工业以太网的安全要求
工业以太网的安全要求
工业以太网的安全要求1 工业以太网的特点及安全要求虽然脱胎于Intranet、Internet等类型的信息网络,但是工业以太网是面向生产过程,对实时性、可靠性、安全性和数据完整性有很高的要求。
既有与信息网络相同的特点和安全要求,也有自己不同于信息网络的显著特点和安全要求:(1)工业以太网是一个网络控制系统,实时性要求高,网络传输要有确定性。
(2)整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工业以太网以及现场设备层(如现场总线)。
管理层通用以太网可以与控制层的工业以太网交换数据,上下网段采用相同协议自由通信。
(3)工业以太网中周期与非周期信息同时存在,各自有不同的要求。
周期信息的传输通常具有顺序性要求,而非周期信息有优先级要求,如报警信息是需要立即响应的。
(4)工业以太网要为紧要任务提供最低限度的性能保证服务,同时也要为非紧要任务提供尽力服务,所以工业以太网同时具有实时协议也具有非实时协议。
基于以上特点,有如下安全应用要求:(1)工业以太网应该保证实时性不会被破坏,在商业应用中,对实时性的要求基本不涉及安全,而过程控制对实时性的要求是硬性的,常常涉及生产设备和人员安全。
(2)当今世界舞台,各种竞争异常激烈。
对于很多企业尤其是掌握领先技术的企业,作为其技术实际体现的生产工艺往往是企业的根本利益。
一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。
所以在工业以太网的数据传输中要防止数据被窃取。
(3)开放互联是工业以太网的优势,远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性,打破了时空的限制,但是对于这些应用必须保证经过授权的合法性和可审查性。
2 工业以太网的应用安全问题分析(1)在传统工业工业以太网中上下网段使用不同的协议无法互操作,所以使用一层防火墙防止来自外部的非法访问,但工业以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,所以使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。
工业网络安全标准
工业网络安全标准
工业网络安全标准可分为以下几个方面:
1. 网络架构安全:确保工业网络的设计和架构满足安全要求,包括网络拓扑、子网划分、主机配置等。
2. 访问控制安全:通过身份验证、权限管理、访问控制列表等技术,限制对工业网络的访问权限,防止非法入侵和未授权操作。
3. 数据传输安全:使用加密和认证技术,确保工业网络中传输的数据的机密性、完整性和可用性。
4. 设备安全管理:对工控设备进行管理和监视,确保设备的正常运行和安全防护。
5. 事件管理与响应:建立事件管理和响应机制,及时检测和应对工业网络中的安全事件,减小安全风险。
6. 安全培训与意识:加强工业网络用户的安全意识,提供相关培训和教育,增强他们对工业网络安全的认识和应对能力。
7. 安全审计与风险评估:定期进行安全审计和风险评估,发现潜在的安全漏洞和风险,并采取相应措施加以应对和改进。
8. 安全合规性:确保工业网络的安全措施符合相关法律法规和标准的要求,并定期进行合规性审查和整改。
井下工业以太环网管理规定
井下工业以太环网管理规定井下工业以太环网是我矿全面实现井下工业自动化和信息化整合的基础,是井下各类设备工况信息采集、传输的基础和平台.我矿将在此基础上逐步实现井下电网、皮带运输、轨道运输、采掘设备、煤仓仓位、供排水、供液等系统信息的采集、传输、集成。
为保证井下工业以太环网、井下人员定位系统和瓦斯监测监控系统安全、可靠、稳定、高效运行,特制定本管理规定。
一、井下工业以太环网管理规定第一条信息中心负责井下工业以太环网的整体规划、设计、延伸、改造、运行维护和管理。
第二条信息中心负责井下工业以太环网相关线路和设备的巡检、保养、维护和管理,发现问题及时组织处理.井下无法处理时,应在8小时内换上备用零件(更换期间应采取相应的安全措施).第三条未经信息中心允许,不得私自改变井下工业以太环网及其上运行的其他系统相关线路、设备、附属设施及其接连关系。
第四条机电工区负责井下工业以太环网及运行系统相关设备电源防爆管理.第五条井下工业以太环网交换机主要安装在各个采区配电室,设备安全及用电保障由责任单位负责.布设地点如下表:第六条井下工业以太环网光缆铺设在大巷和轨道巷中,运输工区负责大巷中光缆线路安全,通风工区负责轨道巷中光缆线路安全。
第七条因生产实际需要井下工业以太环网线路改路、延长或出现其它情况的,由当事单位和信息中心协调,信息中心负责方案的提供及施工组织,相关单位积极配合。
第八条由于生产施工造成工业以太环网相关线路、设备及附属设施故障影响井下工业以太环网通讯时,由事故单位及时向矿总调和信息中心汇报,由信息中心组织相关人员抢修。
第九条信息中心对工业以太环网线路、设备及附属设施进行巡检或维修时,运输工区和通风工区安排专人配合。
第十条在井下工业以太环网上运行的相关系统另行制定管理制度.二、井下人员定位系统管理规定第一条信息中心负责井下人员定位系统的整体规划、设计、延伸、改造、运行维护和管理。
第二条在井下工业以太环网上运行的井下人员定位系统相关线路设备由信息中心负责维护和管理。
工业以太网协议
工业以太网协议工业以太网协议(Industrial Ethernet Protocol)是一种用于工业领域的以太网通信协议,它结合了以太网的高带宽和工业自动化的可靠性和实时性需求。
工业以太网协议被广泛应用于工业控制系统、工厂自动化和机器人控制等领域。
工业以太网协议与传统的以太网相比有以下几点特点:1. 实时性:工业控制系统需要实时传输和处理数据,工业以太网协议提供了实时性能,可以满足实时控制和监控的需求。
2. 可靠性:工业环境中存在较多的电磁干扰、温度变化和振动等因素,工业以太网协议采取了诸如冗余通信、自适应传输速率和纠错机制等措施,提高了通信的可靠性。
3. 安全性:工业网络需要防止数据泄露、篡改和非法访问等安全威胁,工业以太网协议支持数据加密和认证机制,提供了较高的安全性保障。
4. 扩展性:工业以太网协议支持灵活的网络拓扑结构和设备连接方式,可以方便地扩展和更改网络规模和拓扑。
5. 互联性:工业以太网协议与传统的以太网兼容性强,可以与现有的以太网设备和技术无缝集成,提高了工业网络的互联性。
工业以太网协议包括多种不同的通信协议和协议簇,如乙太网/IP(Ethernet/IP)、PROFINET、Modbus TCP等。
每种协议都有各自的特点和适用场景。
以乙太网/IP为例,它采用了以太网和TCP/IP协议作为基础,并加入了针对工业控制的特殊功能和协议。
它支持实时控制、实时数据传输和设备管理等功能,并提供了与其他协议的互操作性。
在工业以太网协议中,数据传输一般采用分组交换方式,数据分组按照优先级和实时性要求进行排序和传输,确保控制数据能够及时到达目标设备。
同时,工业以太网协议还支持多路径冗余传输、广播和组播等特性,提高了网络的可靠性和效率。
总之,工业以太网协议是一种专门为工业环境设计的通信协议,它融合了以太网和工业自动化的需求,具有实时性、可靠性、安全性、扩展性和互联性等特点。
随着工业自动化和数字化的发展,工业以太网协议将在工业控制系统和工厂自动化中扮演越来越重要的角色。
工业以太网布线安装注意事项
工业以太网布线安装注意事项一般来说工业现场在震惊,湿气,温度上都要比一般环境恶劣多,所以工业对以太网专业的学问和实践阅历提出更高的要求。
在安装或者使用一种工业以太网(工业以太网交换机)之前,对于布线、信号质量、接地回路、交换机和通讯这些内容你必需要充分了解否则会增加你后期的维护成本。
布线工业以太网的优劣直接受电缆优劣的影响。
而且工业环境中除了受高电磁干扰(EMI)以外,还经常受温度、粉尘、湿度以及其他在办公环境或家庭中不常见的因素影响。
不同的电缆适合不同的网络,应当依据所需选择适合自身环境的电缆,例如10MB的网络,选择5类电缆即可,而100MB网络用5e类就比较合适了。
6类电缆能够要在55米范围内实现10GB网络,100米的范围内实现1GB网络。
假如要想在100米范围内实现10GB,那么6e类就比较合适了。
依据ANSI/TIA-1005标准,我们知道6类电缆或者更好的电缆可以满意工业环境中的主机或者设备连接的要求。
除此之外,对抗干扰和外部EMI噪声影响来看,6类电缆相比较5类电缆和5e电缆要强的多。
由于工业环境的恶劣性,要求对工业以太网电缆的设计必需要能够抵挡四周环境对电缆的物理侵蚀。
在安装电缆时,确保RJ45接口和插座也能够达到相应的等级。
比较有效的使用方法是,长距离布线时使用插座。
短距离布线时,使用事先预备好的的接插电缆,并且在工厂内安装连接器。
电缆、屏蔽、接地回路在工业中有些应用场合经常需要做屏蔽,屏蔽电缆安装不当,效果会适得其反。
当屏蔽以太网电缆超出爱护套管时,在EMI环境中的性能更好。
接地良好是屏蔽电缆的关键。
一个接地参考点更是关键中的关键。
多个接地连接形成接地回路,由于接地连接处电势的不同,噪声就引入了电缆中。
这些形成的接地回路会给你的网络带来破坏很大,解决的方法是,在电缆的一端使用接地RJ45接口,另一端使用绝缘的RJ45接口,这样就可以接地回路的可能性给消退。
在以太网电缆与电源电缆交叉布线中,对交叉角度也有所要求。
工业以太网布线注意事项
工业以太网布线注意事项工业现场的环境比普通环境都要恶劣,至少在震动,湿气,温度上都要比普通环境恶劣,需要更多专业的知识和实践经验。
如果你正在安装或者使用一种工业以太网(工业以太网交换机),那么关于布线、信号质量、接地回路、交换机和通讯这五点内容必须要了解否则容易出现故障,更使维护成本上升。
1、布线问题和所有网络一样,电缆的优劣直接影响工业以太网的优劣。
而且除了高电磁干扰(EMI),工业环境中还经常有某种等级的温度、粉尘、湿度以及其他在家庭和办公环境中不常见的影响因素。
所以,如何选择电缆?在办公室内,商业等级的电缆,例如5类电缆,比较适合于10MB的网络,而5e类电缆适合于100MB网络。
根据ANSI/TIA-1005标准所述,6类电缆或者更好的电缆可以用于工业环境中的主机或者设备连接。
6类电缆能够在100米的范围内实现1GB网络,55米范围内实现10GB网络。
6e类电缆可以在100米范围内实现10GB网络。
相比于5类电缆和5e类电缆,6类电缆不易受串扰和外部EMI噪声影响。
工业以太网电缆的设计能够抵御更加严酷的工业环境对电缆的物理侵蚀。
在安装6类电缆时,确保RJ45接口和插座也能够达到6类等级。
最好的使用方法是,短距离布线时,使用预先做好的接插电缆,并在工厂内安装连接器。
长距离布线时使用插座。
2、电缆、屏蔽、接地回路一些应用场合需要做屏蔽,但是如果屏蔽电缆安装不当,那么会适得其反。
当超出保护套管时,屏蔽以太网电缆在EMI环境中的性能更好。
良好的接地是使用屏蔽电缆的关键。
一个接地参考点是关键中的关键。
多个接地连接会形成接地回路,不同接地连接处电势的不同会在电缆中引入噪声。
接地回路会给你的网络带来巨大的破坏,为了解决这个问题,只在电缆的一端使用接地RJ45接口,另一端使用绝缘的RJ45接口以消除接地回路的可能性。
如果以太网电缆与电缆交叉布线,那么交叉角度颇有讲究。
将并列的以太网电缆和电源电缆相隔至少8到1 2英寸,如果电压较高或者并列距离较长,那么这个间隔距离应该更大。
工业以太网络技术解决方案
工业以太网络技术解决方案
简介
工业以太网络技术是一种用于实现工业自动化的网络通信技术。
它与传统的以太网相比,具有更高的可靠性、安全性和实时性,能
够满足工业现场的特殊通信需求。
本文将介绍工业以太网络技术的
主要特点和应用案例。
特点
1. 高可靠性:工业以太网络技术采用冗余设计和网络拓扑结构,能够容忍节点故障和网络中断,保证工业设备的稳定运行。
2. 高安全性:工业以太网络技术使用安全认证和加密机制,能
够防止网络攻击和数据泄露,确保工业系统的安全性和保密性。
3. 实时性:工业以太网络技术通过时间同步和优化传输机制,
能够实现微秒级的数据传输延迟,满足工业现场对实时性的要求。
4. 灵活性:工业以太网络技术支持多种传输介质和通信协议,
适用于不同的工业应用场景,具有很高的灵活性和扩展性。
应用案例
1. 工业自动化:工业以太网络技术广泛应用于工业自动化领域,实现设备之间的通信和数据交换,提高生产线的效率和可靠性。
2. 物联网:工业以太网络技术可以作为物联网的底层通信基础
设施,连接传感器、设备和云平台,实现设备的远程监控和管理。
3. 智能电网:工业以太网络技术可以应用于智能电网系统,实
现电力设备之间的通信和协调,提高电网的稳定性和效率。
4. 智能交通:工业以太网络技术可以应用于智能交通系统,实
现车辆之间的通信和交互,提高交通流量的控制和安全性。
结论
工业以太网络技术是一种可靠、安全、实时的通信技术,适用
于工业自动化、物联网、智能电网和智能交通等领域。
它的应用将
会推动工业的数字化转型,提升工业生产的效率和质量。
工业以太网标准和环境要求
工业以太网标准和环境要求工业中的通讯要求与办公环境有着天壤之别。
要考虑到通讯中的每一方面,比如网络中的主动和被动元件,终端设备,网络设计和拓扑结构,甚至环境要求等因素。
而且在制造和掌握自动化行业中还要使用TCP/IP协议。
从而能够优化工业通讯。
工业以太网的基本思想就是通过开发觉存的网络标准,使各装置和整个系统适应现场环境的需求。
所谓主动元件,主要指如OLM,ELM,OSM,ESM等元件,它们连接不同的终端设备,不仅传送数据,还具有更多的智能功能。
而被动元件是同轴电缆,双绞线和光纤这样的传输介质,它们只能对数据进行传送,不具有判定,分析的功能。
标准:工业以太网机遇相应的国际标准,比如IEEE802.3,ISO/IEC 11801,EN 50173,并结合了各标准中的优点。
通常状况下,在工业以太网和经典以太网间各元件不存在相互影响的状况。
但在如同生产和过程掌握环境下,不得不考虑设备兼容的问题,由于工业以太网与经典以太网还是有不同之处,比如工业双绞线的连接,冗余要求等。
除了标准有所不同外,工业以太网还在一些功能上有自己的特点,也是经典以太网不能供应的功能。
环境要求:环境要求在工业场合与办公环境有很大差异。
工业中必需符合EMC标准。
工业与办公环境的要求主要是以下方面:1)EMC(电磁干扰的敏感性;干扰信号的传输);2)温度;3)振动;4)湿度;5)环境污染。
工业以太网就要求有很高的传输效率和很强的抗干扰力量,甚至要满意恶劣条件下的各种要求。
机架:工业以太网肯定要使用全金属机架。
作为一条法则,要使用符合DIN标准的导轨,掌握箱等设备,而且还要满意空间尺寸的要求,以及设备所能承受的振动防护要求。
温度范围:传送的网络设备的温度范围在0到40摄氏度。
但在工业环境下,要保证设备能够承受低温柔高温,通常工作环境的温度会超过50摄氏度,所以工业以太网的设备温度范围在0到60摄氏度之间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
工业以太网的安全要求
1 工业以太网的特点及安全要求
虽然脱胎于Intranet、Internet等类型的信息网络,但是工业以太网是面向生产过程,对实时性、可靠性、安全性和数据完整性有很高的要求。
既有与信息网络相同的特点和安全要求,也有自己不同于信息网络的显著特点和安全要求:
(1)工业以太网是一个网络控制系统,实时性要求高,网络传输要有确定性。
(2)整个企业网络按功能可分为处于管理层的通用以太网和处于监控层的工业以太网以及现场设备层(如现场总线)。
管理层通用以太网可以与控制层的工业以太网交换数据,上下网段采用相同协议自由通信。
(3)工业以太网中周期与非周期信息同时存在,各自有不同的要求。
周期信息的传输通常具有顺序性要求,而非周期信息有优先级要求,如报警信息是需要立即响应的。
(4)工业以太网要为紧要任务提供最低限度的性能保证服务,同时也要为非紧要任务提供尽力服务,所以工业以太网同时具有实时协议也具有非实时协议。
基于以上特点,有如下安全应用要求:
(1)工业以太网应该保证实时性不会被破坏,在商业应用中,对实时性的要求基本不涉及安全,而过程控制对实时性的要求是硬性的,常常涉及生产设备和人员安全。
(2)当今世界舞台,各种竞争异常激烈。
对于很多企业尤其是掌握领先技术的企业,作为其技术实际体现的生产工艺往往是企业的根本利益。
一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标。
所以在工业以太网的数据传输中要防止数据被窃取。
(3)开放互联是工业以太网的优势,远程的监视、控制、调试、诊断等极大的增强了控制的分布性、灵活性,打破了时空的限制,但是对于这些应用必须保证经过授权的合法性和可审查性。
2 工业以太网的应用安全问题分析
(1)在传统工业工业以太网中上下网段使用不同的协议无法互操作,所以使用一层防火墙防止来自外部的非法访问,但工业以太网将控制层和管理层连接起来,上下网段使用相同的协议,具有互操作性,所以使用两级防火墙,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限合法用户的不同授权。
另外还可用根据日志记录调整过滤和登录策略。
要采取严格的权限管理措施,可以根据部门分配权限,也可以根据操作分配权限。
由于工厂应用专业性很强,进行权限管理能有效避免非授权操作。
同时要对关键性工作站的操作系统的访问加以限制,采用内置的设备管理系统必须拥有记录审查功能,数据库自动记录设
备参数修改事件:谁修改,修改的理由,修改之前和之后的参数,从而可以有据可查。
(2)在工业以太网的应用中可以采用加密的方式来防止关键信息窃取。
目前主要存在两种密码体制:对称密码体制和非对称密码体制。
对称密码体制中加密解密双方使用相同的密钥且密钥保密,由于在通信之前必须完成密钥的分发,该体制中这一环节是不安全的。
所以采用非对称密码体制,由于工业以太网发送的多为周期性的短信息,所以采用这种加密方式还是比较迅速的。
对于工业以太网来说是可行的。
还要对外部节点的接入加以防范。
(3)工业以太网的实时性目前主要是由以下几点保证:限制工业以太网的通信负荷,采用100M的快速以太网技术提高带宽,采用交换式以太网技术和全双工通信方式屏蔽固有的CSMA/CD机制。
随着网络的开放互连和自动化系统大量IT技术的引入,加上TCP/IP协议本身的开放性和层出不穷的网络病毒和攻击手段,网络安全可以成为影响工业以太网实时性的一个突出问题。
1)病毒攻击。
在互联网上充斥着类似Slammer、“冲击波”等蠕虫病毒和其它网络病毒的袭击。
以蠕虫病毒为例,这些蠕虫病毒攻击的直接目标虽然通常是信息层网络的PC机和服务器,但是攻击是通过网络进行的,因此当这些蠕虫病毒大规模爆发时,交换机、路由器会首先受到牵连。
用户只有通过重启交换路由设备、重新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。
蠕虫病毒攻击能够导致整个网络的路由震荡,这样可能使上层的信息层网络部分流量流
入工业以太网,加大了它的通信负荷,影响其实时性。
在控制层也存在不少计算机终端连接在工业以太网交换机,一旦终端感染病毒,病毒发作即使不能造成网络瘫痪,也可能会消耗带宽和交换机资源。
2)MAC攻击。
工业以太网交换机通常是二层交换机,而MA C地址是二层交换机工作的基础,网络依赖MAC地址保证数据的正常转发。
动态的二层地址表在一定时间以后(AGE TIME)会发生更新。
如果某端口一直没有收到源地址为某一MAC地址的数据包,那么该MAC地址和该端口的映射关系就会失效。
这时,交换机收到目的地址为该MAC地址的数据包就会进行泛洪处理,对交换机的整体性能造成影响,能导致交换机的查表速度下降。
而且,假如攻击者生成大量数据包,数据包的源MAC地址都不相同,就会充满交换机的MAC地址表空间,导致真正的数据流到达交换机时被泛洪出去。
这种通过复杂攻击和欺骗交换机入侵网络方式,近来已有不少实例。
一旦表中MAC地址与网络段之间的映射信息被破坏,迫使交换机转储自己的MAC地址表,开始失效恢复,交换机就会停止网络传输过滤,它的作用就类似共享介质设备或集线器,CSMA/CD机制将重新作用从而影响工业以太网的实时性。
目前信息层网络采用的交换机安全技术主要包括以下几种。
流量控制技术,把流经端口的异常流量限制在一定的范围内。
访问控制列表(ACL)技术,ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。
安全套接层(SSL) 为所有HTTP流量加密,允许访问交换机上基于浏览器的管理GUI。
802.1x和RADIUS 网络登录控制基于端口的访问,以进行验证和责任明晰。
源端口过滤只允许指定端口进行相互通信。
Secure Shell (S SHv1/SSHv2) 加密传输所有的数据,确保IP网络上安全的CLI远程访问。
安全FTP 实现与交换机之间安全的文件传输,避免不需要的文件下载或未授权的交换机配置文件复制。
不过,应用这些安全功能仍然存在很多实际问题,例如交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。
同时,如何设定一个合适的阈值也比较困难。
一些交换机具有ACL,但如果ASIC支持的ACL少仍旧没有用。
一般交换机还不能对非法的A RP(源目的MAC为广播地址)进行特殊处理。
网络中是否会出现路由欺诈、生成树欺诈的攻击、802.1x的DoS攻击、对交换机网管系统的DoS攻击等,都是交换机面临的潜在威胁。
在控制层,工业以太网交换机,一方面可以借鉴这些安全技术,但是也必须意识到工业以太网交换机主要用于数据包的快速转发,强调转发性能以提高实时性。
应用这些安全技术时将面临实时性和成本的很大困难,目前工业以太网的应用和设计主要是基于工程实践和经验,网络上主要是控制系统与操作站、优化系统工作站、先进控制工作站、数据库服务器等设备之间的数据传输,网络负荷平稳,具有一定的周期性。
但是,随着系统集成和扩展的需要、IT技术在自动化系统组件的大力应用、B/S监控方式的普及等等,对网络安全因素下的可用性研究已经十分必要,例如猝发流量下的工业以太网交换机的
缓冲区容量问题以及从全双工交换方式转变成共享方式对已有网络性能的影响。
所以,另一方面,工业以太网必须从自身体系结构入手,加以应对。
3 结语
工业以太网应用的安全问题与商用的信息网络相比,既有共性又有明显的差异,在信息网络上运用很成熟的安全技术和理念没有考虑工业生产特点,很多不能直接应用于工业以太网。
在工业以太网应用时,不能只按控制逻辑和网络性能来考虑,还要考虑上述因素。