工业以太网安全性初探

1简介工业以太网及存在的安全问题

企业信息化网络可分为三个层次。从下到上依次为现场设备层、过程监控层和信息管理层。最上层的是企业信息管理网络，它主要用于企业的生产调度，财务、人事以及企业的经营管理等方面信息的传输;中间的过程网络主要用于将的现场信息置入实时数据库，实现现场数据的存储、管理、查询的等基本的功能;底层的现场设备层网络则主要用于控制系统中大量现场设备之间测量一与控制信息的传输。其中底层现场设备对通信响应的实时性和确定性要求较高，因此目前现场设备网络主要由现场总线低速网段组成。

传统工业控制网络由于其技术陈旧及其三协议不统一，导致不便于通讯的特点，在许多场合已经不能满足现实的需要。同时由于以太网技术在民用领域的广泛应用，己经在过程控制领域中上层的信息管理与通信中得到大规模的应用，并且效果良好，现在有逐步进入底层现场设备的趋势.

相对于传统的专有网，工业以太网的开放性给它带来了一些数据安全方面的问题。这其中包括自身稳定性，协议的漏洞造成的资料保密性等问题以及实时工业控制中的时效性的问题。

工业以太网中突出的安全问题主要在两个环节，第一是数据在传递中的安全问题，第二以太网病毒带来的网络拥塞。

2数据在传递中的安全问题

如何防止数据在传递途中的窃取，在传统的以太网络中我们预防数据在传递途中被窃取常常采用防火墙技术，加密技术、入侵检测技术和入侵防御技术来实现。

(1)防火墙技术由于技术比较成熟，被广泛地应用在网络安全的控制中。防火墙的采用可以有效地进行数据包的过滤，屏蔽有害攻击对下一级网络的影响。工业以太网的三层结构，将控制层和管理层连接起来，上下网段使用相同的协议，需要用两级防火墙隔开。使用一层防火墙防止来自外部的非法访问，第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限。

(2)在工业以太网的应用中可以采用加密的方式来防止关键信息被窃取。由于工业控制的实效性要求往往要注意加密算法的安全性和计算复杂性的平衡。加密对象的选择上往往是对控制信息进行加密。加密通常在传输层进行实现。加密技术上我们通常采用端到端的加密方法。加密中采用单钥系统还是双钥系统要根据系统的实际情况来确定，前者的安全性相对较差，但效率较高;后者的安全性相对较好，但效率相对较低。我们需要根据系统实际的硬件条件选择合适的系统。同样道理加密算法的选择也需要根据硬件的实际条件加以选择。

(3)入侵检测技术与入侵防御技术，由于三层统一采用以太网架构，使得联入因特网传输数据成为可能，同时由于国际互联网的脆弱性，必须要对网络攻击加以防范，除了上面提到的防火墙外还要有一定的预防机制，还必须提到入侵检侧和入侵防御机制。因为网络环境中，大量的数据记录的产生使得人工分析数据检测和预防入侵变得不可行。必须借助入侵检测和入侵防御工具完成。对攻击进行追踪分析，数据包的进行实时监控。

此外，全面的安全还需要由等级用户认证来实现，从最常见的数字认证文件来实现对数据控制权的管理，到用户密码机制到硬件钥匙认证，这些都能够使得数据得到安全的保护。

3处理和预防病毒，恶意程序带来的网络拥塞

工业以太网用于控制领域，对实时性要求比较高。但由于以太网全双工通信方式，CSMA/CD机制本身的限制和TCP/IP协议开放性的特点。病毒破坏计算机，阻塞网络成为必须要突出考虑的网络安全问题。现阶段由于工业以太网尚未大规模普及，针对工业以太网的病毒尚未出现，但是普通病毒带来的问题同样不能忽视。如蠕虫病毒对PC的攻击，会占用了大量的系统资源导致控制pc不能流畅运行，影响到控制命令的传输。各种木马病毒能窃取pc控制机的管理权限，对其远程控制，共危害性更为严重。某些邮件病毒，不断地向网内外的其它主机发包，占据了网络通道，会使正常命令无法传输。

对于病毒和恶意程序带来的危害，除了通过传统的防杀毒工具外，还需加强相关监控管理，当大规模的不正常数据包传送时，能自动控制该计算机端口。由此可以尝试采用目前较为流行的IDS和IPS系统进行数据的监控和管理。

(1)IDS是Intrusion Detection System的缩写，即入侵检测系统，主要用于检测病毒和网络异常通信，以便网络管理员采取相应措施。IDS入侵检测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时，会占用大量的工业以太网络带宽，使任务实时性执行出现问题，IDS入侵检测系统能够及时检测出这种非法的占用，记录下病毒发出的连接，向上层管理计算机发出警告