摘要：隨著IT技術(shù)快速進(jìn)入工業(yè)自動(dòng)化系統(tǒng)的各個(gè)層面雹了，工業(yè)網(wǎng)絡(luò)信息安全日益顯得十分重要泉剔。本文論述辦公網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)信息安全的主要區(qū)別瓤鬓，較深入分析工業(yè)網(wǎng)絡(luò)安全的主要威脅版幕，較全面論述工業(yè)網(wǎng)絡(luò)信息安全中涉及的主要技術(shù)和解決方案。由于工業(yè)網(wǎng)絡(luò)安全有更高要求四乱，所以工業(yè)網(wǎng)絡(luò)開(kāi)始采用分層衔甲、分布式縱深防御體系結(jié)構(gòu)，并轉(zhuǎn)向基于工業(yè)防火墻/VPN技術(shù)相結(jié)合的硬件解決方案宣吱。本文對(duì)硬件解決方案進(jìn)行了較詳細(xì)闡述窃这，同時(shí)全面論述了工業(yè)網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)企業(yè)菲尼克斯電氣公司提出的工業(yè)網(wǎng)絡(luò)三重解決方案及其FL MGUARD工業(yè)網(wǎng)絡(luò)安全系統(tǒng)。

關(guān)鍵詞： 工業(yè)網(wǎng)絡(luò)  信息安全   黑客攻擊   縱深防御  體系結(jié)構(gòu)    硬件解決方案

Abstract:     With the spread of industrial Ethernet infrastructures,
network Security is a hot topic for automation technology. This article has analysed the main threats of industrial network Security. The key differences between office and factory Systems and networks is expounded. More detailed explanation of the Specific reguirements for the automation network are given. The hardware Security Solutions based on firewalls and encryption(VPN) for industrial application is introduced Comprehensively. The Phoenix Contact Company is a leading Supplier of Components and Solutions for Secured Communication in industrial network. It has developed a three-stage Security Concept and Security appliance FL MGUARD System for industrial automation.

Keywords:   Industrial Network   Security   Hacking   Defence-in-depth Architecture     Hardware Solution 

1.  概述：
        在上世紀(jì)90年代中期之前征候，由于Internet 技術(shù)尚未成熟杭攻，當(dāng)時(shí)的IT技術(shù)不能完全滿足工業(yè)自動(dòng)化的實(shí)時(shí)性和環(huán)境適應(yīng)性等要求，于是各家公司都利用自己掌握的計(jì)算機(jī)技術(shù)開(kāi)發(fā)具有專有權(quán)操作系統(tǒng)的工業(yè)自動(dòng)化裝置疤坝、專有權(quán)協(xié)議的網(wǎng)絡(luò)及其自動(dòng)化系統(tǒng)兆解。由于具有較強(qiáng)的專用權(quán)，這些系統(tǒng)受外來(lái)影響較小卒煞。工業(yè)自動(dòng)化系統(tǒng)較為封閉痪宰，其信息安全問(wèn)題未受到重視。
        最近幾年畔裕，這種情況發(fā)生了急劇變化衣撬，傳統(tǒng)自動(dòng)化技術(shù)與IT技術(shù)加速了融合的進(jìn)程，工業(yè)自動(dòng)化系統(tǒng)已廣泛采用微軟Windows操作系統(tǒng)和TCP/IP標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，工業(yè)實(shí)時(shí)以太網(wǎng)已經(jīng)被工業(yè)自動(dòng)化領(lǐng)域廣泛接受具练，IT技術(shù)快速進(jìn)入工業(yè)自動(dòng)化系統(tǒng)的各個(gè)層面乍构，改變了自動(dòng)化系統(tǒng)長(zhǎng)期以來(lái)不能與IT技術(shù)同步增長(zhǎng)的局面。工廠企業(yè)的信息化喝壹，可以實(shí)現(xiàn)智能工廠中從管理層仓近、控制層直至現(xiàn)場(chǎng)層的信息無(wú)縫集成，使得過(guò)程控制系統(tǒng)（PCS）與制造執(zhí)行系統(tǒng)（MES）旱已，以及企業(yè)管理信息系統(tǒng)（ERP）有機(jī)地融為一體肌蛮，并能通過(guò)Internet網(wǎng)完成遠(yuǎn)程維護(hù)與監(jiān)控。這種不可阻擋的發(fā)展趨勢(shì)隨之也帶來(lái)了工業(yè)網(wǎng)絡(luò)的安全問(wèn)題殿漆，如何保證工業(yè)網(wǎng)絡(luò)的機(jī)密性忍猛、完整性和可用性成為工業(yè)自動(dòng)化系統(tǒng)必須考慮的一個(gè)重要問(wèn)題。
        在過(guò)去的一肾蕉、兩年中掐股，工業(yè)網(wǎng)絡(luò)的信息安全經(jīng)歷了迅猛的發(fā)展。2008年1月笤敞，黑客攻擊了美國(guó)的電力設(shè)施扳九，造成多個(gè)城市大面積停電，損失很大瞻绝。近幾年玖瘸，美國(guó)公開(kāi)報(bào)道的由于黑客攻擊造成巨大損失的事件多達(dá)30起。據(jù)說(shuō)胁后，由于各種原因還有很多起事件受害的公司不準(zhǔn)報(bào)道店读，保守秘密。而且攀芯，黑客攻擊在逐年增加屯断。在這種情況下，進(jìn)入2009年侣诺，美國(guó)發(fā)電廠和大型電力企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度也邁上了一個(gè)新的臺(tái)階殖演。NERC （北美電力保障組織）制定了對(duì)大型電力系統(tǒng)組織有著深遠(yuǎn)影響的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)CIP(關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）條例, CIP標(biāo)準(zhǔn)條例監(jiān)管機(jī)構(gòu)對(duì)這些企業(yè)下達(dá)強(qiáng)制命令：每個(gè)發(fā)電、傳輸和配送部門年鸳，不論是否屬于關(guān)鍵資產(chǎn)部門趴久，都必須履行這些條例。電力供應(yīng)和輸配電部門必須采取明確的安全防范措施搔确，以確保持續(xù)供電彼棍。不符合該標(biāo)準(zhǔn)的情況一經(jīng)發(fā)現(xiàn)，可能被處以高達(dá)每天100萬(wàn)美元的罰款膳算。許多行業(yè)外人士（包括化工座硕、煉油攘体、冶金等）也正在密切關(guān)注電力行業(yè)的動(dòng)態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī)门痕，而且是越早越好办轮。由于該標(biāo)準(zhǔn)被界定為一套大型關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)，其他用到SCADA和DCS的領(lǐng)域也正在對(duì)它進(jìn)行審核困喜。由此可見(jiàn)枫欢，工業(yè)網(wǎng)絡(luò)的信息安全已成為工業(yè)自動(dòng)化領(lǐng)域新的關(guān)注熱點(diǎn)。

2.  工業(yè)網(wǎng)絡(luò)信息安全威脅分析：
        工業(yè)網(wǎng)絡(luò)信息安全的潛在威脅主要來(lái)自黑客攻擊裤能、數(shù)據(jù)操縱（Data manipulation）返引、間諜（Espionage）、病毒晋劫、蠕蟲(chóng)和特洛伊木馬等层焚。
黑客攻擊是通過(guò)攻擊自動(dòng)化系統(tǒng)的要害或弱點(diǎn)，使得工業(yè)網(wǎng)絡(luò)信息的保密性怎机、完整性、可靠性坪江、可控性仲闽、可用性等受到傷害，造成不可估量的損失僵朗。黑客攻擊又分為來(lái)自外部的攻擊和來(lái)自內(nèi)部的攻擊赖欣。
       ?來(lái)自外部的攻擊包括非授權(quán)訪問(wèn)是指一個(gè)非授權(quán)用戶的入侵；拒絕服務(wù)（DOS）攻擊验庙，即黑客想辦法讓目標(biāo)設(shè)備停止提供服務(wù)或資源訪問(wèn)顶吮。這樣一來(lái)，一個(gè)設(shè)備不能執(zhí)行它的正常功能粪薛，或它的動(dòng)作妨礙了別的設(shè)備執(zhí)行它們的正常功能悴了，從而導(dǎo)致系統(tǒng)癱瘓，停止運(yùn)行违寿。
       ?來(lái)自內(nèi)部的安全威脅湃交，主要是由于自動(dòng)化系統(tǒng)技術(shù)人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足，可能會(huì)出現(xiàn)各種意想不到的操作失誤藤巢，勢(shì)必對(duì)系統(tǒng)或信息安全產(chǎn)生較大的影響搞莺。
 

圖1  黑客攻擊工業(yè)網(wǎng)絡(luò)

[DividePage:NextPage]

3、 辦公網(wǎng)絡(luò)和工業(yè)自動(dòng)化網(wǎng)絡(luò)之間主要差別：
        眾所周知阁巨，用于工業(yè)自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)通信技術(shù)來(lái)源于IT信息技術(shù)的辦公自動(dòng)化網(wǎng)絡(luò)技術(shù)抬宽，但是又不同于辦公環(huán)境使用的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，這是因?yàn)檗k公網(wǎng)絡(luò)通信是以傳遞信息為最終目的岸寿，而工業(yè)網(wǎng)絡(luò)傳遞信息是以引起物質(zhì)或能量的轉(zhuǎn)移為最終目標(biāo)硝僻。眾所周知，在辦公應(yīng)用環(huán)境践斟，計(jì)算機(jī)病毒和蠕蟲(chóng)往往會(huì)導(dǎo)致公司網(wǎng)絡(luò)故障毕沫，因而辦公網(wǎng)絡(luò)的信息安全越來(lái)越受到重視，通常采用殺毒軟件和防火墻等軟件方案解決安全問(wèn)題顶赎。在工業(yè)應(yīng)用環(huán)境嫂焕，惡意軟件的入侵，將會(huì)造成生產(chǎn)線停頓疯坤，導(dǎo)致嚴(yán)重后果报慕。因而，工業(yè)網(wǎng)絡(luò)安全有更高要求压怠，辦公應(yīng)用的信息安全解決方案已不能滿足這些需要眠冈。辦公網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)主要的差別在于：

表1  在辦公室和工業(yè)環(huán)境中IT安全解決方案的要求

4． 工業(yè)網(wǎng)絡(luò)信息安全轉(zhuǎn)向硬件解決方案：
（1） 網(wǎng)絡(luò)安全軟件解決方案：
        早期，工業(yè)自動(dòng)化系統(tǒng)曾采用辦公環(huán)境使用的網(wǎng)絡(luò)安全軟件解決方案菌瘫。軟件主要包括殺毒程序蜗顽，將它們通常安裝在基于Windows的控制器、機(jī)器人或工業(yè)PC上雨让。但是雇盖，由于在工廠大多是多種多樣設(shè)備混合使用，有可能它們之間會(huì)產(chǎn)生相反作用栖忠，從而影響被保護(hù)的系統(tǒng)崔挖。例如，美國(guó)的一家過(guò)程自動(dòng)化工廠在一臺(tái)工業(yè)PC上安裝了殺毒程序娃闲，該殺毒軟件妨礙了一個(gè)重要鍋爐系統(tǒng)的緊急停機(jī)虚汛，導(dǎo)致了嚴(yán)重后果。另一個(gè)例子是某制造工廠在多臺(tái)工業(yè)PC上裝了殺毒程序逛徽，由于多個(gè)殺毒軟件執(zhí)行時(shí)進(jìn)程之間可能會(huì)發(fā)生沖突珊辛，使得工廠的流水線不能啟動(dòng)，造成巨大損失穗免。
(2) 工業(yè)網(wǎng)絡(luò)安全硬件解決方案：
        為了確保工業(yè)自動(dòng)化系統(tǒng)的信息安全障渡，工業(yè)網(wǎng)絡(luò)目前都轉(zhuǎn)向采用基于硬件的防火墻和VPN技術(shù)。
        硬件防火墻主要是在優(yōu)化過(guò)的Intel架構(gòu)的專業(yè)工業(yè)控制計(jì)算機(jī)硬件平臺(tái)上趋臼，集成防火墻軟件形成的產(chǎn)品篙袄。硬件防火墻具有高速抚揖、高安全性、高穩(wěn)定性等優(yōu)點(diǎn)接骄。硬件平臺(tái)一般均采用幾百兆甚至上千兆的高速CPU芯片瓢宝，以多芯片模式工作，個(gè)別甚至采用了ASIC芯片來(lái)提高系統(tǒng)的處理能力锈犯；硬件平臺(tái)的操作系統(tǒng)一般針對(duì)安全需要做了最小化優(yōu)化语验，并且結(jié)合防火墻這一唯一的功能環(huán)境要求在采集數(shù)據(jù)包的底層驅(qū)動(dòng)上也做了優(yōu)化。在存儲(chǔ)方面献爷，采用Flash存儲(chǔ)使系統(tǒng)的關(guān)鍵數(shù)據(jù)存儲(chǔ)相對(duì)傳統(tǒng)技術(shù)在讀寫速度和穩(wěn)定性上都有很大提高澜驮。另外，加固的設(shè)備外殼惋鸥、標(biāo)準(zhǔn)的設(shè)計(jì)尺寸以及優(yōu)化的電源使硬件防火墻更適用于大型工業(yè)生產(chǎn)環(huán)境杂穷。防火墻主要采用簡(jiǎn)單包過(guò)濾、代理服務(wù)和狀態(tài)檢測(cè)（Stateful Inspection）三種安全控制技術(shù)來(lái)控制網(wǎng)絡(luò)中流量的輸入和輸出卦绣。狀態(tài)檢測(cè)技術(shù)是包過(guò)濾耐量、代理服務(wù)技術(shù)相結(jié)合的產(chǎn)物，兼具系統(tǒng)處理速度快迎卤、安全性高的特點(diǎn)拴鸵，是當(dāng)前硬件防火墻中比較廣泛應(yīng)用的主流安全控制技術(shù)。防火墻的工作模式主要涉及防火墻的安全分區(qū)蜗搔，組網(wǎng)方式，對(duì)VPN加密隧道的支持八堡，業(yè)務(wù)流控制樟凄，虛擬子系統(tǒng)設(shè)置，以及為提高系統(tǒng)可靠性采取的雙機(jī)倒換保護(hù)等內(nèi)容兄渺。在組網(wǎng)方面缝龄，硬件防火墻的接口可以工作在透明橋接、路由和NAT三種模式下寝典，路由模式是防火墻普通使用的接口模式林没。
        VPN（Virtual Private Network）是一種在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)的專網(wǎng)所需的端到端的物理鏈路缅坯，而是架構(gòu)在公用網(wǎng)絡(luò)平臺(tái)（如Internet等）之上的邏輯網(wǎng)絡(luò)婶苦，用戶數(shù)據(jù)在邏輯鏈路中傳輸。這種邏輯路徑也被稱為隧道（Tunnel）怠播。VPN的主要功能是通過(guò)隧道或虛電路實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)吴位；數(shù)據(jù)加密以及信息認(rèn)證、身份認(rèn)證块启；能夠進(jìn)行訪問(wèn)控制嚣刺、網(wǎng)絡(luò)監(jiān)控和故障診斷誉倦。VPN可以幫助遠(yuǎn)程用戶、工廠企業(yè)分支機(jī)構(gòu)揪孕、以及供應(yīng)商等和工廠企業(yè)內(nèi)部網(wǎng)絡(luò)建立可信的安全連接肿夜，并保證數(shù)據(jù)的安全傳輸。對(duì)于工業(yè)自動(dòng)化系統(tǒng)而言梧杯，為了能夠保證數(shù)據(jù)不被竊聽(tīng)色查，VPN在站點(diǎn)之間建立了一個(gè)虛擬通道，數(shù)據(jù)在這個(gè)隧道中傳送堵漱。這樣的機(jī)制意味著每個(gè)地方所使用的網(wǎng)絡(luò)協(xié)議是無(wú)關(guān)的综慎。為了保證因特網(wǎng)上的數(shù)據(jù)傳輸?shù)陌踩诎l(fā)送之前對(duì)數(shù)據(jù)進(jìn)行加密勤庐，接收者對(duì)數(shù)據(jù)進(jìn)行解密示惊。在隧道的兩端可以連接單個(gè)站點(diǎn)或完整的局域網(wǎng)。連接的端點(diǎn)是特殊的VPN網(wǎng)關(guān)愉镰。為了防止對(duì)數(shù)據(jù)通信的監(jiān)聽(tīng)或操縱米罚，這些VPN網(wǎng)關(guān)使用所謂的隧道協(xié)議在協(xié)議層對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。
        VPN網(wǎng)關(guān)與防火墻一樣是一類比較成熟的網(wǎng)絡(luò)安全產(chǎn)品丈探。對(duì)于工廠企業(yè)自動(dòng)化系統(tǒng)而言录择，只有把兩種安全產(chǎn)品配合起來(lái)使用才能實(shí)現(xiàn)一個(gè)較完整的安全解決方案。在這方面碗降，有兩種做法：一種是VPN網(wǎng)關(guān)作為一個(gè)獨(dú)立設(shè)備與防火墻配合使用隘竭；另一種方案是在防火墻內(nèi)集成VPN網(wǎng)關(guān)。后者具備如下優(yōu)點(diǎn)：可以保護(hù)VPN網(wǎng)關(guān)免受DOS攻擊讼渊；對(duì)VPN加密隧道承載的數(shù)據(jù)可以施加安全控制劲吐；可以簡(jiǎn)化組網(wǎng)路由，提高效率针榜；可以共享用戶認(rèn)證信息拣九；以及有利于統(tǒng)一日志和網(wǎng)絡(luò)管理。
        硬件防火墻系統(tǒng)性能在不斷提升途殖，除了可以滿足高帶寬接口環(huán)境的要求之外含薄，也為采用多個(gè)較小型防火墻的網(wǎng)絡(luò)環(huán)境提供了防火墻設(shè)備集成的可能，從而能夠?qū)崿F(xiàn)小型分布式信息安全系統(tǒng)的架構(gòu)枕褂。

[DividePage:NextPage]

5． 菲尼克斯電氣公司三重安全解決方案：
        為了提高基于工業(yè)以太網(wǎng)的工業(yè)通信網(wǎng)絡(luò)的信息安全性谓牢，菲尼克斯電氣公司開(kāi)發(fā)了一種新的安全概念，該概念使用三個(gè)層面（three-stage）安全步驟以滿足工業(yè)自動(dòng)化系統(tǒng)的需要栓占，同時(shí)考慮了逐漸增加的網(wǎng)絡(luò)安全要求两候。三個(gè)層面安全措施如下：
        ?用簡(jiǎn)單的機(jī)械保護(hù)方法實(shí)現(xiàn)訪問(wèn)鎖定；
        ?具備IEEE綜合安全功能的管理交換機(jī)橡彬；
        ?具有防火墻和路由器功能的工業(yè)安全組件媳阴。
        在這里奋屠，第三個(gè)層面防護(hù)措施采用帶有小型分布式安全系統(tǒng)的縱深防御體系架構(gòu)，如圖2所示窃爷。工廠企業(yè)防火墻用于保護(hù)整個(gè)企業(yè)防御Internet的安全威脅邑蒋；管理層到控制系統(tǒng)的具有DMZ隔離區(qū)的防火墻用于保護(hù)整個(gè)控制系統(tǒng)；分布式安全組件則用于保護(hù)諸如PLC或DCS等關(guān)鍵設(shè)備按厘。菲尼克斯電氣公司采用Innominate技術(shù)研發(fā)的FL MGUARD安全組件可以使用在這種分布式架構(gòu)中医吊，它們保護(hù)部分系統(tǒng)網(wǎng)絡(luò)、每一個(gè)生產(chǎn)單元或一個(gè)單獨(dú)的自動(dòng)化設(shè)備逮京。
 

圖2 工業(yè)網(wǎng)絡(luò)安全分布式縱深防御體系結(jié)構(gòu)

        FL  MGUARD平臺(tái)是一個(gè)獨(dú)立的系統(tǒng)卿堂，該平臺(tái)可以直接集成到連接至工業(yè)網(wǎng)絡(luò)的工業(yè)計(jì)算機(jī)，若有需要懒棉，也可以PCI卡的型式完成集成草描，如圖3所示。FL MGUARD組件基于硬件的安全協(xié)議的實(shí)現(xiàn)既不需要修改計(jì)算機(jī)的配置策严，也不需要定期進(jìn)行軟件升級(jí)穗慕。相對(duì)于被保護(hù)系統(tǒng)所使用的處理機(jī)和操作系統(tǒng)，它是完全獨(dú)立的系統(tǒng)妻导。絕不會(huì)對(duì)系統(tǒng)產(chǎn)生負(fù)面影響逛绵。

圖3  FL MGUARD工業(yè)網(wǎng)絡(luò)信息安全安全組件

        由于菲尼克斯電氣公司采用的分布式安全系統(tǒng)架構(gòu)是為每個(gè)工業(yè)系統(tǒng)的中央計(jì)算機(jī)、控制計(jì)算機(jī)或生產(chǎn)機(jī)器人分配一個(gè)其自身的安全組件央垢，因而它具有獨(dú)立的安全等級(jí)简揍，并特地配置了訪問(wèn)權(quán)和其它方面的中央管理功能。
        FL MGUARD安全組件使用被其保護(hù)的計(jì)算機(jī)相同的IP地址泞征，因而它不會(huì)被入侵者識(shí)別路棍，使它很難被發(fā)現(xiàn)，從而避免了隨之而來(lái)的攻擊薄称。同時(shí)，MGUARD配置了基于Kaspersky Lab技術(shù)的病毒掃描器硫搏，用于監(jiān)視數(shù)據(jù)源以識(shí)別協(xié)議中的病毒（如HTTP丐忠、SMTP和FTP）。使得工業(yè)自動(dòng)化系統(tǒng)能夠全面防御DOS涝调、DDOS以及網(wǎng)絡(luò)病毒的攻擊坦推。
        配備ME45外殼的 FL  MGUARD 組件可安裝在DIN導(dǎo)軌上，并實(shí)現(xiàn)工業(yè)防火墻臭器、路由器和VPN三合一集成擅揖。集成安全解決方案的基礎(chǔ)是運(yùn)行在硬件實(shí)現(xiàn)的網(wǎng)絡(luò)處理器上的嵌入式Linux OS內(nèi)核程序，Intel芯片能夠?qū)崿F(xiàn)基于硬件的DES毙玻、3DES和AES加密豌蟋，并能保證以VPN連接方式穿越防火墻的流通量高達(dá)99Mbps或70Mbps廊散。
        FL MGUARD安全組件主要功能如下：
       ?可配置的防火墻保護(hù)系統(tǒng)防御來(lái)自外部的未授權(quán)訪問(wèn)。包過(guò)濾器過(guò)濾基于源和目的地址的數(shù)據(jù)包梧疲，并且阻止來(lái)自內(nèi)部的不希望的通信允睹；
       ?基于硬件編碼，極高的數(shù)據(jù)吞吐量幌氮；
       ?可支持10個(gè)VPN通道缭受，VPN通道創(chuàng)建前設(shè)定釋放按鈕（硬件或軟件）；
       ?支持Zone Defence 聯(lián)動(dòng)預(yù)警機(jī)制该互；
       ?內(nèi)建入侵防御系統(tǒng)米者，并可自動(dòng)更新入侵特征數(shù)據(jù)庫(kù)；
       ?內(nèi)建內(nèi)容過(guò)濾功能宇智，可過(guò)濾WEB郵件等蔓搞；
       ?支持用戶認(rèn)證。通過(guò)ICSA Firewall普筹，ICSA IP Sec等國(guó)際認(rèn)證败明。
        FL MGUARD系列產(chǎn)品中的MGUARD RS 安全組件支持通過(guò)Internet網(wǎng)進(jìn)行的安全遠(yuǎn)程服務(wù)和維護(hù)，包括遠(yuǎn)程診斷沉沾、遠(yuǎn)程組態(tài)和遙控服務(wù)讼狗。遠(yuǎn)程網(wǎng)絡(luò)應(yīng)覆蓋模擬、撥號(hào)革辖、ISDN硝闸、數(shù)字用戶線路電纜技術(shù)。為了滿足各種需求查袄，F(xiàn)L MGUARD RS提供五種類型的組件硼挡，它們是：
        —— 路由器 — FL MGUARD RS-B；
        —— 安全組件 — FL MGUARD RS仓泣；
        —— 支持VPN功能的安全組件 — FL MGUARD RS VPN版绢；
        —— 支持VPN和嵌入式模擬調(diào)制器的安全組件 — FL MGUARD RS VPN ANALOG；
        —— 支持VPN和嵌入式ISDN調(diào)制器（ISDN端子適配器）的安全組件 — FL MGUARD RS VPN ISDN苏涧。
       FL MGUARD RS系列組件提供狀態(tài)檢測(cè)防火墻保護(hù)玄冬、網(wǎng)絡(luò)路由和NAT地址變換、同時(shí)支持IT網(wǎng)絡(luò)協(xié)議（諸如DHCP训木、DNS颜懊、QOS和VLAN等）的主機(jī)系統(tǒng)。VPN虛擬專用網(wǎng)性能支持IPsec风皿、L2TP和PPTP連接河爹；X.509數(shù)字證書和PSK身份認(rèn)證技術(shù)；以及DES桐款、3DES和AES加密技術(shù)咸这。安全組件集成的模擬調(diào)制器或ISDN調(diào)制器是可供選擇的夷恍。菲尼克斯公司安全組件使用的VPN技術(shù)涉及通信技術(shù)的隧道技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)炊苫。這些技術(shù)和協(xié)議包括：
       ?PPTP點(diǎn)到點(diǎn)隧道協(xié)議：
        PPTP協(xié)議將控制包與數(shù)據(jù)包分開(kāi)裁厅，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢侨艾；數(shù)據(jù)包部分先封裝在PPP協(xié)議中执虹，然后封裝到GREV2協(xié)議中。
       ?L2TP第二層隧道協(xié)議：
        L2TP是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議唠梨，能以隧道方式使PPP包通過(guò)各種網(wǎng)絡(luò)協(xié)議袋励，包括ATM、SONET和幀中繼当叭。
       ?IPsec協(xié)議：
        IPsec協(xié)議是一個(gè)范圍廣泛接碘、開(kāi)放的VPN安全協(xié)議，工作在OSI模型中的第三層網(wǎng)絡(luò)層室午。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信班域。在隧道模式下，IPsec把IPv4數(shù)據(jù)包封裝在安全的IP幀中孔菱。
       ? X.509數(shù)字證書：
        基于X.509數(shù)字證書實(shí)現(xiàn)身份證是一種“基于非對(duì)稱加密模型”的典型認(rèn)證機(jī)制巨啤，具有較高安全性，它依賴于共同信任的第三方CA認(rèn)證機(jī)構(gòu)實(shí)現(xiàn)認(rèn)證撕星。數(shù)字證書遵循X.509標(biāo)準(zhǔn)所規(guī)定的格式抖躺。
       ?DES數(shù)據(jù)加密標(biāo)準(zhǔn)：
        DES數(shù)據(jù)加密標(biāo)準(zhǔn)是美國(guó)1997年公布實(shí)施的分組密碼體制。它是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的方法唧窄。為了提高DES的抗攻擊性勇斜，可以使用DES的兩種變形，即雙重DES和三重DES（3DES）究惨。它們兩次或三次執(zhí)行DES算法树家，從而使安全性大大提高。

       ?AES高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)算法：
        AES算法是1997年美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）制定的加密標(biāo)準(zhǔn)算法治拿。AES算法比3DES快溉奕，且更安全密鑰長(zhǎng)度最大為256bit。
由此可見(jiàn)忍啤，F(xiàn)L MGUARD網(wǎng)絡(luò)安全產(chǎn)品系列能夠全面提供路由器、防火墻仙辟、VPN同波、QoS和入侵檢測(cè)等支持功能，完成工業(yè)自動(dòng)化系統(tǒng)的信息安全保護(hù)叠国，并能通過(guò)Internet實(shí)現(xiàn)工廠安全的遠(yuǎn)程診斷和遠(yuǎn)程維護(hù)未檩。2008年戴尸，菲尼克斯電氣公司敏銳的觀察到隨著黑客攻擊的增加，工業(yè)網(wǎng)絡(luò)信息安全顯得越來(lái)越重要冤狡，于是果斷地收購(gòu)了工業(yè)網(wǎng)絡(luò)信息安全的領(lǐng)袖企業(yè)德國(guó)Innominate 公司孙蒙，從而使菲尼克斯電氣公司成為工業(yè)網(wǎng)絡(luò)受控與安全通信解決方案及其產(chǎn)品的領(lǐng)導(dǎo)供應(yīng)商。

作者：上海工業(yè)自動(dòng)化儀表研究院 繆學(xué)勤

參考文獻(xiàn)
1. Olaf Siemens.  Hardware route to virus protection for automation nets. The Industrial Ethernet Book, November 2005.
2. Peter Welander. Cyber security hits home. Control Engineering , Jan. 2009.
3. Torsten Rssel. 車間里的建議：工業(yè)以太網(wǎng)需要更加安全. 制造業(yè)信息管理, 2008悲雳，12.
4. Frank Ogden. Security hardware for industrial networking. The Industrial Ethernet Book, May 2008.
5. Phoenix Contact GmbH & Co. Realtime Ethernet Standard PROFINET挎峦，2008.
6. Phoenicx Contact GmbH & Co. User Manual for FL MGUARD RS，Hardware and Software,01/2009.
7. Eric Byres, Lan Verhappen. Defence-in-depth now takes in fieldbus Levels. The Industrial Ethernet Book俊瞬，April 2007.
8. Innominate Security Technology AG.. IT Security in Production, Security for Industrial Ethernet Networks Based on Accepted Standards, June 2008.

聲明：本網(wǎng)站所收集的部分公開(kāi)資料來(lái)源于互聯(lián)網(wǎng)危葵，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡(luò)分享，并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)兑蹈，也不構(gòu)成任何其他建議蠢缚。本站部分作品是由網(wǎng)友自主投稿和發(fā)布、編輯整理上傳污祭，對(duì)此類作品本站僅提供交流平臺(tái)锐校，不為其版權(quán)負(fù)責(zé)。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻慨蜒、圖片矮按、文字如涉及作品版權(quán)問(wèn)題，請(qǐng)第一時(shí)間告知候塞，我們將根據(jù)您提供的證明材料確認(rèn)版權(quán)并按國(guó)家標(biāo)準(zhǔn)支付稿酬或立即刪除內(nèi)容痊缎，以保證您的權(quán)益！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn季键。