青草国产精品久久久久久,国产高清一区二区三区视频,免费av一区二区三区,午夜熟女插插XX免费视频

　　工業(yè)以太網(wǎng)的應用安全問題分析

　　(1)在傳統(tǒng)工業(yè)工業(yè)以太網(wǎng)中上下網(wǎng)段使用不同的協(xié)議無法互操作，所以使用一層防火墻防止來自外部的非法訪問，但工業(yè)以太網(wǎng)將控制層和管理層連接起來，上下網(wǎng)段使用相同的協(xié)議，具有互操作性，所以使用兩級防火墻，第二級的防火墻用于屏蔽內部網(wǎng)絡的非法訪問和分配不同權限合法用戶的不同授權。另外還可用根據(jù)日志記錄調整過濾和登錄策略。

　　要采取嚴格的權限管理措施，可以根據(jù)部門分配權限，也可以根據(jù)操作分配權限。由于工廠應用專業(yè)性很強，進行權限管理能有效避免非授權操作。同時要對關鍵性工作站的操作系統(tǒng)的訪問加以限制，采用內置的設備管理系統(tǒng)必須擁有記錄審查功能，數(shù)據(jù)庫自動記錄設備參數(shù)修改事件：誰修改，修改的理由，修改之前和之后的參數(shù)，從而可以有據(jù)可查。

　　(2)在工業(yè)以太網(wǎng)的應用中可以采用加密的方式來防止關鍵信息竊取。目前主要存在兩種密碼體制：對稱密碼體制和非對稱密碼體制。對稱密碼體制中加密解密雙方使用相同的密鑰且密鑰保密，由于在通信之前必須完成密鑰的分發(fā)，該體制中這一環(huán)節(jié)是不安全的。所以采用非對稱密碼體制，由于工業(yè)以太網(wǎng)發(fā)送的多為周期性的短信息，所以采用這種加密方式還是比較迅速的。對于工業(yè)以太網(wǎng)來說是可行的。還要對外部節(jié)點的接入加以防范。

　　(3)工業(yè)以太網(wǎng)的實時性目前主要是由以下幾點保證：限制工業(yè)以太網(wǎng)的通信負荷，采用100M的快速以太網(wǎng)技術提高帶寬，采用交換式以太網(wǎng)技術和全雙工通信方式屏蔽固有的CSMA/CD機制。隨著網(wǎng)絡的開放互連和自動化系統(tǒng)大量IT技術的引入，加上TCP/IP協(xié)議本身的開放性和層出不窮的網(wǎng)絡病毒和攻擊手段，網(wǎng)絡安全可以成為影響工業(yè)以太網(wǎng)實時性的一個突出問題。

　　1)病毒攻擊。在互聯(lián)網(wǎng)上充斥著類似Slammer、“沖擊波”等蠕蟲病毒和其它網(wǎng)絡病毒的襲擊。以蠕蟲病毒為例，這些蠕蟲病毒攻擊的直接目標雖然通常是信息層網(wǎng)絡的PC機和服務器，但是攻擊是通過網(wǎng)絡進行的，因此當這些蠕蟲病毒大規(guī)模爆發(fā)時，交換機、路由器會首先受到牽連。用戶只有通過重啟交換路由設備、重新配置訪問控制列表才能消除蠕蟲病毒對網(wǎng)絡設備造成的影響。蠕蟲病毒攻擊能夠導致整個網(wǎng)絡的路由震蕩，這樣可能使上層的信息層網(wǎng)絡部分流量流入工業(yè)以太網(wǎng)，加大了它的通信負荷，影響其實時性。在控制層也存在不少計算機終端連接在工業(yè)以太網(wǎng)交換機，一旦終端感染病毒，病毒發(fā)作即使不能造成網(wǎng)絡癱瘓，也可能會消耗帶寬和交換機資源。

　　2) MAC攻擊。工業(yè)以太網(wǎng)交換機通常是二層交換機，而MAC地址是二層交換機工作的基礎，網(wǎng)絡依賴MAC地址保證數(shù)據(jù)的正常轉發(fā)。動態(tài)的二層地址表在一定時間以后(AGE TIME)會發(fā)生更新。如果某端口一直沒有收到源地址為某一MAC地址的數(shù)據(jù)包，那么該MAC地址和該端口的映射關系就會失效。這時，交換機收到目的地址為該MAC地址的數(shù)據(jù)包就會進行泛洪處理，對交換機的整體性能造成影響，能導致交換機的查表速度下降。而且，假如攻擊者生成大量數(shù)據(jù)包，數(shù)據(jù)包的源MAC地址都不相同，就會充滿交換機的MAC地址表空間，導致真正的數(shù)據(jù)流到達交換機時被泛洪出去。這種通過復雜攻擊和欺騙交換機入侵網(wǎng)絡方式，近來已有不少實例。一旦表中MAC地址與網(wǎng)絡段之間的映射信息被破壞，迫使交換機轉儲自己的MAC地址表，開始失效恢復，交換機就會停止網(wǎng)絡傳輸過濾，它的作用就類似共享介質設備或集線器，CSMA/CD機制將重新作用從而影響工業(yè)以太網(wǎng)的實時性。

　　目前信息層網(wǎng)絡采用的交換機安全技術主要包括以下幾種。流量控制技術 ，把流經端口的異常流量限制在一定的范圍內。訪問控制列表(ACL)技術 ，ACL通過對網(wǎng)絡資源進行訪問輸入和輸出控制，確保網(wǎng)絡設備不被非法訪問或被用作攻擊跳板。安全套接層(SSL) 為所有 HTTP流量加密，允許訪問交換機上基于瀏覽器的管理 GUI。802.1x和RADIUS 網(wǎng)絡登錄控制基于端口的訪問，以進行驗證和責任明晰。源端口過濾只允許指定端口進行相互通信。Secure Shell (SSHv1/SSHv2) 加密傳輸所有的數(shù)據(jù)，確保IP網(wǎng)絡上安全的CLI遠程訪問。安全FTP 實現(xiàn)與交換機之間安全的文件傳輸，避免不需要的文件下載或未授權的交換機配置文件復制。不過，應用這些安全功能仍然存在很多實際問題，例如交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內，而無法區(qū)分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難。一些交換機具有ACL，但如果ASIC支持的ACL少仍舊沒有用。一般交換機還不能對非法的ARP(源目的MAC為廣播地址)進行特殊處理。網(wǎng)絡中是否會出現(xiàn)路由欺詐、生成樹欺詐的攻擊、802.1x的DoS攻擊、對交換機網(wǎng)管系統(tǒng)的DoS攻擊等，都是交換機面臨的潛在威脅。

　　在控制層，工業(yè)以太網(wǎng)交換機，一方面可以借鑒這些安全技術，但是也必須意識到工業(yè)以太網(wǎng)交換機主要用于數(shù)據(jù)包的快速轉發(fā)，強調轉發(fā)性能以提高實時性。應用這些安全技術時將面臨實時性和成本的很大困難，目前工業(yè)以太網(wǎng)的應用和設計主要是基于工程實踐和經驗，網(wǎng)絡上主要是控制系統(tǒng)與操作站、優(yōu)化系統(tǒng)工作站、先進控制工作站、數(shù)據(jù)庫服務器等設備之間的數(shù)據(jù)傳輸，網(wǎng)絡負荷平穩(wěn)，具有一定的周期性。但是，隨著系統(tǒng)集成和擴展的需要、IT技術在自動化系統(tǒng)組件的大力應用、B/S監(jiān)控方式的普及等等，對網(wǎng)絡安全因素下的可用性研究已經十分必要，例如猝發(fā)流量下的工業(yè)以太網(wǎng)交換機的緩沖區(qū)容量問題以及從全雙工交換方式轉變成共享方式對已有網(wǎng)絡性能的影響。所以，另一方面，工業(yè)以太網(wǎng)必須從自身體系結構入手，加以應對。