基于ＴＣＰ／ＩＰ的制造自動化網絡安全問題研究

摘要：隨著時間的推移，已經證明，TCP/IP是制造自動化環境中主機之間傳輸數據與控制信息的一種可靠方法。TCP/IP已經使得制造工廠擴大了它們的自動化范圍，這在十幾年前是不能想象的。本文論述了一些方法，采用這些方法某些對制造自動化網絡安全問題的影響就可以降低到最低程度。

關鍵詞：自動化網絡；TCP/IP；管理控制；系統集成；計算機集成制造

1引言

DCS、PLC以及過程信息軟件的設計人員已經利用TCP/IP協議作為制造系統環境中采集和分發信息的通用方法。自從TCP/IP產生以來，大量的工作時間用于TCP/IP的不斷改進中，形成了今天的強大勢力。

然而，TCP/IP不是沒有缺點的，隨著網絡系統的相互可操作性被設計的容易一些，TCP/IP和基于TCP/IP的服務就存在著一些重大的安全隱患。實現TCP/IP網絡時常常沒有適當地考慮這些潛在的危險。

當TCP/IP用于制造自動化環境的時候，安全易損性問題就顯得格外突出。服務質量和端對端可靠性是大多數制造自動化環境的最重要需求。TCP/IP協議的可靠性受到多方面因素的影響（例如網絡負載），這對于網絡完整性來說是重要的潛在危險。

2 制定安全策略

制造自動化網絡的安全策略應該以用法研究的結果為基礎。安全策略至少應該包括下列這些問題。

利用制造信息資源所涉及到的所有的基本原理。安全策略應該形成兩種態度中的一個，或是自由的（即任何訪問都允許除非明確禁止）或是保守的（即任何訪問都被禁止除非明確允許）。 特許利用來自制造自動化網絡本身以外的信息資源的類型和方法。特許利用來自制造自動化網絡內的信息資源的類型和方法。這個方面的策略與網絡本身的系統和設備要進行對話的方式有關。

2 特許使用來自制造自動化網絡內的外部地址的類型和方法。

制定安全策略似乎是一種墨守成規的形式，然而，在實際中，安全策略可以為許多網絡設計決策提供很多必要的正當理由。相反，在沒有安全策略的情況下，網絡設計變得徒然地苛刻。

3對TCP/IP制造自動化網絡的威脅

對制造自動化網絡安全和完整性的威脅一般可以歸納成下列幾類。

3.1 對特許用戶的服務的否定

對制造自動化網絡的最大威脅是對適時服務的否定，這可能是由設備的不利組態或故障、網絡加載或主動破壞造成的。在制造自動化環境中，服務被否定的危險明顯存在著：數據連接被拒絕，控制傳輸被拒絕，以及由于操作人員界面的存在，妨礙了對制造過程的積極管理。

3.2 對非特許用戶的服務的實現

對制造自動化網絡的另一個潛在威脅就是存在著非特許的個人或計算機可能獲得對網絡資源的非法訪問的可能性。這種服務的實現就存在著一些反面的影響，包括商業機密的可能泄露和網絡內數據流和控制流的惡化。結果是合法的請求不能得到響應。

證明系統的存在是破壞者成功（即實現了對任何特定服務的非許可訪問）的概率中的一個關鍵因素。證明系統存在，破壞就不易成功。在制造自動化環境中廣泛使用的服務當中，幾乎沒有人使用以保證僅為合法用戶服務的強有力的證明機制。

基于TCP和UDP這兩者之上的較高層應用協議對缺少證明機制是敏感的。應用協議如果不實現某種類型的證明機制，了解該協議的任何主機都能夠提出服務請求，包括把數據寫進過程控制設備的請求。這種情況可能發生在反映生產系統結構的開發系統的環境中。在這種環境中，非特許的東西就能夠扦入控制信號和指定點，直接進入制造系統。結果，操作人員的安全和生產質量就面臨嚴重的危險。

3.3 通信的改變或截斷

一個潛在的有更大危害的威脅是制造自動化網絡的對話被第三者竊聽或修改。這種威脅的主要危險是專有信息（例如：方案、生產率、制造過程技術）的泄露。或許，來自該威脅的最可怕的危險是合法通信被修改的可能性，而被修改的信息后來用作工作決策或規劃決策的基礎，大大地影響著生產質量、工廠效率或操作人員的安全。

通信截斷可能在許多方面被執行。如更改信息的方向，引起網絡上的主機在網絡對話期間改變它們發送報文包的地址。

對截斷對話感興趣的破壞者可能會利用某一個方法設置中繼。一個中繼破壞可能發生在網絡中任何地方，甚至是距離制造自動化網絡很遠的位置。中繼機器能夠實時調節通信量或記錄用于日后分析的報文包。中繼機器也能夠改變被傳輸的通信內容。

截斷通信的第三種方法包括使用一種被動包監控器（常常稱為“包取樣器”）。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網絡信息。

4 通過網絡設計對抗威脅

在制造自動化環境中，對抗上述威脅最有用的技術包括以下幾方面。

4.1 通過簡單的IP路由選擇實現網絡分段

分段就是把一些網絡主機分隔成實現獨立網絡通訊的功能上的子群，然后通過使用簡單的路由器把它們互聯起來。在一個分段的結構中，網絡的每一個分段部分處于不同的IP子網中，而且子網中的通信永遠不會離開該分段部分。分段的設計是簡單的，對于網絡上的主機基本上是透明的。

分段在對抗由于網絡加載或結構錯誤而造成的整個網絡范圍內的服務否定問題是一種普通意義上的方法。網絡的實際分段可以有助于限制包取樣器被成功配置的位置的數量。

雖然獨立分段確實排除了大部分基于廣播的破 壞，但是，它不能防御通過直接方法獲得服務的非法活動。確保在分段設計中使用的IP路由器的正確結構是非常重要的。

4.2 采用路由器訪問控制實現分段

對上面描述的分段結構技術增加路由器訪問控制技術，以增加維護與潛在的用戶使用不便為代價增強了整個網絡的安全性。“訪問控制”是一種方法，借助這個方法通過路由選擇設備的通信就被限制于特定的主機。采用訪問控制，網絡管理人員就可以實現一種更謹慎的安全策略，即允許主機在自己所在分段的外面進行或響應網絡對話。

大多數IP路由器支持訪問控制的概念，而且能夠把它應用到獨立的主機或整個子網。當訪問控制被加到子網層，則路由器被連接，從IP地址的特定范圍到另一段都允許通信。使用訪問控制的路由器必須被精心連接。

這種控制能夠保護制造自動化網絡免于獲得非特許服務的企圖，因為這種控制有意識地限制能夠產生服務請求的區域。如果訪問控制僅僅被應用在子網，它就不能防止來自特定子網中的主機的隨機服務請求，那么，上面描述的數據惡化的危險仍然會出現。如果訪問控制被擴大到具體的主機，那么，數據意外惡化的危險就可以進一步減少。若訪問控制層和分段都使用的話，就可以把危險降低到更小。這樣就對過程數據通信提供了一種高層保護。

如果訪問控制應用到整個網絡，它就會減少通過遠距離基于中繼的破壞使分段之間對話被截斷的危險。

4.3 包過濾

包過濾擴展了訪問控制的概念。對于一個網絡附加包過濾性能，進一步增加了管理的工作量，但是增強了管理人員精確控制信息通過制造自動化網絡傳輸的能力。當路由器增加了過濾性能以后，準確地知道網絡操作中所使用的協議類型和通道數目是重要的。

4.4 防火墻

防火墻是把分段、訪問控制、包過濾應用到一個網絡的設計技術，是防止一個或多個網絡免受其它網絡影響的協調的方法。防火墻是謹慎安全策略的主要表示。因為在任何網絡通信被允許之前，管理人員必須采取特定的行動。防火墻的典型應用是把整個工廠或機構的聯網系統與“外界”隔離，“外界”可以定義為企業范圍網絡的余部，也可以是全球Internet。

結束語

通過分析基于TCP/IP制造自動化網絡中期待的通信，考慮機構的安全策略，就有可能設計出一個使數據惡化和被竊取的危險降至最低程度的網絡拓撲結構。在制造工廠和外部世界之間設置防火墻，在工廠內部實現分段網絡、訪問控制網絡就能夠提供網絡管理者，防御無意的或有敵意的破壞。