IOT-控制工程在线
国际领先的权威的工业自动化专业媒体

Hot Tag:

当前位置: 物联网在线 > 工业控制 > 工业以太网 > 工业互联网 安全是生命不是儿戏

工业互联网 安全是生命不是儿戏

将以太网引入到车间层有很多好处,其中一个重要的好处就是创建了更加开放的架构,可以大量连接各种工厂设备和管理工具。但是这种开放性也为工厂网络的操作人员带来了一个必须要解决的
关键词: 工业互联网
时间:2014-11-21 23:06 来源:物联网在线 作者:网络 点击:

分享到:
我要发布文章 收藏 推荐 打印

将以太网引入到车间层有很多好处,其中一个重要的好处就是创建了更加开放的架构,可以大量连接各种工厂设备和管理工具。但是这种开放性也为工厂网络的操作人员带来了一个必须要解决的问题:安全。
  一旦自动化系统加入到以太网之中,就同把计算机连入互联网差不多。在工厂的某个角落,或者是企业网络当中,总会有互联网连接存在。因此,企业必须要采取行动保护工厂环境免受来自连入互联网计算机的威胁。这些威胁可能是黑客、病毒、木马以及各种其他形式的有毒程序。
  这就意味着工厂网络管理员需要和IT部门同事一样的安全防护工具,而且最好是专为工厂环境设计的工具。这些工具在设施内部的其他区域或者是其他远程地点必须经过授权才能连接到工厂当中。这样,远程管理员就能够完成诸如配置和诊断、节点初始化、从设备连接机载网络和FTP服务器获取信息这些任务。
  这个工具集需要包含各种硬件、软件和使用工具,比如防火墙、虚拟专用网(VPN)、网络地址翻译(NAT)技术和相应的政策。一旦自动化环境开放,它就要发挥效用,同时它还需要同其他网络进行通讯,并能够从不同地点进行管理,保证工厂安全免受互联网威胁。

  防火墙:第一道屏障
  防火墙是一种最古老的安全工具,现今仍然是安防组件的重要组成部分。防火墙位于网络之间,主要是控制内部和外部网络之间的信息流。它的主要目的是帮助确保只有合法的信息在特定的方向上流动。
   在工业环境下,防火墙能够保护可能包括多个连入互联网的自动化设备单元,比如工业PC或者是PLC。在这种情况下,企业可以安装一台安全模块,即一端接 收自动化网络的以太网接入、一端连接更大网络的简单设备。任何两个网络之间的交互都需要取决于设备上安装的防火墙所设定的规则。
  防火墙运行有很多策略,工业网络一般因地制宜地使用信息包检测技术,让设备可以连接当前的信息流。只有确定来自内网的要求得到合法反馈的时候,才允许信息进入。如果有外部源发送不需要的信息,就会被屏蔽。
  为了保证所有的信息流都合法,专门的信息包检测防火墙根据事先确定的过滤规则控制信息流。举例来说,如果有内部节点向外部目标设备发送数据,防火墙将会在一个特定的时间内允许响应包。在这段时间过后,防火墙将会再次屏蔽信息流。

  NAT和NAPT
  另外一项能够为自动化环境提供安全功能的技术是NAT,它应用在设备层面上。NAT一般是在外部公众的视野内隐藏内部网络中设备的实际IP地址。它向外部节点显示公共IP地址,但是却对网络内部使用的IP地址进行了变换。
   网络地址和端口编译(NAPT)技术利用了NAT的概念,并且加入了端口编号,将技术又向前发展了一步。通过NAPT技术,内网在公众面前只显示一个 IP地址。而在后台,通过添加端口号将信息包分配给指定的设备。NAPT工作表通常部署在路由器上,将私人IP地址端口映射到公共IP地址端口上。
  如果来自外部网络的设备希望向一台内部设备发送信息包,它需要使用带有特定端口的安全设备公共地址作为目标地址。这个目标IP地址会被路由器翻译成带有端口地址的私人IP地址。
  数据包IP标头中的源地址保持不变。但是,因为发送地址是在接收地址的不同子网当中,反馈必须要经过路由,然后再转发给外部设备,同时保护内部设备的实际IP地址不被外部公众看到。

  使用VPN的安全通道
   另外一种在本质上不安全的网络上进行安全连接的方法,就是使用虚拟私人网络(VPN)。VPN基本上是由安全设备在连接的每一个端点形成的加密通道,它 必须要产生数字认证。这种认证一般就是一个数字ID,受信任的伙伴可以用来进行识别。认证还保证设备在一端对数据进行加密,以加密的形式将其在互联网上发 送,然后在传输给终端设备之前在另一端解密。
  安全模块使用数字认证进行工作,并采用两种基本配置方式创建VPN,它们分别是桥接和路由模式:
     桥接模式可以用来实现设备在虚拟“平面”网络上进行安全通讯,而这些设备的地理位置可能相隔很远,或者它们之间的通讯需要跨越网络中不安全的部分。它还可以用于无法进行路由、或者处于同一子网的通讯。
      路由模式可以用来创建位于分离子网上设备之间的VPN。路由器在OSI模型的第三层级工作,有一定的智能性,可以识别出周围网络需要将数据发送给合适的目 标地址。数据包是在一条安全加密的VPN通道中传输,因此这种通讯要比在类似互联网这样的公共网络上更加安全。

  安全工具
  工厂环境有很多的安全工具,可以根据你具体的需要按照不同的方式进行配置。下面就是一些例子:
   特定用户的防火墙。假定你的承包商正在调试你工厂中的一些自动化设备。当他不在工厂里时,如果他能够登录工厂网络,比如进行故障诊断,对于解决突发问题 就很有益处。在这种情况下,你可以在防火墙当中创建一套特定用户的规则,保证这个远程用户能够接入网络。你还可以创建不同级别的授权,保证不同的远程客户 只能连接到他们得到授权的相应设备。
  为远程用户创建用户名和密码是份简单的工作,然后他就可以连接到模块的IP地址,使用这些秘密信息登录。安装默认的设置,他可以连接一段特定的时间,这段时间之后,他就会自动登出,防止他从计算机前离开却保持连接了过长时间。如果承包商需要更多的时间,他可以在时间结束之前使用一个基于网络的表格重新登录。
  站对站VPN。有时候公司有一个中心站,还可能有两座卫星设施。这种情况站对站VPN就是更加合适的方案。站对站VPN在两站之间一般采用加密连接,根据配置的情况,允许每个站上的用户连接其他站上的任何资源,当然这是在假设他们都有合适权限的前提下。
  这种方式需要每个位置上的模块都创建加密VPN通道,防火墙也可以用来提供更加精细的接入控制,比如允许特定的用户接触到一部分资源,而不能查看其它。
  点对点VPN。点对点VPN保证用户可以从有互联网连接的任何地点连接其他任何地点上的设备。这对于下班之后在家工作需要从远程位置登陆进行设备故障诊断的管理员来说,非常重要。
  这种方式需要在目标位置上的模块装有合适的安全客户端软件,在管理员的笔记本或者平板电脑上运行。软件帮助管理员建立一个与任何拥有该模块的站点的加密VPN连接。无论他身处何处,通过合适的许可,他可以登录任何需要的设备。
  多点VPN连接。现在,还是那个管理员,他希望从家中连接另外五到十个站点。他并不需要针对每一个站点建立相应的VPN连接,他可以连接一个已经建立的、与每一个远程站点VPN连接的中心模块,然后就可以连接上述站点了。
  这对于每天奔波于各地的服务工程师来说,绝对是一个好消息。通过与中心站点的单独连接,它们现在可以简单并且安全地接入其他需要的站点,节约了连接时间。
  还有一些工具可以保证基于以太网的自动化环境像现场总线环境一样安全。尽管防火墙和VPN都是安全解决方案的重要组成部分,对于远程用户的安全访问至关重要,我们还需要纵深防御的安全模型以确保在工业环境下达到真正的深度安全。要时刻牢记:安全是生命不是儿戏。 (责任编辑:ioter)


本文链接工业互联网 安全是生命不是儿戏
http://c.iot-online.com/ETHERNET/2014/112125677.html
 
 
声明:物联网在线转载作品均尽可能注明出处,该作品所有人的一切权利均不因本站转载而转移。作者如不同意转载,即请通知本站予以删除或改正。转载的作品可能在标题或内容上或许有所改动。



电子刊物.技术特刊

立即下载

《 物联网在线》推出的免费电子刊物《无线通讯术特刊》收集了当今最新MEMS技术,产品资讯,它们可使你能在更短的时间内了解业内最先进的无线通讯技术信息。

今天就让您的系统设计更上层楼!敬请马上立即下载该免费的《无线通讯特刊》。
   
无线通讯特刊     M2M技术特刊 下载  

MEMS技术特刊 下载



Sierra Wireless白皮书

LTE和M2M 融合之路  
促使 LTE 应用在 M2M 设备上的市场推动力 ; 打破阻碍 LTE 进入 M2M 市场的技术壁垒

立即下载.






 现在播报
工业以太网 物联网真正落地的推手
工业控制系统信息安全问题日益突出
新汉NSA 3130 1U网络安全平台实现性能与成本最佳平衡
以太网满足工业控制的要求
美国红狮,模块N-TronNT24k网管型全千兆工业以太网交换机系列
工业网络标准百家争鸣 系统集成大不易
我们为什么需要工业以太网?
工业以太网已经成为不可替代的工业通讯技术趋势
工业以太网工业化的新翘楚 未来控制网络的最佳解决方案
Innovasic 发布新版 RapID 平台工业以太网连接解决方案
研华千兆非网管型工业PoE交换机EKI-2726FHPI 支持 IEEE 802.3at标准
如何从运动控制转向工业以太网?
工业以太网促使现代工业制造实现“E网到底”已是大势所趋
ArmorStart LT分布式电机控制器改善机器性能和组件状况相关关键信
工业以太网 工业互联网的基石

 最新Tag
周鸿祎 数据采集 LinkIt One 压力传感器 mate8 BCM20737S 红外线传感器 SM351LT 小米5 VR LiteOS TinyOS MSP430 DA14580 CC2650 STM32 CC2564 MSP432 PLC STM32L0538 STM32F103 智能家居 人工智能 机器人 iphone7 能量采集 MCU 能源计量 ZIGBEE 传感器 工业物联网 智能手表 TZ1000 无人机 ATmega2560 无线传感器 Android 智能电视 i.MX NFC 信号采集 MEMS WIFI IOT LTE 伺服电机 无刷直流电机 智能照明 智能插座 无线充电 CC430 智能电网 Nest Edison ADT7320 ADIS16229 英特尔 家庭医疗 数字隔离器 智能集成 工业4.0 iPhone 7 虚拟现实 可穿戴设备 CC2538 CC2540 CC2541 CC3000 杨旭 麒麟950 华为mate8 阅读器 蓝牙 Linux AllJoyn 树莓派 Windows10 Windows 10 Zephyr RTOS 智能硬件 Qualcomm CC3200 温湿度传感器 5G 可穿戴技术 工业以太网 Arduino CSR8670 VMware 大数据 ITS 蓝牙智能 PIC32MZ 运动传感器 SmartBond 车联网 ADAS V2X 语音控制

返回页首


TopeWay Business Media


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

网站导航|帮助| 关于我们|隐私政策|联系我们|安全承诺

Copyright © 2011 Iot-online.com. 本网站所有内容均受版权保护。
未经版权所有人明确的书面许可,不得以任何方式或媒体翻印或转载本网站的部分或全部内容。


粤ICP备10057207号