張寶玉 張馨天

摘 要：隨著鋼鐵企業(yè)智能制造建設(shè)的不斷深入，工業(yè)以太網(wǎng)技術(shù)在產(chǎn)線自動(dòng)化領(lǐng)域得到了廣泛應(yīng)用，同時(shí)工業(yè)以太網(wǎng)與信息化網(wǎng)絡(luò)，甚至互聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)交換也日益增多。工業(yè)控制系統(tǒng)的封閉性已被徹底打破，正在面臨著空前嚴(yán)峻的信息安全問題。通過分析工業(yè)以太網(wǎng)絡(luò)的脆弱性以及安全需求，將工業(yè)以太網(wǎng)絡(luò)劃分為不同的層級(jí)，借鑒軍事上縱深防御的理念，提出了一套適合鋼鐵企業(yè)工業(yè)以太網(wǎng)絡(luò)的縱深防御體系。

關(guān)鍵詞：工業(yè)以太網(wǎng)絡(luò);工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全;縱深防御體系

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.3969/j.issn.1003-6970.2021.02.047

本文著錄格式：張寶玉，張馨天.鋼鐵企業(yè)工業(yè)以太網(wǎng)絡(luò)安全縱深防御體系的研究與應(yīng)用[J].軟件，2021，42（02）：150-153+162

Research and Application of Security in-depth Defense System of Industrial Ethernet Network in Iron and Steel Enterprises

ZHANG Baoyu， ZHANG Xintian

（Hegang Group Tangshan Iron and Steel Company， Tangshan? Hebei? 063000）

【Abstract】：With the continuous deepening of intelligent manufacturing construction in steel enterprises， industrial Ethernet technology has been widely used in the field of production line automation. At the same time， the data exchange between industrial Ethernet and information networks， and even the Internet， is increasing. The closedness of the industrial control system has been completely broken， and it is facing unprecedented severe information security problems. By analyzing the fragility and security requirements of industrial Ethernet networks， the industrial Ethernet networks are divided into different levels， drawing on the concept of military defense in depth， and proposing a set of defense-in-depth systems suitable for industrial Ethernet networks of steel enterprises.

【Keywords】： Industrial Ethernet;industrial control system;network security;defense-in-depth system

0引言

按照國家提出《中國制造2025》行動(dòng)綱領(lǐng)的要求，鋼鐵企業(yè)智能制造建設(shè)正在快速推進(jìn)，基于TCP/IP標(biāo)準(zhǔn)協(xié)議的工業(yè)以太網(wǎng)絡(luò)作為一種高效，快捷，兼容性強(qiáng)的網(wǎng)絡(luò)技術(shù)正在鋼鐵企業(yè)的工業(yè)控制系統(tǒng)（Industrial Control System，ICS）中被廣泛應(yīng)用，使得工業(yè)控制系統(tǒng)內(nèi)部，工業(yè)控制系統(tǒng)以及工業(yè)控制系統(tǒng)與信息化系統(tǒng)、互聯(lián)網(wǎng)都可以快捷的建立網(wǎng)連接，為智能制造的建設(shè)提供了有力數(shù)據(jù)通信支撐。

但與此同時(shí)，基于TCP/IP協(xié)議的工業(yè)以太技術(shù)也將計(jì)算機(jī)病毒、木馬、黑客攻擊等網(wǎng)絡(luò)威脅帶到了工業(yè)控制系統(tǒng)。根據(jù)國家工業(yè)信息安全發(fā)展研究中心[1]所檢測(cè)和統(tǒng)計(jì)的結(jié)果，我國已有三千余個(gè)工業(yè)控制系統(tǒng)暴露在了互聯(lián)上，并且這些工業(yè)控制系統(tǒng)中有超過95%以上擁有漏洞，可以被黑客攻擊，甚至其中20%的工業(yè)控制系統(tǒng)可以被遠(yuǎn)程入侵并被完全控制。由于工業(yè)控制系統(tǒng)廣泛應(yīng)用于各個(gè)領(lǐng)域，一旦被入侵，其后果是無法預(yù)計(jì)的[2]。所以保護(hù)工業(yè)控制系統(tǒng)免受網(wǎng)絡(luò)安全威脅是至關(guān)重要的。

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全問題是一個(gè)系統(tǒng)性問題，不能僅依靠單一的安全技術(shù)來解決，需要綜合運(yùn)用多種安全技術(shù)，分區(qū)域分層級(jí)的部署安全防護(hù)措施，形成對(duì)工業(yè)以太網(wǎng)絡(luò)層層保護(hù)的縱深防御體系，才能有效的保障工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全。

1工業(yè)以太網(wǎng)絡(luò)安全的特征

工業(yè)以太網(wǎng)絡(luò)的服務(wù)對(duì)象是工業(yè)自動(dòng)化系統(tǒng)，工業(yè)以太網(wǎng)絡(luò)安全的關(guān)注點(diǎn)就是如何保證產(chǎn)線設(shè)備與自動(dòng)化控制系統(tǒng)能夠安全穩(wěn)定運(yùn)行，而產(chǎn)線設(shè)備與自動(dòng)化控制系統(tǒng)的運(yùn)行與傳統(tǒng)的IT網(wǎng)絡(luò)存在較大差異，因此傳統(tǒng)的IT網(wǎng)絡(luò)安全技術(shù)并不完全適用于工業(yè)以太網(wǎng)絡(luò)。必須結(jié)合工業(yè)以太網(wǎng)絡(luò)的特點(diǎn)才能找到適合工業(yè)以太網(wǎng)絡(luò)的安全技術(shù)措施。

1.1 工業(yè)以太網(wǎng)絡(luò)與IT網(wǎng)絡(luò)的區(qū)別與聯(lián)系

《智能制造發(fā)展規(guī)劃（2016-2020年）》指出智能制造系統(tǒng)架構(gòu)從生命周期、系統(tǒng)層級(jí)和智能特征三個(gè)維度對(duì)智能制造所涉及的活動(dòng)、裝備、特征等內(nèi)容進(jìn)行描述，主要用于明確智能制造的標(biāo)準(zhǔn)化需求、對(duì)象和范圍，指導(dǎo)國家智能制造標(biāo)準(zhǔn)體系建設(shè)。其中從系統(tǒng)層級(jí)將智能制造分為五個(gè)層級(jí)，分別為：設(shè)備、單元、車間、企業(yè)、協(xié)調(diào)。鋼鐵企業(yè)對(duì)應(yīng)的軟硬件系統(tǒng)分布及網(wǎng)絡(luò)覆蓋情況如圖1所示：

在圖1中可以發(fā)現(xiàn)工業(yè)以太網(wǎng)絡(luò)主要覆蓋智能制造體系中設(shè)備層級(jí)、單元層級(jí)，IT信息化網(wǎng)絡(luò)主要覆蓋車間層級(jí)、企業(yè)層級(jí)及協(xié)同層級(jí)。由于兩個(gè)網(wǎng)絡(luò)系統(tǒng)所服務(wù)的對(duì)象不同，因此他們的網(wǎng)絡(luò)特性要求，安全關(guān)注點(diǎn)也不相同。工業(yè)以太網(wǎng)絡(luò)與IT網(wǎng)絡(luò)的特性對(duì)比見表1：

從智能制造整體功能出發(fā)，兩個(gè)網(wǎng)絡(luò)的之間存在著頻繁的數(shù)據(jù)交換，網(wǎng)絡(luò)安全措施必須整體考慮，形成貫穿五個(gè)層級(jí)的縱深防御安全體系。

1.2 工業(yè)以太網(wǎng)絡(luò)面臨的主要安全威脅

工業(yè)以太網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全威脅主要來自以下幾個(gè)方面[3]：

（1）網(wǎng)絡(luò)體系結(jié)構(gòu)。工業(yè)以太網(wǎng)絡(luò)系統(tǒng)由原來的全封閉或半封閉的系統(tǒng)逐步開放，已經(jīng)與IT網(wǎng)絡(luò)系統(tǒng)建立了多點(diǎn)、密切的網(wǎng)絡(luò)連接，不可避免地會(huì)受到來自IT網(wǎng)絡(luò)或多或少的影響，必須在網(wǎng)絡(luò)體系結(jié)構(gòu)上采取謹(jǐn)慎可靠的安全措施在保障網(wǎng)絡(luò)暢通的前提下減少IT網(wǎng)絡(luò)對(duì)工業(yè)以太網(wǎng)的影響。

（2）病毒入侵。工業(yè)以太網(wǎng)絡(luò)是基于TCP/IP標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議搭建的，因此IT網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)病毒可以在工業(yè)以太網(wǎng)絡(luò)內(nèi)傳播，因此必須采取措施遏制工業(yè)以太網(wǎng)內(nèi)的病毒入侵與傳播。

（3）網(wǎng)絡(luò)抖動(dòng)。隨著工業(yè)以太網(wǎng)絡(luò)規(guī)模的不斷增加，網(wǎng)絡(luò)設(shè)備和鏈路數(shù)量正?？焖僭鲩L，由網(wǎng)絡(luò)環(huán)路或設(shè)備故障引起的網(wǎng)絡(luò)抖動(dòng)對(duì)工業(yè)以太網(wǎng)的穩(wěn)定運(yùn)行影響極大。應(yīng)對(duì)采取相應(yīng)的網(wǎng)絡(luò)技術(shù)措施進(jìn)行防護(hù)。

（4）網(wǎng)絡(luò)入侵和攻擊。由于數(shù)據(jù)交換的需要工業(yè)以太網(wǎng)絡(luò)與IT網(wǎng)絡(luò)，甚至互聯(lián)網(wǎng)絡(luò)都建立了連接，不可避免的受到來自外部網(wǎng)絡(luò)的攻擊和入侵，應(yīng)針對(duì)攻擊源設(shè)置層層防護(hù)，保護(hù)工業(yè)以太網(wǎng)絡(luò)的安全。

2 工業(yè)以太網(wǎng)絡(luò)的縱深防御體系

鋼鐵企業(yè)工業(yè)以太網(wǎng)絡(luò)縱深防御體系的建設(shè)目標(biāo)是充分考慮工業(yè)以太網(wǎng)絡(luò)的特征，在不同的網(wǎng)絡(luò)層次和區(qū)域，通過采用適當(dāng)?shù)木W(wǎng)絡(luò)安全技術(shù)來對(duì)工業(yè)以太網(wǎng)絡(luò)形成系統(tǒng)性的安全保護(hù)。

2.1 縱深防御的基本概念和原則

縱深防御（Defense in Depth）這一術(shù)語源自軍事防御戰(zhàn)略。運(yùn)用在工業(yè)以太網(wǎng)絡(luò)安全領(lǐng)域，縱深防御指的是在工業(yè)以太網(wǎng)絡(luò)內(nèi)部及與工業(yè)以太網(wǎng)絡(luò)連接的網(wǎng)絡(luò)中，根據(jù)各區(qū)域網(wǎng)絡(luò)的功能特點(diǎn)和安全威脅，將網(wǎng)絡(luò)劃分為不同的安全域（security zone）[4]，在安全區(qū)域內(nèi)部及安全區(qū)域之間采取相應(yīng)的安全技術(shù)措施，對(duì)工業(yè)以太網(wǎng)絡(luò)系統(tǒng)形成多層次、系統(tǒng)性的安全保護(hù)?？v深防御體系的研究重點(diǎn)就是如何進(jìn)行安全區(qū)域劃分，以及各個(gè)區(qū)域采用的安全技術(shù)措施的有效性。

2.2 工業(yè)以太網(wǎng)絡(luò)縱深防御體系構(gòu)建

建立工業(yè)以太網(wǎng)絡(luò)縱深防御體系大體可分為以下步驟：

首先是對(duì)網(wǎng)絡(luò)安全區(qū)域的劃分，既在工業(yè)以太網(wǎng)絡(luò)與其相連網(wǎng)絡(luò)之間建立一個(gè)比較清晰和明確的邊界。這樣有利于在工業(yè)以太網(wǎng)絡(luò)邊界上加載火護(hù)墻等安全設(shè)備，對(duì)工業(yè)以太網(wǎng)絡(luò)實(shí)施安全保護(hù)。對(duì)進(jìn)入工業(yè)以太網(wǎng)的用戶進(jìn)行層層的篩選分析和安全監(jiān)測(cè)，阻斷外部網(wǎng)絡(luò)的非法訪問，減少給工業(yè)以太網(wǎng)帶來的網(wǎng)絡(luò)威脅。

其次是優(yōu)化工業(yè)以太網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)。針對(duì)工業(yè)以太面臨的安全威脅和應(yīng)用需要采取態(tài)勢(shì)感知等主動(dòng)的安全技術(shù)措施，提高工業(yè)以太網(wǎng)自身的防御能力和健壯性。

第三加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)和審計(jì)，及時(shí)動(dòng)態(tài)的了解工業(yè)以太網(wǎng)絡(luò)及與之連接的網(wǎng)絡(luò)安全動(dòng)向，形成聯(lián)防聯(lián)控集中，將安全威脅扼殺在萌芽階段。

最后建立行之有效的工業(yè)以太網(wǎng)絡(luò)安全管理體系，形成責(zé)任到人，底數(shù)清晰，反映快捷，持續(xù)提升的管理體系。并且加強(qiáng)工業(yè)以太網(wǎng)絡(luò)安全技術(shù)人員的培養(yǎng)，以工業(yè)以太網(wǎng)絡(luò)運(yùn)維管理的需要。

鋼鐵企業(yè)工業(yè)以太網(wǎng)絡(luò)縱深防御體系分區(qū)邏輯關(guān)系圖如2所示：

根據(jù)功能不同鋼鐵企業(yè)智能制造網(wǎng)絡(luò)大體可劃分為以下四個(gè)區(qū)域：

一是數(shù)據(jù)中心網(wǎng)絡(luò)區(qū)，該區(qū)域網(wǎng)絡(luò)主要是用于承載各系統(tǒng)的服務(wù)器，存儲(chǔ)備份系統(tǒng)的設(shè)備接入服務(wù)，同時(shí)包含：數(shù)據(jù)中心防火墻、網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)、防病毒控制臺(tái)、補(bǔ)丁分發(fā)服務(wù)器（WSUS）、數(shù)據(jù)庫審計(jì)等網(wǎng)絡(luò)安全設(shè)備，為全網(wǎng)提供網(wǎng)絡(luò)安全服務(wù)。

二是企業(yè)園區(qū)網(wǎng)絡(luò)區(qū)，該區(qū)域網(wǎng)絡(luò)主要承載的是企業(yè)園區(qū)網(wǎng)絡(luò)用戶的接入服務(wù)，并負(fù)責(zé)對(duì)接入的用戶進(jìn)行身份認(rèn)證，安全合規(guī)檢測(cè)和網(wǎng)絡(luò)權(quán)限分配，確保園區(qū)網(wǎng)絡(luò)邊界安全可控。

三是工業(yè)以太網(wǎng)區(qū)，該區(qū)域部分網(wǎng)絡(luò)主要承載的是自動(dòng)化系統(tǒng)一級(jí)和二級(jí)設(shè)備通信服務(wù)，同時(shí)應(yīng)配置部署與工業(yè)以太網(wǎng)絡(luò)系統(tǒng)相兼容的安全系統(tǒng)，主要包括工業(yè)網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)，工業(yè)安全衛(wèi)士系統(tǒng)、工業(yè)安全審計(jì)系統(tǒng)等。

四是互聯(lián)網(wǎng)接入?yún)^(qū)，該區(qū)域網(wǎng)絡(luò)主要承載互聯(lián)網(wǎng)訪問服務(wù)。該區(qū)域主要部署的網(wǎng)絡(luò)安全設(shè)備有：外網(wǎng)防火墻、上網(wǎng)行為管理、VPN、堡壘主機(jī)等系統(tǒng)。

2.3 工業(yè)以太網(wǎng)絡(luò)縱深防御體系中的關(guān)鍵技術(shù)

針對(duì)工業(yè)以太網(wǎng)絡(luò)面臨的主要威脅，可以在不同的網(wǎng)絡(luò)區(qū)域采取有針對(duì)性的網(wǎng)絡(luò)安全技術(shù)，系統(tǒng)性的保護(hù)工業(yè)以太網(wǎng)絡(luò)的安全。

2.3.1 下一代防火墻技術(shù)

下一代防火墻部署在工業(yè)以太網(wǎng)與其他區(qū)域的網(wǎng)絡(luò)之間。器其主要作用有：一是通過防火墻對(duì)訪問工業(yè)以太網(wǎng)絡(luò)的主機(jī)和應(yīng)用端口進(jìn)行限制，一般采用基于白名單的訪問控制策略;二是利用下一代防火墻技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行應(yīng)用級(jí)的分析，對(duì)病毒傳播，木馬活動(dòng)與漏洞攻擊等危險(xiǎn)網(wǎng)絡(luò)行為進(jìn)行識(shí)別和阻斷，最大程度的減少其他網(wǎng)絡(luò)對(duì)工業(yè)以太網(wǎng)絡(luò)的威脅。

2.3.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)

工業(yè)以太網(wǎng)對(duì)網(wǎng)絡(luò)實(shí)時(shí)性要求較高，因此在其內(nèi)部主機(jī)和鏈路上不適合部署過多的網(wǎng)絡(luò)安全系統(tǒng)，可采用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)，采用旁路的模式實(shí)時(shí)的對(duì)工業(yè)以太網(wǎng)絡(luò)關(guān)鍵數(shù)據(jù)流量進(jìn)行捕捉和分析，及時(shí)發(fā)現(xiàn)和處置工業(yè)以太網(wǎng)絡(luò)中出現(xiàn)的各種網(wǎng)絡(luò)安全威脅，特別注意的是在工業(yè)以太網(wǎng)絡(luò)區(qū)域部署的態(tài)勢(shì)感知系統(tǒng)應(yīng)能夠識(shí)別工業(yè)網(wǎng)絡(luò)通訊協(xié)議和工業(yè)控制系統(tǒng)安全威脅和漏洞攻擊。

2.3.3 包含合規(guī)檢測(cè)的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

工業(yè)以太網(wǎng)絡(luò)的安全威脅主要來自于企業(yè)園區(qū)網(wǎng)絡(luò)，企業(yè)園區(qū)網(wǎng)絡(luò)的邊界安全非常重要，可在企業(yè)園區(qū)網(wǎng)內(nèi)采用包含合規(guī)檢測(cè)的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，對(duì)接入園區(qū)網(wǎng)絡(luò)的用戶進(jìn)行全部身份認(rèn)證和安全合規(guī)檢測(cè)，禁止非法用戶和安全不合規(guī)的用戶接入網(wǎng)絡(luò)，做到園區(qū)網(wǎng)絡(luò)接入安全管理全覆蓋。

2.3.4 遠(yuǎn)程接入和操作審計(jì)技術(shù)

隨著互聯(lián)網(wǎng)的普及，通過互聯(lián)網(wǎng)對(duì)工業(yè)以太網(wǎng)的訪問需要正在日益增多，可以采用VPN技術(shù)為互聯(lián)網(wǎng)用戶提供遠(yuǎn)程接入服務(wù)，同時(shí)采用堡壘主機(jī)技術(shù)對(duì)接入用戶的所有操作進(jìn)行全程記錄，并且盡量避免外部主機(jī)直接對(duì)工業(yè)以太網(wǎng)絡(luò)資源的訪問，以免對(duì)工業(yè)控制系統(tǒng)造成不可控的影響和破壞。

2.3.5 內(nèi)網(wǎng)補(bǔ)丁更新、殺毒、時(shí)鐘服務(wù)技術(shù)

在企業(yè)內(nèi)部數(shù)據(jù)中心應(yīng)建立WSUS（補(bǔ)丁分發(fā)服務(wù)器）、網(wǎng)絡(luò)殺毒控制臺(tái)、時(shí)鐘服務(wù)器等系統(tǒng)，為工業(yè)以太網(wǎng)絡(luò)系統(tǒng)內(nèi)部的終端和服務(wù)器提供相關(guān)網(wǎng)絡(luò)安全服務(wù)，避免工業(yè)以太網(wǎng)絡(luò)直接與互聯(lián)網(wǎng)絡(luò)建立連接。

2.3.6 防抖動(dòng)技術(shù)

隨著工業(yè)以太網(wǎng)絡(luò)規(guī)模的增加，網(wǎng)絡(luò)中時(shí)常會(huì)出現(xiàn)網(wǎng)絡(luò)抖動(dòng)現(xiàn)象，這對(duì)工業(yè)以太網(wǎng)的穩(wěn)定運(yùn)行影響較大。主要的技術(shù)措施：一是在工業(yè)以太網(wǎng)中啟用MSTP等網(wǎng)絡(luò)生產(chǎn)樹協(xié)議，并主動(dòng)選取運(yùn)行環(huán)境好，性能較高的網(wǎng)絡(luò)設(shè)備作為根節(jié)點(diǎn);二是采用路由模式與外部網(wǎng)絡(luò)建立連接，不參與外部網(wǎng)絡(luò)生產(chǎn)樹協(xié)議的計(jì)算，同時(shí)也避免受外部網(wǎng)絡(luò)抖動(dòng)的影響;三是加強(qiáng)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路的管理，及時(shí)關(guān)閉閑置的網(wǎng)絡(luò)端口，維護(hù)好線纜的良好狀態(tài)。

3結(jié)語

隨著工業(yè)以太網(wǎng)絡(luò)技術(shù)在鋼業(yè)企業(yè)的廣泛應(yīng)用，基于TCP/IP的網(wǎng)絡(luò)安全威脅已經(jīng)延伸到了工業(yè)自動(dòng)控制系統(tǒng)。本文分析了工業(yè)以太網(wǎng)絡(luò)系統(tǒng)與IT網(wǎng)絡(luò)系統(tǒng)的區(qū)別與聯(lián)系，對(duì)鋼鐵企業(yè)智能制造整體網(wǎng)絡(luò)進(jìn)行了安全區(qū)域劃分，應(yīng)用縱深防御策略的理念，設(shè)計(jì)了工業(yè)以太網(wǎng)絡(luò)縱深防御體系，并對(duì)縱深防御體系中關(guān)鍵安全技術(shù)進(jìn)行了說明，希望對(duì)從事工業(yè)以太網(wǎng)絡(luò)安全工作的技術(shù)人員提供一些幫助。

參考文獻(xiàn)

[1] 朱涵，李建發(fā).當(dāng)心！95%工業(yè)控制系統(tǒng)有漏洞，面臨巨大安全風(fēng)險(xiǎn)[EB/OL].https：//www.sohu.com/a/229361590_99910

418，2018-04-25.

[2] 姚羽，祝烈煌，武傳坤.工業(yè)控制網(wǎng)絡(luò)安全技術(shù)與實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2018.

[3] Chen Xing，Jia Zhuo-sheng.Industrial control network information security threats and vulnerability analysis and research[J].Com- puter Science，2012，39（10）：188-190.

[4] IEC 62443-1-1[S].Industrial Communication Networks-Network and System Security-Part 1-1：Terminology，Concepts

and Models，2009.