今日頭條
官方微信
官方抖音
案例頻道
0 引言
工業以太網是當前工業控制領域的研究熱點。工業以太網重點在于利用交換式以太網技術為控制器和操作站,各種工作站之間的相互協調合作提供一種交互機制并和上層信息網絡無縫集成。目前工業以太網開始在監控層網絡上逐漸占據主流位置,正在向現場設備層網絡滲透。工業以太網相對于以往自動化技術有很多優勢,然而事物是相對的,在我們享受開放互聯技術進步的成果同時應該對它們存在的隱患和可能帶來的嚴重后果要有深刻認識。
1 工業以太網的特點及安全要求
雖然脫胎于Intranet、Internet等類型的信息網絡,但是工業以太網是面向生產過程,對實時性、可靠性、安全性和數據完整性有很高的要求。既有與信息網絡相同的特點和安全要求,也有自己不同于信息網絡的顯著特點和安全要求:
(1)工業以太網是一個網絡控制系統,實時性要求高,網絡傳輸要有確定性。
(2)整個企業網絡按功能可分為處于管理層的通用以太網和處于監控層的工業以太網以及現場設備層(如現場總線)。管理層通用以太網可以與控制層的工業以太網交換數據,上下網段采用相同協議自由通信。
(3)工業以太網中周期與非周期信息同時存在,各自有不同的要求。周期信息的傳輸通常具有順序性要求,而非周期信息有優先級要求,如報警信息是需要立即響應的。
(4)工業以太網要為緊要任務提供最低限度的性能保證服務,同時也要為非緊要任務提供盡力服務,所以工業以太網同時具有實時協議也具有非實時協議。
基于以上特點,有如下安全應用要求:
(1)工業以太網應該保證實時性不會被破壞,在商業應用中,對實時性的要求基本不涉及安全,而過程控制對實時性的要求是硬性的,常常涉及生產設備和人員安全。
(2)當今世界舞臺,各種競爭異常激烈。對于很多企業尤其是掌握領先技術的企業,作為其技術實際體現的生產工藝往往是企業的根本利益。一些關鍵生產過程的流程工藝乃至運行參數都有可能成為對手竊取的目標。所以在工業以太網的數據傳輸中要防止數據被竊取。
(3)開放互聯是工業以太網的優勢,遠程的監視、控制、調試、診斷等極大的增強了控制的分布性、靈活性,打破了時空的限制,但是對于這些應用必須保證經過授權的合法性和可審查性。
2 工業以太網的應用安全問題分析
(1)在傳統工業工業以太網中上下網段使用不同的協議無法互操作,所以使用一層防火墻防止來自外部的非法訪問,但工業以太網將控制層和管理層連接起來,上下網段使用相同的協議,具有互操作性,所以使用兩級防火墻,第二級的防火墻用于屏蔽內部網絡的非法訪問和分配不同權限合法用戶的不同授權。另外還可用根據日志記錄調整過濾和登錄策略。
要采取嚴格的權限管理措施,可以根據部門分配權限,也可以根據操作分配權限。由于工廠應用專業性很強,進行權限管理能有效避免非授權操作。同時要對關鍵性工作站的操作系統的訪問加以限制,采用內置的設備管理系統必須擁有記錄審查功能,數據庫自動記錄設備參數修改事件:誰修改,修改的理由,修改之前和之后的參數,從而可以有據可查。
(2)在工業以太網的應用中可以采用加密的方式來防止關鍵信息竊取。目前主要存在兩種密碼體制:對稱密碼體制和非對稱密碼體制。對稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密,由于在通信之前必須完成密鑰的分發,該體制中這一環節是不安全的。所以采用非對稱密碼體制,由于工業以太網發送的多為周期性的短信息,所以采用這種加密方式還是比較迅速的。對于工業以太網來說是可行的。還要對外部節點的接入加以防范。
(3)工業以太網的實時性目前主要是由以下幾點保證:限制工業以太網的通信負荷,采用100M的快速以太網技術提高帶寬,采用交換式以太網技術和全雙工通信方式屏蔽固有的CSMA/CD機制。隨著網絡的開放互連和自動化系統大量IT技術的引入,加上TCP/IP協議本身的開放性和層出不窮的網絡病毒和攻擊手段,網絡安全可以成為影響工業以太網實時性的一個突出問題。
1)病毒攻擊。在互聯網上充斥著類似Slammer、“沖擊波”等蠕蟲病毒和其它網絡病毒的襲擊。以蠕蟲病毒為例,這些蠕蟲病毒攻擊的直接目標雖然通常是信息層網絡的PC機和服務器,但是攻擊是通過網絡進行的,因此當這些蠕蟲病毒大規模爆發時,交換機、路由器會首先受到牽連。用戶只有通過重啟交換路由設備、重新配置訪問控制列表才能消除蠕蟲病毒對網絡設備造成的影響。蠕蟲病毒攻擊能夠導致整個網絡的路由震蕩,這樣可能使上層的信息層網絡部分流量流入工業以太網,加大了它的通信負荷,影響其實時性。在控制層也存在不少計算機終端連接在工業以太網交換機,一旦終端感染病毒,病毒發作即使不能造成網絡癱瘓,也可能會消耗帶寬和交換機資源。
2) MAC攻擊。工業以太網交換機通常是二層交換機,而MAC地址是二層交換機工作的基礎,網絡依賴MAC地址保證數據的正常轉發。動態的二層地址表在一定時間以后(AGE TIME)會發生更新。如果某端口一直沒有收到源地址為某一MAC地址的數據包,那么該MAC地址和該端口的映射關系就會失效。這時,交換機收到目的地址為該MAC地址的數據包就會進行泛洪處理,對交換機的整體性能造成影響,能導致交換機的查表速度下降。而且,假如攻擊者生成大量數據包,數據包的源MAC地址都不相同,就會充滿交換機的MAC地址表空間,導致真正的數據流到達交換機時被泛洪出去。這種通過復雜攻擊和欺騙交換機入侵網絡方式,近來已有不少實例。一旦表中MAC地址與網絡段之間的映射信息被破壞,迫使交換機轉儲自己的MAC地址表,開始失效恢復,交換機就會停止網絡傳輸過濾,它的作用就類似共享介質設備或集線器,CSMA/CD機制將重新作用從而影響工業以太網的實時性。
目前信息層網絡采用的交換機安全技術主要包括以下幾種。流量控制技術 ,把流經端口的異常流量限制在一定的范圍內。訪問控制列表(ACL)技術 ,ACL通過對網絡資源進行訪問輸入和輸出控制,確保網絡設備不被非法訪問或被用作攻擊跳板。 安全套接層(SSL) 為所有 HTTP流量加密,允許訪問交換機上基于瀏覽器的管理 GUI。802.1x和RADIUS 網絡登錄 控制基于端口的訪問,以進行驗證和責任明晰。源端口過濾只允許指定端口進行相互通信。Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數據,確保IP網絡上安全的CLI遠程訪問。安全FTP 實現與交換機之間安全的文件傳輸,避免不需要的文件下載或未授權的交換機配置文件復制。不過,應用這些安全功能仍然存在很多實際問題,例如交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制,將廣播、組播的異常流量限制在一定的范圍內,而無法區分哪些是正常流量,哪些是異常流量。同時,如何設定一個合適的閾值也比較困難。一些交換機具有ACL,但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP(源目的MAC為廣播地址)進行特殊處理。網絡中是否會出現路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網管系統的DoS攻擊等,都是交換機面臨的潛在威脅。
在控制層,工業以太網交換機,一方面可以借鑒這些安全技術,但是也必須意識到工業以太網交換機主要用于數據包的快速轉發,強調轉發性能以提高實時性。應用這些安全技術時將面臨實時性和成本的很大困難,目前工業以太網的應用和設計主要是基于工程實踐和經驗,網絡上主要是控制系統與操作站、優化系統工作站、先進控制工作站、數據庫服務器等設備之間的數據傳輸,網絡負荷平穩,具有一定的周期性。但是,隨著系統集成和擴展的需要、IT技術在自動化系統組件的大力應用、B/S監控方式的普及等等,對網絡安全因素下的可用性研究已經十分必要,例如猝發流量下的工業以太網交換機的緩沖區容量問題以及從全雙工交換方式轉變成共享方式對已有網絡性能的影響。所以,另一方面,工業以太網必須從自身體系結構入手,加以應對。
3 結語
工業以太網應用的安全問題與商用的信息網絡相比,既有共性又有明顯的差異,在信息網絡上運用很成熟的安全技術和理念沒有考慮工業生產特點,很多不能直接應用于工業以太網。在工業以太網應用時,不能只按控制邏輯和網絡性能來考慮,還要考慮上述因素。
北京市公安局海淀分局備案號:11010802023656號