[轉載]
工業(yè)以太網(wǎng)網(wǎng)絡(luò )應用安全
概述
工業(yè)以太網(wǎng)是當前工業(yè)控制領(lǐng)域的研究熱點(diǎn)��。工業(yè)以太網(wǎng)重點(diǎn)在于利用交換式以太網(wǎng)技術(shù)為控制器和操作站�,各種工作站之間的相互協(xié)調合作提供一種交互機制并和上層信息網(wǎng)絡(luò )無(wú)縫集成����。工業(yè)以太網(wǎng)開(kāi)始在監控層網(wǎng)絡(luò )上逐漸占據主流位置���,正在向現場(chǎng)設備層網(wǎng)絡(luò )滲透��。工業(yè)以太網(wǎng)相對于以往自動(dòng)化技術(shù)有很多優(yōu)勢���,然而事物是相對的���,在我們享受開(kāi)放互聯(lián)技術(shù)進(jìn)步的成果同時(shí)應該對它們存在的隱患和可能帶來(lái)的嚴重后果要有深刻認識�。
特點(diǎn)
雖然脫胎于Intranet���、Internet等類(lèi)型的信息網(wǎng)絡(luò )�����,但是工業(yè)以太網(wǎng)是面向生產(chǎn)過(guò)程����,對實(shí)時(shí)性�、可靠性���、安全性和數據完整性有很高的要求�。既有與信息網(wǎng)絡(luò )相同的特點(diǎn)和安全要求�,也有自己不同于信息網(wǎng)絡(luò )的顯著(zhù)特點(diǎn)和安全要求:
⑴工業(yè)以太網(wǎng)是一個(gè)網(wǎng)絡(luò )控制系統�����,實(shí)時(shí)性要求高���,網(wǎng)絡(luò )傳輸要有確定性����。
⑵整個(gè)企業(yè)網(wǎng)絡(luò )按功能可分為處于管理層的通用以太網(wǎng)和處于監控層的工業(yè)以太網(wǎng)以及現場(chǎng)設備層(如現場(chǎng)總線(xiàn))�����。管理層通用以太網(wǎng)可以與控制層的工業(yè)以太網(wǎng)交換數據���,上下網(wǎng)段采用相同協(xié)議自由通信�����。
⑶工業(yè)以太網(wǎng)中周期與非周期信息同時(shí)存在�,各自有不同的要求�����。周期信息的傳輸通常具有順序性要求�,而非周期信息有優(yōu)先級要求����,如報警信息是需要立即響應的���。
⑷工業(yè)以太網(wǎng)要為緊要任務(wù)提供最低限度的性能保證服務(wù)�����,同時(shí)也要為非緊要任務(wù)提供盡力服務(wù)��,所以工業(yè)以太網(wǎng)同時(shí)具有實(shí)時(shí)協(xié)議也具有非實(shí)時(shí)協(xié)議���。
要求
⑴工業(yè)以太網(wǎng)應該保證實(shí)時(shí)性不會(huì )被破壞����,在商業(yè)應用中�,對實(shí)時(shí)性的要求基本不涉及安全����,而過(guò)程控制對實(shí)時(shí)性的要求是硬性的�,常常涉及生產(chǎn)設備和人員安全��。
⑵當今世界舞臺�,各種競爭異常激烈�。對于很多企業(yè)尤其是掌握領(lǐng)先技術(shù)的企業(yè)����,作為其技術(shù)實(shí)際體現的生產(chǎn)工藝往往是企業(yè)的根本利益�����。一些關(guān)鍵生產(chǎn)過(guò)程的流程工藝乃至運行參數都有可能成為對手竊取的目標����。所以在工業(yè)以太網(wǎng)的數據傳輸中要防止數據被竊取����。
⑶開(kāi)放互聯(lián)是工業(yè)以太網(wǎng)的優(yōu)勢����,遠程的監視����、控制��、調試����、診斷等極大的增強了控制的分布性�、靈活性�����,打破了時(shí)空的限制���,但是對于這些應用必須保證經(jīng)過(guò)授權的合法性和可審查性���。
問(wèn)題分析
⑴在傳統工業(yè)工業(yè)以太網(wǎng)中上下網(wǎng)段使用不同的協(xié)議無(wú)法互操作�����,所以使用一層防火墻防止來(lái)自外部的非法訪(fǎng)問(wèn)���,但工業(yè)以太網(wǎng)將控制層和管理層連接起來(lái)�����,上下網(wǎng)段使用相同的協(xié)議����,具有互操作性�,所以使用兩級防火墻���,第二級的防火墻用于屏蔽內部網(wǎng)絡(luò )的非法訪(fǎng)問(wèn)和分配不同權限合法用戶(hù)的不同授權��。另外還可用根據日志記錄調整過(guò)濾和登錄策略�����。
要采取嚴格的權限管理措施�,可以根據部門(mén)分配權限�����,也可以根據操作分配權限��。由于工廠(chǎng)應用專(zhuān)業(yè)性很強���,進(jìn)行權限管理能有效避免非授權操作����。同時(shí)要對關(guān)鍵性工作站的操作系統的訪(fǎng)問(wèn)加以限制��,采用內置的設備管理系統必須擁有記錄審查功能����,數據庫自動(dòng)記錄設備參數修改事件:誰(shuí)修改����,修改的理由��,修改之前和之后的參數���,從而可以有據可查�。
⑵在工業(yè)以太網(wǎng)的應用中可以采用加密的方式來(lái)防止關(guān)鍵信息竊取�����。主要存在兩種密碼體制:對稱(chēng)密碼體制和非對稱(chēng)密碼體制�。對稱(chēng)密碼體制中加密解密雙方使用相同的密鑰且密鑰保密���,由于在通信之前必須完成密鑰的分發(fā)�,該體制中這一環(huán)節是不安全的��。所以采用非對稱(chēng)密碼體制����,由于工業(yè)以太網(wǎng)發(fā)送的多為周期性的短信息����,所以采用這種加密方式還是比較迅速的�。對于工業(yè)以太網(wǎng)來(lái)說(shuō)是可行的���。還要對外部節點(diǎn)的接入加以防范���。
⑶工業(yè)以太網(wǎng)的實(shí)時(shí)性主要是由以下幾點(diǎn)保證:限制工業(yè)以太網(wǎng)的通信負荷��,采用100M的快速以太網(wǎng)技術(shù)提高帶寬��,采用交換式以太網(wǎng)技術(shù)和全雙工通信方式屏蔽固有的CSMA/CD機制����。隨著(zhù)網(wǎng)絡(luò )的開(kāi)放互連和自動(dòng)化系統大量IT技術(shù)的引入�����,加上TCP/IP協(xié)議本身的開(kāi)放性
和層出不窮的網(wǎng)絡(luò )病毒和攻擊手段���,網(wǎng)絡(luò )安全可以成為影響工業(yè)以太網(wǎng)實(shí)時(shí)性的一個(gè)突出問(wèn)題�����。
1)病毒攻擊
在互聯(lián)網(wǎng)上充斥著(zhù)類(lèi)似Slammer��、“沖擊波”等蠕蟲(chóng)病毒和其它網(wǎng)絡(luò )病毒的襲擊����。以蠕蟲(chóng)病毒為例����,這些蠕蟲(chóng)病毒攻擊的直接目標雖然通常是信息層網(wǎng)絡(luò )的PC機和服務(wù)器����,但是攻擊是通過(guò)網(wǎng)絡(luò )進(jìn)行的��,因此當這些蠕蟲(chóng)病毒大規模爆發(fā)時(shí)�,交換機���、路由器會(huì )首先受到牽連����。用戶(hù)只有通過(guò)重啟交換路由設備�、重新配置訪(fǎng)問(wèn)控制列表才能消除蠕蟲(chóng)病毒對網(wǎng)絡(luò )設備造成的影響��。蠕蟲(chóng)病毒攻擊能夠導致整個(gè)網(wǎng)絡(luò )的路由震蕩�����,這樣可能使上層的信息層網(wǎng)絡(luò )部分流量流入工業(yè)以太網(wǎng)����,加大了它的通信負荷���,影響其實(shí)時(shí)性�。在控制層也存在不少計算機終端連接在工業(yè)以太網(wǎng)交換機�����,一旦終端感染病毒��,病毒發(fā)作即使不能造成網(wǎng)絡(luò )癱瘓��,也可能會(huì )消耗帶寬和交換機資源��。
2) MAC攻擊
工業(yè)以太網(wǎng)交換機通常是二層交換機����,而MAC地址是二層交換機工作的基礎��,網(wǎng)絡(luò )依賴(lài)MAC地址保證數據的正常轉發(fā)�。動(dòng)態(tài)的二層地址表在一定時(shí)間以后(AGE TIME)會(huì )發(fā)生更新�����。如果某端口一直沒(méi)有收到源地址為某一MAC地址的數據包��,那么該MAC地址和該端口的映射關(guān)系就會(huì )失效���。這時(shí)����,交換機收到目的地址為該MAC地址的數據包就會(huì )進(jìn)行泛洪處理��,對交換機的整體性能造成影響����,能導致交換機的查表速度下降�。而且�,假如攻擊者生成大量數據包��,數據包的源MAC地址都不相同��,就會(huì )充滿(mǎn)交換機的MAC地址表空間���,導致真正的數據流到達交換機時(shí)被泛洪出去�����。這種通過(guò)復雜攻擊和欺騙交換機入侵網(wǎng)絡(luò )方式����,已有不少實(shí)例�。一旦表中MAC地址與網(wǎng)絡(luò )段之間的映射信息被破壞��,迫使交換機轉儲自己的MAC地址表��,開(kāi)始失效恢復��,交換機就會(huì )停止網(wǎng)絡(luò )傳輸過(guò)濾�����,它的作用就類(lèi)似共享介質(zhì)設備或集線(xiàn)器����,CSMA/CD機制將重新作用從而影響工業(yè)以太網(wǎng)的實(shí)時(shí)性��。
交換機安全技術(shù)
信息層網(wǎng)絡(luò )采用的交換機安全技術(shù)主要包括以下幾種����。
1) 流量控制技術(shù) ����,把流經(jīng)端口的異常流量限制在一定的范圍內���。
2) 訪(fǎng)問(wèn)控制列表(ACL)技術(shù) ����,ACL通過(guò)對網(wǎng)絡(luò )資源進(jìn)行訪(fǎng)問(wèn)輸入和輸出控制�,確保網(wǎng)絡(luò )設備不被非法訪(fǎng)問(wèn)或被用作攻擊跳板�����。
3) 安全套接層(SSL) 為所有 HTTP流量加密���,允許訪(fǎng)問(wèn)交換機上基于瀏覽器的管理 GUI�。
3) 802.1x和RADIUS 網(wǎng)絡(luò )登錄 控制基于端口的訪(fǎng)問(wèn)�,以進(jìn)行驗證和責任明晰�。
4) 源端口過(guò)濾只允許指定端口進(jìn)行相互通信�。
5) Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數據��,確保IP網(wǎng)絡(luò )上安全的CLI遠程訪(fǎng)問(wèn)���。
6) 安全FTP 實(shí)現與交換機之間安全的文件傳輸��,避免不需要的文件下載或未授權的交換機配置文件復制����。
不過(guò)�,應用這些安全功能仍然存在很多實(shí)際問(wèn)題�,例如交換機的流量控制功能只能對經(jīng)過(guò)端口的各類(lèi)流量進(jìn)行簡(jiǎn)單的速率限制�����,將廣播�����、組播的異常流量限制在一定的范圍內�����,而無(wú)法區分哪些是正常流量���,哪些是異常流量����。同時(shí)����,如何設定一個(gè)合適的閾值也比較困難�。一些交換機具有ACL�,但如果ASIC支持的ACL少仍舊沒(méi)有用�����。一般交換機還不能對非法的ARP(源目的MAC為廣播地址)進(jìn)行特殊處理�����。網(wǎng)絡(luò )中是否會(huì )出現路由欺詐�����、生成樹(shù)欺詐的攻擊���、802.1x的DoS攻擊���、對交換機網(wǎng)管系統的DoS攻擊等�����,都是交換機面臨的潛在威脅���。
在控制層�,工業(yè)以太網(wǎng)交換機�����,一方面可以借鑒這些安全技術(shù)����,但是也必須意識到工業(yè)以太網(wǎng)交換機主要用于數據包的快速轉發(fā)���,強調轉發(fā)性能以提高實(shí)時(shí)性���。應用這些安全技術(shù)時(shí)將面臨實(shí)時(shí)性和成本的很大困難�,以太網(wǎng)的應用和設計主要是基于工程實(shí)踐和經(jīng)驗�����,網(wǎng)絡(luò )上主要是控制系統與操作站�、優(yōu)化系統工作站�、先進(jìn)控制工作站�����、數據庫服務(wù)器等設備之間的數據傳輸��,網(wǎng)絡(luò )負荷平穩��,具有一定的周期性���。但是��,隨著(zhù)系統集成和擴展的需要���、IT技術(shù)在自動(dòng)化系統組件的大力應用���、B/S監控方式的普及等等�����,對網(wǎng)絡(luò )安全因素下的可用性研究已經(jīng)十分必要�,例如猝發(fā)流量下的工業(yè)以太網(wǎng)交換機的緩沖區容量問(wèn)題以及從全雙工交換方式轉變成共享方式對已有網(wǎng)絡(luò )性能的影響����。所以�,另一方面���,工業(yè)以太網(wǎng)必須從自身體系結構入手���,加以應對�����。
|
