罗克韦尔自动化的信息安全策略和解决方案

为了增加灵活性和提高生产效率，制造商在他们的工业自动化和控制系统中采用开放网络标准。使用开放标准网络的益处之一就是具有远程访问自动化系统的能力。工程人员和合作伙伴可以共享工厂数据、应用和资源，而与他们的物理位置无关。

这种灵活性对当今的制造商而言是非常重要的，因为可以提高全球化能力、降低生产成本、共享信息数据和快速解决生产中的问题，这对每个制造商都是巨大的挑战。本文就如何实现高度安全的远程访问进行了探讨。

一、实施远程访问的原则

当允许远程访问工厂数据和资源时，要坚守一些原则。这些原则也被思科和罗克韦尔自动化开发的参考架构所使用，包含在严格控制远程访问自动化和控制应用的重要概念中。

1.使用IT认可的用户访问、验证策略和访问程序

对企业资源和服务的访问要进行监视和记录。企业应该事先知道每个用户的背景，并且分配一个独有的账号。用户每次访问网络，要通过验证并且给予适当在企业内的授权。出于审计目的，对访问要进行跟踪和记录。对工厂现场数据和资源访问的批准，应该遵从企业IT部门的流程进行。

合作伙伴、远程工程师或供应商采用其他方案(诸如：调制解调器、电话线和因特网直接访问)访问工厂和制造区，可能产生对工厂和企业网络的风险，除非这些方案遵从IT的政策和流程。

2. 只在制造区使用自动化和控制协议

思科和罗克韦尔自动化参考架构中的关键原则是“CIP只在制造区”使用。CIP，公共工业协议，和其他核心的自动化和控制协议，包括 FactoryTalk®实时数据、OPC-DA、Modbus TCP应在制造区内使用。这些运行在设备上的协议，信息安全能力非常有限。因为工厂的流程是通过它们对自动化机械实现启动、停止和操作，所以它们对工业自动化和控制系统有举足轻重的影响。

因此，自动化和控制协议不应该脱离制造区。在制造区里，自动化和控制设备是在熟悉的物理边界里，由训练有素的人员安装、操作和维护。对这个区域的协议限制，可以确保自动化和控制设备在熟知的设备和应用之间正常通信。另外，这些设备和应用的用户是经过验证并对于他们的角色给予了相应的授权。

这个原则也许在今后会重新考虑，因为存在的信息安全设备(诸如防火墙)可以严格管辖来自制造区之外的自动化和控制数据流。这会要求这些“应用”防火墙具有一个适度的应用或协议知晓等级，可以对网络部分通信包和数据部分充分检查，建立设备的知名度和信任度。在现代企业级防火墙上实现这项技术之前，我们推荐自动化和控制协议“只在制造区”使用。

3. 控制应用

这里考虑的要点是由远程伙伴或工程师控制应用。当远程访问工厂现场时，作为一种最佳实践，合作伙伴和远程工程师应使用在控制应用服务器上的自动化和控制应用版本(诸如FactoryTalk® View或RSLogix™ 5000)，原因如下：

• 使工厂能够严格控制应用程序的版本升级。

• 控制访问的等级和远程人员的授权。使用安装在远程系统的应用(诸如FactoryTalk® View)很难区分用户是在本地，还是在远程，这会造成自动化和控制协议离开制造区。

• 防止在远程系统的病毒或其他危险影响制造区的应用和系统。

在远程用户的计算机上使用自动化和控制应用，对自动化和控制会带来极大的风险，作为最佳实践，应该避免这种情况发生。

4. 没有直接数据流

在企业区(包括因特网)和制造区之间，不允许有直接的数据流通过。操作应用或安装补丁必须要有两个步骤，先把补丁下载到隔离区(DMZ)中的补丁服务器当中，然后再安装到制造区的设备当中。

在控制系统中，安装补丁应按照上面描述的两个阶段进行，因为补丁在安装到生产系统之前，必须先在测试环境中进行验证。远程访问控制网络上的设备需要登录，或至少通过一个代理服务器。远程访问服务器像一条咽喉要道，对远程访问需要进一步验证、登录和过滤，才能到达应用服务器。这就提供了一种纵深的问责制。

在这个架构中，工厂防火墙成为远程用户与制造区自动化和控制应用之间的代理服务器，严格管辖进出每个区域的数据流，因而保持了最佳实践。

5. 无公共协议或端口

没有一种协议在同一个时间用同一个端口，穿越一个防火墙再穿过另一个防火墙，见图1。这就防止了蠕虫，如：蠕虫王(Slammer)穿过上层防火墙，在隔离区感染系统，进而在控制区域传播病毒。

6. 仅有一个通道入或出

从DMZ通过低层防火墙进入制造区的通道仅有一条，或进或出。从企业局域网通过上层防火墙进入DMZ的通道也只有一条。

以上的原则其实包含了一个重要的概念，这就是首先要严格控制对自动化和控制应用的远程访问，而不是盲目信赖远程用户在访问工厂应用时不做错事。

二、远程访问用例

考虑远程访问的用例非常重要，因为解决方案应该满足用例的需求。远程访问制造工厂的用例具有一些基本特性，包括用户是谁(角色-包括内部员工、合作伙伴和供应商)，以及用户的位置在哪里(物理和网络的位置)。不同的用例有着不同的考虑和需求。

1. 角色

本文讨论对工厂数据和应用实时访问的部署，用户要对生产监视或操作或采取某些行动。角色可以由内部或外部人员来扮演，并假设已经事先确定。本文不讨论从企业ERP应用读取连续数据的方法，虽然当前的方案不排除或约束这种机制。

实施远程访问要考虑的关键点是事先必须了解用户，应是长期或经常访问工业自动化和控制系统的人员。在部署访问时，这是对用户的基本要求，特别是外部用户，诸如合作伙伴或供应商，通常要向IT部门提出申请，申请的批复和实施要花一些时间。公司的相关策略应该定义了不同的角色和访问的等级。

2. 位置

本文把位于企业网络之中(在制造区的外部)和企业网络之外的远程用户一并考虑。企业内的用户可不使用下面描述的所有技术(诸如建立到企业的VPN)，因为他们已经遵从公司已有的安保策略了。

本文也不讨论当伙伴或第三方客户的物理位置已经在工厂内的情况。因为有很多技术可用于客户访问，包括无线客户访问或网络准许控制，这些技术为Web浏览器提供了通用的因特网访问。这些方法可以与指定技术结合使用，实现远程访问，制造区外边基于隧道的客户可以使用本文描述的方法访问制造区。

三、体系架构

按照思科和罗克韦尔自动化参考架构的原则，实施对工厂现场应用和数据的高安全远程访问，已成为要直接面对的问题。实现远程访问要基于已经存在架构：

• 最佳实践企业的远程工作方案，大多由IT部门负责实施和操作。

• 思科和罗克韦尔自动化融合工厂以太网的参考架构，采用了在隔离区DMZ部署防火墙的方案，使用现代的防火墙管理和检查出入DMZ的数据流。

在考虑实施远程访问时，下面的问题会帮助工厂判断是否做好了准备：

• 有没有一套IT的信息安全策略?

• 对员工有没有一套远程访问策略?有基础架构支撑吗?采用什么技术/产品的虚拟私有网络VPN?

• 有没有一套针对合作伙伴的远程访问策略?有增加伙伴(OEM、系统集成商、供应商和承包商)的能力和程序吗?

如果这些能力和安保策略已经到位，实施远程访问的关键就是远程访问服务器的安装和配置。图2表示了一种远程访问架构的简单版本。

DMZ设计为：允许不在本地生产现场的用户或应用共享数据和应用。这就意味着可以把关键数据复制到DMZ的一个服务器中，使得在其他区域的用户/应用可以看见那些数据。DMZ相当于一个代理服务器，允许其他用户间接连接网络，读取位于其他网络区域中数据和应用。

当把数据复制到DMZ时，数据在制造区和企业区之间快速而高效地传输。在实时访问实际生产系统和应用时，多数是要解决具体问题，收集实时信息，或进行过程调节。远程访问能力除了针对DMZ使用的终端服务，还可以通过代理服务器实时连接安装在制造区的专用远程访问服务器，访问自动化和控制应用。本文强调的安保机制，使得外部用户对企业的访问具有高度的安全，从企业网络访问外部的情况也一样。

经过因特网，远程用户(伙伴或雇员)也能通过远程访问服务器访问工业自动化和控制系统。远程用户的位置通常没有高带宽、低延时的连接。本文概要介绍了使用浏览器和终端服务，类似瘦客户机，可以在低带宽、大延时的网络环境下较好地运行。这里没有提出任何带宽或延时的要求，也没有探究任何管理或监视应用在低带宽、大延时情况下的性能。

四、思科与罗克韦尔的解决方案

思科与罗克韦尔自动化融合企业以太网的参考架构包括下面组件：

• 适配信息安全产品：Cisco ASA 5500系列适配安保产品提供了对关键区域的防卫，包括隔离区DMZ的定义和保护。这些安保产品可以实现多种先进功能，包括防火墙功能，诸如有状态(stateful)包检查、应用级防火墙和协议检查。Cisco ASA 5500系列产品还可以加入更多的先进功能，诸如侵入检测和防护、VPN功能等。选用相适应、多功能防火墙是建立牢固的区域防卫、达到预防目标的一个重要步骤。

• 入侵防御系统(IPS)：在企业和制造网络之间部署，IPS可以检测和阻止攻击，包括蠕虫、病毒和其他恶意软件，通过内联(inline)入侵防护这种创新技术，可识别恶意网络活动。使得在它们在到达工业自动化和控制系统之前，就阻断这些威胁，帮助用户确保制造数据和设备的可用性和完整性。这些功能已经集成到Cisco ASA 5500系列设备中，可把它们看作是工厂的防火墙。

• 安保体系架构：安全网络平台可集成多种安保功能的应用，这对制造区和企业区都很重要，诸如虚拟局域网VLAN，访问控制列表ACL，端口安保特性和网络保护特性。

• 远程访问服务器：在制造区的房间内安装远程访问服务器，仅用于远程工程师和合作伙伴对自动化和控制应用的访问。远程访问服务器是一种专用的物理服务器，具有相应的终点安保功能。作为一种专用服务器，它可以配置在一条专用的远程访问VLAN中，能够很好地管理进出服务器的数据流。

• 生产的控制和信息：为整个工厂生产控制系统设计的一个公共控制和信息平台，罗克韦尔自动化的集成架构是一个控制和信息架构，由Logix硬件控制平台和 FactoryTalk®生产与管理系列软件组成，支持EtherNet/IP和其他开放标准。FactoryTalk®由模块化生产策略和多个服务平台组成，通过EtherNet/IP紧密地与Logix控制平台结合。Logix可编程自动化控制器是一种单一的控制架构，提供了离散量、变频器、运动控制、连续流程和批次生产控制系统。

• 使用思科技术的Stratix 8000™ 模块化管理型交换机：结合了罗克韦尔自动化和思科的最佳技术，罗克韦尔自动化的工业以太网交换机使用当今思科的Catalyst®操作系统，提供的特性和用户界面为IT人员所熟悉，同时为用户配备了简单的安装方法和基于罗克韦尔自动化集成架构的完整诊断信息。

这种解决方案按照思科和罗克韦尔自动化的最新组件设计，并且通过了测试验证。当然，制造商也可以使用老产品或其他品牌的组件，但有可能不具备前面描述的所有功能，因此，别的方案可能没有达到“纵深防御”的同等级别。所以，我们总是建议：正确地定义信息安全策略和恰当地描述信息安全功能是成功的关键。

五、结论

在工业自动化和控制系统中，采用开放网络标准，为制造商提高生产力和快速响应生产过程中的突发事件，创造了新的机会。使用标准网络技术，诸如用以太网和 TCP/IP连接自动化和控制系统，制造商可以实时与远程的工程师和合作伙伴共享工厂的数据、应用和资源。这些能力是非常重要的，因为制造商运行在更复杂和全球化的环境下，系统需要保持每周7天、每天24小时的可用性。基于思科和罗克韦尔自动化融合工厂以太网参考架构的远程访问，为制造商在恰当的时间提供了正确的方法和资源，与他们的物理位置无关。这样可以在生产运行过程中实现高效率、少停机和低成本。

由于生产控制系统的自然属性，对任何远程访问方案提出适当的信息安全等级是重要的。思科与罗克韦尔自动化一起合作开发的架构可以满足这些需求，为远程工程师和合作伙伴提供了安全的访问服务。

厦门兴锐达自动化设备有限公司整理发布，本公司专营DCS系统，机器人系统，大型伺服控制系统，更多行业专业知识及分析，请点击：http://www.xrdzidonghua.com