熟妇人妻中文字幕在线视频_无码人妻精品视频_久久躁夜夜躁狠狠躁_偷碰人妻无码视频

現(xiàn)在位置:范文先生網(wǎng)>理工論文>計(jì)算機(jī)論文>基于TCP/IP的制造自動(dòng)化網(wǎng)絡(luò)安全問(wèn)題研究

基于TCP/IP的制造自動(dòng)化網(wǎng)絡(luò)安全問(wèn)題研究

時(shí)間:2023-02-20 22:36:46 計(jì)算機(jī)論文 我要投稿
  • 相關(guān)推薦

基于TCP/IP的制造自動(dòng)化網(wǎng)絡(luò)安全問(wèn)題研究

 作者簡(jiǎn)介:牟連佳,男,1957.11生,副教授,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò)與通信技術(shù)在工業(yè)控制中的應(yīng)用。
  摘要:隨著時(shí)間的推移,已經(jīng)證明,TCP/IP是制造自動(dòng)化環(huán)境中主機(jī)之間傳輸數(shù)據(jù)與控制信息的一種可靠方法。TCP/IP已經(jīng)使得制造工廠擴(kuò)大了它們的自動(dòng)化范圍,這在十幾年前是不能想象的。本文論述了一些方法,采用這些方法某些對(duì)制造自動(dòng)化網(wǎng)絡(luò)安全問(wèn)題的影響就可以降低到最低程度。
  關(guān)鍵詞:自動(dòng)化網(wǎng)絡(luò)、TCP/IP、管理控制、系統(tǒng)集成、計(jì)算機(jī)集成制造
  一、引言
  DCS、PLC以及過(guò)程信息軟件的設(shè)計(jì)人員已經(jīng)利用TCP/IP協(xié)議作為制造系統(tǒng)環(huán)境中采集和分發(fā)信息的通用方法。自從TCP/IP產(chǎn)生以來(lái),大量的工作時(shí)間用于TCP/IP的不斷改進(jìn)中,形成了今天的強(qiáng)大勢(shì)力。
  然而,TCP/IP不是沒有缺點(diǎn)的,隨著網(wǎng)絡(luò)系統(tǒng)的相互可操作性被設(shè)計(jì)的容易一些,TCP/IP和基于TCP/IP的服務(wù)就存在著一些重大的安全隱患。實(shí)現(xiàn)TCP/IP網(wǎng)絡(luò)時(shí)常常沒有適當(dāng)?shù)乜紤]這些潛在的危險(xiǎn)。
  當(dāng)TCP/IP用于制造自動(dòng)化環(huán)境的時(shí)候,安全易損性問(wèn)題就顯得格外突出。服務(wù)質(zhì)量和端對(duì)端可靠性是大多數(shù)制造自動(dòng)化環(huán)境的最重要需求。TCP/IP協(xié)議的可靠性受到多方面因素的影響(例如網(wǎng)絡(luò)負(fù)載),這對(duì)于網(wǎng)絡(luò)完整性來(lái)說(shuō)是重要的潛在危險(xiǎn)。
  二、制定安全策略
  制造自動(dòng)化網(wǎng)絡(luò)的安全策略應(yīng)該以用法研究的結(jié)果為基礎(chǔ)。安全策略至少應(yīng)該包括下列這些問(wèn)題。
  l 利用制造信息資源所涉及到的所有的基本原理。
  l 安全策略應(yīng)該形成兩種態(tài)度中的一個(gè),或是自由的(即任何訪問(wèn)都允許除非明確禁止)或是保守的(即任何訪問(wèn)都被禁止除非明確允許)。
  l 特許利用來(lái)自制造自動(dòng)化網(wǎng)絡(luò)本身以外的信息資源的類型和方法。
  l 特許利用來(lái)自制造自動(dòng)化網(wǎng)絡(luò)內(nèi)的信息資源的類型和方法。這個(gè)方面的策略與網(wǎng)絡(luò)本身的系統(tǒng)和設(shè)備要進(jìn)行對(duì)話的方式有關(guān)。
  l 特許使用來(lái)自制造自動(dòng)化網(wǎng)絡(luò)內(nèi)的外部地址的類型和方法。
  制定安全策略似乎是一種墨守成規(guī)的形式,然而,在實(shí)際中,安全策略可以為許多網(wǎng)絡(luò)設(shè)計(jì)決策提供很多必要的正當(dāng)理由。相反,在沒有安全策略的情況下,網(wǎng)絡(luò)設(shè)計(jì)變得徒然地苛刻。
  三、對(duì)TCP/IP制造自動(dòng)化網(wǎng)絡(luò)的威脅
  對(duì)制造自動(dòng)化網(wǎng)絡(luò)安全和完整性的威脅一般可以歸納成下列幾類。
  3.1 對(duì)特許用戶的服務(wù)的否定
  對(duì)制造自動(dòng)化網(wǎng)絡(luò)的最大威脅是對(duì)適時(shí)服務(wù)的否定,這可能是由設(shè)備的不利組態(tài)或故障、網(wǎng)絡(luò)加載或主動(dòng)破壞造成的。在制造自動(dòng)化環(huán)境中,服務(wù)被否定的危險(xiǎn)明顯存在著:數(shù)據(jù)連接被拒絕,控制傳輸被拒絕,以及由于操作人員界面的存在,妨礙了對(duì)制造過(guò)程的積極管理。
  3.2 對(duì)非特許用戶的服務(wù)的實(shí)現(xiàn)
  對(duì)制造自動(dòng)化網(wǎng)絡(luò)的另一個(gè)潛在威脅就是存在著非特許的個(gè)人或計(jì)算機(jī)可能獲得對(duì)網(wǎng)絡(luò)資源的非法訪問(wèn)的可能性。這種服務(wù)的實(shí)現(xiàn)就存在著一些反面的影響,包括商業(yè)機(jī)密的可能泄露和網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流和控制流的惡化。結(jié)果是合法的請(qǐng)求不能得到響應(yīng)。
  證明系統(tǒng)的存在是破壞者成功(即實(shí)現(xiàn)了對(duì)任何特定服務(wù)的非許可訪問(wèn))的概率中的一個(gè)關(guān)鍵因素。證明系統(tǒng)存在,破壞就不易成功。在制造自動(dòng)化環(huán)境中廣泛使用的服務(wù)當(dāng)中,幾乎沒有人使用以保證僅為合法用戶服務(wù)的強(qiáng)有力的證明機(jī)制。
  基于TCP和UDP這兩者之上的較高層應(yīng)用協(xié)議對(duì)缺少證明機(jī)制是敏感的。應(yīng)用協(xié)議如果不實(shí)現(xiàn)某種類型的證明機(jī)制,了解該協(xié)議的任何主機(jī)都能夠提出服務(wù)請(qǐng)求,包括把數(shù)據(jù)寫進(jìn)過(guò)程控制設(shè)備的請(qǐng)求。這種情況可能發(fā)生在反映生產(chǎn)系統(tǒng)結(jié)構(gòu)的開發(fā)系統(tǒng)的環(huán)境中。在這種環(huán)境中,非特許的東西就能夠扦入控制信號(hào)和指定點(diǎn),直接進(jìn)入制造系統(tǒng)。結(jié)果,操作人員的安全和生產(chǎn)質(zhì)量就面臨嚴(yán)重的危險(xiǎn)。
  3.3 通信的改變或截?cái)?br />  一個(gè)潛在的有更大危害的威脅是制造自動(dòng)化網(wǎng)絡(luò)的對(duì)話被第三者竊聽或修改。這種威脅的主要危險(xiǎn)是專有信息(例如:方案、生產(chǎn)率、制造過(guò)程技術(shù))的泄露;蛟S,來(lái)自該威脅的最可怕的危險(xiǎn)是合法通信被修改的可能性,而被修改的信息后來(lái)用作工作決策或規(guī)劃決策的基礎(chǔ),大大地影響著生產(chǎn)質(zhì)量、工廠效率或操作人員的安全。
  通信截?cái)嗫赡茉谠S多方面被執(zhí)行。如更改信息的方向,引起網(wǎng)絡(luò)上的主機(jī)在網(wǎng)絡(luò)對(duì)話期間改變它們發(fā)送報(bào)文包的地址。
  對(duì)截?cái)鄬?duì)話感興趣的破壞者可能會(huì)利用某一個(gè)方法設(shè)置中繼。一個(gè)中繼破壞可能發(fā)生在網(wǎng)絡(luò)中任何地方,甚至是距離制造自動(dòng)化網(wǎng)絡(luò)很遠(yuǎn)的位置。中繼機(jī)器能夠?qū)崟r(shí)調(diào)節(jié)通信量或記錄用于日后分析的報(bào)文包。中繼機(jī)器也能夠改變被傳輸?shù)耐ㄐ艃?nèi)容。
  截?cái)嗤ㄐ诺牡谌N方法包括使用一種被動(dòng)包監(jiān)控器(常常稱為“包取樣器”)。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網(wǎng)絡(luò)信息。
  四、 通過(guò)網(wǎng)絡(luò)設(shè)計(jì)對(duì)抗威脅
  在制造自動(dòng)化環(huán)境中,對(duì)抗上述威脅最有用的技術(shù)包括以下幾方面。
  4.1 通過(guò)簡(jiǎn)單的IP路由選擇實(shí)現(xiàn)網(wǎng)絡(luò)分段
  分段就是把一些網(wǎng)絡(luò)主機(jī)分隔成實(shí)現(xiàn)獨(dú)立網(wǎng)絡(luò)通訊的功能上的子群,然后通過(guò)使用簡(jiǎn)單的路由器把它們互聯(lián)起來(lái)。在一個(gè)分段的結(jié)構(gòu)中,網(wǎng)絡(luò)的每一個(gè)分段部分處于不同的IP子網(wǎng)中,而且子網(wǎng)中的通信永遠(yuǎn)不會(huì)離開該分段部分。分段的設(shè)計(jì)是簡(jiǎn)單的,對(duì)于網(wǎng)絡(luò)上的主機(jī)基本上是透明的。
  分段在對(duì)抗由于網(wǎng)絡(luò)加載或結(jié)構(gòu)錯(cuò)誤而造成的整個(gè)網(wǎng)絡(luò)范圍內(nèi)的服務(wù)否定問(wèn)題是一種普通意義上的方法。網(wǎng)絡(luò)的實(shí)際分段可以有助于限制包取樣器被成功配置的位置的數(shù)量。
  雖然獨(dú)立分段確實(shí)排除了大部分基于廣播的破壞,但是,它不能防御通過(guò)直接方法獲得服務(wù)的非法活動(dòng)。確保在分段設(shè)計(jì)中使用的IP路由器的正確結(jié)構(gòu)是非常重要的。
  4.2 采用路由器訪問(wèn)控制實(shí)現(xiàn)分段
  對(duì)上面描述的分段結(jié)構(gòu)技術(shù)增加路由器訪問(wèn)控制技術(shù),以增加維護(hù)與潛在的用戶使用不便為代價(jià)增強(qiáng)了整個(gè)網(wǎng)絡(luò)的安全性!霸L問(wèn)控制”是一種方法,借助這個(gè)方法通過(guò)路由選擇設(shè)備的通信就被限制于特定的主機(jī)。采用訪問(wèn)控制,網(wǎng)絡(luò)管理人員就可以實(shí)現(xiàn)一種更謹(jǐn)慎的安全策略,即允許主機(jī)在自己所在分段的外面進(jìn)行或響應(yīng)網(wǎng)絡(luò)對(duì)話。
  大多數(shù)IP路由器支持訪問(wèn)控制的概念,而且能夠把它應(yīng)用到獨(dú)立的主機(jī)或整個(gè)子網(wǎng)。當(dāng)訪問(wèn)控制被加到子網(wǎng)層,則路由器被連接,從IP地址的特定范圍到另一段都允許通信。使用訪問(wèn)控制的路由器必須被精心連接。
  這種控制能夠保護(hù)制造自動(dòng)化網(wǎng)絡(luò)免于獲得非特許服務(wù)的企圖,因?yàn)檫@種控制有意識(shí)地限制能夠產(chǎn)生服務(wù)請(qǐng)求的區(qū)域。如果訪問(wèn)控制僅僅被應(yīng)用在子網(wǎng),它就不能防止來(lái)自特定子網(wǎng)中的主機(jī)的隨機(jī)服務(wù)請(qǐng)求,那么,上面描述的數(shù)據(jù)惡化的危險(xiǎn)仍然會(huì)出現(xiàn)。如果訪問(wèn)控制被擴(kuò)大到具體的主機(jī),那么,數(shù)據(jù)意外惡化的危險(xiǎn)就可以進(jìn)一步減少。若訪問(wèn)控制層和分段都使用的話,就可以把危險(xiǎn)降低到更小。這樣就對(duì)過(guò)程數(shù)據(jù)通信提供了一種高層保護(hù)。
  如果訪問(wèn)控制應(yīng)用到整個(gè)網(wǎng)絡(luò),它就會(huì)減少通過(guò)遠(yuǎn)距離基于中繼的破壞使分段之間對(duì)話被截?cái)嗟奈kU(xiǎn)。
  4.3 包過(guò)濾
  包過(guò)濾擴(kuò)展了訪問(wèn)控制的概念。對(duì)于一個(gè)網(wǎng)絡(luò)附加包過(guò)濾性能,進(jìn)一步增加了管理的工作量,但是增強(qiáng)了管理

基于TCP/IP的制造自動(dòng)化網(wǎng)絡(luò)安全問(wèn)題研究

人員精確控制信息通過(guò)制造自動(dòng)化網(wǎng)絡(luò)傳輸?shù)哪芰Α?br />  當(dāng)路由器增加了過(guò)濾性能以后,準(zhǔn)確地知道網(wǎng)絡(luò)操作中所使用的協(xié)議類型和通道數(shù)目是重要的。
  4.4 防火墻
  防火墻是把分段、訪問(wèn)控制、包過(guò)濾應(yīng)用到一個(gè)網(wǎng)絡(luò)的設(shè)計(jì)技術(shù),是防止一個(gè)或多個(gè)網(wǎng)絡(luò)免受其它網(wǎng)絡(luò)影響的協(xié)調(diào)的方法。防火墻是謹(jǐn)慎安全策略的主要表示。因?yàn)樵谌魏尉W(wǎng)絡(luò)通信被允許之前,管理人員必須采取特定的行動(dòng)。防火墻的典型應(yīng)用是把整個(gè)工廠或機(jī)構(gòu)的聯(lián)網(wǎng)系統(tǒng)與“外界”隔離,“外界”可以定義為企業(yè)范圍網(wǎng)絡(luò)的余部,也可以是全球Internet。
  五、 結(jié)束語(yǔ)
  通過(guò)分析基于TCP/IP制造自動(dòng)化網(wǎng)絡(luò)中期待的通信,考慮機(jī)構(gòu)的安全策略,就有可能設(shè)計(jì)出一個(gè)使數(shù)據(jù)惡化和被竊取的危險(xiǎn)降至最低程度的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在制造工廠和外部世界之間設(shè)置防火墻,在工廠內(nèi)部實(shí)現(xiàn)分段網(wǎng)絡(luò)、訪問(wèn)控制網(wǎng)絡(luò)就能夠提供網(wǎng)絡(luò)管理者,防御無(wú)意的或有敵意的破壞。


【基于TCP/IP的制造自動(dòng)化網(wǎng)絡(luò)安全問(wèn)題研究】相關(guān)文章:

TCP/IP在網(wǎng)絡(luò)中的高效配置08-06

基于ARM的嵌入式TCP/IP協(xié)議的實(shí)現(xiàn)08-06

Linux對(duì)TCP/IP的支持淺析08-06

基于精簡(jiǎn)TCP/IP協(xié)議棧的信息家電網(wǎng)絡(luò)服務(wù)器08-06

TCP/IP協(xié)議棧在嵌入式異構(gòu)網(wǎng)絡(luò)互聯(lián)中的應(yīng)用08-06

基于人工神經(jīng)網(wǎng)絡(luò)的肺癌診斷研究08-05

嵌入式TCP/IP協(xié)議單片機(jī)技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用08-06

嵌入式 TCP/IP 協(xié)議單片機(jī)技術(shù)在網(wǎng)絡(luò)通信中的應(yīng)用08-06

基于混合TCP-UDP的HTTP協(xié)議實(shí)現(xiàn)方法08-06