以太网安全，安全依赖于常识网络

关键字

• 网络与沟通

• 以太网

• 因特网和内联网

• 基于pc的控制

• 设备级网络

自由的代价是什么?少了一点自由。越来越多的用户正在寻求以太网的互操作性和灵活性。然而，以太网相对更大的开放性可能意味着网络脆弱性的增加，特别是当网络通过Internet连接时。危险范围从内部数据流量事故到外部黑客攻击。

为了防止潜在的问题，用户可以在设计、安装和操作基于以太网的网络时执行一些基本的预防措施。好消息是，由于以太网已经在其他设置中使用了15到20年，因此存在许多制造业也可以使用的安全措施。

“制造业已经习惯了一般封闭的网络，但许多工程师现在开始迷恋他们可以从更开放的系统中获得的信息。实时通信软件提供商思科公司(isco Inc.)销售和营销副总裁拉尔夫•麦基维奇(Ralph Mackiewicz)说，不幸的是，他们太兴奋了，以至于有时忽略了一个事实，即以太网上的一个节点可能让每个人都能访问他们的数据和网络。“当你试图开放一个系统时，限制访问可能看起来违反直觉。以太网通过消除以前的障碍来帮助互操作性，但它也减少了隔离和一些过去被认为理所当然的安全性。”

基于以太网的LAN (local area network)或WAN (wide area network)的基本组件
包括集线器、路由器、连接I/O点、设备、控制器和pc的交换机。

开放=暴露

由于制造过程和相关控制组件通常位于一个地方，据报道，它们的物理存在比广泛分布的应用程序提供了更多的初始安全性。然而，当独立设备和网络与基于软件的业务管理系统、内部网、Internet和无线系统连接时，它们的暴露性会增加。

“当你通过以太网连接设备时，这并不会改变它们本身的安全问题。然而，由于以太网通常能够连接到互联网，它可能会打开一个充满安全问题的潘多拉魔盒，例如，它的新远程访问功能。”Real-Time的NDDS中间件有助于设备之间的互连。“每个应用程序都是不同的，但基本的安全性意味着有一个防火墙将您的进程局域网(LAN)与外部互联网和未经授权的访问隔离开来。”

在这个网络设计中，所有跨部门的流量都会通过
一个或多个路由交换机。这让网络管理员
管理网络保护和安全使用的一个要点
vlan (virtual local area network)和过滤器。

意外与敌人行动

大多数使以太网网络和相关设备和应用程序瘫痪的问题都是由意外引起的，例如错误配置的路由器或其他技术混乱。然而，蓄意攻击是一个真正的问题，特别是因为共享软件程序帮助黑客在其他安全的网络中搜索开放端口。

“最常见的以太网和网络问题是一个网络上的数据包或消息渗透到另一个网络上，导致流量问题。”这是因为经典的网络设计使用集流站将所有数据转发到网络的所有部分，”Eric Byres说，他是不列颠哥伦比亚理工学院(加拿大温哥华)高级信息技术小组的研究团队负责人。“例如，几年前，当我被要求使用高频脉冲测试一家大型制造商的网络以检查反射时，我被告知这是一个独立的系统。不幸的是，它实际上连接到公司的整个网络，当脉冲击中它的中继器时，整个工厂关闭了。

“有了集线器和中继器，就没有了隔离，因此就无法防止问题在整个设施中传播。这就是为什么使用可以检查每条消息有效性的开关是如此重要。有两种基本交换机，第二层是一个多端口网桥，在转发前检查数据包完整性;第三层是一个路由器，在转发前检查数据包的源、目的地和功能。

拜尔斯指出，虽然黑客入侵更为人所知，但大多数故意攻击都来自公司内部。他说，60%的故意和意外黑客来自内部。

“在另一家大工厂，这家工厂曾出现过一些工会问题和不满情绪，一名操作员登录了另一个部门的编程终端，访问了Allen-Bradley Data Highway Plus系统上的PLC，并更改了密码。这迫使我们关闭了生产线，并更换了PLC。”

由于新的基于pc的网络通常比基于plc的系统更加分散和互联，未经授权的入侵可能会造成更大范围的破坏，这意味着需要更好的安全性。

他说，现在每个人的图形用户界面都是微软的Windows NT或2000电脑。在西海岸的一家工厂，这意味着一名心怀不满的员工能够将屏幕上所有物体、字母和背景的设置更改为白色，这使得整个屏幕呈现空白。保护这些设置是系统管理员需要考虑的另一件事，但他们往往没有这么做。”

实现足够的隔离

Byres先生说，第三层交换机或路由器允许系统管理员制定特定的定义，过滤掉坏的或被误导的数据包。这被称为基本包检查防火墙，它将制造商的流程级别与其业务级别或其他外部输入分开。例如，这种类型的防火墙阻止会计部门的任何人向PLC发送编程包。

密码保护、防火墙、智能网络交换、子网络和虚拟局域网(vlan)都是有用的、被广泛接受的方法，可以将关键的制造设备、流程和网络与不受欢迎的输入或访问隔离(参见侧栏)。一些用户开始使用数据加密(可通过证书或密钥访问)和安全的网络服务器来保护通信。这些方法都不会显著降低以太网的网速。

麦凯维奇说，以太网和网络安全可以像配置路由器一样简单。他说，你必须首先根据自己的业务目标知道自己想做什么，然后根据这些需求选择正确的产品来防止未经授权的访问。

网络通常是零零碎碎地建立起来的。突然之间，用户发现自己拥有这些庞大的系统，但却没有整体的视野，这是帮助信息技术(IT)和工厂员工合作、制定安全和其他一致的网络政策所必需的。”

数据流量通过一个路由交换机，这允许
网络保护在一个点使用IP安全过滤器，但仅
来自10.5.1.0 0子网的计算机的消息
和使用TCP套接字6000被允许进入DCS网络。

安全管理

Byres先生补充说，除了使隔离方法与业务需求相匹配之外，以太网网络安全的改进必须得到适当的配置和管理。他说:“你不可能把这些系统投入使用后就置之不理。”“首先要制定良好的安全政策;真正决定谁能和谁说话;以及你到底需要多少把锁。

你必须坐下来弄清楚你的网络流量模式，测试你的设备，评估你现有的系统，确定现在什么可以与什么对话，并展望未来。然后，根据关键数据流、次要数据流、不错的数据流和不需要的数据流划分优先级。

最后，在实施这一安全策略后，你可以寻找并添加未列出的授权流，或者只是屏蔽除已定义设备和用户之外的所有流，然后在收到投诉时打开防火墙的授权漏洞。

常识，合作

除了软件、硬件和其他技术安全措施外，如果用户简单地了解其整体网络的参数、分布式位置和功能，以太网和网络的安全性也可以得到增强。

“有时人们会保护他们的本地网络，但却忘记了对其他网站或其他州的对应网络做同样的事情;忽视数据存储的安全;或者通过不安全的电子邮件发送与安全相关的策略、密码或证书。”“大多数安全漏洞都是众所周知的、有据可查的安全问题造成的，只是有人还没有抽出时间来解决。例如，以前很多电脑都有默认密码，用户从来没有花时间去修改，这让它们很容易受到攻击。”

也许提高以太网和网络安全性的最佳方法是将设施的IT人员和工厂车间人员结合在一起。尽管这两个群体传统上互不信任，但他们可以共同解决大多数网络安全问题。

例如，我们总是使用交换集线器和智能路由器，但它们需要不经过商业网络的TCP/IP地址。Control Systems International北美业务发展经理弗兰克•克林(Frank Kling)说，这涉及到数据包流量，而数据包流量通常是由IT决定的，因此需要大量的协调。“与IT部门合作很重要，因为如果网络配置不当，效率就会非常低，占用的带宽也会超出应有的范围。”

拜尔斯补充说，IT人员经常超负荷工作，传统上不专注于保持生产流程的运行。“最后，确保流程不会出现问题仍然是流程控制专家的责任。这可能是一个巨大的思维转变，因为流程工程师必须从更基于IT和软件的角度出发。”

了解更多供应商，请登录www.globalelove.com/buyersguide;欲了解更多信息，请使用以下号码或登录www.globalelove.com/freeinfo。

不列颠哥伦比亚理工学院www.bcit.ca262

国际控制系统公司www.csiks.com263

光电子的22www.opto22.com264

实时创新www.rti.com265

Sisco Inc .)www.sisconet.com266

以太网网络安全基础知识

以下工具可以帮助保护以太网和其他网络:

密码保护，包括一次性密码生成器，防止未经授权的网络流量获取密码;

使用路由器的防火墙和其他隔离方法，这些方法检查数据包的有效性，并使用定义过滤掉坏的或非预期的数据包;

网络交换机-具有高速背板的二层和三层交换机-隔离碰撞域并防止数据流量绑定;

建立明确定义访问级别和特权的网络策略;

使用传统IP路由器和/或虚拟局域网(vlan)与三层交换机建立子网络，以增加隔离;

通过安全证书或密钥对数据和通信进行加密;而且

使用安全的网络服务器进行与互联网相关的通信。

以太网辅助液态气体监测、控制

瓦里安医疗系统公司为了改善液氮、氧和氢设备的液位监测、操作和报警，协助其x射线管制造过程

(犹他州盐湖城)从Opto 22(加利福尼亚州Temecula)实现了Snap以太网I/O。

瓦里安信息系统制造部门的控制系统工程师Blair Devey表示，Snap以太网I/O从Absa液气单元的4-20 mA环路(约1200英尺)向Varian的以太网网络传输了更多更好的液位和流量数据。新系统可以帮助瓦里安避免油罐干燥，简化订单和供应计划，并意味着瓦里安不必使用10种不同的软件程序和接口，如果没有以太网，可能会需要这些软件程序和接口。

Snap以太网I/O附带的web服务器提供了瓦里安用于Absa单元轻松配置和扩展的网页，并与其网络的OPC服务器进行接口。德维说，事实上，新网络运行得非常好，以至于当他在家里通过DSL线打开HMI屏幕时，他惊讶地发现自己连上了真正的机器。德维说，我要求我们的信息系统人员一发现这个端口就立即关闭防火墙。Snap Ethernet I/O也有帮助，因为它有一个实用程序，可以检查哪些IP地址是活动的，并列出它们的端口号。这意味着我可以打开一个OPC客户端，让它与Snap以太网I/O交谈，找出哪个端口正在接收特定的信息

输入，然后告诉IT关闭哪个端口。”

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。