工業(yè)以太網(wǎng)安全性初探

　　1.簡介工業(yè)以太網(wǎng)及存在的安全問題

　　企業(yè)信息化網(wǎng)絡(luò)可分為三個(gè)層次。從下到上依次為現(xiàn)場設(shè)備層、過程監(jiān)控層和信息管理層。最上層的是企業(yè)信息管理網(wǎng)絡(luò)，它主要用于企業(yè)的生產(chǎn)調(diào)度，財(cái)務(wù)、人事以及企業(yè)的經(jīng)營管理等方面信息的傳輸;中間的過程網(wǎng)絡(luò)主要用于將的現(xiàn)場信息置入實(shí)時(shí)數(shù)據(jù)庫，實(shí)現(xiàn)現(xiàn)場數(shù)據(jù)的存儲、管理、查詢的等基本的功能;底層的現(xiàn)場設(shè)備層網(wǎng)絡(luò)則主要用于控制系統(tǒng)中大量現(xiàn)場設(shè)備之間測量一與控制信息的傳輸。其中底層現(xiàn)場設(shè)備對通信響應(yīng)的實(shí)時(shí)性和確定性要求較高，因此目前現(xiàn)場設(shè)備網(wǎng)絡(luò)主要由現(xiàn)場總線低速網(wǎng)段組成。

　　傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)由于其技術(shù)陳舊及其三協(xié)議不統(tǒng)一，導(dǎo)致不便于通訊的特點(diǎn)，在許多場合已經(jīng)不能滿足現(xiàn)實(shí)的需要。同時(shí)由于以太網(wǎng)技術(shù)在民用領(lǐng)域的廣泛應(yīng)用，己經(jīng)在過程控制領(lǐng)域中上層的信息管理與通信中得到大規(guī)模的應(yīng)用，并且效果良好，現(xiàn)在有逐步進(jìn)入底層現(xiàn)場設(shè)備的趨勢.

　　相對于傳統(tǒng)的專有網(wǎng)，工業(yè)以太網(wǎng)的開放性給它帶來了一些數(shù)據(jù)安全方面的問題。這其中包括自身穩(wěn)定性，協(xié)議的漏洞造成的資料保密性等問題以及實(shí)時(shí)工業(yè)控制中的時(shí)效性的問題。

　　工業(yè)以太網(wǎng)中突出的安全問題主要在兩個(gè)環(huán)節(jié)，第一是數(shù)據(jù)在傳遞中的安全問題，第二以太網(wǎng)病毒帶來的網(wǎng)絡(luò)擁塞。

　　2.數(shù)據(jù)在傳遞中的安全問題

　　如何防止數(shù)據(jù)在傳遞途中的竊取，在傳統(tǒng)的以太網(wǎng)絡(luò)中我們預(yù)防數(shù)據(jù)在傳遞途中被竊取常常采用防火墻技術(shù)，加密技術(shù)、入侵檢測技術(shù)和入侵防御技術(shù)來實(shí)現(xiàn)。

　　(1)防火墻技術(shù)由于技術(shù)比較成熟，被廣泛地應(yīng)用在網(wǎng)絡(luò)安全的控制中。防火墻的采用可以有效地進(jìn)行數(shù)據(jù)包的過濾，屏蔽有害攻擊對下一級網(wǎng)絡(luò)的影響。工業(yè)以太網(wǎng)的三層結(jié)構(gòu)，將控制層和管理層連接起來，上下網(wǎng)段使用相同的協(xié)議，需要用兩級防火墻隔開。使用一層防火墻防止來自外部的非法訪問，第二級的防火墻用于屏蔽內(nèi)部網(wǎng)絡(luò)的非法訪問和分配不同權(quán)限。

　　(2)在工業(yè)以太網(wǎng)的應(yīng)用中可以采用加密的方式來防止關(guān)鍵信息被竊取。由于工業(yè)控制的實(shí)效性要求往往要注意加密算法的安全性和計(jì)算復(fù)雜性的平衡。加密對象的選擇上往往是對控制信息進(jìn)行加密。加密通常在傳輸層進(jìn)行實(shí)現(xiàn)。加密技術(shù)上我們通常采用端到端的加密方法。加密中采用單鑰系統(tǒng)還是雙鑰系統(tǒng)要根據(jù)系統(tǒng)的實(shí)際情況來確定，前者的安全性相對較差，但效率較高;后者的安全性相對較好，但效率相對較低。我們需要根據(jù)系統(tǒng)實(shí)際的硬件條件選擇合適的系統(tǒng)。同樣道理加密算法的選擇也需要根據(jù)硬件的實(shí)際條件加以選擇。

　　(3)入侵檢測技術(shù)與入侵防御技術(shù)，由于三層統(tǒng)一采用以太網(wǎng)架構(gòu)，使得聯(lián)入因特網(wǎng)傳輸數(shù)據(jù)成為可能，同時(shí)由于國際互聯(lián)網(wǎng)的脆弱性，必須要對網(wǎng)絡(luò)攻擊加以防范，除了上面提到的防火墻外還要有一定的預(yù)防機(jī)制，還必須提到入侵檢側(cè)和入侵防御機(jī)制。因?yàn)榫W(wǎng)絡(luò)環(huán)境中，大量的數(shù)據(jù)記錄的產(chǎn)生使得人工分析數(shù)據(jù)檢測和預(yù)防入侵變得不可行。必須借助入侵檢測和入侵防御工具完成。對攻擊進(jìn)行追蹤分析，數(shù)據(jù)包的進(jìn)行實(shí)時(shí)監(jiān)控。

　　此外，全面的安全還需要由等級用戶認(rèn)證來實(shí)現(xiàn)，從最常見的數(shù)字認(rèn)證文件來實(shí)現(xiàn)對數(shù)據(jù)控制權(quán)的管理，到用戶密碼機(jī)制到硬件鑰匙認(rèn)證，這些都能夠使得數(shù)據(jù)得到安全的保護(hù)。

　　3.處理和預(yù)防病毒，惡意程序帶來的網(wǎng)絡(luò)擁塞

　　工業(yè)以太網(wǎng)用于控制領(lǐng)域，對實(shí)時(shí)性要求比較高。但由于以太網(wǎng)全雙工通信方式，CSMA/CD機(jī)制本身的限制和TCP/IP協(xié)議開放性的特點(diǎn)。病毒破壞計(jì)算機(jī)，阻塞網(wǎng)絡(luò)成為必須要突出考慮的網(wǎng)絡(luò)安全問題?，F(xiàn)階段由于工業(yè)以太網(wǎng)尚未大規(guī)模普及，針對工業(yè)以太網(wǎng)的病毒尚未出現(xiàn)，但是普通病毒帶來的問題同樣不能忽視。如蠕蟲病毒對PC的攻擊，會占用了大量的系統(tǒng)資源導(dǎo)致控制pc不能流暢運(yùn)行，影響到控制命令的傳輸。各種木馬病毒能竊取pc控制機(jī)的管理權(quán)限，對其遠(yuǎn)程控制，共危害性更為嚴(yán)重。某些郵件病毒，不斷地向網(wǎng)內(nèi)外的其它主機(jī)發(fā)包，占據(jù)了網(wǎng)絡(luò)通道，會使正常命令無法傳輸。

　　對于病毒和惡意程序帶來的危害，除了通過傳統(tǒng)的防殺毒工具外，還需加強(qiáng)相關(guān)監(jiān)控管理，當(dāng)大規(guī)模的不正常數(shù)據(jù)包傳送時(shí)，能自動(dòng)控制該計(jì)算機(jī)端口。由此可以嘗試采用目前較為流行的IDS和IPS系統(tǒng)進(jìn)行數(shù)據(jù)的監(jiān)控和管理。

　　(1)IDS是Intrusion Detection System的縮寫，即入侵檢測系統(tǒng)，主要用于檢測病毒和網(wǎng)絡(luò)異常通信，以便網(wǎng)絡(luò)管理員采取相應(yīng)措施。IDS入侵檢測系統(tǒng)能夠察覺黑客的入侵行為并且進(jìn)行記錄和處理。由于當(dāng)病毒爆發(fā)時(shí)，會占用大量的工業(yè)以太網(wǎng)絡(luò)帶寬，使任務(wù)實(shí)時(shí)性執(zhí)行出現(xiàn)問題，IDS入侵檢測系統(tǒng)能夠及時(shí)檢測出這種非法的占用，記錄下病毒發(fā)出的連接，向上層管理計(jì)算機(jī)發(fā)出警告，同時(shí)它不影響整體網(wǎng)絡(luò)的運(yùn)行性能，非常適合工業(yè)以太網(wǎng)的網(wǎng)絡(luò)特點(diǎn)。具體部署可參考圖1:

　　圖1 Ids入侵檢側(cè)服務(wù)器的部署

　　(2)IPS設(shè)各串接于路由器與防火墻，利用IPS能夠快速終結(jié)DoS與DDoS,未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)阻塞，實(shí)現(xiàn)對工業(yè)以太網(wǎng)的防護(hù)，同時(shí)它能保護(hù)防火墻和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊。IPS會在此類網(wǎng)絡(luò)玫擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信，在網(wǎng)絡(luò)中起到防御的作用。

　　具體實(shí)現(xiàn)方式是IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。這種技術(shù)從源頭控制了對工業(yè)以太網(wǎng)的惡意攻擊。具體部署參考圖2.

　　圖2 IPS入侵防御系統(tǒng)

　　4.結(jié)語

　　工業(yè)以太網(wǎng)由于其成木上的優(yōu)勢和良好的開放性和廣泛性，正慢慢進(jìn)入生產(chǎn)領(lǐng)域。做為當(dāng)前工業(yè)控制領(lǐng)域的熱點(diǎn)方向，它吸引了大量的少商介入其領(lǐng)域，但是其特有的性質(zhì)使其容易受到網(wǎng)絡(luò)安全的影響，從而制約其發(fā)展。相信隨著研究的深入，工業(yè)以太網(wǎng)應(yīng)用中的安全問題將逐步得到解決。

（轉(zhuǎn)載）