雖然2014年已經(jīng)結(jié)束了，但以太網(wǎng)的發(fā)展將像2014年年初一樣繼續(xù)涉及從DC到400 Gb/s等問題。2014年毫無疑問將在以太網(wǎng)歷史上被濃重地寫上一筆。因?yàn)橐蕴W(wǎng)社區(qū)在2014年取得了長足進(jìn)步，打破了將現(xiàn)有速率以 10倍為一級別進(jìn)行提升的傳統(tǒng)慣例將目標(biāo)定為25GbE，并開始探索2.5GbE和5GbE的可行性。但速率提升的同時，同樣要注意數(shù)據(jù)的安全性防護(hù)。

速率多樣化

自IEEE 802.3以太網(wǎng)工作組在2013年3月份啟動了400GbE的研發(fā)工作以來，為以數(shù)據(jù)聚合為基礎(chǔ)的核心網(wǎng)絡(luò)應(yīng)用提供更高速率解決方案的需求一直在持續(xù)推動這一研發(fā)工作。25GbE的研發(fā)工作啟動于2014年7月份，其推動因素是云級數(shù)據(jù)中心需要一個成本最優(yōu)的服務(wù)器至交換機(jī)互聯(lián)解決方案。2.5GbE和 5GbE的研發(fā)動力是無線接入點(diǎn)需要更高的速度。這些無線接入點(diǎn)升級后不僅要支持IEEE 802.11ac無線技術(shù)，還要支持現(xiàn)有的Cat 5E或Cat 6級非屏蔽雙絞線(UTP)有線基礎(chǔ)設(shè)施。

由于這些研發(fā)工作都得到了認(rèn)可，因此以太網(wǎng)行業(yè)專家開始嘗試著在不以成本3倍提升性能 10提升為基礎(chǔ)的應(yīng)用，或是ASIC之外的串列通道速率下一步發(fā)展，甚至可能是以安裝應(yīng)用基礎(chǔ)的媒體限制之間找到某個共同的主線。實(shí)際上，這些研發(fā)工作中的每一個都有不同的理由。它們之間的真正共同主線是與市場相關(guān)標(biāo)準(zhǔn)，而這些標(biāo)準(zhǔn)能夠讓不同廠商在每個相關(guān)的應(yīng)用區(qū)域內(nèi)實(shí)現(xiàn)互操作。

盡管 IEEE 802.3以太網(wǎng)工作組成員正在全力解決不同應(yīng)用領(lǐng)域所提出的新速率，以太網(wǎng)聯(lián)盟還是將更多精力放在了多廠商互操作示范上了，其在2014年推出了三個示范。在2014年度國際光纖通信會議(OFC)上，“以太網(wǎng)光學(xué)”得到了展示，從10GbE 到40GbE再到100GbE的光解決方案都受到了高度關(guān)注。在2014年的Interop大會上，10GbE和40GbE技術(shù)展示了數(shù)據(jù)中心通過以太網(wǎng)解決方案如何匯聚所有網(wǎng)絡(luò)需求。最終在2014年度的Supercomputing上，由不同廠商推出的基于10GbE、40GbE和100GbE的解決方案連網(wǎng)在一起模擬了一個帶有典型流量的云級數(shù)據(jù)中心。通過連續(xù)展示，以太網(wǎng)聯(lián)盟展示了目前的以太網(wǎng)解決方案可以做為可用于真實(shí)部署的實(shí)際技術(shù)。

以太網(wǎng)速率呈現(xiàn)多樣化趨勢，必將促進(jìn)其發(fā)展，加大應(yīng)用市場，尤其在工業(yè)領(lǐng)域。但在工業(yè)領(lǐng)域大規(guī)模應(yīng)用后，數(shù)據(jù)安全問題就變得越來越重要了。

安全性

相對于傳統(tǒng)的專有網(wǎng)，工業(yè)以太網(wǎng)的開放性給它帶來了一些數(shù)據(jù)安全方面的問題。這其中包括自身穩(wěn)定性，協(xié)議的漏洞造成的資料保密性等問題以及實(shí)時工業(yè)控制中的時效性的問題。

工業(yè)以太網(wǎng)中突出的安全問題主要在兩個環(huán)節(jié)，第一是數(shù)據(jù)在傳遞中的安全問題，第二以太網(wǎng)病毒帶來的網(wǎng)絡(luò)擁塞。

數(shù)據(jù)在傳遞中的安全問題

如何防止數(shù)據(jù)在傳遞途中的竊取，在傳統(tǒng)的以太網(wǎng)絡(luò)中我們預(yù)防數(shù)據(jù)在傳遞途中被竊取常常采用防火墻技術(shù)，加密技術(shù)、入侵檢測技術(shù)和入侵防御技術(shù)來實(shí)現(xiàn)。

(1)防火墻技術(shù)由于技術(shù)比較成熟，被廣泛地應(yīng)用在網(wǎng)絡(luò)安全的控制中。防火墻的采用可以有效地進(jìn)行數(shù)據(jù)包的過濾，屏蔽有害攻擊對下一級網(wǎng)絡(luò)的影響。工業(yè)以太網(wǎng)的三層結(jié)構(gòu)，將控制層和管理層連接起來，上下網(wǎng)段使用相同的協(xié)議，需要用兩級防火墻隔開。使用一層防火墻防止來自外部的非法訪問，第二級的防火墻用于屏蔽內(nèi)部網(wǎng)絡(luò)的非法訪問和分配不同權(quán)限。

(2)在工業(yè)以太網(wǎng)的應(yīng)用中可以采用加密的方式來防止關(guān)鍵信息被竊取。由于工業(yè)控制的實(shí)效性要求往往要注意加密算法的安全性和計算復(fù)雜性的平衡。加密對象的選擇上往往是對控制信息進(jìn)行加密。加密通常在傳輸層進(jìn)行實(shí)現(xiàn)。加密技術(shù)上我們通常采用端到端的加密方法。加密中采用單鑰系統(tǒng)還是雙鑰系統(tǒng)要根據(jù)系統(tǒng)的實(shí)際情況來確定，前者的安全性相對較差，但效率較高;后者的安全性相對較好，但效率相對較低。我們需要根據(jù)系統(tǒng)實(shí)際的硬件條件選擇合適的系統(tǒng)。同樣道理加密 算法的選擇也需要根據(jù)硬件的實(shí)際條件加以選擇。

(3)入侵檢測技術(shù)與入侵防御技術(shù)，由于三層統(tǒng)一采用以太網(wǎng)架構(gòu)，使得聯(lián)入因特網(wǎng)傳輸數(shù)據(jù)成為可能，同時由于國際互聯(lián)網(wǎng)的脆弱性，必須要對網(wǎng)絡(luò)攻擊加以防范，除了上面提到的防火墻外還要有一定的預(yù)防機(jī)制，還必須提到入侵檢側(cè)和入侵防御機(jī)制。因?yàn)榫W(wǎng)絡(luò)環(huán)境中，大量的數(shù)據(jù)記錄的產(chǎn)生使得人工分析數(shù)據(jù)檢測和預(yù)防入侵變得不可行。必須借助入侵檢測和入侵防御工具完成。對攻擊進(jìn)行追蹤分析，數(shù)據(jù)包的進(jìn)行實(shí)時監(jiān)控。

處理和預(yù)防病毒，惡意程序帶來的網(wǎng)絡(luò)擁塞

工業(yè)以太網(wǎng)用于控制領(lǐng)域，對實(shí)時性要求比較高。但由于以太網(wǎng)全雙工通信方式，CSMA/CD機(jī)制本身的限制和TCP/IP協(xié)議開放性的特點(diǎn)。病毒破壞計算機(jī)，阻塞網(wǎng)絡(luò)成為必須要突出考慮的網(wǎng)絡(luò)安全問題?，F(xiàn)階段由于工業(yè)以太網(wǎng)尚未大規(guī)模普及，針對工業(yè)以太網(wǎng)的病毒尚未出現(xiàn)，但是普通病毒帶來的問題同樣不能忽視。如蠕蟲病毒對PC的攻擊，會占用了大量的系統(tǒng)資源導(dǎo)致控制pc不能流暢運(yùn)行，影響到控制命令的傳輸。各種木馬病毒能竊取pc控制機(jī)的管理權(quán)限，對其遠(yuǎn) 程控制，共危害性更為嚴(yán)重。某些郵件病毒，不斷地向網(wǎng)內(nèi)外的其它主機(jī)發(fā)包，占據(jù)了網(wǎng)絡(luò)通道，會使正常命令無法傳輸。

對于病毒和惡意程序帶來的危害，除了通過傳統(tǒng)的防殺毒工具外，還需加強(qiáng)相關(guān)監(jiān)控管理，當(dāng)大規(guī)模的不正常數(shù)據(jù)包傳送時，能自動控制該計算機(jī)端口。由此可以嘗試采用目前較為流行的IDS和IPS系統(tǒng)進(jìn)行數(shù)據(jù)的監(jiān)控和管理。

總結(jié)

工業(yè)以太網(wǎng)由于其成木上的優(yōu)勢和良好的開放性和廣泛性，正慢慢進(jìn)入生產(chǎn)領(lǐng)域。做為當(dāng)前工業(yè)控制領(lǐng)域的熱點(diǎn)方向，它吸引了大量的少商介入其領(lǐng)域，但是其特有的性質(zhì)使其容易受到網(wǎng)絡(luò)安全的影響，從而制約其發(fā)展。相信隨著研究的深入，工業(yè)以太網(wǎng)應(yīng)用中的安全問題將逐步得到解決。