基于TCP/IP的制造自动化网络安全问题研究
作者简介:牟连佳,男,1957.11生,副教授,主要研究方向:计算机网络与通信技术在工业控制中的应用。
摘要:随着时间的推移,已经证明,TCP/IP是制造自动化环境中主机之间传输数据与控制信息的一种可靠方法。TCP/IP已经使得制造工厂扩大了它们的自动化范围,这在十几年前是不能想象的。本文论述了一些方法,采用这些方法某些对制造自动化网络安全问题的影响就可以降低到最低程度。
关键词:自动化网络、TCP/IP、管理控制、系统集成、计算机集成制造
一、引言
DCS、PLC以及过程信息软件的设计人员已经利用TCP/IP协议作为制造系统环境中采集和分发信息的通用方法。自从TCP/IP产生以来,大量的工作时间用于TCP/IP的不断改进中,形成了今天的强大势力。
然而,TCP/IP不是没有缺点的,随着网络系统的相互可操作性被设计的容易一些,TCP/IP和基于TCP/IP的服务就存在着一些重大的安全隐患。实现TCP/IP网络时常常没有适当地考虑这些潜在的危险。
当TCP/IP用于制造自动化环境的时候,安全易损性问题就显得格外突出。服务质量和端对端可靠性是大多数制造自动化环境的最重要需求。TCP/IP协议的可靠性受到多方面因素的影响(例如网络负载),这对于网络完整性来说是重要的潜在危险。
二、制定安全策略
制造自动化网络的安全策略应该以用法研究的结果为基础。安全策略至少应该包括下列这些问题。
l 利用制造信息资源所涉及到的所有的基本原理。
l 安全策略应该形成两种态度中的一个,或是自由的(即任何访问都允许除非明确禁止)或是保守的(即任何访问都被禁止除非明确允许)。
l 特许利用来自制造自动化网络本身以外的信息资源的类型和方法。
l 特许利用来自制造自动化网络内的信息资源的类型和方法。这个方面的策略与网络本身的系统和设备要进行对话的方式有关。
l 特许使用来自制造自动化网络内的外部地址的类型和方法。
制定安全策略似乎是一种墨守成规的形式,然而,在实际中,安全策略可以为许多网络设计决策提供很多必要的正当理由。相反,在没有安全策略的情况下,网络设计变得徒然地苛刻。
三、对TCP/IP制造自动化网络的威胁
对制造自动化网络安全和完整性的威胁一般可以归纳成下列几类。
3.1 对特许用户的服务的否定
对制造自动化网络的最大威胁是对适时服务的否定,这可能是由设备的不利组态或故障、网络加载或主动破坏造成的。在制造自动化环境中,服务被否定的危险明显存在着:数据连接被拒绝,控制传输被拒绝,以及由于操作人员界面的存在,妨碍了对制造过程的积极管理。
3.2 对非特许用户的服务的实现
对制造自动化网络的另一个潜在威胁就是存在着非特许的个人或计算机可能获得对网络资源的非法访问的可能性。这种服务的实现就存在着一些反面的影响,包括商业机密的可能泄露和网络内数据流和控制流的恶化。结果是合法的请求不能得到响应。
证明系统的存在是破坏者成功(即实现了对任何特定服务的非许可访问)的概率中的一个关键因素。证明系统存在,破坏就不易成功。在制造自动化环境中广泛使用的服务当中,几乎没有人使用以保证仅为合法用户服务的强有力的证明机制。
基于TCP和UDP这两者之上的较高层应用协议对缺少证明机制是敏感的。应用协议如果不实现某种类型的证明机制,了解该协议的任何主机都能够提出服务请求,包括把数据写进过程控制设备的请求。这种情况可能发生在反映生产系统结构的开发系统的环境中。在这种环境中,非特许的东西就能够扦入控制信号和指定点,直接进入制造系统。结果,操作人员的安全和生产质量就面临严重的危险。
3.3 通信的改变或截断
一个潜在的有更大危害的威胁是制造自动化网络的对话被第三者窃听或修改。这种威胁的主要危险是专有信息(例如:方案、生产率、制造过程技术)的泄露。或许,来自该威胁的最可怕的危险是合法通信被修改的可能性,而被修改的信息后来用作工作决策或规划决策的基础,大大地影响着生产质量、工厂效率或操作人员的安全。
通信截断可能在许多方面被执行。如更改信息的方向,引起网络上的主机在网络对话期间改变它们发送报文包的地址。
对截断对话感兴趣的破坏者可能会利用某一个方法设置中继。一个中继破坏可能发生在网络中任何地方,甚至是距离制造自动化网络很远的位置。中继机器能够实时调节通信量或记录用于日后分析的报文包。中继机器也能够改变被传输的通信内容。
截断通信的第三种方法包括使用一种被动包监控器(常常称为“包取样器”)。包取样器能够以中继破坏的方式向破坏者提供被记录的网络信息。
四、 通过网络设计对抗威胁
在制造自动化环境中,对抗上述威胁最有用的技术包括以下几方面。
4.1 通过简单的IP路由选择实现网络分段
分段就是把一些网络主机分隔成实现独立网络通讯的功能上的子群,然后通过使用简单的路由器把它们互联起来。在一个分段的结构中,网络的每一个分段部分处于不同的IP子网中,而且子网中的通信永远不会离开该分段部分。分段的设计是简单的,对于网络上的主机基本上是透明的。
分段在对抗由于网络加载或结构错误而造成的整个网络范围内的服务否定问题是一种普通意义上的方法。网络的实际分段可以有助于限制包取样器被成功配置的位置的数量。
虽然独立分段确实排除了大部分基于广播的破坏,但是,它不能防御通过直接方法获得服务的非法活动。确保在分段设计中使用的IP路由器的正确结构是非常重要的。
4.2 采用路由器访问控制实现分段
对上面描述的分段结构技术增加路由器访问控制技术,以增加维护与潜在的用户使用不便为代价增强了整个网络的安全性。“访问控制”是一种方法,借助这个 《基于TCP/IP的制造自动化网络安全问题研究》
本文链接地址:http://www.oyaya.net/fanwen/view/166872.html
摘要:随着时间的推移,已经证明,TCP/IP是制造自动化环境中主机之间传输数据与控制信息的一种可靠方法。TCP/IP已经使得制造工厂扩大了它们的自动化范围,这在十几年前是不能想象的。本文论述了一些方法,采用这些方法某些对制造自动化网络安全问题的影响就可以降低到最低程度。
关键词:自动化网络、TCP/IP、管理控制、系统集成、计算机集成制造
一、引言
DCS、PLC以及过程信息软件的设计人员已经利用TCP/IP协议作为制造系统环境中采集和分发信息的通用方法。自从TCP/IP产生以来,大量的工作时间用于TCP/IP的不断改进中,形成了今天的强大势力。
然而,TCP/IP不是没有缺点的,随着网络系统的相互可操作性被设计的容易一些,TCP/IP和基于TCP/IP的服务就存在着一些重大的安全隐患。实现TCP/IP网络时常常没有适当地考虑这些潜在的危险。
当TCP/IP用于制造自动化环境的时候,安全易损性问题就显得格外突出。服务质量和端对端可靠性是大多数制造自动化环境的最重要需求。TCP/IP协议的可靠性受到多方面因素的影响(例如网络负载),这对于网络完整性来说是重要的潜在危险。
二、制定安全策略
制造自动化网络的安全策略应该以用法研究的结果为基础。安全策略至少应该包括下列这些问题。
l 利用制造信息资源所涉及到的所有的基本原理。
l 安全策略应该形成两种态度中的一个,或是自由的(即任何访问都允许除非明确禁止)或是保守的(即任何访问都被禁止除非明确允许)。
l 特许利用来自制造自动化网络本身以外的信息资源的类型和方法。
l 特许利用来自制造自动化网络内的信息资源的类型和方法。这个方面的策略与网络本身的系统和设备要进行对话的方式有关。
l 特许使用来自制造自动化网络内的外部地址的类型和方法。
制定安全策略似乎是一种墨守成规的形式,然而,在实际中,安全策略可以为许多网络设计决策提供很多必要的正当理由。相反,在没有安全策略的情况下,网络设计变得徒然地苛刻。
三、对TCP/IP制造自动化网络的威胁
对制造自动化网络安全和完整性的威胁一般可以归纳成下列几类。
3.1 对特许用户的服务的否定
对制造自动化网络的最大威胁是对适时服务的否定,这可能是由设备的不利组态或故障、网络加载或主动破坏造成的。在制造自动化环境中,服务被否定的危险明显存在着:数据连接被拒绝,控制传输被拒绝,以及由于操作人员界面的存在,妨碍了对制造过程的积极管理。
3.2 对非特许用户的服务的实现
对制造自动化网络的另一个潜在威胁就是存在着非特许的个人或计算机可能获得对网络资源的非法访问的可能性。这种服务的实现就存在着一些反面的影响,包括商业机密的可能泄露和网络内数据流和控制流的恶化。结果是合法的请求不能得到响应。
证明系统的存在是破坏者成功(即实现了对任何特定服务的非许可访问)的概率中的一个关键因素。证明系统存在,破坏就不易成功。在制造自动化环境中广泛使用的服务当中,几乎没有人使用以保证仅为合法用户服务的强有力的证明机制。
基于TCP和UDP这两者之上的较高层应用协议对缺少证明机制是敏感的。应用协议如果不实现某种类型的证明机制,了解该协议的任何主机都能够提出服务请求,包括把数据写进过程控制设备的请求。这种情况可能发生在反映生产系统结构的开发系统的环境中。在这种环境中,非特许的东西就能够扦入控制信号和指定点,直接进入制造系统。结果,操作人员的安全和生产质量就面临严重的危险。
3.3 通信的改变或截断
一个潜在的有更大危害的威胁是制造自动化网络的对话被第三者窃听或修改。这种威胁的主要危险是专有信息(例如:方案、生产率、制造过程技术)的泄露。或许,来自该威胁的最可怕的危险是合法通信被修改的可能性,而被修改的信息后来用作工作决策或规划决策的基础,大大地影响着生产质量、工厂效率或操作人员的安全。
通信截断可能在许多方面被执行。如更改信息的方向,引起网络上的主机在网络对话期间改变它们发送报文包的地址。
对截断对话感兴趣的破坏者可能会利用某一个方法设置中继。一个中继破坏可能发生在网络中任何地方,甚至是距离制造自动化网络很远的位置。中继机器能够实时调节通信量或记录用于日后分析的报文包。中继机器也能够改变被传输的通信内容。
截断通信的第三种方法包括使用一种被动包监控器(常常称为“包取样器”)。包取样器能够以中继破坏的方式向破坏者提供被记录的网络信息。
四、 通过网络设计对抗威胁
在制造自动化环境中,对抗上述威胁最有用的技术包括以下几方面。
4.1 通过简单的IP路由选择实现网络分段
分段就是把一些网络主机分隔成实现独立网络通讯的功能上的子群,然后通过使用简单的路由器把它们互联起来。在一个分段的结构中,网络的每一个分段部分处于不同的IP子网中,而且子网中的通信永远不会离开该分段部分。分段的设计是简单的,对于网络上的主机基本上是透明的。
分段在对抗由于网络加载或结构错误而造成的整个网络范围内的服务否定问题是一种普通意义上的方法。网络的实际分段可以有助于限制包取样器被成功配置的位置的数量。
虽然独立分段确实排除了大部分基于广播的破坏,但是,它不能防御通过直接方法获得服务的非法活动。确保在分段设计中使用的IP路由器的正确结构是非常重要的。
4.2 采用路由器访问控制实现分段
对上面描述的分段结构技术增加路由器访问控制技术,以增加维护与潜在的用户使用不便为代价增强了整个网络的安全性。“访问控制”是一种方法,借助这个 《基于TCP/IP的制造自动化网络安全问题研究》