張 宇

（中國(guó)電子科技集團(tuán)公司第十研究所，成都 610036）

0 引言

自動(dòng)化和過(guò)程控制在工業(yè)中扮演著重要的角色。隨著信息化的提升，工業(yè)自動(dòng)化系統(tǒng)不能被看作是“孤島”，它本身是封閉的，但必須允許各設(shè)備之間的互連、通信和監(jiān)控。工業(yè)自動(dòng)化控制網(wǎng)絡(luò)（以下簡(jiǎn)稱(chēng)“工業(yè)網(wǎng)絡(luò)”）涉及現(xiàn)場(chǎng)設(shè)備、數(shù)字化控制器、各種軟件，以及外部系統(tǒng)之間通信協(xié)議的實(shí)施。

工業(yè)網(wǎng)絡(luò)覆蓋了一個(gè)國(guó)家多個(gè)關(guān)鍵基礎(chǔ)設(shè)施的領(lǐng)域，如制造業(yè)和發(fā)電行業(yè)。它們是高度專(zhuān)業(yè)化的，并利用各種定制化的協(xié)議，以達(dá)到對(duì)物理設(shè)備實(shí)時(shí)控制的目的。由于工業(yè)現(xiàn)場(chǎng)環(huán)境對(duì)自動(dòng)化的依賴(lài)程度不斷提高，工業(yè)網(wǎng)絡(luò)的應(yīng)用層面不斷拓寬。工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)等傳統(tǒng)技術(shù)也進(jìn)一步融合，工業(yè)網(wǎng)絡(luò)技術(shù)在各個(gè)方面取得了巨大的發(fā)展，不斷地有新的解決方案、新的標(biāo)準(zhǔn)、新的概念被提出，例如工業(yè)實(shí)時(shí)以太網(wǎng)的技術(shù)、工業(yè)無(wú)線(xiàn)傳輸技術(shù)、工業(yè)網(wǎng)絡(luò)信息安全保障技術(shù)等。

1 工業(yè)網(wǎng)絡(luò)技術(shù)特征與發(fā)展現(xiàn)狀

1.1 工業(yè)網(wǎng)絡(luò)的特征

工業(yè)的發(fā)展依賴(lài)于自動(dòng)化控制技術(shù)，工業(yè)自動(dòng)化在能源、軌道交通等領(lǐng)域發(fā)揮著重要的作用，通過(guò)分析生產(chǎn)流程的環(huán)節(jié)，設(shè)定準(zhǔn)確的運(yùn)行參數(shù)，可以保證工業(yè)系統(tǒng)安全穩(wěn)定運(yùn)行，同時(shí)還具備部分故障自動(dòng)診斷、檢修、快速應(yīng)急響應(yīng)及恢復(fù)的功能。傳統(tǒng)工業(yè)自動(dòng)化逐漸融入計(jì)算機(jī)技術(shù)，慢慢呈現(xiàn)出智能化的特征，而背后的通信網(wǎng)絡(luò)技術(shù)也在相應(yīng)的不斷發(fā)展。

互聯(lián)網(wǎng)絡(luò)為大家眾所周知，而工業(yè)網(wǎng)絡(luò)則更加行業(yè)化。盡管隨著工業(yè)網(wǎng)絡(luò)的發(fā)展，如與以太網(wǎng)技術(shù)的結(jié)合，已經(jīng)開(kāi)始模糊工業(yè)網(wǎng)絡(luò)和傳統(tǒng)互聯(lián)網(wǎng)絡(luò)之間的界限，但在其核心，它們面向的對(duì)象不同，有著不同的需求。最本質(zhì)的區(qū)別是，工業(yè)網(wǎng)絡(luò)以某種形式連接到物理設(shè)備，并用于控制和監(jiān)控實(shí)體設(shè)備的行為和執(zhí)行條件[1]。這導(dǎo)致了對(duì)一套不同于互聯(lián)網(wǎng)網(wǎng)絡(luò)的服務(wù)質(zhì)量（QoS）的要求，比如對(duì)強(qiáng)確定性和實(shí)時(shí)數(shù)據(jù)傳輸?shù)囊?。參考相關(guān)資料，總結(jié)了工業(yè)網(wǎng)絡(luò)與傳統(tǒng)以太網(wǎng)的多方面要求及典型差異[2]。具體見(jiàn)表1，下面將詳細(xì)分析介紹。

表1 工業(yè)網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)之間的典型差異Table 1 Typical differences between industrial networks and traditional networks

在應(yīng)用方面，工業(yè)網(wǎng)絡(luò)應(yīng)用于許多工業(yè)領(lǐng)域，包括制造、電力、能源等，幾乎在每一種需要對(duì)實(shí)體設(shè)備進(jìn)行監(jiān)視和控制的情況下，都會(huì)以某種形式安裝工業(yè)網(wǎng)絡(luò)。每個(gè)行業(yè)都有自己的一套稍有不同但通常相似的需求，可以大致分為以下幾個(gè)領(lǐng)域：離散制造、過(guò)程控制、運(yùn)輸和嵌入式系統(tǒng)[3]。

在架構(gòu)方面，工業(yè)網(wǎng)絡(luò)通常比傳統(tǒng)互聯(lián)網(wǎng)絡(luò)具有更深層次的架構(gòu)。例如，一個(gè)企業(yè)的互聯(lián)網(wǎng)絡(luò)由局域網(wǎng)組成，局域網(wǎng)絡(luò)由主干網(wǎng)或廣域網(wǎng)對(duì)外連接。然而，一個(gè)小型工業(yè)網(wǎng)絡(luò)也傾向于有3層或4層乃至更多的層次結(jié)構(gòu)，包括儀器儀表設(shè)備現(xiàn)場(chǎng)層、儀器與控制器連接、控制器互連的控制層，人機(jī)接口（HMI）和過(guò)程監(jiān)控的監(jiān)控層，生產(chǎn)管理網(wǎng)絡(luò)的生產(chǎn)管理層，企業(yè)進(jìn)行管理網(wǎng)絡(luò)的企業(yè)管理層等。不同的協(xié)議和物理介質(zhì)經(jīng)常在每一層中使用，彼此之間采用網(wǎng)關(guān)設(shè)備來(lái)實(shí)現(xiàn)通信。工業(yè)網(wǎng)絡(luò)協(xié)議和技術(shù)的改進(jìn)，導(dǎo)致了典型工業(yè)層次結(jié)構(gòu)的一些扁平化，重點(diǎn)包括在較高層的組合中。然而，為了保持與被控制設(shè)備的功能層次結(jié)構(gòu)的相關(guān)獨(dú)立性，網(wǎng)絡(luò)架構(gòu)通常不會(huì)盡可能地扁平化。例如，發(fā)電設(shè)施內(nèi)的“電力設(shè)備孤島”將保留獨(dú)立的控制網(wǎng)絡(luò)，以便在機(jī)械和控制水平上保持單元序列之間的邏輯分離。

在故障嚴(yán)重程度方面，由于工業(yè)控制網(wǎng)絡(luò)與物理設(shè)備相連，系統(tǒng)故障的影響要比互聯(lián)網(wǎng)領(lǐng)域嚴(yán)重得多。工業(yè)網(wǎng)絡(luò)故障的各種影響，包括設(shè)備損壞、生產(chǎn)損失、環(huán)境破壞、聲譽(yù)損失，甚至生命損失[1]。

在實(shí)時(shí)性方面，流程和設(shè)備運(yùn)行的速度要求數(shù)據(jù)傳輸、處理和響應(yīng)盡可能接近、及時(shí)。一般的規(guī)則是響應(yīng)時(shí)間應(yīng)該小于收集數(shù)據(jù)的采樣時(shí)間，特別是在閉環(huán)系統(tǒng)的情況下，信息傳遞的延遲會(huì)嚴(yán)重影響控制回路的性能?；ヂ?lián)網(wǎng)絡(luò)往往沒(méi)有任何響應(yīng)時(shí)間要求，即使有，通常也在幾十毫秒或更確切地說(shuō)是幾秒的范圍內(nèi)[4,5]。工業(yè)自動(dòng)化網(wǎng)絡(luò)的層次越高，對(duì)時(shí)間的要求就越低，在最高層次上就開(kāi)始類(lèi)似于互聯(lián)網(wǎng)絡(luò)。

在確定性方面，在工業(yè)網(wǎng)絡(luò)的最底層使用的數(shù)據(jù)不僅必須實(shí)時(shí)傳輸，而且必須以可預(yù)測(cè)的或確定性的方式進(jìn)行。為了使網(wǎng)絡(luò)具有確定性，它必須能夠預(yù)測(cè)何時(shí)會(huì)收到對(duì)傳輸?shù)膽?yīng)答。這意味著信號(hào)的延遲必須是有界的，并且具有低方差信號(hào)。響應(yīng)時(shí)間的變化通常稱(chēng)為時(shí)間抖動(dòng)，由于時(shí)間上的變化對(duì)控制回路有負(fù)面影響，因而高實(shí)時(shí)、高可靠控制網(wǎng)絡(luò)需要低抖動(dòng)。

在數(shù)據(jù)量方面，工業(yè)網(wǎng)絡(luò)中傳輸?shù)男畔⒍x為控制信息、診斷信息和安全信息[6]?？刂菩畔⒃趦x表和控制器之間發(fā)送，是控制器中實(shí)現(xiàn)的控制回路的輸入或輸出，如包括執(zhí)行器位置、流體流量及驅(qū)動(dòng)速度。診斷信息是由控制系統(tǒng)進(jìn)行自我收集反饋，這種信息通常用于監(jiān)測(cè)工廠(chǎng)設(shè)備的健康狀況，例如設(shè)備負(fù)荷率、溫度。安全信息用于實(shí)現(xiàn)關(guān)鍵功能，如設(shè)備的安全關(guān)閉和保護(hù)電路的運(yùn)行。在工業(yè)級(jí)傳輸?shù)臄?shù)據(jù)包通常非常小，特別是在低級(jí)別的架構(gòu)，可能只需要傳輸一個(gè)模擬量值或開(kāi)關(guān)量值，以及一些系統(tǒng)開(kāi)銷(xiāo)信息。這樣的傳輸通常只有幾個(gè)字節(jié)大小，例如單個(gè)二進(jìn)制狀態(tài)或16位值的傳輸。另一方面，互聯(lián)網(wǎng)絡(luò)經(jīng)常傳輸千字節(jié)或更多的數(shù)據(jù)，數(shù)據(jù)包大小至少?gòu)?4字節(jié)開(kāi)始。這種差異需要在網(wǎng)絡(luò)協(xié)議棧中使用不同的協(xié)議，主要集中在較小數(shù)據(jù)包的傳輸上。

在周期性方面，工業(yè)網(wǎng)絡(luò)既需要周期性采樣數(shù)據(jù)的傳輸，也需要非周期性事件的傳輸，如狀態(tài)或報(bào)警條件的變化。如上所述，這些信號(hào)必須在設(shè)定的時(shí)間段內(nèi)傳輸。根據(jù)控制要求，不同設(shè)備采集和傳輸數(shù)據(jù)的采樣周期可能不同。針對(duì)隨時(shí)可能出現(xiàn)非周期性數(shù)據(jù)，為了方便此類(lèi)傳輸，在工業(yè)網(wǎng)絡(luò)協(xié)議中較低的層次上研制了基于時(shí)鐘和總線(xiàn)競(jìng)爭(zhēng)的通信協(xié)議，以確保所有數(shù)據(jù)都能及時(shí)傳輸，而在互聯(lián)網(wǎng)絡(luò)中不存在這樣的考慮。在傳統(tǒng)互聯(lián)網(wǎng)絡(luò)中，數(shù)據(jù)傳輸是“盡最大努力”實(shí)現(xiàn)的，在數(shù)據(jù)傳輸之前可能涉及隨機(jī)延遲。

在一致性方面，在工業(yè)網(wǎng)絡(luò)中，需要確定傳輸發(fā)生的時(shí)間和網(wǎng)絡(luò)中事件的順序，特別是在非周期性傳輸?shù)那闆r下。通常這是通過(guò)使用時(shí)間戳和同步時(shí)鐘實(shí)現(xiàn)的，而不是采用通用協(xié)議實(shí)現(xiàn)的。

工業(yè)網(wǎng)絡(luò)由專(zhuān)門(mén)的組件和應(yīng)用程序組成，如可編程邏輯控制器（PLC）、監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）和分布式控制系統(tǒng)（DCS）。工業(yè)網(wǎng)絡(luò)主要關(guān)心的是這些組件和系統(tǒng)內(nèi)部以及它們之間的通信。工業(yè)網(wǎng)絡(luò)的核心由現(xiàn)場(chǎng)總線(xiàn)協(xié)議組成，在IEC61158中定義為“用于與工業(yè)控制和儀表設(shè)備（包括但不限于傳感器、執(zhí)行器和本地控制器）通信的數(shù)字、串行、多點(diǎn)、數(shù)據(jù)總線(xiàn)”。工業(yè)控制網(wǎng)絡(luò)可以分為3代不同的、具有不同兼容性水平的網(wǎng)絡(luò)[7]。第一種是傳統(tǒng)的基于串行的現(xiàn)場(chǎng)總線(xiàn)協(xié)議，這類(lèi)總線(xiàn)協(xié)議種類(lèi)繁多，由諸多研究機(jī)構(gòu)自研，具備特定的應(yīng)用范圍等；第二種是基于以太網(wǎng)的協(xié)議；最新一代已經(jīng)開(kāi)始包含無(wú)線(xiàn)通信技術(shù)。以太網(wǎng)技術(shù)的結(jié)合，使得曾經(jīng)截然不同的現(xiàn)場(chǎng)總線(xiàn)和互聯(lián)網(wǎng)技術(shù)越來(lái)越相似。這就產(chǎn)生了新的術(shù)語(yǔ)，如工業(yè)控制網(wǎng)絡(luò)，它不僅包括傳統(tǒng)現(xiàn)場(chǎng)總線(xiàn)的功能和要求，而且還包括基于以太網(wǎng)系統(tǒng)提供的附加功能和要求。

1.2 現(xiàn)場(chǎng)總線(xiàn)

現(xiàn)場(chǎng)總線(xiàn)系統(tǒng)的幾個(gè)前身早在20世紀(jì)70年代就開(kāi)始研制，許多現(xiàn)場(chǎng)總線(xiàn)是并行開(kāi)發(fā)的，分布于科研機(jī)構(gòu)和不同的控制系統(tǒng)供應(yīng)商，以滿(mǎn)足不同行業(yè)的不同用戶(hù)定義的需求。后來(lái)私有總線(xiàn)協(xié)議逐漸被開(kāi)放協(xié)議所取代，協(xié)議的標(biāo)準(zhǔn)化提高了總線(xiàn)協(xié)議的可靠性和穩(wěn)定性。

IEC最終公布了IEC61158中所有現(xiàn)有的標(biāo)準(zhǔn)，由于該標(biāo)準(zhǔn)繁雜冗余，緊接著推出IEC61784做出了說(shuō)明。其中，唯一由IEC開(kāi)發(fā)的部分是61158-2，它定義了物理層，并被大多數(shù)提供安全設(shè)計(jì)的現(xiàn)場(chǎng)總線(xiàn)所采用。以

太網(wǎng)作為T(mén)CP/IP和用戶(hù)數(shù)據(jù)報(bào)文協(xié)議（UDP）棧的一部分，最初在工業(yè)領(lǐng)域沒(méi)有得到太多人的接受。隨著以太網(wǎng)技術(shù)的發(fā)展，使其更適合于工業(yè)用途，特別是新的以太網(wǎng)標(biāo)準(zhǔn)（如802.3u快速以太網(wǎng)）增加的數(shù)據(jù)速率使創(chuàng)建實(shí)時(shí)以太網(wǎng)協(xié)議變得更容易。根本原由在于傳輸和重傳時(shí)間大大縮短，實(shí)時(shí)需求可以通過(guò)多種方法來(lái)實(shí)現(xiàn)[8]。于是誕生了許多現(xiàn)場(chǎng)總線(xiàn)技術(shù)，包括CAN、HAPT、PROFIBUS、Ethernet/IP、基 金 會(huì) 現(xiàn) 場(chǎng) 總 線(xiàn)FF、MODBUS/TCP、EtherCAT等諸多現(xiàn)場(chǎng)總線(xiàn)。

1.3 通信協(xié)議

工業(yè)通信協(xié)議的發(fā)展是由于終端用戶(hù)的要求，以及適應(yīng)工業(yè)環(huán)境的新技術(shù)的出現(xiàn)而開(kāi)始的，由國(guó)際標(biāo)準(zhǔn)組織（ISO）創(chuàng)建的開(kāi)放系統(tǒng)互連（OSI）7層模型，包括物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、表示層、會(huì)話(huà)層和應(yīng)用層。每一層都描述了將信息從一個(gè)應(yīng)用程序發(fā)送到另一個(gè)應(yīng)用程序所需的服務(wù)，以及層之間的接口，幫助定義和創(chuàng)建了通信協(xié)議和服務(wù)，實(shí)現(xiàn)標(biāo)準(zhǔn)的互連。常用的通信協(xié)議如下：

1）CANopen

CANopen是用于自動(dòng)化的CAN的高水平擴(kuò)展，被移交給自動(dòng)化組織，該組織現(xiàn)在管理該協(xié)議。CANopen在歐洲EN50325標(biāo)準(zhǔn)和其他基于CAN的協(xié)議中被定義，CANopen標(biāo)準(zhǔn)為特定的實(shí)現(xiàn)，定義了廣泛的應(yīng)用配置文件，如運(yùn)動(dòng)控制等。

2）EtherNet/IP

該協(xié)議是在TCP/IP之上，結(jié)合通用工業(yè)協(xié)議（Common Industrial Protocol， 簡(jiǎn) 稱(chēng)CIP） 作 為應(yīng)用層實(shí)現(xiàn)，是面向工業(yè)自動(dòng)化應(yīng)用的工業(yè)應(yīng)用層協(xié)議，在IEC61784-1中被定義。它最初由羅克韋爾自動(dòng)化開(kāi)發(fā)，由開(kāi)放式設(shè)備網(wǎng)絡(luò)供應(yīng)商協(xié)會(huì)（Open DeviceNet Vendor Association，簡(jiǎn) 稱(chēng)ODVA）和 其 他CIP現(xiàn) 場(chǎng)總線(xiàn)維護(hù)。CIP應(yīng)用層的使用允許3個(gè)現(xiàn)場(chǎng)總線(xiàn)之間的緊密集成，并且可以通過(guò)網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)它們之間的通信。盡管不是嚴(yán)格的確定性，Ethernet/IP通過(guò)使用優(yōu)先消息和使用IEEE1588協(xié)議的時(shí)鐘同步提供實(shí)時(shí)性能。這些考慮與全雙工交換體系結(jié)構(gòu)相結(jié)合，可以防止由于沖突造成的延遲，網(wǎng)絡(luò)中的操作基于計(jì)劃的計(jì)時(shí)而不是實(shí)際的計(jì)時(shí)，以抵消在網(wǎng)絡(luò)棧中遇到的延遲[8]。

3）PROFIBUS

由于西門(mén)子對(duì)PROFIBUS的認(rèn)可，PROFIBUS可以說(shuō)是最著名和應(yīng)用最廣泛的現(xiàn)場(chǎng)總線(xiàn)之一。PROFIBUS由多個(gè)德國(guó)公司和機(jī)構(gòu)聯(lián)合開(kāi)發(fā)而成，是最早創(chuàng)建的現(xiàn)場(chǎng)總線(xiàn)之一。最初由不同的區(qū)域組織管理，這些組織聯(lián)合起來(lái)組成了PROFIBUS國(guó)際組織，現(xiàn)在負(fù)責(zé)維護(hù)EN 50170、IEC 61158和IEC 61784中定義的標(biāo)準(zhǔn)。在PROFIBUS中，定義了不同的配置文件，每個(gè)配置文件適用于不同的應(yīng)用程序。

4）其他現(xiàn)場(chǎng)總線(xiàn)協(xié)議

目前，被IEC采納并被添加到61158和61784標(biāo)準(zhǔn)中的總線(xiàn)協(xié)議越來(lái)越多，工業(yè)領(lǐng)域較為知名的協(xié)議包括：Ethernet Powerlink（EPL）、EtherNet/IP、Profinet、EtherCAT、EPA等工業(yè)實(shí)時(shí)以太網(wǎng)協(xié)議[9]。

從工業(yè)網(wǎng)絡(luò)技術(shù)特征和發(fā)展歷程不難看出，重點(diǎn)是針對(duì)工業(yè)應(yīng)用場(chǎng)景的需求，實(shí)現(xiàn)與保障現(xiàn)場(chǎng)業(yè)務(wù)系統(tǒng)之間的通信與數(shù)據(jù)傳輸，而針對(duì)工業(yè)網(wǎng)絡(luò)和業(yè)務(wù)數(shù)據(jù)的安全性，在設(shè)計(jì)之初并未重點(diǎn)考慮。

2 工業(yè)網(wǎng)絡(luò)技術(shù)信息安全研究

隨著工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)和智能制造等概念的提出，現(xiàn)場(chǎng)工業(yè)系統(tǒng)也逐漸融合工業(yè)控制技術(shù)和信息通信技術(shù)。針對(duì)不同的工業(yè)應(yīng)用場(chǎng)景需求，新的技術(shù)理念不斷出現(xiàn)，但是出現(xiàn)信息泄露與篡改的風(fēng)險(xiǎn)也越來(lái)越大。而國(guó)家頒布的等保2.0、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例等標(biāo)準(zhǔn)法規(guī)逐漸落地，工業(yè)領(lǐng)域作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，其對(duì)應(yīng)的信息安全防護(hù)水平也應(yīng)隨之提高。

2.1 工業(yè)信息安全保護(hù)目標(biāo)與必要性分析

由于工業(yè)網(wǎng)絡(luò)中使用的技術(shù)越來(lái)越多的重疊，因而工業(yè)網(wǎng)絡(luò)中的安全與互聯(lián)網(wǎng)絡(luò)中的安全非常相似。雖然這兩個(gè)網(wǎng)絡(luò)都存在許多相同的威脅，但工業(yè)網(wǎng)絡(luò)的額外需求和考慮因素意味著安全性可能往往更難以實(shí)現(xiàn)。網(wǎng)絡(luò)安全的目標(biāo)是提供機(jī)密性、信息的完整性、可用性、身份驗(yàn)證、授權(quán)、可審核性、不可公開(kāi)性，以及來(lái)自第三方保護(hù)[11]。這些特性的缺失或丟失，可能會(huì)導(dǎo)致網(wǎng)絡(luò)出現(xiàn)故障。

前文已述，工業(yè)網(wǎng)絡(luò)的故障會(huì)產(chǎn)生嚴(yán)重的影響。這種故障可能是偶然的，也可能是由惡意造成的，這些故障的預(yù)防分別由可靠性和安全性來(lái)提供。如果網(wǎng)絡(luò)本身不能或沒(méi)有通過(guò)其自身的可靠性考慮來(lái)解決這些缺陷，則必須采取額外的措施來(lái)防止訪(fǎng)問(wèn)這些缺陷，并提高系統(tǒng)的安全性，確保工業(yè)網(wǎng)絡(luò)安全已成為確保國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全的先決條件。

2.2 通信與密碼技術(shù)融合難點(diǎn)與實(shí)現(xiàn)方案

隨著中國(guó)國(guó)密算法推出及逐漸得到國(guó)際認(rèn)可，采用國(guó)家商用密碼算法（如SM系列）是互聯(lián)網(wǎng)絡(luò)中保護(hù)通信安全的核心部分，因?yàn)樗鼈兛梢蕴峁?shù)據(jù)保密性、完整性和身份驗(yàn)證功能。傳統(tǒng)網(wǎng)絡(luò)設(shè)備的使用，意味著許多已建立的技術(shù)，如IPsec和SSL協(xié)議，可以在更高的層次上使用。然而，控制設(shè)備的性質(zhì)使得在較低級(jí)別實(shí)現(xiàn)安全特性存在實(shí)施困難的問(wèn)題。工業(yè)設(shè)備的生命周期通常比企業(yè)網(wǎng)絡(luò)長(zhǎng)得多，對(duì)可靠性的要求也高得多。因此，工業(yè)網(wǎng)絡(luò)設(shè)備中使用的技術(shù)通常必須是成熟的，經(jīng)過(guò)了多層次驗(yàn)證后的。此外，底層工業(yè)協(xié)議的局限性設(shè)計(jì)也給安全的實(shí)現(xiàn)帶來(lái)了困難。許多協(xié)議的低數(shù)據(jù)傳輸速率，意味著它們將受到安全通信所需的額外開(kāi)銷(xiāo)的不利影響。傳統(tǒng)的安全協(xié)議，如IP sec、SSL和VPN，在工業(yè)自動(dòng)化網(wǎng)終中并不實(shí)用，因?yàn)樗鼈內(nèi)狈?duì)多播和廣播傳輸?shù)闹С諿12]。在工業(yè)網(wǎng)絡(luò)中使用密碼算法時(shí)，密鑰分發(fā)也存在問(wèn)題，因?yàn)槌汕先f(wàn)的設(shè)備可能需要密鑰。許多密鑰分配方法的設(shè)想都涉及到設(shè)備調(diào)試期間的人工干預(yù)，而沒(méi)有考慮密鑰的壽命。密鑰的長(zhǎng)度和使用的算法決定了解密敏感信息所需的時(shí)間長(zhǎng)度，這兩者通常與要保護(hù)的數(shù)據(jù)的預(yù)期生存周期相匹配。

分析國(guó)家商用密碼算法使用標(biāo)準(zhǔn)要求，總結(jié)SM2/3/4算法主要應(yīng)用側(cè)重點(diǎn)如圖1所示。在底層使用密碼算法與通信協(xié)議進(jìn)行融合，針對(duì)數(shù)據(jù)保密性、數(shù)據(jù)防篡改、身份鑒別等方面的信息安全要求，采用SM3+SM4實(shí)現(xiàn)數(shù)據(jù)保密性要求，SM2+SM4實(shí)現(xiàn)他方身份鑒別功能要求，SM2+SM3實(shí)現(xiàn)數(shù)據(jù)防篡改的功能要求?；谝陨?，構(gòu)建針對(duì)工業(yè)控制系統(tǒng)安全通信網(wǎng)絡(luò)的主動(dòng)防御技術(shù)框架，保障整個(gè)通信網(wǎng)絡(luò)的可信性。針對(duì)實(shí)時(shí)性問(wèn)題，一方面可以采用現(xiàn)場(chǎng)可編程邏輯門(mén)陣列（Field Programmable Gate Array，簡(jiǎn)稱(chēng)FPGA）并行技術(shù)代替CPU進(jìn)行對(duì)稱(chēng)密碼算法運(yùn)算，實(shí)現(xiàn)數(shù)據(jù)硬件快速加解密。同時(shí)，在滿(mǎn)足系統(tǒng)功耗、內(nèi)存余量的前提下，可以考慮將對(duì)稱(chēng)密碼算法的運(yùn)算步驟進(jìn)行提前運(yùn)算，將每步運(yùn)算結(jié)果提前存儲(chǔ)于控制器內(nèi)存中，綜合生成表格，在運(yùn)算時(shí)只需查表即可，從而減少時(shí)延。通過(guò)以上兩方面技術(shù)的結(jié)合，可大幅度減少密碼算法帶來(lái)的時(shí)延，提高密碼算法在通信技術(shù)的適用性。

圖1 國(guó)密算法應(yīng)用Fig.1 National secret algorithm application

密鑰管理這塊，可以采取關(guān)鍵區(qū)域密碼分發(fā)更新策略，設(shè)備彼此根據(jù)預(yù)定的策略通過(guò)交互完成密鑰生成、更新。針對(duì)非關(guān)鍵設(shè)備，密鑰可以在設(shè)計(jì)之初將密鑰分散存儲(chǔ)于固件內(nèi)，在運(yùn)維的周期內(nèi)考慮不更新或長(zhǎng)周期交互更新操作。

2.3 協(xié)議和設(shè)備的漏洞防護(hù)

目前，備受關(guān)注的研究領(lǐng)域是現(xiàn)有協(xié)議和設(shè)備的漏洞識(shí)別，以及分析現(xiàn)有網(wǎng)絡(luò)以檢測(cè)和減少漏洞的方法[13,14]。這種分析對(duì)于制定有效的安全政策是至關(guān)重要的，而這往往是成功地確保網(wǎng)絡(luò)安全的最困難的方面之一，安全策略的創(chuàng)建不僅需要對(duì)設(shè)備和協(xié)議進(jìn)行仔細(xì)的分析，解決已識(shí)別的漏洞的方法，也必須與執(zhí)行的成本和實(shí)用性相平衡，同時(shí)建立相關(guān)設(shè)備漏洞庫(kù)也是必要的。

通用通信協(xié)議并未重點(diǎn)考慮信息安全問(wèn)題，如MODBUS/TCP端口固定、功能碼固定、明文傳輸?shù)龋虼嗽诠た叵到y(tǒng)設(shè)計(jì)之初，可以采用基于“白名單”思想，為控制系統(tǒng)中的通信收發(fā)方設(shè)定“白名單”，彼此只需響應(yīng)名單中的內(nèi)容，名單內(nèi)容包含IP地址白名單、功能碼白名單、IP/MAC綁定等內(nèi)容，同時(shí)旁路設(shè)定網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備，防御如拒絕服務(wù)類(lèi)似的信息安全攻擊。

針對(duì)通信設(shè)備的固有漏洞，考慮到優(yōu)先保障功能安全，信息安全設(shè)計(jì)不占用太多的系統(tǒng)資源，低層級(jí)的控制設(shè)備的內(nèi)生安全技術(shù)是未來(lái)保障設(shè)備和通信網(wǎng)絡(luò)信息安全的基石，而國(guó)內(nèi)提出的可信計(jì)算3.0技術(shù)有助于解決此類(lèi)問(wèn)題[15-25]。具體如圖2所示，基于硬件可信根（TCM），實(shí)現(xiàn)從系統(tǒng)引導(dǎo)程序到操作系統(tǒng)內(nèi)核，最后到應(yīng)用層的主動(dòng)完整性度量，保障通信設(shè)備的可信性，有效避免系統(tǒng)漏洞威脅。

圖2 主動(dòng)可信度量Fig.2 Active credibility measurement

2.4 信息安全與功能安全協(xié)調(diào)要求

最后，信息安全實(shí)現(xiàn)不應(yīng)該干擾人員或設(shè)備的運(yùn)行操作。在信息安全保障過(guò)程中，需要平衡功能安全與信息安全（簡(jiǎn)稱(chēng)“兩安”）在資源占用、措施沖突、實(shí)時(shí)響應(yīng)時(shí)間這一系列層面的沖突問(wèn)題，進(jìn)行“兩安”協(xié)同設(shè)計(jì)，保障工業(yè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

3 結(jié)論

工業(yè)網(wǎng)絡(luò)對(duì)控制現(xiàn)場(chǎng)物理設(shè)備的工業(yè)運(yùn)作至關(guān)重要。自從第一個(gè)現(xiàn)場(chǎng)總線(xiàn)協(xié)議出現(xiàn)以來(lái)，工業(yè)網(wǎng)絡(luò)已經(jīng)得到廣泛實(shí)施與運(yùn)用，并在更大程度上被用于滿(mǎn)足各種各樣的控制、安全和工廠(chǎng)監(jiān)控要求。

這里對(duì)工業(yè)網(wǎng)絡(luò)技術(shù)進(jìn)行了系統(tǒng)性的綜述。首先，對(duì)比了傳統(tǒng)互聯(lián)網(wǎng)絡(luò)的特點(diǎn)，重點(diǎn)分析了工業(yè)通信網(wǎng)絡(luò)的特征；然后，介紹了主流的現(xiàn)場(chǎng)總線(xiàn)和通信協(xié)議相關(guān)內(nèi)容；最后，就工業(yè)網(wǎng)絡(luò)發(fā)展趨勢(shì)中的工業(yè)網(wǎng)絡(luò)信息安全問(wèn)題進(jìn)行了探討，指出了對(duì)應(yīng)的痛點(diǎn)，提出了對(duì)應(yīng)的解決技術(shù)點(diǎn)。