1802077****
更新时间: 2023-07-15
在远程访问服务器上的自动化和控制应用
远程访问服务器负责核准自动化和控制应用,诸如罗克韦尔自动化的FactoryTalk® View或者RSLogix™ 5000。在一个安全、专用的服务器上执行这些应用,工厂现场人员可以严格控制应用的版本,限制可以执行的操作-比如允许只读操作-甚至限制能够访问的设备类型,比如仅允许供应商看到他们有关的设备。
远程访问服务器的建立和配置要慎重考虑。对远程访问服务器的用户验证不应该对他们的应用等级和系统等级进行改变。比如:你不想让用户对应用服务器编辑注册或者成为本地视窗的管理员。
检查到达与离开远程访问服务器的数据流和VLAN分段
为了严格控制到达和离开远程访问服务器的数据流,服务器应该划分到特定的VLAN上,数据流要通过防火墙的检查。防火墙能够路由远程访问VLAN的数据流。如果远程访问服务器的数量多于一个,每个服务器可以在不同的VLAN上,每个VLAN可以访问一个特定的制造VLAN,因此进一步限制了远程用户对制造区域的访问。
相关责任的划分
就像每个工厂的网络解决方案,成功实施远程访问功能都需要IT部门和现场部门的紧密合作。两个组织根据每个团队的技术、能力和资源,按架构和责任进行划分达成一致,在系统的整个生命周期(设计、实施、管理等)是非常重要的。
责任的分类应根据IT和现场的交互与合作级别制定。表1中,我们假设在工厂防火墙对生产和IT划分责任;IT负责防火墙的配置,特别是防火墙之上的部分。很多情况下,生产部门和IT部门应一起合作,对隔离区进行设计、实施和操作。生产部门通常对制造区域的建立和配置负责。这个责任分割高度依赖于每个组织的技术和能力。当IT和生产部门一起工作的很好时,IT部门可以承担某些制造区域中的网络设计、实施和操作的责任。
举例:IT部门和生产部门的责任划分
很多企业依靠合作伙伴和供应商提供贯串系统生命周期的服务,涵盖了设计、实施和运行。这些服务可以弥补企业所缺乏的相关能力,完成时间短,确保了系统架构设计满足应用的需求。找到具有IT和生产相关知识、可以满足企业整体需求的合作伙伴并不容易,这也是企业要慎重考虑的。
如何对远程访问架构进行责任划分。注意,这个图对实际的现场网络架构进行了简化,针对需要远程访问的关键部分进行了描述。
