[导读] 虽然2014年已经结束了,但以太网的发展将像2014年年初一样继续涉及从DC到400 Gb/s等问题。2014年毫无疑问将在以太网历史上被浓重地写上一笔。因为以太网社区在2014年取得了长足进步,打破了将现有速率以 10倍为一级别进行提升的传统惯例将目标定为25GbE,并开始探索2.5GbE和5GbE的可行性。但速率提升的同时,同样要注意数据的安全性防护。
关键词:
数据安全以太网
虽然2014年已经结束了,但以太网的发展将像2014年年初一样继续涉及从DC到400 Gb/s等问题。2014年毫无疑问将在以太网历史上被浓重地写上一笔。因为以太网社区在2014年取得了长足进步,打破了将现有速率以 10倍为一级别进行提升的传统惯例将目标定为25GbE,并开始探索2.5GbE和5GbE的可行性。但速率提升的同时,同样要注意数据的安全性防护。
速率多样化
自IEEE 802.3以太网工作组在2013年3月份启动了400GbE的研发工作以来,为以数据聚合为基础的核心网络应用提供更高速率解决方案的需求一直在持续推动这一研发工作。25GbE的研发工作启动于2014年7月份,其推动因素是云级数据中心需要一个成本最优的服务器至交换机互联解决方案。2.5GbE和 5GbE的研发动力是无线接入点需要更高的速度。这些无线接入点升级后不仅要支持IEEE 802.11ac无线技术,还要支持现有的Cat 5E或Cat 6级非屏蔽双绞线(UTP)有线基础设施。
由于这些研发工作都得到了认可,因此以太网行业专家开始尝试着在不以成本3倍提升性能10提升为基础的应用,或是ASIC之外的串列通道速率下一步发展,甚至可能是以安装应用基础的媒体限制之间找到某个共同的主线。实际上,这些研发工作中的每一个都有不同的理由。它们之间的真正共同主线是与市场相关标准,而这些标准能够让不同厂商在每个相关的应用区域内实现互操作。
尽管 IEEE 802.3以太网工作组成员正在全力解决不同应用领域所提出的新速率,以太网联盟还是将更多精力放在了多厂商互操作示范上了,其在2014年推出了三个示范。在2014年度国际光纤通信会议(OFC)上,“以太网光学”得到了展示,从10GbE 到40GbE再到100GbE的光解决方案都受到了高度关注。在2014年的Interop大会上,10GbE和40GbE技术展示了数据中心通过以太网解决方案如何汇聚所有网络需求。最终在2014年度的Supercomputing上,由不同厂商推出的基于10GbE、40GbE和100GbE的解决方案连网在一起模拟了一个带有典型流量的云级数据中心。通过连续展示,以太网联盟展示了目前的以太网解决方案可以做为可用于真实部署的实际技术。
以太网速率呈现多样化趋势,必将促进其发展,加大应用市场,尤其在工业领域。但在工业领域大规模应用后,数据安全问题就变得越来越重要了。
安全性
相对于传统的专有网,工业以太网的开放性给它带来了一些数据安全方面的问题。这其中包括自身稳定性,协议的漏洞造成的资料保密性等问题以及实时工业控制中的时效性的问题。
工业以太网中突出的安全问题主要在两个环节,第一是数据在传递中的安全问题,第二以太网病毒带来的网络拥塞。
数据在传递中的安全问题
如何防止数据在传递途中的窃取,在传统的以太网络中我们预防数据在传递途中被窃取常常采用防火墙技术,加密技术、入侵检测技术和入侵防御技术来实现。
(1)防火墙技术由于技术比较成熟,被广泛地应用在网络安全的控制中。防火墙的采用可以有效地进行数据包的过滤,屏蔽有害攻击对下一级网络的影响。工业以太网的三层结构,将控制层和管理层连接起来,上下网段使用相同的协议,需要用两级防火墙隔开。使用一层防火墙防止来自外部的非法访问,第二级的防火墙用于屏蔽内部网络的非法访问和分配不同权限。
(2)在工业以太网的应用中可以采用加密的方式来防止关键信息被窃取。由于工业控制的实效性要求往往要注意加密算法的安全性和计算复杂性的平衡。加密对象的选择上往往是对控制信息进行加密。加密通常在传输层进行实现。加密技术上我们通常采用端到端的加密方法。加密中采用单钥系统还是双钥系统要根据系统的实际情况来确定,前者的安全性相对较差,但效率较高;后者的安全性相对较好,但效率相对较低。我们需要根据系统实际的硬件条件选择合适的系统。同样道理加密 算法的选择也需要根据硬件的实际条件加以选择。
(3)入侵检测技术与入侵防御技术,由于三层统一采用以太网架构,使得联入因特网传输数据成为可能,同时由于国际互联网的脆弱性,必须要对网络攻击加以防范,除了上面提到的防火墙外还要有一定的预防机制,还必须提到入侵检侧和入侵防御机制。因为网络环境中,大量的数据记录的产生使得人工分析数据检测和预防入侵变得不可行。必须借助入侵检测和入侵防御工具完成。对攻击进行追踪分析,数据包的进行实时监控。
处理和预防病毒,恶意程序带来的网络拥塞
工业以太网用于控制领域,对实时性要求比较高。但由于以太网全双工通信方式,CSMA/CD机制本身的限制和TCP/IP协议开放性的特点。病毒破坏计算机,阻塞网络成为必须要突出考虑的网络安全问题。现阶段由于工业以太网尚未大规模普及,针对工业以太网的病毒尚未出现,但是普通病毒带来的问题同样不能忽视。如蠕虫病毒对PC的攻击,会占用了大量的系统资源导致控制pc不能流畅运行,影响到控制命令的传输。各种木马病毒能窃取pc控制机的管理权限,对其远 程控制,共危害性更为严重。某些邮件病毒,不断地向网内外的其它主机发包,占据了网络通道,会使正常命令无法传输。
对于病毒和恶意程序带来的危害,除了通过传统的防杀毒工具外,还需加强相关监控管理,当大规模的不正常数据包传送时,能自动控制该计算机端口。由此可以尝试采用目前较为流行的IDS和IPS系统进行数据的监控和管理。
总结
工业以太网由于其成木上的优势和良好的开放性和广泛性,正慢慢进入生产领域。做为当前工业控制领域的热点方向,它吸引了大量的少商介入其领域,但是其特有的性质使其容易受到网络安全的影响,从而制约其发展。相信随着研究的深入,工业以太网应用中的安全问题将逐步得到解决。