基于TCP/IP的制造自动化网络安全问题研究

加载或结构错误而造成的整个网络范围内的服务否定问题是一种普通意义上的方法。网络的实际分段可以有助于限制包取样器被成功配置的位置的数量。
　　虽然独立分段确实排除了大部分基于广播的破坏，但是，它不能防御通过直接方法获得服务的非法活动。确保在分段设计中使用的IP路由器的正确结构是非常重要的。
　　4.2 采用路由器访问控制实现分段
　　对上面描述的分段结构技术增加路由器访问控制技术，以增加维护与潜在的用户使用不便为代价增强了整个网络的安全性。“访问控制”是一种方法，借助这个方法通过路由选择设备的通信就被限制于特定的主机。采用访问控制，网络管理人员就可以实现一种更谨慎的安全策略，即允许主机在自己所在分段的外面进行或响应网络对话。
　　大多数IP路由器支持访问控制的概念，而且能够把它应用到独立的主机或整个子网。当访问控制被加到子网层，则路由器被连接，从IP地址的特定范围到另一段都允许通信。使用访问控制的路由器必须被精心连接。
　　这种控制能够保护制造自动化网络免于获得非特许服务的企图，因为这种控制有意识地限制能够产生服务请求的区域。如果访问控制仅仅被应用在子网，它就不能防止来自特定子网中的主机的随机服务请求，那么，上面描述的数据恶化的危险仍然会出现。如果访问控制被扩大到具体的主机，那么，数据意外恶化的危险就可以进一步减少。若访问控制层和分段都使用的话，就可以把危险降低到更小。这样就对过程数据通信提供了一种高层保护。
　　如果访问控制应用到整个网络，它就会减少通过远距离基于中继的破坏使分段之间对话被截断的危险。
　　4.3 包过滤
　　包过滤扩展了访问控制的概念。对于一个网络附加包过滤性能，进一步增加了管理的工作量，但是增强了管理人员精确控制信息通过制造自动化网络传输的能力。
　　当路由器增加了过滤性能以后，准确地知道网络操作中所使用的协议类型和通道数目是重要的。
　　4.4 防火墙
　　防火墙是把分段、访问控制、包过滤应用到一个网络的设计技术，是防止一个或多个网络免受其它网络影响的协调的方法。防火墙是谨慎安全策略的主要表示。因为在任何网络通信被允许之前，管理人员必须采取特定的行动。防火墙的典型应用是把整个工厂或机构的联网系统与“外界”隔离，“外界”可以定义为企业范围网络的余部，也可以是全球Internet。
　　五、 结束语
　　通过分析基于TCP/IP制造自动化网络中期待的通信，考虑机构的安全策略，就有可能设计出一个使数据恶化和被窃取的危险降至最低程度的网络拓扑结构。在制造工厂和外部世界之间设置防火墙，在工厂内部实现分段网络、访问控制网络就能够提供网络管理者，防御无意的或有敌意的破坏。

上一页  [1] [2]