钢铁企业工业以太网安全技术研究与应用

　　李文嵩

　　（鞍钢集团信息产业有限公司，辽宁 鞍山 114000）

　　摘要：随着制造的深入，工业以太网已广泛应用于钢铁企业。网络大小、节点数、复杂性和对外部链接的需求都在快速增长。钢铁工业以太网的封闭性已被彻底打破，安全风险前所未有。工业以太网在钢铁企业自动化系统中得到广泛应用。以太网本身的脆弱性和人为攻击对其工业应用程序的安全构成了许多威胁。因此，需要制定适合工业以太网特点的技术和安全措施，以确保其安全有效地运行。通过分析工业以太网与信息网络的技术特点，提出钢铁企业应对工业以太网安全威胁的技术措施。

　　关键词：网络安全；工业以太网；钢铁企业；计算机病毒；防火墙　　文献标识码：A　　中图分类号：TP309

　　文章编号：2096-4137（2023）06-119-03　　DOI：10.13535/j.cnki.10-1507/n.2023.06.40

　　工业以太网是工业控制的以太网技术。技术上兼容版本的企业以太网（IEEE802.3 标准），但产品和应用程序之间存在根本差异。在开发特定行业的以太网产品时，必须满足选择、产品兼容性、就绪性、实时性、互操作性、可靠性、兼容性、基本安全性等方面的要求。因此，不同于商业以太网，工业以太网用于现场工业控制。工业以太网越来越多地用于工业控制，传统的现场总线逐渐被淘汰，升级为工业以太网。但是，无论使用何种通信技术，通信质量的可靠性对用户都至关重要。如何确保以太网系统的安全性是本文的重点。

　　1　工业以太网系统概述

　　1.1　工业以太网概述

　　在工业控制系统中，计算机、可编程逻辑控制器、传感器等重要设备节点通过工业控制网络相互连接，有效地传达工业控制中的系统命令。因此，服务质量对工业生产环境的发展至关重要，直接影响控制系统的运行性能。当重要消息或命令因网络传输而延迟时，可能会直接影响系统的控制性能，从而对系统的稳定性产生负面影响。随着计算机、电信、传感器等技术的发展，以摩尔定律为基础的嵌入式计算设备在新世纪逐步被淘汰。进入21 世纪以来，计算机和通信功能被引入行业，越来越需要现场智能设备，以便能够更好、更全面地收集现场信息，便于控制复杂的情况，增强对系统的控制。但这增加了工业控制网络的复杂性，使工业控制网络更加复杂。为此，有必要开发适合二次设计的网络工具，以协调二次企业控制网络的正常运行，避免网络性能受到工业自动化系统性能的影响。因此，规划和设计现有工业以太网至关重要。

　　1.2　安全应用要求

　　（1）工业以太网应确保实时性能不受影响。在业务应用程序中，实时性要求基本不涉及安全性，而流程控制中对实时性的要求非常严格，通常涉及生产设备和人员的安全性。

　　（2）当今世界，竞争极为激烈。对于许多企业，特别是拥有先进技术的企业，生产技术往往是其技术的具体表现，黑客可能会窃取某些关键流程、流程和操作参数。因此，在通过工业以太网传输数据时，必须防止数据失窃。

　　（3）开放式互连是工业以太网的优势。远程监控、控制、调试和诊断大大改进了控制的分发和灵活性，消除了时间和空间限制。但是，对于这些应用，必须保证授权的合法性和可审计性。

　　1.3　优点分析

　　（1）综合应用。以太网是应用最广泛的计算机网络技术，得到了众多技术功能的支持。几乎所有编程语言都支持以太网应用程序和开发，例如Java、visualc++、visual-albsic 等。由于这些编程语言的广泛使用，软件开发人员受到高度重视，因此它们具有很好的增长潜力。因此，当使用以太网作为构建块时，可以使用各种开发工具和开发环境。

　　（2）经济实惠。由于以太网应用范围广泛，硬件开发人员和制造商得到了广泛的支持，有多种硬件产品可供选择。由于应用范围广泛，硬件价格相对较低。以太网卡的成本目前仅为Profi bus、FF 等专业总线成本的10%，随着集成电路技术的发展，还将进一步降低。

　　（3）全面的硬件和软件资源。由于以太网已使用多年，因此在设计和应用以太网方面具有丰富的经验，并对其技术有着深入的了解。大量软件资源和专业知识可以降低系统开发和培训成本，从而降低系统总成本，大大加快系统开发和采用。

　　2　工业以太网的信息网络安全性问题探索

　　2.1　安全性稳定性问题的解决

　　为满足工业场所对工业以太网复原力和设计的要求，考虑到易受恶意、恶意行业侵害的脆弱、恶劣的工业环境，并通过防止黑客的非法入侵保障工业网络的安全。此外，公共汽车的供应也存在问题。电源设计为DC24V，而不是220V 以太网交流电源。在实践中，以太网骨干网可通过光纤连接运行，现场设备配备双绞线，以提高网络的复原力和可靠性。冗余网络技术也可用于关键网段。通过网络隔离将控制区的内部控制网络与外部信息网络隔离开，网关和服务器隔离。使用TCP/IP 协议对网络安全构成威胁，例如病毒和黑客，因为工业设备通过以太网连接在一起。虚拟LAN（VLAN）通常用于增强工业网络中的安全性。优点：一台物理机可以作为多台逻辑机使用。控制区域通过网络隔离带和安全筛选器的现场总线连接到系统的主网络，从而将各个控制区域与其他区域的逻辑网络隔离开。

　　2.2　可靠性问题的解决

　　以太网环形冗余通过部分解决以太网容错（容错是指计算机系统即使出现故障也能正常工作的能力）来提高以太网的可靠性。清晰高效的冗馀结构为用户提供了极高的网络利用率。冗余模块构成一个简单的环，即使一个或多个工作站同时出现故障，也能确保网络的全部功能。对于交换以太网交换机而言，冗余管理可在交换快速以太网响应时间小于 300 毫秒的情况下提供高网络可用性和环形冗余。这意味着网络可以在设备出现故障后再次使用。许多快速冗余算法越来越多地用于环形冗余。这些算法和以太网环布局可确保即使在重新配置网络时也能持续运行。

　　2.3　工业以太网的应用安全问题分析

　　（1）在传统的工业以太网网络中，上下两个部分不能互操作，因此需要使用防火墙来防止任何非法的外部访问。但是，工业以太网连接控制层和管理层对顶部和底部使用相同的协议，并且可以互操作。因此，双层防火墙用于阻止对内部网络的未经授权访问，并为合法用户分配不同的权限。此外，可以根据日志记录调整过滤和连接策略，要执行严格的权限管理措施，可以按服务或按操作分配权限。

　　（2）在以太网行业应用程序中，加密可用于防止关键信息被盗。目前，有两种主要的密码体制：对称密码体制和不对称密码体制。在对称密码系统中，双方使用相同的密钥，密钥是保密的。系统的这一部分不安全，因为密钥分发必须在通信之前完成。因此，不对称加密相对较快，因为工业以太网发送的大多数短消息都是周期性的，这适用于工业以太网，还必须保护对外部节点的访问。

　　3　工业以太网安全问题及解决方案

　　在工业以太网安全领域，深度保护是指根据本地网络的特点和安全威胁将网络划分为不同的安全区域，并在安全区域内和安全区域之间采取适当的安全技术，为以太网系统提供多层次、系统的安全保护。对防御系统的深入研究侧重于安全区的划分以及在每个区域采取的安全措施的有效性。

　　（1）病毒处理和预防。恶意程序造成的行业网络拥塞在控制域中使用，要求很高的实时性。由于以太网的全双工通信模式、CSMA/CD 机制和TCP/IP 协议开放的限制，病毒损坏了计算机，阻塞了网络，造成了不可避免的网络安全问题。由于行业标准以太网解决方案尚不可用，因此工业以太网系统没有病毒，但常见问题不容忽视。蠕虫访问PC 时，可能会对系统资源造成相当大的负担，从而导致控制PC 无法正常运行，并影响控制缺失的传输。不同的特洛伊木马程序可能会窃取PC 控制机制的管理权限，从而进一步危及远程控制。某些电子邮件病毒会不断地将数据包发送到网络内外的其他主机，占用网络通信量，并阻止传输常规命令。

　　（2）建立健全的安全管理制度。除上述技术措施外，还应建立健全网络安全管理制度和应急措施，确保行业以太网设备和连接基础清晰，安全工作的责任始终是最新的。

　　（3）加密适用于工业以太网上的应用程序，以防止重要信息被盗。由于有效性的工业控制要求，必须在加密算法的安全性和计算复杂性之间保持平衡。选择加密对象通常是加密的控制信息，加密通常在传输层进行。从技术上讲，经常使用端对端加密。加密使用一个或两个密钥，具体取决于系统的实际情况。安全性相对较低，但效率较高。后者相对安全，但效率相对较低，需要根据实际硬件标准选择正确的系统。加密算法的选择还取决于硬件。

　　4　钢铁企业工业以太网纵深防御体系

　　4.1　工业以太网纵深防御体系构建

　　建立工业以太网深度防御系统可以分阶段进行：第一，划定网络安全区。即在工业以太网与其所连接的网络之间建立相对明确的边界。这有助于将防火墙等安全设备加载到工业以太网边界，并确保工业以太网的安全。逐层筛选、分析和监控进入工业以太网的用户，阻止非法访问外联网，并减少网络对工业以太网的威胁。第二，优化工业以太网的内部结构。为了应对安全威胁和推进工业以太网的应用，需要采取积极主动的技术安全措施，例如提高认识，提高工业以太网本身的防御能力和稳定性。第三，加强网络安全监测和审计，及时了解工业以太网及相关网络的安全动态，组建联合控制中心，遏制初生安全威胁。第四，建立一个有效的工业以太网安全管理系统，形成一个负责任、有据可查、反应迅速和不断改进的管理系统，并加强对以太网行业安全技术人员的培训，以满足以太网行业的规模管理需求。

　　4.2　工业以太网纵深防御体系中的关键技术

　　（1）符合性检测的网络准入控制技术。工业以太网的安全性主要来自企业园区，其局限性非常重要。校园网利用网络访问控制技术，包括合规性检查、对访问校园网络的用户进行的所有安全和合规性检查，防止非法和不符合规范的用户访问网络，并提供安全检查。

　　（2）网络补丁程序更新、防病毒和时间服务器技术。应在内部数据中心内建立补丁分发服务器（WSUS）、网络防病毒控制台、时间服务器等系统，以便为工业以太网系统中的端点和服务器提供相关的网络安全服务，避免以太网与互联网直接连接。

　　（3）远程访问和业务验证技术。随着互联网的普及，访问行业标准以太网变得越来越重要。VPN 技术可用于为互联网用户提供远程访问。利用功能强大的主机技术，可记录所有用户访问，并最大限度地防止外部主机直接访问工业以太网资源，从而在工业控制系统中造成无法控制的影响和干扰。

　　（4 ）图像稳定器技术。首先，行业标准以太网网络的增长通常会产生网络抖动效应，从而对工业以太网的稳定性产生重大影响。主要技术措施是在工业以太网中启用MSTP 等生成树协议，并主动选择高性能环保网络设备作为主要节点。其次，与外联网建立路由连接，不参与外联网生成树协议的计算，避免外联网抖动的影响。最后，改进网络设备和网线的管理，及时关闭活动网络端口以保持布线。

　　5　结语

　　综上所述，从发展的角度来看，基于TCP/IP 协议的以太网体系结构已成为工业体系结构作为优秀网络体系结构发展的必然趋势。但是，与此同时，网络安全问题变得越来越重要。目前，针对工业以太网技术特点的安全措施相对较少，这也是各种网络安全供应商的研究目标。本文结合工业以太网在钢铁工业实际应用中的安全威胁，提出了相应的技术措施，希望能帮助从事这一领域工作的工程师和技术人员。

　　作者简介：李文嵩（1982-），男，辽宁鞍山人，本科，高级工程师，研究方向：工业互联网。

　　参考文献

　　[1]刘冬，程曦，杨帅锋，等.加强我国工业信息安全的思考[J]．信息安全与通信保密，2019（8）:24-35.

　　[2]徐皑冬，王宏，杨志家.基于以太网的工业控制网络 [J]．信息网络安全，2000，29（2）:182-186.

　　[3]张宏科，程煜钧，杨冬.工业网络技术现状与展望 [J]．物联网学报，2017，1（1）:13-20.

　　（责任编辑：肖央然）