移動(dòng)技術(shù)的發(fā)展，已經(jīng)觸及現(xiàn)代生活的方方面面。人們期望并要求通過(guò)移動(dòng)設(shè)備訪問(wèn)任何事情。基于這種期望，現(xiàn)代設(shè)備的設(shè)計(jì)內(nèi)置了更多功能。

　　但是，某些應(yīng)用程序(例如工業(yè)控制應(yīng)用的遠(yuǎn)程和移動(dòng)監(jiān)視)出現(xiàn)的有點(diǎn)晚。從歷史上看，工業(yè)自動(dòng)化由于其特殊需求，其發(fā)展落后于較新的消費(fèi)者技術(shù)。自動(dòng)化硬件和軟件平臺(tái)，必須連續(xù)運(yùn)行數(shù)年或數(shù)十年。任何故障都會(huì)對(duì)成本高昂的設(shè)備和產(chǎn)品產(chǎn)生直接的負(fù)面影響。因此在最終用戶現(xiàn)場(chǎng)，這些平臺(tái)通常有點(diǎn)孤立。

　　這些嚴(yán)格的要求是工業(yè)自動(dòng)化平臺(tái)的首要關(guān)注點(diǎn)。任何形式的遠(yuǎn)程訪問(wèn)都可能被視為是對(duì)網(wǎng)絡(luò)安全的一種潛在危害。即使商業(yè)網(wǎng)絡(luò)、PC和互聯(lián)網(wǎng)云技術(shù)，使訪問(wèn)自動(dòng)化平臺(tái)變得更加容易，但這些方面中的每一個(gè)都加劇了網(wǎng)絡(luò)安全問(wèn)題。

　　如今，始終保持連接的最終用戶要求從他們的自動(dòng)化平臺(tái)進(jìn)行遠(yuǎn)程訪問(wèn)，因?yàn)檫@樣可以通過(guò)減少停機(jī)時(shí)間來(lái)增加價(jià)值。他們可以實(shí)現(xiàn)系統(tǒng)性能的可視化、更高效地運(yùn)營(yíng)并進(jìn)行遠(yuǎn)程故障診斷。要建立令人放心的安全遠(yuǎn)程連接，需要在硬件、軟件和網(wǎng)絡(luò)的許多層面給予特別注意。

　　堅(jiān)實(shí)的云基礎(chǔ)

　　一些具有強(qiáng)大信息技術(shù)(IT)技能的最終用戶，可以創(chuàng)建和維護(hù)自己的遠(yuǎn)程連接解決方案，以解決工廠車(chē)間運(yùn)行技術(shù)(OT)方面的問(wèn)題。如果正確執(zhí)行，這可以提供令人滿意的結(jié)果。通常，工作包括建立虛擬專(zhuān)用網(wǎng)(VPN)，以便與因特網(wǎng)連接的設(shè)備可以通過(guò)站點(diǎn)防火墻進(jìn)行通信，并到達(dá)所需的OT目標(biāo)。

　　由于IT和OT組之間需要協(xié)調(diào)，VPN的建立和維護(hù)可能會(huì)比較困難且昂貴。即使已安裝VPN，最終用戶也必須具有移動(dòng)應(yīng)用程序或其它軟件才能實(shí)現(xiàn)遠(yuǎn)程連接。除非最終用戶具有所有必需的專(zhuān)用硬件、軟件和豐富的經(jīng)驗(yàn)，否則此任務(wù)可能會(huì)充滿挑戰(zhàn)。

　　接下來(lái)的挑戰(zhàn)是關(guān)于如何測(cè)試自己開(kāi)發(fā)的遠(yuǎn)程連接技術(shù)，并且隨著時(shí)間的流逝，如何確保良好的網(wǎng)絡(luò)安全性。一個(gè)合適的安全管理模型應(yīng)該滿足基于信息的機(jī)密性、完整性和可用性要求。但實(shí)際應(yīng)用中，許多最終用戶可能無(wú)法創(chuàng)建和維護(hù)這樣的安全模型。

　　由于這些原因，許多最終用戶正轉(zhuǎn)向已建立的、基于云的解決方案，以實(shí)現(xiàn)具有所需安全性的遠(yuǎn)程連接?；谠频钠脚_(tái)已經(jīng)專(zhuān)門(mén)用于遠(yuǎn)程連接任務(wù)。供應(yīng)商可以提供規(guī)模經(jīng)濟(jì)和其他技術(shù)效益。

　　分布式資源

　　在解決安全問(wèn)題之前，重要的是要了解與內(nèi)部開(kāi)發(fā)的遠(yuǎn)程連接相比，云軟件可以提供的技術(shù)功能。

　　一個(gè)顯著差異是基于云的軟件具有較高的可用性，因?yàn)樗鼈兯褂玫姆?wù)器，與數(shù)據(jù)中心處理其它關(guān)鍵計(jì)算和數(shù)據(jù)存儲(chǔ)活動(dòng)的服務(wù)器相同。這樣的可擴(kuò)展架構(gòu)，可以真正實(shí)現(xiàn)全球級(jí)的規(guī)模，并通過(guò)冗余提高可用性。

　　位于數(shù)據(jù)中心的VPN服務(wù)器網(wǎng)絡(luò)，可以使用較佳服務(wù)器來(lái)降低延遲。如果連接失敗，它還允許其它服務(wù)器接管。一些云服務(wù)可能會(huì)使用Kubernetes集群之類(lèi)的現(xiàn)代計(jì)算架構(gòu)，從而優(yōu)化微服務(wù)的運(yùn)營(yíng)和管理。(Kubernetes是開(kāi)放源代碼軟件，可用于自動(dòng)化容器化應(yīng)用程序的部署、擴(kuò)展和管理。)

　　大多數(shù)云解決方案還為關(guān)鍵計(jì)算流程提供了應(yīng)用程序編程接口(API)服務(wù)，從而為程序連接提供了一致的方式。工業(yè)物聯(lián)網(wǎng)(IIoT)應(yīng)用通常支持消息隊(duì)列遙測(cè)傳輸(MQTT)協(xié)議。 MQTT是IIoT通信的理想選擇，因?yàn)樗c傳輸層安全性配對(duì)時(shí)，既高效又安全。 API和MQTT功能允許云軟件提供比基本連接更多的功能，因?yàn)檫@些技術(shù)允許通過(guò)云存儲(chǔ)和訪問(wèn)數(shù)據(jù)。

　　任何工業(yè)云解決方案，還必須適合處理以下3種類(lèi)型的數(shù)據(jù)庫(kù)：

　　關(guān)系型：例如配置信息;

　　非關(guān)系型：例如事件、警報(bào)和日志;

　　時(shí)間序列型：例如連續(xù)到達(dá)的、帶有時(shí)間戳的模擬過(guò)程數(shù)據(jù)。

　　每種數(shù)據(jù)庫(kù)都有對(duì)工業(yè)應(yīng)用非常重要的特性。只要安全性得到保證，這三種數(shù)據(jù)庫(kù)類(lèi)型的云解決方案都很適合。

　　StrideLinx云托管VPN可以通過(guò)筆記本電腦、智能手機(jī)和平板電腦上托管的移動(dòng)HMI應(yīng)用程序與工業(yè)資產(chǎn)安全地連接。圖片來(lái)源：Automation Direct

　　要解決5個(gè)網(wǎng)絡(luò)安全問(wèn)題

　　不幸的是，網(wǎng)絡(luò)安全的缺失是一個(gè)經(jīng)常出現(xiàn)在新聞中的復(fù)雜話題。對(duì)于任何遠(yuǎn)程連接或基于云的解決方案的供應(yīng)商，較佳實(shí)踐都是遵循ISO 27001標(biāo)準(zhǔn)提出的要求，并接受合格的第三方審核，持續(xù)遵守信息安全管理體系(ISMS)認(rèn)證的要求。

　　企業(yè)必須解決以下5個(gè)主要的網(wǎng)絡(luò)安全問(wèn)題：

　　1.加密連接：必須使用具有TLS 1.2或更高版本的HTTPS加密與云服務(wù)之間的所有連接，以防止未經(jīng)授權(quán)的訪問(wèn)。

　　2.集中的監(jiān)視、日志記錄和分析：關(guān)鍵事件和異常的自動(dòng)檢測(cè)，可幫助供應(yīng)商識(shí)別任何性能問(wèn)題或意外活動(dòng)，并對(duì)之做出反應(yīng)。

　　3.漏洞管理：持續(xù)進(jìn)行的第三方審核，應(yīng)在漏洞或弱點(diǎn)被利用之前發(fā)現(xiàn)，越早越好。

　　4.訪問(wèn)控制：任何基于云的平臺(tái)，都允許開(kāi)發(fā)人員訪問(wèn)，但是應(yīng)該使用強(qiáng)大的訪問(wèn)密鑰和全面的監(jiān)視，控制訪問(wèn)人員的數(shù)量。

　　5.軟件開(kāi)發(fā)生命周期：應(yīng)始終對(duì)軟件更改進(jìn)行同行評(píng)審，遵循嚴(yán)格的版本管理系統(tǒng)，并使用手動(dòng)和自動(dòng)方法進(jìn)行測(cè)試。

　　如果最終用戶不準(zhǔn)備執(zhí)行這些建議，那他們應(yīng)考慮使用供應(yīng)商提供的基于云的軟件，以符合這些ISMS指令。

　　本地的安全性

　　即使是可以的基于云的軟件，也可能會(huì)因脆弱的本地安全性而受到損害。不幸的是，制造現(xiàn)場(chǎng)的大多數(shù)OT技術(shù)，在設(shè)計(jì)時(shí)都沒(méi)有考慮安全性，并且很多技術(shù)很少更新。除非采取預(yù)防措施，否則將這些傳統(tǒng)技術(shù)連接到較新的基于云的平臺(tái)可能會(huì)引起麻煩。

　　最基本的措施是使用帶有正確配置防火墻的路由器，確保將計(jì)算機(jī)局域網(wǎng)(LAN)與廣域網(wǎng)(WAN)和因特網(wǎng)隔離。默認(rèn)情況下，這會(huì)阻止兩者之間的所有流量，除非在WAN上配置，否則將拒絕WAN上發(fā)起的任何通信到達(dá)LAN。

　　但是，LAN生成的到WAN或因特網(wǎng)的可信出站通信通常是可以接受的。這是OT系統(tǒng)與IT云平臺(tái)集成而不涉及更復(fù)雜IT解決方案的方式。任何OT/IT遠(yuǎn)程連接解決方案，都需要與站點(diǎn)安全訪問(wèn)限制進(jìn)行協(xié)調(diào)。

　　另一方面，許多OT運(yùn)營(yíng)都位于互聯(lián)網(wǎng)連接可能不理想的地方。對(duì)于這些情況，最終用戶可能希望尋找能夠從因特網(wǎng)連接故障切換到4G移動(dòng)網(wǎng)絡(luò)的路由器。對(duì)于具有數(shù)據(jù)記錄功能的應(yīng)用程序，建議路由器一次緩沖幾天的數(shù)據(jù)，直到連接恢復(fù)。

　　瀏覽器和應(yīng)用程序安全

　　遠(yuǎn)程連接的最后一步是最終用戶界面。這可能是基于瀏覽器或基于移動(dòng)的應(yīng)用程序。不幸的是，此接口可能是外部攻擊者的主要目標(biāo)。

　　正如大多數(shù)用戶從其個(gè)人電子郵件、銀行帳戶和其它基于計(jì)算機(jī)的帳戶中了解的那樣，登錄安全性至關(guān)重要。除了唯一的長(zhǎng)密碼，用戶還應(yīng)考慮使用允許雙因素身份驗(yàn)證(2FA)作為附加保護(hù)層的系統(tǒng)。通常，用戶在他們的移動(dòng)設(shè)備上打開(kāi)另一個(gè)身份驗(yàn)證器應(yīng)用程序，以便在登錄時(shí)獲得一次性密碼。

　　基于云的連接系統(tǒng)的管理員必須仔細(xì)分配和控制用戶權(quán)限。常識(shí)表明，應(yīng)該僅授予用戶足夠執(zhí)行其任務(wù)的權(quán)限，而不能再擴(kuò)充授予其它權(quán)限。這可以將遭受網(wǎng)絡(luò)攻擊所造成的對(duì)系統(tǒng)的影響降至最低。

　　對(duì)于最終用戶而言，當(dāng)APP可用時(shí)，它們比網(wǎng)頁(yè)瀏覽器訪問(wèn)更為方便。這是因?yàn)樗鼈円厌槍?duì)移動(dòng)屏幕尺寸進(jìn)行了預(yù)配置，并經(jīng)定制以提供所需的典型信息和功能，而最終用戶所需的開(kāi)發(fā)工作卻少得多。

　　移動(dòng)VPN連接，允許對(duì)第三方移動(dòng)應(yīng)用程序進(jìn)行控制和數(shù)據(jù)查看。

　　可信的云連接

　　遠(yuǎn)程監(jiān)視和控制尤其是通過(guò)移動(dòng)設(shè)備進(jìn)行的遠(yuǎn)程監(jiān)視和控制，被視為許多工業(yè)自動(dòng)化用戶的必備功能。某些用戶可能會(huì)開(kāi)發(fā)自己的連接軟件，但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)巨大，需要制定大量的緩解措施。

　　這是許多用戶發(fā)現(xiàn)基于云的遠(yuǎn)程連接和數(shù)據(jù)記錄平臺(tái)是理想答案的主要原因之一。好的云平臺(tái)比自開(kāi)發(fā)的系統(tǒng)能提供更好的技術(shù)解決方案，例如冗余服務(wù)器和備份數(shù)據(jù)連接。它們遵循較新的行業(yè)安全標(biāo)準(zhǔn)，經(jīng)過(guò)持續(xù)的審核，并提供移動(dòng)應(yīng)用程序來(lái)幫助最終用戶快速運(yùn)行，而在整個(gè)生命周期中所需的維護(hù)工作最少。

上一篇：工信部組織開(kāi)展“國(guó)家鼓勵(lì)發(fā)展的...

下一篇：儀器送檢后如何進(jìn)行確認(rèn)，確認(rèn)記...