淺談入侵檢測(cè)系統(tǒng)在工業(yè)以太網(wǎng)中的應(yīng)用

集團(tuán)楊柳煤礦信息中心，安徽 淮北 235000;4.兗礦國宏化工有限公司，山東 濟(jì)寧 272100)

摘要:通過對(duì)煤礦工業(yè)以太網(wǎng)中存在的安全隱患問題的分析，簡(jiǎn)單論述了入侵檢測(cè)系統(tǒng)在工業(yè)以太網(wǎng)中的應(yīng)用。

關(guān)鍵詞:煤礦;工業(yè)以太網(wǎng);安全隱患;入侵檢測(cè)系統(tǒng)

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)14-3655-02

Simply Discuss the Intrusion Detection System used in Industrial Ethernet

ZHANG Yan-jun1， LOU Wei2， HUANG He3， ZHANG Yao4

(1. Shanxi Datong Yunxiao New Technology Company， Datong 0370032， China; 2.Hebi Coal Mining Group，Hebi 458000，China; 3.Yangliu Coal Mining Information Center of Huaibei Mining Group， Hefei 235000， China; 4.Yankuang Guohong Chemical Co.， Ltd. ，Jinan 272100，China)

Abstract: Through analyzed the hidden troubles that exist in industrial ethernet， discussed the intrusion detection system used in industrial ethernet simply.

Key words: coal mining; hidden trouble; industrial ethernet; intrusion detection system

1 引言

隨著信息化推動(dòng)工業(yè)化進(jìn)程的加速，越來越多的計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)被應(yīng)用于工業(yè)控制網(wǎng)絡(luò)中。近年來，一直被廣泛用于商業(yè)網(wǎng)絡(luò)的以太網(wǎng)技術(shù)在高速發(fā)展，正從商業(yè)化走向工業(yè)自動(dòng)化，發(fā)展成為被工業(yè)控制網(wǎng)絡(luò)廣泛使用的工業(yè)以太網(wǎng)技術(shù)。工業(yè)以太網(wǎng)的應(yīng)用不但可降低成本，還可實(shí)現(xiàn)更緊密的系統(tǒng)集成，有利于更大范圍的信息共享和管理。[3]但由于在工業(yè)以太網(wǎng)控制系統(tǒng)中遠(yuǎn)程用戶可以通過Internet對(duì)現(xiàn)場(chǎng)設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，因此在系統(tǒng)中必然存在著現(xiàn)場(chǎng)設(shè)備、現(xiàn)場(chǎng)監(jiān)控機(jī)、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器以及遠(yuǎn)程監(jiān)控主機(jī)之間的數(shù)據(jù)通信，在各個(gè)數(shù)據(jù)通信環(huán)節(jié)中都可能存在著被未授權(quán)的用戶入侵和數(shù)據(jù)被竊取等安全隱患，特別是遠(yuǎn)程監(jiān)控主機(jī)通過Internet與現(xiàn)場(chǎng)工業(yè)以太網(wǎng)控制系統(tǒng)之間的數(shù)據(jù)通信必將面臨著嚴(yán)峻的網(wǎng)絡(luò)安全的考驗(yàn)。

2 工業(yè)以太網(wǎng)的簡(jiǎn)單介紹及其安全分析

一個(gè)完整的工業(yè)控制系統(tǒng)大體上可以分為三個(gè)層次，從上到下依次分為信息管理層、過程監(jiān)控層和現(xiàn)場(chǎng)設(shè)備層，如圖1所示。信息管理層主要用于企業(yè)的生產(chǎn)調(diào)度，企業(yè)經(jīng)營管理等各方面信息的傳輸;過程監(jiān)控層主要是將現(xiàn)場(chǎng)的各種信息保存在實(shí)時(shí)數(shù)據(jù)庫中，實(shí)現(xiàn)現(xiàn)場(chǎng)數(shù)據(jù)的存儲(chǔ)、管理、查詢等;現(xiàn)場(chǎng)設(shè)備層主要用于控制系統(tǒng)中大量現(xiàn)場(chǎng)設(shè)備之間測(cè)量與控制信息的傳輸。[4]由于技術(shù)上的陳舊及使用傳輸協(xié)議的不同，導(dǎo)致傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)中層與層，甚至同層的不同設(shè)備之間相互通信非常不方便，這在很多場(chǎng)合已不能滿足現(xiàn)實(shí)的需要，大大限制了生產(chǎn)效率的提高，束縛了企業(yè)的發(fā)展。而工業(yè)以太網(wǎng)以其“成本低，帶寬高，易連接，易管理”等優(yōu)勢(shì)在工業(yè)控制領(lǐng)域發(fā)展很快，工業(yè)以太網(wǎng)取代傳統(tǒng)的現(xiàn)場(chǎng)總線控制系統(tǒng)已成為業(yè)界的共識(shí)。

工業(yè)以太網(wǎng)在繼承以太網(wǎng)優(yōu)勢(shì)的同時(shí)也給控制網(wǎng)絡(luò)帶來了諸多的安全問題，這些問題有些是工業(yè)以太網(wǎng)自身的缺陷造成的(如CSMA/CD機(jī)制本身的限制)，有些卻是來自人為的攻擊。但總體上來講，工業(yè)以太網(wǎng)的安全威脅主要可以分為內(nèi)部和外部?jī)蓚€(gè)方面。內(nèi)部的威脅主要有網(wǎng)絡(luò)本身故障、本地用戶對(duì)設(shè)備控制系統(tǒng)的攻擊或技術(shù)資料的竊取等。外部的威脅主要有非授權(quán)用戶(如黑客)對(duì)網(wǎng)絡(luò)的入侵，對(duì)網(wǎng)絡(luò)中敏感數(shù)據(jù)的盜取，惡意程序或病毒對(duì)網(wǎng)絡(luò)的破壞等。不管是外部的入侵還是內(nèi)部的破壞，都會(huì)工業(yè)生產(chǎn)帶來不利的影響，嚴(yán)重時(shí)甚至造成生產(chǎn)事故。

為了保護(hù)工業(yè)以太網(wǎng)的安全，除了在網(wǎng)絡(luò)內(nèi)部署防病毒等軟件，大多數(shù)的企業(yè)把網(wǎng)絡(luò)的安全放在了防火墻身上。防火墻在目前的工業(yè)以太網(wǎng)安全方面功不可沒，但隨著攻擊技術(shù)的日趨成熟，攻擊工具與方法的日趨復(fù)雜多樣，防火墻己無法滿足對(duì)安全高度敏感的工業(yè)以太網(wǎng)的需要，在使用的過程中也逐漸暴露出了其不足和弱點(diǎn)，主要有以下幾個(gè)方面:

1) 傳統(tǒng)的防火墻在工作時(shí)，入侵者可以仿造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。

2) 防火墻完全不能防止來自網(wǎng)絡(luò)內(nèi)部的襲擊。

3) 由于防火墻性能上的限制，通常它不具備實(shí)時(shí)監(jiān)控的能力。

4) 不能防御新出現(xiàn)的威脅，不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊。

5) 防火墻對(duì)病毒的侵襲無能為力。

6) 靜態(tài)安全技術(shù)，需要人工來實(shí)施和維護(hù)，不能主動(dòng)跟蹤入侵者。

所以，防火墻并不是完全的網(wǎng)絡(luò)安全防護(hù)手段，要保護(hù)工業(yè)以太網(wǎng)的安全，就必須結(jié)合其它的安全措施。

3 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)(Intrusion Detection)，顧名思義，便是對(duì)入侵行為的發(fā)覺。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)的收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(Intrusion Detection System，簡(jiǎn)稱IDS)，其系統(tǒng)工作原理如圖2所示。事件信息通過信息收集器進(jìn)行收集，簡(jiǎn)單處理后交給事件分析器進(jìn)行分析，響應(yīng)單元根據(jù)分析的結(jié)果做出響應(yīng)。入侵檢測(cè)系統(tǒng)不僅可以使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。概括起來，入侵檢測(cè)系統(tǒng)可以提供以下幾個(gè)方面的功能:

1) 監(jiān)視、分析系統(tǒng)用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作;

2) 監(jiān)測(cè)系統(tǒng)安全漏洞，提示管理員修復(fù)漏洞;

3) 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;

4) 檢查系統(tǒng)的一致性和正確性;

5) 實(shí)時(shí)對(duì)攻擊行為做出反應(yīng);

6) 對(duì)操作系統(tǒng)審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

由此我們可以看到入侵檢測(cè)系統(tǒng)的許多功能是防火墻和防病毒軟件所不具備的，對(duì)于安全性能要求比較高的工業(yè)以太網(wǎng)，IDS是我們一個(gè)比較好的選擇。煤礦行業(yè)是一個(gè)比較特殊的行業(yè)，對(duì)各種設(shè)備的要求比較苛刻，在以太網(wǎng)的安全方面更是嚴(yán)格，為了保護(hù)煤礦工業(yè)以太網(wǎng)的安全，我們看一看IDS在煤礦工業(yè)以太環(huán)中的部署，見圖3。

從圖3我們可以看到在煤礦工業(yè)以太網(wǎng)中，入侵檢測(cè)系統(tǒng)分別部署在兩級(jí)防火墻之后，對(duì)流經(jīng)防火墻的信息進(jìn)行實(shí)時(shí)掃描，當(dāng)一些外部的攻擊繞過防火墻或一些攻擊防火墻無法阻擋時(shí)，入侵檢測(cè)系統(tǒng)便會(huì)根據(jù)預(yù)先制定的安全策略對(duì)這些攻擊做出響應(yīng)。IDS會(huì)根據(jù)攻擊特征的不同做出的不同響應(yīng)，有些是聲音報(bào)警提示系統(tǒng)安全人員注意網(wǎng)絡(luò)安全，有些則是把檢測(cè)到的入侵信息記錄到數(shù)據(jù)庫中供相關(guān)工作管理人員查詢參考，為下一步的網(wǎng)絡(luò)安全策略制定提供依據(jù)。入侵檢測(cè)系統(tǒng)的防護(hù)功能彌補(bǔ)了防火墻的一些缺點(diǎn)，使煤礦工業(yè)以太網(wǎng)的安全性能大為增強(qiáng)。

4 結(jié)論

工業(yè)以太網(wǎng)已成為當(dāng)前自動(dòng)化技術(shù)領(lǐng)域的熱門技術(shù)，具有遠(yuǎn)程監(jiān)控功能的工業(yè)以太網(wǎng)控制系統(tǒng)具有廣闊的應(yīng)用前景和研究?jī)r(jià)值，它對(duì)自動(dòng)化系統(tǒng)的體系結(jié)構(gòu)和控制方式的發(fā)展具有巨大的推動(dòng)作用。然而，工業(yè)以太網(wǎng)控制系統(tǒng)同時(shí)也必然存在著各種網(wǎng)絡(luò)安全隱患，這些安全隱患隨時(shí)威脅著系統(tǒng)的正常運(yùn)行。因此，在工業(yè)以太網(wǎng)控制系統(tǒng)設(shè)計(jì)過程中需要采用一些安全技術(shù)來盡量消除這些安全隱患。[5]工業(yè)以太網(wǎng)的安全是動(dòng)態(tài)的系統(tǒng)工程，入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全整體解決方案的重要一環(huán)，可以而且應(yīng)該將其融入到整體防御體系之中與目前的安全設(shè)備協(xié)同工作，共同保護(hù)我們的網(wǎng)絡(luò)安全。本文從工業(yè)以太網(wǎng)的安全狀況、防火墻的缺陷、入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)等方面入手，簡(jiǎn)單分析了入侵檢測(cè)系統(tǒng)在工業(yè)以太網(wǎng)中的應(yīng)用及其具體部署，入侵檢測(cè)系統(tǒng)在工業(yè)以太網(wǎng)中的應(yīng)用必將對(duì)網(wǎng)絡(luò)系統(tǒng)提供有效的安全性保護(hù)。

參考文獻(xiàn):

[1] 郭孟，錢江.一種工業(yè)以太網(wǎng)的控制網(wǎng)絡(luò)安全模型設(shè)計(jì)[J].微計(jì)算機(jī)信息，2008.

[2] 李世銀，錢建生.煤礦工業(yè)以太網(wǎng)網(wǎng)絡(luò)模型研究及應(yīng)用[J].華中科技大學(xué)學(xué)報(bào)，2007.

[3] 彭杰，應(yīng)啟戛.工業(yè)以太網(wǎng)的安全性研究[J].儀器儀表學(xué)報(bào)，2004.

[4] 任愷.工業(yè)以太網(wǎng)安全性初探[J].科協(xié)論壇，2008.

[5] 康軍，戴冠中.工業(yè)以太網(wǎng)控制系統(tǒng)安全性問題研究[J].信息與控制，2007.