工業以太網是指將不同地理位置的功能相對獨立的計算機系統和現場設備互相連接起來，利用功能比較完善的網絡軟件來實現網絡資源共享和信息交換的控制網絡。出于各種目的的網絡入侵和攻擊越來越頻繁，導致網絡信息的安全包括一些重要數據的安全，逐漸成為政府、企業和個人的關注的焦點，與自身利益有著休戚相關的關系。下面將就工業以太網的安全防護問題進行分析和討論。

一、影響網絡安全的因素和入侵手段

    1.影響網絡安全的幾個主要因素

    日益嚴重的網絡信息安全問題，不僅使利用工業以太網絡進行生產的企業和單位蒙受了很大的經濟上的損失，在一些國有企業中的工業以太網信息上包含有涉及國家級別的重要信息，所以有時還嚴重威脅到了國家的安全和主權問題。為了避免網絡信息安全出現問題，必須要清楚引發這一安全問題的諸多因素，影響網絡安全的因素很多，包括很多自然的因素，也包括很多人為的因素。其中尤以人為的因素危害比較大�？梢跃C合起來歸結一下，主要有以下影響方面構成了對工業以太網絡的威脅。

    1.1 人為的操作失誤

    操作人員的一些無意的行為，比如：口令的丟失、操作不合法、不合理的資源訪問控制、管理員不當的安全配置以及由于疏忽而導致不應進入網絡的人進入了網絡竊取信息等都造成了對網絡系統的極大破壞；

    1.2 電腦病毒的感染

    病毒可以利用網絡進行迅速的傳播，它可以比較容易的通過代理服務器就能以軟件的形式進行下載，還可以以郵件接收的形式等進入工業網絡，然后對網絡進行非法攻擊，進而造成了比較嚴重的后果和損失；

    1.3 來自工業以太網絡內部的網絡攻擊

    來自以太網絡內部的攻擊是指在局域網的內部進行的，一些非法用戶能夠冒充合法用戶，并使用合法用戶的口令以合法的用戶身份登錄工業網站，進而竊取商業的機密信息威者篡改其中重要的信息內容，破壞了應用系統的正常運行，另外，系統中出現的漏洞，一些機密資料信息的存儲和傳輸都是引起網絡安全問題的一個重要內部因素。

    2.工業網絡受到外部入侵攻擊的一些形式和手段

    隨著計算機網絡傳輸技術的飛速發展，黑客對計算機網絡傳輸協議的攻擊和入侵手段與方法也不斷變換著形式，可以說只要有傳輸網絡的存在，對計算機網絡傳輸的攻擊就會以問斷的形式發生。下面是黑客攻擊計算機傳輸網絡的幾種常見方法；

    (1)口令形式的入侵，是指利用某種軟件工具來打開已經被加密過的口令文件；

    (2)利用系統的漏洞實施攻擊，比如，安全漏洞在很多的操作系統等軟件系統中和硬件系統中普遍存在著，黑客就能夠利用這些漏洞入侵并攻擊計算機網絡系統；

    (3)通過拒絕服務的手段實施網絡攻擊，即是指利用用戶服務計算機的崩潰狀態對服務器進行攻擊，阻止服務器繼續提供相應的服務。一般來講，防止網絡出現安全問題有幾種主要的關鍵技術，比如，防火墻技術、入侵檢測技術、防護網關和加密技術等。下面就防護網關和入侵檢測兩項技術在工業以太網絡安全中的應用進行介紹。

二、網絡安全防護的措施之防護網關技術

    (1)pSafetyLink網關的整體架構介紹

    在pSafetyLink網關內部的兩端有兩個獨立的主機系統構成，兩個主機系統都具有獨立的運算和存儲單元來實施計算和存儲功能，并且能各自獨立的運行各自的操作系統與應用系統。其中的一端主機系統是控制端系統、任務是接入到SCADA控制網絡，另外一端主機系統是信息端系統，任務是接入到信息網絡，即外網�？刂贫讼到y與信息端系統的主機能夠分別獨立的運行專用的、高性能的工業通信軟件，控制端系統提供了多種標準的SCADA通信標準客戶端以及主端的通信功能，比如，OPC Client(支持OPC DA1.0～DA3.0和A E1.0)、IEC60870-5-104Master、Mo dbus Master和DNP3.0 Master等，目的是用來支持自定義的通信協議的自由擴展，從而實現對SCADA系統的接入，并與之進行通信的功能。信息端系統主機則提供給服務器強大的通信功能，比如，0PC Server、IEC60870-5-104 Slave、Mo dbus Slave和DNP3.0Slave等，目的是用來支持自定義的通信協議的自由擴展，從而實現對多種遠程系統、數據庫系統和數據中心系統的接入，并與之進行數據的交互功能。

    (2)pSafetyLink網關技術分析—網絡隔離(PSL)

    pSafetyLink網關的控制端系統主機與信息端系統主機之有專用的PSL網絡隔離傳輸(PSL)技術來進行功能的實施和連接。PSL技術采用的物理層是利用專用的隔離硬件連接構成的，而鏈路層和應用層則使用私有的通信協議和加密的傳輸方式進行連接通信，PSL技術借由實際的物理隔離狀態和專有的隔離傳輸技術，在此基礎上，對數據實現了完全的自我定義、自我審查和自我解析等功能，這種傳輸機制在理論上講具有徹底的不可攻擊性特點，進而從根本上就防止了不合法數據的入侵與通過，保證了控制端系統免遭攻擊和侵入。

三、入侵檢測系統

    入侵檢測系統是IDS(英文全稱即Intrusion Detection Systems)的簡稱，IDS是保障工業網絡安全體系的一種重要的防護手段，入侵檢測系統可以解釋成是對于防火墻的合理和有效的補充，它能夠幫助工業以太網絡系統來對付來自網絡上的各種不合法的訪問，甚至是惡意攻擊，從而也就對系統管理員的安全管理能力進行了有效的擴展，這包括對安全因素的審計和監視，還有對進攻的識別和反應等，大大的穩固了工業以太網絡信息的安全基礎結構，提高了整體的完整性。IDS是從工業以太網絡系統中的一些關鍵點處進行信息的收集工作的，接下來是對這些網絡信息的分析。目的是要查看清楚信息傳輸網絡中是否存在著違背安全管理策略的非法行為，尋覓將來可能遭到襲擊的某些顯著跡象。IDS技術被公認為是藏在防火墻后面的第二道安全保障措施，能夠在完全不影響網絡性能的同時，另外對信息傳輸網絡進行實時監測，從而能夠提供針對來自信息傳輸網絡的內部攻擊，以及誤操作等多種因素造成的侵入實施實時的保護。

    1.入侵檢測模型結構

    下面的通用入侵檢測模型，又名Denning模型，(如下圖1所示)，由6個主要部分組成：

圖1：入侵檢測模型

    (1)主體，在系統上進行活動的實體，比如用戶；

    (2)對象，代表系統資源，比如文件等；

    (3)審計記錄，由六個元素構成即，主體，活動，對象，異常條件，資源使用狀況和時間戳；

    (4)活動簡檔，保存主體正�；顒拥南嚓P信息；

    (5)異常記錄，表示發生異常事件的一些情況；

    (6)活動規則，用以判斷有入侵行為時是否采取措施。

    Denning模型的工作原理：因為入侵者的系統使用模式與正常用戶的不同，所以可以通過識別這些異常模式，來檢測出攻擊者的入侵情況。

    2.入侵檢測系統的工作原理，現在可以用于實時入侵檢測的工作原理主要有兩種：

    2.1 異常檢測

    異常檢測(英文全稱Anomaly Detection)，此項技術假設是在這樣的情況下進行實施的，即所有的入侵活動都是不同于正常活動的，意即異�；顒��；�于此，如果可以給系統建立起一個代表系統正�；顒拥莫毺氐奶卣魑募�的話，那么就能夠利用統計手段來對那些不同于我們已建立的代表系統的特征文件的非法狀態進行統計計算。進而識別出入侵的非法企圖。比如，一個程序員的正�；顒赢斎皇遣煌�與一個打字員的，因此，根據他們各自的不同活動而建立的特征文件具有雙方用戶與眾不同的獨特特性，這樣。信息傳輸網絡的入侵者即使嘗試經由正常用戶的身份進行登錄，這樣的行為因為與正常用戶的行為并不吻合，所以最終能夠被檢測出來，并加以制止。

    2.2 特征檢測

    特征檢測(英文全稱Signature-based detection)，此項檢測系統是基于這樣的理論基礎之上的，即可以利用某種特征模式或特征描述方法來對已知攻擊進行表達。此項檢測技術首先假設入侵者的非法活動能夠用某一種模式來進行表示，而接下來，系統對主體活動進行檢測，最終目標就是看看是否符合這種模式。

四、小結

    本文探討了與工業以太網絡安全的防護有關的問題，隨著工業化進展的加速和工業中科技水平的應用，會促使工業以太網絡中針對信息傳輸的安全防護變得更加完善。本文闡述了影響以太網絡安全的主要因素和入侵手段，以及重要的針對以太網絡安全的防護措施，希望能夠對進一步探討以太網絡的安全防護有所幫助。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：工業以太網的安全問題之防護網關和入侵檢測系統

本文網址：http://www.guhuozai8.cn/html/support/1112153486.html