|
網(wǎng)絡安全意味著計算機應用和數(shù)字式資產(chǎn)的機密性����、完整性和可用性���。在大多數(shù)組織中�,網(wǎng)絡安全由企業(yè)IT小組負責。不幸的是�,每當IT小組遇到實時控制系統(tǒng)時,問題總會出現(xiàn)���。因此�,當IT小組執(zhí)行不同的Windows域和防火墻時����,首先遭殃的是典型的分布式組件對象模型(DCOM)的通信,因而影響了OPC的通信���。
在當今世界���,無論是家用、商用還是在工業(yè)設施上��,微軟Windows視窗都是最流行的桌面操作系統(tǒng)���,這是不爭的事實���。因此�,Windows也就成為了受惡意網(wǎng)絡攻擊最廣泛的目標��。事實上���,黑客們經(jīng)常開發(fā)出新的蠕蟲和病毒來試圖攻擊穿透每個網(wǎng)絡��。這些惡意的應用程序具有很強的傳染性�,以至于當一個被感染的筆記本電腦連入到一個未曾受到感染的網(wǎng)絡中時都可以導致一個企業(yè)系統(tǒng)在很短時間內崩潰�。
正因如此,IT部門需要參與到網(wǎng)絡安全問題上來����。他們的目標是要保護用戶以及所有互聯(lián)的設備。不幸的是�,IT部門并不清楚商業(yè)生產(chǎn)方面的操作需求,所以�,很快就出現(xiàn)了通信和兼容性方面的問題。首先出現(xiàn)的問題之一是分布式組件對象模型(DCOM)��。
微軟開發(fā)的DCOM為遠程Windows應用和計算機工作提供了易于使用的通信基礎���。DCOM使得開發(fā)者能夠在自己的應用程序中重復使用微軟的方法和程序��。這些加速了應用程序的發(fā)展��,增加了可靠性���。這正是OPC基金會選擇DCOM作為基本構件用于OPC通信的原因。
DCOM來自于IT世界�,程序員能方便地使用它,但是需要付出代價��。DCOM需要許多端口用于尋找其他主機���、解析名稱�、請求服務����、取得認證��、發(fā)送數(shù)據(jù)和其他功能���。如果這些端口不可用��,DCOM會自動搜尋其他端口�����。當然�����,DCOM使用的任何端口和服務都是網(wǎng)絡攻擊(病毒和蠕蟲)的目標�。所以,當DCOM遇到安全問題時��,包括OPC應用在內的所有應用都會受到感染�。最近出現(xiàn)的Blaster和Sasser病毒攻擊了OPC使用的同一組件��,正在使用OPC的任何人將來都可能極易受到此類病毒的攻擊���。
如果過程控制網(wǎng)絡想要與商業(yè)網(wǎng)絡結合,那么網(wǎng)絡安全對其來說是必需的��。再次提醒����,由于Windows和DCOM內在的性質,當IT部門開放通信時�����,包括OPC在內的許多應用將會立刻受到頻繁的攻擊。但是如果工廠和商業(yè)系統(tǒng)進行過正確的配置和維護的話��,網(wǎng)絡安全和OPC將能很好的共存下去�,這是個不錯的消息。
在工廠生產(chǎn)和商業(yè)系統(tǒng)間發(fā)展網(wǎng)絡安全是項復雜的任務,以至于大多數(shù)IT和自動化部門都在猶豫是否要進行此項任務���。IT部門可能不熟悉復雜的工業(yè)系統(tǒng)����,任何錯誤都會對生產(chǎn)起到反作用���。從工業(yè)自動化的前景和與IT安全的挑戰(zhàn)來看���,自動化部門寧可選擇獨立運行����,在這些系統(tǒng)中留下通信“缺口”。工業(yè)網(wǎng)絡安全至少需要考慮下面列出的范圍�。
•過濾和存取控制
•書面的最優(yōu)方法和策略
•反病毒
•修復程序
•數(shù)據(jù)備份策略
•事件處理程序
•積極的監(jiān)控和檢測
•不間斷培訓和通告
•修補處理
•第三方驗證
以上的簡短列表只是一個簡介,要建立網(wǎng)絡安全則需要考慮更多的因素。通常來說��,技術和人是需要重點考慮的兩個因素�,哪個先考慮則無所謂。需要記住的最重要的事是企業(yè)IT策略必須重視實時控制系統(tǒng)的需求��,因為許多規(guī)則會因此而改變�����。
優(yōu)先考慮網(wǎng)絡和網(wǎng)絡安全使得防火墻成為必需�,防火墻的出現(xiàn)對DCOM造成了新的挑戰(zhàn)。因為DCOM需要對如此多的端口進行操作�����,而這對于防火墻來說并不友好�。因此,DCOM經(jīng)常不是終止于不同網(wǎng)絡之間的通信就是對蠕蟲攻擊大開其門���。
幸運的是��,已經(jīng)出現(xiàn)了新的解決方法�����。例如����,OPC能夠利用隧道技術使其在不同的系統(tǒng)和防火墻間工作。類似于虛擬專用網(wǎng)絡(VPN)和點對點隧道協(xié)議(PPTP)���,OPC隧道將數(shù)據(jù)有效載荷封裝入另一協(xié)議中���。從隧道外看,它就像是數(shù)據(jù)流���,但是,在數(shù)據(jù)流內卻是非常重要的產(chǎn)品數(shù)據(jù)����。隧道技術也能夠利用端口限制、用戶認證和數(shù)據(jù)流加密來克服大多數(shù)IT安全缺陷�����。
網(wǎng)絡和網(wǎng)絡安全對工業(yè)系統(tǒng)來說十分重要�,因為它們能夠影響控制系統(tǒng)的產(chǎn)品生產(chǎn)。一個復雜的任務需要得到具備現(xiàn)場經(jīng)驗的專家們的幫助���。專家們會為每個安全集中領域推薦解決方案�����,比如將OPC隧道技術用于防火墻中�。在網(wǎng)絡安全影響到產(chǎn)品生產(chǎn)之前盡快地做冒安全風險的準備是相當重要的���。
作者簡介:BAIST-NM��,CET 的Donovan Tindill��,他是Matrikon網(wǎng)絡服務組的技術帶頭人���。Donovan給工業(yè)部門的客戶提供專業(yè)級的咨詢服務,并提供具有容錯能力��、安全性高����、可擴展和具成本效益的解決方案。Donovan將時間花在了研究尖端科技及其趨勢上���,他親自檢查工業(yè)設施�,設計工廠信息系統(tǒng),尋求關于工廠IT安全�、可靠性和性能的建議。
|
