一、引言
　　工业企业的两化融合依托于网络平台，面向工业生产过程的综合自动化系统是构建在通信网络之上的复杂系统。
　　在上世纪90年代中期之前，由于网络技术不能完全满足工业自动化的实时性和环境适应性等要求，各家公司都开发具有专用特点的工业自动化装置以及专用的工业网络及其自动化系统，工业自动化系统较为封闭，其信息安全问题未受到重视。近年来，传统自动化技术与通信网络技术的融合，为工业企业的两化融合提供了技术保证，工业自动化系统已广泛采用TCP/IP标准网络协议，工业实时以太网已经被工业自动化领域广泛接受。生产企业的信息化，可以实现生产企业中管理层、组织协调层直至现场控制层信息的无缝集成，使得过程控制系统（PCS）、制造执行系统（MES）、企业管理信息系统（ERP）有机地融为一体，并能通过Internet完成远程维护与监控，但是这种发展也带来了工业网络的信息安全问题。
　　工业网络的安全性是第一位的，一旦控制系统网络瘫痪，轻则将可能导致无法进行操作控制，为安全生产埋下巨大隐患；重则可能引发生产事故；并且，由于企业两化融合的需要，消除信息孤岛、进而实现企业内部信息的共享，如何在保障信息安全的前提下进行两化融合，方便生产管理将是网络平台建设中必须解决的问题。
　　二、工业网络信息安全的潜在威胁
　　工业网络信息安全的潜在威胁主要来自黑客攻击和计算机病毒的侵入。PLC或DCS正在成为直接攻击的目标。典型工业网络结构如图1所示。在工业控制系统网络安全最重要的是保护现场控制器和仪表安全。
　　图1 典型工业网络结构
　　工业控制网络区别于其它网络的网络结构就是在监控层上也使用以太网，通过诸如引入交换式集线器，采用实时性通信协议以及其他专业技术把以太网构建成为一个确定性和有实时性，满足工业控制要求的监控层网络。在过程自动化监控层，不但有用于控制的PLC 和中央控制器，也有以Windows 为主流操作系统的操作站、优化系统工作站、先进控制工作站以及Web 服务器和数据库服务器等设备；使用OPC 技术从不同的数据源得到数据，进行数据交换；数据通过工业以太网交换机进行传输，工业以太网交换机同标准商用以太网交换机相比就是增进了更适合于工业环境的技术，本质上并无区别。随着嵌入式技术的发展，自动化系统集成和扩展的需要，系统开放互连性的加强，特别是标准IT 技术在自动化系统组件的大力应用如FTP 应用，B/S方式用于监控，通过Internet 远程诊断，来自工业现场的视频音频监控数据传输等，以及以后IPV6 在工业控制设备的应用，工业控制网络作为一个全方位信息系统的特征更加明显。
　　工业网络信息安全的潜在威胁主要来自以下方面：
　　1、黑客攻击
　　黑客攻击是通过攻击自动化系统的要害或弱点，使得工业网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害，造成不可估量的损失。黑客攻击又分为来自外部的攻击和来自内部的攻击。
　　来自外部的攻击包括非授权访问是指一个非授权用户的入侵；拒绝服务攻击，即黑客想办法让目标设备停止提供服务或资源访问。这样一来，一个设备不能执行它的正常功能，或它的动作妨碍了别的设备执行它们的正常功能，从而导致系统瘫痪，停止运行。来自内部的安全威胁，主要是由于自动化系统技术人员的技术水平的局限性以及经验的不足，可能会出现各种意想不到的操作失误，势必对系统或信息安全产生较大的影响。严重黑客攻击的性质已经扩展到了犯罪、恐怖主义、甚至国家赞助的间谍活动。在这种情况下，工业自动化系统必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。
　　2、计算机病毒侵入
　　工业网络与信息网络的融合基于通用操作系统和通用网络协议的广泛使用，但是也为计算机病毒侵入工业网络创造了条件。
　　计算机病毒的破坏行为体现了病毒的杀伤能力，数以万计不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举。现有病毒的破坏目标和攻击行为可以归纳为：攻击系统数据区；迫使计算机空转，导致系统响应速度明显下降；扰乱屏幕显示；破坏系统CMOS中的数据等等。
　　由于病毒侵入而导致工业系统信息的损失和破坏，不但会造成系统资源和财富的巨大浪费，而且有可能成为企业生产的巨大隐患。
　　三、工业以太网的安全问题
　　目前工业网络主要有两种类型：一种是专用的现场总线型网络，其特点在于通讯速度慢、可靠性高、实时性好，但是与信息网络的融合需要附加相应的网关设备；另外一种是工业以太网，应用于商用场合中的以太网技术是一种成熟网络通信技术，但是其数据通信的实时性不能满足工业使用的要求，工业以太网的出现改进了以太网的原有技术。工业以太网的实时性主要是这样保证的：限制工业以太网的通信负荷，采用100M的快速以太网技术提高带宽，采用交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。
　　随着工业以太网引入工业网络的技术体系，加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段，网络安全可以成为影响工业以太网实时性的一个突出问题。工业以太网常用的安全措施主要有以下一些：
　　1、防病毒措施
　　针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。网络防病毒技术包括预防病毒、检测病毒和消除病毒等3 种技术。
　　2、防火墙技术控制访问权限
　　防火墙技术主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯。
　　3、入侵检测技术
　　针对防火墙后门有可能暴露或入侵者可能就在防火墙内的情况，在特定的监控机上运行入侵检测系统，可以实现提供实时的攻击侦测保护。一旦发现攻击行为，网络入侵检测系统可以立即做出响应，并且对入侵经过进行记录www.cechina.cn，以便采取相应的维护措施。
　　4、网络隔离
　　网络隔离（如网关隔离）使得内部网不直接或间接地连接公共网，通过过滤外部报文来防止系统外部意外入侵。目前多采用具有包过滤功能的以太网交换机来实现。
　　5、信息加密技术
　　对发出/接受的信息进行加/解密处理，使用加密算法与公共密钥与私专用密钥相结合保证来信息传输的安全性。
　　6、安全管理
　　网络内部可以通过完善和加固操作系统和应用平台来加强安全，同时严格内部的安全管理区分用户访问权限，控制用户可以访问的网络资源的范围， 并建立网络安全管理制度、制定网络系统的维护制度和应急措施等。
　　四、工业网络信息安全的技术手段
　　1、合理的网络规划
　　由于网络控制系统属于企业内部网络, 在访问控制方面要求工程师和普通办公人员有不同的访问权限，需要对网络控制系统和管理网络进行防火墙隔离。隔离的方法可以采用访问控制列表针对源IP 地址和传输层端口进行限制, 保证只有特定的IP 可以访问控制网络的资源, 并通过限制传输层端口的方法达到根据需要限制不同计算机访问控制网络资源的目的。同时, 为了能够保证IP 地址的唯一性,企业可以采用三层交换技术, 通过VLAN 和网关IP 对企业内部的计算机IP 进行限制, 保证IP 和工程师站的唯一对应, 特别是使用长度为30 比特的子网掩码, 可以将工程师的计算机的IP 地址进行唯一性限制, 这样IP 地址在一定程度上就可以作为确定工程师身份的参考依据通过这样的子网规划和VLAN 划分就从根本上保证了工程师计算机IP 地址的确定性。即使攻击者采用如IP 欺骗之类的攻击方法, 在这样的网络环境下也会因为路由限制不会起到作用。合理的网络规划在提供IP 唯一性保证的同时, 也是保证其它安全策略得以实现的重要基础工作。
　　图2 企业两化融合网络规划
　　2、防火墙技术
　　防火墙是在网络信息安全中应用最普遍的技术之一。按照防火墙的位置, 可以将防火墙分为边界防火墙、单机防火墙和分布式防火墙。在这几类防火墙中, 边界防火墙是最常用的一种, 作为连入互联网的工业企业来说, 在其互联网出口必然安置着防火墙设备, 一般可以作为企业连入互联网的设备和包过滤设备。因此, 从一定意义上讲, 此设备是网络控制系统的最外层防护设备。
　　实现管控一体化的企业为了保证控制网络的安全往往采用双防火墙, 企业连入互联网的防火墙称为一次防火墙,二次隔离防火墙是企业内部信息网络和工业控制网络之间的隔离设备, 它可以采用专门的硬件防火墙实现, 也可以利用三层交换的包过滤功能实现。
　　防火墙在基本层面上对控制网络的安全提供了保证, 但由于防火墙只能在边界上通过过滤技术和包状态检测技术实现安全控制, 对很多安全威胁都无能为力：防火墙的主要关注点在于IP 数据包的封装而不是数据包的内容，对于含有有害信息的数据包没有过滤能力；由于防火墙的过滤规则的建立依赖管理员,其完善程度要依靠管理员的技术水平, 且只能对已知的威胁进行防范；防火墙无法对病毒进行防御。因此，两级防火墙只能作为控制网络安全的基本条件控制工程网版权所有，要使控制网络最大程度的安全保障，还需要采用更多其它的技术手段。
　　3、入侵检测系统
　　入侵检测系统即IDS。入侵检测系统对信息系统的关键点收集信息, 并对收集到的信息进行分析, 判断信息系统中是否存在违反策略的行为和遭到攻击的迹象。入侵检测系统按照其布署体系可以分为网络型入侵检测系统、主机型入侵检测系统和分布式入侵检测系统。
　　入侵行为的检测技术是入侵检测系统的核心。根据入侵特征对数据包进行匹配, 检测是否有入侵行为发生, 这就是入侵检测模块要实现的功能。入侵检测采用在协议分析的基础上, 运用入侵事件描述语言, 对规则库进行匹配来检测是否有入侵行为的存在。所有的攻击方法被表示为入侵规则存放在入侵特征数据库中,当前的数据如果和规则库中某种特征匹配, 就指出是某种入侵行为发生,
　　主机型入侵检测系统一般作为软件被安装于需要监控的系统上。IDS 软件上的数据源是日志文件和??或系统审计代理。主机型IDS 不仅着眼于计算机中通信流量的出入, 同时也校验用户系统文件的完整性, 并检测可疑程序。为了能使基于主机的IDS 完整地覆盖受控站点, 需要在每台计算机上都安装IDS 系统。
　　网络型IDS 的数据源是网络上的数据包, IDS 监控各网段的数据包流量。网络接口卡被设置为混杂模式, 以获取跨越各网段的所有网络流量。分布式入侵检测系统与纯粹的主机型和网络型入侵检测系统相比, 其检测方式采用了分布式的方式, 即各个网段和重点位置都安装检测模块, 并根据管理中心设定的规则对数据进行分析CONTROL ENGINEERING China版权所有, 并向管理中心提交信息。因此, 分布式入侵检测系统的监测范围包括了整个企业网络, 在合理的规则设置下, 其漏报率可以做到很低。由于控制网络的数据传输要求较高的实时性, 入侵监测系统的管理中心和各个检测模块之间可以采用专用链路进行连接CONTROL ENGINEERING China版权所有, 这样一方面避免了分布式入侵检测系统对带宽的占用造成控制网络的信息传输延时增大的问题, 另一方面在出现导致网络可能导致网络不通的攻击( 如DOS 攻击) 时, 入侵监测系统可以避免受到攻击的影响, 并能够及时发出警告。
　　完成入侵监测系统后的一个重要工作就是对入侵检测规则的优化, 这在很大程度上会影响入侵检测系统的误报率和漏报率这两个重要技术指标。误报和漏报对于系统安全性的影响都非常大, 漏报是在出现入侵时IDS 没有发出警报的情况, 其危害不言而喻; 误报是没有入侵时由于IDS 过于敏感而报警, 其危害是会产生很多无用的报警信息, 使真正的安全威胁事件报警淹没在大量的无用报警信息当中, 管理者很难从中找到有用的信息。而入侵检测的算法目前主要采用类似于专家系统的检测模式, 因此需要管理员在运行期间不断更新规则库以保证系统的有效运行, 尽量避免漏报和误报的出现。为了保证检测信息能够及时到达IDS 处理中心服务器,在服务器和各个检测模块之间推荐采用专用通道, 独立于企业原有的网络。
　　五、结语
　　本文阐述了影响以太网络安全的主要因素和入侵手段, 以及重要的针对工业网络信息安全的防护措施。实现工业控制网络的安全并不是单纯依靠那一个单独的技术就可以解决的, 需要多种技术的相互配合。另外, 还应该看到任何技术都是由人来运用的, 如果没有可靠、严格的管理制度和制度的实施, 再完善的安全体系也无法保证系统的安全。因此, 要实现企业生产的信息安全, 除了要有坚实的技术支持作为基础以外控制工程网版权所有, 更重要的是在企业生产过程中的安全策略的严格实施。