1 工业以太网的特点及安全要求 虽然脱胎于Intranet、Internet等类型的信息网络,但是工业以太网是面向生产过程,对实时性、可靠性、安全性和数据完整性有很高的要求。既有与信息网络相同的特点和安全要求,也有自己不同于信息网络的显著特点和安全要求:
(1)工业以太网是一个网络控制系统,实时性要求高,网络传输要有确定性。
(2)整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工业以太网以及现场设备层(如现场总线)。管理层通用以太网可以与控制层的工业以太网交换数据,上下网段采用相同协议自由通信。
(3)工业以太网中周期与非周期信息同时存在,各自有不同的要求。周期信息的传输通常具有顺序性要求,而非周期信息有优先级要求,如报警信息是需要立即响应的。
(4)工业以太网要为紧要任务提供最低限度的性能保证服务,同时也要为非紧要任务提供尽力服务,所以工业以太网同时具有实时协议也具有非实时协议。
基于以上特点,有如下安全应用要求:
(1)工业以太网应该保证实时性不会被破坏,在商业应用中,对实时性的要求基本不涉及安全,而过程控制对实时性的要求是硬性的,常常涉及生产设备和人员安全。
(2)当今世界舞台,各种竞争异常激烈。对于很多企业尤其是掌握领先技术的企业,作为其技术实际体现的生产工艺往往是企业的根本利益。一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。所以在工业以太网的数据传输中要防止数据被窃取。
(3)开放互联是工业以太网的优势,远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性,打破了时空的限制,但是对于这些应用必须保证经过授权的合法性和可审查性。
2 工业以太网的应用安全问题分析
(1)在传统工业工业以太网中上下网段使用不同的协议无法互操作,所以使用一层防火墙防止来自外部的非法访问,但工业以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,所以使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。另外还可用根据日志记录调整过滤和登录策略。
要采取严格的权限管理措施,可以根据部门分配权限,也可以根据操作分配权限。由于工厂应用专业性很强,进行权限管理能有效避免非授权操作。同时要对关键性工作站的操作系统的访问加以限制,采用内置的设备管理系统必须拥有记录审查功能,数据库自动记录设备参数修改事件:谁修改,修改的理由,修改之前和之后的参数,从而可以有据可查。
(2)在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。目前主要存在两种密码体制:对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的密钥且密钥保密,由于在通信之前必须完成密钥的分发,该体制中这一环节是不安全的。所以采用非对称密码体制,由于工业以太网发送的多为周期性的短信息,所以采用这种加密方式还是比较迅速的。对于工业以太网来说是可行的。还要对外部节点的接入加以防范。
(3)工业以太网的实时性目前主要是由以下几点保证:限制工业以太网的通信负荷,采用100M的快速以太网技术提高带宽,采用交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入,加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段,网络安全可以成为影响工业以太网实时性的一个突出问题。
1)病毒攻击。在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的袭击。以蠕虫病毒为例,这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流入工业以太网,加大了它的通信负荷,影响其实时性。在控制层也存在不少计算机终端连接在工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成网络瘫痪,也可能会消耗带宽和交换机资源。
2) MAC攻击。工业以太网交换机通常是二层交换机,而MAC地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后(AGE TIME)会发生更新。如果某端口一直没有收到源地址为某一MAC地址的数据包,那么该MAC地址和该端口的映射关系就会失效。这时,交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理,对交换机的整体性能造成影响,能导致交换机的查表速度下降。而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机的MAC地址表空间,导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式,近来已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止网络传输过滤,它的作用就类似共享介质设备或集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
目前信息层网络采用的交换机安全技术主要包括以下几种。流量控制技术 ,把流经端口的异常流量限制在一定的范围内。访问控制列表(ACL)技术 ,ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。 安全套接层(SSL) 为所有 HTTP流量加密,允许访问交换机上基于浏览器的管理 GUI。802.1x和RADIUS 网络登录 控制基于端口的访问,以进行验证和责任明晰。源端口过滤只允许指定端口进行相互通信。Secure Shell (SSHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。安全FTP 实现与交换机之间安全的文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。不过,应用这些安全功能仍然存在很多实际问题,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对非法的ARP(源目的MAC为广播地址)进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等,都是交换机面临的潜在威胁。
在控制层,工业以太网交换机,一方面可以借鉴这些安全技术,但是也必须意识到工业以太网交换机主要用于数据包的快速转发,强调转发性能以提高实时性。应用这些安全技术时将面临实时性和成本的很大困难,目前工业以太网的应用和设计主要是基于工程实践和经验,网络上主要是控制系统与操作站、优化系统工作站、先进控制工作站、数据库服务器等设备之间的数据传输,网络负荷平稳,具有一定的周期性。但是,随着系统集成和扩展的需要、IT技术在自动化系统组件的大力应用、B/S监控方式的普及等等,对网络安全因素下的可用性研究已经十分必要,例如猝发流量下的工业以太网交换机的缓冲区容量问题以及从全双工交换方式转变成共享方式对已有网络性能的影响。所以,另一方面,工业以太网必须从自身体系结构入手,加以应对。
1楼
0
0
回复
(1)工业以太网是一个网络控制系统,实时性要求高,网络传输要有确定性。
(2)整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工业以太网以及现场设备层(如现场总线)。管理层通用以太网可以与控制层的工业以太网交换数据,上下网段采用相同协议自由通信。
(3)工业以太网中周期与非周期信息同时存在,各自有不同的要求。周期信息的传输通常具有顺序性要求,而非周期信息有优先级要求,如报警信息是需要立即响应的。
(4)工业以太网要为紧要任务提供最低限度的性能保证服务,同时也要为非紧要任务提供尽力服务,所以工业以太网同时具有实时协议也具有非实时协议。
基于以上特点,有如下安全应用要求:
(1)工业以太网应该保证实时性不会被破坏,在商业应用中,对实时性的要求基本不涉及安全,而过程控制对实时性的要求是硬性的,常常涉及生产设备和人员安全。
(2)当今世界舞台,各种竞争异常激烈。对于很多企业尤其是掌握领先技术的企业,作为其技术实际体现的生产工艺往往是企业的根本利益。一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。所以在工业以太网的数据传输中要防止数据被窃取。
(3)开放互联是工业以太网的优势,远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性,打破了时空的限制,但是对于这些应用必须保证经过授权的合法性和可审查性。
2 工业以太网的应用安全问题分析
(1)在传统工业工业以太网中上下网段使用不同的协议无法互操作,所以使用一层防火墙防止来自外部的非法访问,但工业以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,所以使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。另外还可用根据日志记录调整过滤和登录策略。
要采取严格的权限管理措施,可以根据部门分配权限,也可以根据操作分配权限。由于工厂应用专业性很强,进行权限管理能有效避免非授权操作。同时要对关键性工作站的操作系统的访问加以限制,采用内置的设备管理系统必须拥有记录审查功能,数据库自动记录设备参数修改事件:谁修改,修改的理由,修改之前和之后的参数,从而可以有据可查。
(2)在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。目前主要存在两种密码体制:对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的密钥且密钥保密,由于在通信之前必须完成密钥的分发,该体制中这一环节是不安全的。所以采用非对称密码体制,由于工业以太网发送的多为周期性的短信息,所以采用这种加密方式还是比较迅速的。对于工业以太网来说是可行的。还要对外部节点的接入加以防范。
(3)工业以太网的实时性目前主要是由以下几点保证:限制工业以太网的通信负荷,采用100M的快速以太网技术提高带宽,采用交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入,加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段,网络安全可以成为影响工业以太网实时性的一个突出问题。
1)病毒攻击。在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的袭击。以蠕虫病毒为例,这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流入工业以太网,加大了它的通信负荷,影响其实时性。在控制层也存在不少计算机终端连接在工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成网络瘫痪,也可能会消耗带宽和交换机资源。
2) MAC攻击。工业以太网交换机通常是二层交换机,而MAC地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。动态的二层地址表在一定时间以后(AGE TIME)会发生更新。如果某端口一直没有收到源地址为某一MAC地址的数据包,那么该MAC地址和该端口的映射关系就会失效。这时,交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理,对交换机的整体性能造成影响,能导致交换机的查表速度下降。而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机的MAC地址表空间,导致真正的数据流到达交换机时被泛洪出去。这种通过复杂攻击和欺骗交换机入侵网络方式,近来已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止网络传输过滤,它的作用就类似共享介质设备或集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
目前信息层网络采用的交换机安全技术主要包括以下几种。流量控制技术 ,把流经端口的异常流量限制在一定的范围内。访问控制列表(ACL)技术 ,ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。 安全套接层(SSL) 为所有 HTTP流量加密,允许访问交换机上基于浏览器的管理 GUI。802.1x和RADIUS 网络登录 控制基于端口的访问,以进行验证和责任明晰。源端口过滤只允许指定端口进行相互通信。Secure Shell (SSHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。安全FTP 实现与交换机之间安全的文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。不过,应用这些安全功能仍然存在很多实际问题,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。一般交换机还不能对非法的ARP(源目的MAC为广播地址)进行特殊处理。网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等,都是交换机面临的潜在威胁。
在控制层,工业以太网交换机,一方面可以借鉴这些安全技术,但是也必须意识到工业以太网交换机主要用于数据包的快速转发,强调转发性能以提高实时性。应用这些安全技术时将面临实时性和成本的很大困难,目前工业以太网的应用和设计主要是基于工程实践和经验,网络上主要是控制系统与操作站、优化系统工作站、先进控制工作站、数据库服务器等设备之间的数据传输,网络负荷平稳,具有一定的周期性。但是,随着系统集成和扩展的需要、IT技术在自动化系统组件的大力应用、B/S监控方式的普及等等,对网络安全因素下的可用性研究已经十分必要,例如猝发流量下的工业以太网交换机的缓冲区容量问题以及从全双工交换方式转变成共享方式对已有网络性能的影响。所以,另一方面,工业以太网必须从自身体系结构入手,加以应对。