工業控制網路安全

2021-10-20 13:11:44 字數 1884 閱讀 6265

在資訊化和工業化深度結合,即兩化融合的趨勢下,智慧型製造也應運而生,例如現在的電廠都推行智慧型電廠。在工業生產環境利用感測裝置獲取各環節、各裝置的資訊,利用計算機自動化採集用於搭建管控平台,亦或是利用龐大的資料進行建模,分析工業生產環境所存在的問題、系統所存在的脆弱性等,這樣的做法在工控行業越來越常見。

這種新的模式便於對工廠的資料進行集中式管理,使得現場裝置操作更加智慧型化和科學化,盡力減少以往手動操作導致的誤操作和人為主觀的判斷。

工業環境中的智慧型製造,對工控網路也提出了更高的要求,必須比常用網路結構更加穩定可靠。因此,構建專用工控網路,使其能夠適應現場不同廠家裝置、不同協議以及不同生產環境的要求,例如實時性、可靠性等,並協調裝置完成智慧型製造和智慧型控制,顯得尤為重要。

無論是智慧型城市還是智慧型製造,感測裝置是最基礎的設施,主要用於獲取裝置和現場資料,是進行後續建模、分析、管控的基礎。在工業控制中的通訊是其核心關鍵環節,是後續工作的支撐。

在構建工控網路中,各個感知裝置節點大多呈現多源異構性,由於各種因素作用的結果,導致現在各裝置積累了大量採用不同儲存方式的資料,包括採用的系統大不相同,從簡單的檔案資料庫到複雜的網路資料庫。在工控領域更是如此,出於總體安全性的考慮,招標的專案各廠家的裝置佔比都有一定份額,不會讓一家獨大,因此出現多源異構性是不可避免的。

在工業物聯網的構建中,感測系統要求使用輕量級密碼演算法、輕量級密碼協議、可設定安全等級的密碼技術等。應用於工控領域的協議演算法,要求使用輕量級的,主要是擔心影響實時性的要求,加密解密等安全措施在工業網際網路中會浪費一定的資源和時間。

工業網路對通訊具有實時性、可用性和可靠性等特殊要求。在工控系統中,資源堵塞、線路擁擠極易造成問題的,因為控制系統對於指令的要求常常是毫秒級的,因此在工控網路中的所使用的加密認證技術需要「顧全大局」,在工控領域有一句話,業務大於安全,這也體現出現國內工控領域的現狀。

工業控制系統中的通訊裝置分為有線和無線兩種方式,有線通訊通常採用串列埠通訊、現場匯流排通訊、工業乙太網通訊以及通訊協議轉換裝置,包括工業路由器、工業交換機等裝置。無線通訊常用無線訪問節點、無線網橋、無線網絡卡以及天線等裝置。

其中,現場匯流排通訊是將感測器、繼電器等現場裝置與現場控制裝置相連,其通常包含plc(可程式設計邏輯控制器)、dcs(分布式控制系統)等,主要是利用現場匯流排技術將採集到的資料傳輸到控制系統,以便生產控制。

而工業路由器、工業交換機等裝置主要是在吞吐量、路由表能力、背板能力、背靠背幀數、丟包率等效能上有所提公升,並且應用領域更為廣泛。工控環境的過程處理對速度要求較高,多使用現場匯流排,其使用的是數字通訊連線裝置。實際上,分析工控通訊裝置,最重要的就是分析其相關的通訊協議。

將tcp/ip與現場匯流排融合,工業乙太網通訊協議應運而生,如ethernet/ip、profinet等。傳統的現場匯流排最高速率只有12mb/s(如西門子profibus-dp),而1gb/s乙太網技術也逐漸成熟,顯然乙太網的速度快得多,更能滿足工業現場的需求。與此同時,應用廣泛與公開化更使得其發展。

最後談談通訊時存在的問題和應用拓展:

實時性,無論是在現場匯流排控制中的plc、dcs系統,還是上一級的scada系統,無一不對資料傳輸的實時性提出了很高的要求。在工業控制網路中,搭建具有高可靠性的網路架構是基礎,因為延誤而造成的損害是巨大且持久的。

海量資料傳輸,工控網路中必須保證資料傳輸的準確性。另一方面是異構、異質通訊融合。異質、異構,不同裝置、不同協議,異構網路中的每個通訊節點都具備自路由的功能,裝置通過異構、異質全面融合,實現不同通訊機制的裝置間相互通訊。異構融合是指採用不同型別通訊技術的裝置實現互聯互通,並擁有較高的服務質量(qos);異質融合是指採用同一型別通訊技術但硬體不相容的裝置之間實現互聯互通。

zigbee等系列的工業無線通訊應用,其作為低速短距離傳輸的無線網路協議,還可實現gps功能。在工控領域,無線通訊的應用幾個必須考慮的問題,一方面是資料的完整性,無線傳播易被非法篡改和現場其他裝置影響;另一方面,無線傳輸的速率較低且容易被外界影響。在工業無線通訊應用的最大瓶頸為其可靠性。

網路安全 接入控制和訪問控制

接入控制只允許授權接入網路的使用者所使用的終端接入網路,相應的協議ppp協議 其中ppp本身是載體協議,口令鑑別協議pap 挑戰握手協議chap,ip控制協議ipcp 802.1x標準 wpa2 其中擴充套件鑑別協議eap 訪問控制只允許每乙個使用者訪問授權該使用者訪問的網路資源,由kerberos...

網路安全課 11 訪問控制

開放某一層所提供的服務用以保證系統或資料傳輸足夠的安全性 根據iso7498 2,安全服務包括 1.實體認證 entity authentication 2.資料保密性 data confidentiality 3.資料完整性 data integrity 4.防抵賴 non repudiation...

網路安全策略和網路安全機制

考研初試專業課中的乙個題目,考的是有關安全機制和安全策略有關的方面,在專業課教材裡翻了好久沒有找到相關的內容,拿到複試的教材後發現才裡面有提到 於是今天拿出來總結一下好了安全策略是指在乙個特定的環境裡,為保證提供一定安全級別的安全保護所必須遵守的規則。主要包括以下內容 隨著應用環境的不同 實施客體的...