公务员期刊网 论文中心 正文

工业以太网安全性问题探析

工业以太网安全性问题探析

摘要:随着网络技术的发展,以太网技术已经被广泛应用工业控制当中,但是这也暴露出了诸多的安全问题。所以,深入的研究工业以太网中的各种协议,从协议的角度探究安全性问题的解决方案,会有更好的效果。基于此,本文首先分析了工业以太网的安全性问题;接着,总结并完善了工业以太网技术的安全防护技术;最后,对工业以太网的安全防护方案进行了总结。

关键词:工业以太网;协议;安全防护;解决方案

1工业以太网的安全性问题分析

目前工业互联网的主要安全问题解决方式,到目前为止仍然是IEC62443标准的安全解决方案[4]。但是这种安全解决方案,是偏向于系统级的。工业以太网所使用的协议是现场总线型协议,与IT系统有着较大的差异,所以在安全性的需求上也不同[5]。工业以太网控制系统的安全性问题主要出现在数据明文传输,容易被监听或篡改等方面。工业以太网控制协议主要有Modbus/Tcp、Ethernet/IP、OPC、DNP3这五种,下面将对其安全性问题进行分析。

(1)Modbus/Tcp协议安全性问题

一个典型的Modbus/Tcp控制系统的结构,多个PLC控制器与设备之间采用串行Modbus协议进行通信。文献[6]就指出了Modbus/Tcp控制系统在信息传输时,缺乏安全保护措施,容易受到洪泛攻击、重放攻击等安全性威胁。文献[7]总结了Modbus/Tcp协议的主要安全性威胁,主要包括加密、认证、效验、可编程、溢出、广播风暴等。

(2)Ethernet/IP协议安全性问题

Ethernet/IP是实时的通信协议,因为该协议缺乏时间戳和加密操作,所以容易受到拒绝服务的攻击,以及数据篡改和中间人攻击等[8]。同时由于UDP之上的Ethernet/IP协议是无连接的,其并没有进行数据的可靠性和完整性校验,这就会造成重放攻击和拒绝服务攻击的开展。总的来说Ethernet/IP协议存在着加密、认证、重放、拒绝服务等安全性漏洞。

(3)OPC协议安全性问题

OPC协议是一种中间协议,实现现场信号和软件的数据通信。最新的OPC协议规范已经进行了安全性防护的补充,其可以在底层的数据通信中提供加密的需求,并且提供可靠性和完整性校验。虽然这些措施对整个协议的安全性有一定的提高,但是其仍然存在着认证、DOS、主机等方面的安全性威胁[9]。

(4)DNP3协议安全性问题

DNP3是美国国家通信标准,其存在着DNP3-Sec和DNP3-SAv5两个加强安全性的变种版本。DNP3-Sec主要是在数据链路层进行安全性加强,DNP3-SAv5主要是在应用层进行安全性加强。虽然其在数据的认证、加密、完整性校验、可靠性等方面有一定程度的提升,但是其仍然存在着拒绝服务、恶意篡改、恶意监听等安全性威胁[10]。上述四种协议,在一定程度上都满足了可用性和可靠性的要求,其对安全性的提升主要侧重在完整性上。只有DNP3协议对信息安全的五项基本要求(保密性、完整性、可用性、可控性、不可否认性)都做出了安全性的提升。但是某些研究也表明,DNP3协议仍然存在着安全性的问题[11]。

2工业以太网的安全性问题解决方案

本文将从外部主动防护技术、内部被动防护技术和协议本身的安全性改进三个方面来进行阐述。

(1)外部主动防护技术

外部主动防护系统部署在系统外部,主要有纵深防御技术、入侵检测、入侵防御等等。防火墙、网间隔离、白名单、黑名单、端口过滤等技术都属于纵深防御技术。其也是目前来说可以有效确保工业控制系统安全的有效方法,其可以将工业控制设备分成多个“区”,如分军事区、安全隔离区等等,再进行安全策略的设计。目前国内市场上的工业防火墙和网络隔离设备供应商主要有三零卫士、海天炜业、力控华康等[12]。其产品均可以在工控网络中建立黑名单、白名单协议关键字段过滤等安全防护措施,这可以有效较低工控网络的安全性威胁。入侵检测系统和入侵防御系统也是纵深防御技术重要的实现方式。其主要采用模式匹配的方法,对数据进行辨析。入侵检测系统是并联旁路在系统中,它可以对系统中的所有数据流量进行监测,并发现恶意数据。入侵防御系统是串联在系统中,系统中的所有数据需要通过入侵防御系统才可以进行接收,其可以有效过滤恶意报文等[13]。

(2)内部被动防护技术

内部被动防护技术主要包括深度分组检测和安全评估两种方式。深度分组检测主要是流量统计和协议报文分析,其可以发现异常流量和异常数据,以便在问题出现之前将安全漏洞扼杀在摇篮中。安全评估系统也是工业控制网络安全性解决方案中重要的组成部分,其通过对系统协议的分析,来对系统的整个安全性和可疑的攻击进行评估。安全性评估包含多种方法,主要有基于协议模型的方法、基于异常行为处理的方法、基于聚类分析的方法、基于中间件检测的方法[14]。

(3)协议的安全性改进

就目前技术来说,协议安全性改进主要是通过加密和其他的安全协议承载传输数据这两种方式来实现的。再细分又可以分为从端到端加密、链路加密、节点加密三种方式来实现[15]。

3总结

随着工业大数据、中国制造2025的推进,工业控制系统的安全性问题显得越来越重要,尤其是关乎国家安全的领域,如电网、核能等等。本文以协议为基础,总结并阐述了现今的工业控制网络中存在的安全性问题;并且从外部主动防护、内部被动防护、协议改进这三种方式来论述工业控制网络安全性提升的方法。

作者:廖游 单位:中国电子科技集团第三十研究所