工業(yè)以太網(wǎng)是指將不同地理位置的功能相對(duì)獨(dú)立的計(jì)算機(jī)系統(tǒng)和現(xiàn)場(chǎng)設(shè)備互相連接起來(lái),利用功能比較完善的網(wǎng)絡(luò)軟件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)資源共享和信息交換的控制網(wǎng)絡(luò)。出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁,導(dǎo)致網(wǎng)絡(luò)信息的安全包括一些重要數(shù)據(jù)的安全,逐漸成為政府、企業(yè)和個(gè)人的關(guān)注的焦點(diǎn),與自身利益有著休戚相關(guān)的關(guān)系。下面將就工業(yè)以太網(wǎng)的安全防護(hù)問(wèn)題進(jìn)行分析和討論。
一、影響網(wǎng)絡(luò)安全的因素和入侵手段
1.影響網(wǎng)絡(luò)安全的幾個(gè)主要因素
日益嚴(yán)重的網(wǎng)絡(luò)信息安全問(wèn)題,不僅使利用工業(yè)以太網(wǎng)絡(luò)進(jìn)行生產(chǎn)的企業(yè)和單位蒙受了很大的經(jīng)濟(jì)上的損失,在一些國(guó)有企業(yè)中的工業(yè)以太網(wǎng)信息上包含有涉及國(guó)家級(jí)別的重要信息,所以有時(shí)還嚴(yán)重威脅到了國(guó)家的安全和主權(quán)問(wèn)題。為了避免網(wǎng)絡(luò)信息安全出現(xiàn)問(wèn)題,必須要清楚引發(fā)這一安全問(wèn)題的諸多因素,影響網(wǎng)絡(luò)安全的因素很多,包括很多自然的因素,也包括很多人為的因素。其中尤以人為的因素危害比較大。可以綜合起來(lái)歸結(jié)一下,主要有以下影響方面構(gòu)成了對(duì)工業(yè)以太網(wǎng)絡(luò)的威脅。
1.1 人為的操作失誤
操作人員的一些無(wú)意的行為,比如:口令的丟失、操作不合法、不合理的資源訪問(wèn)控制、管理員不當(dāng)?shù)陌踩渲靡约坝捎谑韬龆鴮?dǎo)致不應(yīng)進(jìn)入網(wǎng)絡(luò)的人進(jìn)入了網(wǎng)絡(luò)竊取信息等都造成了對(duì)網(wǎng)絡(luò)系統(tǒng)的極大破壞;
1.2 電腦病毒的感染
病毒可以利用網(wǎng)絡(luò)進(jìn)行迅速的傳播,它可以比較容易的通過(guò)代理服務(wù)器就能以軟件的形式進(jìn)行下載,還可以以郵件接收的形式等進(jìn)入工業(yè)網(wǎng)絡(luò),然后對(duì)網(wǎng)絡(luò)進(jìn)行非法攻擊,進(jìn)而造成了比較嚴(yán)重的后果和損失;
1.3 來(lái)自工業(yè)以太網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊
來(lái)自以太網(wǎng)絡(luò)內(nèi)部的攻擊是指在局域網(wǎng)的內(nèi)部進(jìn)行的,一些非法用戶能夠冒充合法用戶,并使用合法用戶的口令以合法的用戶身份登錄工業(yè)網(wǎng)站,進(jìn)而竊取商業(yè)的機(jī)密信息威者篡改其中重要的信息內(nèi)容,破壞了應(yīng)用系統(tǒng)的正常運(yùn)行,另外,系統(tǒng)中出現(xiàn)的漏洞,一些機(jī)密資料信息的存儲(chǔ)和傳輸都是引起網(wǎng)絡(luò)安全問(wèn)題的一個(gè)重要內(nèi)部因素。
2.工業(yè)網(wǎng)絡(luò)受到外部入侵攻擊的一些形式和手段
隨著計(jì)算機(jī)網(wǎng)絡(luò)傳輸技術(shù)的飛速發(fā)展,黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)傳輸協(xié)議的攻擊和入侵手段與方法也不斷變換著形式,可以說(shuō)只要有傳輸網(wǎng)絡(luò)的存在,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)墓艟蜁?huì)以問(wèn)斷的形式發(fā)生。下面是黑客攻擊計(jì)算機(jī)傳輸網(wǎng)絡(luò)的幾種常見(jiàn)方法;
(1)口令形式的入侵,是指利用某種軟件工具來(lái)打開已經(jīng)被加密過(guò)的口令文件;
(2)利用系統(tǒng)的漏洞實(shí)施攻擊,比如,安全漏洞在很多的操作系統(tǒng)等軟件系統(tǒng)中和硬件系統(tǒng)中普遍存在著,黑客就能夠利用這些漏洞入侵并攻擊計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng);
(3)通過(guò)拒絕服務(wù)的手段實(shí)施網(wǎng)絡(luò)攻擊,即是指利用用戶服務(wù)計(jì)算機(jī)的崩潰狀態(tài)對(duì)服務(wù)器進(jìn)行攻擊,阻止服務(wù)器繼續(xù)提供相應(yīng)的服務(wù)。一般來(lái)講,防止網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題有幾種主要的關(guān)鍵技術(shù),比如,防火墻技術(shù)、入侵檢測(cè)技術(shù)、防護(hù)網(wǎng)關(guān)和加密技術(shù)等。下面就防護(hù)網(wǎng)關(guān)和入侵檢測(cè)兩項(xiàng)技術(shù)在工業(yè)以太網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行介紹。
二、網(wǎng)絡(luò)安全防護(hù)的措施之防護(hù)網(wǎng)關(guān)技術(shù)
(1)pSafetyLink網(wǎng)關(guān)的整體架構(gòu)介紹
在pSafetyLink網(wǎng)關(guān)內(nèi)部的兩端有兩個(gè)獨(dú)立的主機(jī)系統(tǒng)構(gòu)成,兩個(gè)主機(jī)系統(tǒng)都具有獨(dú)立的運(yùn)算和存儲(chǔ)單元來(lái)實(shí)施計(jì)算和存儲(chǔ)功能,并且能各自獨(dú)立的運(yùn)行各自的操作系統(tǒng)與應(yīng)用系統(tǒng)。其中的一端主機(jī)系統(tǒng)是控制端系統(tǒng)、任務(wù)是接入到SCADA控制網(wǎng)絡(luò),另外一端主機(jī)系統(tǒng)是信息端系統(tǒng),任務(wù)是接入到信息網(wǎng)絡(luò),即外網(wǎng)?刂贫讼到y(tǒng)與信息端系統(tǒng)的主機(jī)能夠分別獨(dú)立的運(yùn)行專用的、高性能的工業(yè)通信軟件,控制端系統(tǒng)提供了多種標(biāo)準(zhǔn)的SCADA通信標(biāo)準(zhǔn)客戶端以及主端的通信功能,比如,OPC Client(支持OPC DA1.0~DA3.0和A E1.0)、IEC60870-5-104Master、Mo dbus Master和DNP3.0 Master等,目的是用來(lái)支持自定義的通信協(xié)議的自由擴(kuò)展,從而實(shí)現(xiàn)對(duì)SCADA系統(tǒng)的接入,并與之進(jìn)行通信的功能。信息端系統(tǒng)主機(jī)則提供給服務(wù)器強(qiáng)大的通信功能,比如,0PC Server、IEC60870-5-104 Slave、Mo dbus Slave和DNP3.0Slave等,目的是用來(lái)支持自定義的通信協(xié)議的自由擴(kuò)展,從而實(shí)現(xiàn)對(duì)多種遠(yuǎn)程系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和數(shù)據(jù)中心系統(tǒng)的接入,并與之進(jìn)行數(shù)據(jù)的交互功能。
(2)pSafetyLink網(wǎng)關(guān)技術(shù)分析—網(wǎng)絡(luò)隔離(PSL)
pSafetyLink網(wǎng)關(guān)的控制端系統(tǒng)主機(jī)與信息端系統(tǒng)主機(jī)之有專用的PSL網(wǎng)絡(luò)隔離傳輸(PSL)技術(shù)來(lái)進(jìn)行功能的實(shí)施和連接。PSL技術(shù)采用的物理層是利用專用的隔離硬件連接構(gòu)成的,而鏈路層和應(yīng)用層則使用私有的通信協(xié)議和加密的傳輸方式進(jìn)行連接通信,PSL技術(shù)借由實(shí)際的物理隔離狀態(tài)和專有的隔離傳輸技術(shù),在此基礎(chǔ)上,對(duì)數(shù)據(jù)實(shí)現(xiàn)了完全的自我定義、自我審查和自我解析等功能,這種傳輸機(jī)制在理論上講具有徹底的不可攻擊性特點(diǎn),進(jìn)而從根本上就防止了不合法數(shù)據(jù)的入侵與通過(guò),保證了控制端系統(tǒng)免遭攻擊和侵入。
三、入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)是IDS(英文全稱即Intrusion Detection Systems)的簡(jiǎn)稱,IDS是保障工業(yè)網(wǎng)絡(luò)安全體系的一種重要的防護(hù)手段,入侵檢測(cè)系統(tǒng)可以解釋成是對(duì)于防火墻的合理和有效的補(bǔ)充,它能夠幫助工業(yè)以太網(wǎng)絡(luò)系統(tǒng)來(lái)對(duì)付來(lái)自網(wǎng)絡(luò)上的各種不合法的訪問(wèn),甚至是惡意攻擊,從而也就對(duì)系統(tǒng)管理員的安全管理能力進(jìn)行了有效的擴(kuò)展,這包括對(duì)安全因素的審計(jì)和監(jiān)視,還有對(duì)進(jìn)攻的識(shí)別和反應(yīng)等,大大的穩(wěn)固了工業(yè)以太網(wǎng)絡(luò)信息的安全基礎(chǔ)結(jié)構(gòu),提高了整體的完整性。IDS是從工業(yè)以太網(wǎng)絡(luò)系統(tǒng)中的一些關(guān)鍵點(diǎn)處進(jìn)行信息的收集工作的,接下來(lái)是對(duì)這些網(wǎng)絡(luò)信息的分析。目的是要查看清楚信息傳輸網(wǎng)絡(luò)中是否存在著違背安全管理策略的非法行為,尋覓將來(lái)可能遭到襲擊的某些顯著跡象。IDS技術(shù)被公認(rèn)為是藏在防火墻后面的第二道安全保障措施,能夠在完全不影響網(wǎng)絡(luò)性能的同時(shí),另外對(duì)信息傳輸網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測(cè),從而能夠提供針對(duì)來(lái)自信息傳輸網(wǎng)絡(luò)的內(nèi)部攻擊,以及誤操作等多種因素造成的侵入實(shí)施實(shí)時(shí)的保護(hù)。
1.入侵檢測(cè)模型結(jié)構(gòu)
下面的通用入侵檢測(cè)模型,又名Denning模型,(如下圖1所示),由6個(gè)主要部分組成:
圖1:入侵檢測(cè)模型
(1)主體,在系統(tǒng)上進(jìn)行活動(dòng)的實(shí)體,比如用戶;
(2)對(duì)象,代表系統(tǒng)資源,比如文件等;
(3)審計(jì)記錄,由六個(gè)元素構(gòu)成即,主體,活動(dòng),對(duì)象,異常條件,資源使用狀況和時(shí)間戳;
(4)活動(dòng)簡(jiǎn)檔,保存主體正;顒(dòng)的相關(guān)信息;
(5)異常記錄,表示發(fā)生異常事件的一些情況;
(6)活動(dòng)規(guī)則,用以判斷有入侵行為時(shí)是否采取措施。
Denning模型的工作原理:因?yàn)槿肭终叩南到y(tǒng)使用模式與正常用戶的不同,所以可以通過(guò)識(shí)別這些異常模式,來(lái)檢測(cè)出攻擊者的入侵情況。
2.入侵檢測(cè)系統(tǒng)的工作原理,現(xiàn)在可以用于實(shí)時(shí)入侵檢測(cè)的工作原理主要有兩種:
2.1 異常檢測(cè)
異常檢測(cè)(英文全稱Anomaly Detection),此項(xiàng)技術(shù)假設(shè)是在這樣的情況下進(jìn)行實(shí)施的,即所有的入侵活動(dòng)都是不同于正常活動(dòng)的,意即異常活動(dòng);诖,如果可以給系統(tǒng)建立起一個(gè)代表系統(tǒng)正常活動(dòng)的獨(dú)特的特征文件的話,那么就能夠利用統(tǒng)計(jì)手段來(lái)對(duì)那些不同于我們已建立的代表系統(tǒng)的特征文件的非法狀態(tài)進(jìn)行統(tǒng)計(jì)計(jì)算。進(jìn)而識(shí)別出入侵的非法企圖。比如,一個(gè)程序員的正;顒(dòng)當(dāng)然是不同與一個(gè)打字員的,因此,根據(jù)他們各自的不同活動(dòng)而建立的特征文件具有雙方用戶與眾不同的獨(dú)特特性,這樣。信息傳輸網(wǎng)絡(luò)的入侵者即使嘗試經(jīng)由正常用戶的身份進(jìn)行登錄,這樣的行為因?yàn)榕c正常用戶的行為并不吻合,所以最終能夠被檢測(cè)出來(lái),并加以制止。
2.2 特征檢測(cè)
特征檢測(cè)(英文全稱Signature-based detection),此項(xiàng)檢測(cè)系統(tǒng)是基于這樣的理論基礎(chǔ)之上的,即可以利用某種特征模式或特征描述方法來(lái)對(duì)已知攻擊進(jìn)行表達(dá)。此項(xiàng)檢測(cè)技術(shù)首先假設(shè)入侵者的非法活動(dòng)能夠用某一種模式來(lái)進(jìn)行表示,而接下來(lái),系統(tǒng)對(duì)主體活動(dòng)進(jìn)行檢測(cè),最終目標(biāo)就是看看是否符合這種模式。
四、小結(jié)
本文探討了與工業(yè)以太網(wǎng)絡(luò)安全的防護(hù)有關(guān)的問(wèn)題,隨著工業(yè)化進(jìn)展的加速和工業(yè)中科技水平的應(yīng)用,會(huì)促使工業(yè)以太網(wǎng)絡(luò)中針對(duì)信息傳輸?shù)陌踩雷o(hù)變得更加完善。本文闡述了影響以太網(wǎng)絡(luò)安全的主要因素和入侵手段,以及重要的針對(duì)以太網(wǎng)絡(luò)安全的防護(hù)措施,希望能夠?qū)M(jìn)一步探討以太網(wǎng)絡(luò)的安全防護(hù)有所幫助。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:工業(yè)以太網(wǎng)的安全問(wèn)題之防護(hù)網(wǎng)關(guān)和入侵檢測(cè)系統(tǒng)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112153486.html