上海工業(yè)自動(dòng)化儀表研究所 繆學(xué)勤

隨著IT技術(shù)快速進(jìn)入工業(yè)自動(dòng)化系統(tǒng)的各個(gè)層面，工業(yè)網(wǎng)絡(luò)信息安全日益顯得十分重要。由于工業(yè)網(wǎng)絡(luò)安全有更高要求，所以工業(yè)網(wǎng)絡(luò)開始采用分層、分布式縱深防御體系結(jié)構(gòu)，并轉(zhuǎn)向基于工業(yè)防火墻/VPN技術(shù)相結(jié)合的硬件解決方案。

概 述

在上世紀(jì)90年代中期之前，由于Internet 技術(shù)尚未成熟，當(dāng)時(shí)的IT技術(shù)不能完全滿足工業(yè)自動(dòng)化的實(shí)時(shí)性和環(huán)境適應(yīng)性等要求，于是各家公司都利用自己掌握的計(jì)算機(jī)技術(shù)開發(fā)具有專有權(quán)操作系統(tǒng)的工業(yè)自動(dòng)化裝置、專有權(quán)協(xié)議的網(wǎng)絡(luò)及其自動(dòng)化系統(tǒng)。由于具有較強(qiáng)的專用權(quán)，這些系統(tǒng)受外來影響較小。工業(yè)自動(dòng)化系統(tǒng)較為封閉，其信息安全問題未受到重視。

最近幾年，這種情況發(fā)生了急劇變化，傳統(tǒng)自動(dòng)化技術(shù)與IT技術(shù)加速了融合的進(jìn)程，工業(yè)自動(dòng)化系統(tǒng)已廣泛采用微軟Windows操作系統(tǒng)和TCP/IP標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，工業(yè)實(shí)時(shí)以太網(wǎng)已經(jīng)被工業(yè)自動(dòng)化領(lǐng)域廣泛接受，IT技術(shù)快速進(jìn)入工業(yè)自動(dòng)化系統(tǒng)的各個(gè)層面，改變了自動(dòng)化系統(tǒng)長(zhǎng)期以來不能與IT技術(shù)同步發(fā)展的局面。工廠企業(yè)的信息化，可以實(shí)現(xiàn)智能工廠中從管理層、控制層直至現(xiàn)場(chǎng)層的信息無縫集成，使得過程控制系統(tǒng)（PCS）與制造執(zhí)行系統(tǒng)（MES），以及企業(yè)管理信息系統(tǒng)（ERP）有機(jī)地融為一體，并能通過Internet網(wǎng)完成遠(yuǎn)程維護(hù)與監(jiān)控。這種不可阻擋的發(fā)展趨勢(shì)隨之也帶來了工業(yè)網(wǎng)絡(luò)的安全問題，如何保證工業(yè)網(wǎng)絡(luò)的機(jī)密性、完整性和可用性成為工業(yè)自動(dòng)化系統(tǒng)必須考慮的一個(gè)重要問題。

在過去的兩年中，工業(yè)網(wǎng)絡(luò)的信息安全經(jīng)歷了迅猛的發(fā)展。2008年1月，黑客攻擊了美國(guó)的電力設(shè)施，造成多個(gè)城市大面積停電，損失很大。近幾年，美國(guó)公開報(bào)道的由于黑客攻擊造成巨大損失的事件多達(dá)30起。據(jù)說，由于各種原因還有很多起事件受害的公司不準(zhǔn)報(bào)道，保守秘密。而且，黑客攻擊在逐年增加。在這種情況下，進(jìn)入2009年，美國(guó)發(fā)電廠和大型電力企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度也邁上了一個(gè)新的臺(tái)階。NERC（北美電力保障組織）制定了對(duì)大型電力系統(tǒng)組織有著深遠(yuǎn)影響的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)CIP(關(guān)鍵基礎(chǔ)設(shè)施保護(hù)）條例，CIP標(biāo)準(zhǔn)條例監(jiān)管機(jī)構(gòu)對(duì)這些企業(yè)下達(dá)強(qiáng)制命令：每個(gè)發(fā)電、傳輸和配送部門，不論是否屬于關(guān)鍵

工業(yè)網(wǎng)絡(luò)信息安全威脅分析

工業(yè)網(wǎng)絡(luò)信息安全的潛在威脅主要來自黑客攻擊、數(shù)據(jù)操縱（Data manipulation）、間諜（Espionage）、病毒、蠕蟲和特洛伊木馬等。資產(chǎn)部門，都必須履行這些條例。電力供應(yīng)和輸配電部門必須采取明確的安全防范措施，以確保持續(xù)供電。不符合該標(biāo)準(zhǔn)的情況一經(jīng)發(fā)現(xiàn)，可能被處以高達(dá)每天100萬美元的罰款。許多行業(yè)外人士（包括化工、煉油、冶金等）也正在密切關(guān)注電力行業(yè)的動(dòng)態(tài)。他們期望自己的行業(yè)中也能夠出現(xiàn)類似的法規(guī)，而且是越早越好。由于該標(biāo)準(zhǔn)被界定為一套大型關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)，其他用到SCADA和DCS的領(lǐng)域也正在對(duì)它進(jìn)行審核。由此可見，工業(yè)網(wǎng)絡(luò)的信息安全已成為工業(yè)自動(dòng)化領(lǐng)域新的關(guān)注熱點(diǎn)。

黑客攻擊是通過攻擊自動(dòng)化系統(tǒng)的要害或弱點(diǎn)，使得工業(yè)網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性、可用性等受到傷害，造成不可估量的損失。黑客攻擊又分為來自外部的攻擊和來自內(nèi)部的攻擊。

?來自外部的攻擊包括非授權(quán)訪問是指一個(gè)非授權(quán)用戶的入侵；拒絕服務(wù)（DOS）攻擊，即黑客想辦法讓目標(biāo)設(shè)備停止提供服務(wù)或資源訪問。這樣一來，一個(gè)設(shè)備不能執(zhí)行它的正常功能，或它的動(dòng)作妨礙了別的設(shè)備執(zhí)行它們的正常功能，從而導(dǎo)致系統(tǒng)癱瘓，停止運(yùn)行。

?來自內(nèi)部的安全威脅，主要是由于自動(dòng)化系統(tǒng)技術(shù)人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足，可能會(huì)出現(xiàn)各種意想不到的操作失誤，勢(shì)必對(duì)系統(tǒng)或信息安全產(chǎn)生較大的影響。

嚴(yán)重黑客攻擊（如圖1所示）的性質(zhì)，已經(jīng)從單純的娛樂，擴(kuò)展到了犯罪、恐怖主義、甚至國(guó)家贊助的間諜活動(dòng)。在這種情況下，工業(yè)自動(dòng)化系統(tǒng)必須采取適當(dāng)而有力的防御措施來應(yīng)對(duì)黑

圖1 黑客攻擊工業(yè)網(wǎng)絡(luò)

辦公網(wǎng)絡(luò)和工業(yè)自動(dòng)化網(wǎng)絡(luò)之間主要差別

眾所周知，用于工業(yè)自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)通信技術(shù)來源于IT信息技術(shù)的辦公自動(dòng)化網(wǎng)絡(luò)技術(shù)，但是又不同于辦公環(huán)境使用的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，這是因?yàn)檗k公網(wǎng)絡(luò)通信是以傳遞信息為最終目的，而工業(yè)網(wǎng)絡(luò)傳遞信息是以引起物質(zhì)或能量的轉(zhuǎn)移為最終目標(biāo)。眾所周知，在辦公應(yīng)用環(huán)境，計(jì)算機(jī)病毒和蠕蟲往往會(huì)導(dǎo)致公司網(wǎng)絡(luò)故障，因而辦公網(wǎng)絡(luò)的信息安全越來越受到重視，通常采用殺毒軟件和防火墻等軟件方案解決安全問題。在工業(yè)應(yīng)用環(huán)境，惡意軟件的入侵，將會(huì)造成生產(chǎn)線停頓，導(dǎo)致嚴(yán)重后果。因而，工業(yè)網(wǎng)絡(luò)安全有更高要求，辦公應(yīng)用的信息安全解決方案已不能滿足這些需要。辦公網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)主要的差別參見表1所示。

表1 在辦公室和工業(yè)環(huán)境中IT安全解決方案的要求

工業(yè)網(wǎng)絡(luò)信息安全轉(zhuǎn)向硬件解決方案

（1）網(wǎng)絡(luò)安全軟件解決方案

早期，工業(yè)自動(dòng)化系統(tǒng)曾采用辦公環(huán)境使用的網(wǎng)絡(luò)安全軟件解決方案。軟件主要包括殺毒程序，將它們通常安裝在基于Windows的控制器、機(jī)器人或工業(yè)PC上。但是，由于在工廠大多是多種多樣設(shè)備混合使用，有可能它們之間會(huì)產(chǎn)生相反作用，從而影響被保護(hù)的系統(tǒng)。例如，美國(guó)的一家過程自動(dòng)化工廠在一臺(tái)工業(yè)PC上安裝了殺毒程序，該殺毒軟件妨礙了一個(gè)重要鍋爐系統(tǒng)的緊急停機(jī)，導(dǎo)致了嚴(yán)重后果。另一個(gè)例子是某制造工廠在多臺(tái)工業(yè)PC上裝了殺毒程序，由于多個(gè)殺毒軟件執(zhí)行時(shí)進(jìn)程之間可能會(huì)發(fā)生沖突，使得工廠的流水線不能啟動(dòng)，造成巨大損失。

（2）工業(yè)網(wǎng)絡(luò)安全硬件解決方案

為了確保工業(yè)自動(dòng)化系統(tǒng)的信息安全，工業(yè)網(wǎng)絡(luò)目前都轉(zhuǎn)向采用基于硬件的防火墻和VPN技術(shù)。

硬件防火墻主要是在優(yōu)化過的Intel架構(gòu)的專業(yè)工業(yè)控制計(jì)算機(jī)硬件平臺(tái)上，集成防火墻軟件形成的產(chǎn)品。硬件防火墻具有高速、高安全性、高穩(wěn)定性等優(yōu)點(diǎn)。硬件平臺(tái)一般均采用幾百兆甚至上千兆的高速CPU芯片，以多芯片模式工作，個(gè)別甚至采用了ASIC芯片來提高系統(tǒng)的處理能力；硬件平臺(tái)的操作系統(tǒng)一般針對(duì)安全需要做了最小化優(yōu)化，并且結(jié)合防火墻這一唯一的功能環(huán)境要求在采集數(shù)據(jù)包的底層驅(qū)動(dòng)上也做了優(yōu)化。在存儲(chǔ)方面，采用Flash存儲(chǔ)使系統(tǒng)的關(guān)鍵數(shù)據(jù)存儲(chǔ)相對(duì)傳統(tǒng)技術(shù)在讀寫速度和穩(wěn)定性上都有很大提高。另外，加固的設(shè)備外殼、標(biāo)準(zhǔn)的設(shè)計(jì)尺寸以及優(yōu)化的電源使硬件防火墻更適用于大型工業(yè)生產(chǎn)環(huán)境。防火墻主要采用簡(jiǎn)單包過濾、代理服務(wù)和狀態(tài)檢測(cè)（Stateful Inspection）三種安全控制技術(shù)來控制網(wǎng)絡(luò)中流量的輸入和輸出。狀態(tài)檢測(cè)技術(shù)是包過濾、代理服務(wù)技術(shù)相結(jié)合的產(chǎn)物，兼具系統(tǒng)處理速度快、安全性高的特點(diǎn)，是當(dāng)前硬件防火墻中比較廣泛應(yīng)用的主流安全控制技術(shù)。防火墻的工作模式主要涉及防火墻的安全分區(qū)，組網(wǎng)方式，對(duì)VPN加密隧道的支持，業(yè)務(wù)流控制，虛擬子系統(tǒng)設(shè)置，以及為提高系統(tǒng)可靠性采取的雙機(jī)倒換保護(hù)等內(nèi)容。在組網(wǎng)方面，硬件防火墻的接口可以工作在透明橋接、路由和NAT三種模式下，路由模式是防火墻普通使用的接口模式。

VPN（Virtual Private Network）是一種在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)的專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)平臺(tái)（如Internet等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。這種邏輯路徑也被稱為隧道（Tunnel）。VPN的主要功能是通過隧道或虛電路實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)；數(shù)據(jù)加密以及信息認(rèn)證、身份認(rèn)證；能夠進(jìn)行訪問控制、網(wǎng)絡(luò)監(jiān)控和故障診斷。VPN可以幫助遠(yuǎn)程用戶、工廠企業(yè)分支機(jī)構(gòu)、以及供應(yīng)商等和工廠企業(yè)內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。對(duì)于工業(yè)自動(dòng)化系統(tǒng)而言，為了能夠保證數(shù)據(jù)不被竊聽，VPN在站點(diǎn)之間建立了一個(gè)虛擬通道，數(shù)據(jù)在這個(gè)隧道中傳送。這樣的機(jī)制意味著每個(gè)地方所使用的網(wǎng)絡(luò)協(xié)議是無關(guān)的。為了保證因特網(wǎng)上的數(shù)據(jù)傳輸?shù)陌踩?，在發(fā)送之前對(duì)數(shù)據(jù)進(jìn)行加密，接收者對(duì)數(shù)據(jù)進(jìn)行解密。在隧道的兩端可以連接單個(gè)站點(diǎn)或完整的局域網(wǎng)。連接的端點(diǎn)是特殊的VPN網(wǎng)關(guān)。為了防止對(duì)數(shù)據(jù)通信的監(jiān)聽或操縱，這些VPN網(wǎng)關(guān)使用所謂的隧道協(xié)議在協(xié)議層對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。

VPN網(wǎng)關(guān)與防火墻一樣是一類比較成熟的網(wǎng)絡(luò)安全產(chǎn)品。對(duì)于工廠企業(yè)自動(dòng)化系統(tǒng)而言，只有把兩種安全產(chǎn)品配合起來使用才能實(shí)現(xiàn)一個(gè)較完整的安全解決方案。在這方面，有兩種做法：一種是VPN網(wǎng)關(guān)作為一個(gè)獨(dú)立設(shè)備與防火墻配合使用；另一種方案是在防火墻內(nèi)集成VPN網(wǎng)關(guān)。后者具備如下優(yōu)點(diǎn)：可以保護(hù)VPN網(wǎng)關(guān)免受DOS攻擊；對(duì)VPN加密隧道承載的數(shù)據(jù)可以施加安全控制；可以簡(jiǎn)化組網(wǎng)路由，提高效率；可以共享用戶認(rèn)證信息；以及有利于統(tǒng)一日志和網(wǎng)絡(luò)管理。

硬件防火墻系統(tǒng)性能在不斷提升，除了可以滿足高帶寬接口環(huán)境的要求之外，也為采用多個(gè)較小型防火墻的網(wǎng)絡(luò)環(huán)境提供了防火墻設(shè)備集成的可能，從而能夠?qū)崿F(xiàn)小型分布式信息安全系統(tǒng)的架構(gòu)。

菲尼克斯電氣公司三重安全解決方案

為了提高基于工業(yè)以太網(wǎng)的工業(yè)通信網(wǎng)絡(luò)的信息安全性，菲尼克斯電氣公司開發(fā)了一種新的安全概念，該概念使用三個(gè)層面（three-stage）安全步驟以滿足工業(yè)自動(dòng)化系統(tǒng)的需要，同時(shí)考慮了逐漸增加的網(wǎng)絡(luò)安全要求。三個(gè)層面安全措施如下：

?用簡(jiǎn)單的機(jī)械保護(hù)方法實(shí)現(xiàn)訪問鎖定；

?具備IEEE綜合安全功能的管理交換機(jī)；

?具有防火墻和路由器功能的工業(yè)安全組件。

在這里，第三個(gè)層面防護(hù)措施采用帶有小型分布式安全系統(tǒng)的縱深防御體系架構(gòu)，如圖2所示。工廠企業(yè)防火墻用于保護(hù)整個(gè)企業(yè)防御Internet的安全威脅；管理層到控制系統(tǒng)的具有DMZ隔離區(qū)的防火墻用于保護(hù)整個(gè)控制系統(tǒng)；分布式安全組件則用于保護(hù)諸如PLC或DCS等關(guān)鍵設(shè)備。菲尼克斯電氣公司采用Innominate技術(shù)研發(fā)的FL MGUARD安全組件可以使用在這種分布式架構(gòu)中，它們保護(hù)部分系統(tǒng)網(wǎng)絡(luò)、每一個(gè)生產(chǎn)單元或一個(gè)單獨(dú)的自動(dòng)化設(shè)備。

圖2 工業(yè)網(wǎng)絡(luò)安全分布式縱深防御體系結(jié)構(gòu)

FL MGUARD平臺(tái)是一個(gè)獨(dú)立的系統(tǒng)，該平臺(tái)可以直接集成到連接至工業(yè)網(wǎng)絡(luò)的工業(yè)計(jì)算機(jī)，若有需要，也可以PCI卡的形式完成集成，如圖3所示。FL MGUARD組件基于硬件的安全協(xié)議的實(shí)現(xiàn)既不需要修改計(jì)算機(jī)的配置，也不需要定期進(jìn)行軟件升級(jí)。相對(duì)于被保護(hù)系統(tǒng)所使用的處理機(jī)和操作系統(tǒng)，它是完全獨(dú)立的系統(tǒng)。絕不會(huì)對(duì)系統(tǒng)產(chǎn)生負(fù)面影響。

圖3 FL MGUARD工業(yè)網(wǎng)絡(luò)信息安全組件

由于菲尼克斯電氣公司采用的分布式安全系統(tǒng)架構(gòu)是為每個(gè)工業(yè)系統(tǒng)的中央計(jì)算機(jī)、控制計(jì)算機(jī)或生產(chǎn)機(jī)器人分配一個(gè)其自身的安全組件，因而它具有獨(dú)立的安全等級(jí)，并特地配置了訪問權(quán)和其它方面的中央管理功能。

FL MGUARD安全組件使用被其保護(hù)的計(jì)算機(jī)相同的IP地址，因而它不會(huì)被入侵者識(shí)別，使它很難被發(fā)現(xiàn)，從而避免了隨之而來的攻擊。同時(shí)，MGUARD配置了基于Kaspersky Lab技術(shù)的病毒掃描器，用于監(jiān)視數(shù)據(jù)源以識(shí)別協(xié)議中的病毒（如HTTP、SMTP和FTP）。使得工業(yè)自動(dòng)化系統(tǒng)能夠全面防御DOS、DDOS以及網(wǎng)絡(luò)病毒的攻擊。

配備ME45外殼的 FL MGUARD 組件可安裝在DIN導(dǎo)軌上，并實(shí)現(xiàn)工業(yè)防火墻、路由器和VPN三合一集成。集成安全解決方案的基礎(chǔ)是運(yùn)行在硬件實(shí)現(xiàn)的網(wǎng)絡(luò)處理器上的嵌入式Linux OS內(nèi)核程序，Intel芯片能夠?qū)崿F(xiàn)基于硬件的DES、3DES和AES加密，并能保證以VPN連接方式穿越防火墻的流通量高達(dá)99Mbps或70Mbps。

FL MGUARD安全組件主要功能如下：

?可配置的防火墻保護(hù)系統(tǒng)防御來自外部的未授權(quán)訪問。包過濾器過濾基于源和目的地址的數(shù)據(jù)包，并且阻止來自內(nèi)部的不希望的通信；

?基于硬件編碼，極高的數(shù)據(jù)吞吐量；

?可支持10個(gè)VPN通道，VPN通道創(chuàng)建前設(shè)定釋放按鈕（硬件或軟件）；

?支持Zone Defence 聯(lián)動(dòng)預(yù)警機(jī)制；

?內(nèi)建入侵防御系統(tǒng)，并可自動(dòng)更新入侵特征數(shù)據(jù)庫；

?內(nèi)建內(nèi)容過濾功能，可過濾WEB郵件等；

?支持用戶認(rèn)證。通過ICSA Firewall，ICSA IP Sec等國(guó)際認(rèn)證。

FL MGUARD系列產(chǎn)品中的MGUARD RS 安全組件支持通過Internet網(wǎng)進(jìn)行的安全遠(yuǎn)程服務(wù)和維護(hù)，包括遠(yuǎn)程診斷、遠(yuǎn)程組態(tài)和遙控服務(wù)。遠(yuǎn)程網(wǎng)絡(luò)應(yīng)覆蓋模擬、撥號(hào)、ISDN、數(shù)字用戶線路電纜技術(shù)。為了滿足各種需求，F(xiàn)L MGUARD RS提供五種類型的組件，它們是：

?路由器—FL MGUARD RS-B；

?支持VPN功能的安全組件—FL MGUARD RS VPN；

?安全組件—FL MGUARD RS；

?支持VPN功能的安全組件—FL MGUARD RS VPN；

?支持VPN和嵌入式模擬調(diào)制器的安全組件—FL MGUARD RS VPN ANALOG；

?支持VPN和嵌入式ISDN調(diào)制器（ISDN端子適配器）的安全組件—FL MGUARD RS VPN ISDN。

FL MGUARD RS系列組件提供狀態(tài)檢測(cè)防火墻保護(hù)、網(wǎng)絡(luò)路由和NAT地址變換、同時(shí)支持IT網(wǎng)絡(luò)協(xié)議（諸如DHCP、DNS、QOS和VLAN等）的主機(jī)系統(tǒng)。VPN虛擬專用網(wǎng)性能支持IPsec、L2TP和PPTP連接；X.509數(shù)字證書和PSK身份認(rèn)證技術(shù)；以及DES、3DES和AES加密技術(shù)。安全組件集成的模擬調(diào)制器或ISDN調(diào)制器是可供選擇的。菲尼克斯公司安全組件使用的VPN技術(shù)涉及通信技術(shù)的隧道技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)。這些技術(shù)和協(xié)議包括：

?PPTP點(diǎn)到點(diǎn)隧道協(xié)議

PPTP協(xié)議將控制包與數(shù)據(jù)包分開，控制包采用TCP控制，用于嚴(yán)格的狀態(tài)查詢；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GREV2協(xié)議中。

?L2TP第二層隧道協(xié)議

L2TP是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，能以隧道方式使PPP包通過各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。

?IPsec協(xié)議

IPsec協(xié)議是一個(gè)范圍廣泛、開放的VPN安全協(xié)議，工作在OSI模型中的第三層網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信。在隧道模式下，IPsec把IPv4數(shù)據(jù)包封裝在安全的IP幀中。

?X.509數(shù)字證書

基于X.509數(shù)字證書實(shí)現(xiàn)身份證是一種“基于非對(duì)稱加密模型”的典型認(rèn)證機(jī)制，具有較高安全性，它依賴于共同信任的第三方CA認(rèn)證機(jī)構(gòu)實(shí)現(xiàn)認(rèn)證。數(shù)字證書遵循X.509標(biāo)準(zhǔn)所規(guī)定的格式。

?DES數(shù)據(jù)加密標(biāo)準(zhǔn)

DES數(shù)據(jù)加密標(biāo)準(zhǔn)是美國(guó)1997年公布實(shí)施的分組密碼體制。它是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的方法。為了提高DES的抗攻擊性，可以使用DES的兩種變形，即雙重DES和三重DES（3DES）。它們兩次或三次執(zhí)行DES算法，從而使安全性大大提高。

?AES高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)算法

AES算法是1997年美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）制定的加密標(biāo)準(zhǔn)算法。AES算法比3DES快，且更安全密鑰長(zhǎng)度最大為256bit。

由此可見，F(xiàn)L MGUARD網(wǎng)絡(luò)安全產(chǎn)品系列能夠全面提供路由器、防火墻、VPN、QoS和入侵檢測(cè)等支持功能，完成工業(yè)自動(dòng)化系統(tǒng)的信息安全保護(hù)，并能通過Internet實(shí)現(xiàn)工廠安全的遠(yuǎn)程診斷和遠(yuǎn)程維護(hù)。2008年，菲尼克斯電氣公司敏銳的觀察到隨著黑客攻擊的增加，工業(yè)網(wǎng)絡(luò)信息安全顯得越來越重要，于是果斷地收購了工業(yè)網(wǎng)絡(luò)信息安全的領(lǐng)袖企業(yè)德國(guó)Innominate 公司，從而使菲尼克斯電氣公司成為工業(yè)網(wǎng)絡(luò)受控與安全通信解決方案及其產(chǎn)品的領(lǐng)導(dǎo)供應(yīng)商。