工业以太网的安装,调试和诊断技术（六）

图1   全面的EDP防护墙

    IT安全是一个针对整个公司的全面安全策略，包括常规目标和质量目标。其中，
    ●    常规目标，包括：①保护所有的IT系统；②防止破坏；③系统遭到破坏后的恢复工作。
    ●    质量目标，包括有效性、机密性、真实性和完整性。
    6.2.1 安全漏洞和措施
    为了达到一个能接受的安全等级，大约97％的公司采用病毒扫描，70％的公司采用接入控制工具，60％的公司采用防火墙。然而数据流的编码措施却很少采用，只有不到10％的公司采用这种措施。
    根据调查，73％的公司的系统受到过病毒的感染，同时有31％的被调查者抱怨网络可用性问题，其中一小部分安全漏洞是由工业间谍引起的，有4％是由DDoS（Distributed Denial of Service，分布式拒绝服务）攻击平台所引起的，它通过使系统过载来对系统形成破坏。
    由于自动化网络并不会存在电子邮件问题，因此其风险主要是来自于网络的可用性，工业间谍和DDoS攻击。
    6.2.2 自动化中的安全性
    机器和系统的实用自动化是基于强大的通信。广泛使用的总线系统正是为其而开发的，而现在正逐渐被以太网代替。在现场层中使用主流的以太网技术有利于成本的节省，同时也能通过消除技术屏障来简化工程设计。这些都是众所周知的使用以太网所能带来的优点。但是，在安装、操作和维护方面，基于以太网的自动化解决方案也决不会是一个退步。
    关于有效的基础组件，目前已经有多种类型的产品可供使用，如工业交换机。它们的使用无需专门知识，且有足够的鲁棒性能安装在机器附近使用。合适的工业组件的有效性对以太网的成功起了很大的作用，由于RJ45端口本身的性质，即它提供了快速扩展可能性的同时，也提供了不可控制访问性，因此人们必须考虑自动化的安全性方面的问题。由于简单远程访问选项和无线LAN的使用，安全方面的讨论将变得更加迫切。
    与自动化技术的安装方法和基础结构同样，安全措施也不能直接采用IT界的，而不作适当的修改。一种提高安全性而不增加复杂性的方法就是从机械上封锁自由端口和插线电缆，如图2所示。图3是在工业交换机中建立访问控制表，过滤访问节点。一些制造商提供了专门设计的安全产品，它们使用加密技术建立VPN（Virtual Private Network，虚拟专用网）与防火墙相连接。然而，这些解决方案仍然过于昂贵，并且在实时能力上会起到副作用，而且参数化复杂。

图2   自动化组件中的机械安全解决方案

图3   在工业交换机中建立访问控制表

6.3   网络攻击的检测与处理
    人们总是期望能从自己的桌面上自由地接入互联网，也希望能从办公环境接入自动化网络，因此互联网和自动化网络能直接或者间接的相互连接（例如远程诊断/监控）。由于自动化网络至少使用一些与办公环境网络相同或者相似的协议，因此它极有可能具有通过互联网被攻击的风险。遗憾的是，这些不同的网络间几乎没有采取保护内部网络的措施，这就意味着渗透进公司网络获取敏感数据或者破坏重要的操作过程的功能是有可能的。
因此防护概念的一个重要部分就是侦查与处理网络攻击。即时响应通常能够避免进一步破坏。
    6.3.1 网络攻击
    为了渗透进一个网络，必须具有基本现状知识，它能够使攻击获得成功。现状知识可以通过自动化生产过程（扫描）或者通过非技术（社会工程或废品）手段获得，包括连接扫描和穿越防火墙两种。
（1）连接扫描—确定公共可访问服务

图4   连接扫描

    如图4所示，使用简单的建立连接尝试以及确认（端口或者返回的数据格式），就能判定目标计算机的服务类型，这样，这些服务的弱点就会被利用。为了使扫描不被记录，攻击者不将应答信息返还给目标系统，因此建立连接尝试失败。如果在短时间内多次尝试失败，这就表明攻击，或者至少是攻击的准备。
（2）穿越防火墙—确定网络拓扑

图5   穿越防火墙

    如图5所示，在穿越防火墙中，数据包与起始值为1的TTL（Time to Live，生存期）一起发送到合法端口。个接收器（路由，交换机等等）将TTL减至0并拒绝该数据包。然而，数据包的被拒并不是不留痕迹的；拒绝数据包的接收器会对发送者返还一个回馈“超时，拒绝数据包，我的IP地址是…”。下一个数据包与值为2的TTL一起，重复着该过程。这样攻击者就能获得网络的拓扑结构，而不会使NAT路由器崩溃。
    网络攻击的类型主要有：
    （1）不安全的中继点
    如果一个攻击者访问了一个不安全的中继点，那么它就可以伪装成一个交换机，并对数据包相应地加以标识（标签），而真正的交换机将提供所有的网络资源的访问权。
    （2）含无效参数的IP数据包
    这种攻击经常被用来中断目标系统的操作（拒绝服务）。由于其无效参数，这些IP数据包易于识别。如果出现多次这样的数据包表明系统遭到了攻击。例如，如果源地址或目标地址，以及源端口和目标端口相同，则多数计算机会因为某种执行错误而崩溃。
    （3）SYN 泛滥
    在SYN泛滥情况下，攻击者不停地发送同步数据包以启动一个连接建立。这些数据包被发送到目标系统以打开其端口，并能不停地改变源端口。目标计算机便会建立一个TCP连接并发送带有SYN和ACK标记的确认信息，并等待通信连接的确认，但是攻击者并不会发送。这样，建立了大量的“半”连接，这终将耗尽目标系统的大量资源，使它再也无法完成实际任务。
    （4）IP欺诈
    在IP欺诈的情况下，操作数据包的发送者IP地址，使其看上去像是来自于另一台计算机。IP欺诈经常被用来通过防火墙或是在进行攻击的情况下隐藏攻击者的身份。
    （5）登录攻击
    在登录攻击情况下，发送至目标计算机的TCP数据包具有以下属性：
    ●    SYN标志被置位；
    ●    发送地址与目标计算机的地址是相同的。
    目标计算机便会将它本身的ACK标志当作是新建立连接的SYN标志。这种无限循环将导致目标系统的崩溃。
    （6）MAC（地址）泛滥/人为干扰
    诸如“disniff”或“macof”这种软件，会产生带有不同MAC地址的数据包。如果在网络攻击中，一个交换机面对带有成千上万的不同的MAC发送地址的数据包，其内部的MAC列表（ARP列表）便会超出限度。交换机因此无法为特殊的数据包转发使用其分配选项。结果，交换机就变成了集线器。这意味着它将所有接收到的数据包发送到所有端口，由此攻击者便能记录所要的数据包。
    其它的攻击方式还有：数据泛滥、SYN发送者无法找到、ICMP回复请求、缓冲器溢出、Smurf攻击和整数溢出等。
    6.3.2 Rootkit
    Rootkit是在系统中隐藏运行的程序，它早出现于2000年左右，鉴于其结构，功能和操作方法，是复杂的一种攻击形式，它威胁着网络以及自动控制系统的安全。为了不被识破，Rootkit隐藏了它的过程、注册表信息、相关文件和网络连接。Rootkit截取了所有与硬盘空间相关的请求、运行过程以及注册表信息，并操纵它们使自己不被发现并删除。Rootkit可以无需交换文件就可以隐藏目标。它也可以在网络扫描下隐藏自身的网络连接信息，并使自己不被包括在连接列表窗体（网络统计）中。它们和正在运行的服务使用同一端口，这样它们就可以顺利通过防火墙了。
    要保护系统不受Rootkit的侵害非常困难，因为系统的源代码一般都是公开的，也就是说要编译一个新的不被防毒系统所识破的Rootkit是一件十分容易的事情。由于Rootkit一般都在系统的活动，它们拥有与操作系统本身相同的权限。它们操纵防火墙和病毒扫描器的驱动程序。
    Rootkit的应用范围很广，包括：
    ●    可以隐藏键盘记录程序和其它间谍软件，这些软件可以获取密码或用于工业间谍活动；
    ●    可以在不需要服务器操作知识的情况下通过网络或FTP服务器散布非法的内容；
    ●    可以用来建立后门，为了DDoS攻击和其它网络攻击提供方便；
    ●    可以用来操纵签名和样本文件，它们被用来侦测垃圾邮件、病毒、蠕虫病毒、特洛伊木马等。
6.4 防范机制
    信息安全包括了保护数据/文件不被误操作、盗窃、间谍以及操纵的所有合适的措施。为了防止机密数据的丢失越来越多地使用了防火墙，入侵检测/响应和防入侵系统。这些系统也可以结合在一起使用，其目的就是将公司网络屏蔽于外网之外。
    6.4.1 分级保护机制
    一个结合安全措施的解决方法主要针对于它的薄弱的连接，所以，所有可能的薄弱环节都必须考虑周到。所需要的安全措施一般应该提供相同的防护等级，因为攻击总是对准那些薄弱的点。为了使过程更为简单，可将可能的保护机制划分等级。表1显示了所达到的保护程度。
    表1   分级安全机制