浙江傳媒學(xué)院電子信息學(xué)院 鄭 建

TCP/IP與網(wǎng)絡(luò)安全策略的探析

浙江傳媒學(xué)院電子信息學(xué)院 鄭 建

一、引言

TCP/IP協(xié)議作為制造系統(tǒng)環(huán)境中采集和分發(fā)信息的通用方法，被DCS、PLC以及過程信息軟件的設(shè)計人員已經(jīng)大量利用。TCP/IP自產(chǎn)生以來，研究重心一直是TCP/IP的不斷改良，從而形成了今天的強勢。

然而，它不是沒有缺點，隨著網(wǎng)絡(luò)系統(tǒng)的相互可操作被設(shè)計得相對簡易，這也就必然存在一些重大的安全隱患。而我們在應(yīng)用中常常忽視了這些潛在的危險。

二、安全策略的制定

安全策略在制造自動化網(wǎng)絡(luò)運用，是此項研究的基礎(chǔ)。安全策略至少應(yīng)該包括下列內(nèi)容：

利用制造信息資源所涉及到的所有的基本原理。

安全策略應(yīng)該形成兩種態(tài)度中的一個，或是自由的（即任何訪問都允許除非明確禁止）或是保守的（即任何訪問都被禁止除非明確允許）。

特許利用來自制造自動化網(wǎng)絡(luò)本身以外的信息資源的類型和方法。

特許利用來自制造自動化網(wǎng)絡(luò)內(nèi)的信息資源的類型和方法。這個方面的策略與網(wǎng)絡(luò)本身的系統(tǒng)和設(shè)備要進(jìn)行對話的方式有關(guān)。

特許使用來自制造自動化網(wǎng)絡(luò)內(nèi)的外部地址的類型和方法。

安全策略的制定似乎是一種一成不變的形式，而在實際中，許多網(wǎng)絡(luò)設(shè)計決策由安全策略提供了很多必要的正當(dāng)理由。相反，安全策略缺失，網(wǎng)絡(luò)設(shè)計會變得坎坷波折。

三、對TCP/IP制造自動化網(wǎng)絡(luò)的威脅

對制造自動化網(wǎng)絡(luò)安全和完整的威脅一般可以歸納成下列幾類。

1. 否定對特許用戶的服務(wù)

對制造自動化網(wǎng)絡(luò)的最大威脅是否定適時服務(wù)，設(shè)備的不利組態(tài)或故障、網(wǎng)絡(luò)加載或主動破壞，是此威脅的可能原因。在制造自動化環(huán)境中，明顯存在著服務(wù)被否定的危險：數(shù)據(jù)連接、控制傳輸被拒絕，以及操作人員的存在，不利于積極對制造過程的管理。

2. 實現(xiàn)對非特許用戶的服務(wù)

非特許的個人或計算機對網(wǎng)絡(luò)資源的非法訪問的可能，是對制造自動化網(wǎng)絡(luò)的另一個潛在威脅。這種服務(wù)的實現(xiàn)本身就有一些反面的影響，商業(yè)機密的泄露、網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流和控制流的惡化。直接導(dǎo)致了合法的請求不能得到響應(yīng)。

應(yīng)用協(xié)議如果不實現(xiàn)某種類型的證明機制，了解該協(xié)議的任何主機都能夠提出服務(wù)請求，包括請求把數(shù)據(jù)寫進(jìn)過程控制設(shè)備。這種情況可能發(fā)生在反映生產(chǎn)系統(tǒng)結(jié)構(gòu)的開發(fā)系統(tǒng)的環(huán)境中。在這種環(huán)境中，非特許的東西就能夠扦入控制信號和指定點，直接進(jìn)入制造系統(tǒng)。其結(jié)果是安全和生產(chǎn)質(zhì)量面臨嚴(yán)重的危險。

3. 改變、截斷通信

制造自動化網(wǎng)絡(luò)的對話被第三者竊聽或修改是潛在的有更大的威脅。這種威脅的主要危險是泄露專有信息（如：方案、制造過程技術(shù)、生產(chǎn)率）?；蛟S，來自該威脅的最可怕的危險是合法通信被修改的可能，而被修改的信息后來用作工作決策或規(guī)劃決策的基礎(chǔ)，大大地影響著生產(chǎn)質(zhì)量、工廠效率或操作人員的安全。

通信截斷可能在許多方面被執(zhí)行。如更改信息的方向，引起網(wǎng)絡(luò)上的主機在網(wǎng)絡(luò)對話期間改變它們發(fā)送報文包的地址。

利用某一個方法設(shè)置中繼，這是對截斷對話感興趣的破壞者可能會采取的行動。在網(wǎng)絡(luò)中任何地方，中繼破壞都可能發(fā)生，甚至是距離制造自動化網(wǎng)絡(luò)很遠(yuǎn)的位置。中繼機器能夠?qū)崟r調(diào)節(jié)通信量或記錄用于日后分析的報文包。中繼機器也能夠改變被傳輸?shù)耐ㄐ艃?nèi)容。

截斷通信的第三種方法包括使用一種被動包監(jiān)控器（常常稱為“包取樣器”）。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網(wǎng)絡(luò)信息。

四、通過網(wǎng)絡(luò)設(shè)計對抗威脅

在制造自動化環(huán)境中，對抗上述威脅最有用的技術(shù)包括以下幾方面：

1. 包過濾

包過濾擴展了訪問控制的概念。當(dāng)路由器增加了過濾能以后，準(zhǔn)確地知道網(wǎng)絡(luò)操作中所使用的協(xié)議類型和通道數(shù)目是重要的。

2. 防火墻

防火墻是謹(jǐn)慎安全策略的主要表示，管理人員必須采取特定的行動。防火墻的典型應(yīng)用是把整個工廠或機構(gòu)的聯(lián)網(wǎng)系統(tǒng)與“外界”隔離，“外界”可以定義為企業(yè)范圍網(wǎng)絡(luò)的余部，也可以是全球Internet。

3. 通過簡單的IP路由選擇實現(xiàn)網(wǎng)絡(luò)分段

一個分段的結(jié)構(gòu)中，不同的IP子網(wǎng)中都存在網(wǎng)絡(luò)的每一個分段部分，且子網(wǎng)中的通信永遠(yuǎn)不會離開該分段部分。分段的設(shè)計是簡單的，對于網(wǎng)絡(luò)上的主機基本上是透明的。

網(wǎng)絡(luò)加載或結(jié)構(gòu)錯誤而造成的整個網(wǎng)絡(luò)范圍內(nèi)的服務(wù)否定問題，分段在對抗這一問題時，是一種普通意義上的方法。網(wǎng)絡(luò)的實際分段可以有助于限制包取樣器被成功配置的位置的數(shù)量。

雖然獨立分段確實排除了大部分基于廣播的破壞，但是，它不能防御通過直接方法獲得服務(wù)的非法活動。確保在分段設(shè)計中使用的IP路由器的正確結(jié)構(gòu)是非常重要的。

4. 采用路由器訪問控制實現(xiàn)分段

借助這個方法，通過路由選擇設(shè)備的通信，被特定的主機所限制。采用訪問控制，管理者就可以實現(xiàn)一種更謹(jǐn)慎的安全策略，即主機在自己所在分段的外面進(jìn)行或響應(yīng)網(wǎng)絡(luò)對話被允許。

大多數(shù)IP路由器支持訪問控制的概念，而且能夠把它應(yīng)用到獨立的主機或整個子網(wǎng)。當(dāng)訪問控制被加到子網(wǎng)層，則路由器被連接，從IP地址的特定范圍到另一段都允許通信。使用訪問控制的路由器必須被精心連接。

這種控制能夠保護(hù)制造自動化網(wǎng)絡(luò)免于獲得非特許服務(wù)的企圖，因為這種控制有意識地限制能夠產(chǎn)生服務(wù)請求的區(qū)域。如果訪問控制僅僅被應(yīng)用在子網(wǎng)，它就不能防止來自特定子網(wǎng)中的主機的隨機服務(wù)請求，那么，仍然會出現(xiàn)上面描述的數(shù)據(jù)惡化的危險。如果訪問控制被擴大到具體的主機，那么，可以進(jìn)一步減少數(shù)據(jù)意外惡化的危險。若都使用訪問控制層和分段，就可以把危險降低到更小。這樣就提供了對過程數(shù)據(jù)通信一種高層保護(hù)。

如果訪問控制應(yīng)用到整個網(wǎng)絡(luò)，它就會減少通過遠(yuǎn)距離基于中繼的破壞使分段之間對話被截斷的危險。

五、結(jié)束語

通過對制造自動化網(wǎng)絡(luò)中期待的通信的分析，和對機構(gòu)的安全策略考量，從而設(shè)計出一個使數(shù)據(jù)惡化和被竊取的危險降至最低程度的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)成為可能。在制造工廠和外部世界之間設(shè)置防火墻，在工廠內(nèi)部實現(xiàn)分段網(wǎng)絡(luò)、訪問控制網(wǎng)絡(luò)就能夠提供網(wǎng)絡(luò)管理者，從而能有效地防御無意的或有敵意的破壞。

book=108,ebook=229