评价网 > 科教论文 > 工学毕业论文 > 计算机论文 > 正文

基于TCP/IP的制造自动化网络安全问题研究(2)

2014-03-01 01:46
　　通信截断可能在许多方面被执行。如更改信息的方向，引起网络上的主机在网络对话期间改变它们发送报文包的地址。
　　对截断对话感兴趣的破坏者可能会利用某一个方法设置中继。一个中继破坏可能发生在网络中任何地方，甚至是距离制造自动化网络很远的位置。中继机器能够实时调节通信量或记录用于日后分析的报文包。中继机器也能够改变被传输的通信内容。
　　截断通信的第三种方法包括使用一种被动包监控器（常常称为“包取样器”）。包取样器能够以中继破坏的方式向破坏者提供被记录的网络信息。
　　四、 通过网络设计对抗威胁
　　在制造自动化环境中，对抗上述威胁最有用的技术包括以下几方面。
　　4.1 通过简单的IP路由选择实现网络分段
　　分段就是把一些网络主机分隔成实现独立网络通讯的功能上的子群，然后通过使用简单的路由器把它们互联起来。在一个分段的结构中，网络的每一个分段部分处于不同的IP子网中，而且子网中的通信永远不会离开该分段部分。分段的设计是简单的，对于网络上的主机基本上是透明的。
　　分段在对抗由于网络加载或结构错误而造成的整个网络范围内的服务否定问题是一种普通意义上的方法。网络的实际分段可以有助于限制包取样器被成功配置的位置的数量。
　　虽然独立分段确实排除了大部分基于广播的破坏，但是，它不能防御通过直接方法获得服务的非法活动。确保在分段设计中使用的IP路由器的正确结构是非常重要的。
　　4.2 采用路由器访问控制实现分段
　　对上面描述的分段结构技术增加路由器访问控制技术，以增加维护与潜在的用户使用不便为代价增强了整个网络的安全性。“访问控制”是一种方法，借助这个方法通过路由选择设备的通信就被限制于特定的主机。采用访问控制，网络管理人员就可以实现一种更谨慎的安全策略，即允许主机在自己所在分段的外面进行或响应网络对话。
　　大多数IP路由器支持访问控制的概念，而且能够把它应用到独立的主机或整个子网。当访问控制被加到子网层，则路由器被连接，从IP地址的特定范围到另一段都允许通信。使用访问控制的路由器必须被精心连接。
　　这种控制能够保护制造自动化网络免于获得非特许服务的企图，因为这种控制有意识地限制能够产生服务请求的区域。如果访问控制仅仅被应用在子网，它就不能防止来自特定子网中的主机的随机服务请求，那么，上面描述的数据恶化的危险仍然会出现。如果访问控制被扩大到具体的主机，那么，数据意外恶化的危险就可以进一步减少。若访问控制层和分段都使用的话，就可以把危险降低到更小。这样就对过程数据通信提供了一种高层保护。
　　如果访问控制应用到整个网络，它就会减少通过远距离基于中继的破坏使分段之间对话被截断的危险。
　　4.3 包过滤
　　包过滤扩展了访问控制的概念。对于一个网络附加包过滤性能，进一步增加了管理的工作量，但是增