重庆信息通信研究院 蔡鑫 李美洲 丁宇柔 戴雪

近年来，我国信息技术和以太网技术快速发展的过程中，工业控制系统中开始采用工业以太网，通过TCP/IP标准协议，提升工业控制系统运行的稳定性和可靠性。但是由于工业控制网络系统在运行的过程中，以开放性网络环境为载体，可能会发生信息安全问题，病毒黑客入侵的防控难度较高。基于此，本文分析工业控制网络信息安全特点，提出工业控制网络的纵深防御体系结构构建措施，旨在为增强工业控制网络的信息安全性提供助力。

1 工业控制网络的信息安全分析

1.1 工业控制网络系统的特点

工业控制网络系统和常规的IT 系统存在一定差异，从系统的特点层面而言，工业控制网络是由信息物理融合系统组合而成，IT 系统则是常规的信息系统。如表1 所示，工业控制网络系统可以分成企业层次、管理层次、监控层次等，不同层次的特点不同，是促使工业发展的重要保障。

表1 工业控制网络系统的层次Tab.1 Hierarchy of industrial control network system

1.2 工业控制网络的安全特点

从实际情况而言，工业控制网络具有功能和信息安全两种属性，其中，功能安全主要是为了达到工厂和设备的安全功能，使被保护和控制的设备安全部分能够正确执行，在发生故障或者失效的情况下，设备与系统依然维持在安全状态。通常情况下，受控制设备或是系统相关的安全性，直接受到电气电子和可编程软件安全系统的影响，也可能会受到技术安全系统与外界风险控制设备执行的影响，与此同时，系统中所采用的保护措施，也会对系统的功能安全造成影响。

当前，我国工业控制网络系统在运行的过程中，普遍存在信息安全的问题。首先，由于整体网络系统从原本的封闭状态逐渐转变成为开放的状态，相关的信息安全措施没有及时制止，很容易在黑客和病毒入侵下使整体网络体系结构受到破坏，出现严重的信息安全问题。其次，在工业控制网络系统运行的过程中，没有合理采用数据流的控制措施，未能设置网络设备访问的限制，再加上防火墙规则的设置和路由器访问控制表的设置不合理，很难有效维护工业控制网络系统信息的安全水平。最后，网络系统运行期间没有合理进行备份处理，一旦系统发生故障或是受到入侵的情况下，难以快速进行设备的切换和数据的恢复，对信息安全管理造成不利影响[1]。

2 纵深防御的分析

从本质层面而言，信息安全中的纵深防御，主要就是管理人员将信息资产划分成为多个层次进行安全防御，避免信息系统受到入侵或是攻击。例如，按照信息系统的安全运行特点和需求，将整体系统分成各个安全域，每个安全域都有着共同安全需求的资产逻辑、物理逻辑和信息逻辑，同时也能划分成为多个子域，也可能是和资产位置没有关联的虚拟域，对于各类安全措施，安全域都有着相应的边界，无论安全域中资产访问来源是外部还是内部，都能够按照实际情况提供不同的保护。如图1 所示，目前信息系统中的纵深防御，在安全域的边界、不同安全域相互之间，配置防火墙设备，有效进行数据流访问控制，预防出现网络信息的安全风险问题[2]。

3 工业控制网络的纵深防御体系结构的构建

3.1 体系结构构建前提

工业控制网络的纵深防御体系结构构建过程中，需要明确具体的体系结构原理，确保纵深防御体系的完善性和优化性，如图2 所示。

图2 工业控制网络的纵深防御体系结构构建原理Fig.2 Construction principle of defense in depth architecture of industrial control network

3.1.1 安全域划分

工业控制网络纵深防御体系结构中安全域划分是对业务进行抽象处理，并非简单划分物理服务器，在整体的分布式架构内，相同安全域的设备，可能不会存储在同一物理机房，但是安全等级相同，访问控制的策略相同，只为其他安全域或是网络暴露相应的协议接口，就算是攻击者对其他领域服务器进行渗透，也只能进行安全域中端口的扫描，不能自由渗透，能够避免工业控制网络系统的信息安全受到破坏，提升整体信息的安全。

3.1.2 数据链路隔离

提升整体信息的安全性，数据链路隔离的设置，主要是通过专门的数据链路隔离方式，将安全域作为基础，在服务器中设置相应的防线，进行单点沦陷后受害源蔓延的抑制。

3.1.3 端口状态协议的过滤

端口状态协议过滤，主要是采用防火墙进行协议安全的管理，有效应对工业控制网络系统的黑客入侵问题，即使工业控制网络系统没有合理进行加固、没有全面清理不必要的服务、所开放的端口存在问题、端口服务有漏洞，但是只要利用防火墙进行过滤，攻击者就不能到达陆游，只能对外或是对信任与暴露的端口进行攻击。从本质层面而言，端口状态协议的过滤，就是为黑客和病毒入侵等提供窄带，设置具有限制的访问通道[3]。

3.1.4 应用层的安全管理

在应用层安全管理的过程中，为避免工业控制网络系统的服务器有应用程序的漏洞，使非法攻击者利用漏洞成功进行信息安全的破坏，需要进行应用层方面的进一步处理，利用容器加固的方式预防安全问题，例如，在容器加固的过程中，对危险函数运行进行阻止，一旦发现有攻击者，即可快速做出报警，有效进行网络信息安全的维护[4]。

3.2 体系结构的构建措施

工业控制网络中构建纵深防御体系，需要设置连续性的防御措施，利用首要措施进行信息安全事件的阻止，在首要措施执行失败的情况下，对信息安全事件的发展进行控制，所有措施全部失效的状态下，将信息安全事件所产生的影响降到最低。如图3 所示，根据实际情况进行工业控制以及网络纵深防御体系结构的建设，提升网络系统的纵深防御效果。

图3 工业控制网络的纵深防御体系结构设计Fig.3 Design of defense in depth architecture for industrial control networks

要想确保在工业控制网络中有效实现相关的纵深防御策略，首先需要科学合理进行安全域的设计，将其分成远程访问和本地操作、自动化设备等部分。其次就要进行安全域中各类安全机制的配置，设置安全认证机制、入侵检测机制、入侵响应机制等，同时还需设置日志管理和事件管理的机制，采用SIEM 等技术进行集中化管理。最后，采用冗余技术使工业控制网络系统发生信息安全事件的情况下，快速恢复到原本状态，例如，合理设计防火墙双机热备的部分，在工业控制网络中配置防火墙系统、入侵检测系统等，改善网络的安全问题防御能力。

工业控制网络的纵深防御体系架构设计过程中，可将外部网络设置成为外部域，将企业网络设置成为企业域，将管理层次、监控层次和设备层次等设置成为数据域。在数据域实际应用的过程中，可以将现场层次和设备层次独立性分成控制域，确保各个层次的安全性。其中安全域和子域的边界，设置入侵检测系统、防火墙系统和病毒查杀软件，这样能够确保各类信息的安全性，预防出现信息安全事件[5]。

3.3 体系结构中技术的应用

为确保在工业控制网络中科学合理构建纵深防御体系，提升纵深防御体系的应用效果，需要重点根据具体的情况，对体系结构中的技术进行配置。

3.3.1 防火墙技术

建议在工业控制网络的纵深防御体系结构中，配置以硬件为基础的防火墙技术，如表2 所示，此类防火墙技术和传统的防火墙技术相比，具有一定的应用价值。

表2 基于硬件的防火墙技术应用价值Tab.2 Application value of hardware based firewall technology

在采用基于硬件的防火墙技术过程中，首先，采用新型防火墙技术中以包过滤和代理服务相结合的状态检测技术，在对网络信息进行数据包过滤的同时，进行信息安全的状态分析，对数据表的数据进行跟踪记录，动态性进行数据安全的维护，如果发现有异常的连接或是流量，能动态化进行过滤规则的生成。其次，采用专业的防火墙支持工业控制网络协议，对网络协议进行远程调用和端口侦听，利用规则更新的方式有效进行网络信息兼容分析，同时，采用先进的DPI 深度报文检测技术进行工业控制网络协议的检测，准确进行信息安全问题的识别和分类，有效进行数据信息安全问题的阻止。最后，对于现场设备级别的防火墙，独立性进行设计，有效杜绝系统非授权访问的入侵，完成多级别的访问过滤，全面维护工业控制网络系统运行的安全性[6]。

3.3.2 入侵检测技术

工业控制网络的纵深防御体系结构中，应科学合理地进行入侵检测技术的配置和应用，确保合理应用入侵检测技术，维护工业控制网络系统中信息的安全性。首先，入侵检测技术主要分成基于统计类型和规则类型两种形式，其中基于规则类型的技术，能够在工业控制网络系统中设置Snort，准确检测拒绝服务、响应注入和命令注入的入侵行为，具有一定的预防能力。其次，由于工业控制网络传感器数据信息的增加速度较快，因此，在采用入侵检测技术期间，还需重点将聚合技术的大数据分析模式融入其中，采用自学习模型，自动化生成网络系统白名单，将数据注入和拒绝服务攻击检测出来，确保系统化维护工业网络控制中信息安全性。

3.3.3 病毒查杀技术

工业控制网络的纵深防御体系结构设计过程中，需重点进行病毒查杀软件的设置和应用，确保各项信息安全管理工作的有效开展。首先，可根据纵深防御体系的特点和整体结构的实际情况，采用浏览器挟持病毒软件、木马病毒查杀软件、实时性防护软件等常规的病毒查杀软件，对整体网络系统中各类信息进行安全防护，有效预防出现病毒入侵的问题。其次，强化和专业软件开发公司之间的合作力度，要求专业的软件开发公司按照工业控制网络的特点和信息安全需求、纵深防御体系结构的情况等，针对性开发相应的病毒查杀软件，使工业企业在对网络信息进行纵深防御过程中，能够利用病毒查杀软件快速扫描和查杀病毒入侵的情况，科学合理地进行病毒的应对和处理，避免病毒入侵对工业控制网络系统的信息安全造成危害，提升各项网络信息的安全性。

4 结语

综上所述，工业控制网络和IT 网络存在一定的差异，工业控制网络的信息安全具有复杂性的特点，如果不能合理进行网络信息安全管控和维护，将会引发严重的后果，因此，建议在新时期的环境下，切实按照工业控制网络的信息安全情况，科学设计纵深防御体系结构，完善体系结构模式和模块，合理配置安全技术，提升纵深防御体系结构的完整性，有效维护工业控制网络信息安全。