基于ＴＣＰ／ＩＰ協議的自動化網絡安全問題

摘要:眾所周知，如今電腦上因特網都要作TCP/IP協議設置，顯然該協議成了當今地球村“人與人”之間的“牽手協議”。TCP/IP是制造自動化環境中主機之間傳輸數據與控制信息的一種可靠方法。TCP/IP已經使得制造工廠擴大了它們的自動化范圍，本文論述了一些方法，采用這些方法對制造自動化網絡安全問題的影響就可以降低到最低程度。

關鍵詞:自動化網絡TCP/IP管理控制系統集成計算機集成制造

0 引言

TCP/IP(Transmission Control Protocol/Internet Protocol的簡寫)，中文譯名為傳輸控制協議/互聯網絡協議，TCP/IP是Internet最基本的協議，簡單地說，就是由底層的IP協議和TCP協議組成的。雖然IP和TCP這兩個協議的功能不盡相同，也可以分開單獨使用，但它們是在同一時期作為一個協議來設計的，并且在功能上也是互補的。只有兩者結合，才能保證Internet在復雜的環境下正常運行。凡是要連接到Internet的計算機，都必須同時安裝和使用這兩個協議，因此在實際中常把這兩個協議統稱作TCP/IP協議。然而，TCP/IP不是沒有缺點的，當TCP/IP用于制造自動化環境的時候，安全易損性問題就顯得格外突出。TCP/IP協議的可靠性受到多方面因素的影響(例如網絡負載)，這對于網絡完整性來說是重要的潛在危險。

1 網絡安全的結構層次

1.1 物理安全 自然災害，物理損壞，設備故障，意外事故。解決方案是:防護措施，安全制度，數據備份等。電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機而入，痕跡泄露。解決方案是:輻射防護，屏幕口令，隱藏銷毀等。操作失誤，意外疏漏。解決方案是:狀態檢測，報警確認，應急恢復等。計算機系統機房環境的安全。特點是:可控性強，損失也大。解決方案:加強機房管理，運行管理，安全組織和人事管理。

1.2 安全控制 微機操作系統的安全控制。主要用于保護存貯在硬盤上的信息和數據。網絡接口模塊的安全控制，主要包括:身份認證，客戶權限設置與判別，審計日志等。網絡互聯設備的安全控制。主要通過網管軟件或路由器配置實現。

1.3 安全服務對等實體認證服務;訪問控制服務;數據保密服務;數據完整性服務;數據源點認證服務;禁止否認服務。

1.4 安全機制 加密機制;數字簽名機制;訪問控制機制;數據完整性機制;認證機制;信息流填充機制;路由控制機制;公證機制。

2 制定安全策略

制造自動化網絡的安全策略應該以用法研究的結果為基礎。安全策略至少應該包括下列這些問題。

2.1 利用制造信息資源所涉及到的所有的基本原理。

2.2 安全策略應該形成兩種態度中的一個，或是自由的或是保守的。

2.3 特許利用來自制造自動化網絡本身以外的信息資源的類型和方法。

2.4 特許利用來自制造自動化網絡內的信息資源的類型和方法。

2.5 特許使用來自制造自動化網絡內的外部地址的類型和方法。

3 對TCP/IP自動化網絡的威脅

對自動化網絡安全和完整性的威脅一般可以歸納成下列幾類。

3.1 對特許用戶的服務的否定 對制造自動化網絡的最大威脅是對適時服務的否定。在制造自動化環境中，服務被否定的危險明顯存在著:數據連接被拒絕，控制傳輸被拒絕，以及由于操作人員界面的存在，妨礙了對制造過程的積極管理。

3.2 對非特許用戶的服務的實現 基于TCP和UDP這兩者之上的較高層應用協議對缺少證明機制是敏感的。應用協議如果不實現某種類型的證明機制，了解該協議的任何主機都能夠提出服務請求，包括把數據寫進過程控制設備的請求。這種情況可能發生在反映生產系統結構的開發系統的環境中。在這種環境中，非特許的東西就能夠扦入控制信號和指定點，直接進入制造系統。結果，操作人員的安全和生產質量就面臨嚴重的危險。

3.3 通信的改變或截斷 通信截斷可能在許多方面被執行。對截斷對話感興趣的破壞者可能會利用某一個方法設置中繼。一個中繼破壞可能發生在網絡中任何地方，甚至是距離制造自動化網絡很遠的位置。中繼機器能夠實時調節通信量或記錄用于日后分析的報文包。中繼機器也能夠改變被傳輸的通信內容。

截斷通信的第三種方法包括使用一種被動包監控器。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網絡信息。

4 通過網絡設計對抗威脅

4.1 通過簡單的IP路由選擇實現網絡分段 分段就是把一些網絡主機分隔成實現獨立網絡通訊的功能上的子群，然后通過使用簡單的路由器把它們互聯起來。確保在分段設計中使用的IP路由器的正確結構是非常重要的。

4.2 采用路由器訪問控制實現分段 大多數IP路由器支持訪問控制的概念，而且能夠把它應用到獨立的主機或整個子網。當訪問控制被加到子網層，則路由器被連接，從IP地址的特定范圍到另一段都允許通信。使用訪問控制的路由器必須被精心連接。如果訪問控制應用到整個網絡，它就會減少通過遠距離基于中繼的破壞使分段之間對話被截斷的危險。

4.3 包過濾 包過濾擴展了訪問控制的概念。當路由器增加了過濾性能以后，準確地知道網絡操作中所使用的協議類型和通道數目是重要的。它在網絡層截獲網絡數據包，根據防火墻的規則表，來檢測攻擊行為。包過濾防火墻一般作用在網絡層(IP層)，故也稱網絡層防火墻(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網絡層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源端口號、目的端口號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網絡層提供較低級別的安全防護和控制。

4.4 防火墻 所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。

5 結束語

通過分析基于TCP/IP制造自動化網絡中期待的通信，考慮機構的安全策略，就有可能設計出一個使數據惡化和被竊取的危險降至最低程度的網絡拓撲結構。在制造工廠和外部世界之間設置防火墻，在工廠內部實現分段網絡、訪問控制網絡就能夠提供網絡管理者，防御無意的或有敵意的破壞。

參考文獻:

[1]曹成，周健，周紅，王明福.網絡安全與對策.合肥工業大學學報(自然科學版).2007年09期.

[2]秦迎春.TCP/IP協議的隱患及防范.計算機安全.2005年03期.

[3]姚婕，朱磊明.TCP/IP協議脆弱性分析.安徽電子信息職業技術學院學報.2004年21期.

[4]陳鵬，傅豐林.TCP/IP協議安全性分析.電子科技.2005年07期.