中文      English
 
 
世界軌道交通資訊網(wǎng)

確保工業(yè)網(wǎng)絡(luò)的安全

2015-10-28 來(lái)源:世界軌道交通資訊網(wǎng) 作者:Diane Davis
本文摘要:由于工業(yè)網(wǎng)絡(luò)已從生產(chǎn)現(xiàn)場(chǎng)設(shè)備間的互聯(lián)擴(kuò)展到覆蓋管理供應(yīng)鏈的公司辦公室和設(shè)備,因此需要提高安全性以確保數(shù)據(jù)在各網(wǎng)絡(luò)設(shè)備間安全而有效地傳輸。
 
  由于工業(yè)網(wǎng)絡(luò)已從生產(chǎn)現(xiàn)場(chǎng)設(shè)備間的互聯(lián)擴(kuò)展到覆蓋管理供應(yīng)鏈的公司辦公室和設(shè)備,因此需要提高安全性以確保數(shù)據(jù)在各網(wǎng)絡(luò)設(shè)備間安全而有效地傳輸。
 
  通過(guò)使用工業(yè)路由器可輕松將網(wǎng)絡(luò)擴(kuò)展到生產(chǎn)現(xiàn)場(chǎng),并提供安全、可靠和高速的網(wǎng)絡(luò)通信。但在采購(gòu)工業(yè)路由器時(shí),首先要考慮以下幾個(gè)關(guān)鍵因素。
 
  伴隨網(wǎng)絡(luò)規(guī)模擴(kuò)展而產(chǎn)生的挑戰(zhàn)之一是網(wǎng)絡(luò)更容易受到遠(yuǎn)程和病毒等網(wǎng)絡(luò)攻擊。這也是決策者在購(gòu)買網(wǎng)絡(luò)設(shè)備前需要進(jìn)行安全評(píng)估的重要原因。
 
  在部署有線路由器,對(duì)工業(yè)資產(chǎn)進(jìn)行監(jiān)控和管理時(shí),數(shù)據(jù)安全是首要考慮因素。通常需要采取最佳防護(hù)措施,以跟蹤網(wǎng)絡(luò)中的通信、確定通信的數(shù)據(jù)類型及有權(quán)限訪問(wèn)相關(guān)數(shù)據(jù)和硬件的用戶。
 
  某些有線路由器通過(guò)虛擬專用網(wǎng)絡(luò) (VPN) 將專用(公司)網(wǎng)絡(luò)安全的擴(kuò)展到遠(yuǎn)端,例如生產(chǎn)工廠。公司決策人員應(yīng)選擇購(gòu)買支持IPSEC和OpenVPN軟件的設(shè)備,這兩個(gè)軟件都可以針對(duì)不同的網(wǎng)絡(luò)應(yīng)用提供獨(dú)特的VPN功能。其中,IPSEC通過(guò)可靠的加密和共享參數(shù)來(lái)保證前端到遠(yuǎn)端網(wǎng)絡(luò)設(shè)備間數(shù)據(jù)通信的安全性;OpenVPN則通過(guò)共享證書來(lái)確保數(shù)據(jù)的安全,同時(shí)在路由器間提供安全的數(shù)據(jù)傳輸。
 
  下一層防護(hù)是使用SPI防火墻(全狀態(tài)數(shù)據(jù)包檢測(cè)型防火墻)。SPI可以對(duì)每個(gè)數(shù)據(jù)包進(jìn)行掃描,并根據(jù)當(dāng)前運(yùn)行的服務(wù)判斷允許數(shù)據(jù)包通過(guò)或丟棄。例如,某個(gè)遠(yuǎn)程端可能只被允許發(fā)送Modbus數(shù)據(jù)包,以限制數(shù)據(jù)的使用。這種情況下,路由器內(nèi)的防火墻將拒絕任何非Modbus數(shù)據(jù)通過(guò)。
 
  類似于防火墻的數(shù)據(jù)包控制功能,路由器和遠(yuǎn)程終端設(shè)備 (RTU) 也應(yīng)該具備相應(yīng)的訪問(wèn)控制表 (ACL) 。該表用于對(duì)訪問(wèn)網(wǎng)絡(luò)設(shè)備的用戶憑證進(jìn)行控制。通過(guò)將ACL和用戶身份驗(yàn)證結(jié)合使用,可以確保只有特定的用戶才可以訪問(wèn)特定的服務(wù),以提高安全性。
 
  設(shè)備同時(shí)也應(yīng)該具備適應(yīng)環(huán)境變化的能力,例如可適應(yīng)廣泛的工作溫度范圍、輸入電壓的波動(dòng)和空氣中混有可能導(dǎo)致設(shè)備中運(yùn)動(dòng)部件故障的顆粒物。不管是用作基本的WAN連接還是現(xiàn)有網(wǎng)絡(luò)連接的備用,只有能適應(yīng)嚴(yán)苛工業(yè)環(huán)境的有線路由器才最為可靠,尤其是在油氣、能源和水/污水處理等首重安全和可靠性的應(yīng)用中。
 
  增加生產(chǎn)現(xiàn)場(chǎng)工業(yè)網(wǎng)絡(luò)的連接是提高辦公室、工廠和設(shè)備間通信的可靠投資方式,但決策者在考慮網(wǎng)絡(luò)性能的同時(shí)應(yīng)進(jìn)行必要的安全評(píng)估以保護(hù)基礎(chǔ)設(shè)施的安全性。
 


 Diane Davis
  作者簡(jiǎn)介:
 
  Diane Davis是紅獅控制公司網(wǎng)絡(luò)化產(chǎn)品管理總監(jiān)。美國(guó)紅獅控制是工業(yè)自動(dòng)化和網(wǎng)絡(luò)領(lǐng)域的專家,助力客戶在全球范圍內(nèi)通信、監(jiān)測(cè)和控制資產(chǎn)。
 

相關(guān)文章

?! ☆}
 
 
 
封面人物
市場(chǎng)周刊
2024-04
出刊日期:2024-04
出刊周期:每月
總481期
出刊日期:(2014 07 08)
出刊周期:每周
 
 
 
 

確保工業(yè)網(wǎng)絡(luò)的安全

世界軌道交通資訊網(wǎng)

 
  由于工業(yè)網(wǎng)絡(luò)已從生產(chǎn)現(xiàn)場(chǎng)設(shè)備間的互聯(lián)擴(kuò)展到覆蓋管理供應(yīng)鏈的公司辦公室和設(shè)備,因此需要提高安全性以確保數(shù)據(jù)在各網(wǎng)絡(luò)設(shè)備間安全而有效地傳輸。
 
  通過(guò)使用工業(yè)路由器可輕松將網(wǎng)絡(luò)擴(kuò)展到生產(chǎn)現(xiàn)場(chǎng),并提供安全、可靠和高速的網(wǎng)絡(luò)通信。但在采購(gòu)工業(yè)路由器時(shí),首先要考慮以下幾個(gè)關(guān)鍵因素。
 
  伴隨網(wǎng)絡(luò)規(guī)模擴(kuò)展而產(chǎn)生的挑戰(zhàn)之一是網(wǎng)絡(luò)更容易受到遠(yuǎn)程和病毒等網(wǎng)絡(luò)攻擊。這也是決策者在購(gòu)買網(wǎng)絡(luò)設(shè)備前需要進(jìn)行安全評(píng)估的重要原因。
 
  在部署有線路由器,對(duì)工業(yè)資產(chǎn)進(jìn)行監(jiān)控和管理時(shí),數(shù)據(jù)安全是首要考慮因素。通常需要采取最佳防護(hù)措施,以跟蹤網(wǎng)絡(luò)中的通信、確定通信的數(shù)據(jù)類型及有權(quán)限訪問(wèn)相關(guān)數(shù)據(jù)和硬件的用戶。
 
  某些有線路由器通過(guò)虛擬專用網(wǎng)絡(luò) (VPN) 將專用(公司)網(wǎng)絡(luò)安全的擴(kuò)展到遠(yuǎn)端,例如生產(chǎn)工廠。公司決策人員應(yīng)選擇購(gòu)買支持IPSEC和OpenVPN軟件的設(shè)備,這兩個(gè)軟件都可以針對(duì)不同的網(wǎng)絡(luò)應(yīng)用提供獨(dú)特的VPN功能。其中,IPSEC通過(guò)可靠的加密和共享參數(shù)來(lái)保證前端到遠(yuǎn)端網(wǎng)絡(luò)設(shè)備間數(shù)據(jù)通信的安全性;OpenVPN則通過(guò)共享證書來(lái)確保數(shù)據(jù)的安全,同時(shí)在路由器間提供安全的數(shù)據(jù)傳輸。
 
  下一層防護(hù)是使用SPI防火墻(全狀態(tài)數(shù)據(jù)包檢測(cè)型防火墻)。SPI可以對(duì)每個(gè)數(shù)據(jù)包進(jìn)行掃描,并根據(jù)當(dāng)前運(yùn)行的服務(wù)判斷允許數(shù)據(jù)包通過(guò)或丟棄。例如,某個(gè)遠(yuǎn)程端可能只被允許發(fā)送Modbus數(shù)據(jù)包,以限制數(shù)據(jù)的使用。這種情況下,路由器內(nèi)的防火墻將拒絕任何非Modbus數(shù)據(jù)通過(guò)。
 
  類似于防火墻的數(shù)據(jù)包控制功能,路由器和遠(yuǎn)程終端設(shè)備 (RTU) 也應(yīng)該具備相應(yīng)的訪問(wèn)控制表 (ACL) 。該表用于對(duì)訪問(wèn)網(wǎng)絡(luò)設(shè)備的用戶憑證進(jìn)行控制。通過(guò)將ACL和用戶身份驗(yàn)證結(jié)合使用,可以確保只有特定的用戶才可以訪問(wèn)特定的服務(wù),以提高安全性。
 
  設(shè)備同時(shí)也應(yīng)該具備適應(yīng)環(huán)境變化的能力,例如可適應(yīng)廣泛的工作溫度范圍、輸入電壓的波動(dòng)和空氣中混有可能導(dǎo)致設(shè)備中運(yùn)動(dòng)部件故障的顆粒物。不管是用作基本的WAN連接還是現(xiàn)有網(wǎng)絡(luò)連接的備用,只有能適應(yīng)嚴(yán)苛工業(yè)環(huán)境的有線路由器才最為可靠,尤其是在油氣、能源和水/污水處理等首重安全和可靠性的應(yīng)用中。
 
  增加生產(chǎn)現(xiàn)場(chǎng)工業(yè)網(wǎng)絡(luò)的連接是提高辦公室、工廠和設(shè)備間通信的可靠投資方式,但決策者在考慮網(wǎng)絡(luò)性能的同時(shí)應(yīng)進(jìn)行必要的安全評(píng)估以保護(hù)基礎(chǔ)設(shè)施的安全性。
 


 Diane Davis
  作者簡(jiǎn)介:
 
  Diane Davis是紅獅控制公司網(wǎng)絡(luò)化產(chǎn)品管理總監(jiān)。美國(guó)紅獅控制是工業(yè)自動(dòng)化和網(wǎng)絡(luò)領(lǐng)域的專家,助力客戶在全球范圍內(nèi)通信、監(jiān)測(cè)和控制資產(chǎn)。