移動技術(shù)的發(fā)展，已經(jīng)觸及現(xiàn)代生活的方方面面。人們期望并要求通過移動設(shè)備訪問任何事情?；谶@種期望，現(xiàn)代設(shè)備的設(shè)計內(nèi)置了更多功能。

　　但是，某些應(yīng)用程序(例如工業(yè)控制應(yīng)用的遠(yuǎn)程和移動監(jiān)視)出現(xiàn)的有點晚。從歷史上看，工業(yè)自動化由于其特殊需求，其發(fā)展落后于較新的消費者技術(shù)。自動化硬件和軟件平臺，必須連續(xù)運行數(shù)年或數(shù)十年。任何故障都會對成本高昂的設(shè)備和產(chǎn)品產(chǎn)生直接的負(fù)面影響。因此在最終用戶現(xiàn)場，這些平臺通常有點孤立。

　　這些嚴(yán)格的要求是工業(yè)自動化平臺的首要關(guān)注點。任何形式的遠(yuǎn)程訪問都可能被視為是對網(wǎng)絡(luò)安全的一種潛在危害。即使商業(yè)網(wǎng)絡(luò)、PC和互聯(lián)網(wǎng)云技術(shù)，使訪問自動化平臺變得更加容易，但這些方面中的每一個都加劇了網(wǎng)絡(luò)安全問題。

　　如今，始終保持連接的最終用戶要求從他們的自動化平臺進(jìn)行遠(yuǎn)程訪問，因為這樣可以通過減少停機(jī)時間來增加價值。他們可以實現(xiàn)系統(tǒng)性能的可視化、更高效地運營并進(jìn)行遠(yuǎn)程故障診斷。要建立令人放心的安全遠(yuǎn)程連接，需要在硬件、軟件和網(wǎng)絡(luò)的許多層面給予特別注意。

　　堅實的云基礎(chǔ)

　　一些具有強(qiáng)大信息技術(shù)(IT)技能的最終用戶，可以創(chuàng)建和維護(hù)自己的遠(yuǎn)程連接解決方案，以解決工廠車間運行技術(shù)(OT)方面的問題。如果正確執(zhí)行，這可以提供令人滿意的結(jié)果。通常，工作包括建立虛擬專用網(wǎng)(VPN)，以便與因特網(wǎng)連接的設(shè)備可以通過站點防火墻進(jìn)行通信，并到達(dá)所需的OT目標(biāo)。

　　由于IT和OT組之間需要協(xié)調(diào)，VPN的建立和維護(hù)可能會比較困難且昂貴。即使已安裝VPN，最終用戶也必須具有移動應(yīng)用程序或其它軟件才能實現(xiàn)遠(yuǎn)程連接。除非最終用戶具有所有必需的專用硬件、軟件和豐富的經(jīng)驗，否則此任務(wù)可能會充滿挑戰(zhàn)。

　　接下來的挑戰(zhàn)是關(guān)于如何測試自己開發(fā)的遠(yuǎn)程連接技術(shù)，并且隨著時間的流逝，如何確保良好的網(wǎng)絡(luò)安全性。一個合適的安全管理模型應(yīng)該滿足基于信息的機(jī)密性、完整性和可用性要求。但實際應(yīng)用中，許多最終用戶可能無法創(chuàng)建和維護(hù)這樣的安全模型。

　　由于這些原因，許多最終用戶正轉(zhuǎn)向已建立的、基于云的解決方案，以實現(xiàn)具有所需安全性的遠(yuǎn)程連接?；谠频钠脚_已經(jīng)專門用于遠(yuǎn)程連接任務(wù)。供應(yīng)商可以提供規(guī)模經(jīng)濟(jì)和其他技術(shù)效益。

　　分布式資源

　　在解決安全問題之前，重要的是要了解與內(nèi)部開發(fā)的遠(yuǎn)程連接相比，云軟件可以提供的技術(shù)功能。

　　一個顯著差異是基于云的軟件具有較高的可用性，因為它們所使用的服務(wù)器，與數(shù)據(jù)中心處理其它關(guān)鍵計算和數(shù)據(jù)存儲活動的服務(wù)器相同。這樣的可擴(kuò)展架構(gòu)，可以真正實現(xiàn)全球級的規(guī)模，并通過冗余提高可用性。

　　位于數(shù)據(jù)中心的VPN服務(wù)器網(wǎng)絡(luò)，可以使用較佳服務(wù)器來降低延遲。如果連接失敗，它還允許其它服務(wù)器接管。一些云服務(wù)可能會使用Kubernetes集群之類的現(xiàn)代計算架構(gòu)，從而優(yōu)化微服務(wù)的運營和管理。(Kubernetes是開放源代碼軟件，可用于自動化容器化應(yīng)用程序的部署、擴(kuò)展和管理。)

　　大多數(shù)云解決方案還為關(guān)鍵計算流程提供了應(yīng)用程序編程接口(API)服務(wù)，從而為程序連接提供了一致的方式。工業(yè)物聯(lián)網(wǎng)(IIoT)應(yīng)用通常支持消息隊列遙測傳輸(MQTT)協(xié)議。 MQTT是IIoT通信的理想選擇，因為它與傳輸層安全性配對時，既高效又安全。 API和MQTT功能允許云軟件提供比基本連接更多的功能，因為這些技術(shù)允許通過云存儲和訪問數(shù)據(jù)。

　　任何工業(yè)云解決方案，還必須適合處理以下3種類型的數(shù)據(jù)庫：

　　關(guān)系型：例如配置信息;

　　非關(guān)系型：例如事件、警報和日志;

　　時間序列型：例如連續(xù)到達(dá)的、帶有時間戳的模擬過程數(shù)據(jù)。

　　每種數(shù)據(jù)庫都有對工業(yè)應(yīng)用非常重要的特性。只要安全性得到保證，這三種數(shù)據(jù)庫類型的云解決方案都很適合。

　　StrideLinx云托管VPN可以通過筆記本電腦、智能手機(jī)和平板電腦上托管的移動HMI應(yīng)用程序與工業(yè)資產(chǎn)安全地連接。圖片來源：Automation Direct

　　要解決5個網(wǎng)絡(luò)安全問題

　　不幸的是，網(wǎng)絡(luò)安全的缺失是一個經(jīng)常出現(xiàn)在新聞中的復(fù)雜話題。對于任何遠(yuǎn)程連接或基于云的解決方案的供應(yīng)商，較佳實踐都是遵循ISO 27001標(biāo)準(zhǔn)提出的要求，并接受合格的第三方審核，持續(xù)遵守信息安全管理體系(ISMS)認(rèn)證的要求。

　　企業(yè)必須解決以下5個主要的網(wǎng)絡(luò)安全問題：

　　1.加密連接：必須使用具有TLS 1.2或更高版本的HTTPS加密與云服務(wù)之間的所有連接，以防止未經(jīng)授權(quán)的訪問。

　　2.集中的監(jiān)視、日志記錄和分析：關(guān)鍵事件和異常的自動檢測，可幫助供應(yīng)商識別任何性能問題或意外活動，并對之做出反應(yīng)。

　　3.漏洞管理：持續(xù)進(jìn)行的第三方審核，應(yīng)在漏洞或弱點被利用之前發(fā)現(xiàn)，越早越好。

　　4.訪問控制：任何基于云的平臺，都允許開發(fā)人員訪問，但是應(yīng)該使用強(qiáng)大的訪問密鑰和全面的監(jiān)視，控制訪問人員的數(shù)量。

　　5.軟件開發(fā)生命周期：應(yīng)始終對軟件更改進(jìn)行同行評審，遵循嚴(yán)格的版本管理系統(tǒng)，并使用手動和自動方法進(jìn)行測試。

　　如果最終用戶不準(zhǔn)備執(zhí)行這些建議，那他們應(yīng)考慮使用供應(yīng)商提供的基于云的軟件，以符合這些ISMS指令。

　　本地的安全性

　　即使是可以的基于云的軟件，也可能會因脆弱的本地安全性而受到損害。不幸的是，制造現(xiàn)場的大多數(shù)OT技術(shù)，在設(shè)計時都沒有考慮安全性，并且很多技術(shù)很少更新。除非采取預(yù)防措施，否則將這些傳統(tǒng)技術(shù)連接到較新的基于云的平臺可能會引起麻煩。

　　最基本的措施是使用帶有正確配置防火墻的路由器，確保將計算機(jī)局域網(wǎng)(LAN)與廣域網(wǎng)(WAN)和因特網(wǎng)隔離。默認(rèn)情況下，這會阻止兩者之間的所有流量，除非在WAN上配置，否則將拒絕WAN上發(fā)起的任何通信到達(dá)LAN。

　　但是，LAN生成的到WAN或因特網(wǎng)的可信出站通信通常是可以接受的。這是OT系統(tǒng)與IT云平臺集成而不涉及更復(fù)雜IT解決方案的方式。任何OT/IT遠(yuǎn)程連接解決方案，都需要與站點安全訪問限制進(jìn)行協(xié)調(diào)。

　　另一方面，許多OT運營都位于互聯(lián)網(wǎng)連接可能不理想的地方。對于這些情況，最終用戶可能希望尋找能夠從因特網(wǎng)連接故障切換到4G移動網(wǎng)絡(luò)的路由器。對于具有數(shù)據(jù)記錄功能的應(yīng)用程序，建議路由器一次緩沖幾天的數(shù)據(jù)，直到連接恢復(fù)。

　　瀏覽器和應(yīng)用程序安全

　　遠(yuǎn)程連接的最后一步是最終用戶界面。這可能是基于瀏覽器或基于移動的應(yīng)用程序。不幸的是，此接口可能是外部攻擊者的主要目標(biāo)。

　　正如大多數(shù)用戶從其個人電子郵件、銀行帳戶和其它基于計算機(jī)的帳戶中了解的那樣，登錄安全性至關(guān)重要。除了唯一的長密碼，用戶還應(yīng)考慮使用允許雙因素身份驗證(2FA)作為附加保護(hù)層的系統(tǒng)。通常，用戶在他們的移動設(shè)備上打開另一個身份驗證器應(yīng)用程序，以便在登錄時獲得一次性密碼。

　　基于云的連接系統(tǒng)的管理員必須仔細(xì)分配和控制用戶權(quán)限。常識表明，應(yīng)該僅授予用戶足夠執(zhí)行其任務(wù)的權(quán)限，而不能再擴(kuò)充授予其它權(quán)限。這可以將遭受網(wǎng)絡(luò)攻擊所造成的對系統(tǒng)的影響降至最低。

　　對于最終用戶而言，當(dāng)APP可用時，它們比網(wǎng)頁瀏覽器訪問更為方便。這是因為它們已針對移動屏幕尺寸進(jìn)行了預(yù)配置，并經(jīng)定制以提供所需的典型信息和功能，而最終用戶所需的開發(fā)工作卻少得多。

　　移動VPN連接，允許對第三方移動應(yīng)用程序進(jìn)行控制和數(shù)據(jù)查看。

　　可信的云連接

　　遠(yuǎn)程監(jiān)視和控制尤其是通過移動設(shè)備進(jìn)行的遠(yuǎn)程監(jiān)視和控制，被視為許多工業(yè)自動化用戶的必備功能。某些用戶可能會開發(fā)自己的連接軟件，但是網(wǎng)絡(luò)安全風(fēng)險巨大，需要制定大量的緩解措施。

　　這是許多用戶發(fā)現(xiàn)基于云的遠(yuǎn)程連接和數(shù)據(jù)記錄平臺是理想答案的主要原因之一。好的云平臺比自開發(fā)的系統(tǒng)能提供更好的技術(shù)解決方案，例如冗余服務(wù)器和備份數(shù)據(jù)連接。它們遵循較新的行業(yè)安全標(biāo)準(zhǔn)，經(jīng)過持續(xù)的審核，并提供移動應(yīng)用程序來幫助最終用戶快速運行，而在整個生命周期中所需的維護(hù)工作最少。

上一篇：工信部組織開展“國家鼓勵發(fā)展的...

下一篇：儀器送檢后如何進(jìn)行確認(rèn)，確認(rèn)記...