工业控制以太网对外的数据安全传输

开篇：润墨网以专业的文秘视角，为您筛选了一篇工业控制以太网对外的数据安全传输范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

工业控制以太网作为一种特殊的网络，直接面向生产过程，肩负着工业生产运行一线测量与控制信息传输的特殊任务。但是，越来越频繁的工业控制系统入侵事件，如2010年的伊朗布舍尔核电站、2011年美国伊利诺伊州城市供水系统事件为我们敲响了警钟，黑客攻击正在从开放的互联网向封闭的工控网蔓延。因此，在关系国计民生与国家安全的重大项目，如城市轨道交通行业中，工业控制网络不但要根据业务特点满足强实时性、高可靠性、恶劣现场环境适应性等要求，也要满足信息安全的需求。

同时，由于城市轨道交通乘客服务质量要求的提高，系统之前存在的大量数据交换的需求，例如列车控制系统（ATC）需要向乘客信息系统（PIS）和机电设备监控系统（EMCS） 及时发送时刻表信息，那么，如何既保证工业控制网络与其他网络的互相独立，又能实现网络间部分特殊信息的传输交换？

安全传输系统概述

这里，我们需要一个类似于防火墙性能的连接件来过滤通信文件，这个连接件称之为安全传输系统。

假定工业控制网络有许多部件要与一个或多个公共通信网络连接，为了保护这些与安全控制相关的部件，避免非法入侵，并尽可能使通信基础清晰，因此只计划一个连接点。负责安全控制的工业网络形成“封闭式”局域网，这里称之为WAN#1。与公共网络连接的部件，由于它们自身没有防火墙，成为开放式通信网络，这里称之为WAN#2。两个WAN网络之间我们就用安全传输系统连接。

两个WAN网络之间的通信连接均受安全传输系统监控。此系统只让规定的通信文件通过，对每一个连接，规定了通信双方的参数（IP地址，使用的通信端口，通信报文头，通信报文结构）。安全传输系统的过滤功能验证所有想WAN#1传输的通信，所以影响运行控制安全的指令不会从WAN#2流入WAN#1，反方向，对离开WAN#1的通信报文，只验证通信关系。

在WAN#2上，数据源可能已被非法侵入，对这种情况，仅仅通过确认发送者的身份不能保证闭路数据的安全，辅加的过滤功能分析通信类型，只有预先规定的通信类型才能通过。传至工业控制网络的与安全相关的指令，通常被堵绝，并把被堵绝的通信记录成出错信息，以备进一步分析。

安全传输系统的连接

安全传输系统包括两个串联连接的独立设备传输单元，它们之间相互监控。两个安全传输单元独立地检查WAN#1与WAN#2之间的通信。出故障时，即一个传输单元探出其自身或另外一装置出错，则立刻关闭应用及运行系统。利用双通道性能，如果一个传输单元过滤失败，两个独立的WAN可保持分开，这样传输单元就不会传输未经过滤的文件。

安全传输系统与WAN#1、WAN#2的连接只采用TCP/IP协议。由于安全传输系统是串联连接的，二个传输单元之间内部连接会发生协议交换，即不用TCP/IP作为传输协议。因此，即使核心部分出错，也不可能在两个系统间交换报文，因为TCP/IP协议在传输单元内部连接中不起作用。

另外，向WAN#1传输的已过滤的报文在传输之间会被编码，这样接受方的传输单元利用编码就可确定该文件是否是通过WAN#2方的传输装置发送过来的（参见图1，采用了RC4作为编码程序）。

关键技术研究

地址映射

安全传输系统的地址映射功能使得只有WAN#2中已授权的计算机才能进入WAN#1区域中的指定的计算机。地址是由计算机地址和端口地址构成的，端口地址表示该计算机的需要通过安全传输系统的应用程序的地址。

地址： 计算机地址+端口地址

地址映射是根据一张地址表执行的。如WAN#2需要WAN#1中某个机器的应用程序，则需要通过适当的地址映射过程（即IP转换、多以态网地址），将WAN#1中这个指定计算机的应用到映射WAN#2的安全传输系统接口上，这样，看起来它们好像在同一个网络区域。WAN#1中其他无关的计算机没有映射关系，就不能访问它们。所有计算机的应用都是通过被映射计算机地址（例如，通过IP端口）被映射的。

地址映射也把WAN#2上相应的应用程序端口上的报文送到WAN#1中的计算机地址及应用端口。

过滤

过滤程序接收报文后，为所有支持的应用程序进行内容的过滤。过滤功能只对向受保护的WAN#1网络发送的报文进行过滤，反向传输的报文（即从WAN#2到WAN#1）不过滤。

报文是由报头及报文数据组成。报头包括指定应用程序的基本身份证明以及描述报文结构的报文类型。安全传输系统不支持没有报头的通信文件，因为没有文头，就不可能进行识别及对协议的验证。

过滤是采用正/负列表来执行。正项列表包含所有的基本过程身份证明以及为过滤程序接受的报文类型，这保证了只有可以识别的报文才能通过过滤器。所以也叫“wildcards”。即：因为大部分报文仅用几个字节便可识别，而且列表也可能会出现条目太多，所以需要给出一块地方来存放所有报文的内容特征。

若用正项列表很难描述报文的类型，例如：一个应用程序包含许多允许通过过滤器的类型，只有几个类型被拒绝，就可以用负项列表来描述报文类型。在负项列表中，只过滤那些“wildcards”上有的报文或报文类型。

错误记录

安全传输系统对所有显示出错的报文在将它们记录进一个文件之前，都加一个报头。这个报头包括出错时间及错误类型。

错误记录文件最大为2M B，如果超过2MB，则系统生成一个新的记录文件。记录文件最多为100个，如果满100个，系统删除或覆盖旧的记录文件。

安全传输系统记录下列错误：

过滤掉的报文

所有被安全传输系统的过滤器拒绝的报文，这里报头用来修改报文。例如：发送可能含有“Trojan Horse”程序代码的报文，这种类型的错误中，报头也含有发送方地址和目标地址以及需要的应用程序端口。

过滤掉的报文被删减掉后最大为1KB，并以用户可以读取的格式存储。

建立连接及取消连接时的错误

例如：报文上的地址不能连接到。

量控制的启动

如果从非安全的WAN#2网络向WAN#1发送过多的通信文件，也会有一条信息记录在错误记录文件中。

过滤器功能性故障

所有与故障探测相关的错误，故障探测的功能详见下一节。

另外，也记录WAN#1和WAN#2之间连接的建立及取消。

故障探测

过滤功能是安全传输系统的关键部分。因此必须通过周期性比较过程来监控过滤器功能是否正常。错误必须在一定的故障探测时间（FDT）内查出。

这个比较过程包括下列系统元素的验证：

所有安全传输系统过程程序代码

启始参数

所有过滤列表

地址映射参数化

系统过程列表

由于安全传输系统故障能影响比较器及过滤器，所以必须由独立于此系统的部件来评估比较值，即：使用预期理论值来验证它们。这是由独立于传输单元1的传输单元2来完成的，传输单元2执行所有过滤器的功能，证明传输单元1并验证比较值。

两个传输单元以串联连接，这样通信文件被两个过滤器一个接一个的分析。要开始验证过程，一台传输单元发送给另一单元验证指令及激活交易码（TAN），这个TAN是从RC4中由发送传输单元产生的一个随机数，RC4是在启动后通过释放键激活的。TAN只对当前验证有效，所以它是一个逻辑时间戳。

第二台传输单元确定从其自身RC4产生的TAN（也由释放键激活），并将之与收到的TAN比较，所以可以保证TAN肯定是不可预计的，只能通过两台同步计算计程序确定。如果第二台传输单元验证TAN有效，而FDT时间还未结束，系统执行分析。产生一4字节的CRC值作为分析结果：

所有程序项值

所有列表项值

过程列表值

地址映射参数化值

这些值以及其当前的验证指令TAN值一起录入验证结果通信文件中，验证结果返回验证发令者。

同时，验证发令者执行其自身值的验证，并计算出相应的检查总数，检查总数及另一传输单元的验证结果与以前储存的参考值比较。因为两个传输单元与不同的通信系统连接，有不同的参数值及启始列表项，所以必须与参考值进行比较，同时也验证了返回的TAN值。

要复位自身的FDT定时器，下列条件必须满足：

程序码验证结果必须为正

启动列表验证结果必须为正；

过程列表验证结果必须为正；

地址映射参数化验证结果为正；

在上一验证周期时，至少从另一个传输单元收到一个验证信号

如果有一个条件不满足，相应计算机中的FDT定时器便不会复位。为了能重复验证，在FDT时间结束前一段时间便启动复位程序。在FDT时间里，如果不能取得正确的结果，那么就说明传输单元本身出错或另一个传输单元出错。定时器时间到后，不能释放，系统（应用及运行系统）就关闭，因此，另一传输单元也不能在当前执行的验证过程中得到正值，也不能释放，同样系统也关闭。

由于传输单元之间是串联连接的，因此其它报文不能进入受保护区域WAN#1。在关闭系统之前，探出故障的传输单元在它所在区域（WAN#1或WAN#2）产生一个故障信息。维修人员可根据这个故障信息进行维修工作。

报文量的控制

可以想象，大量的报文从WAN#2发送至WAN#1，这样WAN#1中的应用程序便“人满为患”了，它的功能就受到限制。这些报文可能是由WAN#2中带病毒的程序或计算机生成的，也可能入侵者为了阻碍运行或准备进一步入侵做的破坏。

因此，安全传输系统让每个传输单元都具有量控制的功能，在一定时间内，只让有限的报文通过，如果超出允许数，系统就会丢弃超过的报文，并把相应的信息存入错误记录文件中。

通过上面的这些功能措施，基本就能实现WAN#1（工业以太网）和WAN#2（公共网络）两个网络间指定计算机间的数据安全交换，这个实现数据交换的方法也可以在其它“独立“网络需要传输一定的数据时使用。

应用实例

在上海磁浮示范运营线中，有一个用于运行控制的工业网络，还有用于办公、楼宇控制系统、消防系统、维护管理系统等公共通信的网络。由于实际情况的需要，譬如维护管理系统要从运行控制网络中获得诊断信息，乘客信息系统要从运行控制网络中获得运行班次信息等，因此这两个网络要进行信息的传输。

在这里，把工业控制网络看作WAN#1，其他用于公共通信的网络及办公网络看作WAN#2，从工业控制网络的角度来讲，这些公共通信系统都属于外部系统，可能受未经授权人员的侵扰。为了保护WAN#1网络的安全，避免非法侵入，并尽可能使WAN#1内的控制信息的通信清晰，因此就使用上文介绍的安全传输系统，用来连接WAN#1和WAN#2网络（见图2）。

应用安全传输系统后，外部公共通信网络即使存在不安全因素，也不能影响控制运行的工业控制网络，从而保证了磁浮运行的安全性。

随着计算机网络的发展，其开放性、共享性、互连程度扩大，网络的安全性和对社会的影响也越来越大。尤其是工业以太网，由于其应用对象比较特殊，比传统的商业以太网有更高的确定性、实时性、安全性等要求。两种网络如何同步发展，实现信息的安全无缝的交换，必将是提高企业的整体技术水平的关键。

作者单位：上海磁浮交通发展有限公司