工业以太网的应用安全问题分析

1、本文格式为Word版，下载可任意编辑工业以太网的应用安全问题分析 （1）在传统工业以太网中上下网段使用不同的协议无法互操作，所以使用一层防火墙防止来自外部的非法访问，但工业以太网将掌握层和管理层连接起来，上下网段使用相同的协议，具有互操作性，所以使用两级防火墙，其次级的防火墙用于屏蔽内部网络的非法访问和安排不同权限合法用户的不同授权。另外还可用依据日志记录调整过滤和登录策略。要实行严格的权限管理措施，可以依据部门安排权限，也可以依据操作安排权限。由于工厂应用专业性很强，进行权限管理能有效避开非授权操作。同时要对关键性工作站的操作系统的访问加以限制，采纳内置的设备管理系统必需拥有记录审查功能，数

2、据库自动记录设备参数修改大事：谁修改，修改的理由，修改之前和之后的参数，从而可以有据可查。 （2）在工业以太网的应用中可以采纳加密的方式来防止关键信息窃取。目前主要存在两种密码体制：对称密码体制和非对称密码体制。对称密码体制中加密解密双方使用相同的密钥且密钥保密，由于在通信之前必需完成密钥的分发，该体制中这一环节是担心全的。所以采纳非对称密码体制，由于工业以太网发送的多为周期性的短信息，所以采纳这种加密方式还是比较快速的。对于工业以太网来说是可行的。还要对外部节点的接入加以防范。 （3）工业以太网的实时性目前主要是由以下几点保证：限制工业以太网的通信负荷，采纳100M的快速以太网技术提高带宽，

3、采纳交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。随着网络的开放互连和自动化系统大量IT技术的引入，加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段，网络平安可以成为影响工业以太网实时性的一个突出问题。 1）病毒攻击。在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的攻击。以蠕虫病毒为例，这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器，但是攻击是通过网络进行的，因此当这些蠕虫病毒大规模爆发时，交换机、路由器会首先受到牵连。用户只有通过重启交换路由设备、重新配置访问掌握列表才能消退蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击能够导

4、致整个网络的路由震荡，这样可能使上层的信息层网络部分流量流入工业以太网专题"工业以太网，加大了它的通信负荷，影响其实时性。在掌握层也存在不少计算机终端连接在工业以太网交换机，一旦终端感染病毒，病毒发作即使不能造成网络瘫痪，也可能会消耗带宽和交换机资源。 2） MAC攻击。工业以太网交换机通常是二层交换机，而MAC地址是二层交换机工作的基础，网络依靠MAC地址保证数据的正常转发。动态的二层地址表在肯定时间以后（AGE TIME）会发生更新。假如某端口始终没有收到源地址为某一MAC地址的数据包，那么该MAC地址和该端口的映射关系就会失效。这时，交换机收到目的地址为该MAC地址的数据包就会

5、进行泛洪处理，对交换机的整体性能造成影响，能导致交换机的查表速度下降。而且，假如攻击者生成大量数据包，数据包的源MAC地址都不相同，就会布满交换机的MAC地址表空间，导致真正的数据流到达交换机时被泛洪出去。这种通过简单攻击和哄骗交换机入侵网络方式，近来已有不少实例。一旦表中MAC地址与网络段之间的映射信息被破坏，迫使交换机转储自己的MAC地址表，开头失效恢复，交换机就会停止网络传输过滤，它的作用就类似共享介质设备或集线器，CSMA/CD机制将重新作用从而影响工业以太网的实时性。 目前信息层网络采纳的交换机平安技术主要包括以下几种。流量掌握技术 ，把流经端口的特别流量限制在肯定的范围内。访问掌握

6、列表(ACL)技术 ，ACL通过对网络资源进行访问输入和输出掌握，确保网络设备不被非法访问或被用作攻击跳板。 平安套接层(SSL) 为全部 HTTP流量加密，允许访问交换机上基于扫瞄器的管理 GUI。802.1x和RADIUS 网络登录 掌握基于端口的访问，以进行验证和责任明晰。源端口过滤只允许指定端口进行相互通信。Secure Shell (SSHv1/SSHv2) 加密传输全部的数据，确保IP网络上平安的CLI远程访问。平安FTP 实现与交换机之间平安的文件传输，避开不需要的文件下载或未授权的交换机配置文件复制。不过，应用这些平安功能仍旧存在许多实际问题，例如交换机的流量掌握功能只能对经过

7、端口的各类流量进行简洁的速率限制，将广播、组播的特别流量限制在肯定的范围内，而无法区分哪些是正常流量，哪些是特别流量。同时，如何设定一个合适的阈值也比较困难。一些交换机具有ACL，但假如ASIC支持的ACL少照旧没有用。一般交换机还不能对非法的ARP（源目的MAC为广播地址）进行特别处理。网络中是否会消失路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等，都是交换机面临的潜在威逼。 在掌握层，工业以太网交换机，一方面可以借鉴这些平安技术，但是也必需意识到工业以太网交换机主要用于数据包的快速转发，强调转发性能以提高实时性。应用这些平安技术时将面临实时性和成本的很大困难，目前工业以太网的应用和设计主要是基于工程实践和阅历，网络上主要是掌握系统与操作站、优化系统工作站、先进掌握工作站、数据库服务器等设备之间的数据传输，网络负荷平稳，具有肯定的周期性。但是，随着系统集成和扩展的需要、IT技术在自动化系统组件的大力应用、B/S监控方式的普及等