摘 要:2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,给其核电系统造成了不可挽回的损失,也为各个企业的工业网络使用安全提供警示。目前,很多企业都把工业网络的安全防护提到了前所未有的高度,加大了人力和经济的投入,确保内部核心网络的安全。结合从事煤矿工业网络维护经验,分析了目前工业网络应用存在的问题。
关键词:工业网络;应用;分析
随着信息网络技术的发展,网络传输速率、稳定性、可靠性等有了很大的进步,技术的进步促进了以太网络向工业网络的延伸。工业网的应用是对传统以太网络技术的延伸,是工业网络协议和以太网络协议的结合。而现实的技术发展满足了工业网络应用的几个关键需求,首先,以太网满足了工业网实时性的要求,快速交换机和光纤通讯的普遍应用,建设1000M、10G的内部工业网成为普遍,满足了工业控制对实时性的要求,其次满足了工业网稳定性的要求,技术的不断进步对于网络设备的性能大为提升,专用的工业网络交换机能够在很宽的温度范围内正常工作,能够适应严酷的工业生产环境,保证了工业网络的稳定性,这是工业网络得以应用推广的关键因素,使得工业网能够实现实时控制、实时监控、实时响应、远程系统监视等。工业自动化网络的应用广度和深度都达到了前所未有的高度,也为企业带来了可观的经济效益和社会效益。
1 工业以太网技术的特点
1.1 网络传输的时效性
工业网络不同于一般的应用网络,少许的延迟、丢包等问题不会太影响用户的感受,也不会造成什么大的损失,而工业控制网络则不同,有些应用系统的控制需要很频繁的定时刷新现场的设备控制参数,如果网络延迟、丢包等会给工业网络的控制系统造成巨大的隐患,可能引起很大的事故,传统的以太网络性能不能满足工业控制网络的需求,所以传统的工业控制还是以总线现场控制为多。但是快速以太网络的发展,为工业网的发展带来了新的契机,也奠定的目前工业网络快速发展的基础,快速以太网的发展主要有以下几个方面:(1)交换机性能的大幅提升和光纤通信的普遍应用,以太网的传输速度逐步发展到目前的100M、1000M、10G甚至更高,加之路由多功能应用,数据包分别转发,避免数据的碰撞,使得网络信号传输效率更高,完全满足工业网对实时性的要求;(2)工业网中使用的交换机都有数据存储、转发的功能,通过划分VLAN,使得工业网络中传输的数据根据不同的网段传输,避免数据的相互干扰,也提高了系统中数据传输的稳定性,这一特点也为工业网的广泛应用提供基础。一个网络可以接入不同的控制系统和应用系统,系统之间互不干扰,以目前我矿工业网的运行为例则接入了视频系统,人员定位系统、电力监控系统等;(3)网络中的设备端口大都支持全双工通讯,数据在发送的时候能够接收数据,使得网络系统通讯的时效性大大提高,而且目前使用的交换机、光纤接口等部件为模块化设计,出现问题能够及时的进行恢复和处理,也提高了系统运行的时效性和可维护性。
1.2 系统具有很高的稳定性与可靠性
尽管工业现场的环境极为恶劣,但本身又要求系统具有极高的稳定性和可靠性,满足实时性以及设备的不间断运行。一般表现在两个方面的设计特点,首先是专用工业级的网络应用设备的高性能,比如工业交换机相对于一般使用的交换机,具有更高的适应环境能力,很高的温度适应范围,具备冗余电源保证供电系统的稳定,以适应极端的工作环境。其次是网络结构的设计要有充分的冗余,一般通过是环网设计、链路聚合,一个节点或是一段网络通信线缆出现问题后不影响整体的网络的运行。尤其是在煤矿井下的恶劣环境中更要考虑线缆传输的安全稳定。再者是设备的可维护性强,现在的设备一般采用模块化安装,转换接口模块化,模块要有充分的备用,有问题能够及时得到处理,保证系统的稳定性和可靠性。
2 工业网络的安全防护问题
工业网络的应用广度和深度都达到了前所未有的高度,提高了工厂企业的运作效率,提高了企业的经济效益,但是依赖网络的系统运行也存在一定的风险,如果不能够很好的避免和防护,同样也会给企业造成很大的损失,工业网络面临的安全风险问题主要有以下几个方面。
(1)硬件网络设备风险,首先是交换机,端口模块等,工业网络需要的是24小时不间断的运行,而且部分环境及其恶劣,高温高湿度,尽管设备有很好的性能,但还是不可避免的会遇到设备损坏问题,这个问题要在建网之初,充分考虑做好预案。
如做好设备冗余、热备、电源冗余,故障检测手段等,保证工业网络所运行的设备能够不间断的运行。再者是数据传输线路的问题,网络信号的传输现在大都是通过光纤传输,线路的维护在运行中同样重要,尤其是在煤矿井下,这一点就显得极为重要,井下铺设的光缆通信线路一般是依附巷帮而铺设,如果遇到巷道帮来压没有及时发现就有可能造成通讯中断问题。
(2)操作系统和杀毒软件的更新问题。工业网络一般是内部网络,为安全起见一般和外部网络隔离,这样就造成内部网络的计算机操作系统和杀毒软件无法升级,为系统安全留下隐患。
针对这样的问题要有专门的维护人员定期进行系统和杀毒关键的升级,升级有两种方式一是经过防火墙、网闸防毒墙等安全设备直接连接到外部网络进行升级,二是通过专用的存储工具下载升级包在内网计算机上升级,升级前做好系统的备份,出现不兼容等问题时能够及时恢复。
(3)使用U盘、光盘、笔记本接入导致的病毒传播问题。内网设备在运行中,会不可避免的使用到U盘、光盘等进行资料的转移和处理,这就给整个内部工业网络的运行造成了一个很大的隐患,因为一旦出现病毒感染,可能对整个内网的设备是致命的,会给企业造成无法挽回的损失,这个问题通过两个方面做好这工作,一是可以通过系统的安全设置禁止系统的UBS接口和光盘的使用,相应的内网电脑都要设置足够复杂的开机密码和屏保密码。二是加强人员的管理,机房建立访问登记制度,处理故障使用专用的笔记本等,避免出现通过存储介质引入病毒的情况。
(4)存在工业控制系统被有意或无意控制的风险问题。如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。
因此要完善工业控制系统的监控和管理措施,做到各部分操作有记录可查,责任到人。
(5)工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题,这个问题主要是完善监控系统建设,把系统设备运行的主要参数,集成到一个系统中来,实现对服务器和网络设备的实时监控,有故障及时发现,其次是建立合理的人员巡查制度,及时发现和解决问题。
3 结束语
国内外发生了多起由于工控系统安全问题而造成的生产安全事故。给企业造成很大的经济损失,同时也影响到国家的安全的问题,为此,工信部2011年10月下发了“关于加强工业控制系统信息安全管理的通知”,要求各级政府和国有大型企业切实加强工业控制系统安全管理。可见工业网络的安全不同于一般网络的安全,更关乎一个企业的安全和效益,甚至国家的利益,尽管工业网络在应用实施和运行中不可避免会出现各种问题,但信息化的发展是一个趋势,网络的应用必然会越来越广泛,不断有新的系统接入到网络,只要防控得当,就能充分发挥工业网络的高效便捷,避免风险带来的损失。
参考文献
[1]中华人民共和国工业和信息化部.关于加强工业控制系统信息安全管理的通知[S].
[2]王浩,吴中福,王平.工业控制网络安全模型研究[J].计算机科学,2007,34(5):96-98.
[3]兰昆,饶志宏,唐林,等.工业SCADA系统网络的安全服务框架研究[J].信息安全与通信保密,2010(3):47-49