新闻动态news center

工业互联网 安全是生命不是儿戏

2014-12-20
将以太网引 入到车间层有很多好处,其中一个重 要的好处就是创建了更加开放的架构,可以大量连 接各种工厂设备和管理工具。但是这种开 放性也为工厂网络的操作人员带来了一个必须要解决的问题:安全。
一旦自动化系统 加入到以太网之中,就同把计算 机连入互联网差不多。在工厂的某个角落,或者是企业网络当中,总会有互联 网连接存在。因此,企业必须要 采取行动保护工厂环境免受来自连入互联网计算机的威胁。这些威胁可能是黑客、病毒、木马以及各 种其他形式的有毒程序。
    这就意味着 工厂网络管理员需要和IT部门同事一 样的安全防护工具,而且最好是 专为工厂环境设计的工具。这些工具在 设施内部的其他区域或者是其他远程地点必须经过授权才能连接到工厂当中。这样,远程管理员 就能够完成诸如配置和诊断、节点初始化、从设备连接 机载网络和FTP服务器获取 信息这些任务。

这个工具集 需要包含各种硬件、软件和使用工具,比如防火墙、虚拟专用网(VPN)、网络地址翻译(NAT)技术和相应的政策。一旦自动化环境开放,它就要发挥效用,同时它还需 要同其他网络进行通讯,并能够从不 同地点进行管理,保证工厂安 全免受互联网威胁。


防火墙:第一道屏障

防火墙是一 种最古老的安全工具,现今仍然是安防组件的 重要组成部分。防火墙位于网络之间,主要是控制 内部和外部网络之间的信息流。它的主要目 的是帮助确保只有合法的信息在特定的方向上流动。

在工业环境下,防火墙能够 保护可能包括多个连入互联网的自动化设备单元,比如工业PC或者是PLC。在这种情况下,企业可以安 装一台安全模块,即一端接 收自动化网 络的以太网接入、一端连接更 大网络的简单设备。任何两个网 络之间的交互都需要取决于设备上安装的防火墙所设定的规则。

防火墙运行 有很多策略,工业网络一 般因地制宜地使用信息包检测技术,让设备可以 连接当前的信息流。只有确定来 自内网的要求得到合法反馈的时候,才允许信息进入。如果有外部 源发送不需要的信息,就会被屏蔽。
为了保证所 有的信息流都合法,专门的信息 包检测防火墙根据事先确定的过滤规则控制信息流。举例来说,如果有内部 节点向外部目标设备发送数据,防火墙将会 在一个特定的时间内允许响应包。在这段时间过后,防火墙将会 再次屏蔽信息流。

NATNAPT
另外一项能 够为自动化环境提供安全功能的技术是NAT,它应用在设备层面上。NAT一般是在外 部公众的视野内隐藏内部网络中设备的实际IP地址。它向外部节 点显示公共IP地址,但是却对网 络内部使用的IP地址进行了变换。
  网络地址和端口编译(NAPT)技术利用了NAT的概念,并且加入了端口编号,将技术又向 前发展了一步。通过NAPT技术,内网在公众 面前只显示一个 IP地址。而在后台,通过添加端 口号将信息包分配给指定的设备。NAPT工作表通常 部署在路由器上,将私人IP地址端口映射到公共IP地址端口上。
如果来自外 部网络的设备希望向一台内部设备发送信息包,它需要使用 带有特定端口的安全设备公共地址作为目标地址。这个目标IP地址会被路 由器翻译成带有端口地址的私人IP地址。
数据包IP标头中的源 地址保持不变。但是,因为发送地 址是在接收地址的不同子网当中,反馈必须要经过路由,然后再转发 给外部设备,同时保护内 部设备的实际IP地址不被外 部公众看到。

 使用VPN的安全通道
   另外一种在 本质上不安全的网络上进行安全连接的方法,就是使用虚 拟私人网络(VPN)。VPN基本上是由 安全设备在连接的每一个端点形成的加密通道,它 必须要产生数字认证。这种认证一 般就是一个数字ID,受信任的伙 伴可以用来进行识别。认证还保证 设备在一端对数据进行加密,以加密的形 式将其在互联网上发 送,然后在传输 给终端设备之前在另一端解密。
安全模块使 用数字认证进行工作,并采用两种 基本配置方式创建VPN,它们分别是 桥接和路由模式:
桥接模式可 以用来实现设备在虚拟平面网络上进行安全通讯,而这些设备 的地理位置可能相隔很远,或者它们之 间的通讯需要跨越网络中不安全的部分。它还可以用 于无法进行路由、或者处于同 一子网的通讯。
  路由模式可 以用来创建位于分离子网上设备之间的VPN。路由器在OSI模型的第三层级工作,有一定的智能性,可以识别出 周围网络需要将数据发送给合适的目 标地址。数据包是在 一条安全加密的VPN通道中传输,因此这种通 讯要比在类似互联网这样的公共网络上更加安全。

安全工具
工厂环境有 很多的安全工具,可以根据你 具体的需要按照不同的方式进行配置。下面就是一些例子:
 特定用户的防火墙。假定你的承 包商正在调试你工厂中的一些自动化设备。当他不在工厂里时,如果他能够 登录工厂网络,比如进行故障诊断,对于解决突发问题 就很有益处。在这种情况下,你可以在防 火墙当中创建一套特定用户的规则,保证这个远 程用户能够接入网络。你还可以创 建不同级别的授权,保证不同的远程客户 只能连接到 他们得到授权的相应设备。
为远程用户 创建用户名和密码是份简单的工作,然后他就可 以连接到模块的IP地址,使用这些秘 密信息登录。安装默认的设置,他可以连接 一段特定的时间,这段时间之后,他就会自动登出,防止他从计 算机前离开却保持连接了过长时间。如果承包商 需要更多的时间,他可以在时 间结束之前使用一个基于网络的表格重新登录。
站对站VPN。有时候公司 有一个中心站,还可能有两 座卫星设施。这种情况站对站VPN就是更加合适的方案。站对站VPN在两站之间 一般采用加密连接,根据配置的情况,允许每个站 上的用户连接其他站上的任何资源,当然这是在 假设他们都有合适权限的前提下。
这种方式需 要每个位置上的模块都创建加密VPN通道,防火墙也可 以用来提供更加精细的接入控制,比如允许特 定的用户接触到一部分资源,而不能查看其它。
点对点VPN。点对点VPN保证用户可 以从有互联网连接的任何地点连接其他任何地点上的设备。这对于下班 之后在家工作需要从远程位置登陆进行设备故障诊断的管理员来说,非常重要。
这种方式需 要在目标位置上的模块装有合适的安全客户端软件,在管理员的 笔记本或者平板电脑上运行。软件帮助管 理员建立一个与任何拥有该模块的站点的加密VPN连接。无论他身处何处,通过合适的许可,他可以登录 任何需要的设备。
多点VPN连接。现在,还是那个管理员,他希望从家 中连接另外五到十个站点。他并不需要 针对每一个站点建立相应的VPN连接,他可以连接 一个已经建立的、与每一个远程站点VPN连接的中心模块,然后就可以 连接上述站点了。
这对于每天 奔波于各地的服务工程师来说,绝对是一个好消息。通过与中心 站点的单独连接,它们现在可 以简单并且安全地接入其他需要的站点,节约了连接时间。
还有一些工 具可以保证基于以太网的自动化环境像现场总线环 境一样安全。尽管防火墙和VPN都是安全解 决方案的重要组成部分,对于远程用 户的安全访问至关重要,我们还需要 纵深防御的安全模型以确保在工业环境下达到真正的深度安全。要时刻牢记:安全是生命不是儿戏。 
上一篇 返回列表 下一篇
友情链接:    盛世彩票导航入口   四柱八字测彩票-安全购彩   新万博竞彩---首页欢迎你   c89彩票登陆_开奖网   新万博竞彩-安全购彩