当前位置:首页 > 嵌入式 > 嵌入式硬件
[导读]1简介工业以太网及存在的安全问题企业信息化网络可分为三个层次。从下到上依次为现场设备层、过程监控层和信息管理层。最上层的是企业信息管理网络,它主要用于企业的生产调

1简介工业以太网及存在的安全问题

企业信息化网络可分为三个层次。从下到上依次为现场设备层、过程监控层和信息管理层。最上层的是企业信息管理网络,它主要用于企业的生产调度,财务、人事以及企业的经营管理等方面信息的传输;中间的过程网络主要用于将的现场信息置入实时数据库,实现现场数据的存储、管理、查询的等基本的功能;底层的现场设备层网络则主要用于控制系统中大量现场设备之间测量一与控制信息的传输。其中底层现场设备对通信响应的实时性和确定性要求较高,因此目前现场设备网络主要由现场总线低速网段组成。

传统工业控制网络由于其技术陈旧及其三协议不统一,导致不便于通讯的特点,在许多场合已经不能满足现实的需要。同时由于以太网技术在民用领域的广泛应用,己经在过程控制领域中上层的信息管理与通信中得到大规模的应用,并且效果良好,现在有逐步进入底层现场设备的趋势.

相对于传统的专有网,工业以太网的开放性给它带来了一些数据安全方面的问题。这其中包括自身稳定性,协议的漏洞造成的资料保密性等问题以及实时工业控制中的时效性的问题。

工业以太网中突出的安全问题主要在两个环节,第一是数据在传递中的安全问题,第二以太网病毒带来的网络拥塞。

2数据在传递中的安全问题

如何防止数据在传递途中的窃取,在传统的以太网络中我们预防数据在传递途中被窃取常常采用防火墙技术,加密技术、入侵检测技术和入侵防御技术来实现。

(1)防火墙技术由于技术比较成熟,被广泛地应用在网络安全的控制中。防火墙的采用可以有效地进行数据包的过滤,屏蔽有害攻击对下一级网络的影响。工业以太网的三层结构,将控制层和管理层连接起来,上下网段使用相同的协议,需要用两级防火墙隔开。使用一层防火墙防止来自外部的非法访问,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限。

(2)在工业以太网的应用中可以采用加密的方式来防止关键信息被窃取。由于工业控制的实效性要求往往要注意加密算法的安全性和计算复杂性的平衡。加密对象的选择上往往是对控制信息进行加密。加密通常在传输层进行实现。加密技术上我们通常采用端到端的加密方法。加密中采用单钥系统还是双钥系统要根据系统的实际情况来确定,前者的安全性相对较差,但效率较高;后者的安全性相对较好,但效率相对较低。我们需要根据系统实际的硬件条件选择合适的系统。同样道理加密算法的选择也需要根据硬件的实际条件加以选择。

(3)入侵检测技术与入侵防御技术,由于三层统一采用以太网架构,使得联入因特网传输数据成为可能,同时由于国际互联网的脆弱性,必须要对网络攻击加以防范,除了上面提到的防火墙外还要有一定的预防机制,还必须提到入侵检侧和入侵防御机制。因为网络环境中,大量的数据记录的产生使得人工分析数据检测和预防入侵变得不可行。必须借助入侵检测和入侵防御工具完成。对攻击进行追踪分析,数据包的进行实时监控。

此外,全面的安全还需要由等级用户认证来实现,从最常见的数字认证文件来实现对数据控制权的管理,到用户密码机制到硬件钥匙认证,这些都能够使得数据得到安全的保护。

3处理和预防病毒,恶意程序带来的网络拥塞

工业以太网用于控制领域,对实时性要求比较高。但由于以太网全双工通信方式,CSMA/CD机制本身的限制和TCP/IP协议开放性的特点。病毒破坏计算机,阻塞网络成为必须要突出考虑的网络安全问题。现阶段由于工业以太网尚未大规模普及,针对工业以太网的病毒尚未出现,但是普通病毒带来的问题同样不能忽视。如蠕虫病毒对PC的攻击,会占用了大量的系统资源导致控制pc不能流畅运行,影响到控制命令的传输。各种木马病毒能窃取pc控制机的管理权限,对其远程控制,共危害性更为严重。某些邮件病毒,不断地向网内外的其它主机发包,占据了网络通道,会使正常命令无法传输。

对于病毒和恶意程序带来的危害,除了通过传统的防杀毒工具外,还需加强相关监控管理,当大规模的不正常数据包传送时,能自动控制该计算机端口。由此可以尝试采用目前较为流行的IDS和IPS系统进行数据的监控和管理。

(1)IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测病毒和网络异常通信,以便网络管理员采取相应措施。IDS入侵检测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时,会占用大量的工业以太网络带宽,使任务实时性执行出现问题,IDS入侵检测系统能够及时检测出这种非法的占用,记录下病毒发出的连接,向上层管理计算机发出警告,同时它不影响整体网络的运行性能,非常适合工业以太网的网络特点。具体部署可参考图1:

 

 

(2)IPS设各串接于路由器与防火墙,利用IPS能够快速终结DoS与DDoS,未知的蠕虫、异常应用程序流量攻击所造成的网络阻塞,实现对工业以太网的防护,同时它能保护防火墙和核心交换机等网络设备免遭入侵和攻击。IPS会在此类网络玫击扩散到网络的其它地方之前阻止这个恶意的通信,在网络中起到防御的作用。

具体实现方式是IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。这种技术从源头控制了对工业以太网的恶意攻击。具体部署参考图2.

图2 IPS入侵防御系统

4结语

工业以太网由于其成木上的优势和良好的开放性和广泛性,正慢慢进入生产领域。做为当前工业控制领域的热点方向,它吸引了大量的少商介入其领域,但是其特有的性质使其容易受到网络安全的影响,从而制约其发展。相信随着研究的深入,工业以太网应用中的安全问题将逐步得到解决。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭