当工业网络持续发展而打破相互间的隔离时,其安全性也开始倍受关注。透过以太网TCP/IP、相关的IT系统、以及互连网等,均可以访问工业网络并从中取得数据,工业网络正面对着这些技术与身俱来的弱点。当前的问题是:用户怎样远程登录自己的网络而又避免把自己暴露给非法侵入者?
在着手改进网络安全时,管理者、控制工程师及系统管理者必须首先把网络当做一个整体来对待,同时再依据所了解的公司组织架构来采取措施。对整个网络进行认真的规划是很有意义的,首先列出所有与网络连结的详细清单,然后再问“这个网络要连公司内部网还是连互连网?”,“是有线连结网络,还是无线连接?”,接下来管理者应该检查目前有哪些安全措施可用,并确保这些安全措施可行并能正常工作。
路由规则
毫无疑问,提高网络安全的重要工具是在局域网和大系统之间,特别是它们与互连网相连时,设置路由器、防火墙。交换机工作在数据链路层(layer 2),路由器通常工作在网络层(layer 3),大多数路由器要处理TCP/IP信息。一个路由器或防火墙对应一个私密的互连网地址,当有数据请求时,指定的信息允许
通过,只有极少非法信息能够通过路由器。
另一个安全问题是“目前工厂级中重复使用频率很高的通讯方式,将来能够处理集团级的数据发送容量和带宽吗?”,管理这些通讯,许多用户都使用交换机,以利用它的广播式调控及阻断噪音的功能。
虚拟局域网致关重要
除基本的路由之外,有些用户在工厂网和办公系统之间构建虚拟局域网。借助交换机硬件,虚拟局域网可以把非法信息阻隔在网络端口之外。
事实上,两个进行适度重叠的虚拟局域网可以用来共享数据,比如说,一个工厂级设备同样也位于公司虚拟局域网上。这样只会使一个设备暴露于潜在的攻击中,而其他的设备将受到保护。
然而,另一种可选方法是只需在两个位置之间简单地安装一个路由器,专门在它们之间发送数据。这种安全策略不分配地址,但是它也允许在工厂和办公网之间进行一些指定的通讯。这种方法与虚拟局域网相似,只是它要增加一个路由器来完成任务。
检查相连接的PC机
根据工厂的组织架构,网络管理者必需意识到-工厂里有哪些设备可能会使用完已有的可用带宽。使用以太网交换机,看起来非常方便、非常吸引人,然而,当我们轻轻松松插入RJ-45端口时,可能会由于使用了非法的或未经测试的网络,而对生产过程造成阻碍或损坏。
所以,除了检查自己的网络安全外,网络管理者还必需关注那些可能连接到工厂网络交换机的PC机和笔记本电脑上所使用的协议。网络管理者通过将工厂网运行在安全模式或设立一个小的测试网络来测试新的软件或设备。
京公网安备 11011202001138号
