world of industries 9/2017 (CN)
world of industries 9/2017 (CN)
world of industries 9/2017 (CN)
- No tags were found...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
如 何 应 对 访 问<br />
安 全 性 的 挑 战<br />
INDUSTRIAL AUTOMATION SHOW<br />
生 产 网 络 中 大 部 分 工 厂 和 机 器 已 经 普 遍 联<br />
网 , 并 成 为 工 业 物 联 网 的 一 部 分 。 生 产 网 络<br />
往 往 与 公 司 内 部 网 络 ( 办 公 系 统 ) 相 连 , 继<br />
而 与 互 联 网 连 接 , 以 确 保 数 据 和 服 务 的 一 致<br />
性 。 尽 管 这 种 网 络 透 明 化 带 来 了 诸 多 便 利 ,<br />
但 从 信 息 技 术 安 全 性 的 角 度 来 看 , 它 为 运 营<br />
商 对 联 网 工 厂 和 机 器 的 访 问 保 护 带 来 了 巨 大<br />
挑 战 。<br />
一 项 巨 大 挑 战 。 这 在 工 业 领 域 又 被 称 为 ICS( 工 业 控 制 系 统 )<br />
安 全 。 通 过 现 有 的 最 佳 实 践 方 案 , 如 按 照 工 控 安 全 政 策 ISA99<br />
和 IEC 62443 创 建 符 合 深 度 防 御 原 则 的 安 全 体 系 , 与 生 产 相 关<br />
数 据 流 的 范 围 能 够 获 得 控 制 , 由 此 确 保 机 器 和 工 厂 的 信 息 安<br />
全 。 而 对 系 统 访 问 进 行 维 护 和 编 程 本 身 就 是 一 项 特 殊 任 务 。<br />
拨 号 连 接 隐 藏 重 大 安 全 隐 患<br />
信 息 技 术 的 安 全 防 御 系 统 类 似 于 一 颗 “ 洋 葱 ”, 需 要 通 过 层<br />
层 的 访 问 限 制 对 多 层 网 络 进 行 深 度 的 安 全 防 御 。 系 统 最 外 层<br />
与 因 特 网 连 接 , 因 此 是 安 全 隐 患 最 大 、 最 不 可 靠 的 级 别 。 这<br />
些 级 别 也 被 称 为 “ 信 任 级 别 ”; 越 内 层 的 网 络 , 信 任 级 越<br />
高 。 也 就 是 说 ,“ 洋 葱 网 络 ” 的 核 心 —— 生 产 网 络 ( 机 器 、<br />
工 厂 和 组 件 ) 需 要 极 高 等 级 的 防 御 保 护 系 统 。 使 用 NAT( 网<br />
络 地 址 转 换 ) 能 够 构 建 不 可 见 的 子 网 络 , 对 系 统 进 行 保 护 、<br />
伪 装 并 设 置 访 问 限 制 , 只 允 许 用 户 查 看 制 造 相 关 的 必 要 数<br />
据 。<br />
作 者 : Andreas Fuß, 市 场 营 销 网 络 技 术 , 菲 尼<br />
克 斯 电 气 安 全 技 术 有 限 公 司 , 德 国 柏 林<br />
运 营 公 司 的 相 关 员 工 和 机 械 制 造 商 的 外 部 服 务 技 术 人 员 在 进<br />
行 服 务 和 维 护 任 务 时 需 要 访 问 某 些 受 保 护 的 网 络 区 域 。 过<br />
去 , 他 们 通 常 通 过 拨 号 访 问 相 关 网 络 。 然 而 , 这 种 电 话 网 络<br />
拨 号 直 接 访 问 的 方 式 存 在 重 大 的 安 全 隐 患 。 因 为 拨 号 器 无 需<br />
经 过 身 份 验 证 就 可 访 问 整 个 与 之 相 连 的 网 络 系 统 。 如 今 , 这<br />
种 技 术 已 无 法 适 应 时 代 要 求 , 经 常 由 现 代 化 的 虚 拟 专 用 网 络<br />
(VPN) 远 程 维 护 访 问 所 取 代 。<br />
创 建 服 务 网 络<br />
上 述 解 决 方 案 能 够 对 授 权 访 问 者 和 加 密 数 据 传 输 人 员 进 行 身<br />
份 验 证 。 但 拥 有 访 问 权 限 的 个 人 仍 然 可 以 自 由 地 访 问 受 保 护<br />
的 网 络 。 此 外 , 加 密 系 统 导 致 机 器 操 作 人 员 无 法 掌 控 数 据 ,<br />
也 无 法 对 数 据 进 行 监 控 。 这 将 导 致 无 法 监 控 网 络 受 损 状 况 。<br />
这 种 方 案 的 另 一 个 问 题 在 于 , 每 个 机 器 制 造 商 都 有 自 己 首 选<br />
的 远 程 访 问 系 统 。 这 导 致 信 息 技 术 格 局 过 于 多 样 化 , 从 而 加<br />
大 了 管 理 难 度 。 此 外 ,VPN 远 程 维 护 访 问 无 法 解 决 运 营 商 维<br />
修 技 术 人 员 访 问 网 络 时 的 监 控 和 身 份 验 证 的 问 题 。<br />
如 果 内 部 服 务 人 员 对 工 厂 和 机 器 的 访 问 权 限 过 高 , 安 全 等<br />
级 就 会 显 著 降 低 。 因 此 , 应 把 相 关 的 访 问 权 限 降 至 最 低 。 实<br />
现 这 一 目 标 的 方 法 之 一 是 建 立 一 个 独 立 的 隔 离 网 络 区 域 ( 服<br />
务 网 络 ), 以 移 交 服 务 连 接 或 创 建 连 接 路 径 。 信 息 技 术 部 门<br />
将 这 种 类 型 的 网 络 区 域 称 为 “ 非 军 事 区 域 ”。<br />
所 有 服 务 连 接 尽 在 掌 控<br />
菲 尼 克 斯 电 气 研 发 的 FL mGuard 产 品 系 列 中 的 安 全 设 备 适 用 于<br />
工 业 应 用 , 保 护 各 个 制 造 单 元 。 此 外 , 它 们 还 可 以 构 建 服 务<br />
网 络 区 域 。 凭 借 对 ICS 安 全 性 的 系 统 化 定 位 , 设 备 能 够 根 据 当<br />
前 任 务 精 确 地 开 放 所 需 的 功 能 范 围 。 服 务 网 络 搭 建 在 生 产 网<br />
络 的 外 层 , 两 个 网 络 通 过 安 全 设 备 相 互 隔 离 。<br />
22 WORLD OF INDUSTRIES
Change language