随着两化融合的不断深入,信息技术全面升级我国工业控制系统的同时,也引入了安全问题。与IT系统不同,针对工业控制系统的攻击往往会造成更加严重的后果。然而,现有的安全防护技术在工业控制系统中存在着数据难获取、防护加固难执行等问题。软件定义网络技术实现了转发和控制的分离,并支持通过编程的方式对网络进行控制,为解决工业控制系统信息安全问题提供了新的思路。本文针对工业控制系统信息安全需求,从静态评估加固和动态安全防护两个角度出发,基于软件定义网络设计工业控制信息安全防护系统。针对工业控制系统的静态评估加固,通过设备发现、漏洞扫描、隐患分析和加固策略,从整个系统的角度评估系统存在问题并生成最优加固策略,在此基础上,利用软件定义网络实现虚拟补丁和安全区域划分对工业控制系统进行安全加固;针对工业控制系统的动态安全防护,利用软件定义网络镜像获取工业控制系统现场数据,基于LSTM和Snort对工业控制系统进行实时入侵检测,发现异常后通过软件定义网络实现隔离、重定向等安全响应手段,形成检测响应的安全闭环,阻止攻击对系统造成破坏。与此同时,将移动防御技术引入工业控制系统,基于软件定义网络实现工业控制系统的拓扑变换和IP/端口跳变,迷惑和欺骗攻击者,从根源上防止攻击的发生,实现主动动态防御。最后,基于双容水箱实验平台对防护系统进行集成实现和测试验证。通过远程登录、中间人欺骗攻击、DOS攻击进行攻防模拟,验证了防护系统的静态评估加固和动态安全防护的有效性。