|
網(wǎng)絡(luò)安全意味著計(jì)算機(jī)應(yīng)用和數(shù)字式資產(chǎn)的機(jī)密性、完整性和可用性�。在大多數(shù)組織中,網(wǎng)絡(luò)安全由企業(yè)IT小組負(fù)責(zé)�����。不幸的是�,每當(dāng)IT小組遇到實(shí)時控制系統(tǒng)時,問題總會出現(xiàn)。因此�,當(dāng)IT小組執(zhí)行不同的Windows域和防火墻時,首先遭殃的是典型的分布式組件對象模型(DCOM)的通信��,因而影響了OPC的通信�。
在當(dāng)今世界,無論是家用����、商用還是在工業(yè)設(shè)施上,微軟Windows視窗都是最流行的桌面操作系統(tǒng)��,這是不爭的事實(shí)����。因此���,Windows也就成為了受惡意網(wǎng)絡(luò)攻擊最廣泛的目標(biāo)���。事實(shí)上,黑客們經(jīng)常開發(fā)出新的蠕蟲和病毒來試圖攻擊穿透每個網(wǎng)絡(luò)��。這些惡意的應(yīng)用程序具有很強(qiáng)的傳染性���,以至于當(dāng)一個被感染的筆記本電腦連入到一個未曾受到感染的網(wǎng)絡(luò)中時都可以導(dǎo)致一個企業(yè)系統(tǒng)在很短時間內(nèi)崩潰��。
正因如此��,IT部門需要參與到網(wǎng)絡(luò)安全問題上來�。他們的目標(biāo)是要保護(hù)用戶以及所有互聯(lián)的設(shè)備。不幸的是���,IT部門并不清楚商業(yè)生產(chǎn)方面的操作需求���,所以,很快就出現(xiàn)了通信和兼容性方面的問題�����。首先出現(xiàn)的問題之一是分布式組件對象模型(DCOM)���。
微軟開發(fā)的DCOM為遠(yuǎn)程Windows應(yīng)用和計(jì)算機(jī)工作提供了易于使用的通信基礎(chǔ)�。DCOM使得開發(fā)者能夠在自己的應(yīng)用程序中重復(fù)使用微軟的方法和程序���。這些加速了應(yīng)用程序的發(fā)展����,增加了可靠性。這正是OPC基金會選擇DCOM作為基本構(gòu)件用于OPC通信的原因�����。
DCOM來自于IT世界��,程序員能方便地使用它����,但是需要付出代價(jià)。DCOM需要許多端口用于尋找其他主機(jī)�、解析名稱、請求服務(wù)���、取得認(rèn)證���、發(fā)送數(shù)據(jù)和其他功能。如果這些端口不可用����,DCOM會自動搜尋其他端口����。當(dāng)然,DCOM使用的任何端口和服務(wù)都是網(wǎng)絡(luò)攻擊(病毒和蠕蟲)的目標(biāo)。所以����,當(dāng)DCOM遇到安全問題時,包括OPC應(yīng)用在內(nèi)的所有應(yīng)用都會受到感染��。最近出現(xiàn)的Blaster和Sasser病毒攻擊了OPC使用的同一組件���,正在使用OPC的任何人將來都可能極易受到此類病毒的攻擊����。
如果過程控制網(wǎng)絡(luò)想要與商業(yè)網(wǎng)絡(luò)結(jié)合��,那么網(wǎng)絡(luò)安全對其來說是必需的��。再次提醒�,由于Windows和DCOM內(nèi)在的性質(zhì),當(dāng)IT部門開放通信時�����,包括OPC在內(nèi)的許多應(yīng)用將會立刻受到頻繁的攻擊�����。但是如果工廠和商業(yè)系統(tǒng)進(jìn)行過正確的配置和維護(hù)的話,網(wǎng)絡(luò)安全和OPC將能很好的共存下去��,這是個不錯的消息�����。
在工廠生產(chǎn)和商業(yè)系統(tǒng)間發(fā)展網(wǎng)絡(luò)安全是項(xiàng)復(fù)雜的任務(wù)�,以至于大多數(shù)IT和自動化部門都在猶豫是否要進(jìn)行此項(xiàng)任務(wù)。IT部門可能不熟悉復(fù)雜的工業(yè)系統(tǒng)����,任何錯誤都會對生產(chǎn)起到反作用。從工業(yè)自動化的前景和與IT安全的挑戰(zhàn)來看�,自動化部門寧可選擇獨(dú)立運(yùn)行,在這些系統(tǒng)中留下通信“缺口”���。工業(yè)網(wǎng)絡(luò)安全至少需要考慮下面列出的范圍��。
•過濾和存取控制
•書面的最優(yōu)方法和策略
•反病毒
•修復(fù)程序
•數(shù)據(jù)備份策略
•事件處理程序
•積極的監(jiān)控和檢測
•不間斷培訓(xùn)和通告
•修補(bǔ)處理
•第三方驗(yàn)證
以上的簡短列表只是一個簡介��,要建立網(wǎng)絡(luò)安全則需要考慮更多的因素�。通常來說��,技術(shù)和人是需要重點(diǎn)考慮的兩個因素��,哪個先考慮則無所謂�。需要記住的最重要的事是企業(yè)IT策略必須重視實(shí)時控制系統(tǒng)的需求,因?yàn)樵S多規(guī)則會因此而改變�����。
優(yōu)先考慮網(wǎng)絡(luò)和網(wǎng)絡(luò)安全使得防火墻成為必需�,防火墻的出現(xiàn)對DCOM造成了新的挑戰(zhàn)。因?yàn)镈COM需要對如此多的端口進(jìn)行操作�����,而這對于防火墻來說并不友好�����。因此��,DCOM經(jīng)常不是終止于不同網(wǎng)絡(luò)之間的通信就是對蠕蟲攻擊大開其門����。
幸運(yùn)的是,已經(jīng)出現(xiàn)了新的解決方法��。例如��,OPC能夠利用隧道技術(shù)使其在不同的系統(tǒng)和防火墻間工作。類似于虛擬專用網(wǎng)絡(luò)(VPN)和點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)�,OPC隧道將數(shù)據(jù)有效載荷封裝入另一協(xié)議中。從隧道外看�����,它就像是數(shù)據(jù)流����,但是,在數(shù)據(jù)流內(nèi)卻是非常重要的產(chǎn)品數(shù)據(jù)��。隧道技術(shù)也能夠利用端口限制����、用戶認(rèn)證和數(shù)據(jù)流加密來克服大多數(shù)IT安全缺陷。
網(wǎng)絡(luò)和網(wǎng)絡(luò)安全對工業(yè)系統(tǒng)來說十分重要�����,因?yàn)樗鼈兡軌蛴绊懣刂葡到y(tǒng)的產(chǎn)品生產(chǎn)�。一個復(fù)雜的任務(wù)需要得到具備現(xiàn)場經(jīng)驗(yàn)的專家們的幫助。專家們會為每個安全集中領(lǐng)域推薦解決方案��,比如將OPC隧道技術(shù)用于防火墻中�����。在網(wǎng)絡(luò)安全影響到產(chǎn)品生產(chǎn)之前盡快地做冒安全風(fēng)險(xiǎn)的準(zhǔn)備是相當(dāng)重要的�。
作者簡介:BAIST-NM,CET 的Donovan Tindill��,他是Matrikon網(wǎng)絡(luò)服務(wù)組的技術(shù)帶頭人�。Donovan給工業(yè)部門的客戶提供專業(yè)級的咨詢服務(wù),并提供具有容錯能力���、安全性高��、可擴(kuò)展和具成本效益的解決方案�。Donovan將時間花在了研究尖端科技及其趨勢上���,他親自檢查工業(yè)設(shè)施�����,設(shè)計(jì)工廠信息系統(tǒng)����,尋求關(guān)于工廠IT安全���、可靠性和性能的建議�����。
|
