工業(yè)網(wǎng)絡安全問題不容忽視

工業(yè)網(wǎng)絡的安全措施需從各協(xié)議層面全面考慮，安全設計需引入新思維。

工業(yè)網(wǎng)絡是一種應用于工業(yè)環(huán)境的通信網(wǎng)絡。隨著“互聯(lián)網(wǎng)+”“智能制造”和“工業(yè)4.0”概念的相繼提出，如何利用工業(yè)網(wǎng)絡打造智能化的生產(chǎn)過程成為工業(yè)界熱門的話題。

新型工業(yè)網(wǎng)絡是未來趨勢

在現(xiàn)代工業(yè)網(wǎng)絡大規(guī)模應用之前，工業(yè)生產(chǎn)控制和協(xié)調(diào)系統(tǒng)主要方式有兩種：計算機集成控制系統(tǒng)（Computer Control System，CCS）和集散控制系統(tǒng)（Distributed Control System，DCS）。隨著計算機和網(wǎng)絡技術的不斷發(fā)展，這兩種方式在速度、精度、復雜度等方面顯得捉襟見肘，現(xiàn)場總線便應運而生?，F(xiàn)場總線設計思想是用一條總線連接所有遵循相同通信協(xié)議的設備，從而使同一總線上的設備之間能夠?qū)崿F(xiàn)互相通信，方便信息的傳輸和管理協(xié)調(diào)。目前，工業(yè)網(wǎng)絡存在Profibus、Interbus、CAN等多種現(xiàn)場總線協(xié)議，導致采用了不同協(xié)議的網(wǎng)絡需要通過網(wǎng)關才能互通，這極大地限制了網(wǎng)絡的可拓展性。此外，現(xiàn)場總線還存在傳輸速度低、鋪設成本高等問題，難以滿足工業(yè)網(wǎng)絡的需求。以太網(wǎng)因其具有速度快、拓展能力強、成本低、開放性高等優(yōu)點，被大規(guī)模引入工業(yè)領域。隨著Zigbee、Wi-Fi、藍牙等無線網(wǎng)絡技術的不斷發(fā)展以及4G網(wǎng)絡在物聯(lián)網(wǎng)方面逐漸展現(xiàn)巨大潛力，無線網(wǎng)絡逐步進入工業(yè)應用領域，使傳統(tǒng)工業(yè)網(wǎng)絡擺脫傳輸線的束縛，實現(xiàn)更進一步的發(fā)展。

網(wǎng)絡技術的發(fā)展大大提升了工業(yè)網(wǎng)絡的靈活度和實用性，過去很多棘手的工業(yè)問題都將迎刃而解。例如，智能電網(wǎng)需要實時采集、測量、分析和控制發(fā)電、傳輸、變電以及用配電的數(shù)據(jù)。采用傳統(tǒng)的工業(yè)網(wǎng)絡，幾乎不可能實現(xiàn)大型電網(wǎng)的智能化運行與管理。在電網(wǎng)中引入無線物聯(lián)網(wǎng)、工業(yè)以太網(wǎng)等新型工業(yè)網(wǎng)絡，能夠有效地進行電網(wǎng)數(shù)據(jù)化生產(chǎn)與管理，進而通過大數(shù)據(jù)技術實現(xiàn)電網(wǎng)的整體智能化。又如，智能制造的未來趨勢是產(chǎn)品個性化定制，為了實現(xiàn)這個目標，產(chǎn)品制造過程中各個環(huán)節(jié)需要不斷地進行信息交互、感知、反饋、執(zhí)行等，同時也要求各個環(huán)節(jié)與客戶之間頻繁地進行人機交互，這些都依賴于新型工業(yè)網(wǎng)絡高效、可靠的信息傳輸。

工業(yè)網(wǎng)絡存在的安全漏洞

在新型工業(yè)網(wǎng)絡帶來便利的同時，其安全問題不容忽視。從以太網(wǎng)、物聯(lián)網(wǎng)等技術應用于工業(yè)網(wǎng)絡開始，因工業(yè)網(wǎng)絡受損而導致的事故頻發(fā)。2008年，波蘭地鐵系統(tǒng)遭到入侵導致車廂脫軌；2010年，世界首個針對工業(yè)網(wǎng)絡的Stuxnet蠕蟲病毒破壞了伊朗核工廠鈾濃縮離心機；2011年，黑客的入侵使美國伊利諾伊州供水系統(tǒng)遭到破壞……因此，在普及和應用工業(yè)網(wǎng)絡時，提升工業(yè)網(wǎng)絡的安全性比提升工業(yè)網(wǎng)絡的便利性更應受到重視。

工業(yè)網(wǎng)絡存在安全問題的主要原因是，在工業(yè)網(wǎng)絡應用的過程中缺乏系統(tǒng)、全面的安全規(guī)劃。工業(yè)網(wǎng)絡應用之初，因其獨立性和封閉性，安全問題并不突出。但是，在工業(yè)網(wǎng)絡中引入相對開放的以太網(wǎng)和無線網(wǎng)之后，這些先天優(yōu)勢不復存在。另外，工業(yè)網(wǎng)絡往往在服務質(zhì)量、時延等方面有很高的要求，而可靠的安全機制往往會制約這些性能。因此，國內(nèi)外大部分工業(yè)網(wǎng)絡采用的安全措施都較為簡單，存在諸多安全漏洞，為網(wǎng)絡攻擊者留下了可乘之機。

工業(yè)網(wǎng)絡的安全漏洞可以從通信網(wǎng)絡漏洞和工業(yè)系統(tǒng)平臺漏洞兩個角度來分析。通信網(wǎng)絡漏洞需要從通信網(wǎng)絡協(xié)議入手，分析協(xié)議的安全缺陷，考察其對應的訪問控制、安全策略、監(jiān)控與應急響應等機制是否完善。工業(yè)系統(tǒng)平臺漏洞主要考慮兩個方面：（1）工業(yè)平臺各模塊之間是否缺乏認證、加密、監(jiān)控等機制；（2）是否存在硬件漏洞和軟件漏洞。由于安全漏洞的存在，工業(yè)網(wǎng)絡會受到多種類型的攻擊。

如何保證工業(yè)網(wǎng)絡安全

保證工業(yè)網(wǎng)絡安全可以從攻擊預防和攻擊檢測與恢復兩方面入手。攻擊預防，顧名思義，就是使用一系列安全措施，使攻擊者難以入侵工業(yè)網(wǎng)絡。攻擊檢測與恢復著眼于快速檢測攻擊并立即響應，實施相應的恢復措施。

攻擊預防機制需要從通信網(wǎng)絡系統(tǒng)出發(fā)，根據(jù)網(wǎng)絡協(xié)議設計架構(gòu)來系統(tǒng)考慮：

⑴ 應用層安全。應用層直接面對網(wǎng)絡使用者，其安全易受重視且可以根據(jù)使用場景來定制。因此，目前存在大量應用層安全協(xié)議，例如超文本傳輸協(xié)議（HyperText Transfer Protocol，HTTP）中用于用戶許可和完整性保護的摘要認證機制（Digest Authentication，DA）、監(jiān)視控制數(shù)據(jù)流量及其合法性的訪問控制列表協(xié)議（Access Control List，ACL）等。但是，應用層安全協(xié)議只能保證信息的安全，并不能保證網(wǎng)絡本身的安全。

網(wǎng)絡五層協(xié)議模型

四種攻擊類型

⑵ 傳輸層安全。傳輸層安全機制的主要思想是在網(wǎng)絡端到端節(jié)點間建立一個安全通道。目前常用的傳輸層安全協(xié)議包括安全套接層協(xié)議（Secure Sockets Layer，SSL）及傳輸層安全協(xié)議（Transport Layer Security，TLS），它們的主要功能是密鑰管理和加密算法協(xié)商、服務器鑒權、數(shù)據(jù)加密及完整性保護等。另外，為遠程登錄、會話等服務提供安全保障的安全外殼協(xié)議（Secure Shell，SSH）也有運行在傳輸層的協(xié)議SSH-TRANS，其主要功能與SSL和TLS相似。與應用層相比，傳輸層從信息通道安全角度進一步提升了網(wǎng)絡安全，但網(wǎng)絡本身的安全仍存在很大漏洞。

⑶ 網(wǎng)絡層安全。網(wǎng)絡層安全主要解決信息在網(wǎng)絡節(jié)點間轉(zhuǎn)發(fā)和路由的安全問題。以較為常見的IP網(wǎng)絡為例，主要由互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPSec）來保證。IPSec通過加密技術確保在IP網(wǎng)絡上進行的通信是安全的，它主要包括：用于IP層加密和驗證數(shù)據(jù)源合法性的封裝安全負載協(xié)議（Encapsulating Security Payload，ESP）及向IP通信提供數(shù)據(jù)完整性、身份認證和抗重播服務的認證頭協(xié)議（Authentication Header，AH）。另外，IPSec還提出互聯(lián)網(wǎng)密鑰交換協(xié)議（Internet Key Exchange，IKE）架構(gòu)，支持各安全措施之間的溝通與協(xié)調(diào)。網(wǎng)絡層安全提升了數(shù)據(jù)在網(wǎng)絡中轉(zhuǎn)發(fā)的安全，但不能保證網(wǎng)絡鏈路的安全。

⑷ 鏈路層安全。該層安全措施的主要目標是保證網(wǎng)絡中單跳通信鏈路的安全。不同鏈路層協(xié)議適用的安全措施并不相同。有線網(wǎng)中常用的點對點協(xié)議（Point to Point Protocol，PPP）需要使用密碼認證協(xié)議（Password Authentication Protocol，PAP）進行密鑰認證，或使用詢問握手認證協(xié)議（Challenge Handshake Authentication Protocol，CHAP）進行三次握手校驗認證。對于WLAN、藍牙，主要采用配對的認證方式，而IEEE 802.11協(xié)議則有一套完整的802.11i安全機制。

⑸ 物理層安全。該層的安全技術主要解決通信系統(tǒng)物理介質(zhì)存在的安全漏洞。與上面四層安全機制相比，物理層安全更容易被忽視。然而，如果物理層安全沒有保障，在日益強大的攻擊者面前，前面四層安全機制將功虧一簣。無線網(wǎng)絡在開放的介質(zhì)上傳輸信息，其物理層的安全漏洞顯而易見。即使在介質(zhì)封閉的有線網(wǎng)絡中傳輸，信息同樣存在被竊聽的風險。近年來，物理層安全已成為網(wǎng)絡安全領域的研究熱點。目前，主要采用的方法包括物理層密鑰產(chǎn)生機制、協(xié)作干擾、保密編碼等，這些方法基于一個重要的信息論思想：即使攻擊者獲取了物理層信號，物理層安全機制能夠保證攻擊者所能提取到的信息量接近于零。

實現(xiàn)通信網(wǎng)絡的安全，需要綜合考慮以上各個協(xié)議層的安全技術，針對實際的應用場景，選擇合理的安全協(xié)議。然而，即便通信網(wǎng)絡的安全協(xié)議非常完備，攻擊者仍然有突破這些界限的可能。因此，攻擊檢測與快速恢復的機制顯得尤為重要。攻擊檢測通常采用入侵檢測系統(tǒng)（Intrusion Detection System，IDS）來感知風險。IDS可分為兩類：一類是基于主機的IDS，通過分析系統(tǒng)數(shù)據(jù)是否正常來進行判斷；另一類是基于網(wǎng)絡的IDS，通過分析網(wǎng)絡上抓取的數(shù)據(jù)包是否包含已知的攻擊模式來判斷系統(tǒng)是否受到攻擊?？焖倩謴蜋C制需要根據(jù)不同的應用場景考慮實施。

目前，應用到工業(yè)網(wǎng)絡中的安全措施越來越多，但是，大多數(shù)安全措施都是在工業(yè)網(wǎng)絡搭建好之后加上去的。這種思路在一定程度上降低了工業(yè)網(wǎng)絡的安全性，工業(yè)網(wǎng)絡安全思想應該在系統(tǒng)設計之初就加入到網(wǎng)絡機制中。國外已有相關領域?qū)＜姨岢隽艘环N“安全感知”的工業(yè)控制系統(tǒng)。相比目前針對已知漏洞設計安全措施的做法，該方法首先考慮各種攻擊類型對工業(yè)網(wǎng)絡系統(tǒng)可能造成的后果，并對這些攻擊進行建模，然后根據(jù)模型設計算法，提升最壞情況下的系統(tǒng)性能。這種方法的優(yōu)點是工業(yè)網(wǎng)絡的各個部分都已經(jīng)歷“安全訓練”，能夠相互協(xié)調(diào)、迅速發(fā)現(xiàn)攻擊并合理應對，甚至在最極端的情況下也能保證網(wǎng)絡的可靠運行。

工業(yè)網(wǎng)絡需要從各協(xié)議層面全面考慮安全措施，同時工業(yè)網(wǎng)絡的安全設計需引入新思維，從而提高“安全感知”和自適應應對網(wǎng)絡攻擊的能力。工業(yè)網(wǎng)絡正在向下一代系統(tǒng)飛速發(fā)展，網(wǎng)絡安全是決定其是否能夠支撐其他產(chǎn)業(yè)發(fā)展的關鍵。因此，工業(yè)網(wǎng)絡的安全問題不容忽視。