工業(yè)以太網(wǎng)安全性初探

1簡介工業(yè)以太網(wǎng)及存在的安全問題

企業(yè)信息化網(wǎng)絡(luò)可分為三個層次。從下到上依次為現(xiàn)場設(shè)備層、過程監(jiān)控層和信息管理層。最上層的是企業(yè)信息管理網(wǎng)絡(luò)，它主要用于企業(yè)的生產(chǎn)調(diào)度，財務(wù)、人事以及企業(yè)的經(jīng)營管理等方面信息的傳輸;中間的過程網(wǎng)絡(luò)主要用于將的現(xiàn)場信息置入實時數(shù)據(jù)庫，實現(xiàn)現(xiàn)場數(shù)據(jù)的存儲、管理、查詢的等基本的功能;底層的現(xiàn)場設(shè)備層網(wǎng)絡(luò)則主要用于控制系統(tǒng)中大量現(xiàn)場設(shè)備之間測量一與控制信息的傳輸。其中底層現(xiàn)場設(shè)備對通信響應(yīng)的實時性和確定性要求較高，因此目前現(xiàn)場設(shè)備網(wǎng)絡(luò)主要由現(xiàn)場總線低速網(wǎng)段組成。

傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)由于其技術(shù)陳舊及其三協(xié)議不統(tǒng)一，導致不便于通訊的特點，在許多場合已經(jīng)不能滿足現(xiàn)實的需要。同時由于以太網(wǎng)技術(shù)在民用領(lǐng)域的廣泛應(yīng)用，己經(jīng)在過程控制領(lǐng)域中上層的信息管理與通信中得到大規(guī)模的應(yīng)用，并且效果良好，現(xiàn)在有逐步進入底層現(xiàn)場設(shè)備的趨勢.

相對于傳統(tǒng)的專有網(wǎng)，工業(yè)以太網(wǎng)的開放性給它帶來了一些數(shù)據(jù)安全方面的問題。這其中包括自身穩(wěn)定性，協(xié)議的漏洞造成的資料保密性等問題以及實時工業(yè)控制中的時效性的問題。

工業(yè)以太網(wǎng)中突出的安全問題主要在兩個環(huán)節(jié)，第一是數(shù)據(jù)在傳遞中的安全問題，第二以太網(wǎng)病毒帶來的網(wǎng)絡(luò)擁塞。

2數(shù)據(jù)在傳遞中的安全問題

如何防止數(shù)據(jù)在傳遞途中的竊取，在傳統(tǒng)的以太網(wǎng)絡(luò)中我們預(yù)防數(shù)據(jù)在傳遞途中被竊取常常采用防火墻技術(shù)，加密技術(shù)、入侵檢測技術(shù)和入侵防御技術(shù)來實現(xiàn)。

(1)防火墻技術(shù)由于技術(shù)比較成熟，被廣泛地應(yīng)用在網(wǎng)絡(luò)安全的控制中。防火墻的采用可以有效地進行數(shù)據(jù)包的過濾，屏蔽有害攻擊對下一級網(wǎng)絡(luò)的影響。工業(yè)以太網(wǎng)的三層結(jié)構(gòu)，將控制層和管理層連接起來，上下網(wǎng)段使用相同的協(xié)議，需要用兩級防火墻隔開。使用一層防火墻防止來自外部的非法訪問，第二級的防火墻用于屏蔽內(nèi)部網(wǎng)絡(luò)的非法訪問和分配不同權(quán)限。

(2)在工業(yè)以太網(wǎng)的應(yīng)用中可以采用加密的方式來防止關(guān)鍵信息被竊取。由于工業(yè)控制的實效性要求往往要注意加密算法的安全性和計算復(fù)雜性的平衡。加密對象的選擇上往往是對控制信息進行加密。加密通常在傳輸層進行實現(xiàn)。加密技術(shù)上我們通常采用端到端的加密方法。加密中采用單鑰系統(tǒng)還是雙鑰系統(tǒng)要根據(jù)系統(tǒng)的實際情況來確定，前者的安全性相對較差，但效率較高;后者的安全性相對較好，但效率相對較低。我們需要根據(jù)系統(tǒng)實際的硬件條件選擇合適的系統(tǒng)。同樣道理加密算法的選擇也需要根據(jù)硬件的實際條件加以選擇。

(3)入侵檢測技術(shù)與入侵防御技術(shù)，由于三層統(tǒng)一采用以太網(wǎng)架構(gòu)，使得聯(lián)入因特網(wǎng)傳輸數(shù)據(jù)成為可能，同時由于國際互聯(lián)網(wǎng)的脆弱性，必須要對網(wǎng)絡(luò)攻擊加以防范，除了上面提到的防火墻外還要有一定的預(yù)防機制，還必須提到入侵檢側(cè)和入侵防御機制。因為網(wǎng)絡(luò)環(huán)境中，大量的數(shù)據(jù)記錄的產(chǎn)生使得人工分析數(shù)據(jù)檢測和預(yù)防入侵變得不可行。必須借助入侵檢測和入侵防御工具完成。對攻擊進行追蹤分析，數(shù)據(jù)包的進行實時監(jiān)控。

此外，全面的安全還需要由等級用戶認證來實現(xiàn)，從最常見的數(shù)字認證文件來實現(xiàn)對數(shù)據(jù)控制權(quán)的管理，到用戶密碼機制到硬件鑰匙認證，這些都能夠使得數(shù)據(jù)得到安全的保護。

3處理和預(yù)防病毒，惡意程序帶來的網(wǎng)絡(luò)擁塞

工業(yè)以太網(wǎng)用于控制領(lǐng)域，對實時性要求比較高。但由于以太網(wǎng)全雙工通信方式，CSMA/CD機制本身的限制和TCP/IP協(xié)議開放性的特點。病毒破壞計算機，阻塞網(wǎng)絡(luò)成為必須要突出考慮的網(wǎng)絡(luò)安全問題?，F(xiàn)階段由于工業(yè)以太網(wǎng)尚未大規(guī)模普及，針對工業(yè)以太網(wǎng)的病毒尚未出現(xiàn)，但是普通病毒帶來的問題同樣不能忽視。如蠕蟲病毒對PC的攻擊，會占用了大量的系統(tǒng)資源導致控制pc不能流暢運行，影響到控制命令的傳輸。各種木馬病毒能竊取pc控制機的管理權(quán)限，對其遠程控制，共危害性更為嚴重。某些郵件病毒，不斷地向網(wǎng)內(nèi)外的其它主機發(fā)包，占據(jù)了網(wǎng)絡(luò)通道，會使正常命令無法傳輸。

對于病毒和惡意程序帶來的危害，除了通過傳統(tǒng)的防殺毒工具外，還需加強相關(guān)監(jiān)控管理，當大規(guī)模的不正常數(shù)據(jù)包傳送時，能自動控制該計算機端口。由此可以嘗試采用目前較為流行的IDS和IPS系統(tǒng)進行數(shù)據(jù)的監(jiān)控和管理。

(1)IDS是Intrusion Detection System的縮寫，即入侵檢測系統(tǒng)，主要用于檢測病毒和網(wǎng)絡(luò)異常通信，以便網(wǎng)絡(luò)管理員采取相應(yīng)措施。IDS入侵檢測系統(tǒng)能夠察覺黑客的入侵行為并且進行記錄和處理。由于當病毒爆發(fā)時，會占用大量的工業(yè)以太網(wǎng)絡(luò)帶寬，使任務(wù)實時性執(zhí)行出現(xiàn)問題，IDS入侵檢測系統(tǒng)能夠及時檢測出這種非法的占用，記錄下病毒發(fā)出的連接，向上層管理計算機發(fā)出警告，同時它不影響整體網(wǎng)絡(luò)的運行性能，非常適合工業(yè)以太網(wǎng)的網(wǎng)絡(luò)特點。具體部署可參考圖1:

(2)IPS設(shè)各串接于路由器與防火墻，利用IPS能夠快速終結(jié)DoS與DDoS,未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)阻塞，實現(xiàn)對工業(yè)以太網(wǎng)的防護，同時它能保護防火墻和核心交換機等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊。IPS會在此類網(wǎng)絡(luò)玫擊擴散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信，在網(wǎng)絡(luò)中起到防御的作用。

具體實現(xiàn)方式是IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你的網(wǎng)絡(luò)。這種技術(shù)從源頭控制了對工業(yè)以太網(wǎng)的惡意攻擊。具體部署參考圖2.

圖2 IPS入侵防御系統(tǒng)

4結(jié)語

工業(yè)以太網(wǎng)由于其成木上的優(yōu)勢和良好的開放性和廣泛性，正慢慢進入生產(chǎn)領(lǐng)域。做為當前工業(yè)控制領(lǐng)域的熱點方向，它吸引了大量的少商介入其領(lǐng)域，但是其特有的性質(zhì)使其容易受到網(wǎng)絡(luò)安全的影響，從而制約其發(fā)展。相信隨著研究的深入，工業(yè)以太網(wǎng)應(yīng)用中的安全問題將逐步得到解決。