|
網(wǎng)絡(luò)安全意味著計(jì)算機(jī)應(yīng)用和數(shù)字式資產(chǎn)的機(jī)密性、完整性和可用性���。在大多數(shù)組織中,網(wǎng)絡(luò)安全由企業(yè)IT小組負(fù)責(zé)。不幸的是��,每當(dāng)IT小組遇到實(shí)時(shí)控制系統(tǒng)時(shí)�����,問(wèn)題總會(huì)出現(xiàn)���。因此�,當(dāng)IT小組執(zhí)行不同的Windows域和防火墻時(shí),首先遭殃的是典型的分布式組件對(duì)象模型(DCOM)的通信�����,因而影響了OPC的通信�。
在當(dāng)今世界,無(wú)論是家用��、商用還是在工業(yè)設(shè)施上��,微軟Windows視窗都是最流行的桌面操作系統(tǒng)��,這是不爭(zhēng)的事實(shí)。因此��,Windows也就成為了受惡意網(wǎng)絡(luò)攻擊最廣泛的目標(biāo)����。事實(shí)上,黑客們經(jīng)常開(kāi)發(fā)出新的蠕蟲(chóng)和病毒來(lái)試圖攻擊穿透每個(gè)網(wǎng)絡(luò)���。這些惡意的應(yīng)用程序具有很強(qiáng)的傳染性�����,以至于當(dāng)一個(gè)被感染的筆記本電腦連入到一個(gè)未曾受到感染的網(wǎng)絡(luò)中時(shí)都可以導(dǎo)致一個(gè)企業(yè)系統(tǒng)在很短時(shí)間內(nèi)崩潰���。
正因如此�����,IT部門(mén)需要參與到網(wǎng)絡(luò)安全問(wèn)題上來(lái)���。他們的目標(biāo)是要保護(hù)用戶(hù)以及所有互聯(lián)的設(shè)備���。不幸的是,IT部門(mén)并不清楚商業(yè)生產(chǎn)方面的操作需求����,所以,很快就出現(xiàn)了通信和兼容性方面的問(wèn)題�。首先出現(xiàn)的問(wèn)題之一是分布式組件對(duì)象模型(DCOM)。
微軟開(kāi)發(fā)的DCOM為遠(yuǎn)程Windows應(yīng)用和計(jì)算機(jī)工作提供了易于使用的通信基礎(chǔ)�����。DCOM使得開(kāi)發(fā)者能夠在自己的應(yīng)用程序中重復(fù)使用微軟的方法和程序���。這些加速了應(yīng)用程序的發(fā)展��,增加了可靠性�����。這正是OPC基金會(huì)選擇DCOM作為基本構(gòu)件用于OPC通信的原因���。
DCOM來(lái)自于IT世界�,程序員能方便地使用它��,但是需要付出代價(jià)�。DCOM需要許多端口用于尋找其他主機(jī)����、解析名稱(chēng)、請(qǐng)求服務(wù)�����、取得認(rèn)證�、發(fā)送數(shù)據(jù)和其他功能。如果這些端口不可用����,DCOM會(huì)自動(dòng)搜尋其他端口�����。當(dāng)然����,DCOM使用的任何端口和服務(wù)都是網(wǎng)絡(luò)攻擊(病毒和蠕蟲(chóng))的目標(biāo)��。所以���,當(dāng)DCOM遇到安全問(wèn)題時(shí),包括OPC應(yīng)用在內(nèi)的所有應(yīng)用都會(huì)受到感染����。最近出現(xiàn)的Blaster和Sasser病毒攻擊了OPC使用的同一組件,正在使用OPC的任何人將來(lái)都可能極易受到此類(lèi)病毒的攻擊���。
如果過(guò)程控制網(wǎng)絡(luò)想要與商業(yè)網(wǎng)絡(luò)結(jié)合�,那么網(wǎng)絡(luò)安全對(duì)其來(lái)說(shuō)是必需的�����。再次提醒��,由于Windows和DCOM內(nèi)在的性質(zhì)�,當(dāng)IT部門(mén)開(kāi)放通信時(shí),包括OPC在內(nèi)的許多應(yīng)用將會(huì)立刻受到頻繁的攻擊�����。但是如果工廠(chǎng)和商業(yè)系統(tǒng)進(jìn)行過(guò)正確的配置和維護(hù)的話(huà),網(wǎng)絡(luò)安全和OPC將能很好的共存下去��,這是個(gè)不錯(cuò)的消息�����。
在工廠(chǎng)生產(chǎn)和商業(yè)系統(tǒng)間發(fā)展網(wǎng)絡(luò)安全是項(xiàng)復(fù)雜的任務(wù)���,以至于大多數(shù)IT和自動(dòng)化部門(mén)都在猶豫是否要進(jìn)行此項(xiàng)任務(wù)����。IT部門(mén)可能不熟悉復(fù)雜的工業(yè)系統(tǒng)��,任何錯(cuò)誤都會(huì)對(duì)生產(chǎn)起到反作用�����。從工業(yè)自動(dòng)化的前景和與IT安全的挑戰(zhàn)來(lái)看��,自動(dòng)化部門(mén)寧可選擇獨(dú)立運(yùn)行�����,在這些系統(tǒng)中留下通信“缺口”�����。工業(yè)網(wǎng)絡(luò)安全至少需要考慮下面列出的范圍�。
•過(guò)濾和存取控制
•書(shū)面的最優(yōu)方法和策略
•反病毒
•修復(fù)程序
•數(shù)據(jù)備份策略
•事件處理程序
•積極的監(jiān)控和檢測(cè)
•不間斷培訓(xùn)和通告
•修補(bǔ)處理
•第三方驗(yàn)證
以上的簡(jiǎn)短列表只是一個(gè)簡(jiǎn)介,要建立網(wǎng)絡(luò)安全則需要考慮更多的因素����。通常來(lái)說(shuō),技術(shù)和人是需要重點(diǎn)考慮的兩個(gè)因素��,哪個(gè)先考慮則無(wú)所謂����。需要記住的最重要的事是企業(yè)IT策略必須重視實(shí)時(shí)控制系統(tǒng)的需求,因?yàn)樵S多規(guī)則會(huì)因此而改變���。
優(yōu)先考慮網(wǎng)絡(luò)和網(wǎng)絡(luò)安全使得防火墻成為必需����,防火墻的出現(xiàn)對(duì)DCOM造成了新的挑戰(zhàn)�。因?yàn)镈COM需要對(duì)如此多的端口進(jìn)行操作,而這對(duì)于防火墻來(lái)說(shuō)并不友好����。因此���,DCOM經(jīng)常不是終止于不同網(wǎng)絡(luò)之間的通信就是對(duì)蠕蟲(chóng)攻擊大開(kāi)其門(mén)。
幸運(yùn)的是���,已經(jīng)出現(xiàn)了新的解決方法�。例如����,OPC能夠利用隧道技術(shù)使其在不同的系統(tǒng)和防火墻間工作。類(lèi)似于虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)和點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)�,OPC隧道將數(shù)據(jù)有效載荷封裝入另一協(xié)議中。從隧道外看�����,它就像是數(shù)據(jù)流��,但是�����,在數(shù)據(jù)流內(nèi)卻是非常重要的產(chǎn)品數(shù)據(jù)��。隧道技術(shù)也能夠利用端口限制、用戶(hù)認(rèn)證和數(shù)據(jù)流加密來(lái)克服大多數(shù)IT安全缺陷����。
網(wǎng)絡(luò)和網(wǎng)絡(luò)安全對(duì)工業(yè)系統(tǒng)來(lái)說(shuō)十分重要�,因?yàn)樗鼈兡軌蛴绊懣刂葡到y(tǒng)的產(chǎn)品生產(chǎn)。一個(gè)復(fù)雜的任務(wù)需要得到具備現(xiàn)場(chǎng)經(jīng)驗(yàn)的專(zhuān)家們的幫助�����。專(zhuān)家們會(huì)為每個(gè)安全集中領(lǐng)域推薦解決方案��,比如將OPC隧道技術(shù)用于防火墻中����。在網(wǎng)絡(luò)安全影響到產(chǎn)品生產(chǎn)之前盡快地做冒安全風(fēng)險(xiǎn)的準(zhǔn)備是相當(dāng)重要的。
作者簡(jiǎn)介:BAIST-NM�����,CET 的Donovan Tindill�,他是Matrikon網(wǎng)絡(luò)服務(wù)組的技術(shù)帶頭人。Donovan給工業(yè)部門(mén)的客戶(hù)提供專(zhuān)業(yè)級(jí)的咨詢(xún)服務(wù)���,并提供具有容錯(cuò)能力����、安全性高、可擴(kuò)展和具成本效益的解決方案�。Donovan將時(shí)間花在了研究尖端科技及其趨勢(shì)上,他親自檢查工業(yè)設(shè)施�,設(shè)計(jì)工廠(chǎng)信息系統(tǒng),尋求關(guān)于工廠(chǎng)IT安全��、可靠性和性能的建議����。
|
