將以太網(wǎng)引入到車間層有很多好處,其中一個重要的好處就是創(chuàng)建了更加開放的架構(gòu),可以大量連接各種工廠設(shè)備和管理工具。但是這種開放性也為工廠網(wǎng)絡(luò)的操作人員帶來了一個必須要解決的問題:安全。
一旦自動化系統(tǒng)加入到以太網(wǎng)之中,就同把計(jì)算機(jī)連入互聯(lián)網(wǎng)差不多。在工廠的某個角落,或者是企業(yè)網(wǎng)絡(luò)當(dāng)中,總會有互聯(lián)網(wǎng)連接存在。因此,企業(yè)必須要采取行動保護(hù)工廠環(huán)境免受來自連入互聯(lián)網(wǎng)計(jì)算機(jī)的威脅。這些威脅可能是黑客、病毒、木馬以及各種其他形式的有毒程序。
這就意味著工廠網(wǎng)絡(luò)管理員需要和IT部門同事一樣的安全防護(hù)工具,而且最好是專為工廠環(huán)境設(shè)計(jì)的工具。這些工具在設(shè)施內(nèi)部的其他區(qū)域或者是其他遠(yuǎn)程地點(diǎn)必須經(jīng)過授權(quán)才能連接到工廠當(dāng)中。這樣,遠(yuǎn)程管理員就能夠完成諸如配置和診斷、節(jié)點(diǎn)初始化、從設(shè)備連接機(jī)載網(wǎng)絡(luò)和FTP服務(wù)器獲取信息這些任務(wù)。
這個工具集需要包含各種硬件、軟件和使用工具,比如防火墻、虛擬專用網(wǎng)(VPN)、網(wǎng)絡(luò)地址翻譯(NAT)技術(shù)和相應(yīng)的政策。一旦自動化環(huán)境開放,它就要發(fā)揮效用,同時它還需要同其他網(wǎng)絡(luò)進(jìn)行通訊,并能夠從不同地點(diǎn)進(jìn)行管理,保證工廠安全免受互聯(lián)網(wǎng)威脅。
防火墻:第一道屏障
防火墻是一種最古老的安全工具,現(xiàn)今仍然是安防組件的重要組成部分。防火墻位于網(wǎng)絡(luò)之間,主要是控制內(nèi)部和外部網(wǎng)絡(luò)之間的信息流。它的主要目的是幫助確保只有合法的信息在特定的方向上流動。
在工業(yè)環(huán)境下,防火墻能夠保護(hù)可能包括多個連入互聯(lián)網(wǎng)的自動化設(shè)備單元,比如工業(yè)PC或者是PLC。在這種情況下,企業(yè)可以安裝一臺安全模塊,即一端接收自動化網(wǎng)絡(luò)的以太網(wǎng)接入、一端連接更大網(wǎng)絡(luò)的簡單設(shè)備。任何兩個網(wǎng)絡(luò)之間的交互都需要取決于設(shè)備上安裝的防火墻所設(shè)定的規(guī)則。
防火墻運(yùn)行有很多策略,工業(yè)網(wǎng)絡(luò)一般因地制宜地使用信息包檢測技術(shù),讓設(shè)備可以連接當(dāng)前的信息流。只有確定來自內(nèi)網(wǎng)的要求得到合法反饋的時候,才允許信息進(jìn)入。如果有外部源發(fā)送不需要的信息,就會被屏蔽。
為了保證所有的信息流都合法,專門的信息包檢測防火墻根據(jù)事先確定的過濾規(guī)則控制信息流。舉例來說,如果有內(nèi)部節(jié)點(diǎn)向外部目標(biāo)設(shè)備發(fā)送數(shù)據(jù),防火墻將會在一個特定的時間內(nèi)允許響應(yīng)包。在這段時間過后,防火墻將會再次屏蔽信息流。
NAT和NAPT
另外一項(xiàng)能夠?yàn)樽詣踊h(huán)境提供安全功能的技術(shù)是NAT,它應(yīng)用在設(shè)備層面上。NAT一般是在外部公眾的視野內(nèi)隱藏內(nèi)部網(wǎng)絡(luò)中設(shè)備的實(shí)際IP地址。它向外部節(jié)點(diǎn)顯示公共IP地址,但是卻對網(wǎng)絡(luò)內(nèi)部使用的IP地址進(jìn)行了變換。
網(wǎng)絡(luò)地址和端口編譯(NAPT)技術(shù)利用了NAT的概念,并且加入了端口編號,將技術(shù)又向前發(fā)展了一步。通過NAPT技術(shù),內(nèi)網(wǎng)在公眾面前只顯示一個IP地址。而在后臺,通過添加端口號將信息包分配給指定的設(shè)備。NAPT工作表通常部署在路由器上,將私人IP地址端口映射到公共IP地址端口上。
如果來自外部網(wǎng)絡(luò)的設(shè)備希望向一臺內(nèi)部設(shè)備發(fā)送信息包,它需要使用帶有特定端口的安全設(shè)備公共地址作為目標(biāo)地址。這個目標(biāo)IP地址會被路由器翻譯成帶有端口地址的私人IP地址。
數(shù)據(jù)包IP標(biāo)頭中的源地址保持不變。但是,因?yàn)榘l(fā)送地址是在接收地址的不同子網(wǎng)當(dāng)中,反饋必須要經(jīng)過路由,然后再轉(zhuǎn)發(fā)給外部設(shè)備,同時保護(hù)內(nèi)部設(shè)備的實(shí)際IP地址不被外部公眾看到。
使用VPN的安全通道
另外一種在本質(zhì)上不安全的網(wǎng)絡(luò)上進(jìn)行安全連接的方法,就是使用虛擬私人網(wǎng)絡(luò)(VPN)。VPN基本上是由安全設(shè)備在連接的每一個端點(diǎn)形成的加密通道,它必須要產(chǎn)生數(shù)字認(rèn)證。這種認(rèn)證一般就是一個數(shù)字ID,受信任的伙伴可以用來進(jìn)行識別。認(rèn)證還保證設(shè)備在一端對數(shù)據(jù)進(jìn)行加密,以加密的形式將其在互聯(lián)網(wǎng)上發(fā)送,然后在傳輸給終端設(shè)備之前在另一端解密。
