1.簡介工業以太網及存在的安全問題
企業信息化網絡可分為三個層次�。從下到上依次為現場設備層、過程監控層和信息管理層��。最上層的是企業信息管理網絡���,它主要用于企業的生產調度��,財務��、人事以及企業的經營管理等方面信息的傳輸;中間的過程網絡主要用于將的現場信息置入實時數據庫���,實現現場數據的存儲��、管理、查詢的等基本的功能;底層的現場設備層網絡則主要用于控制系統中大量現場設備之間測量一與控制信息的傳輸�����。其中底層現場設備對通信響應的實時性和確定性要求較高����,因此目前現場設備網絡主要由現場總線低速網段組成����。
傳統工業控制網絡由于其技術陳舊及其三協議不統一,導致不便于通訊的特點��,在許多場合已經不能滿足現實的需要�。同時由于以太網技術在民用領域的廣泛應用,己經在過程控制領域中上層的信息管理與通信中得到大規模的應用���,并且效果良好,現在有逐步進入底層現場設備的趨勢.
相對于傳統的專有網,工業以太網的開放性給它帶來了一些數據安全方面的問題�����。這其中包括自身穩定性�����,協議的漏洞造成的資料保密性等問題以及實時工業控制中的時效性的問題�����。
工業以太網中突出的安全問題主要在兩個環節,第一是數據在傳遞中的安全問題,第二以太網病毒帶來的網絡擁塞�����。
2.數據在傳遞中的安全問題
如何防止數據在傳遞途中的竊取�����,在傳統的以太網絡中我們預防數據在傳遞途中被竊取常常采用防火墻技術,加密技術、入侵檢測技術和入侵防御技術來實現。
(1)防火墻技術由于技術比較成熟���,被廣泛地應用在網絡安全的控制中。防火墻的采用可以有效地進行數據包的過濾,屏蔽有害攻擊對下一級網絡的影響。工業以太網的三層結構,將控制層和管理層連接起來,上下網段使用相同的協議,需要用兩級防火墻隔開���。使用一層防火墻防止來自外部的非法訪問,第二級的防火墻用于屏蔽內部網絡的非法訪問和分配不同權限��。
(2)在工業以太網的應用中可以采用加密的方式來防止關鍵信息被竊取����。由于工業控制的實效性要求往往要注意加密算法的安全性和計算復雜性的平衡。加密對象的選擇上往往是對控制信息進行加密����。加密通常在傳輸層進行實現�����。加密技術上我們通常采用端到端的加密方法。加密中采用單鑰系統還是雙鑰系統要根據系統的實際情況來確定�����,前者的安全性相對較差�,但效率較高;后者的安全性相對較好,但效率相對較低�。我們需要根據系統實際的硬件條件選擇合適的系統���。同樣道理加密算法的選擇也需要根據硬件的實際條件加以選擇���。
(3)入侵檢測技術與入侵防御技術����,由于三層統一采用以太網架構����,使得聯入因特網傳輸數據成為可能,同時由于國際互聯網的脆弱性�,必須要對網絡攻擊加以防范����,除了上面提到的防火墻外還要有一定的預防機制�����,還必須提到入侵檢側和入侵防御機制�。因為網絡環境中�,大量的數據記錄的產生使得人工分析數據檢測和預防入侵變得不可行。必須借助入侵檢測和入侵防御工具完成�����。對攻擊進行追蹤分析���,數據包的進行實時監控���。
此外�����,全面的安全還需要由等級用戶認證來實現��,從最常見的數字認證文件來實現對數據控制權的管理,到用戶密碼機制到硬件鑰匙認證�,這些都能夠使得數據得到安全的保護�����。
3.處理和預防病毒��,惡意程序帶來的網絡擁塞
工業以太網用于控制領域����,對實時性要求比較高���。但由于以太網全雙工通信方式�����,CSMA/CD機制本身的限制和TCP/IP協議開放性的特點�����。病毒破壞計算機,阻塞網絡成為必須要突出考慮的網絡安全問題。現階段由于工業以太網尚未大規模普及���,針對工業以太網的病毒尚未出現,但是普通病毒帶來的問題同樣不能忽視。如蠕蟲病毒對PC的攻擊�����,會占用了大量的系統資源導致控制pc不能流暢運行���,影響到控制命令的傳輸���。各種木馬病毒能竊取pc控制機的管理權限��,對其遠程控制�,共危害性更為嚴重��。某些郵件病毒,不斷地向網內外的其它主機發包,占據了網絡通道,會使正常命令無法傳輸�����。
對于病毒和惡意程序帶來的危害,除了通過傳統的防殺毒工具外,還需加強相關監控管理,當大規模的不正常數據包傳送時��,能自動控制該計算機端口��。由此可以嘗試采用目前較為流行的IDS和IPS系統進行數據的監控和管理�����。
(1)IDS是Intrusion Detection System的縮寫,即入侵檢測系統,主要用于檢測病毒和網絡異常通信�,以便網絡管理員采取相應措施���。IDS入侵檢測系統能夠察覺黑客的入侵行為并且進行記錄和處理。由于當病毒爆發時,會占用大量的工業以太網絡帶寬����,使任務實時性執行出現問題���,IDS入侵檢測系統能夠及時檢測出這種非法的占用����,記錄下病毒發出的連接,向上層管理計算機發出警告��,同時它不影響整體網絡的運行性能����,非常適合工業以太網的網絡特點。具體部署可參考圖1:
圖1 Ids入侵檢側服務器的部署
(2)IPS設各串接于路由器與防火墻,利用IPS能夠快速終結DoS與DDoS,未知的蠕蟲�����、異常應用程序流量攻擊所造成的網絡阻塞��,實現對工業以太網的防護,同時它能保護防火墻和核心交換機等網絡設備免遭入侵和攻擊����。IPS會在此類網絡玫擊擴散到網絡的其它地方之前阻止這個惡意的通信��,在網絡中起到防御的作用。
具體實現方式是IPS將檢查入網的數據包�����,確定這種數據包的真正用途����,然后決定是否允許這種數據包進入你的網絡。這種技術從源頭控制了對工業以太網的惡意攻擊。具體部署參考圖2.
圖2 IPS入侵防御系統
4.結語
工業以太網由于其成木上的優勢和良好的開放性和廣泛性���,正慢慢進入生產領域。做為當前工業控制領域的熱點方向����,它吸引了大量的少商介入其領域����,但是其特有的性質使其容易受到網絡安全的影響�����,從而制約其發展�。相信隨著研究的深入����,工業以太網應用中的安全問題將逐步得到解決。
