论文部分内容阅读
摘 要:随着钢铁企业智能制造建设的不断深入,工业以太网技术在产线自动化领域得到了广泛应用,同时工业以太网与信息化网络,甚至互联网络的数据交换也日益增多。工业控制系统的封闭性已被彻底打破,正在面临着空前严峻的信息安全问题。通过分析工业以太网络的脆弱性以及安全需求,将工业以太网络划分为不同的层级,借鉴军事上纵深防御的理念,提出了一套适合钢铁企业工业以太网络的纵深防御体系。
关键词:工业以太网络;工业控制系统;网络安全;纵深防御体系
中图分类号:TP393 文献标识码:A DOI:10.3969/j.issn.1003-6970.2021.02.047
本文著录格式:张宝玉,张馨天.钢铁企业工业以太网络安全纵深防御体系的研究与应用[J].软件,2021,42(02):150-153+162
Research and Application of Security in-depth Defense System of Industrial Ethernet Network in Iron and Steel Enterprises
ZHANG Baoyu, ZHANG Xintian
(Hegang Group Tangshan Iron and Steel Company, Tangshan Hebei 063000)
【Abstract】:With the continuous deepening of intelligent manufacturing construction in steel enterprises, industrial Ethernet technology has been widely used in the field of production line automation. At the same time, the data exchange between industrial Ethernet and information networks, and even the Internet, is increasing. The closedness of the industrial control system has been completely broken, and it is facing unprecedented severe information security problems. By analyzing the fragility and security requirements of industrial Ethernet networks, the industrial Ethernet networks are divided into different levels, drawing on the concept of military defense in depth, and proposing a set of defense-in-depth systems suitable for industrial Ethernet networks of steel enterprises.
【Keywords】: Industrial Ethernet;industrial control system;network security;defense-in-depth system
0引言
按照国家提出《中国制造2025》行动纲领的要求,钢铁企业智能制造建设正在快速推进,基于TCP/IP标准协议的工业以太网络作为一种高效,快捷,兼容性强的网络技术正在钢铁企业的工业控制系统(Industrial Control System,ICS)中被广泛应用,使得工业控制系统内部,工业控制系统以及工业控制系统与信息化系统、互联网都可以快捷的建立网连接,为智能制造的建设提供了有力數据通信支撑。
但与此同时,基于TCP/IP协议的工业以太技术也将计算机病毒、木马、黑客攻击等网络威胁带到了工业控制系统。根据国家工业信息安全发展研究中心[1]所检测和统计的结果,我国已有三千余个工业控制系统暴露在了互联上,并且这些工业控制系统中有超过95%以上拥有漏洞,可以被黑客攻击,甚至其中20%的工业控制系统可以被远程入侵并被完全控制。由于工业控制系统广泛应用于各个领域,一旦被入侵,其后果是无法预计的[2]。所以保护工业控制系统免受网络安全威胁是至关重要的。
工业控制系统的网络信息安全问题是一个系统性问题,不能仅依靠单一的安全技术来解决,需要综合运用多种安全技术,分区域分层级的部署安全防护措施,形成对工业以太网络层层保护的纵深防御体系,才能有效的保障工业控制系统的网络安全。
1工业以太网络安全的特征
工业以太网络的服务对象是工业自动化系统,工业以太网络安全的关注点就是如何保证产线设备与自动化控制系统能够安全稳定运行,而产线设备与自动化控制系统的运行与传统的IT网络存在较大差异,因此传统的IT网络安全技术并不完全适用于工业以太网络。必须结合工业以太网络的特点才能找到适合工业以太网络的安全技术措施。
1.1 工业以太网络与IT网络的区别与联系
《智能制造发展规划(2016-2020年)》指出智能制造系统架构从生命周期、系统层级和智能特征三个维度对智能制造所涉及的活动、装备、特征等内容进行描述,主要用于明确智能制造的标准化需求、对象和范围,指导国家智能制造标准体系建设。其中从系统层级将智能制造分为五个层级,分别为:设备、单元、车间、企业、协调。钢铁企业对应的软硬件系统分布及网络覆盖情况如图1所示: 在图1中可以发现工业以太网络主要覆盖智能制造体系中设备层级、单元层级,IT信息化网络主要覆盖车间层级、企业层级及协同层级。由于两个网络系统所服务的对象不同,因此他们的网络特性要求,安全关注点也不相同。工业以太网络与IT网络的特性对比见表1:
从智能制造整體功能出发,两个网络的之间存在着频繁的数据交换,网络安全措施必须整体考虑,形成贯穿五个层级的纵深防御安全体系。
1.2 工业以太网络面临的主要安全威胁
工业以太网络面临的网络安全威胁主要来自以下几个方面[3]:
(1)网络体系结构。工业以太网络系统由原来的全封闭或半封闭的系统逐步开放,已经与IT网络系统建立了多点、密切的网络连接,不可避免地会受到来自IT网络或多或少的影响,必须在网络体系结构上采取谨慎可靠的安全措施在保障网络畅通的前提下减少IT网络对工业以太网的影响。
(2)病毒入侵。工业以太网络是基于TCP/IP标准网络协议搭建的,因此IT网络系统的计算机病毒可以在工业以太网络内传播,因此必须采取措施遏制工业以太网内的病毒入侵与传播。
(3)网络抖动。随着工业以太网络规模的不断增加,网络设备和链路数量正常快速增长,由网络环路或设备故障引起的网络抖动对工业以太网的稳定运行影响极大。应对采取相应的网络技术措施进行防护。
(4)网络入侵和攻击。由于数据交换的需要工业以太网络与IT网络,甚至互联网络都建立了连接,不可避免的受到来自外部网络的攻击和入侵,应针对攻击源设置层层防护,保护工业以太网络的安全。
2 工业以太网络的纵深防御体系
钢铁企业工业以太网络纵深防御体系的建设目标是充分考虑工业以太网络的特征,在不同的网络层次和区域,通过采用适当的网络安全技术来对工业以太网络形成系统性的安全保护。
2.1 纵深防御的基本概念和原则
纵深防御(Defense in Depth)这一术语源自军事防御战略。运用在工业以太网络安全领域,纵深防御指的是在工业以太网络内部及与工业以太网络连接的网络中,根据各区域网络的功能特点和安全威胁,将网络划分为不同的安全域(security zone)[4],在安全区域内部及安全区域之间采取相应的安全技术措施,对工业以太网络系统形成多层次、系统性的安全保护。纵深防御体系的研究重点就是如何进行安全区域划分,以及各个区域采用的安全技术措施的有效性。
2.2 工业以太网络纵深防御体系构建
建立工业以太网络纵深防御体系大体可分为以下步骤:
首先是对网络安全区域的划分,既在工业以太网络与其相连网络之间建立一个比较清晰和明确的边界。这样有利于在工业以太网络边界上加载火护墙等安全设备,对工业以太网络实施安全保护。对进入工业以太网的用户进行层层的筛选分析和安全监测,阻断外部网络的非法访问,减少给工业以太网带来的网络威胁。
其次是优化工业以太网络内部结构。针对工业以太面临的安全威胁和应用需要采取态势感知等主动的安全技术措施,提高工业以太网自身的防御能力和健壮性。
第三加强网络安全监测和审计,及时动态的了解工业以太网络及与之连接的网络安全动向,形成联防联控集中,将安全威胁扼杀在萌芽阶段。
最后建立行之有效的工业以太网络安全管理体系,形成责任到人,底数清晰,反映快捷,持续提升的管理体系。并且加强工业以太网络安全技术人员的培养,以工业以太网络运维管理的需要。
钢铁企业工业以太网络纵深防御体系分区逻辑关系图如2所示:
根据功能不同钢铁企业智能制造网络大体可划分为以下四个区域:
一是数据中心网络区,该区域网络主要是用于承载各系统的服务器,存储备份系统的设备接入服务,同时包含:数据中心防火墙、网络安全态势感知系统、防病毒控制台、补丁分发服务器(WSUS)、数据库审计等网络安全设备,为全网提供网络安全服务。
二是企业园区网络区,该区域网络主要承载的是企业园区网络用户的接入服务,并负责对接入的用户进行身份认证,安全合规检测和网络权限分配,确保园区网络边界安全可控。
三是工业以太网区,该区域部分网络主要承载的是自动化系统一级和二级设备通信服务,同时应配置部署与工业以太网络系统相兼容的安全系统,主要包括工业网络态势感知系统,工业安全卫士系统、工业安全审计系统等。
四是互联网接入区,该区域网络主要承载互联网访问服务。该区域主要部署的网络安全设备有:外网防火墙、上网行为管理、VPN、堡垒主机等系统。
2.3 工业以太网络纵深防御体系中的关键技术
针对工业以太网络面临的主要威胁,可以在不同的网络区域采取有针对性的网络安全技术,系统性的保护工业以太网络的安全。
2.3.1 下一代防火墙技术
下一代防火墙部署在工业以太网与其他区域的网络之间。器其主要作用有:一是通过防火墙对访问工业以太网络的主机和应用端口进行限制,一般采用基于白名单的访问控制策略;二是利用下一代防火墙技术对网络数据包进行应用级的分析,对病毒传播,木马活动与漏洞攻击等危险网络行为进行识别和阻断,最大程度的减少其他网络对工业以太网络的威胁。
2.3.2 网络安全态势感知技术
工业以太网对网络实时性要求较高,因此在其内部主机和链路上不适合部署过多的网络安全系统,可采用网络安全态势感知技术,采用旁路的模式实时的对工业以太网络关键数据流量进行捕捉和分析,及时发现和处置工业以太网络中出现的各种网络安全威胁,特别注意的是在工业以太网络区域部署的态势感知系统应能够识别工业网络通讯协议和工业控制系统安全威胁和漏洞攻击。
2.3.3 包含合规检测的网络准入控制技术 工业以太网络的安全威胁主要来自于企业园区网络,企业园区网络的边界安全非常重要,可在企业园区网内采用包含合规检测的网络准入控制技术,对接入园区网络的用户进行全部身份认证和安全合规检测,禁止非法用户和安全不合规的用户接入网络,做到园区网络接入安全管理全覆盖。
2.3.4 远程接入和操作审计技术
随着互联网的普及,通过互联网对工业以太网的访问需要正在日益增多,可以采用VPN技术为互联网用户提供远程接入服务,同时采用堡垒主机技术对接入用户的所有操作进行全程记录,并且尽量避免外部主机直接对工业以太网络资源的访问,以免对工业控制系统造成不可控的影响和破坏。
2.3.5 内网补丁更新、杀毒、时钟服务技术
在企业内部数据中心应建立WSUS(补丁分发服务器)、网络杀毒控制台、时钟服务器等系统,为工业以太网络系统内部的终端和服务器提供相关网络安全服务,避免工业以太网络直接与互联网络建立连接。
2.3.6 防抖动技术
随着工业以太网络规模的增加,网络中时常会出现网络抖动现象,这对工业以太网的稳定运行影响较大。主要的技术措施:一是在工业以太网中启用MSTP等网络生产树协议,并主动选取运行环境好,性能较高的网络设备作为根节点;二是采用路由模式與外部网络建立连接,不参与外部网络生产树协议的计算,同时也避免受外部网络抖动的影响;三是加强网络设备和网络线路的管理,及时关闭闲置的网络端口,维护好线缆的良好状态。
3结语
随着工业以太网络技术在钢业企业的广泛应用,基于TCP/IP的网络安全威胁已经延伸到了工业自动控制系统。本文分析了工业以太网络系统与IT网络系统的区别与联系,对钢铁企业智能制造整体网络进行了安全区域划分,应用纵深防御策略的理念,设计了工业以太网络纵深防御体系,并对纵深防御体系中关键安全技术进行了说明,希望对从事工业以太网络安全工作的技术人员提供一些帮助。
参考文献
[1] 朱涵,李建发.当心!95%工业控制系统有漏洞,面临巨大安全风险[EB/OL].https://www.sohu.com/a/229361590_99910
418,2018-04-25.
[2] 姚羽,祝烈煌,武传坤.工业控制网络安全技术与实践[M].北京:机械工业出版社,2018.
[3] Chen Xing,Jia Zhuo-sheng.Industrial control network information security threats and vulnerability analysis and research[J].Com- puter Science,2012,39(10):188-190.
[4] IEC 62443-1-1[S].Industrial Communication Networks-Network and System Security-Part 1-1:Terminology,Concepts
and Models,2009.
关键词:工业以太网络;工业控制系统;网络安全;纵深防御体系
中图分类号:TP393 文献标识码:A DOI:10.3969/j.issn.1003-6970.2021.02.047
本文著录格式:张宝玉,张馨天.钢铁企业工业以太网络安全纵深防御体系的研究与应用[J].软件,2021,42(02):150-153+162
Research and Application of Security in-depth Defense System of Industrial Ethernet Network in Iron and Steel Enterprises
ZHANG Baoyu, ZHANG Xintian
(Hegang Group Tangshan Iron and Steel Company, Tangshan Hebei 063000)
【Abstract】:With the continuous deepening of intelligent manufacturing construction in steel enterprises, industrial Ethernet technology has been widely used in the field of production line automation. At the same time, the data exchange between industrial Ethernet and information networks, and even the Internet, is increasing. The closedness of the industrial control system has been completely broken, and it is facing unprecedented severe information security problems. By analyzing the fragility and security requirements of industrial Ethernet networks, the industrial Ethernet networks are divided into different levels, drawing on the concept of military defense in depth, and proposing a set of defense-in-depth systems suitable for industrial Ethernet networks of steel enterprises.
【Keywords】: Industrial Ethernet;industrial control system;network security;defense-in-depth system
0引言
按照国家提出《中国制造2025》行动纲领的要求,钢铁企业智能制造建设正在快速推进,基于TCP/IP标准协议的工业以太网络作为一种高效,快捷,兼容性强的网络技术正在钢铁企业的工业控制系统(Industrial Control System,ICS)中被广泛应用,使得工业控制系统内部,工业控制系统以及工业控制系统与信息化系统、互联网都可以快捷的建立网连接,为智能制造的建设提供了有力數据通信支撑。
但与此同时,基于TCP/IP协议的工业以太技术也将计算机病毒、木马、黑客攻击等网络威胁带到了工业控制系统。根据国家工业信息安全发展研究中心[1]所检测和统计的结果,我国已有三千余个工业控制系统暴露在了互联上,并且这些工业控制系统中有超过95%以上拥有漏洞,可以被黑客攻击,甚至其中20%的工业控制系统可以被远程入侵并被完全控制。由于工业控制系统广泛应用于各个领域,一旦被入侵,其后果是无法预计的[2]。所以保护工业控制系统免受网络安全威胁是至关重要的。
工业控制系统的网络信息安全问题是一个系统性问题,不能仅依靠单一的安全技术来解决,需要综合运用多种安全技术,分区域分层级的部署安全防护措施,形成对工业以太网络层层保护的纵深防御体系,才能有效的保障工业控制系统的网络安全。
1工业以太网络安全的特征
工业以太网络的服务对象是工业自动化系统,工业以太网络安全的关注点就是如何保证产线设备与自动化控制系统能够安全稳定运行,而产线设备与自动化控制系统的运行与传统的IT网络存在较大差异,因此传统的IT网络安全技术并不完全适用于工业以太网络。必须结合工业以太网络的特点才能找到适合工业以太网络的安全技术措施。
1.1 工业以太网络与IT网络的区别与联系
《智能制造发展规划(2016-2020年)》指出智能制造系统架构从生命周期、系统层级和智能特征三个维度对智能制造所涉及的活动、装备、特征等内容进行描述,主要用于明确智能制造的标准化需求、对象和范围,指导国家智能制造标准体系建设。其中从系统层级将智能制造分为五个层级,分别为:设备、单元、车间、企业、协调。钢铁企业对应的软硬件系统分布及网络覆盖情况如图1所示: 在图1中可以发现工业以太网络主要覆盖智能制造体系中设备层级、单元层级,IT信息化网络主要覆盖车间层级、企业层级及协同层级。由于两个网络系统所服务的对象不同,因此他们的网络特性要求,安全关注点也不相同。工业以太网络与IT网络的特性对比见表1:
从智能制造整體功能出发,两个网络的之间存在着频繁的数据交换,网络安全措施必须整体考虑,形成贯穿五个层级的纵深防御安全体系。
1.2 工业以太网络面临的主要安全威胁
工业以太网络面临的网络安全威胁主要来自以下几个方面[3]:
(1)网络体系结构。工业以太网络系统由原来的全封闭或半封闭的系统逐步开放,已经与IT网络系统建立了多点、密切的网络连接,不可避免地会受到来自IT网络或多或少的影响,必须在网络体系结构上采取谨慎可靠的安全措施在保障网络畅通的前提下减少IT网络对工业以太网的影响。
(2)病毒入侵。工业以太网络是基于TCP/IP标准网络协议搭建的,因此IT网络系统的计算机病毒可以在工业以太网络内传播,因此必须采取措施遏制工业以太网内的病毒入侵与传播。
(3)网络抖动。随着工业以太网络规模的不断增加,网络设备和链路数量正常快速增长,由网络环路或设备故障引起的网络抖动对工业以太网的稳定运行影响极大。应对采取相应的网络技术措施进行防护。
(4)网络入侵和攻击。由于数据交换的需要工业以太网络与IT网络,甚至互联网络都建立了连接,不可避免的受到来自外部网络的攻击和入侵,应针对攻击源设置层层防护,保护工业以太网络的安全。
2 工业以太网络的纵深防御体系
钢铁企业工业以太网络纵深防御体系的建设目标是充分考虑工业以太网络的特征,在不同的网络层次和区域,通过采用适当的网络安全技术来对工业以太网络形成系统性的安全保护。
2.1 纵深防御的基本概念和原则
纵深防御(Defense in Depth)这一术语源自军事防御战略。运用在工业以太网络安全领域,纵深防御指的是在工业以太网络内部及与工业以太网络连接的网络中,根据各区域网络的功能特点和安全威胁,将网络划分为不同的安全域(security zone)[4],在安全区域内部及安全区域之间采取相应的安全技术措施,对工业以太网络系统形成多层次、系统性的安全保护。纵深防御体系的研究重点就是如何进行安全区域划分,以及各个区域采用的安全技术措施的有效性。
2.2 工业以太网络纵深防御体系构建
建立工业以太网络纵深防御体系大体可分为以下步骤:
首先是对网络安全区域的划分,既在工业以太网络与其相连网络之间建立一个比较清晰和明确的边界。这样有利于在工业以太网络边界上加载火护墙等安全设备,对工业以太网络实施安全保护。对进入工业以太网的用户进行层层的筛选分析和安全监测,阻断外部网络的非法访问,减少给工业以太网带来的网络威胁。
其次是优化工业以太网络内部结构。针对工业以太面临的安全威胁和应用需要采取态势感知等主动的安全技术措施,提高工业以太网自身的防御能力和健壮性。
第三加强网络安全监测和审计,及时动态的了解工业以太网络及与之连接的网络安全动向,形成联防联控集中,将安全威胁扼杀在萌芽阶段。
最后建立行之有效的工业以太网络安全管理体系,形成责任到人,底数清晰,反映快捷,持续提升的管理体系。并且加强工业以太网络安全技术人员的培养,以工业以太网络运维管理的需要。
钢铁企业工业以太网络纵深防御体系分区逻辑关系图如2所示:
根据功能不同钢铁企业智能制造网络大体可划分为以下四个区域:
一是数据中心网络区,该区域网络主要是用于承载各系统的服务器,存储备份系统的设备接入服务,同时包含:数据中心防火墙、网络安全态势感知系统、防病毒控制台、补丁分发服务器(WSUS)、数据库审计等网络安全设备,为全网提供网络安全服务。
二是企业园区网络区,该区域网络主要承载的是企业园区网络用户的接入服务,并负责对接入的用户进行身份认证,安全合规检测和网络权限分配,确保园区网络边界安全可控。
三是工业以太网区,该区域部分网络主要承载的是自动化系统一级和二级设备通信服务,同时应配置部署与工业以太网络系统相兼容的安全系统,主要包括工业网络态势感知系统,工业安全卫士系统、工业安全审计系统等。
四是互联网接入区,该区域网络主要承载互联网访问服务。该区域主要部署的网络安全设备有:外网防火墙、上网行为管理、VPN、堡垒主机等系统。
2.3 工业以太网络纵深防御体系中的关键技术
针对工业以太网络面临的主要威胁,可以在不同的网络区域采取有针对性的网络安全技术,系统性的保护工业以太网络的安全。
2.3.1 下一代防火墙技术
下一代防火墙部署在工业以太网与其他区域的网络之间。器其主要作用有:一是通过防火墙对访问工业以太网络的主机和应用端口进行限制,一般采用基于白名单的访问控制策略;二是利用下一代防火墙技术对网络数据包进行应用级的分析,对病毒传播,木马活动与漏洞攻击等危险网络行为进行识别和阻断,最大程度的减少其他网络对工业以太网络的威胁。
2.3.2 网络安全态势感知技术
工业以太网对网络实时性要求较高,因此在其内部主机和链路上不适合部署过多的网络安全系统,可采用网络安全态势感知技术,采用旁路的模式实时的对工业以太网络关键数据流量进行捕捉和分析,及时发现和处置工业以太网络中出现的各种网络安全威胁,特别注意的是在工业以太网络区域部署的态势感知系统应能够识别工业网络通讯协议和工业控制系统安全威胁和漏洞攻击。
2.3.3 包含合规检测的网络准入控制技术 工业以太网络的安全威胁主要来自于企业园区网络,企业园区网络的边界安全非常重要,可在企业园区网内采用包含合规检测的网络准入控制技术,对接入园区网络的用户进行全部身份认证和安全合规检测,禁止非法用户和安全不合规的用户接入网络,做到园区网络接入安全管理全覆盖。
2.3.4 远程接入和操作审计技术
随着互联网的普及,通过互联网对工业以太网的访问需要正在日益增多,可以采用VPN技术为互联网用户提供远程接入服务,同时采用堡垒主机技术对接入用户的所有操作进行全程记录,并且尽量避免外部主机直接对工业以太网络资源的访问,以免对工业控制系统造成不可控的影响和破坏。
2.3.5 内网补丁更新、杀毒、时钟服务技术
在企业内部数据中心应建立WSUS(补丁分发服务器)、网络杀毒控制台、时钟服务器等系统,为工业以太网络系统内部的终端和服务器提供相关网络安全服务,避免工业以太网络直接与互联网络建立连接。
2.3.6 防抖动技术
随着工业以太网络规模的增加,网络中时常会出现网络抖动现象,这对工业以太网的稳定运行影响较大。主要的技术措施:一是在工业以太网中启用MSTP等网络生产树协议,并主动选取运行环境好,性能较高的网络设备作为根节点;二是采用路由模式與外部网络建立连接,不参与外部网络生产树协议的计算,同时也避免受外部网络抖动的影响;三是加强网络设备和网络线路的管理,及时关闭闲置的网络端口,维护好线缆的良好状态。
3结语
随着工业以太网络技术在钢业企业的广泛应用,基于TCP/IP的网络安全威胁已经延伸到了工业自动控制系统。本文分析了工业以太网络系统与IT网络系统的区别与联系,对钢铁企业智能制造整体网络进行了安全区域划分,应用纵深防御策略的理念,设计了工业以太网络纵深防御体系,并对纵深防御体系中关键安全技术进行了说明,希望对从事工业以太网络安全工作的技术人员提供一些帮助。
参考文献
[1] 朱涵,李建发.当心!95%工业控制系统有漏洞,面临巨大安全风险[EB/OL].https://www.sohu.com/a/229361590_99910
418,2018-04-25.
[2] 姚羽,祝烈煌,武传坤.工业控制网络安全技术与实践[M].北京:机械工业出版社,2018.
[3] Chen Xing,Jia Zhuo-sheng.Industrial control network information security threats and vulnerability analysis and research[J].Com- puter Science,2012,39(10):188-190.
[4] IEC 62443-1-1[S].Industrial Communication Networks-Network and System Security-Part 1-1:Terminology,Concepts
and Models,2009.