更新时间: 2023-07-15
实施远程访问的原则
当允许远程访问工厂数据和资源时,要坚守一些原则。这些原则也被思科和罗克韦尔自动化开发的参考架构所使用,包含在严格控制远程访问自动化和控制应用的重要概念中。
1. 使用IT认可的用户访问、验证策略和访问程序
对企业资源和服务的访问要进行监视和记录。企业应该事先知道每个用户的背景,并且分配一个独有的账号。用户每次访问网络,要通过验证并且给予适当在企业内的授权。出于审计目的,对访问要进行跟踪和记录。对工厂现场数据和资源访问的批准,应该遵从企业IT部门的流程进行。
合作伙伴、远程工程师或供应商采用其他方案(诸如:调制解调器、电话线和因特网直接访问)访问工厂和制造区,可能产生对工厂和企业网络的风险,除非这些方案遵从IT的政策和流程。
2. 只在制造区使用自动化和控制协议
思科和罗克韦尔自动化参考架构中的关键原则是“CIP只在制造区”使用。CIP,公共工业协议,和其他核心的自动化和控制协议,包括FactoryTalk®实时数据、OPC-DA、Modbus TCP应在制造区内使用。这些运行在设备上的协议,信息安全能力非常有限。因为工厂的流程是通过它们对自动化机械实现启动、停止和操作,所以它们对工业自动化和控制系统有举足轻重的影响。
因此,自动化和控制协议不应该脱离制造区。在制造区里,自动化和控制设备是在熟悉的物理边界里,由训练有素的人员安装、操作和维护。对这个区域的协议限制,可以确保自动化和控制设备在熟知的设备和应用之间正常通信。另外,这些设备和应用的用户是经过验证并对于他们的角色给予了相应的授权。
这个原则也许在今后会重新考虑,因为存在的信息安全设备(诸如防火墙)可以严格管辖来自制造区之外的自动化和控制数据流。这会要求这些“应用”防火墙具有一个适度的应用或协议知晓等级,可以对网络部分通信包和数据部分充分检查,建立设备的**度和信任度。在现代企业级防火墙上实现这项技术之前,我们推荐自动化和控制协议“只在制造区”使用。
上一篇:6ES73221BH010AA0
下一篇:IC695PSA040