙機熱備的部分，在工業控制網絡中配置防火墻系統、入侵檢測系統等，改善網絡的安全問題防御能力。

工業控制網絡的縱深防御體系架構設計過程中，可將外部網絡設置成為外部域，將企業網絡設置成為企業域，將管理層次、監控層次和設備層次等設置成為數據域。在數據域實際應用的過程中，可以將現場層次和設備層次獨立性分成控制域，確保各個層次的安全性。其中安全域和子域的邊界，設置入侵檢測系統、防火墻系統和病毒查殺軟件，這樣能夠確保各類信息的安全性，預防出現信息安全事件[5]。

3.3 體系結構中技術的應用

為確保在工業控制網絡中科學合理構建縱深防御體系，提升縱深防御體系的應用效果，需要重點根據具體的情況，對體系結構中的技術進行配置。

3.3.1 防火墻技術

建議在工業控制網絡的縱深防御體系結構中，配置以硬件為基礎的防火墻技術，如表2 所示，此類防火墻技術和傳統的防火墻技術相比，具有一定的應用價值。

表2 基于硬件的防火墻技術應用價值Tab.2 Application value of hardware based firewall technology

在采用基于硬件的防火墻技術過程中，首先，采用新型防火墻技術中以包過濾和代理服務相結合的狀態檢測技術，在對網絡信息進行數據包過濾的同時，進行信息安全的狀態分析，對數據表的數據進行跟蹤記錄，動態性進行數據安全的維護，如果發現有異常的連接或是流量，能動態化進行過濾規則的生成。其次，采用專業的防火墻支持工業控制網絡協議，對網絡協議進行遠程調用和端口偵聽，利用規則更新的方式有效進行網絡信息兼容分析，同時，采用先進的DPI 深度報文檢測技術進行工業控制網絡協議的檢測，準確進行信息安全問題的識別和分類，有效進行數據信息安全問題的阻止。最后，對于現場設備級別的防火墻，獨立性進行設計，有效杜絕系統非授權訪問的入侵，完成多級別的訪問過濾，全面維護工業控制網絡系統運行的安全性[6]。

3.3.2 入侵檢測技術

工業控制網絡的縱深防御體系結構中，應科學合理地進行入侵檢測技術的配置和應用，確保合理應用入侵檢測技術，維護工業控制網絡系統中信息的安全性。首先，入侵檢測技術主要分成基于統計類型和規則類型兩種形式，其中基于規則類型的技術，能夠在工業控制網絡系統中設置Snort，準確檢測拒絕服務、響應注入和命令注入的入侵行為，具有一定的預防能力。其次，由于工業控制網絡傳感器數據信息的增加速度較快，因此，在采用入侵檢測技術期間，還需重點將聚合技術的大數據分析模式融入其中，采用自學習模型，自動化生成網絡系統白名單，將數據注入和拒絕服務攻擊檢測出來，確保系統化維護工業網絡控制中信息安全性。

3.3.3 病毒查殺技術

工業控制網絡的縱深防御體系結構設計過程中，需重點進行病毒查殺軟件的設置和應用，確保各項信息安全管理工作的有效開展。首先，可根據縱深防御體系的特點和整體結構的實際情況，采用瀏覽器挾持病毒軟件、木馬病毒查殺軟件、實時性防護軟件等常規的病毒查殺軟件，對整體網絡系統中各類信息進行安全防護，有效預防出現病毒入侵的問題。其次，強化和專業軟件開發公司之間的合作力度，要求專業的軟件開發公司按照工業控制網絡的特點和信息安全需求、縱深防御體系結構的情況等，針對性開發相應的病毒查殺軟件，使工業企業在對網絡信息進行縱深防御過程中，能夠利用病毒查殺軟件快速掃描和查殺病毒入侵的情況，科學合理地進行病毒的應對和處理，避免病毒入侵對工業控制網絡系統的信息安全造成危害，提升各項網絡信息的安全性。

4 結語

綜上所述，工業控制網絡和IT 網絡存在一定的差異，工業控制網絡的信息安全具有復雜性的特點，如果不能合理進行網絡信息安全管控和維護，將會引發嚴重的后果，因此，建議在新時期的環境下，切實按照工業控制網絡的信息安全情況，科學設計縱深防御體系結構，完善體系結構模式和模塊，合理配置安全技術，提升縱深防御體系結構的完整性，有效維護工業控制網絡信息安全。