透明工厂体系安全分析

    在透明工厂体系结构中，传输数据的安全风险主要包括以下几类：    (1)数据窃听    数据窃听是指网络上数据流经过连接点时，可以窃听网络数据并读取机密信息。    (2)密码破译    密码破译是指截获且破译密码，以通过正常账户获得访问网络的权限。    (3)数据改变    数据改变是指使网络上未加密的数据转向或发生改变。    (4)数据包重发    重发很多合法的数据包会使得网络造成阻塞。    (5) SYN (synchronize)攻击    SYN是TCP/IP建立连接时使用的握手信号，SYN攻击包括很多此类的数据包，由于无法进行有效处理这些实际不存在的数据站点，会使远程设备不能处理合法的连接请求。    (6)端口溢出    端口溢出是指用许多连接阻塞一个端口，使被连接端严重迟缓，以至于放弃连接。    其解决方案主要包括以下几种：    (1)基于防火墙的解决方案    在自动化结构中，通信服务通常会使用的端口主要包括：    ●用于Modbus协议的端口502;    ●用于HTTP协议的端口80;    ●用于文件传输协议的端口21、23。    在这些端口设置防火墙可以减少攻击威胁。    (2)基于VPN的解决方案    VPN可以通过特殊加密的通信隧道，在分布式站点之间，建立一条专有的通信线路。通信隧道技术是指为了从一个网络向另一个网络传输数据，将一种协议打包在另一种协议中。    (3)基于自动化单元内部的风险解决方案    在工业现场总线内部，与通信网络相关存在的风险，可以通过授权用户连接本地网络或使用交换机而不是集线器等措施解决。    总之，在使用透明工厂体系的同时，必须了解其结构的弱点，然后评估风险，才能实现完整的网络架构和解决方案。