工業以太網安全性問題探析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了工業以太網安全性問題探析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著網絡技術的發展，以太網技術已經被廣泛應用工業控制當中，但是這也暴露出了諸多的安全問題。所以，深入的研究工業以太網中的各種協議，從協議的角度探究安全性問題的解決方案，會有更好的效果?；诖耍疚氖紫确治隽斯I以太網的安全性問題；接著，總結并完善了工業以太網技術的安全防護技術；最后，對工業以太網的安全防護方案進行了總結。

關鍵詞：工業以太網；協議；安全防護；解決方案

1工業以太網的安全性問題分析

目前工業互聯網的主要安全問題解決方式，到目前為止仍然是IEC62443標準的安全解決方案[4]。但是這種安全解決方案，是偏向于系統級的。工業以太網所使用的協議是現場總線型協議，與IT系統有著較大的差異，所以在安全性的需求上也不同[5]。工業以太網控制系統的安全性問題主要出現在數據明文傳輸，容易被監聽或篡改等方面。工業以太網控制協議主要有Modbus/Tcp、Ethernet/IP、OPC、DNP3這五種，下面將對其安全性問題進行分析。

（1）Modbus/Tcp協議安全性問題

一個典型的Modbus/Tcp控制系統的結構，多個PLC控制器與設備之間采用串行Modbus協議進行通信。文獻[6]就指出了Modbus/Tcp控制系統在信息傳輸時，缺乏安全保護措施，容易受到洪泛攻擊、重放攻擊等安全性威脅。文獻[7]總結了Modbus/Tcp協議的主要安全性威脅，主要包括加密、認證、效驗、可編程、溢出、廣播風暴等。

（2）Ethernet/IP協議安全性問題

Ethernet/IP是實時的通信協議，因為該協議缺乏時間戳和加密操作，所以容易受到拒絕服務的攻擊，以及數據篡改和中間人攻擊等[8]。同時由于UDP之上的Ethernet/IP協議是無連接的，其并沒有進行數據的可靠性和完整性校驗，這就會造成重放攻擊和拒絕服務攻擊的開展?？偟膩碚fEthernet/IP協議存在著加密、認證、重放、拒絕服務等安全性漏洞。

（3）OPC協議安全性問題

OPC協議是一種中間協議，實現現場信號和軟件的數據通信。最新的OPC協議規范已經進行了安全性防護的補充，其可以在底層的數據通信中提供加密的需求，并且提供可靠性和完整性校驗。雖然這些措施對整個協議的安全性有一定的提高，但是其仍然存在著認證、DOS、主機等方面的安全性威脅[9]。

（4）DNP3協議安全性問題

DNP3是美國國家通信標準，其存在著DNP3-Sec和DNP3-SAv5兩個加強安全性的變種版本。DNP3-Sec主要是在數據鏈路層進行安全性加強，DNP3-SAv5主要是在應用層進行安全性加強。雖然其在數據的認證、加密、完整性校驗、可靠性等方面有一定程度的提升，但是其仍然存在著拒絕服務、惡意篡改、惡意監聽等安全性威脅[10]。上述四種協議，在一定程度上都滿足了可用性和可靠性的要求，其對安全性的提升主要側重在完整性上。只有DNP3協議對信息安全的五項基本要求（保密性、完整性、可用性、可控性、不可否認性）都做出了安全性的提升。但是某些研究也表明，DNP3協議仍然存在著安全性的問題[11]。

2工業以太網的安全性問題解決方案

本文將從外部主動防護技術、內部被動防護技術和協議本身的安全性改進三個方面來進行闡述。

（1）外部主動防護技術

外部主動防護系統部署在系統外部，主要有縱深防御技術、入侵檢測、入侵防御等等。防火墻、網間隔離、白名單、黑名單、端口過濾等技術都屬于縱深防御技術。其也是目前來說可以有效確保工業控制系統安全的有效方法，其可以將工業控制設備分成多個“區”，如分軍事區、安全隔離區等等，再進行安全策略的設計。目前國內市場上的工業防火墻和網絡隔離設備供應商主要有三零衛士、海天煒業、力控華康等[12]。其產品均可以在工控網絡中建立黑名單、白名單協議關鍵字段過濾等安全防護措施，這可以有效較低工控網絡的安全性威脅。入侵檢測系統和入侵防御系統也是縱深防御技術重要的實現方式。其主要采用模式匹配的方法，對數據進行辨析。入侵檢測系統是并聯旁路在系統中，它可以對系統中的所有數據流量進行監測，并發現惡意數據。入侵防御系統是串聯在系統中，系統中的所有數據需要通過入侵防御系統才可以進行接收，其可以有效過濾惡意報文等[13]。

（2）內部被動防護技術

內部被動防護技術主要包括深度分組檢測和安全評估兩種方式。深度分組檢測主要是流量統計和協議報文分析，其可以發現異常流量和異常數據，以便在問題出現之前將安全漏洞扼殺在搖籃中。安全評估系統也是工業控制網絡安全性解決方案中重要的組成部分，其通過對系統協議的分析，來對系統的整個安全性和可疑的攻擊進行評估。安全性評估包含多種方法，主要有基于協議模型的方法、基于異常行為處理的方法、基于聚類分析的方法、基于中間件檢測的方法[14]。

（3）協議的安全性改進

就目前技術來說，協議安全性改進主要是通過加密和其他的安全協議承載傳輸數據這兩種方式來實現的。再細分又可以分為從端到端加密、鏈路加密、節點加密三種方式來實現[15]。

3總結

隨著工業大數據、中國制造2025的推進，工業控制系統的安全性問題顯得越來越重要，尤其是關乎國家安全的領域，如電網、核能等等。本文以協議為基礎，總結并闡述了現今的工業控制網絡中存在的安全性問題；并且從外部主動防護、內部被動防護、協議改進這三種方式來論述工業控制網絡安全性提升的方法。

作者：廖游 單位：中國電子科技集團第三十研究所