摘要:眾所周知，如今電腦上因特網(wǎng)都要作TCP/IP協(xié)議設(shè)置，顯然該協(xié)議成了當(dāng)今地球村“人與人”之間的“牽手協(xié)議”。TCP/IP是制造自動(dòng)化環(huán)境中主機(jī)之間傳輸數(shù)據(jù)與控制信息的一種可靠方法。TCP/IP已經(jīng)使得制造工廠擴(kuò)大了它們的自動(dòng)化范圍，本文論述了一些方法，采用這些方法對(duì)制造自動(dòng)化網(wǎng)絡(luò)安全問(wèn)題的影響就可以降低到最低程度。

關(guān)鍵詞:自動(dòng)化網(wǎng)絡(luò)TCP/IP管理控制系統(tǒng)集成計(jì)算機(jī)集成制造

0 引言

TCP/IP(Transmission Control Protocol/Internet Protocol的簡(jiǎn)寫(xiě))，中文譯名為傳輸控制協(xié)議/互聯(lián)網(wǎng)絡(luò)協(xié)議，TCP/IP是Internet最基本的協(xié)議，簡(jiǎn)單地說(shuō)，就是由底層的IP協(xié)議和TCP協(xié)議組成的。雖然IP和TCP這兩個(gè)協(xié)議的功能不盡相同，也可以分開(kāi)單獨(dú)使用，但它們是在同一時(shí)期作為一個(gè)協(xié)議來(lái)設(shè)計(jì)的，并且在功能上也是互補(bǔ)的。只有兩者結(jié)合，才能保證Internet在復(fù)雜的環(huán)境下正常運(yùn)行。凡是要連接到Internet的計(jì)算機(jī)，都必須同時(shí)安裝和使用這兩個(gè)協(xié)議，因此在實(shí)際中常把這兩個(gè)協(xié)議統(tǒng)稱作TCP/IP協(xié)議。然而，TCP/IP不是沒(méi)有缺點(diǎn)的，當(dāng)TCP/IP用于制造自動(dòng)化環(huán)境的時(shí)候，安全易損性問(wèn)題就顯得格外突出。TCP/IP協(xié)議的可靠性受到多方面因素的影響(例如網(wǎng)絡(luò)負(fù)載)，這對(duì)于網(wǎng)絡(luò)完整性來(lái)說(shuō)是重要的潛在危險(xiǎn)。

1 網(wǎng)絡(luò)安全的結(jié)構(gòu)層次

1.1 物理安全 自然災(zāi)害，物理?yè)p壞，設(shè)備故障，意外事故。解決方案是:防護(hù)措施，安全制度，數(shù)據(jù)備份等。電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機(jī)而入，痕跡泄露。解決方案是:輻射防護(hù)，屏幕口令，隱藏銷毀等。操作失誤，意外疏漏。解決方案是:狀態(tài)檢測(cè)，報(bào)警確認(rèn)，應(yīng)急恢復(fù)等。計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全。特點(diǎn)是:可控性強(qiáng)，損失也大。解決方案:加強(qiáng)機(jī)房管理，運(yùn)行管理，安全組織和人事管理。

1.2 安全控制 微機(jī)操作系統(tǒng)的安全控制。主要用于保護(hù)存貯在硬盤(pán)上的信息和數(shù)據(jù)。網(wǎng)絡(luò)接口模塊的安全控制，主要包括:身份認(rèn)證，客戶權(quán)限設(shè)置與判別，審計(jì)日志等。網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。主要通過(guò)網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。

1.3 安全服務(wù)對(duì)等實(shí)體認(rèn)證服務(wù);訪問(wèn)控制服務(wù);數(shù)據(jù)保密服務(wù);數(shù)據(jù)完整性服務(wù);數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù);禁止否認(rèn)服務(wù)。

1.4 安全機(jī)制 加密機(jī)制;數(shù)字簽名機(jī)制;訪問(wèn)控制機(jī)制;數(shù)據(jù)完整性機(jī)制;認(rèn)證機(jī)制;信息流填充機(jī)制;路由控制機(jī)制;公證機(jī)制。

2 制定安全策略

制造自動(dòng)化網(wǎng)絡(luò)的安全策略應(yīng)該以用法研究的結(jié)果為基礎(chǔ)。安全策略至少應(yīng)該包括下列這些問(wèn)題。

2.1 利用制造信息資源所涉及到的所有的基本原理。

2.2 安全策略應(yīng)該形成兩種態(tài)度中的一個(gè)，或是自由的或是保守的。

2.3 特許利用來(lái)自制造自動(dòng)化網(wǎng)絡(luò)本身以外的信息資源的類型和方法。

2.4 特許利用來(lái)自制造自動(dòng)化網(wǎng)絡(luò)內(nèi)的信息資源的類型和方法。

2.5 特許使用來(lái)自制造自動(dòng)化網(wǎng)絡(luò)內(nèi)的外部地址的類型和方法。

3 對(duì)TCP/IP自動(dòng)化網(wǎng)絡(luò)的威脅

對(duì)自動(dòng)化網(wǎng)絡(luò)安全和完整性的威脅一般可以歸納成下列幾類。

3.1 對(duì)特許用戶的服務(wù)的否定 對(duì)制造自動(dòng)化網(wǎng)絡(luò)的最大威脅是對(duì)適時(shí)服務(wù)的否定。在制造自動(dòng)化環(huán)境中，服務(wù)被否定的危險(xiǎn)明顯存在著:數(shù)據(jù)連接被拒絕，控制傳輸被拒絕，以及由于操作人員界面的存在，妨礙了對(duì)制造過(guò)程的積極管理。

3.2 對(duì)非特許用戶的服務(wù)的實(shí)現(xiàn) 基于TCP和UDP這兩者之上的較高層應(yīng)用協(xié)議對(duì)缺少證明機(jī)制是敏感的。應(yīng)用協(xié)議如果不實(shí)現(xiàn)某種類型的證明機(jī)制，了解該協(xié)議的任何主機(jī)都能夠提出服務(wù)請(qǐng)求，包括把數(shù)據(jù)寫(xiě)進(jìn)過(guò)程控制設(shè)備的請(qǐng)求。這種情況可能發(fā)生在反映生產(chǎn)系統(tǒng)結(jié)構(gòu)的開(kāi)發(fā)系統(tǒng)的環(huán)境中。在這種環(huán)境中，非特許的東西就能夠扦入控制信號(hào)和指定點(diǎn)，直接進(jìn)入制造系統(tǒng)。結(jié)果，操作人員的安全和生產(chǎn)質(zhì)量就面臨嚴(yán)重的危險(xiǎn)。

3.3 通信的改變或截?cái)?通信截?cái)嗫赡茉谠S多方面被執(zhí)行。對(duì)截?cái)鄬?duì)話感興趣的破壞者可能會(huì)利用某一個(gè)方法設(shè)置中繼。一個(gè)中繼破壞可能發(fā)生在網(wǎng)絡(luò)中任何地方，甚至是距離制造自動(dòng)化網(wǎng)絡(luò)很遠(yuǎn)的位置。中繼機(jī)器能夠?qū)崟r(shí)調(diào)節(jié)通信量或記錄用于日后分析的報(bào)文包。中繼機(jī)器也能夠改變被傳輸?shù)耐ㄐ艃?nèi)容。

截?cái)嗤ㄐ诺牡谌N方法包括使用一種被動(dòng)包監(jiān)控器。包取樣器能夠以中繼破壞的方式向破壞者提供被記錄的網(wǎng)絡(luò)信息。

4 通過(guò)網(wǎng)絡(luò)設(shè)計(jì)對(duì)抗威脅

4.1 通過(guò)簡(jiǎn)單的IP路由選擇實(shí)現(xiàn)網(wǎng)絡(luò)分段 分段就是把一些網(wǎng)絡(luò)主機(jī)分隔成實(shí)現(xiàn)獨(dú)立網(wǎng)絡(luò)通訊的功能上的子群，然后通過(guò)使用簡(jiǎn)單的路由器把它們互聯(lián)起來(lái)。確保在分段設(shè)計(jì)中使用的IP路由器的正確結(jié)構(gòu)是非常重要的。

4.2 采用路由器訪問(wèn)控制實(shí)現(xiàn)分段 大多數(shù)IP路由器支持訪問(wèn)控制的概念，而且能夠把它應(yīng)用到獨(dú)立的主機(jī)或整個(gè)子網(wǎng)。當(dāng)訪問(wèn)控制被加到子網(wǎng)層，則路由器被連接，從IP地址的特定范圍到另一段都允許通信。使用訪問(wèn)控制的路由器必須被精心連接。如果訪問(wèn)控制應(yīng)用到整個(gè)網(wǎng)絡(luò)，它就會(huì)減少通過(guò)遠(yuǎn)距離基于中繼的破壞使分段之間對(duì)話被截?cái)嗟奈ｋU(xiǎn)。

4.3 包過(guò)濾 包過(guò)濾擴(kuò)展了訪問(wèn)控制的概念。當(dāng)路由器增加了過(guò)濾性能以后，準(zhǔn)確地知道網(wǎng)絡(luò)操作中所使用的協(xié)議類型和通道數(shù)目是重要的。它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來(lái)檢測(cè)攻擊行為。包過(guò)濾防火墻一般作用在網(wǎng)絡(luò)層(IP層)，故也稱網(wǎng)絡(luò)層防火墻(Network Lev Firewall)或IP過(guò)濾器(IP filters)。數(shù)據(jù)包過(guò)濾(Packet Filtering)是指在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇。通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型等因素或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。

4.4 防火墻 所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。

5 結(jié)束語(yǔ)

通過(guò)分析基于TCP/IP制造自動(dòng)化網(wǎng)絡(luò)中期待的通信，考慮機(jī)構(gòu)的安全策略，就有可能設(shè)計(jì)出一個(gè)使數(shù)據(jù)惡化和被竊取的危險(xiǎn)降至最低程度的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在制造工廠和外部世界之間設(shè)置防火墻，在工廠內(nèi)部實(shí)現(xiàn)分段網(wǎng)絡(luò)、訪問(wèn)控制網(wǎng)絡(luò)就能夠提供網(wǎng)絡(luò)管理者，防御無(wú)意的或有敵意的破壞。

參考文獻(xiàn):

[1]曹成，周健，周紅，王明福.網(wǎng)絡(luò)安全與對(duì)策.合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版).2007年09期.

[2]秦迎春.TCP/IP協(xié)議的隱患及防范.計(jì)算機(jī)安全.2005年03期.

[3]姚婕，朱磊明.TCP/IP協(xié)議脆弱性分析.安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào).2004年21期.

[4]陳鵬，傅豐林.TCP/IP協(xié)議安全性分析.電子科技.2005年07期.