关于甘蔗制糖企业工控系统网络安全纵深防御体系构建与实现

魏学勇

(中共陕西省委党校(陕西行政学院)，陕西西安710061)

0 引言

随着现代信息技术与传统工业融合程度的提升，甘蔗制糖企业工业控制网络与公共网络、私人用户端、企业管理系统的融合程度也越来越高。然而，由于甘蔗制糖企业工控网络中多以 TCP(Transmission Control Protocol，传输控制协议)、IP(Internet Protocol，网络之间互连的协议)技术为网络基础，高度融合了专门应用于制糖工业领域的硬件、软件和通信协议，在实际的工控系统工作状态下，应充分考虑工控系统与一般公共网络、私人用户端进行互通时的通信安全问题[1]。

与一般网络安全防御体系相比，网络安全纵深防御体系是一种将多种防御技术进行融合，不仅仅依赖某一种安全机制，所建立的全方位、立体化、具体战略纵深效果的多种网络安全防御技术互相支撑的新型网络安全防御体系。针对甘蔗制糖企业工控系统，能够充分解决当前甘蔗制糖企业依赖单一防火墙以及网络安全入侵防御系统的现状，保障糖企工控系统在面对大规模、分布式网络攻击时的系统安全性。

1 甘蔗制糖企业工控系统安全分析

1.1 工控系统特点

在现代网络技术进行充分融合之前，传统甘蔗制糖企业工控系统多采用封闭式内部网络，通常采用物理隔离以及赋予不同员工不同的系统权限等手段，即可完成工控系统安全防御。此时的甘蔗制糖企业工控系统更加注重生产的安全性、可用性以及连续性等，并不需要过多考虑系统的安全性和保密程度等。

随着企业工控系统现代化程度的提升，制糖企业逐渐开始采用TCP、IP协议等构建自身工控系统，在于一般公共网络或企业管理网络进行对接时，暴露出了一些特点：①糖企生产通常随甘蔗榨季的变化而变化，一般当年11月至次年4月(即一个榨季)期间糖企的生产最为繁忙，糖企工控系统通常需要7×24 h进行工作，一旦工控系统停运，甘蔗制糖生产线将会面临巨大损失；②由于糖企工作环境存在蒸发浓缩、煮糖结晶等环节，通常工作温度较高，湿度也比较大，对生产设备的影响较高；③糖企工控系统以DCS(Distributed Control System，分布式控制)系统为核心控制系统，多使用 PLC(可编程逻辑控制器)为辅助逻辑控制系统，其中 DCS系统多应用于甘蔗制糖工控系统中的核心动力环节以及煮糖阶段，DCS系统具备高可靠性、精密性、开放性、易于维护以及协调性强等特点，能够满足动力环节与煮糖环节工业控制系统精密、严格的需求；④通常以有线传输为数据、信息、指令等的主要传输手段，由于制糖工艺通常并不具备过高的工艺差异性，因此对保密工作的要求并不高，通常更加重视系统工作的可靠性、连续性、节能性以及稳定性等[2]。

1.2 网络安全分析

一般甘蔗制糖企业的工控系统特点，决定了糖企通常会把网络安全防御体系重点放在物理安全防御工作上，即采用空间隔离的手段实现企业的工控系统网络安全防御。按照一般糖企生产过程中的工控系统分布情况，可以将甘蔗制糖企业网络安全防御体系分为图1所示的3层。

物理控制层不含安全功能，普通的网络安全防火墙等在该层不存在适合的工作环境；监视控制层开始，糖企工控系统开始使用含安全功能的协议，此处所使用的监视系统操作软件、数据存储系统等多以商用软件系统为主，较容易受到网络攻击；由于管理控制层能够通过企业网或一般互联网进行接入，同时一般糖企又通常不将网络安全防御重点放在此处，因而管理控制层成为一般糖企工控系统中最容易受到网络入侵或黑客攻击的环节[3-5]。

2 网络安全纵深防御体系对糖企工控系统的影响

2.1 网络安全纵深防御体系

糖企工控系统网络安全纵深防御体系，是一种融合多种网络安全防御技术、手段于一体，以拓展糖企工控系统网络安全纵深防御“深度”为主导原则，采用现代信息技术中最先进、最适合制糖企业自身特色的数据融合技术，所构建的分布式工控系统网络安全纵深防御体系(图2)[6]。

2.2 该体系对糖企工控系统的作用

糖企工控系统网络安全纵深防御体系最外围是该体系直接应对网络入侵的主要场景，其中：防御方面，该体系通过“单点+散点+分层”防御形式搭建了网络安全防御布局，利用“集中+分布式”防御模式，实现整体系网络安全纵深防御；入侵检测机制方面，为实现网络安全7×24 h全天实时检测，该系统引入了虚拟化计算检测方法，通过网络云服务体系对检测进行控制，实现系统网络安全自动化、智能化检测；入侵响应机制方面，系统主要利用糖企工控系统网络安全防御恶意代码查杀以及蜜罐陷阱等技术，实现糖企工控系统对网络入侵行为的快速响应；入侵预警机制方面，该系统主要通过对工控系统进行还原与漏洞修复，实现甘蔗制糖企业工控系统网络信息安全防护[7-8]。

图2 糖企工控系统网络安全纵深防御体系

3 糖企工控系统网络安全纵深防御体系构建与实现

3.1 硬件系统设计

糖企工控系统网络安全纵深防御体系硬件系统主要指系统服务器设备硬件系统，该系统是实现糖企工控系统网络安全入侵防御系统运行和检索的主要硬件系统(图3)。

图3 服务器设备硬件系统设计

为适应我国制糖工业发展及其与现代网络技术融合速度的不断提升，本文设计的工控系统网络安全纵深防御体系服务器设备硬件系统采用了高度灵活、高可靠性、高可替代性的设计理念，在需要进行设备更换或系统升级时，只需要通过统一标准接口将硬件取下或安装连接即可。其主要部件包括：

主机部件：属网络安全纵深防御系统核心部件，由嵌入式CPU硬件构成，保证糖企工控系统网络安全纵深防御入侵检测功能正常运行；

能源部件：由于制糖企业一旦进入榨季，通常需要全天不间断工作，因此制糖企业工控系统网络安全防御体系同样需要全天候进行入侵检测，能源部件采用了持续工作时间长、状态稳定的燃料电池作为主要硬件；

储存部件：用于保存系统数据与网络安全防御数据，由于制糖工业的特殊需要，服务器硬盘需要长期在高温、高湿等严苛环境环境下使用，为此本系统采用了宽温、容量大、高稳定性、高可靠性和高耐用性的 Greenliant工业级固态硬盘，配合虚拟数据库实现数据存储；

无线通信部件：为满足未来糖企网络安全入侵检测系统升级，本次构建系统采用了WLAN+5G形式双接口，实现无线通信部件搭建，系统可以根据自身需求在双环境下任意切换。

3.2 软件系统设计

结合甘蔗制糖工业工控系统特点与网络安全分析，本文以纵深防御为主要设计原则，构建图4所示甘蔗制糖工控系统网络安全纵深防御体系。该系统能够将糖企工控系统信息安全防护手段按照不同环节、不同层次、不同需求进行分层部署，根据系统业务应用、物理位置等将工控系统安全纵深防御体系划分为不同的安全域，每一个安全域分别包括若干个具备相同防护需求的糖企工控系统逻辑组合。

图4 糖企工控系统网络安全纵深防御软件系统设计

3.2.1 展现层

展现层主要由WEB客户端与APP移动用户端2部分构成，WEB客户端主要服务于糖企管理办公用户，使用 JavaScript的混淆加密以及页面混淆加密机制搭建，能够实现基于可动态调整的 H5版本化；APP移动用户端为本次搭建纵深防御系统展现层重点，由DEX加壳保护，内存防dump，实现糖企工控系统网络安全纵深防御由 WEB客户端向APP移动用户端的转移。

3.2.2 网络层

网络层是黑客等开展网络攻击的主要场景，因此也是糖企工控系统网络安全纵深防御体系重点环节。糖企工控系统网络层引入类似云防御的 WAF系统和流量复制技术，通过流量导入实现信息的脱敏、数据的加密传输以及信息自定义加密传输。其中数据信息的脱敏一般采取非对称加密手段，然而该加密手段对CPU资源损耗较大，不利于制糖工业节能降耗，因此本次系统采用了不可逆加密，即不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，保证加密后的数据无法被非法解密。

3.2.3 代理层

代理层是网络流量等进入糖企工控系统的最后环节，因此代理层的作用非常重要。本次搭建系统代理层以类似 nginx代理层为主要形式，采用白名单限制、refer域名限制以及流量控制等综合方法，保证系统代理层对网络非法入侵的过滤。如一旦某不法IP在一段时间内对糖企工控系统访问频次过高，则代理层可以直接将此IP下发到防火墙一层实现流量过滤。

3.2.4 接入层

接入层是糖企工控系统网络安全纵深防御体系业务处理核心环节第一层。本次搭建系统接入层特点有：基于糖企工控系统历史数据进行智能化建模；根据糖企日常管理工作线上实时行为数据计算网络访问风险系数；通过海量系统数据喂给防御体系算法进行学习，得到实时风控模型。

3.2.5 逻辑层

逻辑层负责对防御体系进行数据运算，主要工作包括数据脱敏、加密算法选择等。以糖企工控系统密码管理为例，密码加密逻辑过于简单往往容易导致密码破解，逻辑层则可以通过倒置、混淆、重复叠加等手段多次完成密码加密运算，实现密码存储逻辑上难以被攻破的系统需求。逻辑层是糖企工控系统负责业务逻辑处理的关键模块，基本所有数据流转和接收都在该层完成。

3.2.6 存储层

存储层是糖企工控系统网络安全纵深防御体系终极核心层，设置不合理会导致网站数据库数据直接被黑客删除且无法恢复等严重问题。“蜜罐”处理技术，是安全防御领域里面的一个象形词。本次搭建的系统存储层利用“蜜罐”处理，在存储层以数据库形式复制多个糖企工控系统数据表并保存，如果有人操作这些表，系统会通过监控机制直接告警，使问题尽早暴露，达到早期防御的功效，实现存储层数据防护。

3.3 实验分析

3.3.1 实验设备与方法

为验证本次设计甘蔗制糖企业工控系统网络安全纵深防御体系防御准确性与防御取胜率，本文以我国某制糖企业实际软硬件系统搭建实验环境，对本文设计体系与一般网络安全防御体系进行实验对比，验证甘蔗制糖企业工控系统网络安全纵深防御体系有效性和实用性。表1为该企业网络安全防御体系软硬件设备环境。

表1 某甘蔗制糖企业工控系统网络安全防御软硬件体系

将传统网络安全防御体系命名为系统Ⅰ、纵深防御体系命名为系统Ⅱ，将2种系统应用在5×5节点的相同甘蔗制糖企业工控环境下，对该工控系统网络进行不同程度(以攻击次数为主要衡量对象)的网络入侵攻击，对2组实验条件下系统成功防御次数、防御取胜率等进行统计计算，保证实验结果的有效性。

3.3.2 实验结果与分析

表2为本次实验2种不同网络安全防御体系防御网络安全入侵结果。由表中数据可明显得知，经过优化以后的基于制糖企业工控系统安全网络纵深防御体系在成功防御次数、防御取胜率等方面均优于传统的网络安全入侵防御体系；在攻击次数逐渐增加的变化过程中，基于纵深防御的网络安全入侵系统防御成功率及防御取胜率降低幅度极小，而传统的网络安全入侵防御系统在攻击次数达到500次以后，防御取胜率已经低于 60%，逐渐无法满足系统需求；综合而言系统Ⅱ在成功防御次数、防御取胜率等方面均远优于系统Ⅰ，且系统Ⅱ随攻击次数提升防御能力下降不明显。

表2 实验结果对比

4 结语

本次搭建糖企工控系统网络安全纵深防御体系包含DCS模块，该模块中的各类型工作站、操作台等防护软件，能够在防御系统中央控制室实现网络安全防护白名单管理；实现对糖企工控系统数据存储以及流量使用情况管理；实现对网络入侵、未知访问、恶意程序等的防御；能够满足糖企工控系统启动、加载以及长时间不下线7×24 h稳定工作状态安全保障；与一般传统网络安全入侵防御体系相比，基于纵深防御的网络安全入侵防御系统在防御成功次数、防御成功率等方面均更为优秀。