魏學(xué)勇

(中共陜西省委黨校(陜西行政學(xué)院)，陜西西安710061)

0 引言

隨著現(xiàn)代信息技術(shù)與傳統(tǒng)工業(yè)融合程度的提升，甘蔗制糖企業(yè)工業(yè)控制網(wǎng)絡(luò)與公共網(wǎng)絡(luò)、私人用戶端、企業(yè)管理系統(tǒng)的融合程度也越來越高。然而，由于甘蔗制糖企業(yè)工控網(wǎng)絡(luò)中多以 TCP(Transmission Control Protocol，傳輸控制協(xié)議)、IP(Internet Protocol，網(wǎng)絡(luò)之間互連的協(xié)議)技術(shù)為網(wǎng)絡(luò)基礎(chǔ)，高度融合了專門應(yīng)用于制糖工業(yè)領(lǐng)域的硬件、軟件和通信協(xié)議，在實際的工控系統(tǒng)工作狀態(tài)下，應(yīng)充分考慮工控系統(tǒng)與一般公共網(wǎng)絡(luò)、私人用戶端進行互通時的通信安全問題[1]。

與一般網(wǎng)絡(luò)安全防御體系相比，網(wǎng)絡(luò)安全縱深防御體系是一種將多種防御技術(shù)進行融合，不僅僅依賴某一種安全機制，所建立的全方位、立體化、具體戰(zhàn)略縱深效果的多種網(wǎng)絡(luò)安全防御技術(shù)互相支撐的新型網(wǎng)絡(luò)安全防御體系。針對甘蔗制糖企業(yè)工控系統(tǒng)，能夠充分解決當(dāng)前甘蔗制糖企業(yè)依賴單一防火墻以及網(wǎng)絡(luò)安全入侵防御系統(tǒng)的現(xiàn)狀，保障糖企工控系統(tǒng)在面對大規(guī)模、分布式網(wǎng)絡(luò)攻擊時的系統(tǒng)安全性。

1 甘蔗制糖企業(yè)工控系統(tǒng)安全分析

1.1 工控系統(tǒng)特點

在現(xiàn)代網(wǎng)絡(luò)技術(shù)進行充分融合之前，傳統(tǒng)甘蔗制糖企業(yè)工控系統(tǒng)多采用封閉式內(nèi)部網(wǎng)絡(luò)，通常采用物理隔離以及賦予不同員工不同的系統(tǒng)權(quán)限等手段，即可完成工控系統(tǒng)安全防御。此時的甘蔗制糖企業(yè)工控系統(tǒng)更加注重生產(chǎn)的安全性、可用性以及連續(xù)性等，并不需要過多考慮系統(tǒng)的安全性和保密程度等。

隨著企業(yè)工控系統(tǒng)現(xiàn)代化程度的提升，制糖企業(yè)逐漸開始采用TCP、IP協(xié)議等構(gòu)建自身工控系統(tǒng)，在于一般公共網(wǎng)絡(luò)或企業(yè)管理網(wǎng)絡(luò)進行對接時，暴露出了一些特點：①糖企生產(chǎn)通常隨甘蔗榨季的變化而變化，一般當(dāng)年11月至次年4月(即一個榨季)期間糖企的生產(chǎn)最為繁忙，糖企工控系統(tǒng)通常需要7×24 h進行工作，一旦工控系統(tǒng)停運，甘蔗制糖生產(chǎn)線將會面臨巨大損失；②由于糖企工作環(huán)境存在蒸發(fā)濃縮、煮糖結(jié)晶等環(huán)節(jié)，通常工作溫度較高，濕度也比較大，對生產(chǎn)設(shè)備的影響較高；③糖企工控系統(tǒng)以DCS(Distributed Control System，分布式控制)系統(tǒng)為核心控制系統(tǒng)，多使用 PLC(可編程邏輯控制器)為輔助邏輯控制系統(tǒng)，其中 DCS系統(tǒng)多應(yīng)用于甘蔗制糖工控系統(tǒng)中的核心動力環(huán)節(jié)以及煮糖階段，DCS系統(tǒng)具備高可靠性、精密性、開放性、易于維護以及協(xié)調(diào)性強等特點，能夠滿足動力環(huán)節(jié)與煮糖環(huán)節(jié)工業(yè)控制系統(tǒng)精密、嚴(yán)格的需求；④通常以有線傳輸為數(shù)據(jù)、信息、指令等的主要傳輸手段，由于制糖工藝通常并不具備過高的工藝差異性，因此對保密工作的要求并不高，通常更加重視系統(tǒng)工作的可靠性、連續(xù)性、節(jié)能性以及穩(wěn)定性等[2]。

1.2 網(wǎng)絡(luò)安全分析

一般甘蔗制糖企業(yè)的工控系統(tǒng)特點，決定了糖企通常會把網(wǎng)絡(luò)安全防御體系重點放在物理安全防御工作上，即采用空間隔離的手段實現(xiàn)企業(yè)的工控系統(tǒng)網(wǎng)絡(luò)安全防御。按照一般糖企生產(chǎn)過程中的工控系統(tǒng)分布情況，可以將甘蔗制糖企業(yè)網(wǎng)絡(luò)安全防御體系分為圖1所示的3層。

物理控制層不含安全功能，普通的網(wǎng)絡(luò)安全防火墻等在該層不存在適合的工作環(huán)境；監(jiān)視控制層開始，糖企工控系統(tǒng)開始使用含安全功能的協(xié)議，此處所使用的監(jiān)視系統(tǒng)操作軟件、數(shù)據(jù)存儲系統(tǒng)等多以商用軟件系統(tǒng)為主，較容易受到網(wǎng)絡(luò)攻擊；由于管理控制層能夠通過企業(yè)網(wǎng)或一般互聯(lián)網(wǎng)進行接入，同時一般糖企又通常不將網(wǎng)絡(luò)安全防御重點放在此處，因而管理控制層成為一般糖企工控系統(tǒng)中最容易受到網(wǎng)絡(luò)入侵或黑客攻擊的環(huán)節(jié)[3-5]。

2 網(wǎng)絡(luò)安全縱深防御體系對糖企工控系統(tǒng)的影響

2.1 網(wǎng)絡(luò)安全縱深防御體系

糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系，是一種融合多種網(wǎng)絡(luò)安全防御技術(shù)、手段于一體，以拓展糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御“深度”為主導(dǎo)原則，采用現(xiàn)代信息技術(shù)中最先進、最適合制糖企業(yè)自身特色的數(shù)據(jù)融合技術(shù)，所構(gòu)建的分布式工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系(圖2)[6]。

2.2 該體系對糖企工控系統(tǒng)的作用

糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系最外圍是該體系直接應(yīng)對網(wǎng)絡(luò)入侵的主要場景，其中：防御方面，該體系通過“單點+散點+分層”防御形式搭建了網(wǎng)絡(luò)安全防御布局，利用“集中+分布式”防御模式，實現(xiàn)整體系網(wǎng)絡(luò)安全縱深防御；入侵檢測機制方面，為實現(xiàn)網(wǎng)絡(luò)安全7×24 h全天實時檢測，該系統(tǒng)引入了虛擬化計算檢測方法，通過網(wǎng)絡(luò)云服務(wù)體系對檢測進行控制，實現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全自動化、智能化檢測；入侵響應(yīng)機制方面，系統(tǒng)主要利用糖企工控系統(tǒng)網(wǎng)絡(luò)安全防御惡意代碼查殺以及蜜罐陷阱等技術(shù)，實現(xiàn)糖企工控系統(tǒng)對網(wǎng)絡(luò)入侵行為的快速響應(yīng)；入侵預(yù)警機制方面，該系統(tǒng)主要通過對工控系統(tǒng)進行還原與漏洞修復(fù)，實現(xiàn)甘蔗制糖企業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全防護[7-8]。

圖2 糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系

3 糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系構(gòu)建與實現(xiàn)

3.1 硬件系統(tǒng)設(shè)計

糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系硬件系統(tǒng)主要指系統(tǒng)服務(wù)器設(shè)備硬件系統(tǒng)，該系統(tǒng)是實現(xiàn)糖企工控系統(tǒng)網(wǎng)絡(luò)安全入侵防御系統(tǒng)運行和檢索的主要硬件系統(tǒng)(圖3)。

圖3 服務(wù)器設(shè)備硬件系統(tǒng)設(shè)計

為適應(yīng)我國制糖工業(yè)發(fā)展及其與現(xiàn)代網(wǎng)絡(luò)技術(shù)融合速度的不斷提升，本文設(shè)計的工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系服務(wù)器設(shè)備硬件系統(tǒng)采用了高度靈活、高可靠性、高可替代性的設(shè)計理念，在需要進行設(shè)備更換或系統(tǒng)升級時，只需要通過統(tǒng)一標(biāo)準(zhǔn)接口將硬件取下或安裝連接即可。其主要部件包括：

主機部件：屬網(wǎng)絡(luò)安全縱深防御系統(tǒng)核心部件，由嵌入式CPU硬件構(gòu)成，保證糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御入侵檢測功能正常運行；

能源部件：由于制糖企業(yè)一旦進入榨季，通常需要全天不間斷工作，因此制糖企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全防御體系同樣需要全天候進行入侵檢測，能源部件采用了持續(xù)工作時間長、狀態(tài)穩(wěn)定的燃料電池作為主要硬件；

儲存部件：用于保存系統(tǒng)數(shù)據(jù)與網(wǎng)絡(luò)安全防御數(shù)據(jù)，由于制糖工業(yè)的特殊需要，服務(wù)器硬盤需要長期在高溫、高濕等嚴(yán)苛環(huán)境環(huán)境下使用，為此本系統(tǒng)采用了寬溫、容量大、高穩(wěn)定性、高可靠性和高耐用性的 Greenliant工業(yè)級固態(tài)硬盤，配合虛擬數(shù)據(jù)庫實現(xiàn)數(shù)據(jù)存儲；

無線通信部件：為滿足未來糖企網(wǎng)絡(luò)安全入侵檢測系統(tǒng)升級，本次構(gòu)建系統(tǒng)采用了WLAN+5G形式雙接口，實現(xiàn)無線通信部件搭建，系統(tǒng)可以根據(jù)自身需求在雙環(huán)境下任意切換。

3.2 軟件系統(tǒng)設(shè)計

結(jié)合甘蔗制糖工業(yè)工控系統(tǒng)特點與網(wǎng)絡(luò)安全分析，本文以縱深防御為主要設(shè)計原則，構(gòu)建圖4所示甘蔗制糖工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系。該系統(tǒng)能夠?qū)⑻瞧蠊た叵到y(tǒng)信息安全防護手段按照不同環(huán)節(jié)、不同層次、不同需求進行分層部署，根據(jù)系統(tǒng)業(yè)務(wù)應(yīng)用、物理位置等將工控系統(tǒng)安全縱深防御體系劃分為不同的安全域，每一個安全域分別包括若干個具備相同防護需求的糖企工控系統(tǒng)邏輯組合。

圖4 糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御軟件系統(tǒng)設(shè)計

3.2.1 展現(xiàn)層

展現(xiàn)層主要由WEB客戶端與APP移動用戶端2部分構(gòu)成，WEB客戶端主要服務(wù)于糖企管理辦公用戶，使用 JavaScript的混淆加密以及頁面混淆加密機制搭建，能夠?qū)崿F(xiàn)基于可動態(tài)調(diào)整的 H5版本化；APP移動用戶端為本次搭建縱深防御系統(tǒng)展現(xiàn)層重點，由DEX加殼保護，內(nèi)存防dump，實現(xiàn)糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御由 WEB客戶端向APP移動用戶端的轉(zhuǎn)移。

3.2.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層是黑客等開展網(wǎng)絡(luò)攻擊的主要場景，因此也是糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系重點環(huán)節(jié)。糖企工控系統(tǒng)網(wǎng)絡(luò)層引入類似云防御的 WAF系統(tǒng)和流量復(fù)制技術(shù)，通過流量導(dǎo)入實現(xiàn)信息的脫敏、數(shù)據(jù)的加密傳輸以及信息自定義加密傳輸。其中數(shù)據(jù)信息的脫敏一般采取非對稱加密手段，然而該加密手段對CPU資源損耗較大，不利于制糖工業(yè)節(jié)能降耗，因此本次系統(tǒng)采用了不可逆加密，即不需要使用密鑰，輸入明文后由系統(tǒng)直接經(jīng)過加密算法處理成密文，保證加密后的數(shù)據(jù)無法被非法解密。

3.2.3 代理層

代理層是網(wǎng)絡(luò)流量等進入糖企工控系統(tǒng)的最后環(huán)節(jié)，因此代理層的作用非常重要。本次搭建系統(tǒng)代理層以類似 nginx代理層為主要形式，采用白名單限制、refer域名限制以及流量控制等綜合方法，保證系統(tǒng)代理層對網(wǎng)絡(luò)非法入侵的過濾。如一旦某不法IP在一段時間內(nèi)對糖企工控系統(tǒng)訪問頻次過高，則代理層可以直接將此IP下發(fā)到防火墻一層實現(xiàn)流量過濾。

3.2.4 接入層

接入層是糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系業(yè)務(wù)處理核心環(huán)節(jié)第一層。本次搭建系統(tǒng)接入層特點有：基于糖企工控系統(tǒng)歷史數(shù)據(jù)進行智能化建模；根據(jù)糖企日常管理工作線上實時行為數(shù)據(jù)計算網(wǎng)絡(luò)訪問風(fēng)險系數(shù)；通過海量系統(tǒng)數(shù)據(jù)喂給防御體系算法進行學(xué)習(xí)，得到實時風(fēng)控模型。

3.2.5 邏輯層

邏輯層負責(zé)對防御體系進行數(shù)據(jù)運算，主要工作包括數(shù)據(jù)脫敏、加密算法選擇等。以糖企工控系統(tǒng)密碼管理為例，密碼加密邏輯過于簡單往往容易導(dǎo)致密碼破解，邏輯層則可以通過倒置、混淆、重復(fù)疊加等手段多次完成密碼加密運算，實現(xiàn)密碼存儲邏輯上難以被攻破的系統(tǒng)需求。邏輯層是糖企工控系統(tǒng)負責(zé)業(yè)務(wù)邏輯處理的關(guān)鍵模塊，基本所有數(shù)據(jù)流轉(zhuǎn)和接收都在該層完成。

3.2.6 存儲層

存儲層是糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系終極核心層，設(shè)置不合理會導(dǎo)致網(wǎng)站數(shù)據(jù)庫數(shù)據(jù)直接被黑客刪除且無法恢復(fù)等嚴(yán)重問題?！懊酃蕖碧幚砑夹g(shù)，是安全防御領(lǐng)域里面的一個象形詞。本次搭建的系統(tǒng)存儲層利用“蜜罐”處理，在存儲層以數(shù)據(jù)庫形式復(fù)制多個糖企工控系統(tǒng)數(shù)據(jù)表并保存，如果有人操作這些表，系統(tǒng)會通過監(jiān)控機制直接告警，使問題盡早暴露，達到早期防御的功效，實現(xiàn)存儲層數(shù)據(jù)防護。

3.3 實驗分析

3.3.1 實驗設(shè)備與方法

為驗證本次設(shè)計甘蔗制糖企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系防御準(zhǔn)確性與防御取勝率，本文以我國某制糖企業(yè)實際軟硬件系統(tǒng)搭建實驗環(huán)境，對本文設(shè)計體系與一般網(wǎng)絡(luò)安全防御體系進行實驗對比，驗證甘蔗制糖企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系有效性和實用性。表1為該企業(yè)網(wǎng)絡(luò)安全防御體系軟硬件設(shè)備環(huán)境。

表1 某甘蔗制糖企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全防御軟硬件體系

將傳統(tǒng)網(wǎng)絡(luò)安全防御體系命名為系統(tǒng)Ⅰ、縱深防御體系命名為系統(tǒng)Ⅱ，將2種系統(tǒng)應(yīng)用在5×5節(jié)點的相同甘蔗制糖企業(yè)工控環(huán)境下，對該工控系統(tǒng)網(wǎng)絡(luò)進行不同程度(以攻擊次數(shù)為主要衡量對象)的網(wǎng)絡(luò)入侵攻擊，對2組實驗條件下系統(tǒng)成功防御次數(shù)、防御取勝率等進行統(tǒng)計計算，保證實驗結(jié)果的有效性。

3.3.2 實驗結(jié)果與分析

表2為本次實驗2種不同網(wǎng)絡(luò)安全防御體系防御網(wǎng)絡(luò)安全入侵結(jié)果。由表中數(shù)據(jù)可明顯得知，經(jīng)過優(yōu)化以后的基于制糖企業(yè)工控系統(tǒng)安全網(wǎng)絡(luò)縱深防御體系在成功防御次數(shù)、防御取勝率等方面均優(yōu)于傳統(tǒng)的網(wǎng)絡(luò)安全入侵防御體系；在攻擊次數(shù)逐漸增加的變化過程中，基于縱深防御的網(wǎng)絡(luò)安全入侵系統(tǒng)防御成功率及防御取勝率降低幅度極小，而傳統(tǒng)的網(wǎng)絡(luò)安全入侵防御系統(tǒng)在攻擊次數(shù)達到500次以后，防御取勝率已經(jīng)低于 60%，逐漸無法滿足系統(tǒng)需求；綜合而言系統(tǒng)Ⅱ在成功防御次數(shù)、防御取勝率等方面均遠優(yōu)于系統(tǒng)Ⅰ，且系統(tǒng)Ⅱ隨攻擊次數(shù)提升防御能力下降不明顯。

表2 實驗結(jié)果對比

4 結(jié)語

本次搭建糖企工控系統(tǒng)網(wǎng)絡(luò)安全縱深防御體系包含DCS模塊，該模塊中的各類型工作站、操作臺等防護軟件，能夠在防御系統(tǒng)中央控制室實現(xiàn)網(wǎng)絡(luò)安全防護白名單管理；實現(xiàn)對糖企工控系統(tǒng)數(shù)據(jù)存儲以及流量使用情況管理；實現(xiàn)對網(wǎng)絡(luò)入侵、未知訪問、惡意程序等的防御；能夠滿足糖企工控系統(tǒng)啟動、加載以及長時間不下線7×24 h穩(wěn)定工作狀態(tài)安全保障；與一般傳統(tǒng)網(wǎng)絡(luò)安全入侵防御體系相比，基于縱深防御的網(wǎng)絡(luò)安全入侵防御系統(tǒng)在防御成功次數(shù)、防御成功率等方面均更為優(yōu)秀。