羅克韋爾自動化的信息安全策略和解決方案

        在工業(yè)自動化和控制系統(tǒng)中，采用開放網(wǎng)絡標準，為制造商提高生產力和快速響應生產過程中的突發(fā)事件，創(chuàng)造了新的機會。使用標準網(wǎng)絡技術，諸如用以太網(wǎng)和TCP/IP連接自動化和控制系統(tǒng)，制造商可以實時與遠程的工程師和合作伙伴共享工廠的數(shù)據(jù)、應用和資源。這些能力是非常重要的，因為制造商運行在更復雜和全球化的環(huán)境下，系統(tǒng)需要保持每周7天、每天24小時的可用性?；谒伎坪土_克韋爾自動化融合工廠以太網(wǎng)參考架構的遠程訪問，為制造商在恰當?shù)臅r間提供了正確的方法和資源，與他們的物理位置無關。這樣可以在生產運行過程中實現(xiàn)高效率、少停機和低成本。

        為了增加靈活性和提高生產效率，制造商在他們的工業(yè)自動化和控制系統(tǒng)中采用開放網(wǎng)絡標準。使用開放標準網(wǎng)絡的益處之一就是具有遠程訪問自動化系統(tǒng)的能力。工程人員和合作伙伴可以共享工廠數(shù)據(jù)、應用和資源，而與他們的物理位置無關。

        這種靈活性對當今的制造商而言是非常重要的，因為可以提高全球化能力、降低生產成本、共享信息數(shù)據(jù)和快速解決生產中的問題，這對每個制造商都是巨大的挑戰(zhàn)。本文就如何實現(xiàn)高度安全的遠程訪問進行了探討。

一、實施遠程訪問的原則

        當允許遠程訪問工廠數(shù)據(jù)和資源時，要堅守一些原則。這些原則也被思科和羅克韋爾自動化開發(fā)的參考架構所使用，包含在嚴格控制遠程訪問自動化和控制應用的重要概念中。

        1． 使用IT認可的用戶訪問、驗證策略和訪問程序

        對企業(yè)資源和服務的訪問要進行監(jiān)視和記錄。企業(yè)應該事先知道每個用戶的背景，并且分配一個獨有的賬號。用戶每次訪問網(wǎng)絡，要通過驗證并且給予適當在企業(yè)內的授權。出于審計目的，對訪問要進行跟蹤和記錄。對工廠現(xiàn)場數(shù)據(jù)和資源訪問的批準，應該遵從企業(yè)IT部門的流程進行。

        合作伙伴、遠程工程師或供應商采用其他方案（諸如：調制解調器、電話線和因特網(wǎng)直接訪問）訪問工廠和制造區(qū)，可能產生對工廠和企業(yè)網(wǎng)絡的風險，除非這些方案遵從IT的政策和流程。

        2. 只在制造區(qū)使用自動化和控制協(xié)議

        思科和羅克韋爾自動化參考架構中的關鍵原則是“CIP只在制造區(qū)”使用。CIP，公共工業(yè)協(xié)議，和其他核心的自動化和控制協(xié)議，包括FactoryTalk?實時數(shù)據(jù)、OPC-DA、Modbus TCP應在制造區(qū)內使用。這些運行在設備上的協(xié)議，信息安全能力非常有限。因為工廠的流程是通過它們對自動化機械實現(xiàn)啟動、停止和操作，所以它們對工業(yè)自動化和控制系統(tǒng)有舉足輕重的影響。

        因此，自動化和控制協(xié)議不應該脫離制造區(qū)。在制造區(qū)里，自動化和控制設備是在熟悉的物理邊界里，由訓練有素的人員安裝、操作和維護。對這個區(qū)域的協(xié)議限制，可以確保自動化和控制設備在熟知的設備和應用之間正常通信。另外，這些設備和應用的用戶是經過驗證并對于他們的角色給予了相應的授權。

        這個原則也許在今后會重新考慮，因為存在的信息安全設備（諸如防火墻）可以嚴格管轄來自制造區(qū)之外的自動化和控制數(shù)據(jù)流。這會要求這些“應用”防火墻具有一個適度的應用或協(xié)議知曉等級，可以對網(wǎng)絡部分通信包和數(shù)據(jù)部分充分檢查，建立設備的知名度和信任度。在現(xiàn)代企業(yè)級防火墻上實現(xiàn)這項技術之前，我們推薦自動化和控制協(xié)議“只在制造區(qū)”使用。

        3. 控制應用

        這里考慮的要點是由遠程伙伴或工程師控制應用。當遠程訪問工廠現(xiàn)場時，作為一種最佳實踐，合作伙伴和遠程工程師應使用在控制應用服務器上的自動化和控制應用版本（諸如FactoryTalk? View或RSLogix? 5000），原因如下：

        ? 使工廠能夠嚴格控制應用程序的版本升級。
        ? 控制訪問的等級和遠程人員的授權。使用安裝在遠程系統(tǒng)的應用（諸如FactoryTalk? View）很難區(qū)分用戶是在本地，還是在遠程，這會造成自動化和控制協(xié)議離開制造區(qū)。 
        ? 防止在遠程系統(tǒng)的病毒或其他危險影響制造區(qū)的應用和系統(tǒng)。

        在遠程用戶的計算機上使用自動化和控制應用，對自動化和控制會帶來極大的風險，作為最佳實踐，應該避免這種情況發(fā)生。

        4. 沒有直接數(shù)據(jù)流

[DividePage:NextPage]

        就像圖1中紅色拒絕圈所標出的，在企業(yè)區(qū)（包括因特網(wǎng)）和制造區(qū)之間，不允許有直接的數(shù)據(jù)流通過。操作應用或安裝補丁必須要有兩個步驟，先把補丁下載到隔離區(qū)（DMZ）中的補丁服務器當中，然后再安裝到制造區(qū)的設備當中。

        在控制系統(tǒng)中，安裝補丁應按照上面描述的兩個階段進行，因為補丁在安裝到生產系統(tǒng)之前，必須先在測試環(huán)境中進行驗證。遠程訪問控制網(wǎng)絡上的設備需要登錄，或至少通過一個代理服務器。遠程訪問服務器像一條咽喉要道，對遠程訪問需要進一步驗證、登錄和過濾，才能到達應用服務器。這就提供了一種縱深的問責制。

        在這個架構中，工廠防火墻成為遠程用戶與制造區(qū)自動化和控制應用之間的代理服務器，嚴格管轄進出每個區(qū)域的數(shù)據(jù)流，因而保持了最佳實踐。

        5. 無公共協(xié)議或端口

        沒有一種協(xié)議在同一個時間用同一個端口，穿越一個防火墻再穿過另一個防火墻，見圖1。這就防止了蠕蟲，如：蠕蟲王（Slammer）穿過上層防火墻，在隔離區(qū)感染系統(tǒng)，進而在控制區(qū)域傳播病毒。

        6. 僅有一個通道入或出

        從DMZ通過低層防火墻進入制造區(qū)的通道僅有一條，或進或出。從企業(yè)局域網(wǎng)通過上層防火墻進入DMZ的通道也只有一條。

        以上的原則其實包含了一個重要的概念，這就是首先要嚴格控制對自動化和控制應用的遠程訪問，而不是盲目信賴遠程用戶在訪問工廠應用時不做錯事。

二、遠程訪問用例

        考慮遠程訪問的用例非常重要，因為解決方案應該滿足用例的需求。遠程訪問制造工廠的用例具有一些基本特性，包括用戶是誰（角色－包括內部員工、合作伙伴和供應商），以及用戶的位置在哪里（物理和網(wǎng)絡的位置）。不同的用例有著不同的考慮和需求。

        1. 角色
        本文討論對工廠數(shù)據(jù)和應用實時訪問的部署，用戶要對生產監(jiān)視或操作或采取某些行動。角色可以由內部或外部人員來扮演，并假設已經事先確定。本文不討論從企業(yè)ERP應用讀取連續(xù)數(shù)據(jù)的方法，雖然當前的方案不排除或約束這種機制。

        實施遠程訪問要考慮的關鍵點是事先必須了解用戶，應是長期或經常訪問工業(yè)自動化和控制系統(tǒng)的人員。在部署訪問時，這是對用戶的基本要求，特別是外部用戶，諸如合作伙伴或供應商，通常要向IT部門提出申請，申請的批復和實施要花一些時間。公司的相關策略應該定義了不同的角色和訪問的等級。

        2. 位置
        本文把位于企業(yè)網(wǎng)絡之中（在制造區(qū)的外部）和企業(yè)網(wǎng)絡之外的遠程用戶一并考慮。

        企業(yè)內的用戶可不使用下面描述的所有技術（諸如建立到企業(yè)的VPN），因為他們已經遵從公司已有的安保策略了。

        本文也不討論當伙伴或第三方客戶的物理位置已經在工廠內的情況。因為有很多技術可用于客戶訪問，包括無線客戶訪問或網(wǎng)絡準許控制，這些技術為Web瀏覽器提供了通用的因特網(wǎng)訪問。這些方法可以與指定技術結合使用，實現(xiàn)遠程訪問，制造區(qū)外邊基于隧道的客戶可以使用本文描述的方法訪問制造區(qū)。

三、體系架構
        按照思科和羅克韋爾自動化參考架構的原則，實施對工廠現(xiàn)場應用和數(shù)據(jù)的高安全遠程訪問，已成為要直接面對的問題。實現(xiàn)遠程訪問要基于已經存在架構：

        ? 最佳實踐企業(yè)的遠程工作方案，大多由IT部門負責實施和操作。
        ? 思科和羅克韋爾自動化融合工廠以太網(wǎng)的參考架構，采用了在隔離區(qū)DMZ部署防火墻的方案，使用現(xiàn)代的防火墻管理和檢查出入DMZ的數(shù)據(jù)流。

        在考慮實施遠程訪問時，下面的問題會幫助工廠判斷是否做好了準備：

        ? 有沒有一套IT的信息安全策略？
        ? 對員工有沒有一套遠程訪問策略？有基礎架構支撐嗎？采用什么技術/產品的虛擬私有網(wǎng)絡VPN？ 
        ? 有沒有一套針對合作伙伴的遠程訪問策略？有增加伙伴（OEM、系統(tǒng)集成商、供應商和承包商）的能力和程序嗎？

        如果這些能力和安保策略已經到位，實施遠程訪問的關鍵就是遠程訪問服務器的安裝和配置。圖2表示了一種遠程訪問架構的簡單版本。

[DividePage:NextPage]

圖2 簡化的遠程訪問架構

        DMZ設計為：允許不在本地生產現(xiàn)場的用戶或應用共享數(shù)據(jù)和應用。這就意味著可以把關鍵數(shù)據(jù)復制到DMZ的一個服務器中，使得在其他區(qū)域的用戶/應用可以看見那些數(shù)據(jù)。DMZ相當于一個代理服務器，允許其他用戶間接連接網(wǎng)絡，讀取位于其他網(wǎng)絡區(qū)域中數(shù)據(jù)和應用。

        當把數(shù)據(jù)復制到DMZ時，數(shù)據(jù)在制造區(qū)和企業(yè)區(qū)之間快速而高效地傳輸。在實時訪問實際生產系統(tǒng)和應用時，多數(shù)是要解決具體問題，收集實時信息，或進行過程調節(jié)。遠程訪問能力除了針對DMZ使用的終端服務，還可以通過代理服務器實時連接安裝在制造區(qū)的專用遠程訪問服務器，訪問自動化和控制應用。本文強調的安保機制，使得外部用戶對企業(yè)的訪問具有高度的安全，從企業(yè)網(wǎng)絡訪問外部的情況也一樣。

        經過因特網(wǎng)，遠程用戶（伙伴或雇員）也能通過遠程訪問服務器訪問工業(yè)自動化和控制系統(tǒng)。遠程用戶的位置通常沒有高帶寬、低延時的連接。本文概要介紹了使用瀏覽器和終端服務，類似瘦客戶機，可以在低帶寬、大延時的網(wǎng)絡環(huán)境下較好地運行。這里沒有提出任何帶寬或延時的要求，也沒有探究任何管理或監(jiān)視應用在低帶寬、大延時情況下的性能。

四、思科與羅克韋爾的解決方案

        思科與羅克韋爾自動化融合企業(yè)以太網(wǎng)的參考架構包括下面組件：

        ? 適配信息安全產品：Cisco ASA 5500系列適配安保產品提供了對關鍵區(qū)域的防衛(wèi)，包括隔離區(qū)DMZ的定義和保護。這些安保產品可以實現(xiàn)多種先進功能，包括防火墻功能，諸如有狀態(tài)（stateful）包檢查、應用級防火墻和協(xié)議檢查。Cisco ASA 5500系列產品還可以加入更多的先進功能，諸如侵入檢測和防護、VPN功能等。選用相適應、多功能防火墻是建立牢固的區(qū)域防衛(wèi)、達到預防目標的一個重要步驟。

        ? 入侵防御系統(tǒng)（IPS）：在企業(yè)和制造網(wǎng)絡之間部署，IPS可以檢測和阻止攻擊，包括蠕蟲、病毒和其他惡意軟件，通過內聯(lián)（inline）入侵防護這種創(chuàng)新技術，可識別惡意網(wǎng)絡活動。使得在它們在到達工業(yè)自動化和控制系統(tǒng)之前，就阻斷這些威脅，幫助用戶確保制造數(shù)據(jù)和設備的可用性和完整性。這些功能已經集成到Cisco ASA 5500系列設備中，可把它們看作是工廠的防火墻。

[DividePage:NextPage]

     ? 安保體系架構：安全網(wǎng)絡平臺可集成多種安保功能的應用，這對制造區(qū)和企業(yè)區(qū)都很重要，諸如虛擬局域網(wǎng)VLAN，訪問控制列表ACL，端口安保特性和網(wǎng)絡保護特性。

        ? 遠程訪問服務器：在制造區(qū)的房間內安裝遠程訪問服務器，僅用于遠程工程師和合作伙伴對自動化和控制應用的訪問。遠程訪問服務器是一種專用的物理服務器，具有相應的終點安保功能。作為一種專用服務器，它可以配置在一條專用的遠程訪問VLAN中，能夠很好地管理進出服務器的數(shù)據(jù)流。

        ? 生產的控制和信息：為整個工廠生產控制系統(tǒng)設計的一個公共控制和信息平臺，羅克韋爾自動化的集成架構是一個控制和信息架構，由Logix硬件控制平臺和FactoryTalk?生產與管理系列軟件組成，支持EtherNet/IP和其他開放標準。FactoryTalk?由模塊化生產策略和多個服務平臺組成，通過EtherNet/IP緊密地與Logix控制平臺結合。Logix可編程自動化控制器是一種單一的控制架構，提供了離散量、變頻器、運動控制、連續(xù)流程和批次生產控制系統(tǒng)。

        ? 使用思科技術的Stratix 8000? 模塊化管理型交換機：結合了羅克韋爾自動化和思科的最佳技術，羅克韋爾自動化的工業(yè)以太網(wǎng)交換機使用當今思科的Catalyst?操作系統(tǒng)，提供的特性和用戶界面為IT人員所熟悉，同時為用戶配備了簡單的安裝方法和基于羅克韋爾自動化集成架構的完整診斷信息。

        這種解決方案按照思科和羅克韋爾自動化的最新組件設計，并且通過了測試驗證。當然，制造商也可以使用老產品或其他品牌的組件，但有可能不具備前面描述的所有功能，因此，別的方案可能沒有達到“縱深防御”的同等級別。所以，我們總是建議：正確地定義信息安全策略和恰當?shù)孛枋鲂畔踩δ苁浅晒Φ年P鍵。

五、結論

        在工業(yè)自動化和控制系統(tǒng)中，采用開放網(wǎng)絡標準，為制造商提高生產力和快速響應生產過程中的突發(fā)事件，創(chuàng)造了新的機會。使用標準網(wǎng)絡技術，諸如用以太網(wǎng)和TCP/IP連接自動化和控制系統(tǒng)，制造商可以實時與遠程的工程師和合作伙伴共享工廠的數(shù)據(jù)、應用和資源。這些能力是非常重要的，因為制造商運行在更復雜和全球化的環(huán)境下，系統(tǒng)需要保持每周7天、每天24小時的可用性?；谒伎坪土_克韋爾自動化融合工廠以太網(wǎng)參考架構的遠程訪問，為制造商在恰當?shù)臅r間提供了正確的方法和資源，與他們的物理位置無關。這樣可以在生產運行過程中實現(xiàn)高效率、少停機和低成本。

        由于生產控制系統(tǒng)的自然屬性，對任何遠程訪問方案提出適當?shù)男畔踩燃壥侵匾?。思科與羅克韋爾自動化一起合作開發(fā)的架構可以滿足這些需求，為遠程工程師和合作伙伴提供了安全的訪問服務。