设备服务器的网络安全

时间: 2007-11-14 栏目: 服务器安全及应用

  设备服务器的网络安全
  
  作者: Kumar Nandi
  
  [关键词]: 设备服务器的网络安全 Kumar Nandi Sena 工业以太网,现场总线
  
  来源:Sena
  
  Device servers deliver the appropriate network connection and physical interface for industrial device applications. Providing this function in a secure fashion is becoming a major concern for industrial IT managers as burgeoning numbers of industrial devices receive real or proxy Ethernet connections. Security-related features have become one of the main factors in device server selection.
  
  设备服务器为工业设备应用提供适合的网络连接和物理接口。在安全模式下,像越来越多的工业设备接受实际的或代理以太网连接一样,工业信息技术管理人员也主要关注这个功能。与安全相关的特点已经成为设备服务器选择的主要因素之一。
  
  工业和制造业设备的远程管理能力是最先考虑的事,同时信息安全已经成为人们的主要关注点。安全过程需要在传送中的或存储的信息中包含许多属性,具体如下:
  
  机密性:信息不应该被任何不专门关注信息的人所理解。
  
  信息完整性:信息在存储或在发送方和专门接收方的传输中没有被检测和修改。
  
  信息认可:信息创建者或发送方不能在后来否认他们信息创建和传输的意图。
  
  信息验证:发送方和接收方可以确认彼此的身份和信息来源或目的地。
  
  保持很高的安全性需要一个适合安全系统的结构体系。为使用和管理系统的所有工作人员制定和执行严格的操作准则。在实际应用中,在没有准则的情况下,光有机器或设备完全可以保证信息的安全。用户验证、数据加密、网络信息包过滤、物理存取控制、系统记录和快速报警提醒是保持系统信息安全的一些可利用的办法。每一个系统都有一个特定的信息保护区域,只有在与其它方法相结合的时候,该区域实际上才会生效。我们需要用到分层意义下的所有的这些东西:
  
  仅通过授权的工作人员才可以进行系统管理;
  
  数据流只在需要的地方才可见;
  
  只有来自正确地址的主机才有权访问系统;
  
  出于日后分析或预防的目的,所有的行为都需要做出记录;
  
  尽快向合适的管理员通报系统中反常的行为。
  
  工业领域中密集地引入网络技术,使信息安全比以前更加重要了。由于一个设备的损坏可能影响到其它设备或连接到网络群的系统,因此厂区安全的意义就更加重大了。
  
  怀有恶意的黑客行为、病毒感染、数据窃取等类似问题,在未经许可的情况下会经常出现,大多数安全措施对此都可以实施保护, 在这种情况下,未经培训或者没有经验的工作人员可以以从表面看似乎合理的理由尝试访问系统。原则上只有符合条件的相关工作人员才可以访问系统。
  
  设备服务器安全支持
  
  设备和终端服务器经常通过因特网进行连接,因此就给了危险分子可趁之机,将穿行设备数据暴露了。为了保证数据流的安全和达到最高级别安全性能,应用数据加密技术就显得很重要了。
  
  设备服务器应该支持用户验证,也就是说,系统中用户或设备的身份正确肯定的核实,常常是允许访问数据资源的先决条件。
  
  设备服务器还应该提供IP地址过滤功能,这样就可以阻止网络中不相适合的数据流向前传输。绝大多数的网络流量是基于因特网和企业内部互联网TCP/IP协议的。然而,最初的IP协议没有为安全去定义任何结构,所以比如像安全套接层协议层(SSL)和安全超文本传输协议(S-HTTP)这样的应用层的执行曾经被用来提供因特网上的数据安全。
  
  设备管理器支持加密协议(如SSL),从而可以通过因特网来传输个人文件。SSL通过用公钥来对将要在SSL链路内传输的数据进行加密。
  
  另外,HTTPS提供网络中的安全数据传输,为安全文件传输提供符号转换程序,同时,IP过滤器控制到串行设备的数据存取。
  
  通过使用安全设备服务器,在底层应用中加密后的串口设备数据就可以在透明网络上传输了。
  
  安全隧道技术
  
  当配置两台安全设备服务器一起工作以实现共享或交换它们各自的串行设备数据时,串行隧道就要起作用了。通过将一台已经配置成服务器/客户端模式的设备服务器连接到采集数据的设备,另一个设备服务器被配置成服务器/客户端模式连接到用来发送数据的现场设备,这样串行隧道就建立起来了。
  
  安全调制解调器仿真
  
  调制解调器仿真技术使网络化设备服务器担当了通过IP网络而不是用公共电话网络发送和接收数据的调制解调器的角色。如果当时添加了高端设备服务器的SSL加密功能,这样就可以提供包括AT命令应用的安全串行调制解调器仿真,实现了在加密格式下与串行设备连接和数据交换。简而言之,调制解调器仿真能够使网络化设备服务器担当调制解调器的角色,以加密格式在代替公共电话网络的IP网络中发送和接收数据。
  
  安全端口数据记录
  
  设备服务器的端口记录特征允许用户在比如存储单元(比如NFS服务器、Syslog服务器、内存和PC机卡式闪存)中安全地保存串行数据和TCP数据。
  
  未来的发展
  
  办公室计算机化环境的变化似乎迅速地传播到不同的工业部门,对于信息安全的改进措施也不例外。考虑到额外的成本,管理员真应该下决心了解下他们是否真正需要一个安全通信系统。需要做的正确的事情也许是去建立一个基于安全的系统,将整个网络的基础结构转换为安全虚拟专用网络。二中择一,他们可以通过在设备服务器中增加安全性,在设备前端将系统选择性地分为几个区域。
  
  管理员应该紧记的最重要的事情是像及时报警一样的防御策略和预防工作。应该协调所有这些工作以便设计和管理一个安全系统。然而,这不仅是这种系统的关键组分,也是在系统运行背后的管理过程。

  • 上一篇:没有了
  • 下一篇:没有了