欢迎来到学术参考网

基于TCP/IP的制造自动化网络安全问题研究

发布时间:2015-07-09 11:03
摘要:随着时间的推移,已经证明,TCP/IP是制造自动化环境中主机之间传输数据与控制信息的一种可靠方法。TCP/IP已经使得制造工厂扩大了它们的自动化范围,这在十几年前是不能想象的。本文论述了一些方法,采用这些方法某些对制造自动化网络安全问题的影响就可以降低到最低程度。
  关键词:自动化网络、TCP/IP、管理控制、系统集成、计算机集成制造
  一、引言
  DCS、PLC以及过程信息软件的设计人员已经利用TCP/IP协议作为制造系统环境中采集和分发信息的通用方法。自从TCP/IP产生以来,大量的工作时间用于TCP/IP的不断改进中,形成了今天的强大势力。
  然而,TCP/IP不是没有缺点的,随着网络系统的相互可操作性被设计的容易一些,TCP/IP和基于TCP/IP的服务就存在着一些重大的安全隐患。实现TCP/IP网络时常常没有适当地考虑这些潜在的危险。
  当TCP/IP用于制造自动化环境的时候,安全易损性问题就显得格外突出。服务质量和端对端可靠性是大多数制造自动化环境的最重要需求。TCP/IP协议的可靠性受到多方面因素的影响(例如网络负载),这对于网络完整性来说是重要的潜在危险。
  二、制定安全策略
  制造自动化网络的安全策略应该以用法研究的结果为基础。安全策略至少应该包括下列这些问题。
  l 利用制造信息资源所涉及到的所有的基本原理。
  l 安全策略应该形成两种态度中的一个,或是自由的(即任何访问都允许除非明确禁止)或是保守的(即任何访问都被禁止除非明确允许)。
  l 特许利用来自制造自动化网络本身以外的信息资源的类型和方法。
  l 特许利用来自制造自动化网络内的信息资源的类型和方法。这个方面的策略与网络本身的系统和设备要进行对话的方式有关。
  l 特许使用来自制造自动化网络内的外部地址的类型和方法。
  制定安全策略似乎是一种墨守成规的形式,然而,在实际中,安全策略可以为许多网络设计决策提供很多必要的正当理由。相反,在没有安全策略的情况下,网络设计变得徒然地苛刻。
  三、对TCP/IP制造自动化网络的威胁
  对制造自动化网络安全和完整性的威胁一般可以归纳成下列几类。
  3.1 对特许用户的服务的否定
  对制造自动化网络的最大威胁是对适时服务的否定,这可能是由设备的不利组态或故障、网络加载或主动破坏造成的。在制造自动化环境中,服务被否定的危险明显存在着:数据连接被拒绝,控制传输被拒绝,以及由于操作人员界面的存在,妨碍了对制造过程的积极管理。
  3.2 对非特许用户的服务的实现
  对制造自动化网络的另一个潜在威胁就是存在着非特许的个人或计算机可能获得对网络资源的非法访问的可能性。这种服务的实现就存在着一些反面的影响,包括商业机密的可能泄露和网络内数据流和控制流的恶化。结果是合法的请求不能得到响应。
  证明系统的存在是破坏者成功(即实现了对任何特定服务的非许可访问)的概率中的一个关键因素。证明系统存在,破坏就不易成功。在制造自动化环境中广泛使用的服务当中,几乎没有人使用以保证仅为合法用户服务的强有力的证明机制。
  基于TCP和UDP这两者之上的较高层应用协议对缺少证明机制是敏感的。应用协议如果不实现某种类型的证明机制,了解该协议的任何主机都能够提出服务请求,包括把数据写进过程控制设备的请求。这种情况可能发生在反映生产系统结构的开发系统的环境中。在这种环境中,非特许的东西就能够扦入控制信号和指定点,直接进入制造系统。结果,操作人员的安全和生产质量就面临严重的危险。
  3.3 通信的改变或截断
  一个潜在的有更大危害的威胁是制造自动化网络的对话被第三者窃听或修改。这种威胁的主要危险是专有信息(例如:方案、生产率、制造过程技术)的泄露。或许,来自该威胁的最可怕的危险是合法通信被修改的可能性,而被修改的信息后来用作工作决策或规划决策的基础,大大地影响着生产质量、工厂效率或操作人员的安全。

  通信截断可能在许多方面被执行。如更改信息的方向,引起网络上的主机在网络对话期间改变它们发送报文包的地址。
  对截断对话感兴趣的破坏者可能会利用某一个方法设置中继。一个中继破坏可能发生在网络中任何地方,甚至是距离制造自动化网络很远的位置。中继机器能够实时调节通信量或记录用于日后分析的报文包。中继机器也能够改变被传输的通信内容。
  截断通信的第三种方法包括使用一种被动包监控器(常常称为“包取样器”)。包取样器能够以中继破坏的方式向破坏者提供被记录的网络信息。
  四、 通过网络设计对抗威胁
  在制造自动化环境中,对抗上述威胁最有用的技术包括以下几方面。
  4.1 通过简单的IP路由选择实现网络分段
  分段就是把一些网络主机分隔成实现独立网络通讯的功能上的子群,然后通过使用简单的路由器把它们互联起来。在一个分段的结构中,网络的每一个分段部分处于不同的IP子网中,而且子网中的通信永远不会离开该分段部分。分段的设计是简单的,对于网络上的主机基本上是透明的。
  分段在对抗由于网络加载或结构错误而造成的整个网络范围内的服务否定问题是一种普通意义上的方法。网络的实际分段可以有助于限制包取样器被成功配置的位置的数量。
  虽然独立分段确实排除了大部分基于广播的破坏,但是,它不能防御通过直接方法获得服务的非法活动。确保在分段设计中使用的IP路由器的正确结构是非常重要的。
  4.2 采用路由器访问控制实现分段
  对上面描述的分段结构技术增加路由器访问控制技术,以增加维护与潜在的用户使用不便为代价增强了整个网络的安全性。“访问控制”是一种方法,借助这个方法通过路由选择设备的通信就被限制于特定的主机。采用访问控制,网络管理人员就可以实现一种更谨慎的安全策略,即允许主机在自己所在分段的外面进行或响应网络对话。
  大多数IP路由器支持访问控制的概念,而且能够把它应用到独立的主机或整个子网。当访问控制被加到子网层,则路由器被连接,从IP地址的特定范围到另一段都允许通信。使用访问控制的路由器必须被精心连接。
  这种控制能够保护制造自动化网络免于获得非特许服务的企图,因为这种控制有意识地限制能够产生服务请求的区域。如果访问控制仅仅被应用在子网,它就不能防止来自特定子网中的主机的随机服务请求,那么,上面描述的数据恶化的危险仍然会出现。如果访问控制被扩大到具体的主机,那么,数据意外恶化的危险就可以进一步减少。若访问控制层和分段都使用的话,就可以把危险降低到更小。这样就对过程数据通信提供了一种高层保护。
  如果访问控制应用到整个网络,它就会减少通过远距离基于中继的破坏使分段之间对话被截断的危险。
  4.3 包过滤
  包过滤扩展了访问控制的概念。对于一个网络附加包过滤性能,进一步增加了管理的工作量,但是增强了管理人员精确控制信息通过制造自动化网络传输的能力。
  当路由器增加了过滤性能以后,准确地知道网络操作中所使用的协议类型和通道数目是重要的。
  4.4 防火墙
  防火墙是把分段、访问控制、包过滤应用到一个网络的设计技术,是防止一个或多个网络免受其它网络影响的协调的方法。防火墙是谨慎安全策略的主要表示。因为在任何网络通信被允许之前,管理人员必须采取特定的行动。防火墙的典型应用是把整个工厂或机构的联网系统与“外界”隔离,“外界”可以定义为企业范围网络的余部,也可以是全球Internet。
  五、 结束语
  通过分析基于TCP/IP制造自动化网络中期待的通信,考虑机构的安全策略,就有可能设计出一个使数据恶化和被窃取的危险降至最低程度的网络拓扑结构。在制造工厂和外部世界之间设置防火墙,在工厂内部实现分段网络、访问控制网络就能够提供网络管理者,防御无意的或有敌意的破坏。

上一篇:VGA显示与TV显示的区别及转换

下一篇:MWC计算机模糊控制系统