四虎成人免费视频,国产一级a作爱视频免费观9看,色五月丁香亚洲,亚洲欧美性爱在线视频,1000部黄片免费观看一区,国产亚洲性生活视频播放,三级黄色在线视频网站

現(xiàn)在位置:范文先生網(wǎng)>理工論文>計算機(jī)論文>基于TCP/IP的制造自動化網(wǎng)絡(luò)安全問題研究

基于TCP/IP的制造自動化網(wǎng)絡(luò)安全問題研究

時間:2023-02-20 22:36:46 計算機(jī)論文 我要投稿
  • 相關(guān)推薦

基于TCP/IP的制造自動化網(wǎng)絡(luò)安全問題研究

 作者簡介:牟連佳,男,1957.11生,副教授,主要研究方向:計算機(jī)網(wǎng)絡(luò)與通信技術(shù)在工業(yè)控制中的應(yīng)用。
  摘要:隨著時間的推移,已經(jīng)證明,TCP/IP是制造自動化環(huán)境中主機(jī)之間傳輸數(shù)據(jù)與控制信息的一種可靠方法。TCP/IP已經(jīng)使得制造工廠擴(kuò)大了它們的自動化范圍,這在十幾年前是不能想象的。本文論述了一些方法,采用這些方法某些對制造自動化網(wǎng)絡(luò)安全問題的影響就可以降低到最低程度。
  關(guān)鍵詞:自動化網(wǎng)絡(luò)、TCP/IP、管理控制、系統(tǒng)集成、計算機(jī)集成制造
  一、引言
  DCS、PLC以及過程信息軟件的設(shè)計人員已經(jīng)利用TCP/IP協(xié)議作為制造系統(tǒng)環(huán)境中采集和分發(fā)信息的通用方法。自從TCP/IP產(chǎn)生以來,大量的工作時間用于TCP/IP的不斷改進(jìn)中,形成了今天的強(qiáng)大勢力。
  然而,TCP/IP不是沒有缺點(diǎn)的,隨著網(wǎng)絡(luò)系統(tǒng)的相互可操作性被設(shè)計的容易一些,TCP/IP和基于TCP/IP的服務(wù)就存在著一些重大的安全隱患。實現(xiàn)TCP/IP網(wǎng)絡(luò)時常常沒有適當(dāng)?shù)乜紤]這些潛在的危險。
  當(dāng)TCP/IP用于制造自動化環(huán)境的時候,安全易損性問題就顯得格外突出。服務(wù)質(zhì)量和端對端可靠性是大多數(shù)制造自動化環(huán)境的最重要需求。TCP/IP協(xié)議的可靠性受到多方面因素的影響(例如網(wǎng)絡(luò)負(fù)載),這對于網(wǎng)絡(luò)完整性來說是重要的潛在危險。
  二、制定安全策略
  制造自動化網(wǎng)絡(luò)的安全策略應(yīng)該以用法研究的結(jié)果為基礎(chǔ)。安全策略至少應(yīng)該包括下列這些問題。
  l 利用制造信息資源所涉及到的所有的基本原理。
  l 安全策略應(yīng)該形成兩種態(tài)度中的一個,或是自由的(即任何訪問都允許除非明確禁止)或是保守的(即任何訪問都被禁止除非明確允許)。
  l 特許利用來自制造自動化網(wǎng)絡(luò)本身以外的信息資源的類型和方法。
  l 特許利用來自制造自動化網(wǎng)絡(luò)內(nèi)的信息資源的類型和方法。這個方面的策略與網(wǎng)絡(luò)本身的系統(tǒng)和設(shè)備要進(jìn)行對話的方式有關(guān)。
  l 特許使用來自制造自動化網(wǎng)絡(luò)內(nèi)的外部地址的類型和方法。
  制定安全策略似乎是一種墨守成規(guī)的形式,然而,在實際中,安全策略可以為許多網(wǎng)絡(luò)設(shè)計決策提供很多必要的正當(dāng)理由。相反,在沒有安全策略的情況下,網(wǎng)絡(luò)設(shè)計變得徒然地苛刻。
  三、對TCP/IP制造自動化網(wǎng)絡(luò)的威脅
  對制造自動化網(wǎng)絡(luò)安全和完整性的威脅一般可以歸納成下列幾類。
  3.1 對特許用戶的服務(wù)的否定
  對制造自動化網(wǎng)絡(luò)的最大威脅是對適時服務(wù)的否定,這可能是由設(shè)備的不利組態(tài)或故障、網(wǎng)絡(luò)加載或主動破壞造成的。在制造自動化環(huán)境中,服務(wù)被否定的危險明顯存在著:數(shù)據(jù)連接被拒絕,控制傳輸被拒絕,以及由于操作人員界面的存在,妨礙了對制造過程的積極管理。
  3.2 對非特許用戶的服務(wù)的實現(xiàn)
  對制造自動化網(wǎng)絡(luò)的另一個潛在威脅就是存在著非特許的個人或計算機(jī)可能獲得對網(wǎng)絡(luò)資源的非法訪問的可能性。這種服務(wù)的實現(xiàn)就存在著一些反面的影響,包括商業(yè)機(jī)密的可能泄露和網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流和控制流的惡化。結(jié)果是合法的請求不能得到響應(yīng)。
  證明系統(tǒng)的存在是破壞者成功(即實現(xiàn)了對任何特定服務(wù)的非許可訪問)的概率中的一個關(guān)鍵因素。證明系統(tǒng)存在,破壞就不易成功。在制造自動化環(huán)境中廣泛使用的服務(wù)當(dāng)中,幾乎沒有人使用以保證僅為合法用戶服務(wù)的強(qiáng)有力的證明機(jī)制。
  基于TCP和UDP這兩者之上的較高層應(yīng)用協(xié)議對缺少證明機(jī)制是敏感的。應(yīng)用協(xié)議如果不實現(xiàn)某種類型的證明機(jī)制,了解該協(xié)議的任何主機(jī)都能夠提出服務(wù)請求,包括把數(shù)據(jù)寫進(jìn)過程控制設(shè)備的請求。這種情況可能發(fā)生在反映生產(chǎn)系統(tǒng)結(jié)構(gòu)的開發(fā)系統(tǒng)的環(huán)境中。在這種環(huán)境中,非特許的東西就能夠扦入控制信號和指定點(diǎn),直接進(jìn)入制造系統(tǒng)。結(jié)果,操作人員的安全和生產(chǎn)質(zhì)量就面臨嚴(yán)重的危險。
  3.3 通信的改變或截斷
  一個潛在的有更大危害的威脅是制造自動化網(wǎng)絡(luò)的對話被第三者竊聽或修改。這種威脅的主要危險是專有信息(例如:方案、生產(chǎn)率、制造過程技術(shù))的泄露;蛟S,來自該威脅的最可怕的危險是合法通信被修改的可能性,而被修改的信息后來用作工作決策或規(guī)劃決策的基礎(chǔ),大大地影響著生產(chǎn)質(zhì)量、工廠效率或操作人員的安全。
  通信截斷可能在許多方面被執(zhí)行。如更改信息的方向,引起網(wǎng)絡(luò)上的主機(jī)在網(wǎng)絡(luò)對話期間改變它們發(fā)送報文包的地址。
  對截斷對話感興趣的破壞者可能會利用某一個方法設(shè)置中繼。一個中繼破壞可能發(fā)生在網(wǎng)絡(luò)中任何地方,甚至是距離制造自動化網(wǎng)絡(luò)很遠(yuǎn)的位置。中繼機(jī)器能夠?qū)崟r調(diào)節(jié)通信量或記錄用于日后分析的報文包。中繼機(jī)器也能夠改變被傳輸?shù)耐ㄐ艃?nèi)容。
  截斷通信的第三種方法包括使用一種被動包監(jiān)控器(常常稱為“包取樣器”)。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網(wǎng)絡(luò)信息。
  四、 通過網(wǎng)絡(luò)設(shè)計對抗威脅
  在制造自動化環(huán)境中,對抗上述威脅最有用的技術(shù)包括以下幾方面。
  4.1 通過簡單的IP路由選擇實現(xiàn)網(wǎng)絡(luò)分段
  分段就是把一些網(wǎng)絡(luò)主機(jī)分隔成實現(xiàn)獨(dú)立網(wǎng)絡(luò)通訊的功能上的子群,然后通過使用簡單的路由器把它們互聯(lián)起來。在一個分段的結(jié)構(gòu)中,網(wǎng)絡(luò)的每一個分段部分處于不同的IP子網(wǎng)中,而且子網(wǎng)中的通信永遠(yuǎn)不會離開該分段部分。分段的設(shè)計是簡單的,對于網(wǎng)絡(luò)上的主機(jī)基本上是透明的。
  分段在對抗由于網(wǎng)絡(luò)加載或結(jié)構(gòu)錯誤而造成的整個網(wǎng)絡(luò)范圍內(nèi)的服務(wù)否定問題是一種普通意義上的方法。網(wǎng)絡(luò)的實際分段可以有助于限制包取樣器被成功配置的位置的數(shù)量。
  雖然獨(dú)立分段確實排除了大部分基于廣播的破壞,但是,它不能防御通過直接方法獲得服務(wù)的非法活動。確保在分段設(shè)計中使用的IP路由器的正確結(jié)構(gòu)是非常重要的。
  4.2 采用路由器訪問控制實現(xiàn)分段
  對上面描述的分段結(jié)構(gòu)技術(shù)增加路由器訪問控制技術(shù),以增加維護(hù)與潛在的用戶使用不便為代價增強(qiáng)了整個網(wǎng)絡(luò)的安全性!霸L問控制”是一種方法,借助這個方法通過路由選擇設(shè)備的通信就被限制于特定的主機(jī)。采用訪問控制,網(wǎng)絡(luò)管理人員就可以實現(xiàn)一種更謹(jǐn)慎的安全策略,即允許主機(jī)在自己所在分段的外面進(jìn)行或響應(yīng)網(wǎng)絡(luò)對話。
  大多數(shù)IP路由器支持訪問控制的概念,而且能夠把它應(yīng)用到獨(dú)立的主機(jī)或整個子網(wǎng)。當(dāng)訪問控制被加到子網(wǎng)層,則路由器被連接,從IP地址的特定范圍到另一段都允許通信。使用訪問控制的路由器必須被精心連接。
  這種控制能夠保護(hù)制造自動化網(wǎng)絡(luò)免于獲得非特許服務(wù)的企圖,因為這種控制有意識地限制能夠產(chǎn)生服務(wù)請求的區(qū)域。如果訪問控制僅僅被應(yīng)用在子網(wǎng),它就不能防止來自特定子網(wǎng)中的主機(jī)的隨機(jī)服務(wù)請求,那么,上面描述的數(shù)據(jù)惡化的危險仍然會出現(xiàn)。如果訪問控制被擴(kuò)大到具體的主機(jī),那么,數(shù)據(jù)意外惡化的危險就可以進(jìn)一步減少。若訪問控制層和分段都使用的話,就可以把危險降低到更小。這樣就對過程數(shù)據(jù)通信提供了一種高層保護(hù)。
  如果訪問控制應(yīng)用到整個網(wǎng)絡(luò),它就會減少通過遠(yuǎn)距離基于中繼的破壞使分段之間對話被截斷的危險。
  4.3 包過濾
  包過濾擴(kuò)展了訪問控制的概念。對于一個網(wǎng)絡(luò)附加包過濾性能,進(jìn)一步增加了管理的工作量,但是增強(qiáng)了管理

基于TCP/IP的制造自動化網(wǎng)絡(luò)安全問題研究

人員精確控制信息通過制造自動化網(wǎng)絡(luò)傳輸?shù)哪芰Α?br />  當(dāng)路由器增加了過濾性能以后,準(zhǔn)確地知道網(wǎng)絡(luò)操作中所使用的協(xié)議類型和通道數(shù)目是重要的。
  4.4 防火墻
  防火墻是把分段、訪問控制、包過濾應(yīng)用到一個網(wǎng)絡(luò)的設(shè)計技術(shù),是防止一個或多個網(wǎng)絡(luò)免受其它網(wǎng)絡(luò)影響的協(xié)調(diào)的方法。防火墻是謹(jǐn)慎安全策略的主要表示。因為在任何網(wǎng)絡(luò)通信被允許之前,管理人員必須采取特定的行動。防火墻的典型應(yīng)用是把整個工廠或機(jī)構(gòu)的聯(lián)網(wǎng)系統(tǒng)與“外界”隔離,“外界”可以定義為企業(yè)范圍網(wǎng)絡(luò)的余部,也可以是全球Internet。
  五、 結(jié)束語
  通過分析基于TCP/IP制造自動化網(wǎng)絡(luò)中期待的通信,考慮機(jī)構(gòu)的安全策略,就有可能設(shè)計出一個使數(shù)據(jù)惡化和被竊取的危險降至最低程度的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在制造工廠和外部世界之間設(shè)置防火墻,在工廠內(nèi)部實現(xiàn)分段網(wǎng)絡(luò)、訪問控制網(wǎng)絡(luò)就能夠提供網(wǎng)絡(luò)管理者,防御無意的或有敵意的破壞。


【基于TCP/IP的制造自動化網(wǎng)絡(luò)安全問題研究】相關(guān)文章:

TCP/IP在網(wǎng)絡(luò)中的高效配置08-06

基于ARM的嵌入式TCP/IP協(xié)議的實現(xiàn)08-06

Linux對TCP/IP的支持淺析08-06

基于精簡TCP/IP協(xié)議棧的信息家電網(wǎng)絡(luò)服務(wù)器08-06

TCP/IP協(xié)議棧在嵌入式異構(gòu)網(wǎng)絡(luò)互聯(lián)中的應(yīng)用08-06

基于人工神經(jīng)網(wǎng)絡(luò)的肺癌診斷研究08-05

嵌入式TCP/IP協(xié)議單片機(jī)技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用08-06

嵌入式 TCP/IP 協(xié)議單片機(jī)技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用08-06

基于混合TCP-UDP的HTTP協(xié)議實現(xiàn)方法08-06