關于甘蔗制糖企業工控系統網絡安全縱深防御體系構建與實現

魏學勇

(中共陜西省委黨校(陜西行政學院)，陜西西安710061)

0 引言

隨著現代信息技術與傳統工業融合程度的提升，甘蔗制糖企業工業控制網絡與公共網絡、私人用戶端、企業管理系統的融合程度也越來越高。然而，由于甘蔗制糖企業工控網絡中多以 TCP(Transmission Control Protocol，傳輸控制協議)、IP(Internet Protocol，網絡之間互連的協議)技術為網絡基礎，高度融合了專門應用于制糖工業領域的硬件、軟件和通信協議，在實際的工控系統工作狀態下，應充分考慮工控系統與一般公共網絡、私人用戶端進行互通時的通信安全問題[1]。

與一般網絡安全防御體系相比，網絡安全縱深防御體系是一種將多種防御技術進行融合，不僅僅依賴某一種安全機制，所建立的全方位、立體化、具體戰略縱深效果的多種網絡安全防御技術互相支撐的新型網絡安全防御體系。針對甘蔗制糖企業工控系統，能夠充分解決當前甘蔗制糖企業依賴單一防火墻以及網絡安全入侵防御系統的現狀，保障糖企工控系統在面對大規模、分布式網絡攻擊時的系統安全性。

1 甘蔗制糖企業工控系統安全分析

1.1 工控系統特點

在現代網絡技術進行充分融合之前，傳統甘蔗制糖企業工控系統多采用封閉式內部網絡，通常采用物理隔離以及賦予不同員工不同的系統權限等手段，即可完成工控系統安全防御。此時的甘蔗制糖企業工控系統更加注重生產的安全性、可用性以及連續性等，并不需要過多考慮系統的安全性和保密程度等。

隨著企業工控系統現代化程度的提升，制糖企業逐漸開始采用TCP、IP協議等構建自身工控系統，在于一般公共網絡或企業管理網絡進行對接時，暴露出了一些特點：①糖企生產通常隨甘蔗榨季的變化而變化，一般當年11月至次年4月(即一個榨季)期間糖企的生產最為繁忙，糖企工控系統通常需要7×24 h進行工作，一旦工控系統停運，甘蔗制糖生產線將會面臨巨大損失；②由于糖企工作環境存在蒸發濃縮、煮糖結晶等環節，通常工作溫度較高，濕度也比較大，對生產設備的影響較高；③糖企工控系統以DCS(Distributed Control System，分布式控制)系統為核心控制系統，多使用 PLC(可編程邏輯控制器)為輔助邏輯控制系統，其中 DCS系統多應用于甘蔗制糖工控系統中的核心動力環節以及煮糖階段，DCS系統具備高可靠性、精密性、開放性、易于維護以及協調性強等特點，能夠滿足動力環節與煮糖環節工業控制系統精密、嚴格的需求；④通常以有線傳輸為數據、信息、指令等的主要傳輸手段，由于制糖工藝通常并不具備過高的工藝差異性，因此對保密工作的要求并不高，通常更加重視系統工作的可靠性、連續性、節能性以及穩定性等[2]。

1.2 網絡安全分析

一般甘蔗制糖企業的工控系統特點，決定了糖企通常會把網絡安全防御體系重點放在物理安全防御工作上，即采用空間隔離的手段實現企業的工控系統網絡安全防御。按照一般糖企生產過程中的工控系統分布情況，可以將甘蔗制糖企業網絡安全防御體系分為圖1所示的3層。

物理控制層不含安全功能，普通的網絡安全防火墻等在該層不存在適合的工作環境；監視控制層開始，糖企工控系統開始使用含安全功能的協議，此處所使用的監視系統操作軟件、數據存儲系統等多以商用軟件系統為主，較容易受到網絡攻擊；由于管理控制層能夠通過企業網或一般互聯網進行接入，同時一般糖企又通常不將網絡安全防御重點放在此處，因而管理控制層成為一般糖企工控系統中最容易受到網絡入侵或黑客攻擊的環節[3-5]。

2 網絡安全縱深防御體系對糖企工控系統的影響

2.1 網絡安全縱深防御體系

糖企工控系統網絡安全縱深防御體系，是一種融合多種網絡安全防御技術、手段于一體，以拓展糖企工控系統網絡安全縱深防御“深度”為主導原則，采用現代信息技術中最先進、最適合制糖企業自身特色的數據融合技術，所構建的分布式工控系統網絡安全縱深防御體系(圖2)[6]。

2.2 該體系對糖企工控系統的作用

糖企工控系統網絡安全縱深防御體系最外圍是該體系直接應對網絡入侵的主要場景，其中：防御方面，該體系通過“單點+散點+分層”防御形式搭建了網絡安全防御布局，利用“集中+分布式”防御模式，實現整體系網絡安全縱深防御；入侵檢測機制方面，為實現網絡安全7×24 h全天實時檢測，該系統引入了虛擬化計算檢測方法，通過網絡云服務體系對檢測進行控制，實現系統網絡安全自動化、智能化檢測；入侵響應機制方面，系統主要利用糖企工控系統網絡安全防御惡意代碼查殺以及蜜罐陷阱等技術，實現糖企工控系統對網絡入侵行為的快速響應；入侵預警機制方面，該系統主要通過對工控系統進行還原與漏洞修復，實現甘蔗制糖企業工控系統網絡信息安全防護[7-8]。

圖2 糖企工控系統網絡安全縱深防御體系

3 糖企工控系統網絡安全縱深防御體系構建與實現

3.1 硬件系統設計

糖企工控系統網絡安全縱深防御體系硬件系統主要指系統服務器設備硬件系統，該系統是實現糖企工控系統網絡安全入侵防御系統運行和檢索的主要硬件系統(圖3)。

圖3 服務器設備硬件系統設計

為適應我國制糖工業發展及其與現代網絡技術融合速度的不斷提升，本文設計的工控系統網絡安全縱深防御體系服務器設備硬件系統采用了高度靈活、高可靠性、高可替代性的設計理念，在需要進行設備更換或系統升級時，只需要通過統一標準接口將硬件取下或安裝連接即可。其主要部件包括：

主機部件：屬網絡安全縱深防御系統核心部件，由嵌入式CPU硬件構成，保證糖企工控系統網絡安全縱深防御入侵檢測功能正常運行；

能源部件：由于制糖企業一旦進入榨季，通常需要全天不間斷工作，因此制糖企業工控系統網絡安全防御體系同樣需要全天候進行入侵檢測，能源部件采用了持續工作時間長、狀態穩定的燃料電池作為主要硬件；

儲存部件：用于保存系統數據與網絡安全防御數據，由于制糖工業的特殊需要，服務器硬盤需要長期在高溫、高濕等嚴苛環境環境下使用，為此本系統采用了寬溫、容量大、高穩定性、高可靠性和高耐用性的 Greenliant工業級固態硬盤，配合虛擬數據庫實現數據存儲；

無線通信部件：為滿足未來糖企網絡安全入侵檢測系統升級，本次構建系統采用了WLAN+5G形式雙接口，實現無線通信部件搭建，系統可以根據自身需求在雙環境下任意切換。

3.2 軟件系統設計

結合甘蔗制糖工業工控系統特點與網絡安全分析，本文以縱深防御為主要設計原則，構建圖4所示甘蔗制糖工控系統網絡安全縱深防御體系。該系統能夠將糖企工控系統信息安全防護手段按照不同環節、不同層次、不同需求進行分層部署，根據系統業務應用、物理位置等將工控系統安全縱深防御體系劃分為不同的安全域，每一個安全域分別包括若干個具備相同防護需求的糖企工控系統邏輯組合。

圖4 糖企工控系統網絡安全縱深防御軟件系統設計

3.2.1 展現層

展現層主要由WEB客戶端與APP移動用戶端2部分構成，WEB客戶端主要服務于糖企管理辦公用戶，使用 JavaScript的混淆加密以及頁面混淆加密機制搭建，能夠實現基于可動態調整的 H5版本化；APP移動用戶端為本次搭建縱深防御系統展現層重點，由DEX加殼保護，內存防dump，實現糖企工控系統網絡安全縱深防御由 WEB客戶端向APP移動用戶端的轉移。

3.2.2 網絡層

網絡層是黑客等開展網絡攻擊的主要場景，因此也是糖企工控系統網絡安全縱深防御體系重點環節。糖企工控系統網絡層引入類似云防御的 WAF系統和流量復制技術，通過流量導入實現信息的脫敏、數據的加密傳輸以及信息自定義加密傳輸。其中數據信息的脫敏一般采取非對稱加密手段，然而該加密手段對CPU資源損耗較大，不利于制糖工業節能降耗，因此本次系統采用了不可逆加密，即不需要使用密鑰，輸入明文后由系統直接經過加密算法處理成密文，保證加密后的數據無法被非法解密。

3.2.3 代理層

代理層是網絡流量等進入糖企工控系統的最后環節，因此代理層的作用非常重要。本次搭建系統代理層以類似 nginx代理層為主要形式，采用白名單限制、refer域名限制以及流量控制等綜合方法，保證系統代理層對網絡非法入侵的過濾。如一旦某不法IP在一段時間內對糖企工控系統訪問頻次過高，則代理層可以直接將此IP下發到防火墻一層實現流量過濾。

3.2.4 接入層

接入層是糖企工控系統網絡安全縱深防御體系業務處理核心環節第一層。本次搭建系統接入層特點有：基于糖企工控系統歷史數據進行智能化建模；根據糖企日常管理工作線上實時行為數據計算網絡訪問風險系數；通過海量系統數據喂給防御體系算法進行學習，得到實時風控模型。

3.2.5 邏輯層

邏輯層負責對防御體系進行數據運算，主要工作包括數據脫敏、加密算法選擇等。以糖企工控系統密碼管理為例，密碼加密邏輯過于簡單往往容易導致密碼破解，邏輯層則可以通過倒置、混淆、重復疊加等手段多次完成密碼加密運算，實現密碼存儲邏輯上難以被攻破的系統需求。邏輯層是糖企工控系統負責業務邏輯處理的關鍵模塊，基本所有數據流轉和接收都在該層完成。

3.2.6 存儲層

存儲層是糖企工控系統網絡安全縱深防御體系終極核心層，設置不合理會導致網站數據庫數據直接被黑客刪除且無法恢復等嚴重問題?！懊酃蕖碧幚砑夹g，是安全防御領域里面的一個象形詞。本次搭建的系統存儲層利用“蜜罐”處理，在存儲層以數據庫形式復制多個糖企工控系統數據表并保存，如果有人操作這些表，系統會通過監控機制直接告警，使問題盡早暴露，達到早期防御的功效，實現存儲層數據防護。

3.3 實驗分析

3.3.1 實驗設備與方法

為驗證本次設計甘蔗制糖企業工控系統網絡安全縱深防御體系防御準確性與防御取勝率，本文以我國某制糖企業實際軟硬件系統搭建實驗環境，對本文設計體系與一般網絡安全防御體系進行實驗對比，驗證甘蔗制糖企業工控系統網絡安全縱深防御體系有效性和實用性。表1為該企業網絡安全防御體系軟硬件設備環境。

表1 某甘蔗制糖企業工控系統網絡安全防御軟硬件體系

將傳統網絡安全防御體系命名為系統Ⅰ、縱深防御體系命名為系統Ⅱ，將2種系統應用在5×5節點的相同甘蔗制糖企業工控環境下，對該工控系統網絡進行不同程度(以攻擊次數為主要衡量對象)的網絡入侵攻擊，對2組實驗條件下系統成功防御次數、防御取勝率等進行統計計算，保證實驗結果的有效性。

3.3.2 實驗結果與分析

表2為本次實驗2種不同網絡安全防御體系防御網絡安全入侵結果。由表中數據可明顯得知，經過優化以后的基于制糖企業工控系統安全網絡縱深防御體系在成功防御次數、防御取勝率等方面均優于傳統的網絡安全入侵防御體系；在攻擊次數逐漸增加的變化過程中，基于縱深防御的網絡安全入侵系統防御成功率及防御取勝率降低幅度極小，而傳統的網絡安全入侵防御系統在攻擊次數達到500次以后，防御取勝率已經低于 60%，逐漸無法滿足系統需求；綜合而言系統Ⅱ在成功防御次數、防御取勝率等方面均遠優于系統Ⅰ，且系統Ⅱ隨攻擊次數提升防御能力下降不明顯。

表2 實驗結果對比

4 結語

本次搭建糖企工控系統網絡安全縱深防御體系包含DCS模塊，該模塊中的各類型工作站、操作臺等防護軟件，能夠在防御系統中央控制室實現網絡安全防護白名單管理；實現對糖企工控系統數據存儲以及流量使用情況管理；實現對網絡入侵、未知訪問、惡意程序等的防御；能夠滿足糖企工控系統啟動、加載以及長時間不下線7×24 h穩定工作狀態安全保障；與一般傳統網絡安全入侵防御體系相比，基于縱深防御的網絡安全入侵防御系統在防御成功次數、防御成功率等方面均更為優秀。