工业以太网实际应用中的安全对策

0 引言

20世纪90年代中期至21世纪初，各DCS厂商以信息技术的发展为依托，先后推出了集成高速工业以太网的第三代开放型DCS并已在现代化大工业中得到了大量的应用。由于工业以太网使用了通用以太网协议IEEE802.3，一方面使原来封闭的DCS变为开放的DCS网络，使网络中原来使用的专用设备变为可任意插拔的工业用通用设备，大大降低了系统运行中的备品备件成本和维护难度;另一方面，使得DCS作为基础控制系统而进行控制系统集成(采用OPC，Modbus等协议与PLC，IT02，SIS，MMS等系统通信)，并作为所有生产信息数据汇总和上传的集成化数据平台;再者，使DCS与上层的信息管理网(MES和ERP及工程局域网)和Internet的连接变得非常方便。同时，也正是由于工业以太网的广泛应用，对DCS网络运行的安全也造成了很大的冲击：装置事故状态下的系统网络通信安全及可能会受到包括病毒感染、黑客的非法入侵与非法操作等网络安全威胁。为确保DCS网络的安全运行，在系统选型、设计和实施过程中必须制订一套切实可行的安全对策。

1 工业以太网的应用现状及发展趋势

一般来讲，控制系统网络叮分为3层：信息层、控制层和设备层(传感/执行层)。第三代DCS在信息层大都采用以太网，而在控制层和设备层一般采用不同的现场总线或其他专用网络。目前，以太网已经渗透到了控制层和设备层，很多的PLC和远程I/O供应商都能提供支持TCP/IP以太网接口的产品。以太网之所以在自动化领域得到广泛应用，主要因为：低成本的刺激和速度的提高;现代企业对实时生产信息有越来越多的要求;以太网的开放性和兼容性。

以太网原有的缺点则由于技术的不断进步而获得大幅改进和完善。从以太网的发展进程来看，以太网有两种：共享以太网(Shared Ethernet)和交换以太网(Switched Ethernet)。早期使用的共享以太网是多节点共享同一个传输媒体，节点间通信采用广播方式，易发生冲突，使网络通信具有不确定性，不能用于强实时性场合。现在常用的交换以太网克服了这一缺点，以太网的交换机(Switch)是数据链路层(ISO/0SI参考模型第二层)的多端口网桥，也可以说是智能分配器。交换机将其管理的网络以星型拓扑结构划分为许多物理上互相隔离而逻辑上互相联系的节点，每一节点单独与交换机建立物理连接，在通信的时候交换机会在发送端口与接受端口间建立一个独占的全双工通道，它具有以太网的全部带宽并避免冲突。

交换以太网在获得确定性的同时，传输速度也有极大的提高。千兆以太网已普及，10 Gbit/s的交换以太网正在开发。当以太网用于信息技术时，应用层含有HTTP(超级文本传输协议)、FTP(文件传输协议)、SMTP(简单电子邮件传送协议)和Telnet(远程登录)。这些基于TCP/IP的协议簇已经成为工业界事实上的网络标准，在不同厂商的不同网络系统互联方面起着关键作用。但当以太网用于工业控制时，体现在应用层的是实时通信、用于系统组态的对象以及工程模型的应用协议。工业以太网和Internet技术的发展将完全改变传统工业企业的网络架构。工业以太网已经从信息层向下延伸到控制层和设备层，采用以太网架构以后，控制器的位置已突破传统网络架构的限制，既可以位于现场，也可以位于中央控制室。目前控制器甚至远程I/0支持以太网的功能越来越强，在有些控制器和远程I/0模块中已经集成了Web服务器，从而允许信息层的用户也可以和控制层的用户一样直接获取控制器和远程I/0模块中的当前状态值。采用以太网架构和开放的软件系统的制造企业也被称为“透明工厂”。此外，通过Internet可以实现对工业生产过程的实时远程监控，将实时生产数据与ERP系统以及实时的用户需求结合起来，使生产不只是面向订单的生产，而是直接面向机会和市场的“电子制造”，从而使企业能够适应经济全球化的要求。

2 工业以太网在应用中的安全隐患

图1为某大型石化项目成功实施的一套完整的工业以太网DCS网络结构及其与上层信息管理网接口界面图。众所周知，一套控制系统的安全隐患除了自身的影响外，就是来自外部界面的威胁。从图1中可以看出，影响工业以太网DCS网络安全的隐患主要有：以太网运行速度及负荷、网络连接和服务器终端等设备的可靠性;工业以太网与上层信息管理网接口、工业以太网与第三方()PC接口子系统之间的界面;操作站、工程师站和服务器之间的界面。

点击图片查看大图

图1 工业以太网DCS网络结构及其与上层信息管理网接口界面

2.1 网络自身问题带来的安全隐患

工业以太网主要由网络终端设备(服务器、工程师站、操作站及控制器等)和网络连接设备(交换机、防火墙、路由器等)组成，但影响安全的因素主要是网速和设备的可靠性。

a)网速对安全的影响。由于工业以太网的介质访问控制(MAC)层协议采用带碰撞检测的载波侦听多址访问(CSMA/CD)方式，当网络负荷较重时，网络的确定性不能满足工业控制的实时性要求。有资料显示当一个网络的负荷低于36%时，基本上不会发生冲突，在负荷为10%以下时，10 M以太网冲突几率为每5年一次。100 M以太网冲突几率为每15年一次。但超过36%后随着负荷的增加发生冲突的几率是以几何级数的速度增加的。如果正常情况下的网速太高，在生产装置事故状态下则由于访问量的急剧增加而大幅提高工业以太网的负荷，从而影响网络数据传输速度和装置事故的及时处理和安全。

b)工业以太网网络设备的稳定性对安全的影响。以太网用于工业控制必须具有很好的可靠性和运行稳定性，否则将对连续生产的工业流程带来严重的威胁。

2.2 网络对外连接带来的隐患

如图1所示，由于作为DCS网络的工业以太网需经实时数据库将装置生产数据上传至工厂信息管理网的MES和ERP，而工厂信息管理网又与Internet相连。这就难以避免来自Internet和工厂信息管理网的黑客攻击、信息阻塞、病毒，从而导致工业以太网的工作异常或瘫痪，使DCS网络运行速度大幅降低或控制器处于失控状态，严重威胁装置的生产安全。

2.3 网络终端与操作及维护人员界面带来的安全隐患

如前所述，工业以太网终端以操作站、服务器和工程师站为主，主要用于系统维护、组态和生产操作。在工艺操作人员和系统维护工程师实施操作和系统维护时，其开放的光驱、USB接口均可成为危及工业以太网及其终端安全运行的病毒的侵人途径，人为的非法操作、维护也会直接危及生产装置和工业以太网及控制系统的安全运行。