1802077****
更新时间: 2023-07-15
根据工业自动化和控制系统自然属性和与他们相关独有安保的考虑,确保远程访问具有高度安全是非常重要的。通过使用多层安保的方法,可以防止远程访问各种潜在安保的威胁。思科和罗克韦尔自动化推荐的方法,能够保证远程访问与现有工厂架构兼容,与使用“深度防御”、结合多种安保方案的理念相一致。虽然现在还没有单一技术和方法,能够实现工业网络的安保,但结合不同技术,对**常见类型的威胁和安保漏洞,可以构成了一个牢固的、具有威慑力的方案,限制了危及安全的影响。
实施工业应用远程访问的步骤如下。
1. 使用标准企业远程访问方案,基于客户机的形式,使用IP安保(IPsec)加密的虚拟个人网络(VPN)技术,通过因特网安全地连接企业的边界。VPN的建立需要对远程个人进行远程验证拨入用户服务(RADIUS),这通常是由IT部门组织实施和管理。
2. 使用隔离区(DMZ)/防火墙中的访问控制列表(**),限制远程伙伴通过IPsec到工厂现场的访问。通过隔离区连接到工厂现场,只能使用一种安全浏览器(HTTPS)。
3. 访问一个安全浏览器(HTTPS)门户应用,它运行于隔离区/防火墙上。这要求再次登录/验证。
4. 在远程客户机和工厂的隔离区防火墙之间,使用一种安全套接字层(SSL)的虚拟个人网络(VPN)会话,并且限制通过HTTPS使用远程终端会话(比如,远程桌面协议)。
5. 利用在防火墙上的侵入保护和检测系统(IPS/IDS),检查进出远程访问服务器的数据流,防止攻击和威胁,并适当地给予阻截。这对防止来自远程设备穿越防火墙和影响远程访问服务器的病毒和其他威胁是非常重要的。
6. 允许远程用户执行终端会话,访问驻留在远程访问服务器中的自动化和控制应用。需要应用级的登录/验证。
7. 执行应用安保功能,对访问远程访问服务器的用户,限制其应用功能(诸如只读,非在线功能)。
8. 把远程访问服务器分配到不同的虚拟局域网(VLAN),并且让所有在远程访问服务器到制造区域之间的数据流通过防火墙。对这个数据流使用侵入检测和保护服务,保护制造区域免受攻击、蠕虫和病毒的破坏。
