工業(yè)控制網(wǎng)絡(luò)的信息安全及縱深防御體系結(jié)構(gòu)探究

重慶信息通信研究院 蔡鑫 李美洲 丁宇柔 戴雪

近年來，我國信息技術(shù)和以太網(wǎng)技術(shù)快速發(fā)展的過程中，工業(yè)控制系統(tǒng)中開始采用工業(yè)以太網(wǎng)，通過TCP/IP標(biāo)準(zhǔn)協(xié)議，提升工業(yè)控制系統(tǒng)運(yùn)行的穩(wěn)定性和可靠性。但是由于工業(yè)控制網(wǎng)絡(luò)系統(tǒng)在運(yùn)行的過程中，以開放性網(wǎng)絡(luò)環(huán)境為載體，可能會發(fā)生信息安全問題，病毒黑客入侵的防控難度較高。基于此，本文分析工業(yè)控制網(wǎng)絡(luò)信息安全特點(diǎn)，提出工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)構(gòu)建措施，旨在為增強(qiáng)工業(yè)控制網(wǎng)絡(luò)的信息安全性提供助力。

1 工業(yè)控制網(wǎng)絡(luò)的信息安全分析

1.1 工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)

工業(yè)控制網(wǎng)絡(luò)系統(tǒng)和常規(guī)的IT 系統(tǒng)存在一定差異，從系統(tǒng)的特點(diǎn)層面而言，工業(yè)控制網(wǎng)絡(luò)是由信息物理融合系統(tǒng)組合而成，IT 系統(tǒng)則是常規(guī)的信息系統(tǒng)。如表1 所示，工業(yè)控制網(wǎng)絡(luò)系統(tǒng)可以分成企業(yè)層次、管理層次、監(jiān)控層次等，不同層次的特點(diǎn)不同，是促使工業(yè)發(fā)展的重要保障。

表1 工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的層次Tab.1 Hierarchy of industrial control network system

1.2 工業(yè)控制網(wǎng)絡(luò)的安全特點(diǎn)

從實(shí)際情況而言，工業(yè)控制網(wǎng)絡(luò)具有功能和信息安全兩種屬性，其中，功能安全主要是為了達(dá)到工廠和設(shè)備的安全功能，使被保護(hù)和控制的設(shè)備安全部分能夠正確執(zhí)行，在發(fā)生故障或者失效的情況下，設(shè)備與系統(tǒng)依然維持在安全狀態(tài)。通常情況下，受控制設(shè)備或是系統(tǒng)相關(guān)的安全性，直接受到電氣電子和可編程軟件安全系統(tǒng)的影響，也可能會受到技術(shù)安全系統(tǒng)與外界風(fēng)險(xiǎn)控制設(shè)備執(zhí)行的影響，與此同時(shí)，系統(tǒng)中所采用的保護(hù)措施，也會對系統(tǒng)的功能安全造成影響。

當(dāng)前，我國工業(yè)控制網(wǎng)絡(luò)系統(tǒng)在運(yùn)行的過程中，普遍存在信息安全的問題。首先，由于整體網(wǎng)絡(luò)系統(tǒng)從原本的封閉狀態(tài)逐漸轉(zhuǎn)變成為開放的狀態(tài)，相關(guān)的信息安全措施沒有及時(shí)制止，很容易在黑客和病毒入侵下使整體網(wǎng)絡(luò)體系結(jié)構(gòu)受到破壞，出現(xiàn)嚴(yán)重的信息安全問題。其次，在工業(yè)控制網(wǎng)絡(luò)系統(tǒng)運(yùn)行的過程中，沒有合理采用數(shù)據(jù)流的控制措施，未能設(shè)置網(wǎng)絡(luò)設(shè)備訪問的限制，再加上防火墻規(guī)則的設(shè)置和路由器訪問控制表的設(shè)置不合理，很難有效維護(hù)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)信息的安全水平。最后，網(wǎng)絡(luò)系統(tǒng)運(yùn)行期間沒有合理進(jìn)行備份處理，一旦系統(tǒng)發(fā)生故障或是受到入侵的情況下，難以快速進(jìn)行設(shè)備的切換和數(shù)據(jù)的恢復(fù)，對信息安全管理造成不利影響[1]。

2 縱深防御的分析

從本質(zhì)層面而言，信息安全中的縱深防御，主要就是管理人員將信息資產(chǎn)劃分成為多個(gè)層次進(jìn)行安全防御，避免信息系統(tǒng)受到入侵或是攻擊。例如，按照信息系統(tǒng)的安全運(yùn)行特點(diǎn)和需求，將整體系統(tǒng)分成各個(gè)安全域，每個(gè)安全域都有著共同安全需求的資產(chǎn)邏輯、物理邏輯和信息邏輯，同時(shí)也能劃分成為多個(gè)子域，也可能是和資產(chǎn)位置沒有關(guān)聯(lián)的虛擬域，對于各類安全措施，安全域都有著相應(yīng)的邊界，無論安全域中資產(chǎn)訪問來源是外部還是內(nèi)部，都能夠按照實(shí)際情況提供不同的保護(hù)。如圖1 所示，目前信息系統(tǒng)中的縱深防御，在安全域的邊界、不同安全域相互之間，配置防火墻設(shè)備，有效進(jìn)行數(shù)據(jù)流訪問控制，預(yù)防出現(xiàn)網(wǎng)絡(luò)信息的安全風(fēng)險(xiǎn)問題[2]。

3 工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)的構(gòu)建

3.1 體系結(jié)構(gòu)構(gòu)建前提

工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)構(gòu)建過程中，需要明確具體的體系結(jié)構(gòu)原理，確保縱深防御體系的完善性和優(yōu)化性，如圖2 所示。

圖2 工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)構(gòu)建原理Fig.2 Construction principle of defense in depth architecture of industrial control network

3.1.1 安全域劃分

工業(yè)控制網(wǎng)絡(luò)縱深防御體系結(jié)構(gòu)中安全域劃分是對業(yè)務(wù)進(jìn)行抽象處理，并非簡單劃分物理服務(wù)器，在整體的分布式架構(gòu)內(nèi)，相同安全域的設(shè)備，可能不會存儲在同一物理機(jī)房，但是安全等級相同，訪問控制的策略相同，只為其他安全域或是網(wǎng)絡(luò)暴露相應(yīng)的協(xié)議接口，就算是攻擊者對其他領(lǐng)域服務(wù)器進(jìn)行滲透，也只能進(jìn)行安全域中端口的掃描，不能自由滲透，能夠避免工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的信息安全受到破壞，提升整體信息的安全。

3.1.2 數(shù)據(jù)鏈路隔離

提升整體信息的安全性，數(shù)據(jù)鏈路隔離的設(shè)置，主要是通過專門的數(shù)據(jù)鏈路隔離方式，將安全域作為基礎(chǔ)，在服務(wù)器中設(shè)置相應(yīng)的防線，進(jìn)行單點(diǎn)淪陷后受害源蔓延的抑制。

3.1.3 端口狀態(tài)協(xié)議的過濾

端口狀態(tài)協(xié)議過濾，主要是采用防火墻進(jìn)行協(xié)議安全的管理，有效應(yīng)對工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的黑客入侵問題，即使工業(yè)控制網(wǎng)絡(luò)系統(tǒng)沒有合理進(jìn)行加固、沒有全面清理不必要的服務(wù)、所開放的端口存在問題、端口服務(wù)有漏洞，但是只要利用防火墻進(jìn)行過濾，攻擊者就不能到達(dá)陸游，只能對外或是對信任與暴露的端口進(jìn)行攻擊。從本質(zhì)層面而言，端口狀態(tài)協(xié)議的過濾，就是為黑客和病毒入侵等提供窄帶，設(shè)置具有限制的訪問通道[3]。

3.1.4 應(yīng)用層的安全管理

在應(yīng)用層安全管理的過程中，為避免工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的服務(wù)器有應(yīng)用程序的漏洞，使非法攻擊者利用漏洞成功進(jìn)行信息安全的破壞，需要進(jìn)行應(yīng)用層方面的進(jìn)一步處理，利用容器加固的方式預(yù)防安全問題，例如，在容器加固的過程中，對危險(xiǎn)函數(shù)運(yùn)行進(jìn)行阻止，一旦發(fā)現(xiàn)有攻擊者，即可快速做出報(bào)警，有效進(jìn)行網(wǎng)絡(luò)信息安全的維護(hù)[4]。

3.2 體系結(jié)構(gòu)的構(gòu)建措施

工業(yè)控制網(wǎng)絡(luò)中構(gòu)建縱深防御體系，需要設(shè)置連續(xù)性的防御措施，利用首要措施進(jìn)行信息安全事件的阻止，在首要措施執(zhí)行失敗的情況下，對信息安全事件的發(fā)展進(jìn)行控制，所有措施全部失效的狀態(tài)下，將信息安全事件所產(chǎn)生的影響降到最低。如圖3 所示，根據(jù)實(shí)際情況進(jìn)行工業(yè)控制以及網(wǎng)絡(luò)縱深防御體系結(jié)構(gòu)的建設(shè)，提升網(wǎng)絡(luò)系統(tǒng)的縱深防御效果。

圖3 工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)設(shè)計(jì)Fig.3 Design of defense in depth architecture for industrial control networks

要想確保在工業(yè)控制網(wǎng)絡(luò)中有效實(shí)現(xiàn)相關(guān)的縱深防御策略，首先需要科學(xué)合理進(jìn)行安全域的設(shè)計(jì)，將其分成遠(yuǎn)程訪問和本地操作、自動(dòng)化設(shè)備等部分。其次就要進(jìn)行安全域中各類安全機(jī)制的配置，設(shè)置安全認(rèn)證機(jī)制、入侵檢測機(jī)制、入侵響應(yīng)機(jī)制等，同時(shí)還需設(shè)置日志管理和事件管理的機(jī)制，采用SIEM 等技術(shù)進(jìn)行集中化管理。最后，采用冗余技術(shù)使工業(yè)控制網(wǎng)絡(luò)系統(tǒng)發(fā)生信息安全事件的情況下，快速恢復(fù)到原本狀態(tài)，例如，合理設(shè)計(jì)防火墻雙機(jī)熱備的部分，在工業(yè)控制網(wǎng)絡(luò)中配置防火墻系統(tǒng)、入侵檢測系統(tǒng)等，改善網(wǎng)絡(luò)的安全問題防御能力。

工業(yè)控制網(wǎng)絡(luò)的縱深防御體系架構(gòu)設(shè)計(jì)過程中，可將外部網(wǎng)絡(luò)設(shè)置成為外部域，將企業(yè)網(wǎng)絡(luò)設(shè)置成為企業(yè)域，將管理層次、監(jiān)控層次和設(shè)備層次等設(shè)置成為數(shù)據(jù)域。在數(shù)據(jù)域?qū)嶋H應(yīng)用的過程中，可以將現(xiàn)場層次和設(shè)備層次獨(dú)立性分成控制域，確保各個(gè)層次的安全性。其中安全域和子域的邊界，設(shè)置入侵檢測系統(tǒng)、防火墻系統(tǒng)和病毒查殺軟件，這樣能夠確保各類信息的安全性，預(yù)防出現(xiàn)信息安全事件[5]。

3.3 體系結(jié)構(gòu)中技術(shù)的應(yīng)用

為確保在工業(yè)控制網(wǎng)絡(luò)中科學(xué)合理構(gòu)建縱深防御體系，提升縱深防御體系的應(yīng)用效果，需要重點(diǎn)根據(jù)具體的情況，對體系結(jié)構(gòu)中的技術(shù)進(jìn)行配置。

3.3.1 防火墻技術(shù)

建議在工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)中，配置以硬件為基礎(chǔ)的防火墻技術(shù)，如表2 所示，此類防火墻技術(shù)和傳統(tǒng)的防火墻技術(shù)相比，具有一定的應(yīng)用價(jià)值。

表2 基于硬件的防火墻技術(shù)應(yīng)用價(jià)值Tab.2 Application value of hardware based firewall technology

在采用基于硬件的防火墻技術(shù)過程中，首先，采用新型防火墻技術(shù)中以包過濾和代理服務(wù)相結(jié)合的狀態(tài)檢測技術(shù)，在對網(wǎng)絡(luò)信息進(jìn)行數(shù)據(jù)包過濾的同時(shí)，進(jìn)行信息安全的狀態(tài)分析，對數(shù)據(jù)表的數(shù)據(jù)進(jìn)行跟蹤記錄，動(dòng)態(tài)性進(jìn)行數(shù)據(jù)安全的維護(hù)，如果發(fā)現(xiàn)有異常的連接或是流量，能動(dòng)態(tài)化進(jìn)行過濾規(guī)則的生成。其次，采用專業(yè)的防火墻支持工業(yè)控制網(wǎng)絡(luò)協(xié)議，對網(wǎng)絡(luò)協(xié)議進(jìn)行遠(yuǎn)程調(diào)用和端口偵聽，利用規(guī)則更新的方式有效進(jìn)行網(wǎng)絡(luò)信息兼容分析，同時(shí)，采用先進(jìn)的DPI 深度報(bào)文檢測技術(shù)進(jìn)行工業(yè)控制網(wǎng)絡(luò)協(xié)議的檢測，準(zhǔn)確進(jìn)行信息安全問題的識別和分類，有效進(jìn)行數(shù)據(jù)信息安全問題的阻止。最后，對于現(xiàn)場設(shè)備級別的防火墻，獨(dú)立性進(jìn)行設(shè)計(jì)，有效杜絕系統(tǒng)非授權(quán)訪問的入侵，完成多級別的訪問過濾，全面維護(hù)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性[6]。

3.3.2 入侵檢測技術(shù)

工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)中，應(yīng)科學(xué)合理地進(jìn)行入侵檢測技術(shù)的配置和應(yīng)用，確保合理應(yīng)用入侵檢測技術(shù)，維護(hù)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中信息的安全性。首先，入侵檢測技術(shù)主要分成基于統(tǒng)計(jì)類型和規(guī)則類型兩種形式，其中基于規(guī)則類型的技術(shù)，能夠在工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中設(shè)置Snort，準(zhǔn)確檢測拒絕服務(wù)、響應(yīng)注入和命令注入的入侵行為，具有一定的預(yù)防能力。其次，由于工業(yè)控制網(wǎng)絡(luò)傳感器數(shù)據(jù)信息的增加速度較快，因此，在采用入侵檢測技術(shù)期間，還需重點(diǎn)將聚合技術(shù)的大數(shù)據(jù)分析模式融入其中，采用自學(xué)習(xí)模型，自動(dòng)化生成網(wǎng)絡(luò)系統(tǒng)白名單，將數(shù)據(jù)注入和拒絕服務(wù)攻擊檢測出來，確保系統(tǒng)化維護(hù)工業(yè)網(wǎng)絡(luò)控制中信息安全性。

3.3.3 病毒查殺技術(shù)

工業(yè)控制網(wǎng)絡(luò)的縱深防御體系結(jié)構(gòu)設(shè)計(jì)過程中，需重點(diǎn)進(jìn)行病毒查殺軟件的設(shè)置和應(yīng)用，確保各項(xiàng)信息安全管理工作的有效開展。首先，可根據(jù)縱深防御體系的特點(diǎn)和整體結(jié)構(gòu)的實(shí)際情況，采用瀏覽器挾持病毒軟件、木馬病毒查殺軟件、實(shí)時(shí)性防護(hù)軟件等常規(guī)的病毒查殺軟件，對整體網(wǎng)絡(luò)系統(tǒng)中各類信息進(jìn)行安全防護(hù)，有效預(yù)防出現(xiàn)病毒入侵的問題。其次，強(qiáng)化和專業(yè)軟件開發(fā)公司之間的合作力度，要求專業(yè)的軟件開發(fā)公司按照工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)和信息安全需求、縱深防御體系結(jié)構(gòu)的情況等，針對性開發(fā)相應(yīng)的病毒查殺軟件，使工業(yè)企業(yè)在對網(wǎng)絡(luò)信息進(jìn)行縱深防御過程中，能夠利用病毒查殺軟件快速掃描和查殺病毒入侵的情況，科學(xué)合理地進(jìn)行病毒的應(yīng)對和處理，避免病毒入侵對工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的信息安全造成危害，提升各項(xiàng)網(wǎng)絡(luò)信息的安全性。

4 結(jié)語

綜上所述，工業(yè)控制網(wǎng)絡(luò)和IT 網(wǎng)絡(luò)存在一定的差異，工業(yè)控制網(wǎng)絡(luò)的信息安全具有復(fù)雜性的特點(diǎn)，如果不能合理進(jìn)行網(wǎng)絡(luò)信息安全管控和維護(hù)，將會引發(fā)嚴(yán)重的后果，因此，建議在新時(shí)期的環(huán)境下，切實(shí)按照工業(yè)控制網(wǎng)絡(luò)的信息安全情況，科學(xué)設(shè)計(jì)縱深防御體系結(jié)構(gòu)，完善體系結(jié)構(gòu)模式和模塊，合理配置安全技術(shù)，提升縱深防御體系結(jié)構(gòu)的完整性，有效維護(hù)工業(yè)控制網(wǎng)絡(luò)信息安全。