工業(yè)以太網(wǎng)安全性初探
1簡介工業(yè)以太網(wǎng)及存在的安全問題
本文引用地址:http://www.ex-cimer.com/article/201609/303982.htm企業(yè)信息化網(wǎng)絡(luò)可分為三個層次。從下到上依次為現(xiàn)場設(shè)備層、過程監(jiān)控層和信息管理層。最上層的是企業(yè)信息管理網(wǎng)絡(luò),它主要用于企業(yè)的生產(chǎn)調(diào)度,財務(wù)、人事以及企業(yè)的經(jīng)營管理等方面信息的傳輸;中間的過程網(wǎng)絡(luò)主要用于將的現(xiàn)場信息置入實時數(shù)據(jù)庫,實現(xiàn)現(xiàn)場數(shù)據(jù)的存儲、管理、查詢的等基本的功能;底層的現(xiàn)場設(shè)備層網(wǎng)絡(luò)則主要用于控制系統(tǒng)中大量現(xiàn)場設(shè)備之間測量一與控制信息的傳輸。其中底層現(xiàn)場設(shè)備對通信響應(yīng)的實時性和確定性要求較高,因此目前現(xiàn)場設(shè)備網(wǎng)絡(luò)主要由現(xiàn)場總線低速網(wǎng)段組成。
傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)由于其技術(shù)陳舊及其三協(xié)議不統(tǒng)一,導(dǎo)致不便于通訊的特點,在許多場合已經(jīng)不能滿足現(xiàn)實的需要。同時由于以太網(wǎng)技術(shù)在民用領(lǐng)域的廣泛應(yīng)用,己經(jīng)在過程控制領(lǐng)域中上層的信息管理與通信中得到大規(guī)模的應(yīng)用,并且效果良好,現(xiàn)在有逐步進(jìn)入底層現(xiàn)場設(shè)備的趨勢.
相對于傳統(tǒng)的專有網(wǎng),工業(yè)以太網(wǎng)的開放性給它帶來了一些數(shù)據(jù)安全方面的問題。這其中包括自身穩(wěn)定性,協(xié)議的漏洞造成的資料保密性等問題以及實時工業(yè)控制中的時效性的問題。
工業(yè)以太網(wǎng)中突出的安全問題主要在兩個環(huán)節(jié),第一是數(shù)據(jù)在傳遞中的安全問題,第二以太網(wǎng)病毒帶來的網(wǎng)絡(luò)擁塞。
2數(shù)據(jù)在傳遞中的安全問題
如何防止數(shù)據(jù)在傳遞途中的竊取,在傳統(tǒng)的以太網(wǎng)絡(luò)中我們預(yù)防數(shù)據(jù)在傳遞途中被竊取常常采用防火墻技術(shù),加密技術(shù)、入侵檢測技術(shù)和入侵防御技術(shù)來實現(xiàn)。
(1)防火墻技術(shù)由于技術(shù)比較成熟,被廣泛地應(yīng)用在網(wǎng)絡(luò)安全的控制中。防火墻的采用可以有效地進(jìn)行數(shù)據(jù)包的過濾,屏蔽有害攻擊對下一級網(wǎng)絡(luò)的影響。工業(yè)以太網(wǎng)的三層結(jié)構(gòu),將控制層和管理層連接起來,上下網(wǎng)段使用相同的協(xié)議,需要用兩級防火墻隔開。使用一層防火墻防止來自外部的非法訪問,第二級的防火墻用于屏蔽內(nèi)部網(wǎng)絡(luò)的非法訪問和分配不同權(quán)限。
(2)在工業(yè)以太網(wǎng)的應(yīng)用中可以采用加密的方式來防止關(guān)鍵信息被竊取。由于工業(yè)控制的實效性要求往往要注意加密算法的安全性和計算復(fù)雜性的平衡。加密對象的選擇上往往是對控制信息進(jìn)行加密。加密通常在傳輸層進(jìn)行實現(xiàn)。加密技術(shù)上我們通常采用端到端的加密方法。加密中采用單鑰系統(tǒng)還是雙鑰系統(tǒng)要根據(jù)系統(tǒng)的實際情況來確定,前者的安全性相對較差,但效率較高;后者的安全性相對較好,但效率相對較低。我們需要根據(jù)系統(tǒng)實際的硬件條件選擇合適的系統(tǒng)。同樣道理加密算法的選擇也需要根據(jù)硬件的實際條件加以選擇。
(3)入侵檢測技術(shù)與入侵防御技術(shù),由于三層統(tǒng)一采用以太網(wǎng)架構(gòu),使得聯(lián)入因特網(wǎng)傳輸數(shù)據(jù)成為可能,同時由于國際互聯(lián)網(wǎng)的脆弱性,必須要對網(wǎng)絡(luò)攻擊加以防范,除了上面提到的防火墻外還要有一定的預(yù)防機(jī)制,還必須提到入侵檢側(cè)和入侵防御機(jī)制。因為網(wǎng)絡(luò)環(huán)境中,大量的數(shù)據(jù)記錄的產(chǎn)生使得人工分析數(shù)據(jù)檢測和預(yù)防入侵變得不可行。必須借助入侵檢測和入侵防御工具完成。對攻擊進(jìn)行追蹤分析,數(shù)據(jù)包的進(jìn)行實時監(jiān)控。
此外,全面的安全還需要由等級用戶認(rèn)證來實現(xiàn),從最常見的數(shù)字認(rèn)證文件來實現(xiàn)對數(shù)據(jù)控制權(quán)的管理,到用戶密碼機(jī)制到硬件鑰匙認(rèn)證,這些都能夠使得數(shù)據(jù)得到安全的保護(hù)。
3處理和預(yù)防病毒,惡意程序帶來的網(wǎng)絡(luò)擁塞
工業(yè)以太網(wǎng)用于控制領(lǐng)域,對實時性要求比較高。但由于以太網(wǎng)全雙工通信方式,CSMA/CD機(jī)制本身的限制和TCP/IP協(xié)議開放性的特點。病毒破壞計算機(jī),阻塞網(wǎng)絡(luò)成為必須要突出考慮的網(wǎng)絡(luò)安全問題?,F(xiàn)階段由于工業(yè)以太網(wǎng)尚未大規(guī)模普及,針對工業(yè)以太網(wǎng)的病毒尚未出現(xiàn),但是普通病毒帶來的問題同樣不能忽視。如蠕蟲病毒對PC的攻擊,會占用了大量的系統(tǒng)資源導(dǎo)致控制pc不能流暢運行,影響到控制命令的傳輸。各種木馬病毒能竊取pc控制機(jī)的管理權(quán)限,對其遠(yuǎn)程控制,共危害性更為嚴(yán)重。某些郵件病毒,不斷地向網(wǎng)內(nèi)外的其它主機(jī)發(fā)包,占據(jù)了網(wǎng)絡(luò)通道,會使正常命令無法傳輸。
對于病毒和惡意程序帶來的危害,除了通過傳統(tǒng)的防殺毒工具外,還需加強(qiáng)相關(guān)監(jiān)控管理,當(dāng)大規(guī)模的不正常數(shù)據(jù)包傳送時,能自動控制該計算機(jī)端口。由此可以嘗試采用目前較為流行的IDS和IPS系統(tǒng)進(jìn)行數(shù)據(jù)的監(jiān)控和管理。
(1)IDS是Intrusion Detection System的縮寫,即入侵檢測系統(tǒng),主要用于檢測病毒和網(wǎng)絡(luò)異常通信,以便網(wǎng)絡(luò)管理員采取相應(yīng)措施。IDS入侵檢測系統(tǒng)能夠察覺黑客的入侵行為并且進(jìn)行記錄和處理。由于當(dāng)病毒爆發(fā)時,會占用大量的工業(yè)以太網(wǎng)絡(luò)帶寬,使任務(wù)實時性執(zhí)行出現(xiàn)問題,IDS入侵檢測系統(tǒng)能夠及時檢測出這種非法的占用,記錄下病毒發(fā)出的連接,向上層管理計算機(jī)發(fā)出警告,同時它不影響整體網(wǎng)絡(luò)的運行性能,非常適合工業(yè)以太網(wǎng)的網(wǎng)絡(luò)特點。具體部署可參考圖1:
(2)IPS設(shè)各串接于路由器與防火墻,利用IPS能夠快速終結(jié)DoS與DDoS,未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)阻塞,實現(xiàn)對工業(yè)以太網(wǎng)的防護(hù),同時它能保護(hù)防火墻和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊。IPS會在此類網(wǎng)絡(luò)玫擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信,在網(wǎng)絡(luò)中起到防御的作用。
具體實現(xiàn)方式是IPS將檢查入網(wǎng)的數(shù)據(jù)包,確定這種數(shù)據(jù)包的真正用途,然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。這種技術(shù)從源頭控制了對工業(yè)以太網(wǎng)的惡意攻擊。具體部署參考圖2.
圖2 IPS入侵防御系統(tǒng)
4結(jié)語
工業(yè)以太網(wǎng)由于其成木上的優(yōu)勢和良好的開放性和廣泛性,正慢慢進(jìn)入生產(chǎn)領(lǐng)域。做為當(dāng)前工業(yè)控制領(lǐng)域的熱點方向,它吸引了大量的少商介入其領(lǐng)域,但是其特有的性質(zhì)使其容易受到網(wǎng)絡(luò)安全的影響,從而制約其發(fā)展。相信隨著研究的深入,工業(yè)以太網(wǎng)應(yīng)用中的安全問題將逐步得到解決。
評論